下载()2010-1-708:50下载()2010-1-708:50下载()2010-1-708:50里我们按照所需要的服务开放响应的端口。在2003系统里,不推荐用TCP/IP筛选里的端口过滤功能,譬如在使用FTP服务器的时候,如果仅仅只开放21端口,由于FTP协议的特殊性,在进行FTP传输的时候,由于FTP特有的Port模式和Passive模式,在进行数据传输的时候,需要动态的打开高端口,所以在使用TCP/IP过滤的情况下,经常会出现连接上后无法列出目录和数据传输的问题。所以在2003系统上增加的windows连接防火墙能很好的解决这个问题,所以都不推荐使用网卡的TCP/IP过滤功能。下载()2010-1-708:55SERV-UFTP服务器的设置:一般来说,不推荐使用srev-u做ftp服务器,主要是漏洞出现的太频繁了,但是也正是因为其操作简单,功能强大,过于流行,关注的人也多,才被发掘出bug来,换做其他的ftp服务器软件也一样不见得安全到哪儿去。当然,这里也有款功能跟serv-u同样强大,比较安全的ftp软件:AbilityFTPServer设置也很简单,不过我们这里还是要迎合大众胃口,说说关于serv-u的安全设置。首先,,-32等编辑器修改serv-u程序体进行修改密码端口,,单独拿出来方便了大家。不过修改了管理密码的serv-u是一样有安全隐患的,两个月前臭要饭的就写了新的采用本地sniff方法获取serv-u的管理密码的exploit,正在网上火卖着,不过这种sniff的方法,同样是在获得webshell的条件后还得有个能在目录里有"执行"的权限,并且需要管理员再次登陆运行serv-uadministrator的时候才能成功。所以我们的管理员要尽量避上以上几点因素,也是可以防护的。下载()2010-1-708:55另外serv-u的几点常规安全需要设置下:选中"Block"FTP_bounce"attackandFXP"。什么是FXP呢?通常,当使用FTP协议进行文件传输时,客户端首先向FTP服务器发出一个"PORT"命令,该命令中包含此用户的IP地址和将被用来进行数据传输的端口号,服务器收到后,利用命令所提供的用户地址信息建立与用户的连接。大多数情况下,上述过程不会出现任何问题,但当客户端是一名恶意用户时,可能会通过在PORT命令中加入特定的地址信息,使FTP服务器与其它非客户端的机器建立连接。虽然这名恶意用户可能本身无权直接访问某一特定机器,但是如果FTP服务器有权访问该机器的话,那么恶意用户就可以通过FTP服务器作为中介,仍然能够最终实现与目标服务器的连接。这就是FXP,也称跨服务器攻击。选中后就可以防止发生此种情况。下载()2010-1-708:56另外在"Blockantitime-outschemes"也可以选中。其次,在"Advanced"选项卡中,检查"Enablesecurity"是否被选中,如果没有,选择它们。IIS的安全:删掉c:/inetpub目录,删除iis不必要的映射首先是每一个web站点使用单独的IIS用户,譬如这里,新建立了一个名为guest的。在IIS里的站点属性里"目录安全性"---"身份验证和访问控制"里设置匿名访问使用下列Windows用户帐户",默认的只给IIS用户的读取和写入权限(后面有更BT的设置要介绍)。在"应用程序配置"里,我们给必要的几种脚本执行权限:,PHP,ASP,ASPX默认都提供映射支持了的,对于PHP,需要新添加响应的映射脚本,然后在web服务扩展将ASP,ASPX都设置为允许,对于php以及CGI的支持,需要新建web服务扩展,在扩展名(X):下输入php,再在要求的文件(E):里添加地址C:/php/sapi/,并勾选设置状态为允许(S)。然后点击确定,这样IIS就支持PHP了。支持CGI同样也是如此。要支持ASPX,还需要给web根目录给上users用户的默认权限,才能使ASPX能执行。另外在应用程序配置里,设置调试为向客户端发送自定义的文本信息,这样能对于有ASP注入漏洞的站点,可以不反馈程序报错的信息,能够避免一定程度的攻击。在自定义HTTP错误选项里,有必要定义下譬如404,500等错误,不过有有时候为了调试程序,好知道程序出错在什么地方,建议只设置404就可以了。,出现了应用程序池
windows server 2003服务器安全配置终极技巧 来自淘豆网m.daumloan.com转载请标明出处.