应用服务器安全组别为 应用服务器的作用为

Windows 服务器安全设置的方法教程

阿江的Windows 2000服务器安全设置教程

10年积累的网站建设、网站设计经验，可以快速应对客户对网站的新想法和需求。提供各种问题对应的解决方案。让选择我们的客户得到更好、更有力的网络服务。我虽然不认识你，你也不认识我。但先网站制作后付款的网站建设流程，更有喀左免费网站建设让你可以放心的选择与我们合作。

前言

其实，在服务器的安全设置方面，我虽然有一些经验，但是还谈不上有研究，所以我写这篇文章的时候心里很不踏实，总害怕说错了会误了别人的事。

本文更侧重于防止ASP漏洞攻击，所以服务器防黑等方面的讲解可能略嫌少了点。

基本的服务器安全设置

安装补丁

安装好操作系统之后，最好能在托管之前就完成补丁的安装，配置好网络后，如果是2000则确定安装上了SP4，如果是2003，则最好安装上SP1，然后点击开始→Windows Update，安装所有的关键更新。

安装杀毒软件

虽然杀毒软件有时候不能解决问题，但是杀毒软件避免了很多问题。我一直在用诺顿2004，据说2005可以杀木马，不过我没试过。还有人用瑞星，瑞星是确定可以杀木马的。更多的人说卡巴司机好，不过我没用过。

不要指望杀毒软件杀掉所有的木马，因为ASP木马的特征是可以通过一定手段来避开杀毒软件的查杀。

设置端口保护和防火墙、删除默认共享

都是服务器防黑的措施，即使你的服务器上没有IIS，这些安全措施都最好做上。这是阿江的盲区，大概知道屏蔽端口用本地安全策略，不过这方面的东西网上攻略很多，大家可以擞出来看看，晚些时候我或者会复制一些到我的网站上。

权限设置

阿江感觉这是防止ASP漏洞攻击的关键所在，优秀的权限设置可以将危害减少在一个IIS站点甚至一个虚拟目录里。我这里讲一下原理和设置思路，聪明的朋友应该看完这个就能解决问题了。

权限设置的原理

WINDOWS用户，在WINNT系统中大多数时候把权限按用户（组）来划分。在【开始→程序→管理工具→计算机管理→本地用户和组】管理系统用户和用户组。

NTFS权限设置，请记住分区的时候把所有的硬盘都分为NTFS分区，然后我们可以确定每个分区对每个用户开放的权限。【文件（夹）上右键→属性→安全】在这里管理NTFS文件（夹）权限。

IIS匿名用户，每个IIS站点或者虚拟目录，都可以设置一个匿名访问用户（现在暂且把它叫“IIS匿名用户），当用户访问你的网站的.ASP文件的时候，这个.ASP文件所具有的权限，就是这个“IIS匿名用户所具有的权限。

权限设置的思路

要为每个独立的要保护的个体（比如一个网站或者一个虚拟目录）创建一个系统用户，让这个站点在系统中具有惟一的可以设置权限的身份。

在IIS的【站点属性或者虚拟目录属性→目录安全性→匿名访问和验证控制→编辑→匿名访问→编辑】填写刚刚创建的那个用户名。

设置所有的分区禁止这个用户访问，而刚才这个站点的主目录对应的那个文件夹设置允许这个用户访问（要去掉继承父权限，并且要加上超管组和SYSTEM组）。

这样设置了之后，这个站点里的ASP程序就只有当前这个文件夹的权限了，从探针上看，所有的硬盘都是红叉叉。

我的设置方法

我是先创建一个用户组，以后所有的站点的用户都建在这个组里，然后设置这个组在各个分区没病权限。然后再设置各个IIS用户在各在的文件夹里的权限。

因为比较多，所以我很不想写，其实知道了上面的原理，大多数人都应该懂了，除非不知道怎么添加系统用户和组，不知道怎么设置文件夹权限，不知道IIS站点属性在那里。真的有那样的人，你也不要着急，要沉住气慢慢来，具体的方法其实自己也能摸索出来的，我就是这样。当然，如果我有空，我会写我的具体设置方法，很傲能还会配上图片。

改名或卸载不安全组件

不安全组件不惊人

我的在阿江探针1.9里加入了不安全组件检测功能（其实这是参考7i24的代码写的，只是把界面改的友好了一点，检测方法和他是基本一样的），这个功能让很多站长吃惊不小，因为他发现他的服务器支持很多不安全组件。

其实，只要做好了上面的权限设置，那么FSO、XML、strem都不再是不安全组件了，因为他们都没有跨出自己的文件夹或者站点的权限。那个欢乐时光更不用怕，有杀毒软件在还怕什么时光啊。

最危险的组件是WSH和Shell，因为它可以运行你硬盘里的EXE等程序，比如它可以运行提升程序来提升SERV-U权限甚至用SERVU来运行更高权限的系统程序。

卸载最不安全的组件

最简单的办法是直接卸载后删除相应的程序文件。将下面的代码保存为一个.BAT文件，

regsvr32/u C:WINNTSystem32wshom.ocx

del C:WINNTSystem32wshom.ocx

regsvr32/u C:WINNTsystem32shell32.dll

del C:WINNTsystem32shell32.dll

然后运行一下，WScript.Shell, Shell.application, WScript.Network就会被卸载了。可能会提示无法删除文件，不用管它，重启一下服务器，你会发现这三个都提示“×安全了。

改名不安全组件

需要注意的是组件的名称和Clsid都要改，并且要改彻底了。下面以Shell.application为例来介绍方法。

打开注册表编辑器【开始→运行→regedit回车】，然后【编辑→查找→填写Shell.application→查找下一个】，用这个方法能找到两个注册表项：“{13709620-C279-11CE-A49E-444553540000}和“Shell.application。为了确保万无一失，把这两个注册表项导出来，保存为 .reg 文件。

比如我们想做这样的更改

13709620-C279-11CE-A49E-444553540000 改名为 13709620-C279-11CE-A49E-444553540001

Shell.application 改名为 Shell.application_ajiang

那么，就把刚才导出的.reg文件里的内容按上面的对应关系替换掉，然后把修改好的.reg文件导入到注册表中（双击即可），导入了改名后的注册表项之后，别忘记了删除原有的`那两个项目。这里需要注意一点，Clsid中只能是十个数字和ABCDEF六个字母。

下面是我修改后的代码（两个文件我合到一起了）：

Windows Registry Editor Version 5.00

[HKEY_CLASSES_ROOTCLSID{13709620-C279-11CE-A49E-444553540001}]

@="Shell Automation Service"

[HKEY_CLASSES_ROOTCLSID{13709620-C279-11CE-A49E-444553540001}InProcServer32]

@="C:WINNTsystem32shell32.dll"

"ThreadingModel"="Apartment"

[HKEY_CLASSES_ROOTCLSID{13709620-C279-11CE-A49E-444553540001}ProgID]

@="Shell.Application_ajiang.1"

[HKEY_CLASSES_ROOTCLSID{13709620-C279-11CE-A49E-444553540001}TypeLib]

@="{50a7e9b0-70ef-11d1-b75a-00a0c90564fe}"

[HKEY_CLASSES_ROOTCLSID{13709620-C279-11CE-A49E-444553540001}Version]

@="1.1"

[HKEY_CLASSES_ROOTCLSID{13709620-C279-11CE-A49E-444553540001}VersionIndependentProgID]

@="Shell.Application_ajiang"

[HKEY_CLASSES_ROOTShell.Application_ajiang]

@="Shell Automation Service"

[HKEY_CLASSES_ROOTShell.Application_ajiangCLSID]

@="{13709620-C279-11CE-A49E-444553540001}"

[HKEY_CLASSES_ROOTShell.Application_ajiangCurVer]

@="Shell.Application_ajiang.1"

你可以把这个保存为一个.reg文件运行试一下，但是可别就此了事，因为万一黑客也看了我的这篇文章，他会试验我改出来的这个名字的。

防止列出用户组和系统进程

我在阿江ASP探针1.9中结合7i24的方法利用getobject("WINNT")获得了系统用户和系统进程的列表，这个列表可能会被黑客利用，我们应当隐藏起来，方法是：

【开始→程序→管理工具→服务】，找到Workstation，停止它，禁用它。

防止Serv-U权限提升

其实，注销了Shell组件之后，侵入者运行提升工具的可能性就很小了，但是prel等别的脚本语言也有shell能力，为防万一，还是设置一下为好。

用Ultraedit打开ServUDaemon.exe查找Ascii：LocalAdministrator，和#l@$ak#.lk;0@P，修改成等长度的其它字符就可以了，ServUAdmin.exe也一样处理。

另外注意设置Serv-U所在的文件夹的权限，不要让IIS匿名用户有读取的权限，否则人家下走你修改过的文件，照样可以分析出你的管理员名和密码。

利用ASP漏洞攻击的常见方法及防范

一般情况下，黑客总是瞄准论坛等程序，因为这些程序都有上传功能，他们很容易的就可以上传ASP木马，即使设置了权限，木马也可以控制当前站点的所有文件了。另外，有了木马就然后用木马上传提升工具来获得更高的权限，我们关闭shell组件的目的很大程度上就是为了防止攻击者运行提升工具。

如果论坛管理员关闭了上传功能，则黑客会想办法获得超管密码，比如，如果你用动网论坛并且数据库忘记了改名，人家就可以直接下载你的数据库了，然后距离找到论坛管理员密码就不远了。

作为管理员，我们首先要检查我们的ASP程序，做好必要的设置，防止网站被黑客进入。另外就是防止攻击者使用一个被黑的网站来控制整个服务器，因为如果你的服务器上还为朋友开了站点，你可能无法确定你的朋友会把他上传的论坛做好安全设置。这就用到了前面所说的那一大堆东西，做了那些权限设置和防提升之后，黑客就算是进入了一个站点，也无法破坏这个网站以外的东西。

服务器安全

服务器的安全分为3个部分，你的操作系统安全，你的应用（apache\IIS等）安全，单纯的服务器安全加固并不能保证网站安全，这和你的网站代码有关系。

通常现在的做法是在进行一定的加固之后，采购安全设备（例如WAF）进行防护。若果我没猜错，你的网站应该是被SQL注入攻击了。

需要加固的地方太多，把目录列给你吧，写出来就是一本书了。在提醒你的是，就算下面这些加固全做完，仍然不能保证你的网站安全。

WINDOWS2003安全加固 1

一. 系统信息 2

二. 补丁管理 2

2.1 补丁安装 2

三. 账号口令 3

3.1 优化账号 3

3.2 口令策略 3

四. 网络服务 4

4.1 优化服务 4

4.2 关闭共享 4

4.3 网络限制 5

五. 文件系统 5

5.1 使用NTFS 5

5.2 检查EVERYONE权限 6

5.3 限制命令权限 6

六. 日志审核 7

6.1 增强日志 7

6.2 增强审核 7

IIS6安全加固 1

1.1 补丁安装 2

1.2 IIS组件 2

1.3 IIS用户 3

1.4 监听地址 3

1.5 SSL加密 4

1.6 应用程序扩展 5

1.7 网站权限 5

1.8 限制IP访问 6

1.9 WEB服务扩展 7

1.10 上传目录设置 8

1.11 日志设置 8

1.12 自定义错误信息 10

什么是网络安全域

网络安全域是指同一系统内有相同的安全保护需求，相互信任，并具有相同的安全访问控制和边界控制策略的子网或网络，且相同的网络安全域共享一样的安全策略。广义可理解为具有相同业务要求和安全要求的IT系统要素的集合。

网络安全域从大的方面分一般可划分为四个部分：本地网络、远程网络、公共网络、伙伴访问。而在不同的安全域之间需要设置防火墙以进行安全保护。

1、远程网络域的安全内容为:安全远程用户以及远程办公室对网络的访问。

2、公共网络域的安全内容为:安全内部用户访问互联网以及互联网用户访问内网服务。

3、伙伴访问域的安全内容为:保证企业合作伙伴对网络的访问安全,保证传输的可靠性以数据的真实性和机密性

扩展资料：

安全域划分原则

将所有相同安全等级、具有相同安全需求的计算机划入同一网段内，在网段的边自界处进行访问控制。

一般实现方法是采用防火墙部署在边界处来实现，通过防火墙策略控制允许哪些IP访问知此域、不允许哪些访问此域；允许此域访问哪些IP/网段、不允许访问哪些IP/网段。

一般将应用、服务器、数据库等归入最高安全域，办公网归道为中级安全域，连接外网的部分归为低级安全域。在不同域之间设置策略进行控制。

Win server 应用组策略和安全

组策略用于从一个单独的点对多个Microsoft Active Directory目录服务用户和计算机对象进行配置。在默认情况下，策略不仅影响应用该策略的容器中的对象，还影响子容器中的对象。

组策略包含了"计算机配置、Windows 设置、安全设置"下的安全设置。您可将预先配置的安全模板导入策略，来完成对这些设置的配置。

应用组策略

下列步骤显示了如何应用组策略，以及如何向"用户权限分配"添加安全组。

将组策略应用于组织单位或域

1.依次单击"开始"、"管理工具"、"Active Directory 用户和计算机"，打开"Active Directory 用户和计算机"。

2.突出显示相关域或组织单位，单击"操作"菜单，选择"属性"。

3.选择"组策略"选项卡。

注意：每个容器可应用多个策略。这些策略的处理顺序是从列表的底部向上。如果出现冲突，最后应用的策略优先。

4.单击"新建"创建一个策略，并为其指定有实际意义的名称，如"域策略"。

注意：单击"选项"按钮可配置"禁止替代"设置。"禁止替代"是为每个单独的策略配置的，而不是为整个容器；"阻止策略继承"则是为整个容器配置的。如果"禁止替代"和"阻止策略继承"设置发生冲突，"禁止替代"设置优先。要配置"阻止策略继承"，请选中 OU 属性中的复选框。

组策略可自动更新，但为了立即启动更新过程，可在命令提示符下使用下面的 GPUpdate 命令：GPUpdate /force

向"用户权限分配"添加安全组

1.依次单击"开始"、"管理工具"、"Active Directory 用户和计算机"，打开"Active Directory 用户和计算机"。

2.突出显示相关 OU(如"成员服务器")，单击"操作"菜单，选择"属性"。

3.单击"组策略"选项卡，选择相关策略(如"成员服务器基准策略")，然后单击"编辑"。

4.在"组策略对象编辑器"中，依次展开"计算机配置"、"Windows 设置"、"安全设置"、"本地策略"，然后突出显示"用户权限分配"。

5.在右侧窗格中，右键单击相关用户权限。

6.选中"定义这些策略设置"复选框，单击"添加用户和组"修改该列表。

7.单击"确定"。

将安全模板导入组策略

下列步骤显示了如何向组策略导入安全模板。

导入安全模板

1.依次单击"开始"、"管理工具"、"Active Directory 用户和计算机"，打开"Active Directory 用户和计算机"。

2.突出显示相关域或 OU，单击"操作"菜单，选择"属性"。

3.选择"组策略"选项卡。

4.突出显示相关策略，单击"编辑"。

5.依次展开"计算机配置"、"Windows 设置"，然后突出显示"安全设置"。

6.单击"操作"菜单，选择"导入策略"。

7.导航到 Security GuideJob Aids，选择相关模板，单击"打开"。

8.在"组策略对象编辑器"中，单击"文件"菜单，选择"退出"。

9.在容器属性中，单击"确定"。

使用"安全配置和分析"

下列步骤显示了如何使用"安全配置和分析"来导入、分析和应用安全模板。

导入安全模板

1.依次单击"开始"、"运行"。在"打开"文本框中键入 mmc，然后单击"确定"。

2.在 Microsoft 管理控制台中，单击"文件"，选择"添加/删除管理单元"。

3.单击"添加"，突出显示列表中的"安全配置和分析"。

4.依次单击"添加"、"关闭"、"确定"。

5.突出显示"安全配置和分析"，单击"操作"菜单，选择"打开数据库"。

6.键入新的`数据库名称(如 Bastion Host)，单击"打开"。

7.在"导入模板"界面中，导航到 Security GuideJob Aids，选择相关模板。单击"打开"。

分析导入的模板并与当前设置比较

1.突出显示 Microsoft 管理单元中的"安全配置和分析"，单击"操作"菜单，并选择"立即分析计算机"。

2.单击"确定"，接受默认的"错误日志文件路径"。

3.完成分析后，展开节点标题对结果进行研究。

应用安全模板

1.突出显示 Microsoft 管理单元中的"安全配置和分析"，单击"操作"菜单，选择"立即配置计算机"。

2.单击"确定"，接受默认的"错误日志文件路径"。

3.在 Microsoft 管理控制台，单击"文件"，然后选择"退出"关闭"安全配置和分析"。