当前位置: 首页 > 图文教程 > 服务器 > Windows服务器 > WIN2003服务器安全配置终极技巧(2)

Windows服务器
win2003 3389手工修改方法
windows2003 shtml支持设置方法
由于这台计算机没有终端服务器客户端访问许可证,远程会话被中断
Microsoft VBScript 运行时错误 错误 ''800a0046'' 没有权限
win2003 sp2 iis 上传文件不能超过200K的解决方案
win7 iis7.5 乱码 和 解析不了ASP的ADO连接数据库 的解决方法
让IIS支持Flv的详细设置方法
Win2003 服务器安全配置技巧
win2003 服务器安全设置教程(权限+防火墙)
win2003 服务器 安全设置 技术实例(比较安全的方法)
windows 服务器 目录 安全详细设置(PJblog 博客)
WinRAR 任务计划 免费定时备份
Windows7 apache启动失败的解决方法
Windows服务器SNMP服务的配置方法
Windows2008 AHCI功能开启方法(提升硬盘加速)
Windows2003 MSSQL 安全设置教程
IIS 服务器 防范攻击3条安全设置技巧
win2003 administrator 内置系统管理员账号名称修改方法
IP策略实现服务器禁止Ping
有史以来最好的windows 虚拟主机安全配置

Windows服务器 中的 WIN2003服务器安全配置终极技巧(2)


出处:互联网   整理: 软晨网(RuanChen.com)   发布: 2009-10-18   浏览: 55 ::
收藏到网摘: n/a

 这里我们按照所需要的服务开放响应的端口。在2003系统里,不推荐用TCP/IP筛选里的端口过滤功能,譬如在使用FTP服务器的时候,如果仅仅只开放21端口,由于FTP协议的特殊性,在进行FTP传输的时候,由于FTP 特有的Port模式和Passive模式,在进行数据传输的时候,需要动态的打开高端口,所以在使用TCP/IP过滤的情况下,经常会出现连接上后无法列出目录和数据传输的问题。所以在2003系统上增加的windows连接防火墙能很好的解决这个问题,所以都不推荐使用网卡的TCP/IP过滤功能。

SERV-U FTP 服务器的设置:

一般来说,不推荐使用srev-u做ftp服务器,主要是漏洞出现的太频繁了,但是也正是因为其操作简单,功能强大,过于流行,关注的人也多,才被发掘出bug来,换做其他的ftp服务器软件也一样不见得安全到哪儿去。

当然,这里也有款功能跟serv-u同样强大,比较安全的ftp软件:Ability FTP Server

下载地址:http://www.315safe.com/showarticle.asp?NewsID=4096

设置也很简单,不过我们这里还是要迎合大众胃口,说说关于serv-u的安全设置。

首先,6.0比从前5.x版本的多了个修改本地LocalAdministrtaor的密码功能,其实在5.x版本里可以用ultraedit-32等编辑器修改serv-u程序体进行修改密码端口,6.0修补了这个隐患,单独拿出来方便了大家。不过修改了管理密码的serv-u是一样有安全隐患的,两个月前臭要饭的就写了新的采用本地sniff方法获取serv-u的管理密码的exploit,正在网上火卖着,不过这种sniff的方法,同样是在获得webshell的条件后还得有个能在目录里有"执行"的权限,并且需要管理员再次登陆运行serv-u administrator的时候才能成功。所以我们的管理员要尽量避上以上几点因素,也是可以防护的。

 

另外serv-u的几点常规安全需要设置下:

选中"Block "FTP_bounce"attack and FXP"。什么是FXP呢?通常,当使用FTP协议进行文件传输时,客户端首先向FTP服务器发出一个"PORT"命令,该命令中包含此用户的IP地址和将被用来进行数据传输的端口号,服务器收到后,利用命令所提供的用户地址信息建立与用户的连接。大多数情况下,上述过程不会出现任何问题,但当客户端是一名恶意用户时,可能会通过在PORT命令中加入特定的地址信息,使FTP服务器与其它非客户端的机器建立连接。虽然这名恶意用户可能本身无权直接访问某一特定机器,但是如果FTP服务器有权访问该机器的话,那么恶意用户就可以通过FTP服务器作为中介,仍然能够最终实现与目标服务器的连接。这就是FXP,也称跨服务器攻击。选中后就可以防止发生此种情况。

 

另外在"Block anti time-out schemes"也可以选中。其次,在"Advanced"选项卡中,检查 "Enable security"是否被选中,如果没有,选择它们。

 

IIS的安全:

删掉c:/inetpub目录,删除iis不必要的映射

首先是每一个web站点使用单独的IIS用户,譬如这里,新建立了一个名为www.315safe.com ,权限为guest的。