2022年WEB服务器硬件配置实施专业技术方案.docx

WEB 服务器硬件配置方案一、入门级常规服务器硬配置方案：硬件名称基本参数数量参考价CPU奔腾 E2160 系列， LPGA 封装，双核，工作功率65W ，核心电压1.25V, 主频 1800MHZ ，总线频率 800MHZ ，倍频 9，外频 200MHZ ，128M 一级缓存， 1M 二级缓存，指令集 MMX/SSE/SSE2/SSE3/Sup-SSE3/EM64T1￥ 460内存Kingston DDRII 667 1G,采纳 PBGA 封，频率 667MHZ1￥ 135采纳 Intel P965/ICH8 芯片组，集成Realtek ALC 662 声卡芯片，适用主板Core2 Extreme/Core 2 Quad/Core 2 Duo/ 奔腾 4/ 赛扬 D/PentiumD 系列处理器；前端总线频率FSB 1066MHz台式机 硬盘容量 :160GB 转速/分:7200 转/分 缓存（ KB ）:8000KB 接口1￥ 599硬盘类型:Serial ATA 接口速率 :Serial ATA 3001￥ 380机箱机箱类型 :金河田飓风 II 机箱样式 :立式 机箱结构 :Micro ATX/ATX 3.5英寸仓位 :1 个软驱仓位 +6 个硬盘仓位 光驱仓位 :4 个 产品电源 :金河田1￥ 230355WB 3C光驱选配，一般 DVD 光驱1-热器类型 :CPU 散热器 散热方式 :风冷 风扇转数（ RPM） :2200 轴承类散热器型:合金轴承 适用范畴 :Intel LGA775 Conroe 、PentiumD、Pentium4Celeron D 全系列 最大风量 CFM:43CFM1￥ 60UPSUPS 电源类型 :后备式 UPS 额定输出容量 :0.5kva1￥ 200稳压器选配1-显示器一般显示器1-鼠标键盘一般 PS 键盘和鼠标1￥ 100备注：作为 WEB 服务器，第一要保证不间断电源，机房要掌握好相对温度和湿度；这里有额外配置的 UPS 不间断电源和稳压器，此服务器配置能胜基本的WEB 恳求服务，如大量的数据交换，文件读写，可能会存在带宽瓶颈；二、顶级服务器配置方案硬件名称基本参数采纳 DELL PowerEdge 2900XeonCPU内存PowerEdge 2900 CPU 频率 1600MHZ ，标配 2 个 Xeon E5310 处理器，8M 缓存；FB-DIMM ，2GB ，最大可配置 48GBE5310/2GB/146GB 配置主板Inter 5000X 系列， FSB 总线频率 4066MHZ ， 6 个扩展槽；集成 ATIES1000 掌握器 ,含 16MB SDRAMSAS 结构， 146GB 容量；标配内置硬盘托架支持多达8 块 3.5"SAS 或硬盘SATA 热插拔硬盘；支持两个半高HH 驱动器托架供应磁带或光驱设备可选 CD-ROM 、可选 DVD-ROM 或一体化 CD-RW/DVD-ROM）网卡双嵌入式 Broadcom NetXtreme II 5708 千兆以太网卡机箱478.9 ×226.6 ×674.3mm标准接口2 个 RJ-45支持内置 1GB NIC 后置、 1 个串口后置、 6 个通用串行总线USB 2.0 端口两个前置、 4 个后置 、2 个视频 1 个前置、 1 个后置 散热器6 个+2 个热插拔冗余风扇 6 个标配,外加每个电源1 个风扇 治理工具OpenManage、标配主板治理掌握器 ,含 IMPI 2.0 支持、可选 DRAC 5/i的先进功能备注：1， 系统支持 Windows Server 2003 R2 Enterprise Edition 、Windows Server 2003 R2 Web Edition 、Windows Server 2003 R2 x64 Enterprise Edition 、Windows Server 2003 R2 x64 Standard Edition 、Windows Storage Server 2003 R2 Workgroup Edition2， 工作环境：相对工作温度10 -35 ，相对工作湿度 20%-80% 无冷凝，相对储备温度 -40 -65，相对湿度5%-95% 无冷凝3， 以上配置为统一硬件配置，为DELL 系列服务器标准配置，参考价位￥13000WEB 服务器软件配置和安全配置方案一、系统的安装、依据 Windows2003 安装光盘的提示安装，默认情形下2003 没有把IIS6.0 安装在系统里面；、IIS6.0的安装开 始 菜 单 >控 制 面 板 > 添 加 或 删 除 程 序 > 添 加 /删 除Windows组 件应用程序 ASP.NET（可选）|启用网络COM+访问（必选）| Internet信 息 服 务 IIS Internet信 息 服 务 管 理 器 （ 必 选 ）| 公 用 文 件 （ 必 选 ）| 万 维 网 服 务 ActiveServer pages（ 必 选 ）| Internet 数 据 连接 器 （ 可 选 ）| WebDAV发 布 （ 可 选 ）| 万 维 网 服 务 （ 必 选 ）| 在服务器端的包含文件（可选）然后点击确点击定 >下一步安装；、系统补丁的更新开始菜单 >所有程序>WindowsUpdate按照提示进行补丁的安装；、备份系统用GHOST备份系统；、安装常用的软件例如：杀毒软件、解压缩软件等；安装之后用GHOST 再次备份系统； 二、系统权限的设置、磁盘权限系 统 盘及 所有 磁盘 只给Administrators组和SYSTEM的 完全 控 制 权限系 统 盘 DocumentsandSettings目 录 只 给Administrators组 和SYSTEM的 完 全 控 制 权 限组 和SYSTEM的 完 全 控 制 权 限组 和SYSTEM的 完 全 控 制 权 限系 统 盘 Documents and SettingsAllUsers 目 录 只 给Administrators系 统 盘 Inetpub 目 录 及 下 面 所 有 目 录 、 文 件 只 给 Administrators系统盘 WindowsSystem32cacls.exe 、cmd.exe、net.exe、net1.exe 文件只给 Administrators 组和 SYSTEM 的完全控制权限、本地安全策略设置开始菜单>管理工具 >本地安全策略A、本地策略 >审核策略审核策略更改成功失败审核登录事件成功失败审审核对核象过访程问跟踪无失审败核审核目录服务访问失败审核特权使用失败审核系统事件成功失败审核账户登录事件成功失败功失 败B、本 地有Administrators组、拒绝登陆：加审 核 账 户 管 理成关闭系统：只 通过终端服务策 略 > 用 户 权 限 分 配其它全部删除；入Guests、User组通 过 终端 服务允 许登 陆 ： 只 加入 Administrators组， 其他 全 部删 除C 、 本 地策 略 > 安 全 选项交互式登网络访问网络访问启用的匿名枚举启用储存凭证启用陆 ： 不 显 示 上 次 的 用 户 名： 不 允 许SAM帐 户 和 共 享： 不 允 许 为 网 络 身 份 验 证网络访问：可匿名访问的共享全部删除网络访问：可匿名访问的命全部删除网络访问：可远程访问的注册表路径全部删除网络访问：可远程访问的注册表路径和子路径全部删除帐 户 ： 重 命 名来宾帐户重命名 一 个帐户帐 户 ： 重 命 名 系 统 管 理 员 帐 户重 命 名 一 个 帐 户 、 禁 用 不 必 要 的 服 务开始菜单 >管理工具>服务PrintSpoolerRemoteRegistryTCP/IPNetBIOSHelper Server以上是在 Windows Server 2003 系统上面默认启动的服务中禁用的，默认禁用的服务如没特殊需要的话不要启动；、启用防火墙桌面>网上邻居 >（右键）属性 >本地连接 >（右键）属性 >高级>（选中） Internet 连接防火墙 >设置把服务器上面要用到的服务端口选中例 如 ： 一 台 WEB服 务 器 ， 要 提 供 WEB （ 80 ） 、 FTP （ 21 ） 服 务 及 远 程 桌 面 管 理 （ 3389 ） 在 “FTP 服 务 器 ” 、 “WEB服 务 器 （ HTTP） ” 、 “ 远 程 桌 面 ” 前 面 打 上 对 号假如你要供应服务的端口不在里面，你也可以点击“添加 ”铵钮来添加，具体参数可以参照系统里面原有的参数；然后点击确定；留意：假如是远程治理这台服务器，请先确定远程治理的端口是否选中或添加；三、 Windows 2003 安全配置 确保全部磁盘分区为NTFS 分区 操作系统、 Web 主目录、日志分别安装在不同的分区 不要安装不需要的协议，比如IPX/SPX, NetBIOS. 不要安装其它任何操作系统 安装全部补丁（用瑞星安全漏洞扫描下载） 关闭全部不需要的服务* Alerter disable* ClipBook Server disable* Computer Browser disable* DHCP Client disable* Directory Replicator disable* FTP publishing service disable* License Logging Service disable* Messenger disable* Netlogon disable* Network DDE disable* Network DDE DSDM disable* Network Monitor disable* Plug and Play disable after all hardware configuration* Remote Access Server disable* Remote Procedure Call RPC locater disable* Schedule disable* Server disable* Simple Services disable* Spooler disable* TCP/IP Netbios Helper disable* Telephone Service disable . 帐号和密码策略1） 保证禁止 guest 帐号2） 将 administrator 改名为比较难猜的帐号3） 密码唯独性：记录上次的6 个密码4） 最短密码期限： 25） 密码最长期限： 426） 最短密码长度： 87） 密码复杂化 passfilt.dll ：启用8） 用户必需登录方能更换密码：启用9） 帐号失败登录锁定的时限：610） 锁定后重新启用的时间间隔：720 分钟爱护文件和目录将 C:winnt, C:winntconfig, C:winntsystem32, C:winntsystem等目录的拜访权限做限制，限制everyone 的写权限，限制 users 组的读写权限注册表一些条目的修改1） 去除 logon 对话框中的 shutdown 按钮将 HKEY_LOCAL_MACHINESOFTWARE中ShutdownWithoutLogon REG_SZ值设为 0 2） 去除 logon 信息的 cashing 功能将 HKEY_LOCAL_MACHINESOFTWARE中CachedLogonsCount REG_SZ 值设为 0 4）限制 LSA 匿名拜访将 HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlLSA中RestriCanonymous REG_DWORD值设为 1 5） 去除全部网络共享将 HKEY_LOCAL_MACHINESYSTEM中AutoShareServer REG_DWORD值设为 0四、 IIS 的安全配置 关闭并删除默认站点： 默认 FTP 站点默认 Web 站点治理 Web 站点 建立自己的站点，与系统不在一个分区，如D:wwwroot3 建立 E:Logfiles目录，以后建立站点时的日志文件均位于此目录，确保此目录上的拜访掌握权限是：Administrators （完全掌握） System（完全掌握） 删除 IIS 的部分目录：IISHelp C:winnthelpiishelpIISAdmin C:system32inetsrviisadminMSADC C:Program FilesCommon FilesSystemmsadc删除 C:inetpub . 删除不必要的 IIS 映射和扩展：IIS 被预先配置为支持常用的文件名扩展如.asp 和 .shtm 文件； IIS 接收到这些类型的文件恳求时，该调用由 DLL 处理；假如您不使用其中的某些扩展或功能，就应删除该映射，步骤如下：挑选运算机名，点鼠标右键，挑选属性： 然后挑选编辑然后挑选主目录， 点击配置挑选扩展名和，点击删除假如不使用 server side include，就删除 .shtm .stm 和 .shtml . 禁用父路径 :“父路径”选项答应您在对诸如MapPath 函数调用中使用“.”；在默认情形下，该选项处于启用状态，应当禁用它；禁用该选项的步骤如下：右键单击该 Web 站点的根，然后从上下文菜单中挑选“属性”；单击“主目录”选项卡；单击“配置”；单击“应用程序选项”选项卡； 取消挑选“启用父路径”复选框； . 在虚拟目录上设置拜访掌握权限主页使用的文件依据文件类型应使用不同的拜访掌握列表：CGI .exe, .dll, .cmd, .pl Everyone XAdministrators （完全掌握）System（完全掌握） 脚本文件 .asp Everyone XAdministrators （完全掌握）System（完全掌握）include 文件 .inc, .shtm, .shtml Everyone XAdministrators （完全掌握）System（完全掌握）静态内容 .txt, .gif, .jpg, .html Everyone RAdministrators （完全掌握）System（完全掌握）在创建Web 站点时，没有必要在每个文件上设置拜访掌握权限，应当为每个文件类型创建一个新目录，然后在每个目录上设置拜访掌握权限、答应拜访掌握权限传给各个文件；例如，目录结构可为以下形式： D:wwwrootmyserverstatic .html D:wwwrootmyserverinclude .inc D:wwwrootmyserver script .asp D:wwwrootmyserver executable .dll D:wwwrootmyserverimages .gif, .jpeg . 启用日志记录确定服务器是否被攻击时，日志记录是极其重要的；应使用 W3C 扩展日志记录格式，步骤如下：打开 Internet 服务治理器：右键单击站点，然后从上下文菜单中挑选“属性”；单击“ Web 站点”选项卡；选中“启用日志记录”复选框；从“活动日志格式”下拉列表中挑选“W3C 扩展日志文件格式”；单击“属性”；单击“扩展属性”选项卡，然后设置以下属性：* 客户 IP 地址* 用户名* 方法* URI 资源* HTTP 状态* Win32 状态* 用户代理* 服务器 IP 地址* 服务器端口五、删除 Windows Server 2003 默认共享 和禁用 IPC 连接IPC$Internet Process Connection 是共享“命名管道”的资源，它是为了让进程间通信而开放的命名管道，通过供应可信任的用户名和口令，连接双方运算机即可以建立安全的通道并以此通道进行加密数据的交换，从而实现对远程运算机的拜访；它是Windows NT/2000/XP/2003特有的功能， 但它有一个特点，即在同一时间内，两个IP 之间只答应建立一个连接；NT/2000/XP/2003在供应了ipc$ 功能的同时，在初次安装系统时仍打开了默认共享，即全部的规律共享c$,d$,e$ 和系统目录 winnt 或 windowsadmin$ 共享；全部的这些，微软的初衷都是为了便利治理员的治理，但也为简称为 IPC 入侵者有意或无意的供应了便利条件，导致了系统安全性能的降低；在建立IPC 的连接中不需要任何黑客工具，在命令行里键入相应的命令就可以了，不过有个前提条件，那就是你需要知道远程主机的用户名和密码；打开CMD后输入如下命令即可进行连接：net useipipc$ password/user:usernqme；我们可以通过修改注册表来禁用IPC 连接；打开注册表编辑器；找到如下组建HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlLsa中的 restrictanonymous 子键，将其值改为 1 即可禁用 IPC 连接六、清空远程可拜访的注册表路径大家都知道， Windows 2003 操作系统供应了注册表的远程拜访功能，只有将远程可拜访的注册表路径设置为空，这样才能有效的防止黑客利用扫描器通过远程注册表读取运算机的系统信息及其它信息.打开组策略编辑器，依次绽开“运算机配置Windows 设置安全设置本地策略安全选项”， 在右侧窗口中找到“网络拜访：可远程拜访的注册表路径”，然后在打开的窗口中，将可远程拜访的注册表路径和子路径内容全部设置为空即可（如图7）；七、关闭不必要的端口对于个人用户来说安装中默认的有些端口的确是没有什么必要的，关掉端口也就是关闭无用的服务； 139 端口是 NetBIOS 协议所使用的端口，在安装了TCP/IP 协议的同时， NetBIOS也会被作为默认设置安装到系统中；139 端口的开放意味着硬盘可能会在网络中共享；网上黑客也可通过NetBIOS 知道你的电脑中的一切！在以前的Windows 版本中，只要担心装Microsoft网络的文件和打印共享协议，就可关闭139 端口；但在 Windows Server 2003 中，只这样做是不行的；假如想彻底关闭 139 端口，具体步骤如下：鼠标右键单击“网络邻居”，挑选“属性”，进入“网络和拨号连接”，再用鼠标右键单击“本地连接”，挑选“属性”，打开“本地连接属性”页（如图 8），然后去掉“ Microsoft 网络的文件和打印共享”前面的“”（如图9），接下来选中“ Internet 协议 TCP/IP ”，单击“属性”“高级”“WINS ”，把“禁用 TCP/IP 上的 NetBIOS ”选中，即任务完成 如图 10！对于个人用户来说，可以在各项服务属性设置中设为“禁用”，以免下次重启服务也重新启动，端口也开放了；假如你的电脑中仍装了IIS，你最好重新设置一下端口过滤；步骤如下：挑选网卡属性，然后双击“ Internet 协议 TCP/IP ”，在显现的窗口中单击“高级”按钮，会进入“高级TCP/IP 设置” 窗口，接下来挑选“选项”标签下的“TCP/IP 挑选”项，点“属性”按钮，会来到“TCP/IP 挑选”的窗口，在该窗口的“启用TCP/IP 挑选 全部适配器 ”前面打上“”，然后依据需要配置就可以了；假如你只准备浏览网页，就只开放TCP 端口 80 即可，所以可以在“ TCP 端口”上方挑选“只答应”，然后单击“添加”按钮，输入80 再单击“确定”即可八、杜绝非法拜访应用程序Windows Server 2003 是一种服务器操作系统，为了防止登陆到其中的用户，随便启动服务器中的应用程序，给服务器的正常运行带来不必要的麻烦，我们很有必要依据不同用户的拜访权限，来限制；他们去调用应用程序；实际上我们只要使用组策略编辑器作进一步的设置，即可实现这一目的，具体步骤如下：打开“组策略编辑器”的方法为：依次点击“开头运行”，在“运行”对话框中键入 “ gpedit.msc ”命令并回车，即可打开“组策略编辑器”窗口；然后依次打开“组策略掌握台用户配置治理模板系统”中的“只运行许可的应用程序”并启用此策略.然后点击下面的“答应的应用程序列表”边的“显示”按钮，弹出一个“显示内容”对话框，在此单击“添加”按钮来添加答应运行的应用程序即可九、设置和治理账户1、系统治理员账户最好少建，更换默认的治理员帐户名Administrator 和描述，密码最好采纳数字加大小写字母加数字的上档键组合，长度最好不少于14 位；2、新建一个名为Administrator的陷阱帐号，为其设置最小的权限，然后任凭输入组合的最好不低于 20 位的密码3、将Guest 账户禁用并更换名称和描述，然后输入一个复杂的密码，当然现在也有一个DelGuest 的工具，或许你也可以利用它来删除Guest 账户，但我没有试过；4、在运行中输入gpedit.msc 回车，打开组策略编辑器，挑选运算机配置-Windows 设置-安全设置-账户策略 -账户锁定策略，将账户设为“三次登陆无效”，“锁定时时间间隔60 分钟”，“复位锁定计数设为 30 分钟”；5、在安全设置-本地策略-安全选项中将“不显示上次的用户名”设为启用6、在安全设置-本地策略-用户权益安排中将“从网络拜访此运算机”中只保留Internet来宾账户、启动 IIS 进程账户；假如你使用了A 仍要保留 Aspnet 账户；7、创建一个 User 账户，运行系统，假如要运行特权命令使用 Runas 命令；十、网络服务安全治理1、禁止 C$、D$ 、ADMIN$ 一类的缺省共享2、 解除 NetBios 与 TCP/IP 协议的绑定3、关闭不需要的服务，以下为建议选项Computer Browser: 爱护网络运算机更新，禁用Distributed File System:局域网治理共享文件，不需要禁用 Distributed linktracking client：用于局域网更新连接信息，不需要禁用Error reporting service ：禁止发送错误报告Microsoft Serch ：供应快速的单词搜寻，不需要可禁用NTLMSecuritysupportprovide： telnet 服务和 Microsoft Serch 用的，不需要禁用PrintSpooler ：假如没有打印机可禁用Remote Registry ：禁止远程修改注册表Remote Desktop Help Session Manager ：禁止远程帮助十一、打开相应的审核策略在运行中输入 gpedit.msc 回车，打开组策略编辑器，挑选运算机配置 -Windows 设置 -安全设置 -审核策略在创建审核工程时需要留意的是假如审核的工程太多，生成的大事也就越多，那么要想发觉严峻的大事也越难当然假如审核的太少也会影响你发觉严峻的大事，你需要依据情形在这二者之间做出挑选；举荐的要审核的工程是：登录大事 胜利失败账户登录大事胜利 失败系统大事 胜利失败策略更换 胜利失败对象拜访 失败目录服务拜访失败特权使用 失败十二、其它安全相关设置1、隐匿重要文件 /目录2、启动系统自带的Internet 连接防火墙，在设置服务选项中勾选Web 服务器；3、防止 SYN 洪水攻击4. 禁止响应 ICMP 路由通告报文5. 防止 ICMP 重定向报文的攻击6. 不支持 IGMP 协议7、禁用 DCOM ：十三、配置 IIS 服务：1、不使用默认的 Web 站点，假如使用也要将将 IIS 目录与系统磁盘分开；2、删除 IIS 默认创建的 Inetpub 目录（在安装系统的盘上）；3 、删除系统盘下的虚拟目录，如：_vti_bin 、 IISSamples 、 Scripts 、 IIShelp 、 IISAdmin 、IIShelp 、MSADC ；4、删除不必要的 IIS 扩展名映射；右键单击“默认Web 站点属性主目录配置”，打开应用程序窗口，去掉不必要的应用程序映射；主要为.shtml, .shtm, .stm5、更换 IIS 日志的路径右键单击“默认 Web 站点属性 -网站 -在启用日志记录下点击属性6、假如使用的是 2000 可以使用 iislockdown 来爱护 IIS ，在 2003 运行的 IE6.0 的版本不需要；7、使用 UrlScan但 如 果 你 在 服 务 器 运 行ASP.NET程 序 ， 并 要 进 行 调 试 你 需 打 开要%WINDIR%System32InetsrvURLscan文件夹中的 URLScan.ini文件，然后在 UserAllowVerbs 节添加 debug 谓词，留意此节是区分大小写的；假如你的网页是 .asp网页你需要在DenyExtensions 删除.asp 相关的内容；假如你的网页使用了非ASCII 代码，你需要在 Option 节中将 AllowHighBitCharacters的值设为1在对 URLScan.ini文件做了更换后，你需要重启IIS 服务才能生效，快速方法运行中输入iisreset假如你在配置后显现什么问题，你可以通过添加/删除程序删除UrlScan ；8、利用 WIS Web Injection Scanner 工具对整个网站进行SQL Injection 脆弱性扫描 .十四、配置 Sql 服务器1、System Administrators 角色最好不要超过两个2、假如是在本机最好将身份验证配置为Win 登陆3、不要使用 Sa账户，为其配置一个超级复杂的密码4、删除以下的扩展储备过程格式为： use mastersp_dropextendedproc '扩展储备过程名 ' xp_cmdshell：是进入操作系统的正确捷径，删除拜访注册表的储备过程，删除Xp_regaddmultistringXp_regdeletekeyXp_regdeletevalueXp_regenumvalues Xp_regreadXp_regwriteXp_regremovemultistringOLE 自动储备过程，不需要删除Sp_OACreateSp_OADestroySp_OAGetErrorInfoSp_OAGetProperty Sp_OAMethodSp_OASetPropertySp_OAStop5、隐匿 SQL Server、更换默认的1433 端口右击实例选属性 -常规 -网络配置中挑选TCP/IP 协议的属性，挑选隐匿SQL Server 实例，并改原默认的 1433 端口；十五、假如只做服务器，不进行其它操作，使用IPSec1、治理工具本地安全策略右击IP 安全策略治理IP 挑选器表和挑选器操作在治理IP挑选器表选项下点击添加名称设为 Web 挑选器点击添加在描述中输入Web 服务器将源地址设为任何IP 地址将目标地址设为我的IP 地址协议类型设为Tcp IP 协议端口第一项设为从任意端口， 其次项到此端口 80点击完成点击确定；2、再在治理 IP 挑选器表选项下点击添加名称设为全部入站挑选器点击添加在描述中输入全部入站挑选将源地址设为任何IP 地址将目标地址设为我的IP 地址协议类型设为任意点击下一步完成点击确定；3、在治理挑选器操作选项下点击添加下一步名称中输入阻挡下一步挑选阻挡下一步完成关闭治理IP 挑选器表和挑选器操作窗口4、右击 IP 安全策略创建IP 安全策略下一步名称输入数据包挑选器下一步取消默认激活响应原就下一步完成5、在打开的新IP 安全策略属性窗口挑选添加下一步不指定隧道下一步全部网络连接下一步在IP 挑选器列表中挑选新建的Web 挑选器下一步在挑选器操作中挑选许可下一步完成在IP 挑选器列表中挑选新建的阻挡挑选器下一步在挑选器操作中挑选阻挡下一步完成确定6、在 IP 安全策略的右边窗口中右击新建的数据包挑选器，点击指派，不需要重启，IPSec 就可生效 .十七、如何配置一台牢固安全的win2003 服务器1) 确定你要用它来干什么，需要开什么服务，什么是不必要的，没用地就别装像 Index 什么的 ， 不必要的服务全都可以关掉；在掌握面版 =>治理 =>工具中，自己看着办，如下服务是肯定要禁止的： Remote Registry ServiceRunAs Service Task Scheduler Telnet Windows Time其他不必要的服务可以设为手动方式；SNMP Service 和 SNMP Trap Service 最好也关掉，要用的话，把治理公共字改掉；2) 打补丁；确定你打上了 Win2k SP2 ；3IIS 配置；1，在 IIS 治理器中，去处全部不必要的扩展关联基本上除了 ASP/ASA等几个必要的和CGI 之类的外，其他都可以去掉 有可能的话，可以安装一个SecureIIS，仍是有肯定成效的；2，校验 ftp 权限，差不多就自己看着办吧，不要被人家tag 就可以了 _*4) MSSQL ；第一，记得肯定要加一个难记得密码，不然就什么都完了；然后记得升级 SQL 7.0 SP2 和 SQL 2k SP1.5) Terminal Server ；打了 SP2 基本就没太大问题，只要你的系统不是没密码.高级部分：1) 类防火墙限制；这需要我们打开 MS 的 IPSEC 服务，然后挑选 网络设置 =>网络界面 属性 => TCP/IP => 高级 =>选项简洁一点的话，就用TCP/IP 挑选，确定指开放那些端口，比如80， 1433 等等惋惜开放 ftp 服务的话，常常会乱开端口的，难以确定 ；要求高级的话，自己定义一个IPSEC 策略，可以精确的过滤例如某种ICMP 类型等等 可以做到水泄不通哦，不要到时候你自己也进不去了就好_*2) NetBIOS 设置；历史以来， netbios 是仅次于 IIS 的 winnt 安全问题最多的服务，简直就是后门打开；至少做这样一条设置：注册表编辑Local_Machine System CurrentControlSet Control LSA-RestrictAnonymous = 1可以禁止 IPC$空用户连接，防止信息泄漏和其他更严峻的安全问题；3Term