【正文】 Windows Server 2008最終賦予企業(yè)期待已久的功能：成功地匹配了用戶的能力和權(quán)限。對(duì)于php和cgi，推薦使用isapi方式解析，用exe解析對(duì)安全和性能有所影響。設(shè)置為發(fā)送文本錯(cuò)誤信息。如果一旦發(fā)生入侵事件可對(duì)該用戶站點(diǎn)所在目錄設(shè)置具體的權(quán)限，圖片所在的目錄只給予列目錄的權(quán)限，程序所在目錄如果不需要生成文件（如生成html的程序）不給予寫入權(quán)限。但不推薦該方法。對(duì)于這樣的設(shè)置結(jié)合上面的權(quán)限設(shè)置，你會(huì)發(fā)現(xiàn)海陽(yáng)木馬已經(jīng)在這里失去了作用！PHP的安全設(shè)置：默認(rèn)安裝的php需要有以下幾個(gè)注意的問(wèn)題：C:\winnt\?？梢詾閙ysql設(shè)置一個(gè)啟動(dòng)用戶，該用戶只對(duì)mysql目錄有權(quán)限。修改servu的banner信息，設(shè)置被動(dòng)模式端口范圍（4001—4003）在本地服務(wù)器中設(shè)置中做好相關(guān)安全設(shè)置：包括檢查匿名密碼，禁用反超時(shí)調(diào)度，攔截“FTP bounce”攻擊和FXP，對(duì)于在30秒內(nèi)連接超過(guò)3次的用戶攔截10分鐘。建立一個(gè)FTP根目錄，需要給予這個(gè)用戶該目錄完全控制權(quán)限，因?yàn)樗械膄tp用戶上傳，刪除，更改文件都是繼承了該用戶的權(quán)限，否則無(wú)法操作文件。數(shù)據(jù)庫(kù)服務(wù)器的安全設(shè)置對(duì)于專用的MSSQL數(shù)據(jù)庫(kù)服務(wù)器，按照上文所講的設(shè)置TCP/IP篩選和IP策略，對(duì)外只開(kāi)放1433和5631端口。 例外情況是master和 tempdb 數(shù)據(jù)庫(kù),因?yàn)閷?duì)他們guest帳戶是必需的。Web專用網(wǎng)站服務(wù)器的安全設(shè)置(2)來(lái)源：中國(guó)紅盟 時(shí)間：20101226 10:52:00 點(diǎn)擊：3 今日評(píng)論：0 條第二部分 入侵檢測(cè)和數(shù)據(jù)備份 入侵檢測(cè)工作作為服務(wù)器的日常管理，入侵檢測(cè)是一項(xiàng)非常重要的工作，在平常的檢測(cè)過(guò)程中，主要包含日常的服務(wù)器安全例行檢查和遭到入侵時(shí)的入侵檢查，也就是分為在入侵進(jìn)行時(shí)的安全檢查和在入侵前后的安全檢查。查看是否有CPU和內(nèi)存占用過(guò)高等異常情況。通常的后門如果有進(jìn)程的話，一般會(huì)取一個(gè)與系統(tǒng)進(jìn)程類似的名稱，此時(shí)要仔細(xì)辨別[通常迷惑手段是變字母o為數(shù)字0，變字母l為數(shù)字1。打開(kāi)計(jì)算機(jī)管理==》軟件環(huán)境==》正在運(yùn)行任務(wù)在（此處可以查看進(jìn)程管理器中看不到的隱藏進(jìn)程），查看當(dāng)前運(yùn)行的程序，如果有不明程序，記錄下該程序的位置，打開(kāi)任務(wù)管理器結(jié)束該進(jìn)程，對(duì)于采用了守護(hù)進(jìn)程的后門等程序可嘗試結(jié)束進(jìn)程樹(shù)，如仍然無(wú)法結(jié)束，在注冊(cè)表中搜索該程序名，刪除掉相關(guān)鍵值，切換到安全模式下刪除掉相關(guān)的程序文件。如果無(wú)法確定該執(zhí)行文件是否是系統(tǒng)內(nèi)正常文件并且沒(méi)有其他正常開(kāi)放服務(wù)依存在該服務(wù)上，可暫時(shí)停止掉該服務(wù)，然后測(cè)試下各種應(yīng)用是否正常。對(duì)于出現(xiàn)的錯(cuò)誤如能在服務(wù)器常見(jiàn)故障排除中找到解決辦法則依照該辦法處理該問(wèn)題，如果無(wú)解決辦法則記錄下該問(wèn)題，詳細(xì)記錄下事件來(lái)源、ID號(hào)和具體描述信息，以便找到問(wèn)題解決的辦法。必要時(shí)可運(yùn)行一次殺毒程序?qū)ο到y(tǒng)盤進(jìn)行一次掃描處理。需要查看的目錄有c:。c:winntsystem32inetsrvdata。10．檢查啟動(dòng)項(xiàng)主要檢查當(dāng)前的開(kāi)機(jī)自啟動(dòng)程序。如情況嚴(yán)重建議采用實(shí)地處理。以下處理措施針對(duì)用戶站點(diǎn)被入侵但未危及系統(tǒng)的情況，如果用戶要求加強(qiáng)自己站點(diǎn)的安全性，可按如下方式加固用戶站點(diǎn)的安全：站點(diǎn)根目錄只給administrator讀取權(quán)限，權(quán)限繼承下去。高級(jí)里面沒(méi)有刪除子文件夾和文件權(quán)限如需要進(jìn)一步修改，可針對(duì)用戶站點(diǎn)的特性對(duì)于普通文件存放目錄如html、js、圖片文件夾只給讀取權(quán)限，對(duì)asp等腳本文件給予上表中的權(quán)限。3． 確保備份數(shù)據(jù)的安全，并分類放置這些數(shù)據(jù)備份。Web專用網(wǎng)站服務(wù)器的安全設(shè)置(3)來(lái)源：中國(guó)紅盟 時(shí)間：20101226 10:54:00 點(diǎn)擊：2 今日評(píng)論：0 條第三部分　服務(wù)器性能優(yōu)化 服務(wù)器性能優(yōu)化系統(tǒng)性能優(yōu)化整理系統(tǒng)空間: 刪除系統(tǒng)備份文件，刪除驅(qū)動(dòng)備份，刪除不用的輸入法，刪除系統(tǒng)的幫助文件，卸載不常用的組件。一般來(lái)說(shuō)此值最小應(yīng)設(shè)為服務(wù)器內(nèi)存的10%。在這種情況下系統(tǒng)的性能可能會(huì)降低。保持HTTP連接。如果使用Ultra2的SCSI硬盤，可以顯著提高IIS的性能。然后定期運(yùn)行磁盤碎片整理程序以保證在存儲(chǔ)Web服務(wù)器數(shù)據(jù)的分區(qū)中沒(méi)有碎片。HTTP壓縮采用通用的壓縮算法如gzip等壓縮HTML、JavaScript或CSS文件。出現(xiàn)這種錯(cuò)誤可以通過(guò)卸載殺毒軟件解決，在命令行下運(yùn)行：regsvr32 和regsvr32 。那十有八九是服務(wù)器系統(tǒng)中的ASP相關(guān)組件出現(xiàn)了問(wèn)題，重新啟動(dòng)IIS服務(wù)，嘗試是否可以解決該問(wèn)題，無(wú)法解決重新啟動(dòng)系統(tǒng)嘗試是否可解決該問(wèn)題，如無(wú)法解決可重新修復(fù)一下ASP組件：首先刪除組件中的關(guān)于IIS的三個(gè)東西，需要先將屬性里的高級(jí)中“禁止刪除”的勾選取消。4．MySQL服務(wù)無(wú)法啟動(dòng)【錯(cuò)誤代碼1067】的解決方法啟動(dòng)MySQL服務(wù)時(shí)都會(huì)在中途報(bào)錯(cuò)！內(nèi)容為：在 本地計(jì)算機(jī) 無(wú)法啟動(dòng)MySQL服務(wù) 錯(cuò)誤1067：進(jìn)程意外中止。查看任務(wù)管理器，管理員在這種情況下，只好重新啟動(dòng)IIS服務(wù)，奇怪的是，重新啟動(dòng)IIS服務(wù)后一切正常，但可能過(guò)了一段時(shí)間后，問(wèn)題又再次出現(xiàn)了。如果還不行，只有新建一個(gè)ACCESS數(shù)據(jù)庫(kù)，再?gòu)脑瓉?lái)的數(shù)據(jù)庫(kù)中導(dǎo)入所有表和記錄。請(qǐng)和你的支持人員聯(lián)系以獲得幫助” ，提示：“指定的服務(wù)已存在”。您發(fā)表的問(wèn)題不代表本站觀點(diǎn)。對(duì)于沒(méi)有啟動(dòng)起來(lái)或服務(wù)未能及時(shí)恢復(fù)的情況要采取相應(yīng)措施。如需要使用一些工具進(jìn)行檢查，可直接在e:tools中查找到相關(guān)工具。3．服務(wù)器的數(shù)據(jù)備份工作，每服務(wù)器至少保證每月備份一次系統(tǒng)數(shù)據(jù)，系統(tǒng)備份采用ghost方式，對(duì)于ghost文件固定存放在e:ghost文件目錄下，文件名以備份的日期命名，每服務(wù)器至少保證每?jī)芍軅浞菀淮螒?yīng)用程序數(shù)據(jù)，每服務(wù)器至少保證每月備份一次用戶數(shù)據(jù)，備份的數(shù)據(jù)固定存放在e:databak文件夾，針對(duì)各種數(shù)據(jù)再建立對(duì)應(yīng)的子文件夾，如servu用戶數(shù)據(jù)放在該文件夾下的servu文件夾下，iis站點(diǎn)數(shù)據(jù)存放在該文件夾下的iis文件夾下。所有的日志文件統(tǒng)一保存在e:logs下，應(yīng)用程序日志保存在e:logsapp中，系統(tǒng)程序日志保存在e:logssys中，安全日志保存在e:logssec中。6．服務(wù)器的補(bǔ)丁修補(bǔ)、應(yīng)用程序更新工作，對(duì)于新出的漏洞補(bǔ)丁，應(yīng)用程序方面的安全更新一定要在發(fā)現(xiàn)的第一時(shí)間給每服務(wù)器打上應(yīng)用程序的補(bǔ)丁。8．不定時(shí)的相關(guān)工作，每服務(wù)器由于應(yīng)用軟件更改或其他某原因需要安裝新的應(yīng)用程序或卸載應(yīng)用程序等操作必須知會(huì)所有管理員。對(duì)于數(shù)據(jù)備份、服務(wù)器定時(shí)重啟等操作建議將服務(wù)器分組，例如分成四組，每月的周六晚備份一組服務(wù)器的數(shù)據(jù)，每周的某一天定時(shí)去重啟一組的服務(wù)器，這樣對(duì)于工作的開(kāi)展比較方便，這些屬于固定性的工作。2．努力提高自身水平，加強(qiáng)學(xué)習(xí)。本文將著重介紹三種工具，您可以單獨(dú)或配合使用這些工具來(lái)管理服務(wù)器上的安全策略： 服務(wù)器安全策略管理能夠確保在各種服務(wù)器配置隨著時(shí)間發(fā)生變化時(shí)其安全設(shè)置仍為最新的設(shè)置。 為不包含在服務(wù)器管理器中的新應(yīng)用程序角色或服務(wù)器角色創(chuàng)建策略。卻可以使用安全策略管理工具進(jìn)行這些更改。將根據(jù)所在組織的規(guī)模、安全要求以及修改服務(wù)器配置的頻率來(lái)確定要使用哪些工具來(lái)保護(hù)服務(wù)器的安全。您可以在以下情形下使用 SCW 創(chuàng)建并應(yīng)用服務(wù)器的安全策略： 在更改未通過(guò)服務(wù)器管理器安裝的組件配置時(shí)，需要使用 SCW 更新服務(wù)器的安全策略。 SCW 具有一個(gè)組織可用來(lái)創(chuàng)建新角色的公共架構(gòu)。還可以將使用“安全模板”管理單元?jiǎng)?chuàng)建的自定義安全模板并入到 SCW 策略中。使用安全模板創(chuàng)建自定義策略在配置 Windows Server 2008 時(shí)，將自動(dòng)應(yīng)用符合大多數(shù)組織安全要求的策略。 您可以使用“安全模板”管理單元，為計(jì)算機(jī)或網(wǎng)絡(luò)創(chuàng)建安全策略。 本地策略：審核策略、用戶權(quán)限分配和安全選項(xiàng) 受限組：安全敏感組的成員 注冊(cè)表：注冊(cè)表項(xiàng)的權(quán)限 將模板導(dǎo)入到基于角色的 SCW 策略中，并將其應(yīng)用到一臺(tái)或多臺(tái)計(jì)算機(jī)中。有關(guān)使用“安全模板”管理單元的信息，請(qǐng)參閱分析和配置安全性。創(chuàng)建 GPO 后，可以使用組策略管理控制臺(tái) (GPMC) 將 GPO 鏈接到目標(biāo)組織單位 (OU)。通過(guò)常規(guī)分析可確保每臺(tái)計(jì)算機(jī)都具有其相應(yīng)的安全級(jí)別，以作為企業(yè)風(fēng)險(xiǎn)管理計(jì)劃的一部分。您仍然可以使用此管理單元分析和配置本地計(jì)算機(jī)的安全。您可以解決分析暴露出來(lái)的任何差異，并使用導(dǎo)入的模板直接配置本地系統(tǒng)的安全。可以將服務(wù)器的當(dāng)前安全設(shè)置與服務(wù)器配置的最新設(shè)置進(jìn)行比較。安全策略循序漸近指南：創(chuàng)建和部署基于角色的策略更新時(shí)間: 2008年5月應(yīng)用到: Windows Server 2008在 Windows Server174。方案概述影響多臺(tái)計(jì)算機(jī)的設(shè)置、配置或行為的任何技術(shù)的安全使用要求在部署之前進(jìn)行規(guī)劃。當(dāng)您繼續(xù)此方案時(shí)，將執(zhí)行以下任務(wù)： 使用 SCW 和 Scwcmd 命令行工具將此安全策略應(yīng)用于目標(biāo)計(jì)算機(jī)。建立策略原型在 SCW 上下文中，“建立策略原型”意味著在原型計(jì)算機(jī)上為具有相同角色的一組服務(wù)器創(chuàng)建一個(gè)安全策略。SCWSCW 將指導(dǎo)您完成根據(jù)使用服務(wù)器管理器配置的服務(wù)器角色創(chuàng)建、編輯、應(yīng)用或回滾安全策略的過(guò)程。可以使用 Scwcmd 來(lái)執(zhí)行以下任務(wù)： 針對(duì) SCW 生成的策略分析一臺(tái)或多臺(tái)服務(wù)器。 使用 SCW 注冊(cè)安全配置數(shù)據(jù)庫(kù)擴(kuò)展。 將安全策略應(yīng)用于一臺(tái)或多臺(tái)遠(yuǎn)程服務(wù)器。安全配置數(shù)據(jù)庫(kù)安全配置數(shù)據(jù)庫(kù)由一組 XML 文檔組成，這些文檔列出 SCW 支持的每個(gè)服務(wù)器角色所需的服務(wù)和端口?？梢酝ㄟ^(guò)為非 Microsoft 應(yīng)用程序創(chuàng)建自定義角色定義擴(kuò)展安全配置數(shù)據(jù)庫(kù)。此部分回顧了這些選項(xiàng)以及它們?nèi)绾斡绊憫?yīng)用于安全設(shè)置的優(yōu)先規(guī)則。組策略管理控制臺(tái)組策略管理控制臺(tái) (GPMC) 已集成到 Windows Server 2008 操作系統(tǒng)中。安全模板除了使用 SCW 創(chuàng)建安全策略之外，還可以使用 SCW 通過(guò)安全模板應(yīng)用安全設(shè)置。例如，SCW 包含任何安全模板中不包含的防火墻設(shè)置。有關(guān)使用“安全模板”的詳細(xì)信息，請(qǐng)參閱“如何使用安全模板”()（可能為英文網(wǎng)頁(yè)）。 如果將多個(gè)安全模板附加到 .xml 文件，則在 SCW 的“包括安全模板”對(duì)話框中在列表較高位置列出的模板優(yōu)先于出現(xiàn)在較低位置的模板。同樣，當(dāng)使用服務(wù)器管理器刪除任何特定角色時(shí)，會(huì)修改服務(wù)器的服務(wù)和防火墻配置，以幫助確保服務(wù)器的配置仍然安全并且其他服務(wù)器角色的操作不會(huì)受到影響。SCW 能夠更詳細(xì)的控制服務(wù)器的受攻擊面，并且可以幫助您根據(jù)組織的安全需要保護(hù)服務(wù)器的安全，防止攻擊。這種功能簡(jiǎn)化了網(wǎng)絡(luò)強(qiáng)化的管理。創(chuàng)建和應(yīng)用安全策略的最佳操作SCW 通過(guò)創(chuàng)建專為特定角色設(shè)計(jì)的安全策略，幫助減少服務(wù)器的受攻擊面。 在服務(wù)級(jí)別配置目標(biāo)服務(wù)器之后，建立原型服務(wù)器的模型。將安全策略應(yīng)用于其他服務(wù)器時(shí)，DCOM Server Process Launcher 服務(wù)將在其他服務(wù)器上被禁用。為了簡(jiǎn)化策略分發(fā)，將執(zhí)行相同功能且具有相同配置的服務(wù)器分組在一個(gè) OU 中。 為一組服務(wù)器創(chuàng)建一個(gè)策略。一個(gè)包含特定類型服務(wù)器所需的所有安全設(shè)置的安全策略也可以簡(jiǎn)化配置、回滾和分析。對(duì)于特定于 64 位版本軟件的服務(wù)或端口，在 64 位計(jì)算機(jī)上創(chuàng)建策略。 部署之前脫機(jī)測(cè)試新的安全策略。此方案的要求SCW 的所有組件都自動(dòng)隨 Windows Server 2008 一起安裝，您可以在“服務(wù)器管理器”或“管理工具”中訪問(wèn) SCW。 SCW 禁用不需要的服務(wù)并提供對(duì)“高級(jí)安全 Windows 防火墻”的支持。安全模板包含的安全設(shè)置要多于可以使用 SCW 設(shè)置的安全設(shè)置。 可以使用組策略來(lái)部署使用 SCW 創(chuàng)建的安全策略。可以通過(guò)服務(wù)器管理器安裝角色特定的組件。 若要開(kāi)始此方案，您需要：重要事項(xiàng)目標(biāo)計(jì)算機(jī)的配置必須與原型服務(wù)器的配置相匹配。 一個(gè) Active Directory 服務(wù)器 OU 結(jié)構(gòu)，其中一個(gè) OU 中的服務(wù)器具有相同配置，包括代表您的生產(chǎn)環(huán)境的操作系統(tǒng)、角色和功能以及應(yīng)用程序。步驟 1：創(chuàng)建原型安全策略該過(guò)程指導(dǎo)您完成一個(gè)簡(jiǎn)單策略的創(chuàng)建過(guò)程，其中不會(huì)對(duì)默認(rèn)選擇進(jìn)行更改。在“選擇服務(wù)器”頁(yè)上，鍵入原型服務(wù)器的名稱，然后單擊“下一步”。在“基于角色的服務(wù)配置”頁(yè)上，單擊“下一步”。在“選擇其他服務(wù)”頁(yè)上，確保向?qū)z測(cè)到并選擇原型服務(wù)器上所需的所有服務(wù)，然后單擊“下一步”。這些服務(wù)也可能在以后安裝在所選服務(wù)器上。在“網(wǎng)絡(luò)安全規(guī)則”頁(yè)上，確保 SCW 檢測(cè)到它將用來(lái)配置“高級(jí)安全 Windows 防火墻”的適當(dāng)端口和應(yīng)用程序，然后單擊“下一步”。 在“保存安全策略”頁(yè)上，單擊“下一步”。但是，SCW 允許您指定任何位置。步驟 2：將安全策略應(yīng)用到服務(wù)器對(duì)于此步驟，將首先使用向?qū)⒉呗詰?yīng)用于本地計(jì)算機(jī)。在“配置操作”頁(yè)上，單擊“應(yīng)用現(xiàn)有安全策略”，然后單擊“下一步”。可以單擊“查看安全策略”首先驗(yàn)證所有策略設(shè)置。在 %windir%\Security\ 中有一個(gè)示例文件。使用 Scwcmd 命令行工具分析并查看安全策略的步驟在命令提示符下，鍵入：scwcmd analyze /m: Machine /p: /o: Resultdir使用要分析的計(jì)算機(jī)名稱替換 Machine，使用用于執(zhí)行分析的安全策略的文件名替換 ，使用分析結(jié)果文件的所在位置替換 Resultdir。步驟 4：以 GPO 格式保存安全策略當(dāng)希望使用組策略將 SCW 安全策略應(yīng)用于 Active Directory 環(huán)境中的多臺(tái)服務(wù)器時(shí)，可使用此步驟。GPOName 是您在本地組策略編輯器中或 GPMC 中查看時(shí)，GPO 將顯示的名稱。 Windows Server 2008 安全指南 ()（可能為英文網(wǎng)頁(yè)） “擴(kuò)展安全配置向?qū)А?) (Windows Server 2003)（可能為英文網(wǎng)頁(yè)）其他盤類推。