解决Win2003 IIS无法访问到FLV文件
今天为客户网站添加在线视频(FLV格式)播放功能结果试了好多次均无发加载到视频,以为地址出错了,进入服务器,看看路径没问题……直接访问flv文件,汗死,浏览器提示404……
百度一番,终于找到问题:由于windows server 2003上并没有.FLV的这种mime-type类型,需要手工添加。
解决方法:
1、打开Internet 信息服务(IIS)管理器;
2、右击选择属性->MIME 类型->MIME 类型
3、打开MIME 类型->点“新建”;
4、输入扩展名:.flv MIME 类型:flv-application/octet-stream ;
5、确定-确定-确定;
6、在CMD种->iisreset。
测试发现可以正常播放FLV视频了。
注:以上操作可以对单独的站点进行,不过MIME 类型设置部分在HTTP 头中设置。
服务器基本安全配置
服务器基本安全配置 1.用户安全 (1)运行lusrmgr.msc,重命名原Administrator用户为自定义一定长度的名字,并新建同名 Administrator普通用户,设置超长密码去除所有隶属用户组。 (2)运行gpedit.msc——计算机配置—安全设置—账户策略—密码策略 启动密码复杂性要求,设置密码最小长度、密码最长使用期限,定期修改密码保证服务器账户的密码安全。 (3)运行gpedit.msc——计算机配置—安全设置—账户策略—账户锁定策略 启动账户锁定,设置单用户多次登录错误锁定策略,具体设置参照要求设置。
(4)运行gpedit.msc——计算机配置—安全设置—本地策略—安全选项 交互式登录:不显示上次的用户名;——启动 交互式登录:回话锁定时显示用户信息;——不显示用户信息 (5)运行gpedit.msc——计算机配置—安全设置—本地策略—安全选项 网络访问:可匿名访问的共享;——清空 网络访问:可匿名访问的命名管道;——清空 网络访问:可远程访问的注册表路径;——清空 网络访问:可远程访问的注册表路径和子路径;——清空 (6)运行gpedit.msc——计算机配置—安全设置—本地策略 通过终端服务拒绝登陆——加入一下用户(****代表计算机名)ASPNET Guest IUSR_***** IWAM_***** NETWORK SERVICE SQLDebugger 注:用户添加查找如下图:
(7)运行gpedit.msc——计算机配置—安全设置—本地策略—策略审核 即系统日志记录的审核消息,方便我们检查服务器的账户安全,推荐设置如下: (8)
AWS服务器配置部署手册
A W S服务器配置部署手 册 Company Document number:WTUT-WT88Y-W8BBGB-BWYTT-19998
aws服务器配置部署手册 一、实例的启动(创建) 1.什么是实例 在所有工作之前,我们来看一看什么是AmazonEC2.根据其官方文档的解释如下: 在知道什么是AmazonEC2,之后我们就可以开始我们的工作了。 AmazonEC2提供不同的实例类型,以便可以选择需要的CPU、内存、存储和网络容量来运行应用程序。登录帐号,进入EC2的控制面板,启动实例。 2.实例的相关配置 根据我们的需求选择MicrosoftWindowsServer2012R2Base,。 其他过程直接选择默认配置,点击配置安全组。 默认的安全组只有一个规则,这条规则对应的是远程桌面连接的端口。但是只有这条规则是不够的,为了方便我们之后服务器的配置以及网站的部署,我们得添加其他的规则,下图是我配置帕累托后台所用的安全组。(有关安全组端口作用在附件中有部分说明,详见附件1) 完成相关工作之后,点击审核和启动,会跳出如下页面,这一步很重要!因为在这创建的密钥对,以后都会用到。 在保存好密钥对之后就可以启动实例了。 3.绑定弹性IP 在导航栏中找到弹性IP,点击分配新地址。创建好之后右击,选择关联地址,将其关联到我们的实例上。
二、服务器的配置 1.远程桌面连接 实例在创建完成之后,就要配置服务器了。在配置服务器时,需要通过远程桌面连接进入实例进行配置。 首先查看我们实例的安全组有没有配置远程连接的端口,如果没有进行添加配置(导航栏中找到安全组,点击进入)。 若实例需要添加安全组,在安全组创建之后可以右击实例更改安全组进行安全组的绑定。 在完成端口的开放之后,就可以进行远程桌面连接了。右击我们的实例,点击连接,跳出如下画面。 首先通过之前保存的密钥对获取密码,然后通过下载的远程桌面文件和解密得到的密码进行连接。 2.服务器配置之添加角色和功能 进入后点击开始按钮,选择服务器管理器(实例中默认的服务器只有一个,我们的工作只需要一个,所以暂不做添加修改。) 点击第二项添加角色和功能,一路下一步,直到服务器和角色页面,勾选Web 服务器(IIS)选项(根据个人需求进行相关筛选), 在功能页面同样勾选需要的功能,最后确认并安装。 3.服务器配置之防火墙配置 在服务器配置中还有一个非常重要的步骤——防火墙的配置。之前因为没有对防火墙进行相关配置,导致本人焦头烂额,始终无法从外部网络连接至服务器。
2003服务器安全配置教程
WEB+FTP+Email服务器安全配置手册 作者:阿里西西 2006-8-11
目录第一章:硬件环境 第二章:软件环境 第三章:系统端口安全配置 第四章:系统帐户及安全策略配置 第五章:IIS和WEB站点文件夹权限配置第六章:FTP服务器安全权限配置 第七章:Email服务器安全权限配置 第八章:远程管理软件配置 第九章:其它安全配置建议 第十章:篇后语
一、硬件环境 服务器采用1U规格的机架式托管主机,大概配置为Nocona2.8G/1G DDR2/160G*2SATA 硬盘/双网卡/光驱软驱/3*USB2.0。 二、软件环境 操作系统:Windows Server 2003 Enterprise Edition sp1 WEB系统:Win操作系统自带IIS6,支持.NET 邮件系统:MDaemon 8.02英文版 FTP服务器系统:Serv-U 6.0.2汉化版 防火墙: BlackICE Server Protection,中文名:黑冰 杀毒软件:NOD32 2.5 远程管理控件:Symantec pcAnywhere11.5+Win系统自带的MSTSC 数据库:MSSQL2000企业版 相关支持组件:JMail 4.4专业版,带POP3接口;ASPJPEG图片组件 相关软件:X-SCAN安全检测扫描软件;ACCESS;EditPlus [相关说明] *考虑服务器数据安全,把160G*2硬盘做成了阵列,实际可用容易也就只有一百多G了。 *硬盘分区均为NTFS分区;NTFS比FAT分区多了安全控制功能,可以对不同的文件夹设置不同的访问权限,安全性增强。操作系统安装完后,第一时间安装NOD32杀毒软件,装完后在线更新病毒库,接着在线Update操作系统安全补丁。 *安装完系统更新后,运行X-SCAN进行安全扫描,扫描完后查看安全报告,根据安全报告做出相应的安全策略调整即可。 *出于安全考虑把MSTSC远程桌面的默认端口进行更改。
web服务器的安全配置(以windows为例)
6、先关闭不需要的端口开启防火墙导入IPSEC策略 在” 网络连接”里,把不需要的协议和服务都删掉,这里只安装了基本的Internet协议(TCP/IP),由于要控制带宽流量服务,额外安装了Qos数据包计划程序。在高级tcp/ip设置里--"NetBIOS"设置"禁用tcp/IP上的NetBIOS(S)"。在高级选项里,使用"Internet连接防火墙",这是windows 2003 自带的防火墙,在2000系统里没有的功能,虽然没什么功能,但可以屏蔽端口,这样已经基本达到了一个IPSec 的功能。 然后点击确定—>下一步安装。(具体见本文附件1) 3、系统补丁的更新 点击开始菜单—>所有程序—>Windows Update 按照提示进行补丁的安装。 4、备份系统 用GHOST备份系统。 5、安装常用的软件 例如:杀毒软件、解压缩软件等;安装完毕后,配置杀毒软件,扫描系统漏洞,安装之后用GHOST再次备份
修改3389远程连接端口 修改注册表. 开始--运行--regedit 依次展开HKEY_LOCAL_MACHINE/SYSTEM/CURRENTCONTROLSET/CONTROL/ TERMINAL SERVER/WDS/RDPWD/TDS/TCP 右边键值中PortNumber 改为你想用的端口号.注意使用十进制(例10000 ) HKEY_LOCAL_MACHINE/SYSTEM/CURRENTCONTROLSET/CONTROL/TERMINAL SERVER/ WINSTATIONS/RDP-TCP/ 右边键值中PortNumber 改为你想用的端口号.注意使用十进制(例10000 )
服务器硬件配置和服务器安全配置信息(全能)
WEB 服务器硬件配置方案 一、入门级常规服务器硬配置方案: 备注:作为WEB服务器,首先要保证不间断电源,机房要控制好相对温度和湿度。这里有额外配置的UPS不间断电源和稳压器,此服务器配置能胜基本的WEB请求服务,如大量的数据交换,文件读写,可能会存在带宽瓶颈。 二、顶级服务器配置方案
备注: 1,系统支持Windows Server 2003 R2 Enterprise Edition、Windows Server 2003 R2 Web Edition、Windows Server 2003 R2 x64 Enterprise Edition、Windows Server 2003 R2 x64 Standard Edition、Windows Storage Server 2003 R2 Workgroup Edition 2,工作环境:相对工作温度10℃-35℃,相对工作湿度20%-80% 无冷凝,相对存储温度-40℃-65℃,相对湿度5%-95% 无冷凝 3,以上配置为统一硬件配置,为DELL系列服务器标准配置,参考价位¥13000 WEB 服务器软件配置和安全配置方案 一、系统的安装 1、按照Windows2003安装光盘的提示安装,默认情况下2003没有把IIS6.0安装在系统里面。 2、IIS6.0的安装 开始菜单—>控制面板—>添加或删除程序—>添加/删除Windows组件 应用程序———https://www.360docs.net/doc/2713631396.html,(可选) |——启用网络COM+ 访问(必选)
|——Internet 信息服务(IIS)———Internet 信息服务管理器(必选) |——公用文件(必选) |——万维网服务———Active Server pages(必选) |——Internet 数据连接器(可选) |——WebDAV 发布(可选) |——万维网服务(必选) |——在服务器端的包含文件(可选) 然后点击确定—>下一步安装。 3、系统补丁的更新 点击开始菜单—>所有程序—>Windows Update 按照提示进行补丁的安装。 4、备份系统 用GHOST备份系统。 5、安装常用的软件 例如:杀毒软件、解压缩软件等;安装之后用GHOST再次备份系统。 二、系统权限的设置 1、磁盘权限 系统盘及所有磁盘只给Administrators 组和SYSTEM 的完全控制权限 系统盘\Documents and Settings 目录只给Administrators 组和SYSTEM 的完全控制权限 系统盘\Documents and Settings\All Users 目录只给Administrators 组和SYSTEM 的完全控制权限 系统盘\Inetpub 目录及下面所有目录、文件只给Administrators 组和SYSTEM 的完全控制权限 系统盘\Windows\System32\cacls.exe、cmd.exe、net.exe、net1.exe 文件只给Administrators 组和SYSTEM 的完全控制权限 2、本地安全策略设置 开始菜单—>管理工具—>本地安全策略 A、本地策略——>审核策略 审核策略更改成功失败 审核登录事件成功失败 审核对象访问失败 审核过程跟踪无审核 审核目录服务访问失败 审核特权使用失败 审核系统事件成功失败 审核账户登录事件成功失败 审核账户管理成功失败 B、本地策略——>用户权限分配 关闭系统:只有Administrators组、其它全部删除。 通过终端服务拒绝登陆:加入Guests、User组 通过终端服务允许登陆:只加入Administrators组,其他全部删除 C、本地策略——>安全选项 交互式登陆:不显示上次的用户名启用 网络访问:不允许SAM帐户和共享的匿名枚举启用 网络访问:不允许为网络身份验证储存凭证启用 网络访问:可匿名访问的共享全部删除
明御安全网关快速配置手册
目录 防火墙配置一:SNAT配置 (3) 防火墙配置二:DNAT配置 (5) 防火墙配置三:透明模式配置 (10) 防火墙配置四:混合模式配置 (13) 防火墙配置五:DHCP配置 (16) 防火墙配置六:DNS代理配置 (17) 防火墙配置七:DDNS配置 (19) 防火墙配置八:负载均衡配置 (21) 防火墙配置九:源路由配置 (23) 防火墙配置十:双机热备配置 (24) 防火墙配置十一:IP-QoS配置 (27) 防火墙配置十二:应用QoS配置 (30) 防火墙配置十三:Web认证配置 (33) 防火墙配置十四:会话控制配置 (39) 防火墙配置十五:IP-MAC绑定配置 (40) 防火墙配置十六:禁用IM配置 (42) 防火墙配置十七:URL过滤配置 (44) 防火墙配置十八:网页内容过滤配置 (48) 防火墙配置十九:基于路由静态IPSEC配置 (50) 防火墙配置二十:基于路由动态IPSEC配置 (55) 防火墙配置二十一:基于策略静态IPSEC配置 (64) 防火墙配置二十二:SSLVPN配置 (72) 防火墙配置二十三:防病毒配置 (77) 防火墙配置二十四:IPS配置 (81) 防火墙配置二十五:日志服务器配置 (84) 防火墙配置二十六:邮件形式输出日志信息 (86) 防火墙配置二十七:记录上网URL日志配置 (88)
防火墙配置二十八:Web外发信息控制 (89) 防火墙配置二十九:配置管理及恢复出厂 (92)
防火墙配置一:SNAT配置 一、网络拓扑 二、需求描述 配置防火墙使内网192.168.1.0/24网段可以访问internet 三、配置步骤 第一步:配置接口首先通过防火墙默认eth0接口地址192.168.1.1登录到防火墙界面进行接口的配置,通过Webui登录防火墙界面如下: 输入缺省用户名admin,密码adminadmin后点击登录,配置外网接口地址
中国移动WEB服务器安全配置手册
中国移动WEB服务器安全配置手册文档编号: 项目代号: 中国移动WEB服务器 安全配置手册 Version 1.0 中国移动通信有限公司 二零零四年十二月
拟制: 审核: 批准: 会签: 标准化:
版本操纵 分发操纵
名目 第1章. 目的6 第2章. 范畴6 第3章. Web服务安全加固原则6 3.1. Web主机平台安全设置6 3.1.1. 主机安全标准加固规范6 3.1.2. 用户权限设置6 3.1.3. 事件日志设置7 3.1. 4. 关闭非必要的服务和程序7 3.2. Web服务安全设置7 3.2.1. Web系统资源爱护7 3.2.2. Web服务权限设置7 3.2.3. Web服务访咨询操纵7 3.2.5. 日志设置8 3.2.6. 去除不必要的服务脚本8 第4章. IIS Web服务安全配置建议 9 4.1. 审核策略设置9 4.2. 用户权限分配9 4.2.1. 拒绝通过网络访咨询该运算机9 4.3. 安全选项10 4.4. 事件日志设置10 4.5. 系统服务10 4.5.1. HTTP SSL 10 4.5.2. IIS Admin 服务11 4.5.3. 万维网公布服务11 4.6. 其它安全设置12 4.6.1. 仅安装必要的IIS 组件 12 4.6.2. 仅启用必要的Web 服务扩展12 4.6.3. 在专用磁盘卷中放置内容13
4.6.4. 设置NTFS 权限14 4.6. 5. 设置IIS Web 站点权限15 4.6.6. 配置IIS 日志16 4.6.7. 向用户权限分配手动添加唯独的安全组17 4.6.8. 爱护众所周知帐户的安全18 4.6.9. 爱护服务帐户的安全19 4.6.10. 用IPSec 过滤器阻断端口19 4.7. 参考材料21 第5章. Apache Web服务安全配置建议22 5.1. 审核策略设置22 5.2. 用户权限分配22 5.2.1. 拒绝通过网络访咨询该运算机22 5.3. 安全选项24 5.3.1. 绝对不要以root 身份执行守护程序24 5.3.2. 次序的规则24 5.3.3. 符号连结25 5.3.4. Apache 下的索引25 5.4. 事件日志设置25 5.5. 系统服务26 5.5.1. HTTP SSL 26 5.6. 其它安全设置29 5.6.1. 升级到最新的版本29 5.6.2. 建立Chroot 环境30 5.7. 参考材料38
服务器安全配置方案
服务器安全配置方案 1.服务器硬件配置 1.1教务软件与数据库分别安装在两台服务器上。 1.2教务软件服务器(windows server2003系统),开放内网、外网。同时只开放80 、 1433端口。 1.3数据库服务器(sql server2008数据库),不开放外网,只允许教务软件服务器访 问。同时只开放1433端口。 2Windows Server 2003服务器安全。 2.1安装网络杀毒软件和网络防火墙(建议:卡巴斯基) 2.2将
WindowsServer2008R2WEB服务器安全设置指南(二)之组策略与用户设置分解
Windows Server 2008 R2 WEB 服务器安全设置指南(二)之组策略与用户设置 通过优化设置组策略、对系统默认的管理员、用户进行重命名、创建陷阱帐户等措施来提高系统安全性。 接上篇,我们已经改好了远程连接端口,已经能拒绝一部份攻击了,但是这些设置还远远不够。在做以下安全时,必须确保你的服务器软件已经全部配置完毕,并且能正常使用,不然如果在安全设置后再安装软件的话,有可能会安装失败或发生其它错误,导致环境配置失败。 密码策略 系统密码的强弱直接关系到系统的安全,如果你的密码太简单,万一你的远程连接端口被扫到,那破解你的密码就是分分钟钟后了。所以,我们的系统密码必须要设置一个符合安全性要求的密码,如使用大小写英文、数字、特殊符号、长度不小于6位等措施来加强密码安全性。在Windows 2008以上系统中,系统提供了一个“密码策略”的设置,我们来设置它,先进入“本地安全策略”,
依次打开"安全设置"-----"帐户策略"-----"密码策略"-----密码必须符合复杂性要求,启用. 审核策略
审核策略的作用就是万一有恶意用户在破解你的密码、登录你的系统,或者修改你的系统等事件,你可以及早发现并处理。 默认都是无审核,我们必须修改它,如下是我修改的审核策略, 己基本能捕捉所需信息,我们只要分析这些产生的日志,就能发现问题所在。用户权限分配 这里主要是限制哪些用户可以使用远程连接登录到服务器,默认是Administrators组和Remote Desktop Users组,这二个组的成员都可以远程登录到服务器,而我们一般作为WEB服务器,用户不会太多,可能就只有一个管理员,所以就没必要指定组,直接指定用户就可以了。
服务器的安全配置
服务器的安全配置 一、操作系统概述 1、目前服务器常用的操作系统 (1)Unix (2)Linux (3)Windows NT/2000/2003 Server 2、Windows 系统 (1)Windows NT(New Technology)是微软公司第一个真正意义上的网络操作系统,发展经过NT3.0、NT40、NT5.0和NT6.0等众多版本,并逐步占据了广大的中小网络操作系统的市场。 (2)Windows NT众多版本的操作系统使用了与Windows 9X完全一致的用户界面和完全相同的操作方法,使用户使用起来比较方便。与Windows 9X 相比,Windows NT的网络功能更加强大并且安全。 3、Windows NT系列操作系统的优点 (1)支持多种网络协议 由于在网络中可能存在多种客户机,如Windows 95/98、Apple Macintosh、Unix、OS/2等等,而这些客户机可能使用了不同的网络协议,如TCP/IP协议、IPX/SPX等。Windows NT系列操作支持几乎所有常见的网络协议。 (2)内置Internet功能 随着Internet的流行和TCP/IP协议组的标准化,Windows NT内置了IIS (Internet Information Server),可以使网络管理员轻松的配置WWW和FTP 等服务。 (3)支持NTFS文件系统 Windows 9X所使用的文件系统是FAT,在NT中内置同时支持FAT和NTFS 的磁盘分区格式。使用NTFS的好处主要是可以提高文件管理的安全性,用户可以对NTFS系统中的任何文件、目录设置权限,这样当多用户同时访问系统的时候,可以增加文件的安全性。 二、常规的操作系统安全配置 1、基本配置原则 (1)物理安全 服务器应该安放在安装了监视器的隔离房间内,并且监视器要保留15天以上的摄像记录。 另外,机箱,键盘,电脑桌抽屉要上锁,以确保旁人即使进入房间也无法使用电脑,钥匙要放在安全的地方。 (2)停止Guest帐号 在计算机管理的用户里面把Guest帐号停用,任何时候都不允许Guest 帐号登陆系统。为了保险起见,最好给Guest 加一个复杂的密码,可以打开记事本,在里面输入一串包含特殊字符,数字,字母的长字符串。用它作为Guest帐号的密码。并且修改Guest帐号的属性,设置拒绝远程访问。(3)限制用户数量 去掉所有的测试帐户、共享帐号和普通部门帐号等等。用户组策略设置相应权限,并且经常检查系统的帐户,删除已经不使用的帐户。帐户很多是
服务器基本安全策略配置
windows服务器安全策略设置 为加强windows服务器的安全性,针对windows服务器运行的程序和服务,制定相关安全策略。 一、服务器基本情况 二、计算机安全策略配置 (一)修改远程桌面端口:将默认端口XXX修改为XXX。 (二)帐户:对系统管理员默认帐户administrator进行重命名,停用 guest用户。 (三)开启windows防火墙: 取消网络连接中的文件和打印共享。 在例外里面添加远程桌面端口XXX。 在防火墙高级设置时勾选Web 服务和安全的Web服务。 在防火墙开放FTP端口XX。 开放短信发送平台端口:XXX (四)禁用无关服务。 Print spooler 打印服务 Wireless configuration 无线服务 Routing and Remote Access 在局域网以及广域网环境中为企业提供路由服务。 NTLMSecuritysupportprovide:telnet服务和Microsoft Serch 服务使用。 Telnet 允许远程用户登录到此计算机并运行程序。 Remote Desktop Help Session Manager:远程协助服务。 Error Reporting Service 收集、存储和向 Microsoft 报告异常应用程序。 Remote Registry 远程注册表操作。 (五)禁止IPC空连接:打开注册表,找到 Local_Machine\System\CurrentControlSet\Control\LSA-RestrictAnonymo us 把这个值改成”1”即可。 (六)删除默认共享:打开注册表,找到 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanSer ver\Parameters,新建AutoShareServer类型是REG_DWORD把值改为 0。 (七)策略配置 1.组策略配置:gpedit—>计算机配置—>windows设置—>安全设置—> 本地策略。 在用户权利分配下,从通过网络访问此计算机中删除Power Users和Backup Operators; 启用不允许匿名访问SAM帐号和共享; 启用不允许为网络验证存储凭据或Passport;
服务器安全管理办法
服务器安全管理办法 第一章总则 第一条为本网站正常运行,特制定本管理办法。 第二章日常管理 第二条服务器由维护组人员进行管理并授权与建站服务相关的人员使用,明确各自服务器的用途、应用范围及使用对象,并对整个系统资源进行合理的规划。 第三条服务器管理员和服务器使用人员应遵守服务器安装工作流程,从系统划分、安全设置等方面规范管理工作。 第四条系统管理员负责各自服务器的日常管理和维护,主要有:用户帐户的管理、网络管理、数据库管理、服务器系统运行状态的监控、以及各应用系统使用资源情况统计,并合理地分配系统资源。 第五条服务器使用员负责对自己上传的网站或文件进行日常的管理和维护,主要有文件的更新,修改,网站及网站相关的文件和代码安全和漏洞的检查和管理,病毒和木马的清除。 第六条为确保系统安全性、可靠性及文件、数据的一致性和完整性,必须对系统进行备份工作。管理员根据各自服务器的情况,制定出相应的备份及恢复策略,定期进行备份。 第七条系统管理员要深入了解系统的工作原理,不断提高系统的管理水平。在系统出现一般性的故障或错误时,能及时予以排除;而出现重大问题时,可通过系统的恢复等手段加以解决。 第八条系统管理员对负责的服务器应提供详细的文档,包括系统安装、各种软件的安装、开关机步骤及安全的设置等信息。 第九条应加强系统安全的管理和研究,提高系统的安全性。 第十条系统管理员和相关使用人员建立系统维护管理手册,对自己所做的各项工作要有详细的记录。如: 1.系统问题的发现,原因分析,解决方案,管理的改进; 2.建立“任务申请表”制度,使管理工作有案可查、有章可寻;
3.系统的备份日期、内容、类别、操作者等; 4.系统及软件的安装或版本升级,要有时间和内容的详细记录; 4.网站的新增、修改、删除,数据库的各种操作。 第十一条系统管理员必须定期更改服务器帐号,特别是超级用户的管理密码,建议每月的1-5日将各自管理的服务器帐号进行更新。 第三章工作权责 服务器上的维护内容有如下几点: ●操作系统安装与配置,服务器安全设置,补丁更新,系统安全检测 ●WEB服务(IIS)安装与配置,ASP/ASPX网站配置,数据库(MSSQL)安装与配置●主站网站维护(网站) ●网站服务器维护(所有建站服务器及正在运行VPS) ●虚拟空间网站维护 ●服务器代码备份,数据备份 ●服务器软件检测(FTP、虚拟网卡、网站所需组件) ●服务器用户账号管理 ●DNS的搭建与配置 ●服务器盘符目录设定及约束 第四章权责明细 一.权限范围: ?服务器的安全检测 ?保证服务器上各软件的运行情况 ?DNS服务器的正常运行 ?服务器安全设置、系统补丁的更新。 ?服务器所需组件的安装及添加 ?监控服务器中各网站的运行情况 ?保证邮件服务器的正常运行 ?服务器盘符目录设定及约束 ?对VPS的监控及分配
TongWeb 服务器安全配置基线
TongWeb服务器安全配置基线
备注: 1.若此文档需要日后更新,请创建人填写版本控制表格,否则删除版本控制表格。
目录 第1章概述 (1) 1.1目的 (1) 1.2适用范围 (1) 1.3适用版本 (1) 1.4实施 (1) 1.5例外条款 (1) 第2章账号管理、认证授权 (1) 2.1帐号 (1) 2.1.1应用帐号分配 (1) 2.1.2用户口令设置 (2) 2.1.3用户帐号删除 (3) 2.2认证授权 (4) 2.2.1控制台安全 (4) 第3章日志配置操作 (6) 3.1日志配置 (6) 3.1.1日志与记录 (6) 第4章备份容错 (8) 4.1备份容错 (8) 第5章IP协议安全配置 (9) 5.1IP通信安全协议 (9) 第6章设备其他配置操作 (11) 6.1安全管理 (11) 6.1.1禁止应用程序可显 (11) 6.1.2端口设置* (12) 6.1.3错误页面处理 (13) 第7章评审与修订 (15)
第1章概述 1.1 目的 本文档旨在指导系统管理人员进行TongWeb服务器的安全配置。 1.2 适用范围 本配置标准的使用者包括:服务器系统管理员、应用管理员、网络安全管理员。 1.3 适用版本 5.x版本的TongWeb服务器。 1.4 实施 1.5 例外条款 第2章账号管理、认证授权 2.1 帐号 2.1.1应用帐号分配
说明信使用的账号共享。 检测操作步 启动tongweb的控制台,选择列表中的安全域,点击管理用户,如图操作:骤 点击新建,建立用户账号,如图操作: 修改用户直接点击用户名,进行修改,如图: 基线符合性 1、判定条件 判定依据 各账号都可以登录TongWeb服务器为正常。 2、检测操作 访问http://ip:8080/twns管理页面,进行TongWeb服务器配置找安全服务下的 安全域即可。 备注 2.1.2用户口令设置 安全基线项 TongWeb用户口令设置安全基线要求项 目名称
通信公司DNS服务器安全配置手册
密级: 文档编号: 项目代号: A移动DNS服务器安全配置手册 A移动通信有限公司
拟制: 审核: 批准: 会签: 标准化:
版本控制 分发控制
1.1 区域传输 (6) 1.2 版本发现 (6) 1.3 DoS攻击 (6) 1.4 缓存破坏(cache poisoning) (7) 1.5 缓冲区溢出 (7) 1.6 其他攻击技术 (7) 2 现有的DNS攻击防范措施 (8) 2.1 限制区域传输 (8) 2.2 限制版本欺骗 (8) 2.3 减轻DoS所造成的损失 (8) 2.4 防御缓存破坏 (8) 2.5 防御缓冲区溢出 (9) 2.6 应用Bogon过滤 (9) 2.7 Split DNS (9) 2.8 用路由器和防火墙做DNS的安全防护 (9) 3 BIND安全配置 (10) 3.1 配置环境: (10) 3.2 启动安全选项 (10) 3.3 配置文件中的安全选项 (10) 3.3.1 安全日志文件 (11) 3.3.2 隐藏版本信息 (11) 3.3.3 禁止DNS域名递归查询 (11) 3.3.4 增加出站查询请求的ID值的随机性 (12) 3.3.5 限制对DNS服务器进行域名查询的主机 (12) 3.3.6 限制对DNS服务器进行域名递归查询的主机 (12) 3.3.7 指定允许哪些主机向本DNS服务器提交动态DNS更新 (12) 3.3.8 限制对DNS服务器进行区域记录传输的主机 (13) 3.3.9 指定不接受哪些服务器的区域记录传输请求 (13) 3.3.10 一些资源限制选项 (13) 3.3.11 定义ACL地址名 (14) 3.3.12控制管理接口 (14) 3.4 通过TSIG对区域记录传输进行认证和校验 (15) 3.4.1 用TSIG签名来进行安全的DNS数据库手工更新 (15) 3.4.2 对区域记录传输(自动或手工)进行TSIG签名 (16) 3.5 实现BIND的chroot (17) 3.5.1 chroot虚拟根环境 (17) 3.5.2 操作方法 (18) 4 Windows 2000 DNS安全配置(MSDNS) (21) 4.1 开启日志功能 (22) 4.2 定期更新根服务器信息 (23) 4.3 禁止区域文件动态更新 (24) 4.4 禁止区域传输 (25) 4.5 其它设置 (26)
网站服务器的安全配置
网站服务器的安全配置 网站服务器的安全配置 首先讲网络安全的定义:网络安全是指网络系统的硬件、软件及其系统中的数据受到保护,不受偶然的或者恶意的原因而遭到破坏、更改、泄露,确保系统能连续可靠正常地运行,网络服务不中断。网络安全的种类很多,这里单讲网站服务器的安全配置,有效防范服务器被入侵。 一主机的安全配置 1.装杀毒软件、防火墙、这些都是必备的也是基本的,还有就是勤打官方的补丁。2.推荐几款安全工具,360安全卫士能扫描你系统的漏洞,然后下载补丁修补,间谍软件,恶意插件,靠他查杀。冰刃系统分析特别强,分析系统正在运行的程序,开放的端口、内核模块,系统启动加载的软件、开放的服务,等等功能十分强大可以辅助管理员查找木马。 3.做安全配置首先将:net.exe,cmd.exe,netstat.exe,regedit.exe,at.exe,attrib.exe, cacls.exe,这些文件都设置只允许administrators访问。还有将FTP.exe TFTP.exe 这样命令黑客可以执行下载黑客电脑的木马安装到服务器所以要改名把135、445、139、这些端口都要关闭 4.在“网络连接”里,把不需要的协议和服务都删掉,只安装了基本的Internet协议(TCP/IP)在高级tcp/ip设置里-- “NetBIOS”设置“禁用tcp/IP上的NetBIOS。5.把不必要的服务都禁止掉,尽管这些不一定能被攻击者利用得上,但是按照安全规则和标准上来说,多余的东西就没必要开启,减少一份隐患。6.在屏幕保护,勾选上在恢复时使用密码保护,万一系统被黑客链接上他不知道帐号密码也是没用的。7.系统自带的TCP/IP 筛选只开发你需要的端口,比如你只开放WEB服务和FTP服务,那么你就用TCP/IP筛选把其他端口过滤掉,只开放80和21端口。这样就减少许多比必要的麻烦黑客就不会利用其他端口入侵你了。 二,WEB服务器的安全配置 1.你的WEB服务哪些目录允许解析哪些目录不允许解析。比如存放附件的目录很容易让黑客在前台上传木马,黑客会利用得到管理员权限后,利用后台的一些功能把附件改名为.ASP或者其他。如果Web服
WIN2000SERVER安全配置服务器手册
WIN2000 SERVER安全配置服务器手册 1.NTFS比FAT分区多了安全控制功能,可以对不同的文件夹设置不同的访问权限,安全性增强。 2.建议最好一次性全部安装成NTFS分区,而不要先安装成FAT分区再转化为NTFS分区,这样做在安装了SP5和SP6的情况下会导致转化不成功,甚至系统崩溃。 3.安装NTFS分区有一个潜在的危险,就是目前大多数反病毒软件没有提供对软盘启动后NTFS 分区病毒的查杀,这样一旦系统中了恶性病毒而导致系统不能正常启动,后果就比较严重,因此及建议平时做好防病毒工作。 4.分区和逻辑盘的分配:推荐的安全配置是建立三个逻辑驱动器,第一个大于2G,用来装系统和重要的日志文件,第二个放IIS,第三个放FTP,这样无论IIS或FTP出了安全漏洞都不会直接影响到系统目录和系统文件。要知道,IIS和FTP是对外服务的,比较容易出问题。而把IIS和FTP分开主要是为了防止入侵者上传程序并从IIS中运行。 5.安装顺序的选择:win2000在安装中有几个顺序是一定要注意的。 首先,何时接入网络,Win2000在安装时有一个漏洞,在你输入Administrator密码后,系统就建立了ADMIN$的共享,但是并没有用你刚刚输入的密码来保护它,这种情况一直持续到你再次启动后,在此期间,任何人都可以通过ADMIN$进入你的机器;同时,只要安装一完成,各种服务就会自动运行,而这时的服务器是满身漏洞,非常容易进入的,因此,在完全安装并配置好win2000 SERVER之前,一定不要把主机接入网络。 其次,补丁的安装:补丁的安装应该在所有应用程序安装完之后,因为补丁程序往往要替换/修改某些系统文件,如果先安装补丁再安装应用程序有可能导致补丁不能起到应有的效果,例如:IIS的HotFix就要求每次更改IIS的配置都需要安装。 6.端口是计算机和外部网络相连的逻辑接口,也是计算机的第一道屏障,端口配置正确与否直接影响到主机的安全,一般来说,仅打开你需要使用的端口会比较安全,配置的方法是在网卡属性-TCP/IP-高级-选项-TCP/IP筛选中启用TCP/IP筛选,不过对于win2000的端口过滤来说,有一个不好的特性:只能规定开哪些端口,不能规定关闭哪些端口,这样对于需要开大量端口的用户就比较痛苦。 7.IIS是微软的组件中漏洞最多的一个,平均两三个月就要出一个漏洞,而微软的IIS默认安装又实在不敢恭维,所以IIS的配置是我们的重点,现在大家跟着我一起来:首先,把C盘那个什么Inetpub目录彻底删掉,在D盘建一个Inetpub(要是你不放心用默认目录名也可以改一个名字,但是自己要记得)在IIS管理器中将主目录指向D:\Inetpub;其次,那个IIS安装时默认的什么scripts等虚拟目录一概删除,如果你需要什么权限的目录可以自己慢慢建,需要什么权限开什么。(特别注意写权限和执行程序的权限,没有绝对的必要千万不要给)第三,应用程序配置:在IIS管理器中删除必须之外的任何无用映射,必须指的是ASP,ASA和其他你确实需要用到的文件类型,例如你用到stml等(使用server side include),实际上90%的主机有了上面两个映射就够了,其余的映射几乎每个都有一个凄惨的故事:htw,htr,idq,ida……想知道这些故事?去查以前的漏洞列表吧。在IIS管理器中右击主机->属性->WWW 服务编辑->主目录配置->应用程序映射,然后就开始一个个删吧(里面没有全选的)。接着