发布时间 : 星期日 文章win2003安全策略更新完毕开始阅读98c993faaef8941ea76e05d7
IIS支持PHP的配置
http://www.php.net/downloads.php 以 PHP 5.1.1 为例
下载php-5.1.1-Win32.zip 解压到 D:\\php 或任意目录 赋予该目录IIS用户组读取权限
将ext目录中的所有文件复制到 C:\\Windows\\System32目录下面
以记事本打开php.ini-dist文件
查找 extension_dir = \更改为 extension_dir = \
查找 ; Windows Extensions 更改下面的参数
如要开通GD库支持 则将;extension=php_gd2.dll 前面的冒号删除
依此类推,更多设置参考PHP.INI中文版。完成设置好另存在C:\\Windows\\php.ini
尔后在IIS设置中 IIS管理器 > 网站 > 属性 > 主目录 > 配置 > 映射
添加 D:\\php\\php5isapi.dll 扩展名.php
其次在WEB服务扩展中 添加一个新的扩展名 PHP 执行位置 D:\\php\\php5isapi.dll 设为允许即可
由于WIN平台对MYSQL与PHP的组合无法体现性能优势。个人建议WIN平台PHP程序要使用数据库建议远程
或搭配文本数据库。
终端服务配置
开始 > 程序 > 管理工具 > 终端服务配置 > 连接
选择右侧列出的连接 属性 > 权限 删除所有用户组 添加单一的允许使用的管理员账户,这样即使服务器
被创建了其它的管理员.也无法使用终端服务。
另外在会话设置中可以进一步设置断1 D、注销等一些参数。
FTP的配置
目前大多数服务器使用Serv-U Server 为FTP SYSTEM。这里同时建议使用此软件
以 Serv-U FTP Server 6.1.0.5 final [最新版]为例,这里建议使用汉化版本.www.hanzify.org
安装原版至D:\\Serv-U_3434999fdaf [复杂无规则的目录名可有效防止黑客的猜解]
尔后退出Serv-U,安装汉化包。
运行SERV-U管理器 IP地址可为空、安装为系统服务 设置密码防止溢出
PASV设置
Serv-U管理器 > <<本地服务器>> > 设置 > 高级
PASV端口范围 这里SERV-U只允许 50个端口范围 端口的设置范围 如 1025 - 1075 [1024以前的端口为系统使用]
更多个人化设置参考以下文档
三、如何通过使用 Windows Server 2003 来配置网络地址转换 (NAT) 服务器。Windows Server 2003“路由和远程访问”服务包括 NAT 路由协议。如果将 NAT 路由协议安装和配置在运行“路由和远程访问”的服务器上,则使用专用Internet协议(IP) 地址的内部网络客户端可以通过 NAT 服务器的外部接口访问 Internet。 1、如何配置路由和远程访问 NAT 服务器?
当内部网络客户端发送要连接 Internet 的请求时,NAT 协议驱动程序会截取该请求,并将其转发到目标 Internet 服务器。所有请求看上去都像是来自 NAT 服务器的外部IP 地址。这样就隐藏您的内部 IP 地址配置。
2、配置“路由和远程访问”NAT 服务器? 在管理工具 菜单中,单击“路由和远程访问”。
在“路由和远程访问”MMC 中,展开您的服务器名称(其中服务器名称 是您要配置服务器的名称,然后展开左窗格中的IP 路由 。 右键单击常规,然后单击新建路由协议。
单击NAT/基本防火墙 复选框,将其选中,然后单击确定。 右键单击左窗格中的NAT/基本防火墙 ,然后单击新建接口。 单击表示内部网络接口的接口,然后单击确定。
在“网络地址转换”属性中,单击“专用接口连接到专用网络”,然后单击 确定。 右键单击左窗格中的NAT/基本防火墙 ,然后单击新建接口。 单击表示外部网络接口的接口,然后单击确定。
在“网络地址转换”属性中,单击“公用接口连接到 Internet”。 单击“在此接口上启用 NAT”复选框,将其选中,然后单击确定。 NAT 服务器可以自动为内部网络客户端分配 IP 地址。如果您没有已给内部网络上的客户端分配了地址信息的 DHCP 服务器,则可能会需要使用此功能。
3、如何配置路由和远程访问 NAT 服务器以分配 IP 地址和执行代理 DNS 查询? NAT 服务器还可以代表 NAT 客户端执行域名系统 (DNS) 查询。“路由和远程访问”NAT服
务器对包括在客户端请求中的 Internet 主机名进行解析,然后将该 IP 地址转发给该客户端。
要配置“路由和远程访问”NAT 服务器来分配 IP 地址并且代表内部网络客户端执行代理 DNS 查询,请按以下步骤xx作:
右键单击左窗格中的NAT/基本防火墙 ,然后单击属性。
单击地址分配 选项卡,然后单击“使用 DHCP 自动分配 IP 地址”复选框,将其选中。 在 IP 地址 框中,键入网络 ID。 在掩码 框中,键入子网掩码。
单击名称解析 选项卡,然后单击“使用域名系统 (DNS) 的客户端”复选框,将其选中。 如果您使用请求拨号接口连接到 Internet,请单击“当名称需要解析时连接到公用网络”复选框,将其选中。
在请求拨号接口 框中,单击要拨号的接口。 单击应用,然后单击确定。
备注:完成这些基本配置步骤之后,内部网络客户端就可以访问 Internet 上的服务器了。 4、如何配置基于 Windows Server 2003 的计算机以使用 NAT 服务器 单击开始,指向控制面板,指向网络连接,然后单击本地连接。 单击属性。
单击 Internet 协议 (TCP/IP)。 单击属性。
在“默认网关”框中,键入 NAT 服务器的内部 IP 地址。 备注: 如果计算机从“动态主机配置协议”(DHCP) 服务器接收它的 IP 地址,请单击高级,单击IP 设置 选项卡,单击网关 下的添加,键入 NAT 服务器的内部 IP 地址,单击添加,单击确定,然后继续进行第 6 步。 单击确定,单击确定,然后单击关闭。
请注意,前提的NAT是建立在 -----------路由和远程访问 这个组件的安装上
第四招:修改注册表,让系统更强壮
1、隐藏重要文件/目录可以修改注册表实现完全隐藏:HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\
Current-Version\\Explorer\\Advanced\\Folder\\Hi-dden\\SHOWALL”,鼠标右击 “CheckedValue”,选择修改,把数值由1改为0
2、启动系统自带的Internet连接_blank\防火墙,在设置服务选项中勾选Web服务器。
3、防止SYN洪水攻击
HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Services\\Tcpip\\Parameters
新建DWORD值,名为SynAttackProtect,值为2
EnablePMTUDiscovery REG_DWORD 0
NoNameReleaseOnDemand REG_DWORD 1
EnableDeadGWDetect REG_DWORD 0
KeepAliveTime REG_DWORD 300,000
PerformRouterDiscovery REG_DWORD 0
EnableICMPRedirects REG_DWORD 0
4. 禁止响应ICMP路由通告报文
HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Services\\Tcpip\\Parameters\\Interfaces\\interface
新建DWORD值,名为PerformRouterDiscovery 值为0
5. 防止ICMP重定向报文的攻击
HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Services\\Tcpip\\Parameters
将EnableICMPRedirects 值设为0
6. 不支持IGMP协议
HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Services\\Tcpip\\Parameters
新建DWORD值,名为IGMPLevel 值为0
7.修改终端服务端口
运行regedit,找到[HKEY_LOCAL_MACHINE \\ SYSTEM \\ CurrentControlSet \\ Control \\ Terminal Server \\ Wds \\ rdpwd \\ Tds \\ tcp],看到右边的PortNumber了吗?在十进制状态下改成你想要的端口号吧,比如7126之类的,只要不与其它冲突即可。
2、第二处HKEY_LOCAL_MACHINE \\ SYSTEM \\ CurrentControlSet \\ Control \\ Terminal Server \\ WinStations \\ RDP-Tcp,方法同上,记得改的端口号和上面改的一样就行了。
8、禁止IPC空连接:
cracker可以利用net use命令建立空连接,进而入侵,还有net view,nbtstat这些都是基于空连接的,禁止空连接就好了。打开注册表,找到Local_Machine\\System\\CurrentControlSet\\Control\\LSA-RestrictAnonymous 把这个值改成”1”即可。