有关如何安全配置NT/2000 SERVER以及IIS的设置

usaserver

安全配置NT/2000 SERVER
　　即使正确的安装了WIN2000 SERVER，系统还是有很多的漏洞，还需要进一步进行细致地配置。
　　1．端口：
　　端口是计算机和外部网络相连的逻辑接口，也是计算机的第一道屏障，端口配置正确与否直接影响到主机的安全，
一般来说，仅打开你需要使用的端口会比较安全，配置的方法是在网卡属性-TCP/IP-高级-选项-TCP/IP筛选
中启用TCP/IP筛选，不过对于win2000的端口过滤来说，有一个不好的特性：只能规定开哪些端口，不能规定关闭哪些端口，这样对于需要开大量端口的用户就比较痛苦。
　　2．IIS：
　　IIS是 微软的组件中漏洞最多的一个，平均两三个月就要出一个漏洞，而 微软的IIS默认安装又实在不敢恭维，
所以IIS的配置是我们的重点，现在大家跟着我一起来：首先，把C盘那个什么Inetpub目录彻底删掉，
在D盘建一个Inetpub（要是你不放心用默认目录名也可以改一个名字，但是自己要记得）在IIS管理器中将主目录
指向D:Inetpub；其次，那个IIS安装时默认的什么scripts等虚拟目录一概删除，如果你需要什么权限的目录可以
自己慢慢建，需要什么权限开什么。（特别注意写权限和执行程序的权限，没有绝对的必要千万不要给）第三，
应用程序配置：在IIS管理器中删除必须之外的任何无用映射，必须指的是 ASP,ASA和其他你确实需要用到的文件类型，
例如你用到stml等（使用server side include），实际上90%的主机有了上面两个映射就够了，其余的映射几乎每个都有
一个凄惨的故事：htw, htr, idq, ida……想知道这些故事？去查以前的漏洞列表吧。在IIS管理器中右击主机->属性->
WWW服务 编辑->主目录配置->应用程序映射，然后就开始一个个删吧（里面没有全选的，嘿嘿）。
接着在刚刚那个窗口的应用程序调试书签内将脚本错误消息改为发送文本（除非你想ASP出错的时候用户知
道你的程序/网络/数据库结构）错误文本写什么？随便你喜欢，自己看着办。点击确定退出时别忘了让虚拟
站点继承你设定的属性。安装新的Service Pack后，IIS的应用程序映射应重新设置。（说明：安装新的Service Pack后，
某些应用程序映射又会出现，导致出现安全漏洞。这是管理员较易忽视的一点。）
　　为了对付日益增多的 cgi漏洞扫描器，还有一个小技巧可以参考，在IIS中将HTTP404 Object Not Found出错页面
通过URL重定向到一个定制HTM文件，可以让目前绝大多数CGI漏洞扫描器失灵。其实原因很简单，
大多数CGI扫描器在编写时为了方便，都是通过查看返回页面的HTTP代码来判断漏洞是否存在的，例如，
著名的IDQ漏洞一般都是通过取1.idq来检验，如果返回HTTP200，就认为是有这个漏洞，反之如果返回HTTP404就认为没有，
如果你通过URL将HTTP404出错信息重定向到HTTP404.htm文件，那么所有的扫描无论存不存在漏洞都会返回HTTP200，
90%的CGI 扫描器会认为你什么漏洞都有，结果反而掩盖了你真正的漏洞，让入侵者茫然无处下手,
不过从个人角度来说，我还是认为扎扎实实做好安全设置比这样的小技巧重要的多。

--------------------------------------------
二，服务器型号信息介绍 香港服务器租用--香港新世界机房(NWT)
是香港超大型互联网数据中心之一，“新世界”是目前香港到大陆速度最快、最稳定线路之一。
新世界线路是唯一华南华北一样快速的线路，是100%的“双线”，不存在其他香港线路网通访问比电信慢的问题。
香港服务器租用价格--处理器/频率(CPU)
内存 硬盘 带宽/月流量 IP数 月付价格 Atom 230 1.6Ghz (超线程) 512MB 80GB 2M独享国际带宽 1 820元/月
Atom 230 1.6Ghz (超线程) 1GB 80GB 2M独享国际带宽 1 850元/月 Atom 230 1.6Ghz (超线程) 2GB 80GB 2M独享国际带宽 1 900元/月
奔腾双核 E2160 1.8Ghz 1GB 80GB 2M独享国际带宽 1 980元/月 奔腾双核 E5200 2.5Ghz 1GB 80GB 2M独享国际带宽 1 1100元/月
酷睿双核 E6550 2.33Ghz 2GB 80GB 2M独享国际带宽 1 1300元/月 酷睿四核 Q6600 2.4Ghz 2GB 80GB 2M独享国际带宽 1 1680元/月
双核至强 E3110 3.0Ghz 2GB 160GB 2M独享国际带宽 1 1860元/月
---------------------------------------------------------------------
SK芝加哥数据中心是海外防DDOS-gongji能力最强(10GB以上)的机房，带宽大，IP多；游戏发布站等客户的一致选择。
不足之处：本机房上架交付需3－5天，服务器稳定性较好，机房服务支持响应速度有时偏慢，下单前请先了解、确认；
因不防CC/SYN等gongji类型，强烈推荐客户额外购买并安装专用防火墙，如金盾，本司有代售，详情请咨询销售专员。
美国服务器租用--SK芝加哥防gongji数据中心服务器租用计划
型　号 处理器/频率(CPU) 内存(RAM) 硬盘(HDD) 带宽 IP数 月付价格 SK-01 Atom 1.6Ghz
双核四线程 2GB 500GB 100M带宽 不限流量 61 1498元/月
SK-02 AMD 2400+ 1.7Ghz 2GB 200GB 100M带宽 不限流量 61 1698元/月
SK-03 酷睿双核 E5200 2.5Ghz 2GB 300GB 100M带宽 不限流量 61 1998元/月
SK-04 酷睿四核 Q8300 2.5Ghz 4GB 500GB 100M带宽 不限流量 61 2198元/月
SK-05 酷睿四核 Q8300 2.5Ghz 8GB 2X500GB 100M带宽 不限流量 61 2898元/月 SK-06
酷睿四核 Q9400 3.0Ghz 8GB 2X1500GB 100M带宽 不限流量 61 2998元/月
SK-07 酷睿四核 Q8300 2.5Ghz 8GB 2X500GB 100M带宽 不限流量 61 2998元/月 SK-08
四核至强 E5410 2.33Ghz 16GB 2X500GB 100M带宽 不限流量 61 4198元/月
USA-IDC美国服务器租用商五洲数据提供美国服务器租用国外服务器租用业务
-------------------------------------------------
最后，为了保险起见，你可以使用IIS的备份功能，将刚刚的设定全部备份下来，这样就可以随时恢复IIS的安全配置。
还有，如果你怕IIS负荷过高导致服务器满负荷死机，也可以在性能中打开CPU限制，例如将IIS的最大CPU使用率限制在70%。
　　3.帐号策略：
　　（1）帐号尽可能少，且尽可能少用来登录；
　　说明：网站帐号一般只用来做系统维护，多余的帐号一个也不要，因为多一个帐号就会多一份被攻破的危险。
　　（2）除过Administrator外，有必要再增加一个属于管理员组的帐号；
　　说明：两个管理员组的帐号，一方面防止管理员一旦忘记一个帐号的口令还
　　有一个备用帐号；另方面，一旦黑客攻破一个帐号并更改口令，我们还有
　　有机会重新在短期内取得控制权。
　　（3）所有帐号权限需严格控制，轻易不要给帐号以特殊权限；
　　（4）将Administrator重命名，改为一个不易猜的名字。其他一般帐号也应尊循这一原则。
　　说明：这样可以为黑客攻击增加一层障碍。
--------------------------------------------------------
四，运营商信息 USA-IDC美国服务器租用商五洲数据提供国外服务器租用美国服务器租用业务
USA-IDC海外数据中心 ? 2005～2010 深圳市网格时代科技有限公司 保留所有权利.
http://www.usa-idc.com
http://www.755800.com