学习首页 百科 人生课堂 办公软件 英语学习 操作系统 故事会 编程资料 软件学习 设计

输入您的搜索字词 提交搜索表单

铭瑶网 >> 学习首页 >> 系统 >> Windows Server 2003 虚拟主机的安全配置2

标题：Windows Server 2003 虚拟主机的安全配置2

【字体： 大中小】 时间:2008-4-11 来源:互联网 作者:study

Windows Server 2003 虚拟主机的安全配置2

启动计算机.按 F8 键.进入 WINDOW 2003 SERVER 的操作系统高级选择菜单.选择 带命令的安全模式 然后选择 MICROSOFT WINDWOS 即可. 

另外一个命令.说实话我也不知道是做什么用的.名为 Lock.exe 的命令.看样子似乎是锁定.一般的用法是执行完 Smartdrv.exe 以后执行一个 Lock.exe C: 假设你要装到C盘.
Lock.exe命令 - 解释:执行该程序可有效地锁住你的光驱.使光驱上的EJECT键暂时失效.直至用UNLOCK.EXE或RESET.EXE程序解锁.重新启动计算机也可使EJECT键再次生效.LOCK.EXE的应用格式为:LOCK [device]其中device即CD-ROM的盘号.默认为第一光驱.
总结一下流程.HOHO.
1. 修改 CMOS 为 CD-ROM 引导.不会?那一边凉快去.2. 放入 Windows 98 引导光盘.进入Dos模式.进入 Windows 98 安装目录.执行 Smartdrv.exe 和 Lock.exe C:3. 弹出光盘.更换一张 Windows 2003 Server 的安装光盘.进入 I386 目录.执行 Winnt.exe
好了.开始安装了.随便说一句.在安装的时候请不要设置Administrator的密码.就为 Null 空着.为什么.你不听我话算了.以后出现问题了别找我.也不要怪我没说.
下面就进入最关键的环节了.大家振作精神.
如果你硬盘空间足够的话.并且现在时间也比较充足.那我推荐下面的步骤.
1. 重新启动系统.按F8.进入命令提示的模式.选择 MICROSOFT WINDWOS.
2. 进入 DOS 以后.启动 GHOST.做个 WINDOWS 2003 C盘的 GHO 文件.放到 FAT32 分区上.
关于第一点.请认真参看上面关于在 WINDOWS 2003 上进入纯 DOS 的内容.
如果你没有按我前面说的做.那就使用 CD-ROM 引导.然后修改 CMOS 启动.进入 DOS 环境.
做好GHO文件以后.就不怕以后万一崩溃以后重新安装的麻烦.当然.你也可以把 "小白" 更新 Windows Update 以后做GHO.
本人推荐把干净的系统通过 更新 Windows Update 以后.什么都不做.然后直接GHOST做GHO.不过前提是你比较了解系统.
下面继续.GOGO.
把NIC卡.也就是网卡啦.禁用.然后设置好IP和DNS.GATEWAY.不要启用.切记.为什么?因为如果你SERVER.那当然你一旦设置好NIC信息就可以上网了.但是在安装的时候没有设置 ADMINISTRATORS 的密码.所以连入网络就会不安全.别说一会儿没事.我们不能保证无聊的人在窥视你的网络.呵呵.万一遇到个瞎猫也不好嘛.
现在服务器暂时无法连通任何网络.这样可以防止裸机被冲击波或者HACKER扫描.可以说是安全的.推荐这个时候操作人员不要离开工作台.呵呵.
下面高举注册表和组策略大法.开始我们的核心之旅途.
在开始之前.我想说的是.我们必须深入了解这台服务器的用途.每种用途针对不同的设置和部署策略.只有最合适的也才可能是最安全的.
按我下面的例子继续展开.GO.
我选了一个比较典型的例子.比如一台服务器.准备作为WEB+FTP+MAIL服务.分细致一点列在下面:
1. WEB当然是使用 IIS 6.0 支持 ASP.PHP.CGI 脚本.2. FTP使用 SERV-U 5.0 中文版3. MAIL使用 IMAIL 8.02 中文版4. 数据库使用 MYSQL 数据库.当然是 5.0 版本的.PHP 也用 5.0.5. 其他的.比如ZEND.JMAIL一律使用官方最新版本.
上面这类软件推荐在官方网站下载.或者是去 www.SKYCN.NET 下载.
按照上面的列表.我们可以得到最后的结果.开放端口如下:
80 => WEB21 => FTP25 => MAIL110 => MAIL3389 => 终端服务8383 => MAIL WEB
我们可以按照上面的.以后做个可靠的IP和PORT策略.即除了上面的TCP PORT.一律给予BLOCK.当然了.推荐也将ICMP ECHO给予关闭.如果你需要远程管理.推荐使用 PCANYWHERE 或者 WIN的终端服务 或者 WINVNC.该例子我们选用了 WINDOWS 2003 的终端服务.所以上面开放了 3389 端口.
随便说一下.网上有很多人很多教材推荐要通过注册表修改终端服务的端口.这里我想说的是.根本不需要.完全是杞人忧天.自己耽误工夫.
对于现在的 SP4 的 W2K 或者是 WINDOWS 2003.终端服务已经非常完善和安全.如果一个管理员通过合理和正确的配置.完全可以让服务器.我是说.裸机.暴露在网上承受每天10W次的扫描和尝试攻击.除脚本漏洞以外.几乎是没有什么安全问题的.无论你的树多大都不会招风.想通过简单的黑客工具.比如溢出.比如弱密码.比如RPC来入侵几乎是不可能.如果你的服务器配置完以后.随便使用几个网上的工具就可以攻击成功.那你干脆回家洗了睡算了.或者直接把网线给剪掉.我不想跟白痴探讨.
如果有真正的HACKER盯上了你的机器.就凭着修改一下终端服务的端口.就想蒙混过关的话.那几乎是太天真了.如果你的服务器不会被工具所入侵.当然也不会轻易的被突破终端服务的防线.
我经常说.IF THEN.IF THEN.
IF 你的服务器无法被简单的工具工具. THEN 不会被简单的得到ADMIN而登陆3389
IF 你的服务器被HACKER或者组织盯上.服务器既然可以被通过系统上甚至服务器软件上的BUG来入侵.那就算你没3389他们也一样可以有办法的.
SO.修改端口.完全没有必要的.
写到这里.很多朋友说.我写的很空泛.没有实际操作.但是我想说的是.要有扎实的部署策略和翔实的资料和理论做基础.否则就会在实际动手时出现怪异问题.扰乱工作进度和质量.所以我写该文主要是告诉大家我的思维模式和工作方法.就好象CISCO的很多书里有大量的PS和引用.示例和作者心得小贴士.外国的教授或者老师善于发掘学生的想象力和处理问题的技巧方法.而不像国内TMD填鸭教学.说到这里让我很心寒.呵呵.
不说远了.现在我们所要做的.就是按照我们上面的构想去实现. 

查看/参与:讨论/评论 相关文章：服务器