Win2003服务器组网、安全管理全攻略

Win2003服务器组网、安全管理全攻略

Windows2003已经出现很久了，现在对于该服务器操作系统Windows2003的组网技术、安全配置技术还有很多的网友都还不是很熟悉，在这里，我将会给大家介绍一下WindowsServer2003EnterpriseEdition企业服务器版本的组网技术、安全配置技术及一些在Win2K系统升级为Win2003系统后的一些新增功能等。Win2003系统已经比Win2K系统增加了很多的安全性，所以现在选择Win2003系统作为服务器系统，将会是网络管理员的最佳选择。本文假设你是一个服务器管理员，现在你的服务器使用Win2003服务器系统，你的服务器需要提供支持的组件如下：（ASP、ASPX、CGI、PHP、FSO、JMAIL、MySql、SMTP、POP3、FTP、3389终端服务、远程桌面Web连接管理服务等）。一、系统安装注意事项：首先，你得先把你的Win2003系统安装好，在安装系统时请选择使用NTFS文件系统分区，因为该分区可以对你的服务器资源进行加密、权限设置等，如果你的文件系统分区是使用FAT32的话，而你这台服务器作为一台虚拟主机，给客户提供空间，如果客户在空间里传了一个WebShell，如ASP木马等，而你使用的FAT32文件系统却不能为你的文件设置访问权限的话，那么黑客就能通过这个ASP木马取得你的服务器管理权了，那将是没有任何的安全性可言了。为了系统的安全着想，系统安装好后，你还要给你的系统设置一个强壮的管理员口令，千万不要使用简单的口令，如123456等这样的简单登陆口令。因为网络上大部份被黑客入侵的肉鸡都是因为系统使用空口令或使用简单的口令而被黑的。一个强壮的口令应该包括数字、英文字母、符号组成，如密码k3d8a^!ka76，设置好一个强壮的系统登陆口令后，我们就可以安装各种上面所述的组件服务支持了。还是那句老话，最少的服务等于最大的安全，对于一切不须要的服务都不要安装，这样才能保证你服务器的安全性。二、服务支持组件安装方法：1、Windows2003系统自带组件的安装方法：现在，我们把各种所需的组件安装到服务器里，默认的情况下，CGI、PHP、JMAIL、MySql并不是Win2003自带的组件服务，在Win2003系统默认的情况下是已经安装了（Internet信息服务(IIS)管理器）的，而且并已经装上了ASP及ASPX的支持，我们可以通过点击开始菜单→控制面版→添加或删除程序→添加/删除Windows组件(A)，然后会弹出一个Windows组件向导。然后我们再在这里添加我们需要安装的各种Win2003系统自带的组件服务、在这里我们勾选组件服务里的电子邮件服务，如下图所示。\o"点击图片看全图"（图1）该组件主要是可以让我们使用Win2003系统的自带组件组建小型的企业邮局，而不再依赖于其它的外界电子邮局软件，这也是Win2003系统的一项新功能。现在我们再来安装3389终端服务远程管理组件，该组件在默认情况下也是没有安装上的，我们也是在组件向导窗口中勾选终端服务就行了，如下（图2）所示，在Win2K系统下的终端服务远程管理屏幕最高只能达到256色。而Win2003的终端服务的远程管理屏幕颜色最高可以达到24位真彩色，这也算是Win2003的一项新增功能吧。现在我们再来安装其它组件的支持。点击如下图所示应用程序服务器，然后点击下面的详细信息按钮，就会弹出一个窗口，再在该窗口里选择你需要安装的其它服务。如下图所示：\o"点击图片看全图"\o"点击图片看全图"在上的窗口里，你可以选择是否安装ASP.NET的支持等服务，其它所有服务都是在Windows组件向导里安装的，请依照上面的例子勾选好需要安装的组件后，点击确定即可安装，安装过程中可能会提示你放入Windows2003系统的安装光盘。这时只要你把Windows2003系统的安装光盘放入光驱中就能把Win2003系统自带的全部的组件安装成功。2、CGI支持安装方法：步骤1：由于Win2003系统并不自带CGI、PHP、MySql支持的，所以我们现在再来安装这些组件的支持服务，我们首先安装CGI的支持，请把你在315安全网络（）网站下载的ActivePerl-09-MSWin32-x86.msiCGI程序支持软件安装上（ActivePerl软件也可以登陆下载），安装过程没什么特别的，在这里不再详述。CGI在Win2003的IIS6.0里的支持配置与Win2K的IIS5配置有点不同，IIS6增加了一些安全性。下面就来看看CGI在IIS6里是如何配置的吧。步骤2：打开开始菜单→程序→管理工具→Internet信息服务(IIS)管理器，就给弹出IIS管理器窗口，在该窗口中，我们双击本地计算机，就会弹出一个关联菜单，右键点击网站选择属性后弹出网站属性窗口，再点击主目录→配置→映射→添加弹出一个添加/编辑应用程序扩展名映射窗口，我们在可执行文件(X)：里输入C:\Perl\bin\perlis.dll，在扩展名(E)：里输入.cgi，再选择动作里的限制为(L)：GET,HEAD,POST,TRACE。如下（图4）所示：如果在Win2K里这样配置一下就可以运行CGI的脚本了，但在Win2003下还要点击WEB服务扩展，再分别选择PerlCGIExtension及PerlISAPIExtension选项，点击允许使用这两个扩展服务，因为这两个CGI支持的扩展在默认情况下是禁止使用的。在你没有配置充许这两个组件使用时，你的CGI脚本程序将没法正常浏览。WEB服务扩展配置方法如下图（图5）所示：3、PHP支持安装方法：在win2003中IIS6的PHP配置和win2K的也略有不同，在win2003的IIS6中，按照2000下的PHP配置方法PHP脚本是没法正常运行的。其实在Windows2003下安装也是很简单的，只不过Win2003在IIS6.0的安全方面下了些功夫，所以安装起来要稍费点功夫了。步骤1：先去网站下载php-4.3.6-Win32PHP支持软件，也可以到下载这个PHP安装程序，我是装的是：php-4.3.6-Win32，你也可以去找最新的版本，在安装php-4.3.6-Win32之前保证你的IIS6.0启动了，并能够访问。步骤2：将php-4.3.6-Win32解压到c:\php，将PHP目录内的php.ini-dist文件拷贝到Windows目录内，改名为php.ini，(这是php的配置文件，无需更改即可运行)，根据需要修改php.ini文件内容，如要使用session功能，请建立c:\tmp目录，并将php.ini文档内session.save_path的值设置成为绝对路径c:/tmp，将PHP目录内的Php4ts.dll文件复制到C:\Windows\System32目录内。步骤3：IIS6.0上的PHP配置几本上和上例中的CGI相同，打开开始菜单→程序→管理工具→Internet信息服务(IIS)管理器，就给弹出IIS管理器窗口，在该窗口中，我们双击本地计算机，就会弹出一个关联菜单，右键点击网站选择属性后弹出网站属性窗口，再点击主目录→配置→映射→添加弹出一个添加/编辑应用程序扩展名映射窗口，我们在可执行文件(X)：里输入C:\php\sapi\php4isapi.dll，在扩展名(E)：里输入.php，再选择动作里的限制为(L)：GET,HEAD,POST,TRACE。如下（图6）所示：（图6）步骤4：点击web服务扩展→新建web服务扩展，就会弹出一个新建服务器扩展窗口，在扩展名(X)：下输入php，再在要求的文件(E)：里添加地址C:\php\sapi\php4isapi.dll，并勾选设置状态为允许(S)。然后点击确定，这样就能让你的IIS6.0支持PHP了。设置过程如下图（图7）所示：（图7）

要支持ASPX，还需要给web根目录给上users用户的默认权限，才能使ASPX能执行。4、Jmail支持安装方法：先去下载Jmail支持软件，这是一个可以让你的网站自动发出大量的电子邮件的免费邮件服务器，例如通过Jmail服务器，你可以使你的论坛等程序自动向网友注册时填写的邮箱地址发送注册成功邮件等，功能强大。简单易用，确实为WEB服务不可缺少的组件。这里我们下载Jmailv4.4Professional版本，安装方法很简单，只须直接双击安装文件JMail44_pro.exe，然后根据提示安装即可，没须额外的配置。由于安装过程十分简单，在这里不再详述。

5、MySql数据库支持安装方法：Mysql数据库介绍：MySql是一个多线程的，结构化查询语言(SQL)数据库服务器。SQL在世界上是最流行的数据库语言。MySQL的执行性能非常高，运行速度非常快，并非常容易使用，现在MySql数据库已经成为世界上使用广泛的数据库。MySQL数据库在Windows下安装是相当方便的，在这里暂不讲述具体配置，在后面的数据库服务器安全里，我们会详细讨论。6、用Windows2003架设小型企业邮局服务器：在本文第二节中，我们已经介绍了在Windows组件向导里安装电子邮件服务的方法，我们只须在Windows组件向导里勾选SMTP及电子邮件服务支持就可以组建电子邮局了。但目前还不支持WEB收发邮件，只支持POP3收发邮件，步骤1、配置POP3服务器：点击开始菜单→管理工具→POP3服务，弹出POP3服务控制台窗口，选中左栏中的POP3服务后，点击右栏中的“新域”按钮，弹出“添加域”对话框，接着在域名栏中输入邮件服务器的域名，也就是邮件地址@后的域名，如“315”，最后点击“确定”按钮。如下图（图10）所示：

其中“315”为在Internet上注册的域名，并且该域名在你的域名控制面版中设置了MX邮件交换记录，并解释到了你现在的Windows2003邮件服务器的IP地址中上。现在我们可以创建用户邮箱了，选中并双击刚才新建的“315”域，在右栏中点击“添加邮箱”，弹出添加邮箱对话框，在“邮箱名”栏中输入邮件用户名，本例中输入用户名test，然后设置用户密码，最后点击“确定”按钮，就能完成用户邮箱的创建。步骤2、配置SMTP服务器：点击开始菜单→管理工具→Internet信息服务(IIS)管理器，在IIS管理器中右键点击“默认SMTP虚拟服务器选项”在弹出的菜单中选择“属性(R)”，进入“默认SMTP虚拟服务器选项”，切换到常规标签页，在“IP地址”下拉列表框中选中邮件服务器的IP地址即可，点击“确定”按钮，这样一个简单的邮件服务器就架设完成了。完成以上的设置后，用户就可以使用邮件客户端软件连接邮件服务器进行邮件的收发了。在设置邮件客户端软件的SMTP及POP3地址时，输入邮件服务器的域名“315”就OK了。一定简单的小型电子邮局服务器就配置完成。

IIS的安全：

删掉c:/inetpub目录，删除iis不必要的映射

首先是每一个web站点使用单独的IIS用户，譬如这里，新建立了一个名为，权限为guest的。\o"点击图片看全图"\o"点击图片看全图"

在IIS里的站点属性里“目录安全性”---“身份验证和访问控制“里设置匿名访问使用下列Windows用户帐户”的用户名密码都使用这个用户的信息.在这个站点相对应的web目录文件，默认的只给IIS用户的读取和写入权限（后面有更BT的设置要介绍）。\o"点击图片看全图"

另外在应用程序配置里，设置调试为向客户端发送自定义的文本信息，这样能对于有ASP注入漏洞的站点，可以不反馈程序报错的信息，能够避免一定程度的攻击。\o"点击图片看全图"\o"点击图片看全图"

在自定义HTTP错误选项里，有必要定义下譬如404,500等错误，不过有有时候为了调试程序，好知道程序出错在什么地方，建议只设置404就可以了。\o"点击图片看全图"

IIS6.0由于运行机制的不同，出现了应用程序池的概念。一般建议10个左右的站点共用一个应用程序池，应用程序池对于一般站点可以采用默认设置，\o"点击图片看全图"

可以在每天凌晨的时候回收一下工作进程。\o"点击图片看全图"\o"点击图片看全图"

新建立一个站，采用默认向导，在设置中注意以下几个地方：

在应用程序设置里：执行权限为默认的纯脚本，应用程序池使用独立的名为：315safe的程序池。\o"点击图片看全图"\o"点击图片看全图"

名为315safe的应用程序池可以适当设置下“内存回收”：这里的最大虚拟内存为：1000M，最大使用的物理内存为256M，这样的设置几乎是没限制这个站点的性能的。

在应用程序池里有个“标识”选项，可以选择应用程序池的安全性帐户，默认才用网络服务这个帐户，大家就不要动它，能尽量以最低权限去运行大，隐患也就更小些。在一个站点的某些目录里，譬如这个“uploadfile"目录，不需要在里面运行asp程序或其他脚本的，就去掉这个目录的执行脚本程序权限，在“应用程序设置”的“执行权限”这里，默认的是“纯脚本”，我们改成“无”，这样就只能使用静态页面了。依次类推，大凡是不需要asp运行的目录，譬如数据库目录，图片目录等等里都可以这样做，这样主要是能避免在站点应用程序脚本出现bug的时候，譬如出现从前流行的upfile漏洞，而能够在一定程度上对漏洞有扼制的作用。\o"点击图片看全图"\o"点击图片看全图"

在默认情况下，我们一般给每个站点的web目录的权限为IIS用户的读取和写入，如图：\o"点击图片看全图"

但是我们现在为了将SQL注入，上传漏洞全部都赶走，我们可以采取手动的方式进行细节性的策略设置。

1．

给web根目录的IIS用户只给读权限。如图：\o"点击图片看全图"

然后我们对响应的uploadfiles/或其他需要存在上传文件的目录额外给写的权限，并且在IIS里给这个目录无脚本运行权限，这样即使网站程序出现漏洞，入侵者也无法将asp木马写进目录里去，呵呵，不过没这么简单就防止住了攻击，还有很多工作要完成。如果是MS-SQL数据库的，就这样也就OK了，但是Access的数据库的话，其数据库所在的目录，或数据库文件也得给写权限，然后数据库文件没必要改成.asp的。这样的后果大家也都知道了把，一旦你的数据库路径被暴露了，这个数据库就是一个大木马，够可怕的。其实完全还是规矩点只用mdb后缀，这个目录在IIS里不给执行脚本权限。然后在IIS里加设置一个映射规律，如图：\o"点击图片看全图"\o"点击图片看全图"

这里用任意一个dll文件来解析.mdb后缀名的映射，只要不用asp.dll来解析就可以了，这样别人即使获得了数据库路径也无法下载。这个方法可以说是防止数据库被下载的终极解决办法了。

我们上所说的配置一个简单的虚拟主机，这样的主机是存在各种WEBSHELL的威胁的，假如你给朋友开了个虚拟主机空间，那么这个虚拟主机存在的最大安全隐患将会是FSO权限问题，其实FSO的安全隐患在Win2K系统里已经是令网管头疼的事了，但在Win2003中这个FSO的安全隐患却依然没有解决，在没有经过安全配置的虚拟主机下，只要黑客给虚拟主机空间上传一个ASP木马，黑客就能利用FSO权限浏览服务器里的所有文件，并能复制、删除服务器里的所有文件，甚至能利用ASP木马取得服务器的管理权，可见FSO安全配置的重要性。下面我们举例，如果黑客通过某些手段在你的虚拟主机空间上传了一个ASP木马，那么就等于黑客已经拥有了一个WEBSHELL，黑客可以通过这个WEBSHELL控制整台服务器里的数据，本例中我们介绍的是黑客们都熟悉的海阳顶端asp木马，这种WEBSHELL能通过网页在线更改、编辑、删除、移动、上传、下载服务器上的任意文件，只要黑客给你的服务器传上这个ASP木马，你的服务器上的所有文件就会控制在黑客的手上，黑客能在你的服务器干什么？就是上面提及到的。更改、删除、移动……如下图（图24）所示：\o"点击图片看全图"（图24）看到这个图，你也能想像到你的服务器到最后会变得怎么样了，你服务器上的资料将没有隐私可言了，想黑你服务器上的主页或是删除你服务器上的文件都是点几下鼠标就能办到的了。这种ASP木马网络上各黑客网站均有下载，源代码就不便写出来了。各黑客网站上还有其它版本的ASP木马下载，但基本上都是调用FSO（Scripting.FileSystemObject）写的。其实你如果要防范这种攻击，你只要把ASP中的FSO（Scripting.FileSystemObject）功能删除就行了，删除FSO权限方法就是在CMD的命令提示符下输入以下命令：Regsvr32/uc:\windows\system32\scrrun.dll注意：在实际操作的时候要更改成为你本地系统安装目录的实际路径，但是使用这种方法删除也太绝了一点，如果以后我们想使用FSO权限，那就用不了啦。所以建议不要使用这种方法删除FSO权限，显而易见，如果这样做，那么包括站点系统管理员在内的任何人都将不可以使用FileSystemObject对象了，这其实并不是站点管理人员想要得到的结果，毕竟我们使用这个对象可以实现方便的在线站台管理，如果连系统管理员都没法使用了，那可就得不偿失了，但是不禁止这个危险的对象又会给自己的站点带来安全漏洞。那么有没有两全其美的方法呢？有！具体方法如下：改名或卸载不安全组件

其实，只要做好了上面的权限设置，那么FSO、XML、strem都不再是不安全组件了，因为他们都没有跨出自己的文件夹或者站点的权限。那个欢乐时光更不用怕，有杀毒软件在还怕什么时光啊。

最危险的组件是WSH和Shell，因为它可以运行你硬盘里的EXE等程序，比如它可以运行提升程序来提升SERV-U权限甚至用SERVU来运行更高权限的系统程序。

谨慎决定是否卸载一个组件

组件是为了应用而出现的，而不是为了不安全而出现的，所有的组件都有它的用处，所以在卸载一个组件之前，你必须确认这个组件是你的网站程序不需要的，或者即使去掉也不关大体的。否则，你只能留着这个组件并在你的ASP程序本身上下工夫，防止别人进来，而不是防止别人进来后SHELL。

比如，FSO和XML是非常常用的组件之一，很多程序会用到他们。WSH组件会被一部分主机管理程序用到，也有的打包程序也会用到。

卸载最不安全的组件

最简单的办法是直接卸载后删除相应的程序文件。将下面的代码保存为一个.BAT文件，regsvr32/uC:\Windows\System32\wshom.ocx

delC:\Windows\System32\wshom.ocx

regsvr32/uC:\Windows\system32\shell32.dll

delC:\Windows\system32\shell32.dll

然后运行一下，WScript.Shell,Shell.application,WScript.Network就会被卸载了。可能会提示无法删除文件，不用管它，重启一下服务器，你会发现这三个都提示“×安全”了。

改名不安全组件

需要注意的是组件的名称和Clsid都要改，并且要改彻底了。下面以Shell.application为例来介绍方法。

打开注册表编辑器【开始→运行→regedit回车】，然后【编辑→查找→填写Shell.application→查找下一个】，用这个方法能找到两个注册表项：“{13709620-C279-11CE-A49E-444553540000}”和“Shell.application”。为了确保万无一失，把这两个注册表项导出来，保存为.reg文件。

比如我们想做这样的更改13709620-C279-11CE-A49E-444553540000改名为13709620-C279-11CE-A49E-444553540001

Shell.application改名为Shell.application_315safe

那么，就把刚才导出的.reg文件里的内容按上面的对应关系替换掉，然后把修改好的.reg文件导入到注册表中（双击即可），导入了改名后的注册表项之后，别忘记了删除原有的那两个项目。这里需要注意一点，Clsid中只能是十个数字和ABCDEF六个字母。

下面是我修改后的代码（两个文件我合到一起了）：WindowsRegistryEditorVersion5.00[HKEY_CLASSES_ROOT\CLSID\{13709620-C279-11CE-A49E-444553540001}]

@="ShellAutomationService"[HKEY_CLASSES_ROOT\CLSID\{13709620-C279-11CE-A49E-444553540001}\InProcServer32]

@="C:\\Windows\\system32\\shell32.dll"

"ThreadingModel"="Apartment"[HKEY_CLASSES_ROOT\CLSID\{13709620-C279-11CE-A49E-444553540001}\ProgID]

@="Shell.Application_315safe.1"[HKEY_CLASSES_ROOT\CLSID\{13709620-C279-11CE-A49E-444553540001}\TypeLib]

@="{50a7e9b0-70ef-11d1-b75a-00a0c90564fe}"[HKEY_CLASSES_ROOT\CLSID\{13709620-C279-11CE-A49E-444553540001}\Version]

@="1.1"[HKEY_CLASSES_ROOT\CLSID\{13709620-C279-11CE-A49E-444553540001}\VersionIndependentProgID]

@="Shell.Application_315safe"[HKEY_CLASSES_ROOT\Shell.Application_315safe]

@="ShellAutomationService"[HKEY_CLASSES_ROOT\Shell.Application_315safe\CLSID]

@="{13709620-C279-11CE-A49E-444553540001}"[HKEY_CLASSES_ROOT\Shell.Application_315safe\CurVer]

@="Shell.Application_315safe.1"

你可以把这个保存为一个.reg文件运行试一下，但是可别就此了事，因为万一黑客也看了我的这篇文章，他会试验我改出来的这个名字的。

防止列出用户组和系统进程的方法是：【开始→程序→管理工具→服务】，找到Workstation，停止它，禁用它。

以上设置好了后，再按照站上的其他教程装一个软件防火墙，虽然windows自带的防火墙比较稳定，但是功能上欠佳，可以再安装一个visnetic防火墙或kerio等非常不错的。

下载地址：/download/download.asp?downid=2297

杀毒软件用一个SymantecAntiViru