Win2003服務器組網、安全管理全攻略

Windows2003已經出現很久了，現在對于該服務器操作系統Windows2003的組網技術、安全配置技術還有很多的網友都還不是很熟悉，在這里，我將會給大家介紹一下WindowsServer2003EnterpriseEdition企業服務器版本的組網技術、安全配置技術及一些在Win2K系統升級為Win2003系統后的一些新增功能等。Win2003系統已經比Win2K系統增加了很多的安全性，所以現在選擇Win2003系統作為服務器系統，將會是網絡管理員的最佳選擇。本文假設你是一個服務器管理員，現在你的服務器使用Win2003服務器系統，你的服務器需要提供支持的組件如下：（ASP、ASPX、CGI、PHP、FSO、JMAIL、MySql、SMTP、POP3、FTP、3389終端服務、遠程桌面Web連接管理服務等）。一、系統安裝注意事項：首先，你得先把你的Win2003系統安裝好，在安裝系統時請選擇使用NTFS文件系統分區，因為該分區可以對你的服務器資源進行加密、權限設置等，如果你的文件系統分區是使用FAT32的話，而你這臺服務器作為一臺虛擬主機，給客戶提供空間，如果客戶在空間里傳了一個WebShell，如ASP木馬等，而你使用的FAT32文件系統卻不能為你的文件設置訪問權限的話，那么黑客就能通過這個ASP木馬取得你的服務器管理權了，那將是沒有任何的安全性可言了。為了系統的安全著想，系統安裝好后，你還要給你的系統設置一個強壯的管理員口令，千萬不要使用簡單的口令，如123456等這樣的簡單登陸口令。因為網絡上大部份被黑客入侵的肉雞都是因為系統使用空口令或使用簡單的口令而被黑的。一個強壯的口令應該包括數字、英文字母、符號組成，如密碼k3d8a^!ka76，設置好一個強壯的系統登陸口令后，我們就可以安裝各種上面所述的組件服務支持了。還是那句老話，最少的服務等于最大的安全，對于一切不須要的服務都不要安裝，這樣才能保證你服務器的安全性。二、服務支持組件安裝方法：1、Windows2003系統自帶組件的安裝方法：現在，我們把各種所需的組件安裝到服務器里，默認的情況下，CGI、PHP、JMAIL、MySql并不是Win2003自帶的組件服務，在Win2003系統默認的情況下是已經安裝了（Internet信息服務(IIS)管理器）的，而且并已經裝上了ASP及ASPX的支持，我們可以通過點擊開始菜單→控制面版→添加或刪除程序→添加/刪除Windows組件(A)，然后會彈出一個Windows組件向導。然后我們再在這里添加我們需要安裝的各種Win2003系統自帶的組件服務、在這里我們勾選組件服務里的電子郵件服務，如下圖所示。\o"點擊圖片看全圖"（圖1）該組件主要是可以讓我們使用Win2003系統的自帶組件組建小型的企業郵局，而不再依賴于其它的外界電子郵局軟件，這也是Win2003系統的一項新功能。現在我們再來安裝3389終端服務遠程管理組件，該組件在默認情況下也是沒有安裝上的，我們也是在組件向導窗口中勾選終端服務就行了，如下（圖2）所示，在Win2K系統下的終端服務遠程管理屏幕最高只能達到256色。而Win2003的終端服務的遠程管理屏幕顏色最高可以達到24位真彩色，這也算是Win2003的一項新增功能吧。現在我們再來安裝其它組件的支持。點擊如下圖所示應用程序服務器，然后點擊下面的詳細信息按鈕，就會彈出一個窗口，再在該窗口里選擇你需要安裝的其它服務。如下圖所示：\o"點擊圖片看全圖"\o"點擊圖片看全圖"在上的窗口里，你可以選擇是否安裝ASP.NET的支持等服務，其它所有服務都是在Windows組件向導里安裝的，請依照上面的例子勾選好需要安裝的組件后，點擊確定即可安裝，安裝過程中可能會提示你放入Windows2003系統的安裝光盤。這時只要你把Windows2003系統的安裝光盤放入光驅中就能把Win2003系統自帶的全部的組件安裝成功。2、CGI支持安裝方法：步驟1：由于Win2003系統并不自帶CGI、PHP、MySql支持的，所以我們現在再來安裝這些組件的支持服務，我們首先安裝CGI的支持，請把你在315安全網絡（）網站下載的ActivePerl-09-MSWin32-x86.msiCGI程序支持軟件安裝上（ActivePerl軟件也可以登陸下載），安裝過程沒什么特別的，在這里不再詳述。CGI在Win2003的IIS6.0里的支持配置與Win2K的IIS5配置有點不同，IIS6增加了一些安全性。下面就來看看CGI在IIS6里是如何配置的吧。步驟2：打開開始菜單→程序→管理工具→Internet信息服務(IIS)管理器，就給彈出IIS管理器窗口，在該窗口中，我們雙擊本地計算機，就會彈出一個關聯菜單，右鍵點擊網站選擇屬性后彈出網站屬性窗口，再點擊主目錄→配置→映射→添加彈出一個添加/編輯應用程序擴展名映射窗口，我們在可執行文件(X)：里輸入C:\Perl\bin\perlis.dll，在擴展名(E)：里輸入.cgi，再選擇動作里的限制為(L)：GET,HEAD,POST,TRACE。如下（圖4）所示：如果在Win2K里這樣配置一下就可以運行CGI的腳本了，但在Win2003下還要點擊WEB服務擴展，再分別選擇PerlCGIExtension及PerlISAPIExtension選項，點擊允許使用這兩個擴展服務，因為這兩個CGI支持的擴展在默認情況下是禁止使用的。在你沒有配置充許這兩個組件使用時，你的CGI腳本程序將沒法正常瀏覽。WEB服務擴展配置方法如下圖（圖5）所示：3、PHP支持安裝方法：在win2003中IIS6的PHP配置和win2K的也略有不同，在win2003的IIS6中，按照2000下的PHP配置方法PHP腳本是沒法正常運行的。其實在Windows2003下安裝也是很簡單的，只不過Win2003在IIS6.0的安全方面下了些功夫，所以安裝起來要稍費點功夫了。步驟1：先去網站下載php-4.3.6-Win32PHP支持軟件，也可以到下載這個PHP安裝程序，我是裝的是：php-4.3.6-Win32，你也可以去找最新的版本，在安裝php-4.3.6-Win32之前保證你的IIS6.0啟動了，并能夠訪問。步驟2：將php-4.3.6-Win32解壓到c:\php，將PHP目錄內的php.ini-dist文件拷貝到Windows目錄內，改名為php.ini，(這是php的配置文件，無需更改即可運行)，根據需要修改php.ini文件內容，如要使用session功能，請建立c:\tmp目錄，并將php.ini文檔內session.save_path的值設置成為絕對路徑c:/tmp，將PHP目錄內的Php4ts.dll文件復制到C:\Windows\System32目錄內。步驟3：IIS6.0上的PHP配置幾本上和上例中的CGI相同，打開開始菜單→程序→管理工具→Internet信息服務(IIS)管理器，就給彈出IIS管理器窗口，在該窗口中，我們雙擊本地計算機，就會彈出一個關聯菜單，右鍵點擊網站選擇屬性后彈出網站屬性窗口，再點擊主目錄→配置→映射→添加彈出一個添加/編輯應用程序擴展名映射窗口，我們在可執行文件(X)：里輸入C:\php\sapi\php4isapi.dll，在擴展名(E)：里輸入.php，再選擇動作里的限制為(L)：GET,HEAD,POST,TRACE。如下（圖6）所示：（圖6）步驟4：點擊web服務擴展→新建web服務擴展，就會彈出一個新建服務器擴展窗口，在擴展名(X)：下輸入php，再在要求的文件(E)：里添加地址C:\php\sapi\php4isapi.dll，并勾選設置狀態為允許(S)。然后點擊確定，這樣就能讓你的IIS6.0支持PHP了。設置過程如下圖（圖7）所示：（圖7）

要支持ASPX，還需要給web根目錄給上users用戶的默認權限，才能使ASPX能執行。4、Jmail支持安裝方法：先去下載Jmail支持軟件，這是一個可以讓你的網站自動發出大量的電子郵件的免費郵件服務器，例如通過Jmail服務器，你可以使你的論壇等程序自動向網友注冊時填寫的郵箱地址發送注冊成功郵件等，功能強大。簡單易用，確實為WEB服務不可缺少的組件。這里我們下載Jmailv4.4Professional版本，安裝方法很簡單，只須直接雙擊安裝文件JMail44_pro.exe，然后根據提示安裝即可，沒須額外的配置。由于安裝過程十分簡單，在這里不再詳述。

5、MySql數據庫支持安裝方法：Mysql數據庫介紹：MySql是一個多線程的，結構化查詢語言(SQL)數據庫服務器。SQL在世界上是最流行的數據庫語言。MySQL的執行性能非常高，運行速度非常快，并非常容易使用，現在MySql數據庫已經成為世界上使用廣泛的數據庫。MySQL數據庫在Windows下安裝是相當方便的，在這里暫不講述具體配置，在后面的數據庫服務器安全里，我們會詳細討論。6、用Windows2003架設小型企業郵局服務器：在本文第二節中，我們已經介紹了在Windows組件向導里安裝電子郵件服務的方法，我們只須在Windows組件向導里勾選SMTP及電子郵件服務支持就可以組建電子郵局了。但目前還不支持WEB收發郵件，只支持POP3收發郵件，步驟1、配置POP3服務器：點擊開始菜單→管理工具→POP3服務，彈出POP3服務控制臺窗口，選中左欄中的POP3服務后，點擊右欄中的“新域”按鈕，彈出“添加域”對話框，接著在域名欄中輸入郵件服務器的域名，也就是郵件地址@后的域名，如“315”，最后點擊“確定”按鈕。如下圖（圖10）所示：

其中“315”為在Internet上注冊的域名，并且該域名在你的域名控制面版中設置了MX郵件交換記錄，并解釋到了你現在的Windows2003郵件服務器的IP地址中上。現在我們可以創建用戶郵箱了，選中并雙擊剛才新建的“315”域，在右欄中點擊“添加郵箱”，彈出添加郵箱對話框，在“郵箱名”欄中輸入郵件用戶名，本例中輸入用戶名test，然后設置用戶密碼，最后點擊“確定”按鈕，就能完成用戶郵箱的創建。步驟2、配置SMTP服務器：點擊開始菜單→管理工具→Internet信息服務(IIS)管理器，在IIS管理器中右鍵點擊“默認SMTP虛擬服務器選項”在彈出的菜單中選擇“屬性(R)”，進入“默認SMTP虛擬服務器選項”，切換到常規標簽頁，在“IP地址”下拉列表框中選中郵件服務器的IP地址即可，點擊“確定”按鈕，這樣一個簡單的郵件服務器就架設完成了。完成以上的設置后，用戶就可以使用郵件客戶端軟件連接郵件服務器進行郵件的收發了。在設置郵件客戶端軟件的SMTP及POP3地址時，輸入郵件服務器的域名“315”就OK了。一定簡單的小型電子郵局服務器就配置完成。

IIS的安全：

刪掉c:/inetpub目錄，刪除iis不必要的映射

首先是每一個web站點使用單獨的IIS用戶，譬如這里，新建立了一個名為，權限為guest的。\o"點擊圖片看全圖"\o"點擊圖片看全圖"

在IIS里的站點屬性里“目錄安全性”---“身份驗證和訪問控制“里設置匿名訪問使用下列Windows用戶帳戶”的用戶名密碼都使用這個用戶的信息.在這個站點相對應的web目錄文件，默認的只給IIS用戶的讀取和寫入權限（后面有更BT的設置要介紹）。\o"點擊圖片看全圖"

另外在應用程序配置里，設置調試為向客戶端發送自定義的文本信息，這樣能對于有ASP注入漏洞的站點，可以不反饋程序報錯的信息，能夠避免一定程度的攻擊。\o"點擊圖片看全圖"\o"點擊圖片看全圖"

在自定義HTTP錯誤選項里，有必要定義下譬如404,500等錯誤，不過有有時候為了調試程序，好知道程序出錯在什么地方，建議只設置404就可以了。\o"點擊圖片看全圖"

IIS6.0由于運行機制的不同，出現了應用程序池的概念。一般建議10個左右的站點共用一個應用程序池，應用程序池對于一般站點可以采用默認設置，\o"點擊圖片看全圖"

可以在每天凌晨的時候回收一下工作進程。\o"點擊圖片看全圖"\o"點擊圖片看全圖"

新建立一個站，采用默認向導，在設置中注意以下幾個地方：

在應用程序設置里：執行權限為默認的純腳本，應用程序池使用獨立的名為：315safe的程序池。\o"點擊圖片看全圖"\o"點擊圖片看全圖"

名為315safe的應用程序池可以適當設置下“內存回收”：這里的最大虛擬內存為：1000M，最大使用的物理內存為256M，這樣的設置幾乎是沒限制這個站點的性能的。

在應用程序池里有個“標識”選項，可以選擇應用程序池的安全性帳戶，默認才用網絡服務這個帳戶，大家就不要動它，能盡量以最低權限去運行大，隱患也就更小些。在一個站點的某些目錄里，譬如這個“uploadfile"目錄，不需要在里面運行asp程序或其他腳本的，就去掉這個目錄的執行腳本程序權限，在“應用程序設置”的“執行權限”這里，默認的是“純腳本”，我們改成“無”，這樣就只能使用靜態頁面了。依次類推，大凡是不需要asp運行的目錄，譬如數據庫目錄，圖片目錄等等里都可以這樣做，這樣主要是能避免在站點應用程序腳本出現bug的時候，譬如出現從前流行的upfile漏洞，而能夠在一定程度上對漏洞有扼制的作用。\o"點擊圖片看全圖"\o"點擊圖片看全圖"

在默認情況下，我們一般給每個站點的web目錄的權限為IIS用戶的讀取和寫入，如圖：\o"點擊圖片看全圖"

但是我們現在為了將SQL注入，上傳漏洞全部都趕走，我們可以采取手動的方式進行細節性的策略設置。

1．

給web根目錄的IIS用戶只給讀權限。如圖：\o"點擊圖片看全圖"

然后我們對響應的uploadfiles/或其他需要存在上傳文件的目錄額外給寫的權限，并且在IIS里給這個目錄無腳本運行權限，這樣即使網站程序出現漏洞，入侵者也無法將asp木馬寫進目錄里去，呵呵，不過沒這么簡單就防止住了攻擊，還有很多工作要完成。如果是MS-SQL數據庫的，就這樣也就OK了，但是Access的數據庫的話，其數據庫所在的目錄，或數據庫文件也得給寫權限，然后數據庫文件沒必要改成.asp的。這樣的后果大家也都知道了把，一旦你的數據庫路徑被暴露了，這個數據庫就是一個大木馬，夠可怕的。其實完全還是規矩點只用mdb后綴，這個目錄在IIS里不給執行腳本權限。然后在IIS里加設置一個映射規律，如圖：\o"點擊圖片看全圖"\o"點擊圖片看全圖"

這里用任意一個dll文件來解析.mdb后綴名的映射，只要不用asp.dll來解析就可以了，這樣別人即使獲得了數據庫路徑也無法下載。這個方法可以說是防止數據庫被下載的終極解決辦法了。

我們上所說的配置一個簡單的虛擬主機，這樣的主機是存在各種WEBSHELL的威脅的，假如你給朋友開了個虛擬主機空間，那么這個虛擬主機存在的最大安全隱患將會是FSO權限問題，其實FSO的安全隱患在Win2K系統里已經是令網管頭疼的事了，但在Win2003中這個FSO的安全隱患卻依然沒有解決，在沒有經過安全配置的虛擬主機下，只要黑客給虛擬主機空間上傳一個ASP木馬，黑客就能利用FSO權限瀏覽服務器里的所有文件，并能復制、刪除服務器里的所有文件，甚至能利用ASP木馬取得服務器的管理權，可見FSO安全配置的重要性。下面我們舉例，如果黑客通過某些手段在你的虛擬主機空間上傳了一個ASP木馬，那么就等于黑客已經擁有了一個WEBSHELL，黑客可以通過這個WEBSHELL控制整臺服務器里的數據，本例中我們介紹的是黑客們都熟悉的海陽頂端asp木馬，這種WEBSHELL能通過網頁在線更改、編輯、刪除、移動、上傳、下載服務器上的任意文件，只要黑客給你的服務器傳上這個ASP木馬，你的服務器上的所有文件就會控制在黑客的手上，黑客能在你的服務器干什么？就是上面提及到的。更改、刪除、移動……如下圖（圖24）所示：\o"點擊圖片看全圖"（圖24）看到這個圖，你也能想像到你的服務器到最后會變得怎么樣了，你服務器上的資料將沒有隱私可言了，想黑你服務器上的主頁或是刪除你服務器上的文件都是點幾下鼠標就能辦到的了。這種ASP木馬網絡上各黑客網站均有下載，源代碼就不便寫出來了。各黑客網站上還有其它版本的ASP木馬下載，但基本上都是調用FSO（Scripting.FileSystemObject）寫的。其實你如果要防范這種攻擊，你只要把ASP中的FSO（Scripting.FileSystemObject）功能刪除就行了，刪除FSO權限方法就是在CMD的命令提示符下輸入以下命令：Regsvr32/uc:\windows\system32\scrrun.dll注意：在實際操作的時候要更改成為你本地系統安裝目錄的實際路徑，但是使用這種方法刪除也太絕了一點，如果以后我們想使用FSO權限，那就用不了啦。所以建議不要使用這種方法刪除FSO權限，顯而易見，如果這樣做，那么包括站點系統管理員在內的任何人都將不可以使用FileSystemObject對象了，這其實并不是站點管理人員想要得到的結果，畢竟我們使用這個對象可以實現方便的在線站臺管理，如果連系統管理員都沒法使用了，那可就得不償失了，但是不禁止這個危險的對象又會給自己的站點帶來安全漏洞。那么有沒有兩全其美的方法呢？有！具體方法如下：改名或卸載不安全組件

其實，只要做好了上面的權限設置，那么FSO、XML、strem都不再是不安全組件了，因為他們都沒有跨出自己的文件夾或者站點的權限。那個歡樂時光更不用怕，有殺毒軟件在還怕什么時光啊。

最危險的組件是WSH和Shell，因為它可以運行你硬盤里的EXE等程序，比如它可以運行提升程序來提升SERV-U權限甚至用SERVU來運行更高權限的系統程序。

謹慎決定是否卸載一個組件

組件是為了應用而出現的，而不是為了不安全而出現的，所有的組件都有它的用處，所以在卸載一個組件之前，你必須確認這個組件是你的網站程序不需要的，或者即使去掉也不關大體的。否則，你只能留著這個組件并在你的ASP程序本身上下工夫，防止別人進來，而不是防止別人進來后SHELL。

比如，FSO和XML是非常常用的組件之一，很多程序會用到他們。WSH組件會被一部分主機管理程序用到，也有的打包程序也會用到。

卸載最不安全的組件

最簡單的辦法是直接卸載后刪除相應的程序文件。將下面的代碼保存為一個.BAT文件，regsvr32/uC:\Windows\System32\wshom.ocx

delC:\Windows\System32\wshom.ocx

regsvr32/uC:\Windows\system32\shell32.dll

delC:\Windows\system32\shell32.dll

然后運行一下，WScript.Shell,Shell.application,WScript.Network就會被卸載了。可能會提示無法刪除文件，不用管它，重啟一下服務器，你會發現這三個都提示“×安全”了。

改名不安全組件

需要注意的是組件的名稱和Clsid都要改，并且要改徹底了。下面以Shell.application為例來介紹方法。

打開注冊表編輯器【開始→運行→regedit回車】，然后【編輯→查找→填寫Shell.application→查找下一個】，用這個方法能找到兩個注冊表項：“{13709620-C279-11CE-A49E-444553540000}”和“Shell.application”。為了確保萬無一失，把這兩個注冊表項導出來，保存為.reg文件。

比如我們想做這樣的更改13709620-C279-11CE-A49E-444553540000改名為13709620-C279-11CE-A49E-444553540001

Shell.application改名為Shell.application_315safe

那么，就把剛才導出的.reg文件里的內容按上面的對應關系替換掉，然后把修改好的.reg文件導入到注冊表中（雙擊即可），導入了改名后的注冊表項之后，別忘記了刪除原有的那兩個項目。這里需要注意一點，Clsid中只能是十個數字和ABCDEF六個字母。

下面是我修改后的代碼（兩個文件我合到一起了）：WindowsRegistryEditorVersion5.00[HKEY_CLASSES_ROOT\CLSID\{13709620-C279-11CE-A49E-444553540001}]

@="ShellAutomationService"[HKEY_CLASSES_ROOT\CLSID\{13709620-C279-11CE-A49E-444553540001}\InProcServer32]

@="C:\\Windows\\system32\\shell32.dll"

"ThreadingModel"="Apartment"[HKEY_CLASSES_ROOT\CLSID\{13709620-C279-11CE-A49E-444553540001}\ProgID]

@="Shell.Application_315safe.1"[HKEY_CLASSES_ROOT\CLSID\{13709620-C279-11CE-A49E-444553540001}\TypeLib]

@="{50a7e9b0-70ef-11d1-b75a-00a0c90564fe}"[HKEY_CLASSES_ROOT\CLSID\{13709620-C279-11CE-A49E-444553540001}\Version]

@="1.1"[HKEY_CLASSES_ROOT\CLSID\{13709620-C279-11CE-A49E-444553540001}\VersionIndependentProgID]

@="Shell.Application_315safe"[HKEY_CLASSES_ROOT\Shell.Application_315safe]

@="ShellAutomationService"[HKEY_CLASSES_ROOT\Shell.Application_315safe\CLSID]

@="{13709620-C279-11CE-A49E-444553540001}"[HKEY_CLASSES_ROOT\Shell.Application_315safe\CurVer]

@="Shell.Application_315safe.1"

你可以把這個保存為一個.reg文件運行試一下，但是可別就此了事，因為萬一黑客也看了我的這篇文章，他會試驗我改出來的這個名字的。

防止列出用戶組和系統進程的方法是：【開始→程序→管理工具→服務】，找到Workstation，停止它，禁用它。

以上設置好了后，再按照站上的其他教程裝一個軟件防火墻，雖然windows自帶的防火墻比較穩定，但是功能上欠佳，可以再安裝一個visnetic防火墻或kerio等非常不錯的。

下載地址：/download/download.asp?downid=2297

殺毒軟件用一個SymantecAntiViru