欧美性猛交XXXX免费看蜜桃,成人网18免费韩国,亚洲国产成人精品区综合,欧美日韩一区二区三区高清不卡,亚洲综合一区二区精品久久

 公母服務(wù)器:
     去到IDG那里,2 臺Dell ,一臺五舟服務(wù)器:
     初步給的網(wǎng)站架構,一臺Dell服務(wù)器作為Web服務(wù)器,4cpu,4G內存,相信目前的架構能夠滿(mǎn)足初期的需要
     整個(gè)架構做web服務(wù)器接公網(wǎng),五舟服務(wù)器也接公網(wǎng)作為文件服務(wù)器,數據庫做為內網(wǎng)與web服務(wù)器接一個(gè)端口
一個(gè)接外網(wǎng),Dell服務(wù)器開(kāi)機的時(shí)候,nosie特小,五舟太在的nosie,以前那家公司看到的服務(wù)器就大,可惡的是Dell服務(wù)器沒(méi)有restart按鈕,不過(guò)裝os的時(shí)候,有自己的驅動(dòng),還好,IDG 的機柜房里,簡(jiǎn)直人間地獄,忽冷忽熱,不是一個(gè)好地方,但希望我們能經(jīng)常去那里,增加服務(wù)器,下一步增加squid來(lái)做服務(wù)器集群,myspace當初也就幾臺服務(wù)器,還是我們的程序員寫(xiě)程序的時(shí)候多優(yōu)化一下,從基本的clr,開(kāi)始處理,搞了一夜,半夜三更3.00路上沒(méi)有車(chē)回來(lái),我們還提著(zhù)一個(gè)包,搞得tax司機都不敢載我們.


參考了網(wǎng)絡(luò )上很多關(guān)于WIN2003的安全設置以及自己動(dòng)手做了一些實(shí)踐，綜合了這些安全設置文章整理而成，希望對大家有所幫助，另外里面有不足之處還請大家多多指點(diǎn)，然后給補上，謝謝！

一、系統的安裝　　
１、按照Windows2003安裝光盤(pán)的提示安裝，默認情況下2003沒(méi)有把IIS6.0安裝在系統里面。
２、IIS6.0的安裝
　　開(kāi)始菜單—>控制面板—>添加或刪除程序—>添加/刪除Windows組件
　　應用程序 ———ASP.NET（可選）
　　　　　　　|——啟用網(wǎng)絡(luò ) COM+ 訪(fǎng)問(wèn)（必選）
　　　　　　　|——Internet 信息服務(wù)(IIS)———Internet 信息服務(wù)管理器（必選）　
　　　　　　　　　　　　　　　　　　　　　 |——公用文件（必選）
　　　　　　　　　　　　　　　　　　　　　 |——萬(wàn)維網(wǎng)服務(wù)———Active Server pages（必選）
　　　　　　　　　　　　　　　　　　　　　　 　　　　　　　|——Internet 數據連接器（可選）
　　　　　　　　　　　　　　　　　　　　　　　　　　　　　 |——WebDAV 發(fā)布（可選）
　　　　　　　　　　　　　　　　　　　　　　　　　　　　　 |——萬(wàn)維網(wǎng)服務(wù)（必選）
　　　　　　　　　　　　　　　　　　　　　　　　　　　　　 |——在服務(wù)器端的包含文件（可選）
　　然后點(diǎn)擊確定—>下一步安裝。（具體見(jiàn)本文附件1）

３、系統補丁的更新
　　點(diǎn)擊開(kāi)始菜單—>所有程序—>Windows Update
　　按照提示進(jìn)行補丁的安裝。

４、備份系統
　　用GHOST備份系統。

５、安裝常用的軟件
　　例如：殺毒軟件、解壓縮軟件等；安裝完畢后,配置殺毒軟件,掃描系統漏洞,安裝之后用GHOST再次備份系統。

6、先關(guān)閉不需要的端口 開(kāi)啟防火墻 導入IPSEC策略
在”網(wǎng)絡(luò )連接”里，把不需要的協(xié)議和服務(wù)都刪掉，這里只安裝了基本的Internet協(xié)議（TCP/IP），由于要控制帶寬流量服務(wù)，額外安裝了Qos數據包計劃程序。在高級tcp/ip設置里--"NetBIOS"設置"禁用tcp/IP上的NetBIOS（S）"。在高級選項里，使用"Internet連接防火墻"，這是windows 2003 自帶的防火墻，在2000系統里沒(méi)有的功能，雖然沒(méi)什么功能，但可以屏蔽端口，這樣已經(jīng)基本達到了一個(gè)IPSec的功能。

修改3389遠程連接端口
修改注冊表.
開(kāi)始--運行--regedit
依次展開(kāi) HKEY_LOCAL_MACHINE/SYSTEM/CURRENTCONTROLSET/CONTROL/
TERMINAL SERVER/WDS/RDPWD/TDS/TCP
右邊鍵值中 PortNumber 改為你想用的端口號.注意使用十進(jìn)制(例 10000 )

HKEY_LOCAL_MACHINE/SYSTEM/CURRENTCONTROLSET/CONTROL/TERMINAL SERVER/
WINSTATIONS/RDP-TCP/
右邊鍵值中 PortNumber 改為你想用的端口號.注意使用十進(jìn)制(例 10000 )
注意：別忘了在WINDOWS2003自帶的防火墻給+上10000端口
修改完畢.重新啟動(dòng)服務(wù)器.設置生效.

二、用戶(hù)安全設置
1、禁用Guest賬號
在計算機管理的用戶(hù)里面把Guest賬號禁用。為了保險起見(jiàn)，最好給Guest加一個(gè)復雜的密碼。你可以打開(kāi)記事本，在里面輸入一串包含特殊字符、數字、字母的長(cháng)字符串，然后把它作為Guest用戶(hù)的密碼拷進(jìn)去。
2、限制不必要的用戶(hù)
去掉所有的Duplicate User用戶(hù)、測試用戶(hù)、共享用戶(hù)等等。用戶(hù)組策略設置相應權限，并且經(jīng)常檢查系統的用戶(hù)，刪除已經(jīng)不再使用的用戶(hù)。這些用戶(hù)很多時(shí)候都是黑客們入侵系統的突破口。
3、把系統Administrator賬號改名
大家都知道，Windows 2003 的Administrator用戶(hù)是不能被停用的，這意味著(zhù)別人可以一遍又一遍地嘗試這個(gè)用戶(hù)的密碼。盡量把它偽裝成普通用戶(hù)，比如改成Guesycludx。
4、創(chuàng )建一個(gè)陷阱用戶(hù)
什么是陷阱用戶(hù)?即創(chuàng )建一個(gè)名為“Administrator”的本地用戶(hù)，把它的權限設置成最低，什么事也干不了的那種，并且加上一個(gè)超過(guò)10位的超級復雜密碼。這樣可以讓那些 Hacker們忙上一段時(shí)間，借此發(fā)現它們的入侵企圖。
5、把共享文件的權限從Everyone組改成授權用戶(hù)
任何時(shí)候都不要把共享文件的用戶(hù)設置成“Everyone”組，包括打印共享，默認的屬性就是“Everyone”組的，一定不要忘了改。
6、開(kāi)啟用戶(hù)策略
使用用戶(hù)策略，分別設置復位用戶(hù)鎖定計數器時(shí)間為20分鐘，用戶(hù)鎖定時(shí)間為20分鐘，用戶(hù)鎖定閾值為3次。 （該項為可選）
7、不讓系統顯示上次登錄的用戶(hù)名
默認情況下，登錄對話(huà)框中會(huì )顯示上次登錄的用戶(hù)名。這使得別人可以很容易地得到系統的一些用戶(hù)名，進(jìn)而做密碼猜測。修改注冊表可以不讓對話(huà)框里顯示上次登錄的用戶(hù)名。方法為：打開(kāi)注冊表編輯器并找到注冊表“HKLMSoftwareMicrosoftWindows TCurrentVersionWinlogonDont-DisplayLastUserName”，把REG_SZ的鍵值改成1。
密碼安全設置
1、使用安全密碼
一些公司的管理員創(chuàng )建賬號的時(shí)候往往用公司名、計算機名做用戶(hù)名，然后又把這些用戶(hù)的密碼設置得太簡(jiǎn)單，比如“welcome”等等。因此，要注意密碼的復雜性，還要記住經(jīng)常改密碼。
2、設置屏幕保護密碼
這是一個(gè)很簡(jiǎn)單也很有必要的操作。設置屏幕保護密碼也是防止內部人員破壞服務(wù)器的一個(gè)屏障。
3、開(kāi)啟密碼策略
注意應用密碼策略，如啟用密碼復雜性要求，設置密碼長(cháng)度最小值為6位 ，設置強制密碼歷史為5次，時(shí)間為42天。
4、考慮使用智能卡來(lái)代替密碼
對于密碼，總是使安全管理員進(jìn)退兩難，密碼設置簡(jiǎn)單容易受到黑客的攻擊，密碼設置復雜又容易忘記。如果條件允許，用智能卡來(lái)代替復雜的密碼是一個(gè)很好的解決方法。

 

 

三、系統權限的設置
１、磁盤(pán)權限
　　系統盤(pán)及所有磁盤(pán)只給 Administrators 組和 SYSTEM 的完全控制權限
　　系統盤(pán)Documents and Settings 目錄只給 Administrators 組和 SYSTEM 的完全控制權限
　　系統盤(pán)Documents and SettingsAll Users 目錄只給 Administrators 組和 SYSTEM 的完全控制權限
　　系統盤(pán)WindowsSystem32cacls.exe、cmd.exe、net.exe、net1.exe、ftp://ftp.exe/、tftp.exe、telnet.exe 、       netstat.exe、regedit.exe、at.exe、attrib.exe、format.com、del文件只給 Administrators 組和SYSTEM 的完全  控制權限 
另將<systemroot>System32cmd.exe、format.com、ftp://ftp.exe/轉移到其他目錄或更名
　　Documents and Settings下所有些目錄都設置只給adinistrators權限。并且要一個(gè)一個(gè)目錄查看，包括下面的所有子目錄。
刪除c:inetpub目錄

２、本地安全策略設置
　　開(kāi)始菜單—>管理工具—>本地安全策略
　　A、本地策略——>審核策略
　　審核策略更改　　　成功　失敗　　
　　審核登錄事件　　　成功　失敗
　　審核對象訪(fǎng)問(wèn)　　　　　　失敗
　　審核過(guò)程跟蹤　　　無(wú)審核
　　審核目錄服務(wù)訪(fǎng)問(wèn)　　　　失敗
　　審核特權使用　　　　　　失敗
　　審核系統事件　　　成功　失敗
　　審核賬戶(hù)登錄事件　成功　失敗
　　審核賬戶(hù)管理　　　成功　失敗

　　B、本地策略——>用戶(hù)權限分配
　　關(guān)閉系統：只有Administrators組、其它全部刪除。
　　通過(guò)終端服務(wù)允許登陸：只加入Administrators,Remote Desktop Users組，其他全部刪除

　　C、本地策略——>安全選項
　　交互式登陸：不顯示上次的用戶(hù)名　　　　　　　啟用
　　網(wǎng)絡(luò )訪(fǎng)問(wèn)：不允許SAM帳戶(hù)和共享的匿名枚舉　 啟用
　　網(wǎng)絡(luò )訪(fǎng)問(wèn)：不允許為網(wǎng)絡(luò )身份驗證儲存憑證　　　啟用
　　網(wǎng)絡(luò )訪(fǎng)問(wèn)：可匿名訪(fǎng)問(wèn)的共享　　　　　　　　　全部刪除
　　網(wǎng)絡(luò )訪(fǎng)問(wèn)：可匿名訪(fǎng)問(wèn)的命　　　　　　　　　　全部刪除
　　網(wǎng)絡(luò )訪(fǎng)問(wèn)：可遠程訪(fǎng)問(wèn)的注冊表路徑　　　　　　全部刪除
　　網(wǎng)絡(luò )訪(fǎng)問(wèn)：可遠程訪(fǎng)問(wèn)的注冊表路徑和子路徑　　全部刪除
　　帳戶(hù)：重命名來(lái)賓帳戶(hù)　　　　　　　　　　　　重命名一個(gè)帳戶(hù)
　　帳戶(hù)：重命名系統管理員帳戶(hù)　　　　　　　　　重命名一個(gè)帳戶(hù)

３、禁用不必要的服務(wù)  開(kāi)始-運行-services.msc
      TCP/IPNetBIOS Helper提供 TCP/IP 服務(wù)上的 NetBIOS 和網(wǎng)絡(luò )上客戶(hù)端的 NetBIOS 名稱(chēng)解析的支持而使用戶(hù)能夠共享
      文件、打印和登錄到網(wǎng)絡(luò )
      Server支持此計算機通過(guò)網(wǎng)絡(luò )的文件、打印、和命名管道共享
　　Computer Browser 維護網(wǎng)絡(luò )上計算機的最新列表以及提供這個(gè)列表
      Task scheduler 允許程序在指定時(shí)間運行
      Messenger 傳輸客戶(hù)端和服務(wù)器之間的 NET SEND 和 警報器服務(wù)消息
　　Distributed File System: 局域網(wǎng)管理共享文件，不需要可禁用
　　Distributed linktracking client：用于局域網(wǎng)更新連接信息，不需要可禁用
　　Error reporting service：禁止發(fā)送錯誤報告
　　Microsoft Serch：提供快速的單詞搜索，不需要可禁用
　　NTLMSecuritysupportprovide：telnet服務(wù)和Microsoft Serch用的，不需要可禁用
　　PrintSpooler：如果沒(méi)有打印機可禁用
　　Remote Registry：禁止遠程修改注冊表
　　Remote Desktop Help Session Manager：禁止遠程協(xié)助
      Workstation   關(guān)閉的話(huà)遠程NET命令列不出用戶(hù)組
　　以上是在Windows Server 2003 系統上面默認啟動(dòng)的服務(wù)中禁用的，默認禁用的服務(wù)如沒(méi)特別需要的話(huà)不要啟動(dòng)。

４、修改注冊表
修改注冊表，讓系統更強壯
1、隱藏重要文件/目錄可以修改注冊表實(shí)現完全隱藏
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows Current-VersionExplorerAdvancedFolderHi-ddenSHOWALL”，鼠標右擊 “CheckedValue”，選擇修改，把數值由1改為0

2、防止SYN洪水攻擊
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesTcpipParameters
新建DWORD值，名為SynAttackProtect，值為2
新建EnablePMTUDiscovery REG_DWORD 0
新建NoNameReleaseOnDemand REG_DWORD 1
新建EnableDeadGWDetect REG_DWORD 0
新建KeepAliveTime REG_DWORD 300,000
新建PerformRouterDiscovery REG_DWORD 0
新建EnableICMPRedirects REG_DWORD 0

3. 禁止響應ICMP路由通告報文
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesTcpipParametersInterfacesinterface
新建DWORD值，名為PerformRouterDiscovery 值為0

4. 防止ICMP重定向報文的攻擊
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesTcpipParameters
將EnableICMPRedirects 值設為0

5. 不支持IGMP協(xié)議
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesTcpipParameters
新建DWORD值，名為IGMPLevel 值為0

6、禁止IPC空連接：
cracker可以利用net use命令建立空連接，進(jìn)而入侵，還有net view，nbtstat這些都是基于空連接的，禁止空連接就好了。
Local_MachineSystemCurrentControlSetControlLSA-RestrictAnonymous 把這個(gè)值改成”1”即可。

7、更改TTL值
cracker可以根據ping回的TTL值來(lái)大致判斷你的操作系統，如：
TTL=107(WINNT);
TTL=108(win2000);
TTL=127或128(win9x);
TTL=240或241(linux);
TTL=252(solaris);
TTL=240(Irix);
實(shí)際上你可以自己改的：HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesTcpipParameters：DefaultTTL REG_DWORD 0-0xff(0-255 十進(jìn)制,默認值128)改成一個(gè)莫名其妙的數字如258，起碼讓那些小菜鳥(niǎo)暈上半天，就此放棄入侵你也不一定哦

8. 刪除默認共享
    有人問(wèn)過(guò)我一開(kāi)機就共享所有盤(pán)，改回來(lái)以后，重啟又變成了共享是怎么回事，這是2K為管理而設置的默認共享，HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesLanmanServerParameters：AutoShareServer類(lèi)型是REG_DWORD把值改為0即可

9. 禁止建立空連接
默認情況下，任何用戶(hù)通過(guò)通過(guò)空連接連上服務(wù)器，進(jìn)而枚舉出賬號，猜測密碼。我們可以通過(guò)修改注冊表來(lái)禁止建立空連接：
Local_MachineSystemCurrentControlSetControlLSA-RestrictAnonymous 的值改成”1”即可。

10、建立一個(gè)記事本，填上以下代碼。保存為*.bat并加到啟動(dòng)項目中
net share c$ /del
net share d$ /del
net share e$ /del
net share f$ /del
net share ipc$ /del
net share admin$ /del

5、IIS站點(diǎn)設置：
1、將IIS目錄＆數據與系統磁盤(pán)分開(kāi)，保存在專(zhuān)用磁盤(pán)空間內。
2、啟用父級路徑
3、在IIS管理器中刪除必須之外的任何沒(méi)有用到的映射（保留asp等必要映射即可）
4、在IIS中將HTTP404 Object Not Found出錯頁(yè)面通過(guò)URL重定向到一個(gè)定制HTM文件
5、Web站點(diǎn)權限設定（建議）
讀                 允許
寫(xiě)                 不允許
腳本源訪(fǎng)問(wèn)        不允許
目錄瀏覽        建議關(guān)閉
日志訪(fǎng)問(wèn)        建議關(guān)閉
索引資源        建議關(guān)閉
執行             推薦選擇 “僅限于腳本”
6、建議使用W3C擴充日志文件格式，每天記錄客戶(hù)IP地址，用戶(hù)名，服務(wù)器端口，方法，URI字根，HTTP狀態(tài)，用戶(hù)代理，而且每天均要審查日志。（最好不要使用缺省的目錄，建議更換一個(gè)記日志的路徑，同時(shí)設置日志的訪(fǎng)問(wèn)權限，只允許管理員和system為Full Control）。
7、程序安全:
1) 涉及用戶(hù)名與口令的程序最好封裝在服務(wù)器端，盡量少的在A(yíng)SP文件里出現，涉及到與數據庫連接地用戶(hù)名與口令應給予最小的權限;
2) 需要經(jīng)過(guò)驗證的ASP頁(yè)面，可跟蹤上一個(gè)頁(yè)面的文件名，只有從上一頁(yè)面轉進(jìn)來(lái)的會(huì )話(huà)才能讀取這個(gè)頁(yè)面。
3) 防止ASP主頁(yè).inc文件泄露問(wèn)題;
4) 防止UE等編輯器生成some.asp.bak文件泄露問(wèn)題。

6、IIS權限設置的思路
•要為每個(gè)獨立的要保護的個(gè)體（比如一個(gè)網(wǎng)站或者一個(gè)虛擬目錄）創(chuàng )建一個(gè)系統用戶(hù)，讓這個(gè)站點(diǎn)在系統中具有惟一的可以設置權限的身份。
•在IIS的【站點(diǎn)屬性或者虛擬目錄屬性→目錄安全性→匿名訪(fǎng)問(wèn)和驗證控制→編輯→匿名訪(fǎng)問(wèn)→編輯】填寫(xiě)剛剛創(chuàng )建的那個(gè)用戶(hù)名。
•設置所有的分區禁止這個(gè)用戶(hù)訪(fǎng)問(wèn)，而剛才這個(gè)站點(diǎn)的主目錄對應的那個(gè)文件夾設置允許這個(gè)用戶(hù)訪(fǎng)問(wèn)（要去掉繼承父權限，并且要加上超管組和SYSTEM組）。

7、卸載最不安全的組件
最簡(jiǎn)單的辦法是直接卸載后刪除相應的程序文件。將下面的代碼保存為一個(gè).BAT文件，( 以下均以 WIN2000 為例，如果使用2003，則系統文件夾應該是 C:WINDOWS )
regsvr32/u C:WINDOWSSystem32wshom.ocx
del C:WINDOWSSystem32wshom.ocx
regsvr32/u C:WINDOWSsystem32shell32.dll
del C:WINNTWINDOWSshell32.dll

然后運行一下，WScript.Shell, Shell.application, WScript.Network就會(huì )被卸載了?？赡軙?huì )提示無(wú)法刪除文件，不用管它，重啟一下服務(wù)器，你會(huì )發(fā)現這三個(gè)都提示“×安全”了。