Windows Server 2003 虛擬機器主機的安全配置_Windows2003

本人上次工作於某家網路公司.負責伺服器的維護工作.現失業.
經過一段時間的瞭解.自認為在構件Windows伺服器平台上有所經驗.
鑒於現在很多朋友都開始謀劃屬於自己的虛擬機器主機.並且呢.
網上相關文章都是很老的那種.所以自己冒昧準備寫一系列. 
希望各位多多指點.有問題有錯誤多多斧正.謝謝.
開頭很嚴肅吧.呵呵.那下面就輕鬆點.哎.才跟GF去吃午飯了.撐的我.哎.老打嗝.
這人跟機器就一樣.快的確是挺好.但是要穩定.伺服器的穩定就好比談戀愛的穩定.
否則一天三頓吵.外加吃個消夜.那就甭想好點工作了.呵呵.要建立穩定的戀愛關係.
那首先.基礎很重要.人品.性格.愛好.對不對?那我們就先說硬體吧.
當然推薦品牌的伺服器.DELL.IBM.都挺好.如果你跟我一樣窮.那自己裝一台也成.
主板非IWLL.ASUS.INTEL的不要.CPU當然要HT P4的.512 DDR.裝起來也湊合.
自己曾經用一PC做過一段時間的測試.如果硬體品質都過關.其實也非常強.
然後是重要的伺服器作業系統.鑒於本人水平有限制.我們暫時不探討REDHAT.
首推Windwos Server 2003.尤其是安全性和IIS.比W2K要強很多.執行效率高.穩定安全.
在正式進入主題之前.套用FIRE的話作為整個工程的開場白:
"請不要嘗試去攻擊任何一台主機.因為你永遠都無法知道.
你的對面的管理員.到底是一個天才還是一個偽裝成白癡的天才."
裝系統估計人人都會裝.那我不多說.免得人說我騙稿費.在安裝之前.我們還是要談下伺服器的分區.
跟PC分區還是有一點不同的.我按我以前自己做的分區設定羅列一下.下面的內容比較重要.
系統磁碟分割定在C盤.個人認為8G足夠了.10G也行.NTFS格式.因為在2003下.非NTFS不能安裝IIS.
許可權保持預設.因為我曾經修改過一次系統硬碟的預設許可權.結果不知道為什麼系統就給崩了.55555.
軟體分區定在D盤.8G到10G.主要安裝輔助軟體.WINRAR.日誌檢測軟體.網路檢測軟體.Commview這類等.
至於MSN哦.QQ哦什麼的.其實不推薦安裝.為什麼.當然會有點小隱患.推薦使用NTFS格式.
許可權請保留ADMIN組和SYSTEM組.一共兩個.其他的一律DEL掉.尤其是什麼EVERYONE.
為什麼.因為安裝到系統中SYSTEM當然是必須具備.然後管理員要操作.所以要ADMIN組.
E盤我們做為伺服器軟體的安裝分區.大小自己定義.包括CGI.PHP.ZEND.MYSQL.MSSQL.IMAIL.SERV-U等.
檔案格式為NTFS.許可權保留ADMIN組.SYSTEM組.和"IWAN_你的電腦名稱"這個帳號.一共三個.其他的DEL掉.
說明一下.這個"IWAN_你的電腦名稱"帳號.主要是負責操作應用程式位址集區和伺服器軟體.比如PHP指令碼.
F盤就可以做對外服務的分區.比如IIS的WEB服務.FTP空間.IMAIL郵件帳號空間.
建議建立三個檔案夾: WEB.FTP和IMAIL.然後分門別類的放置每個軟體的每個帳號的目錄.
並且不繼承F盤的父許可權.獨立來定製這三個目錄的操作許可權.具體我們下面說.
推薦許可權為保留如下三個組: ADMIN組和SYSTEM組以及"USER_你的電腦名稱"這個帳號組.
"USER_你的電腦名稱"這個帳號組.許可權為GUESTS.是匿名訪問WEB伺服器的預設帳號.
如果需要有寫操作許可權的另外建立個帳號.具體可以參考FSO分配這類文章.
G盤為FTA32格式.放置系統安裝檔案.日常工具軟體的安裝程式.系統備份.策略等等.
注意.敏感內容請通過第三方軟體加密.以免病毒感染或者被駭客捆綁後門和木馬.
如果條件允許就做異地備份.光碟片或者磁帶機備份.建議裝個GHOST 2003.對於重要內容可以做鏡像檔案.
到這裡基本上比較合理的分配了空間.並且也考慮以後的拓展性.我們可以準備進入下面的環節了.
下面我們來說安裝.哎哎.你.坐好.雖然我出去了一下.出去的一小下而已嘛.
你也要注意紀律.什麼?說我只知道陪MM不寫教程.你知道個啥.兩手都要硬.明白不?
安裝的情況.這個.一般情況下分兩種.不排除有變態的第N種可能.
對了.有一期科幻世界上有一篇叫第九種可能的文章.挺不錯的.哦哦.打住打住.
首先是升級.WINDOWS 2003好象不支援WINDOWS 2000 PRO上的升級.
個人推薦還是別整什麼升級的好.直接重新安裝.免去了很多D版出現的妖異問題.
掃盲: 妖異問題就是一些搞半天搞不好不知道怎麼搞不好最後不知道怎麼自己搞好或者是別人隨便一搞就搞好的問題.
直接安裝.如果你的系統是好的.我是說.可以進入系統並且可以使用CD-ROM的情況.
你可以選擇直接在現有的系統上安裝.然後選擇重新安裝.輸入SN序號.直接NEXT就可以了.
注意在安裝的時候.如果你做對外的伺服器就選擇系統硬碟為NTFS格式.資料分割配置見上面的.
如果你是自己用.做本地調試或者是測試的.那就隨便你怎麼弄吧.只要你覺得舒服.
OK.下面來說一下純DOS裡面的安裝.雖然是很OLD的內容.
在DOS裡面要使用一個名為 Smartdrv.exe 的命令.
意思是增補磁碟快取.什麼意思?我不想跟 IQ < 70 的人探討技術問題.
這個命令可以在 Windows 98 的安裝目錄裡找到.直接執行就可以了.不需要增加參數.
執行結果以後是什麼樣?沒什麼樣.你多執行幾次就會看到效果了.知道不?
然後執行 FORMAT C: /S/Q 切記.
如果你想保證你的 WINDOWS 2003 以後能擁有 DOS 啟動進入 MS-DOS 環境的話.
請一定按照我上面說的做.只要在安裝 WINDOWS 20003 之前把系統 FORMAT 以後.
以後安裝完 WINDOWS 2003 以後.可以通過如下方法進入 純DOS 環境而不需要其他引導光碟片.
啟動電腦.按 F8 鍵.進入 WINDOW 2003 SERVER 的作業系統進階選擇菜單.
選擇 帶命令的安全模式 然後選擇 MICROSOFT WINDWOS 即可.
另外一個命令.說實話我也不知道是做什麼用的.名為 Lock.exe 的命令.
看樣子似乎是鎖定.一般的用法是執行完 Smartdrv.exe 以後執行一個 Lock.exe C: 假設你要裝到C盤.
Lock.exe命令 - 解釋:
執行該程式可有效地鎖住你的光碟機.
使光碟機上的EJECT鍵暫時失效.直至用UNLOCK.EXE或RESET.EXE程式解鎖.
重新啟動電腦也可使EJECT鍵再次生效.
LOCK.EXE的應用格式為:
LOCK [device]
其中device即CD-ROM的盤號.預設為第一光碟機.
總結一下流程.HOHO.
1. 修改 CMOS 為 CD-ROM 引導.不會?那一邊涼快去.
2. 放入 Windows 98 引導光碟片.進入Dos模式.進入 Windows 98 安裝目錄.執行 Smartdrv.exe 和 Lock.exe C:
3. 彈出光碟片.更換一張 Windows 2003 Server 的安裝光碟片.進入 I386 目錄.執行 Winnt.exe
好了.開始安裝了.隨便說一句.在安裝的時候請不要設定Administrator的密碼.就為 Null 空著.
為什麼.你不聽我話算了.以後出現問題了別找我.也不要怪我沒說.
下面就進入最關鍵的環節了.大家振作精神.
如果你硬碟空間足夠的話.並且現在時間也比較充足.那我推薦下面的步驟.
1. 重新啟動系統.按F8.進入命令提示的模式.選擇 MICROSOFT WINDWOS.
2. 進入 DOS 以後.啟動 GHOST.做個 WINDOWS 2003 C盤的 GHO 檔案.放到 FAT32 分區上.
關於第一點.請認真參看上面關於在 WINDOWS 2003 上進入純 DOS 的內容.
如果你沒有按我前面說的做.那就使用 CD-ROM 引導.然後修改 CMOS 啟動.進入 DOS 環境.
做好GHO檔案以後.就不怕以後萬一崩潰以後重新安裝的麻煩.
當然.你也可以把 "小白" 更新 Windows Update 以後做GHO.
本人推薦把乾淨的系統通過 更新 Windows Update 以後.什麼都不做.然後直接GHOST做GHO.不過前提是你比較瞭解系統.
下面繼續.GOGO.
把NIC卡.也就是網卡啦.禁用.然後設定好IP和DNS.GATEWAY.不要啟用.切記.
為什麼?因為如果你SERVER.那當然你一旦設定好NIC資訊就可以上網了.但是在安裝的時候沒有設定 ADMINISTRATORS 的密碼.
所以連入網路就會不安全.別說一會兒沒事.我們不能保證無聊的人在窺視你的網路.呵呵.萬一遇到個瞎貓也不好嘛.
現在伺服器暫時無法連通任何網路.
這樣可以防止裸機被衝擊波或者HACKER掃描.
可以說是安全的.推薦這個時候操作人員不要離開工作台.呵呵.
下面高舉註冊表和組策略大法.開始我們的核心之旅途.
在開始之前.我想說的是.我們必須深入瞭解這台伺服器的用途.
每種用途針對不同的設定和部署策略.只有最合適的也才可能是最安全的.
按我下面的例子繼續展開.GO.
我選了一個比較典型的例子.比如一台伺服器.準備作為WEB+FTP+MAIL服務.
分細緻一點列在下面:
1. WEB當然是使用 IIS 6.0 支援 ASP.PHP.CGI 指令碼.
2. FTP使用 SERV-U 5.0 中文版
3. MAIL使用 IMAIL 8.02 中文版
4. 資料庫使用 MYSQL 資料庫.當然是 5.0 版本的.PHP 也用 5.0.
5. 其他的.比如ZEND.JMAIL一律使用官方最新版本.
上面這類軟體推薦在官方網站下載.或者是去 www.SKYCN.NET 下載.
按照上面的列表.我們可以得到最後的結果.開放連接埠如下:
80 => WEB
21 => FTP
25 => MAIL
110 => MAIL
3389 => 終端服務
8383 => MAIL WEB
我們可以按照上面的.以後做個可靠的IP和PORT策略.
即除了上面的TCP PORT.一律給予BLOCK.
當然了.推薦也將ICMP ECHO給予關閉.
如果你需要遠端管理.推薦使用 PCANYWHERE 或者 WIN的終端服務 或者 WINVNC.
該例子我們選用了 WINDOWS 2003 的終端服務.所以上面開放了 3389 連接埠.
隨便說一下.網上有很多人很多教材推薦要通過註冊表修改終端服務的連接埠.
這裡我想說的是.根本不需要.完全是杞人憂天.自己耽誤工夫.
對於現在的 SP4 的 W2K 或者是 WINDOWS 2003.
終端服務已經非常完善和安全.如果一個管理員通過合理和正確的配置.
完全可以讓伺服器.我是說.裸機.暴露在網上承受每天10W次的掃描和嘗試攻擊.
除指令碼漏洞以外.幾乎是沒有什麼安全