您现在的位置是: 首页 > 软件应用 软件应用
win2003路由设置_windows怎么设置路由器
tamoadmin 2024-08-22 人已围观
简介1.两台WIN2003服务器各有两个网卡,连接两个不同网段,求互通的方法(软路由)2.谁能给我说一些Windows2003的优化设置首先要有一台通过路由器可以上网的Win2003服务器,并且服务器上已经安装了各种服务,如Web网站、远程桌面控制、路由管理等。并拥有一个花生壳账号。并设置DDNS。进入路由设置1、转发规则-虚拟服务器-添加新条目>使用接口,默认一般只有1个。>服务端口号,
1.两台WIN2003服务器各有两个网卡,连接两个不同网段,求互通的方法(软路由)
2.谁能给我说一些Windows2003的优化设置
首先要有一台通过路由器可以上网的Win2003服务器,并且服务器上已经安装了各种服务,如Web网站、远程桌面控制、路由管理等。并拥有一个花生壳账号。并设置DDNS。
进入路由设置
1、转发规则-虚拟服务器-添加新条目
>使用接口,默认一般只有1个。
>服务端口号,是指局域网的WIN2003服务器中的某个服务的端口号,如要用转发远程桌面,那么端口号就是3389。如果是web,端口号就是80。
>IP地址,是指局域网的WIN2003服务器的IP地址
>协议,一般都是TCP/IP
>状态,生效
>常用服务端口,不用管
>设置好以上的,记得保存
2、设置动态DNS(DDNS)
>输入花生壳账号和密码
>启用DDNS
>登陆成功
>保存
Tisp:
1、路由器设置转发规则那台服务器或者电脑,一定要开机服务正常,不然是无法映射的。
2、如果有修改端口,需要及时更正。
3、有部分家庭宽带可能无法正常使用80端口,因为给运营商封了。
4、如果有设置转发规则,一定修改默认端口,提高安全性。
两台WIN2003服务器各有两个网卡,连接两个不同网段,求互通的方法(软路由)
这是常见的问题,其实就是服务端的问题,等待一会儿就会好.中国的网络就是这么烂的.
678 服务器没有应答。
调制解调器或其他设备没有摘机。检查号码,再拨号。如果是虚拟专用网络 (***) 连接,则检查目标服务器的主机名或 IP 地址,然后再次尝试连接。还要确保电话线(网线)插在调制解调器(网卡)的正确插槽中。
附录:
600 操作挂起。
发生内部错误,重新启动计算机,以确保所有最近所作的配置更改都能生效。
601 检测到无效的端口句柄。
发生内部错误,重新启动计算机,以确保所有最近所作的配置更改都能生效。
602 指定的端口已打开。
网络连接试图使用的com端口正在被其他活动的网络连接或其他的进程(例如:诸如传真程序之类的电话线路监视程序)使用。退出阻止使用com端口的应用程序。
603 呼叫人的缓冲区太小。
发生内部错误,重新启动计算机,以确保所有最近所作的配置更改都能生效。
604 指定了不正确的信息。
远程访问记事簿文件和当前的“网络和拨号连接”配置可能不一致如果更改了通讯设备(例如:串行口或调制解调器),请确保重新配置“网络和拨号连接”。
605 不能设置端口信息。
远程访问记事簿文件和当前的“网络和拨号连接”配置可能不一致如果更改了通讯设备(例如:串行口或调制解调器),请确保重新配置“网络和拨号连接”。如果错误仍然存在,请删除并重新创建“网络和拨号连接”.
606 指定的端口未连接。
发生内部错误,重新启动计算机,以确保所有最近所作的配置更改都能生效。
607 检测到无效。
发生内部错误,重新启动计算机,以确保所有最近所作的配置更改都能生效。
608 指定的设备不存在。
远程访问记事簿文件和当前的“网络和拨号连接”配置可能不一致如果更改了通讯设备(例如:串行口或调制解调器),请确保重新配置“网络和拨号连接”。如果错误仍然存在,请删除并重新创建“网络和拨号连接”.
609 指定的设备类型不存在。
远程访问记事簿文件和当前的“网络和拨号连接”配置可能不一致如果更改了通讯设备(例如:串行口或调制解调器),请确保重新配置“网络和拨号连接”。如果错误仍然存在,请删除并重新创建“网络和拨号连接”.
610 指定的缓冲区无效。
发生内部错误,重新启动计算机,以确保所有最近所作的配置更改都能生效。
611 指定的路由不可用。
网络配置可能不正确,重新启动计算机,以确保所有最近所作的配置更改都能生效。如果错误仍然存在,请参考Windows 2000错误日志,查找详细的警告或错误。
612 指定的路由未分配。
网络配置可能不正确,重新启动计算机,以确保所有最近所作的配置更改都能生效。当计算机运行在一个很低的情况下时,也会发生这种错误。如果错误仍然存在,请参考Windows 2000错误日志,查找详细的警告或错误。
613 指定的压缩无效。
发生内部错误,重新启动计算机,以确保所有最近所作的配置更改都能生效。
614 没有足够的缓冲区可用。
发生内部错误,重新启动计算机,以确保所有最近所作的配置更改都能生效。如果错误仍然存在,请参考Windows 2000错误日志,查找详细的警告或错误。
615 未找到指定的端口。
远程访问记事簿文件和当前的“网络和拨号连接”配置可能不一致如果更改了通讯设备(例如:串行口或调制解调器),请确保重新配置“网络和拨号连接”。如果错误仍然存在,请删除并重新创建“网络和拨号连接”.
616 异步请求挂起。
发生内部错误,重新启动计算机,以确保所有最近所作的配置更改都能生效。
617 调制解调器已经断开连接。
等待“网络和拨号连接”完成断开。
618 指定的端口未打开。
发生内部错误,重新启动计算机,以确保所有最近所作的配置更改都能生效。
619 指定的端口未连接。
重新启动计算机,以确保所有最近所作的配置更改都能生效。
620 无法决定端点。
网络配置可能不正确,重新启动计算机,以确保所有最近所作的配置更改都能生效。如果错误仍然存在,请参考Windows 2000错误日志,查找详细的警告或错误。
621 系统无法打开电话簿。
“网络和拨号连接”使用位于%systemroot%\system32\ras文件夹中的rasphone.pbk文件。请确保此文件位于该文件夹中,然后重新启动网络和拨号连接。
622 系统无法加载电话簿。
“网络和拨号连接”使用位于%systemroot%\system32\ras文件夹中的rasphone.pbk文件。请确保此文件位于该文件夹中,然后重新启动网络和拨号连接。 623 系统无法找到此连接的电话簿项。 “网络和拨号连接”位于电话簿,但不能找到指定的连接项。该错误不应该发生,除非另一个应用程序正在使用“网络和拨号连接”并且使用了不正确的连接项。
评论(3)┆阅读(20)
论坛评论
无力回天
01.19 12:15
622 系统无法加载电话簿。
“网络和拨号连接”使用位于%systemroot%\system32\ras文件夹中的rasphone.pbk文件。请确保此文件位于该文件夹中,然后重新启动网络和拨号连接。 623 系统无法找到此连接的电话簿项。 “网络和拨号连接”位于电话簿,但不能找到指定的连接项。该错误不应该发生,除非另一个应用程序正在使用“网络和拨号连接”并且使用了不正确的连接项。
624 系统无法更新电话簿文件。
“网络和拨号连接”使用位于%systemroot%\system32\ras文件夹中的rasphone.pbk文件。请确保磁盘未满,并且有更改文件的权限。
625 系统在电话簿中找到无效信息。
电话簿文件rasphone.pbk可能已经损坏,从%systemroot%\system32\ras文件夹中删除该文件,然后重新启动“网络和拨号连接”,创建一个新文件。
626 无法加载字符串。
发生内部错误,重新启动计算机,以确保所有最近所作的配置更改都能生效。如果错误仍然存在,请参考Windows 2000错误日志,查找详细的警告或错误。
627 无法找到关键字。
“网络和拨号连接”的配置文件之一可能含有无效信息,如果正使用Windows 2000不支持的调制解调器,则应安装使用支持的调制解调器。
628 连接被关闭。
如果是拨号连接,请重拨。如果持续得到该消息,请减小调制解调器的初始速度,并关闭调制解调器的高级特性。如果问题仍然存在,请与系统管理员联系。如果是虚拟专用网络(***)连接,访问可能因远程访问策略或其他身份验证问题而被拒绝。请向系统管理员咨询。
629 连接被远程计算机关闭。
连接链接因下列某一原因断开:
1、无法恢复的电话线路错误
2、噪声线路
3、被系统管理员断开
4、不能以选定的速度与远程访问服务器上的调制解调器正确地进行协商。
如果重拨错误仍然存在,请把连接的调制解调器的速度降低,然后,试着重拨。可尝试连接其他的服务器以确定此问题是否与正在呼叫的特定远程访问服务器有关。同样,也可尝试通过另一个电话线连接到原始服务器。
630 由于硬件故障,调制解调器断开连接。
链接因下列某一原因断开:
1、调制解调器(或其他的通讯设备)发生了无法恢复的错误。
2、通讯端口发生了无法恢复的错误。
3、调制解调器电缆没有插上。
要诊断并更正问题,请执行下列操作:
1、确保调制解调器已经通电,并且电缆可靠地连接。
2、确保调制解调器正常运行,可以通过控制面板进行指令测试。
631 用户断开了调制解调器连接。
计算机的某个操作断开了连接。重拨。
632 检测到不正确的结构大小。
发生内部错误,重新启动计算机,以确保所有最近所作的配置更改都能生效。如果错误仍然存在,请参考Windows 2000错误日志,查找详细的警告或错误。
633 调制解调器正在使用或没有配置为拨出。
如果是拨号网络连接,网络连接试图使用的com端口正在被其他活动的网络连接或其他的进程(例如:诸如传真程序之类的电话线路监视程序)使用。退出阻止使用com端口的应用程序。
如果是虚拟专用网络(***),则不能打开网络连接试图使用的***设备。如果问题仍然存在,请向系统管理员咨询。
634 您的计算机无法在远程网络上注册。
远程访问服务器不能在网络上注册你的计算机名称,这一般随着NetBIOS协议一起出现,但也可能随着tcp/ip或者ipx一起出现。通常,当地址已经在网络上使用时,会发生此错误。请与系统管理员联系。
635 出现未知错误。
发生内部错误,重新启动计算机,以确保所有最近所作的配置更改都能生效。如果错误仍然存在,请参考Windows 2000错误日志,查找详细的警告或错误。
636 连接到端口的设备不是所期望的设备。
用于连接的硬件配置和配置设置可能互相矛盾,如果更改通讯设备(例如串行端口或调制解调器),重新配置拨号连接。
637 检测到不能转换的字符串。
发生内部错误,重新启动计算机,以确保所有最近所作的配置更改都能生效。
638 请求超时。
发生内部错误,重新启动计算机,以确保所有最近所作的配置更改都能生效。
639 异步网络不可用。
NetBIOS网络配置可能不正确。重新启动计算机,以确保所有最近所作的配置更改都能生效。
无力回天
01.19 12:16
640 发生与 NetBIOS 有关的错误。
调制解调器不能以设置的速度协商连接,将调制解调器的初始速度设置为较低的值,然后重拨。也可以尝试禁用调制解调器压缩和软件压缩。如果还不能建立连接,请试着将ipx/spx、NetBIOS协议添加到该连接。
641 服务器不能分配支持客户机所需的 NetBIOS 。
请系统管理员提高远程访问服务器的容量,或者停掉一些不重要的服务,如:信使服务、网络DDE.
642 计算机的某个 NetBIOS 名已经在远程网络上注册。
同名的另一计算机已经登陆到远程网络,网络中的每一台计算机都必须以唯一的名称进行注册,验证下列项目:
1、与你的计算机同名的计算机不位于你正在连接到的网络。
2、计算机没有物理地连接到正在试图连接的网络。
643 服务器端的网卡出现故障。
请将该错误报告给系统管理员。
644 您将无法接收网络弹出式消息。
连接到网络的另一台计算机正在使用你的计算机名,写给你的消息被发送到该计算机。如果要接收远程工作站的消息,则在下次拨入网络之前必须记着注销办公用计算机。该错误不影响outlook、outlook express、exchange发送的消息。
645 发生内部身份验证错误。
发生内部错误,重新启动计算机,以确保所有最近所作的配置更改都能生效。
646 此时间不允许该帐户登录。
为限制到该网络的访问配置账户。如果需要在一天的不同时间(而不是当前配置的时间)访问网络,请系统管理员更改设置。
647 此帐户被禁用。
用户账号是禁用的。这可能是因为重复的登陆失败尝试,或因为系统管理员因为安全原因而禁用了该账户。请系统管理员启用“本地用户和组”中的账户。
648 该帐户的密码已过期。
如果通过“网络和拨号连接”进行连接,则系统会提示更改密码。如果使用rasdial进行连接,则可以通过如下操作更改密码:
1、按Ctrl+Alt+Del
2、单击“更改密码”,然后按照提示操作
如果你是系统管理员,但是你的密码过期,你自己不能更改密码,只能由另外的管理员来更改。
649 帐户没有拨入的权限。
由于下列原因,导致帐户没有拨入的权限:
1.在选定的域内拥有有效帐户,但该帐户没有访问远程网络的权限。请系统管理员启用用户帐户的拨入权限,或者启用“路由和远程访问”中的拨入权限。
2.帐户或者已经到期、被禁用、或者已被锁定或者拨入访问已被锁定。
试图在所允许的服务器登录时间限制之外进行连接,或者试图在所允许的拨入访问的时间界限之外进行连接,或者应用到该帐户的策略可能不允许拨入访问。
3.呼叫者的 ID 规则可能阻止了连接的进行,例如,需要从指定的号码拨入帐户。
4.远程计算机可能只允许本地帐户进行连接。
5.要求某个身份验证协议,而计算机不能对此协议进行协商,或者计算机正在试图使用未被远程计算机上的策略验证的协议。
如果在其他域内拥有拨入权限的帐户,请执行下列操作以使用该域上的帐户。
1.右键单击连接,然后单击“属性“。
2.在“选项”选项卡上,选中用于名称、密码、证书等的“提示符”以及 Windows 登录域复选框。
3.在“安全措施”选项卡中,清除“自动使用我的 Windows 登录名和密码(及域,如果有的话)”复选框,然后单击“确定”。
4.双击该连接,然后单击“拨号”。
5.指定适当的用户名、密码和域。
650 远程访问服务器没有响应。
下列情况中的任一种都可能导致该错误:
1.没有运行远程访问服务器。与系统管理员联系,以确保该服务器正在运行。
2.线路噪声太大,或者调制解调器不能以选定速度与远程访问服务器的调制解调器正确地协商。对于任一可能性,都应降低调制解调器的初始速度 (bps),然后重拨。
3.检查“硬件兼容列表”,以确保您的调制解调器已被列出。
4.可能需要更换调制解调器的串行电缆。
5.用于连接的身份验证设置可能不正确。请与系统管理员联系,以确保您的身份验证设置满足远程访问服务器的要求。
6.可能同时启用了远程访问服务器的软件压缩和调制解调器硬件压缩。通常,启用远程服务器软件压缩,禁用硬件压缩。
651 调制解调器报告错误。
调制解调器(或其他设备)报告错误。
如果是拨号连接,并且您正在使用所支持的外置调制解调器,请关闭并重新启动调制解调器。关闭并重新启动。
652 有一个来自调制解调器的无法识别的响应。
调制解调器(或其他设备)返回的消息没在您的一个或多个脚本文件(Pad.inf、Switch.inf 或 filename.scp)中列出。如果正在使用支持的外置调制解调器,请关闭并重新启动调制解调器,然后重拨。如果问题仍然存在,请尝试以较低的初始速度连接。
无力回天
01.19 12:17
676 电话线忙。
重拨号码。在连接属性的“选项”选项卡中实现自动重拨。如果是虚拟专用网络 (***) 连接,则检查目标服务器的主机名或 IP 地址,然后再次尝试连接。还要与系统管理员联系,以验证远程服务器是否正在运行。
678 服务器没有应答。
调制解调器或其他设备没有摘机。检查号码,再拨号。如果是虚拟专用网络 (***) 连接,则检查目标服务器的主机名或 IP 地址,然后再次尝试连接。还要确保电话线(网线)插在调制解调器(网卡)的正确插槽中。
679 系统无法检测载波。
调制解调器或其他设备没有摘机。如果远程调制解调器没有摘机,则很多调制解调器会返回该错误。检查号码,再拨号。如果是虚拟专用网络 (***) 连接,则检查目标服务器的主机名或 IP 地址,然后再次尝试连接。在连接属性的“选项”卡中可以实现自动重拨。
680 没有拨号音。
电话线可能不正确连接到调制解调器或已从调制解调器断开。电话号码访问外部线路需要前缀,例如 9,或者号码太长。 确保电话线插在调制解调器的正确插槽中。还要确保添加了连接到外线的所有特殊访问号码,例如前缀 9 后跟随一逗号。例如: 9,555*0100。 检查电话线是否有口吃音调,该音调表示语音邮件消息。 很多调制解调器拨号不能超过34位数字。遇到较长的号码时,这些调制解调器将其分为两个或更多的字符串,只拨入第一个字符串(不完整)。这发生在 Robotics 和Multitech 的解调器中。该问题的已知的唯一解决方法是使用另一品牌的调制解调器。
691 因为用户名和/或密码在此域上无效,所以访问被拒绝。
没有用所列出的域注册用户帐户,密码过期,或者错误地输入了信息。如果没指定域,则远程访问服务器试图在自己为其成员的域中验证用户名和密码。
请仔细重新键入用户名、密码和域。如果不能肯定该信息,请向系统管理员咨询。
692 调制解调器出现硬件故障。
调制解调器(或其他设备)由于下列原因而没有响应:
调制解调器关掉、出故障或没有可靠地连接到计算机上。
要解决该问题,请执行下列操作:
1)重设调制解调器。详细信息,请查阅硬件文档。
2)如果正在使用外置调制解调器,请确保使用合适的串行电缆,并且电缆连接可靠。可能要尝试更换调制解调器电缆。同样地,如果正在使用适配器将外置调制解调器连接到串行端口,则要确保适配器接线正确以用于调制解调器通讯。例如,用于鼠标的 9 至 25 针适配器在串行网络连接中不能正确工作。
3)测试串行端口或多端口适配器,如必要则更换。
4)确保调制解调器的握手选项配置正确。请查阅硬件文档,以获取可用于您的调制解调器的不同握手选项的信息。
5)如果“网络和拨号连接”不支持您的调制解调器,则切换到支持的调制解调器。
6)验证其他应用程序(例如,“超级终端”)没有使用通讯端口。如果正在使用此端口,随后启动“网络和拨号连接”可能导致该消息出现。
695 未启动状态机器。
696 已启动状态机器。
6 响应循环未完成。
谁能给我说一些Windows2003的优化设置
1,首先,你可以去掉交叉线的连接。
2,你的意思是不是在上面去掉交叉线的情况下,服务器A可以直接ping通192.168.1.200,如果
是,
a 可以把两台服务器的192类的IP设置在网卡1上,做多IP处理。
b 可以确保网卡2是up的情况(不是未连接状态),并且无环路的话,你分别在两个服务器加静态路由表解决:
服务器a,运行cmd,输入route add 192.168.1.200 mask 255.255.255.255 10.1.12.20
服务器b,运行cmd,输入route add 192.168.1.100 mask 255.255.255.255 10.1.12.10
优化你安装精简版好了 要是服务器还是安全与稳定第一
第一步:
一、先关闭不需要的端口
我比较小心,先关了端口。只开了3389 21 80 1433(MYSQL)有些人一直说什么默认的3389不安全,对此我不否认,但是利用的途径也只能一个一个的穷举爆破,你把帐号改了密码设置为十五六位,我估计他要破上好几年,哈哈!办法:本地连接--属性--Internet协议(TCP/IP)--高级--选项--TCP/IP筛选--属性--把勾打上 然后添加你需要的端口即可。PS一句:设置完端口需要重新启动!
当然大家也可以更改远程连接端口方法:
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp]
"PortNumber"=dword:00002683
保存为.REG文件双击即可!更改为9859,当然大家也可以换别的端口, 直接打开以上注册表的地址,把值改为十进制的输入你想要的端口即可!重启生效!
还有一点,在2003系统里,用TCP/IP筛选里的端口过滤功能,使用FTP服务器的时候,只开放21端口,在进行FTP传输的时候,FTP 特有的Port模式和Passive模式,在进行数据传输的时候,需要动态的打开高端口,所以在使用TCP/IP过滤的情况下,经常会出现连接上后无法列出目录和数据传输的问题。所以在2003系统上增加的windows连接防火墙能很好的解决这个问题,所以都不推荐使用网卡的TCP/IP过滤功能。所做FTP下载的用户看仔细点,表怪俺说俺写文章是垃圾...如果要关闭不必要的端口,在\\system32\\drivers\\etc\\services中有列表,记事本就可以打开的。如果懒惰的话,最简单的方法是启用WIN2003的自身带的网络防火墙,并进行端口的改变。功能还可以!Internet 连接防火墙可以有效地拦截对Windows 2003服务器的非法入侵,防止非法远程主机对服务器的扫描,提高Windows 2003服务器的安全性。同时,也可以有效拦截利用操作系统漏洞进行端口攻击的,如冲击波等蠕虫。如果在用Windows 2003构造的虚拟路由器上启用此防火墙功能,能够对整个内部网络起到很好的保护作用。
二、关闭不需要的服务 打开相应的审核策略
我关闭了以下的服务
Computer Browser 维护网络上计算机的最新列表以及提供这个列表
Task scheduler 允许程序在指定时间运行
Routing and Remote Access 在局域网以及广域网环境中为企业提供路由服务
Removable storage 管理可移动媒体、驱动程序和库
Remote Registry Service 允许远程注册表操作
Print Spooler 将文件加载到内存中以便以后打印。要用打印机的朋友不能禁用这项IPSEC Policy Agent 管理IP安全策略以及启动ISAKMP/OakleyIKE)和IP安全驱动程序Distributed Link Tracking Client 当文件在网络域的NTFS卷中移动时发送通知Com+ Event System 提供的自动发布到订阅COM组件
Alerter 通知选定的用户和计算机管理警报
Error Reporting Service 收集、存储和向 Microsoft 报告异常应用程序
Messenger 传输客户端和服务器之间的 NET SEND 和 警报器服务消息
Telnet 允许远程用户登录到此计算机并运行程序
把不必要的服务都禁止掉,尽管这些不一定能被攻击者利用得上,但是按照安全规则和标准上来说,多余的东西就没必要开启,减少一份隐患。
在"网络连接"里,把不需要的协议和服务都删掉,这里只安装了基本的Internet协议(TCP/IP),由于要控制带宽流量服务,额外安装了Qos数据包程序。在高级tcp/ip设置里--"NetBIOS"设置"禁用tcp/IP上的NetBIOS(S)"。在高级选项里,使用"Internet连接防火墙",这是windows 2003 自带的防火墙,在2000系统里没有的功能,虽然没什么功能,但可以屏蔽端口,这样已经基本达到了一个IPSec的功能。
在运行中输入gpedit.msc回车,打开组策略编辑器,选择计算机配置-Windows设置-安全设置-审核策略在创建审核项目时需要注意的是如果审核的项目太多,生成的也就越多,那么要想发现严重的也越难当然如果审核的太少也会影响你发现严重的,你需要根据情况在这二者之间做出选择。
推荐的要审核的项目是:
登录 成功 失败
账户登录 成功 失败
系统 成功 失败
策略更改 成功 失败
对象访问 失败
目录服务访问 失败
特权使用 失败
三、磁盘权限设置
1.系统盘权限设置
C:分区部分:
c:\
administrators 全部(该文件夹,子文件夹及文件)
CREATOR OWNER 全部(只有子文件来及文件)
system 全部(该文件夹,子文件夹及文件)
IIS_WPG 创建文件/写入数据(只有该文件夹)
IIS_WPG(该文件夹,子文件夹及文件)
遍历文件夹/运行文件
列出文件夹/读取数据
读取属性
创建文件夹/附加数据
读取权限
c:\Documents and Settings
administrators 全部(该文件夹,子文件夹及文件)
Power Users (该文件夹,子文件夹及文件)
读取和运行
列出文件夹目录
读取
SYSTEM全部(该文件夹,子文件夹及文件)
C:\Program Files
administrators 全部(该文件夹,子文件夹及文件)
CREATOR OWNER全部(只有子文件来及文件)
IIS_WPG (该文件夹,子文件夹及文件)
读取和运行
列出文件夹目录
读取
Power Users(该文件夹,子文件夹及文件)
修改权限
SYSTEM全部(该文件夹,子文件夹及文件)
TERMINAL SERVER USER (该文件夹,子文件夹及文件)
修改权限
2.网站及虚拟机权限设置(比如网站在E盘)
说明:我们设网站全部在E盘site目录下,并且为每一个虚拟机创建了一个guest用户,用户名为vhost1...vhostn并且创建了一个webuser组,把所有的vhost用户全部加入这个webuser组里面方便管理。
E:\
Administrators全部(该文件夹,子文件夹及文件)
E:\site
Administrators全部(该文件夹,子文件夹及文件)
system全部(该文件夹,子文件夹及文件)
service全部(该文件夹,子文件夹及文件)
E:\site\vhost1
Administrators全部(该文件夹,子文件夹及文件)
system全部(该文件夹,子文件夹及文件)
vhost1全部(该文件夹,子文件夹及文件)
3.数据备份盘
数据备份盘最好只指定一个特定的用户对它有完全操作的权限。比如F盘为数据备份盘,我们只指定一个管理员对它有完全操作的权限。
4.其它地方的权限设置
请找到c盘的这些文件,把安全性设置只有特定的管理员有完全操作权限。
下列这些文件只允许administrators访问
net.exe
net1.exet
cmd.exe
tftp.exe
netstat.exe
regedit.exe
at.exe
attrib.exe
cacls.exe
format
5.删除c:\inetpub目录,删除iis不必要的映射,建立陷阱帐号,更改描述。
四、防火墙、杀毒软件的安装
推荐小红伞晓月版
五、SQL2000 SERV-U FTP安全设置
SQL安全方面
1.System Administrators 角色最好不要超过两个
2.如果是在本机最好将身份验证配置为Win登陆
3.不要使用Sa账户,为其配置一个超级复杂的密码
4.删除以下的扩展存储过程格式为:
use master
sp_dropextendedproc '扩展存储过程名'
xp_cmdshell:是进入操作系统的最佳捷径,删除
访问注册表的存储过程,删除
Xp_regaddmultistring Xp_regdeletekey Xp_regdeletevalue Xp_regenumvalues
Xp_regread Xp_regwrite Xp_regremovemultistring
OLE自动存储过程,不需要删除
Sp_OACreate Sp_OADestroy Sp_OetErrorInfo Sp_OetProperty
Sp_OAMethod Sp_OASetProperty Sp_OAStop
5.隐藏 SQL Server、更改默认的1433端口
右击实例选属性-常规-网络配置中选择TCP/IP协议的属性,选择隐藏 SQL Server 实例,并改原默认的1433端口
serv-u的几点常规安全需要设置下:
选中"Block "FTP_bounce"attack and FXP"。什么是FXP呢?通常,当使用FTP协议进行文件传输时,客户端首先向FTP服务器发出一个"PORT"命令,该命令中包含此用户的IP地址和将被用来进行数据传输的端口号,服务器收到后,利用命令所提供的用户地址信息建立与用户的连接。大多数情况下,上述过程不会出现任何问题,但当客户端是一名恶意用户时,可能会通过在PORT命令中加入特定的地址信息,使FTP服务器与其它非客户端的机器建立连接。虽然这名恶意用户可能本身无权直接访问某一特定机器,但是如果FTP服务器有权访问该机器的话,那么恶意用户就可以通过FTP服务器作为中介,仍然能够最终实现与目标服务器的连接。这就是FXP,也称跨服务器攻击。选中后就可以防止发生此种情况。
六、IIS安全设置
IIS的相关设置:
删除默认建立的站点的虚拟目录,停止默认web站点,删除对应的文件目录c:inetpub,配置所有站点的公共设置,设置好相关的连接数限制,带宽设置以及性能设置等其他设置。配置应用程序映射,删除所有不必要的应用程序扩展,只保留asp,php,cgi,pl,aspx应用程序扩展。对于php和cgi,推荐使用isapi方式解析,用exe解析对安全和性能有所影响。用户程序调试设置发送文本错误信息给户。对于数据库,尽量用mdb后缀,不需要更改为asp,可在IIS中设置一个mdb的扩展映射,将这个映射使用一个无关的dll文件如C:WINNTsystem32inetsrvssinc.dll来防止数据库被下载。设置IIS的日志保存目录,调整日志记录信息。设置为发送文本错误信息。修改403错误页面,将其转向到其他页,可防止一些扫描器的探测。另外为隐藏系统信息,防止telnet到80端口所泄露的系统版本信息可修改IIS的banner信息,可以使用winhex手工修改或者使用相关软件如banneredit修改。
对于用户站点所在的目录,在此说明一下,用户的FTP根目录下对应三个文件佳,root,database,logfiles,分别存放站点文件,数据库备份和该站点的日志。如果一旦发生入侵可对该用户站点所在目录设置具体的权限,所在的目录只给予列目录的权限,程序所在目录如果不需要生成文件(如生成html的程序)不给予写入权限。因为是虚拟主机平常对脚本安全没办法做到细致入微的地步,更多的只能在方法用户从脚本提升权限:
ASP的安全设置:
://.knowsky/system.asp
设置过权限和服务之后,防范asp木马还需要做以下工作,在cmd窗口运行以下命令:
regsvr32/u C:\WINNT\System32\wshom.ocx
del C:\WINNT\System32\wshom.ocx
regsvr32/u C:\WINNT\system32\shell32.dll
del C:\WINNT\system32\shell32.dll
即可将WScript.Shell, Shell.lication, WScript.Network组件卸载,可有效防止asp木马通过wscript或shell.lication执行命令以及使用木马查看一些系统敏感信息。另法:可取消以上文件的users用户的权限,重新启动IIS即可生效。但不推荐该方法。
另外,对于FSO由于用户程序需要使用,服务器上可以不注销掉该组件,这里只提一下FSO的防范,但并不需要在自动开通空间的虚拟商服务器上使用,只适合于手工开通的站点。可以针对需要FSO和不需要FSO的站点设置两个组,对于需要FSO的用户组给予c:winntsystem32scrrun.dll文件的执行权限,不需要的不给权限。重新启动服务器即可生效。
对于这样的设置结合上面的权限设置,你会发现海阳木马已经在这里失去了作用!
PHP的安全设置:
默认安装的php需要有以下几个注意的问题:
C:\winnt\php.ini只给予users读权限即可。在php.ini里需要做如下设置:
Safe_mode=on
register_globals = Off
allow_url_fopen = Off
display_errors = Off
magic_quotes_gpc = On [默认是on,但需检查一遍]
open_basedir =web目录
disable_functions =passthru,exec,shell_exec,system,phpinfo,get_cfg_var,popen,chmod
默认设置com.allow_dcom = true修改为false[修改前要取消掉前面的;]
MySQL安全设置:
如果服务器上启用MySQL数据库,MySQL数据库需要注意的安全设置为:
删除mysql中的所有默认用户,只保留本地root帐户,为root用户加上一个复杂的密码。赋予普通用户updatedeletealertcreatedrop权限的时候,并限定到特定的数据库,尤其要避免普通客户拥有对mysql数据库操作的权限。检查mysql.user表,取消不必要用户的shutdown_priv,relo
ad_priv,process_priv和File_priv权限,这些权限可能泄漏更多的服务器信息包括非mysql的其它信息出去。可以为mysql设置一个启动用户,该用户只对mysql目录有权限。设置安装目录的data数据库的权限(此目录存放了mysql数据库的数据信息)。对于mysql安装目录给users加上读取、列目录和执行权限。
Serv-u安全问题:
安装程序尽量用最新版本,避免用默认安装目录,设置好serv-u目录所在的权限,设置一个复杂的管理员密码。修改serv-u的banner信息,设置被动模式端口范围(4001—4003)在本地服务器中设置中做好相关安全设置:包括检查匿名密码,禁用反超时调度,拦截“FTP bounce”攻击和FXP,对于在30秒内连接超过3次的用户拦截10分钟。域中的设置为:要求复杂密码,目录只使用小写字母,高级中设置取消允许使用MDTM命令更改文件的日期。
更改serv-u的启动用户:在系统中新建一个用户,设置一个复杂点的密码,不属于任何组。将servu的安装目录给予该用户完全控制权限。建立一个FTP根目录,需要给予这个用户该目录完全控制权限,因为所有的ftp用户上传,删除,更改文件都是继承了该用户的权限,否则无法操作文件。另外需要给该目录以上的上级目录给该用户的读取权限,否则会在连接的时候出现530 Not logged in, home directory does not exist.比如在测试的时候ftp根目录为d:soft,必须给d盘该用户的读取权限,为了安全取消d盘其他文件夹的继承权限。而一般的使用默认的system启动就没有这些问题,因为system一般都拥有这些权限的。
七、其它
1.隐藏重要文件/目录可以修改注册表实现完全隐藏:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\ Current-Version\Explorer\Advanced\Folder\Hi-dden\SHOWALL”,鼠标右击 “CheckedValue”,选择修改,把数值由1改为0
2.启动系统自带的Internet连接防火墙,在设置服务选项中勾选Web服务器;
3.防止SYN洪水攻击:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters
新建DWORD值,名为SynAttackProtect,值为2
EnablePMTUDiscovery REG_DWORD 0
NoNameReleaseOnDemand REG_DWORD 1
EnableDeadGWDetect REG_DWORD 0
KeepAliveTime REG_DWORD 300,000
PerformRouterDiscovery REG_DWORD 0
EnableICMPRedirects REG_DWORD 0
4. 禁止响应ICMP路由通告报文:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\interface
新建DWORD值,名为PerformRouterDiscovery 值为0
5. 防止ICMP重定向报文的攻击:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters
将EnableICMPRedirects 值设为0
6. 不支持IGMP协议:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters
新建DWORD值,名为IGMPLevel 值为0
7.修改终端服务端口:
运行regedit,找到[HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Control \ Terminal Server \ Wds \ rdpwd \ Tds \ tcp],看到右边的PortNumber了吗?在十进制状态下改成你想要的端口号吧,比如7126之类的,只要不与其它冲突即可。
第二处HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Control \ Terminal Server \ WinStations \ RDP-Tcp,方法同上,记得改的端口号和上面改的一样就行了。
8.禁止IPC空连接:
cracker可以利用net use命令建立空连接,进而入侵,还有net view,nstat这些都是基于空连接的,禁止空连接就好了。打开注册表,找到Local_Machine\System\CurrentControlSet\Control\LSA-RestrictAnonymous 把这个值改成”1”即可。
9.更改TTL值:
cracker可以根据ping回的TTL值来大致判断你的操作系统,如:
TTL=107(WINNT);
TTL=108(win2000);
TTL=127或128(win9x);
TTL=240或241(linux);
TTL=252(solaris);
TTL=240(Irix);
实际上你可以自己更改的:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters:DefaultTTL REG_DWORD 0-0xff(0-255 十进制,默认值128)改成一个莫名其妙的数字如258,起码让那些小菜鸟晕上半天,就此放弃入侵你也不一定哦。
10. 删除默认共享:
有人问过我一开机就共享所有盘,改回来以后,重启又变成了共享是怎么回事,这是2K为管理而设置的默认共享,必须通过修改注册表的方式取消它:HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters:AutoShareServer类型是REG_DWORD把值改为0即可
11. 禁止建立空连接:
默认情况下,任何用户通过通过空连接连上服务器,进而枚举出帐号,猜测密码。我们可以通过修改注册表来禁止建立空连接:
Local_Machine\System\CurrentControlSet\Control\LSA-RestrictAnonymous 的值改成”1”即可。
12.禁用TCP/IP上的NetBIOS
网上邻居-属性-本地连接-属性-Internet协议(TCP/IP)属性-高级-WINS面板-NetBIOS设置-禁用TCP/IP上的NetBIOS。这样cracker就无法用nstat命令来读取你的NetBIOS信息和网卡MAC地址了。
13. 账户安全
首先禁止一切账户,除了你自己,呵呵。然后把Administrator改名。我呢就顺手又建了个Administrator账户,不过是什么权限都没有的那种,然后打开记事本,一阵乱敲,复制,粘贴到“密码”里去,呵呵,来破密码吧~!破完了才发现是个低级账户,看你崩溃不?
创建2个管理员用帐号
虽然这点看上去和上面这点有些矛盾,但事实上是服从上面的规则的。 创建一个一般权限帐号用来收信以及处理一些日常事物,另一个拥有Administrators 权限的帐户只在需要的时候使用。可以让管理员使用 “ RunAS” 命令来执行一些需要特权才能作的一些工作,以方便管理
14.更改C:\WINDOWS\Help\iisHelp\common\404b.htm内容改为这样,出错了自动转到首页。
15.本地安全策略和组策略的设置,如果你在设置本地安全策略时设置错了,可以这样恢复成它的默认值
打开 %SystemRoot%\Security文件夹,创建一个 "OldSecurity"子目录,将%SystemRoot%\Security下所有的.log文件移到这个新建的子文件夹中
在%SystemRoot%\Security\database\下找到"Secedit.sdb"安全数据库并将其改名,如改为"Secedit.old"
启动"安全配置和分析"MMC管理单元:"开始"->"运行"->"MMC",启动管理控制台,"添加/删除管理单元",将"安全配置和分析"管理单元添加上
右击"安全配置和分析"->"打开数据库",浏览"C:\WINNT\security\Database"文件夹,输入文件名"secedit.sdb",单击"打开"
当系统提示输入一个模板时,选择"Setup Security.inf",单击"打开",如果系统提示"拒绝访问数据库",不管他,你会发现在"C:\WINNT\security\Database"子文件夹中重新生成了新的安全数据库,在"C:\WINNT\security"子文件夹下重新生成了log文件,安全数据库重建成功。
16.禁用DCOM:
运行中输入 Dcomcnfg.exe。 回车, 单击“控制台根节点”下的“组件服务”。 打开“计算机”子文件夹。对于本地计算机,请以右键单击“我的电脑”,然后选择“属性”。选择“默认属性”选项卡。清除“在这台计算机上启用分布式 COM”复选框。
第二步:
尽管Windows 2003的功能在不断增强,但是由于先天性的原因,它还存在不少安全隐患,要是不将这些隐患“堵住”,可能会给整个系统带来不必要的麻烦;下面笔者就介绍Windows2003中不常见的安全隐患的防堵方法,希望能对各位带来帮助!
堵住自动保存隐患
Windows 2003操作系统在调用应用程序出错时,系统中的Dr. Watson会自动将一些重要的调试信息保存起来,以便日后维护系统时查看,不过这些信息很有可能被黑客“瞄上”,一旦瞄上的话,各种重要的调试信息就会暴露无疑,为了堵住Dr. Watson自动保存调试信息的隐患,我们可以按如下步骤来实现:
1、打开开始菜单,选中“运行”命令,在随后打开的运行对话框中,输入注册表编辑命令“ergedit”命令,打开一个注册表编辑窗口;
2、在该窗口中,用鼠标依次展开HKEY_local_machine\software\Microsoft\WindowsdowsNT\CurrentVersion\AeDebug分支,在对应AeDebug键值的右边子窗口中,用鼠标双击Auto值,在弹出的参数设置窗口中,将其数值重新设置为“0”,
3、打开系统的Windows管理器窗口,并在其中依次展开Documents and Settings文件夹、All Users文件夹、Shared Documents文件夹、DrWatson文件夹,最后将对应DrWatson中的User.dmp文件、Drwtsn32.log文件删除掉。
完成上面的设置后,重新启动一下系统,就可以堵住自动保存隐患了。
堵住共享隐患
为了给局域网用户相互之间传输信息带来方便,Windows Server 2003系统很是“善解人意”地为各位提供了文件和打印共享功能,不过我们在享受该功能带来便利的同时,共享功能也会“引狼入室”,“大度”地向黑客们敞开了不少漏洞,给服务器系统造成了很大的不安全性;所以,在用完文件或打印共享功能时,大家千万要随时将功能关闭哟,以便堵住共享隐患,下面就是关闭共享功能的具体步骤:
1、执行控制面板菜单项下面的“网络连接”命令,在随后出现的窗口中,用鼠标右键单击一下“本地连接”图标;
2、在打开的快捷菜单中,单击“属性”命令,这样就能打开一个“Internet协议(TCP/IP)”属性设置对话框;
3、在该界面中取消“Microsoft网络的文件和打印机共享”这个选项;
4、如此一来,本地计算机就没有办法对外提供文件与打印共享服务了,这样黑客自然也就少了攻击系统的“通道”。
堵住远程访问隐患
在Windows2003系统下,要进行远程网络访问连接时,该系统下的远程桌面功能可以将进行网络连接时输入的用户名以及密码,通过普通明文内容方式传输给对应连接端的客户端程序;在明文帐号传输过程中,实现“安插”在网络通道上的各种嗅探工具,会自动进入“嗅探”状态,这个明文帐号就很容易被“俘虏”了;明文帐号内容一旦被黑客或其他攻击者另谋他用的话,呵呵,小心自己的系统被“疯狂”攻击吧!为了杜绝这种安全隐患,我们可以按下面的方法来为系统“加固”:
1、点击系统桌面上的“开始”按钮,打开开始菜单;
2、从中执行控制面板命令,从弹出的下拉菜单中,选中“系统”命令,打开一个系统属性设置界面;
3、在该界面中,用鼠标单击“远程”标签;
4、在随后出现的标签页面中,将“允许用户远程连接到这台计算机”选项取消掉,这样就可以将远程访问连接功能屏蔽掉,从而堵住远程访问隐患了。
堵住用户切换隐患
Windows 2003系统为我们提供了快速用户切换功能,利用该功能我们可以很轻松地登录到系统中;不过在享受这种轻松时,系统也存在安装隐患,例如我们要是执行系统“开始”菜单中的“注销”命令来,快速“切换用户”时,再用传统的方式来登录系统的话,系统很有可能会本次登录,错误地当作是对计算机系统的一次暴力“袭击”,这样Windows2003系统就可能将当前登录的帐号当作非法帐号,将它锁定起来,这显然不是我们所需要的;不过,我们可以按如下步骤来堵住用户切换时,产生的安全隐患:
在Windows 2003系统桌面中,打开开始菜单下面的控制面板命令,找到下面的“管理工具”命令,再执行下级菜单中的“计算机管理”命令,找到“用户帐户”图标,并在随后出现的窗口中单击“更改用户登录或注销的方式”;在打开的设置窗口中,将“使用快速用户切换”选项取消掉就可以了。
堵住页面交换隐患
Windows 2003操作系统即使在正常工作的情况下,也有可能会向黑客或者其他访问者泄漏重要的机密信息,特别是一些重要的帐号信息。也许我们永远不会想到要查看一下,那些可能会泄漏隐私信息的文件,不过黑客对它们倒是很关心的哟!Windows 2003操作系统中的页面交换文件中,其实就隐藏了不少重要隐私信息,这些信息都是在动态中产生的,要是不及时将它们清除,就很有可能成为黑客的入侵突破口;为此,我们必须按照下面的方法,来让Windows 2003操作系统在关闭系统时,自动将系统工作时产生的页面文件全部删除掉:
1、在Windows 2003的“开始”菜单中,执行“运行”命令,打开运行对话框,并在其中输入“Regedit”命令,来打开注册表窗口;
2、在该窗口的左边区域中,用鼠标依次单击HKEY_local_machine\system\currentcontrolset\control\sessionmanager\memory management键值,找到右边区域中的ClearPageFileAtShutdown键值,并用鼠标双击之,在随后打开的数值设置窗口中,将该DWORD值重新修改为“1”;
3、完成设置后,退出注册表编辑窗口,并重新启动计算机系统,就能让上面的设置生效了。
