Windows Server 2003服务器配置总结
win2003添加新用户的方法:
第一步、我的电脑->鼠标右键->管理->本地用户和组->用户->右边空白处->鼠标右键->新用户->设置好你要建立的用户及密码。用户为"FtpUser”,并且设置“用户不能更改密码”和“密码永不过期”,最后点击“创建”。
第二步、“创建”后将看到用户"FtpUser”, 在用户上面鼠标右键,打开“属性”窗口,切换到“隶属于”选项卡,删除"Users",让创建的"FtpUser"不属于任何组,“隶属于”为空。
第三步、打开控制面板->管理工具->本地安全策略->本地策略->用户权限分配->双击“拒绝本地登录”添加用户"FtpUser”。
----------------------------------------
4、windows server 2003自带防火墙设置
A, 开始菜单->设置->控制面板->Windows防火墙->常规->选择“启用”。
B, “例外”选项卡中,必开选项“远程桌面 3389”“web服务器 80”“FTP 21”,其他端口根据个人需要选择开启。
C, 如果需要ping,请打开ICmp当中的“允许传入回显请求”。
----------------------------------------
5、IIS FTP安全配置说明
如果启用IIS下的ftp服务器,那么更改默认的21端口号是非常有必要的,这可以降低很多恶意的扫描。修改默认ftp 21端口的方法:在iis ftp属性窗口里直接更改TCP 21端口为其他端口号,5000-65535之间都可以。
如果你开启了防火墙,在防火墙里例外这个端口号。
但是,这里会出现一个问题,用ftp软件登陆的时候会出现“500 Invalid PORT Command”这样的错误,根本不能列出文件来,FTP客户端使用PASV模式连接失败。
如何更改IIS默认的FTP PASV端口区间呢?看下面教程:
IIS FTP里的PASV模式下默认端口范围 1024 - 65535,连接时会从中随机选择响应。如果该值未指定,或被设置成空字符串,则将使用 Winsock 指定的默认值 1025-5000。如果指定了该属性,则 FTP 将验证的有效范围从 5001 到 65535。 要限制这片超大端口的范围,可以用IIS管理实用程序Adsutil.vbs.
cmd命令下(例:开放指定的2个端口):
cd c:InetpubAdminScripts
adsutil.vbs set /MSFTPSVC/PassivePortRange "5901-5902"
重新启动 FTP 服务
注意:如果开了防火墙,还必须添加以上范围内的端口。.(参考1、参考2)
ftp安全配置特别提醒:
A.ftp站点连接限制和连接超时一定要设置,连接限制同时在线人数 1-10,请自行决定。
B.安全账户里一定不要勾选“允许匿名连接”,否则FTP账户很容易被爆!
如果你按照网上流传的教程不幸选中了“允许匿名连接”,那么使用用户名ftp密码ftp即可轻松登陆你的FTP服务器。 注意:这个漏洞或失误影响所有windows 2003 IIS FTP用户。
-------------------------------------------
6、关于win2003 iis服务器流量统计
A,著名的DU Meter服务器流量统计软件
最新的 DU Meter 版本已经到了5.04,这是一个收费软件,购买一个 license 需要 $9.95 美元。
当然,如果你想使用免费的也可以,这有一个经典的 DU METER V3.07 Build 192 汉化版:
http://www.skycn.com/soft/3572.html
B,IIS网站流量监控软件
http://www.zcnt.com/IIsWebInfo.asp
帮助您快速查看一个 IIS 6.0 服务器上的WEB站点流量信息。本软件为免费软件,不用注册也可以使用,无任何功能和时间限制。
-------------------------------------------
7、修改windows 2003远程端口3389
Hacker在扫描到服务器开启了3389端口后就会利用这个端口发起攻击。为了降低使用远程桌面连接的风险,防止他人进行恶意连接,一个比较简单的方法就是修改远程桌面链接的3389端口。
修改方法:打开注册表编辑器(运行regedit):
依次展开"HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlTerminal ServerWdsrdpwdTdstcp"分支,其下的"PortNumber"键值所对应的就是端口号,将其修改。
上面设置完成后,需要再依次展开"HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlTerminal ServerWinStationsRDP-Tcp"分支,同样将其下的"PortNumber"键值进行更改。
比如我们可以将端口改为9855,或者改为2210或者其他端口。再比如我们可以将端口改为8080,或者改为443,这样可以误导黑客以为这是代理服务器的端口或HTTPS的端口。
那么修改了端口后我们怎么连接到远程桌面啦?其实很简单,在IP后面跟一个冒号再跟端口好就可以了。比如:192.168.2.131:9833
-------------------------------------------
8、记录win2003远程登录的IP
WINDOWS 2003 远程桌面不能记录登陆IP真是件头痛的事,本方法可以记录登陆者IP,具体的操作步骤如下:
1、建立一个存放日志的目录,如C盘下建立一个RDP的目录“C:/RDP”。
2、然后在“C:/RDP”目录下创建一个名字为“RDPlog.txt”的文本文件“C:/RDP/RDPlog.txt”。
3、然后在“C:/RDP”目录下创建一个名字为“RDPlog.bat”的批处理文件,内容为:
date /t >>RDPlog.txt
time /t >>RDPlog.txt
netstat -n -p tcp | find ":3389">>RDPlog.txt
start Explorer
4、进入控制面板---管理工具---终端服务器配置---RDP-Tcp---属性-环境-用户登录时启用下列程序---在程序路径和文件名---写“C:RDPrdplog.bat”---起始于--写“C:RDP”这样就ok了。下次用终端登陆的时候就会自动记录IP地址到“C:/RDP/RDPlog.txt”了,打开直接看就行了。
