[wiggin]

Nu har det blivit dags att installera windows (2003 R2) på servern, men jag har tidigare inte lagt ner varken tid eller eftertanke när jag installerat windows. Utan det har blivit ett konto(administratören) där man gör allt. Jag är dock inte helt säker på att det är rätt väg att gå. Så jag efterfrågar nu era erfarenheter och tips på hur man skall lägga upp strukturen med användarkonton men även övriga matnyttiga tips på windows. Om det finns program eller tjänster som kan vara bra att avsluta, standard inställningar man bör ändra (eller gå igenom) etc.

Det måste ju finnas en del av er här som driver webbhotell som ofta installerar eller meckar med windows. Både tips och länkar till bra artiklar är välkomna.

[jomper]

Är det fler än du som ska administrera servern? Om inte så duger det utmärkt med bara ett adminkonto på servern. Du ska ändå bara använda det när du administrerar servern och inte sitta där och köra Word hoppas jag.

[jonny]

Windows 2003 Server är relativt säker i standardinstallation. Det kan dock vara bra att stänga ner alla tjänster du inte behöver. En brandvägg som spärrar all trafik till/från servern som inte behövs är också att rekommendera.

[Westman]

Regel 1: Ändra kontonamn på adminkontot
Regel 2: Partitionera med eftertanke.

[jomper]

Regel 1 - snackades det mycket om för ungefär 100 år sen när NT4 var hett. Har inte sett det hos en enda kund de senaste 5-6 åren dock.

[oJones]

Det är fullt möjligt att ta reda på vilket konto som är administratör även om man ändrar namn, men man garderar sig lite bättre mot bruteforcande script-kiddies.

[weetabix]

följande artiklar är för shared hosting, men jag anser att de är rätt bra även om man kör en egen server, särskilt om man har nån open source applikation med kända exploits... typ phpbb.

http://www.servertastic.com/blog/200...r-permissions/
http://www.servertastic.com/blog/200...for-aspnet-20/
http://www.servertastic.com/blog/200...or-aspnet-v11/

kör varje webb under egen användare och i en egen application pool.

sätt denied all för gruppen med webbanvändare (helmwebusers i artikeln ovan) på program files katalogen. du kommer med sannolikhet att få öppna upp lite här efteråt för att tillåta odbc och eventuella installerade komponenter.

skall du använda ftp på servern så gör livet lite lättare genom att undvika ms ftp, g6ftp är bra mycket bättre.

avaktivera windows scripting host.

och säkert massor av mer grejer som jag inte har fått med =)

[wiggin]

Tack för er input, och länkarna. Jag kommer till största del administrera servern själv så ett administratörskonto kanske bör räcka. Men som weetabix nämnde, bör man ha ett konto för varje hemsida, eller ett konto för varje kund? Vilka rättigheter bör de ha? Eller räcker det om man delar upp dem i egna application pools.

Jag hittade även den här hemsidan som verkar vara väldigt intressant. Jag antar att det är tjänster likt dessa som kan vara bra att stänga ner.
http://support.microsoft.com/?id=816517


Fler tips, gärna specifika sådana eller länkar är väldigt välkomna

[Westman]

Citat:

Originally posted by jomper@Aug 24 2006, 10:09
Regel 1 - snackades det mycket om för ungefär 100 år sen när NT4 var hett. Har inte sett det hos en enda kund de senaste 5-6 åren dock.

Det är ganska många som har lätta lösenord på administrator, jag har provat att scanna lite på en viss operatörs nät och på c:a 150 scannade hostar (FTP och RDP) så fick jag två träffar med en relativt liten ordlista. Byter man namn på adminkontot så slipper man den risken helt och hållet.

[Westman]

Citat:

Originally posted by oJones@Aug 24 2006, 10:20
Det är fullt möjligt att ta reda på vilket konto som är administratör även om man ändrar namn, men man garderar sig lite bättre mot bruteforcande script-kiddies.

Ja antingen om man tillåter sk. Windowstrafik (vilket man absolut inte bör göra gentemot internet) eller om man har lokal access i form av webbhotell eller liknande. Finns det fler sätt så pm:a gärna.