[原创]停用服务加固isa安全

７９００５９

系统提供的服务越多越不安全这是大家都知道的,那么把isa 作为一个桥头堡服务器的话安全当然是第一的拉,所以我们就要停一些不是绝对需要的服务,之前之所以有一些朋友总是抱怨isa server不稳定总是有入侵我想可能也有系统安全没有设定好的原因在里面吧!现在大家可以禁用除以下列表中的服务以提高安全性:<br>terminal server <br>
dns client <br>
event log<br>
logilcal disk manager <br>
network connections<br>
plug and play<br>
protected storage<br>
remote procedurecall<br>
run as service <br>
security account manager<br>
task scheduler<br>
windows management lustrumentation<br>
windows management lustrumentaion diver extensions<br>
windows time service<br>
system event notfication <br>
routing asnd remote access servoce<br>
qos rsvp<br>
performance logs and alerts<br>
microsoft web proxy<br>
microsoft scheduled content download service<br>
microsoft isa server sever control<br>
microsoft identd simulation service<br>
microsoft h323 gatekeeper<br>
microsoft firewall<br>
com+event system<br>
remote access connection manager<br>
telephony<br>
除了关闭服务以外在服务器上最好不要安装其它的软体,删了microsoft网络打印和文件共用一些不用的协议,定期打好windows的补丁做好服务器的防毒措施,以最小化原则设定好系统访问策略做好以上这些的话我相信isa server同样是一个很坚固的防火墙了,我自已这样作服务器最好的记录是以运行86天,呵呵准备再次创纪录呢!<br>
oh忘了补充一点isa 最好不要和dc装在一部机这样不安全,不方便.这是ms建意的

７９００５９

没有太多人用到isa 吗?如果有的话大家来这里谈谈自已的使用心得吧

７９００５９

调整ISA Server 2004的性能<br>
译自微软技术文章KB837572 ，“Performance tuning options for Internet Security and Acceleration Server 2004”<br>
　 <br>
关于如何调整ISA Server 2000性能的文章，请见KB293640。 <br>
<br>
注意： 这篇文章中包含了需要修改注册表的内容信息，在你修改注册表之前，请先做好备份。 <br>
<br>
关于如何修改注册表，请参见KB256986 Description of the Microsoft Windows Registry。 <br>
<br>
　<br>
<br>
　 <br>
有一些办法可用于提高ISA Server的性能，这篇文章中给你提出了一些建议的方法。 <br>
<br>
　 <br>
<br>
使用防火墙客户来替代SNAT客户<br>
如果你使用了需要辅助连接的协议，防火墙客户能够给予你比SNAT客户更好的性能。防火墙客户端安装程序在ISA Server安装驱动器的 Drive:\Program Files\Microsoft ISA Server\Clients目录下，共享为"Mspclnt"。（注意：此程序默认不会被安装 ，需要你在安装ISA Server的时候进行自定义安装）。 <br>
　 <br>
<br>
通过设置处理器关系，设置每个网络适配器对应一个CPU<br>
在多CPU的计算机上，你可以将每个网络适配器对应一个CPU，这样可以提高CPU的效率和ISA Server的吞吐量。你可以使用中断关系过滤工具(Intfiltr.exe)来为CPU分配中断，这样可以保证不同网络适配器对应不同的CPU。Intfiltr.exe通过Microsoft Windows 2000 Resource Kit和Windows Server 2003 Resource Kit提供，更多的信息，你可以参见KB252867 How to install and use the Interrupt-Affinity Filter tool 。 <br>
关于Windows 2000 Resource Kit更多的信息，请访问 <br>
<br>
<a target=_blank href=http://www.microsoft.com/windows2000/techinfo/reskit/default.asp>http://www.microsoft.com/windows2000/techinfo/reskit/default.asp</a>#section1 <br>
<br>
Windows Server 2003 Resource Kit Tools可以从以下站点下载： <br>
<br>
<a target=_blank href=http://www.microsoft.com/downloads/details.aspx?FamilyID=9d467a69-57ff-4ae7-96ee-b18c4790cffd&DisplayLang=en>http://www.microsoft.com/downloads/details.aspx?FamilyID=9d467a69-57ff-4ae7-96ee-b18c4790cffd&DisplayLang=en</a> <br>
<br>
　<br>
调整指定网络适配器的参数<br>
你可以调整指定的网络适配器的参数来改进它们的性能，以下设置只对Intel和Compaq的快速以太网或者千M以太网网络适配器有效： <br>
注意： 由于Windows版本的不同，操作步骤可能也有不同，请参见你的产品技术文档。 <br>
<br>
为了修改你的网络适配器设置： <br>
<br>
点击开始，打开控制面板，打开网络连接，右击你想修改的网络连接，然后点击属性。 <br>
点击配置，然后点击高级； <br>
在属性对话框中，点击你想修改的参数，然后在值里面输入你想修改的值，按照下面的列表来进行修改： <br>
如果你是一个Intel或者Compaq的快速以太网网络适配器，如下进行修改： <br>
Coalesce Buffers : 32 <br>
Receive Buffers : 500 <br>
Transmit Control Blocks : 64 <br>
如果你是一个Intel或者Compaq的千M以太网网络适配器，如下进行修改： <br>
Coalesce Buffers : 512 <br>
Receive Buffers : 768 <br>
Transmit Descriptors : 512 <br>
　<br>
在ISA Server中使用IP路由<br>
如果启用了IP路由，ISA Server可以在核心模式下处理辅助连接的数据，这样可以为处理数据节省时间，增强了ISA Server的性能。默认情况下，IP路由已经启用。你可以按照以下步骤来检查IP路由的设置： <br>
运行ISA Server管理控制台； <br>
展开服务器； <br>
展开配置，然后点击常规； <br>
点击定义IP选项； <br>
点击IP路由标签，然后检查是否选择了允许IP路由； <br>
　 <br>
<br>
在ISA Server中禁止日志记录<br>
如果你不需要日志记录信息，那么你可以在ISA Server中禁止日志记录；执行以下步骤以关闭日志记录： <br>
运行ISA Server管理控制台； <br>
展开服务器，点击监视，然后点击右边的日志标签； <br>
在任务面板上点击任务标签，然后在日志记录任务下，点击配置日志记录； <br>
在日志标签，取消选择允许为此服务进行日志记录；然后点击确定； <br>
点击应用来更新防火墙策略，然后点击确定； <br>
　 <br>
<br>
在注册表中增加TCP/IP的缓存<br>
你可以使用注册表编辑器来在注册表中增加TCP/IP的缓存，执行以下步骤： <br>
运行Regedit； <br>
定位到：HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters <br>
修改以下键值，如果没有则新建： <br>
Value name: ForwardBufferMemory <br>
Value type: REG_DWORD <br>
Value data: 80000 <br>
Radix: Decimal <br>
<br>
Value name: MaxForwardBufferMemory <br>
Value type: REG_DWORD <br>
Value data: 80000 <br>
Radix: Decimal <br>
<br>
Value name: NumForwardPackets <br>
Value type: REG_DWORD <br>
Value data: 60000 <br>
Radix: Decimal <br>
<br>
Value name: MaxNumForwardPackets <br>
Value type: REG_DWORD <br>
Value data: 60000 <br>
Radix: Decimal <br>
<br>
退出注册表编辑器，然后重启计算机。 <br>
　<br>
启用核心模式下的FTP数据传送<br>
你可以通过修改注册表来启用核心模式下的FTP数据传送，在ISA Server 2004中，核心模式下允许所有的外出的FTP流量，为了为进入的FTP流量启用核心模式，执行以下步骤： <br>
运行Regedit； <br>
定位到此键值：HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Fwsrv\Parameters <br>
新建一个Dword值，名字为KernelModeFirewallClient，修改其值为1，然后点击确定。 <br>
退出注册表编辑器，重启计算机。 <br>