web iis服务器安全性配置实例

自己不维护服务器,不知道维护服务器的辛苦。刚开始为了嫌麻烦,抱有侥幸心理,一些繁琐的安全设置没有配置,结果服务器连一天都没撑过去。经过10天的反复摸索和努力,现在服务器已经稳定工作一个月了,特此整理本文。

我的服务器的应用含:
    APACHE:80
    IIS:81,由APACHE映射过来
    MySql: 3306
    SQLServer2005: 5687
    svn: 80
    FTP: 21

远程桌面:9898

一:关于TCP/IP筛选 
    TCP/IP的筛选,我是不做的。如你只开发80端口,则外网可以访问你的WEB服务器,但是,你不能访问别人的WEB服务。因为访问别人的WEB服务的时候,你本地不是从80出去,而是WINDOWS随机创建了一个端口。
    不能访问外网的WEB服务,导致的直接后果是有些软件,如360、杀毒软件、个人防火墙、WINDOWS系统漏洞等不能升级。这些升级全部是使用WEB服务的。

二:防火墙 
    1:使用瑞星个人防火墙,在端口筛选中,开放题头中的端口。
    2:同时,开放WINDOWS防火墙,在例外和高级中,都要对端口进行开发。尤其注意,服务器一般放置在机房,一定要开放远程桌面的端口。

三:用户管理 
    1:改名guest,设置超复杂密码,然后停用。;
    2:改名administrator,可带中文,设置超复杂密码;然后建立一个名为administrator的诱饵账户,属于user组。设立超复杂密码。

四:IP安全策略 
    IP安全策略,个人认为很重要,无论是个人防火墙还是WINDOWS,都不能做出、入限制,在安全策略中却可以。


协议


IP协议端口


源地址


目标地址


描述


方式


ICMP


--


--


--


ICMP


阻止


UDP


135


任何IP地址


我的IP地址


135-UDP


阻止


UDP


136


任何IP地址


我的IP地址


136-UDP


阻止


UDP


137


任何IP地址


我的IP地址


137-UDP


阻止


UDP


138


任何IP地址


我的IP地址


138-UDP


阻止


UDP


139


任何IP地址


我的IP地址


139-UDP


阻止


TCP


445


任何IP地址-从任意端口


我的IP地址-445


445-TCP


阻止


UDP


445


任何IP地址-从任意端口


我的IP地址-445


445-UDP


阻止


UDP


69


任何IP地址-从任意端口


我的IP地址-69


69-入


阻止


UDP


69


我的IP地址-69


任何IP地址-任意端口


69-出


阻止


TCP


4444


任何IP地址-从任意端口


我的IP地址-4444


4444-TCP


阻止


TCP


1026


我的IP地址-1026


任何IP地址-任意端口


灰鸽子-1026


阻止


TCP


1027


我的IP地址-1027


任何IP地址-任意端口


灰鸽子-1027


阻止


TCP


1028


我的IP地址-1028


任何IP地址-任意端口


灰鸽子-1028


阻止


UDP


1026


我的IP地址-1026


任何IP地址-任意端口


灰鸽子-1026


阻止


UDP


1027


我的IP地址-1027


任何IP地址-任意端口


灰鸽子-1027


阻止


UDP


1028


我的IP地址-1028


任何IP地址-任意端口


灰鸽子-1028


阻止


TCP


21


我的IP地址-从任意端口


任何IP地址-到21端口


阻止tftp出站


阻止


TCP


99


我的IP地址-99


任何IP地址-任意端口


阻止99shell


阻止


TCP


3306


任何IP地址-任意端口


我的IP地址-3306


阻止外部访问MYSQL


阻止


TCP


1433


任何IP地址-任意端口


我的IP地址-1433


阻止外部访问SQLSERVER


阻止


TCP


1434


任何IP地址-任意端口


我的IP地址-1434


阻止外部访问SQLSERVER


阻止

五:IIS安全设置 
    1:删除默认网站对应的interpub;
    2:停掉默认网站;
    3:WEB日志更改到别处;
    这里举例4个不同类型脚本的虚拟主机 权限设置例子


主机头


主机脚本


硬盘目录


IIS用户名


硬盘权限


应用程序池


主目录


应用程序配置


www.1.com


HTM


D:/www.1.com/


IUSR_1.com


Administrators(完全控制)
IUSR_1.com (读)


可共用


读取/纯脚本


启用父路径


www.2.com


ASP


D:/www.2.com/


IUSR_1.com


Administrators(完全控制)
IUSR_2.com (读/写)


可共用


读取/纯脚本


启用父路径


www.3.com


NET


D:/www.3.com/


IUSR_1.com


Administrators(完全控制) 
IWAM_3.com (读/写)
IUSR_3.com (读/写)


独立池


读取/纯脚本


启用父路径


www.4.com


PHP


D:/www.4.com/


IUSR_1.com


Administrators(完全控制) 
IWAM_4.com (读/写)
IUSR_4.com (读/写)


独立池


读取/纯脚本


启用父路径


其中 IWAM_3.com 和 IWAM_4.com 分别是各自独立应用程序池标识 中的启动帐户


主机脚本类型


应用程序扩展名 (就是文件后缀名)对应主机脚本 ,只需要加载以下的应用程序扩展


HTM


STM | SHTM | SHTML | MDB


ASP


ASP | ASA | MDB


NET


ASPX | ASAX | ASCX| ASHX | ASMX | AXD | VSDISCO | REM |
SOAP | CONFIG |
CS |CSPROJ | VB | VBPROJ | WEBINFO | LICX | RESX | RESOURCES | MDB


PHP


PHP | PHP3 | PHP4

MDB是共用映射,下面用红色表示


应用程序扩展


映射文件


执行动作


STM=.stm


C:/WINDOWS/system32/inetsrv/ssinc.dll


GET,POST


SHTM=.shtm


C:/WINDOWS/system32/inetsrv/ssinc.dll


GET,POST


SHTML=.shtml


C:/WINDOWS/system32/inetsrv/ssinc.dll


GET,POST


ASP=.asp


C:/WINDOWS/system32/inetsrv/asp.dll


GET,HEAD,POST,TRACE


ASA=.asa


C:/WINDOWS/system32/inetsrv/asp.dll


GET,HEAD,POST,TRACE


ASPX=.aspx


C:/WINDOWS/Microsoft.NET/Framework/v1.1.4322/aspnet_isapi.dll


GET,HEAD,POST,DEBUG


ASAX=.asax


C:/WINDOWS/Microsoft.NET/Framework/v1.1.4322/aspnet_isapi.dll


GET,HEAD,POST,DEBUG


ASCX=.ascx


C:/WINDOWS/Microsoft.NET/Framework/v1.1.4322/aspnet_isapi.dll


GET,HEAD,POST,DEBUG


ASHX=.ashx


C:/WINDOWS/Microsoft.NET/Framework/v1.1.4322/aspnet_isapi.dll


GET,HEAD,POST,DEBUG


ASMX=.asmx


C:/WINDOWS/Microsoft.NET/Framework/v1.1.4322/aspnet_isapi.dll


GET,HEAD,POST,DEBUG


AXD=.axd


C:/WINDOWS/Microsoft.NET/Framework/v1.1.4322/aspnet_isapi.dll


GET,HEAD,POST,DEBUG


VSDISCO=.vsdisco


C:/WINDOWS/Microsoft.NET/Framework/v1.1.4322/aspnet_isapi.dll


GET,HEAD,POST,DEBUG


REM=.rem


C:/WINDOWS/Microsoft.NET/Framework/v1.1.4322/aspnet_isapi.dll


GET,HEAD,POST,DEBUG


SOAP=.soap


C:/WINDOWS/Microsoft.NET/Framework/v1.1.4322/aspnet_isapi.dll


GET,HEAD,POST,DEBUG


CONFIG=.config


C:/WINDOWS/Microsoft.NET/Framework/v1.1.4322/aspnet_isapi.dll


GET,HEAD,POST,DEBUG


CS=.cs


C:/WINDOWS/Microsoft.NET/Framework/v1.1.4322/aspnet_isapi.dll


GET,HEAD,POST,DEBUG


CSPROJ=.csproj


C:/WINDOWS/Microsoft.NET/Framework/v1.1.4322/aspnet_isapi.dll


GET,HEAD,POST,DEBUG


VB=.vb


C:/WINDOWS/Microsoft.NET/Framework/v1.1.4322/aspnet_isapi.dll


GET,HEAD,POST,DEBUG


VBPROJ=.vbproj


C:/WINDOWS/Microsoft.NET/Framework/v1.1.4322/aspnet_isapi.dll


GET,HEAD,POST,DEBUG


WEBINFO=.webinfo


C:/WINDOWS/Microsoft.NET/Framework/v1.1.4322/aspnet_isapi.dll


GET,HEAD,POST,DEBUG


LICX=.licx


C:/WINDOWS/Microsoft.NET/Framework/v1.1.4322/aspnet_isapi.dll


GET,HEAD,POST,DEBUG


RESX=.resx


C:/WINDOWS/Microsoft.NET/Framework/v1.1.4322/aspnet_isapi.dll


GET,HEAD,POST,DEBUG


RESOURCES=.resources


C:/WINDOWS/Microsoft.NET/Framework/v1.1.4322/aspnet_isapi.dll


GET,HEAD,POST,DEBUG


PHP=.php


C:/php5/php5isapi.dll


GET,HEAD,POST


PHP3=.php3


C:/php5/php5isapi.dll


GET,HEAD,POST


PHP4=.php4


C:/php5/php5isapi.dll


GET,HEAD,POST


MDB=.mdb


C:/WINDOWS/system32/inetsrv/ssinc.dll


GET,POST

ASP.NET 进程帐户所需的 NTFS 权限


目录


所需权限


Temporary
ASP.NET Files%windir%/Microsoft.NET/Framework/{版本}Temporary
ASP.NET Files


进程帐户和模拟标识: 
看下面详细权限


临时目录 (%temp%)


进程帐户 
完全控制


.NET Framework
目录%windir%/Microsoft.NET/Framework/{版本}


进程帐户和模拟标识: 
读取和执行 
列出文件夹内容 
读取


.NET Framework
配置目录%windir%/Microsoft.NET/Framework/{版本}/CONFIG


进程帐户和模拟标识: 
读取和执行 
列出文件夹内容 
读取


网站根目录 
C:/inetpub/wwwroot 
或默认网站指向的路径


进程帐户: 
读取


系统根目录 
%windir%/system32


进程帐户: 
读取


全局程序集高速缓存 
%windir%/assembly


进程帐户和模拟标识: 
读取


内容目录
C:/inetpub/wwwroot/YourWebApp 
(一般来说不用默认目录,管理员可根据实际情况调整比如D:/wwwroot)


进程帐户: 
读取
列出文件夹内容 
读取 
注意 对于 .NET Framework 1.0,直到文件系统根目录的所有父目录也都需要上述权限。父目录包括: 
C:/ 
C:/inetpub/ 
C:/inetpub/wwwroot/


硬盘或文件夹: C:/WINDOWS/Microsoft.NET/Framework/版本/Temporary ASP.NET Files


主要权限部分:


其他权限部分:


Administrators


完全控制


ASP.NET 计算机帐户


读取和运行


该文件夹,子文件夹及文件


该文件夹,子文件夹及文件


<继承于E:/>


<继承于C:/windows>


CREATOR OWNER


完全控制


ASP.NET 计算机帐户


写入/删除


只有子文件夹及文件


该文件夹,子文件夹及文件


<继承于E:/>


<不是继承的>


SYSTEM


完全控制


IIS_WPG


读取和运行


该文件夹,子文件夹及文件


该文件夹,子文件夹及文件


<继承于E:/>


<继承于C:/windows>


IUSR_XXX
或某个虚拟主机用户组


列出文件夹/读取数据 :拒绝


IIS_WPG


写入/删除


该文件夹,子文件夹及文件


该文件夹,子文件夹及文件


<不是继承的>


<不是继承的>


Guests


列出文件夹/读取数据 :拒绝


LOCAL SERVICE


读取和运行


该文件夹,子文件夹及文件


该文件夹,子文件夹及文件


<不是继承的>


<继承于C:/windows>


USERS


读取和运行


LOCAL SERVICE


写入/删除


该文件夹,子文件夹及文件


该文件夹,子文件夹及文件


<继承于C:/windows>


<不是继承的>


NETWORK SERVICE


读取和运行


该文件夹,子文件夹及文件


<继承于C:/windows>


NETWORK SERVICE


写入/删除


该文件夹,子文件夹及文件


<不是继承的>

六:SQLServer2005安全设置 
    1:停掉CMDSHELL,使用如下语句:
-- To allow
advanced options to be changed
EXEC sp_configure ‘show advanced options‘, 1;
GO
-- To update the currently configured value for -- advanced options
RECONFIGURE;
GO
-- To disable xp_cmdshell
EXEC sp_configure ‘xp_cmdshell‘, 0;
GO
-- To update the currently configured value for this -- feature
RECONFIGURE;
GO 
    2:更改SA名,设置超复杂密码;
    3:删除不必要用户,但是要保留系统自己创建的用户。如果你不想让使用windows身份验证登录,则也可以删除sqlserver登录中的xxx/administrator这个用户。
    4:更改1433这个默认的端口号,这里是5687。

七:组件设置


A、卸载WScript.Shell 和 Shell.application 组件,将下面的代码保存为一个.BAT文件执行(分2000和2003系统)


windows2000.bat


regsvr32/u C:/WINNT/System32/wshom.ocx del
C:/WINNT/System32/wshom.ocx regsvr32/u C:/WINNT/system32/shell32.dll del
C:/WINNT/system32/shell32.dll


windows2003.bat


regsvr32/u C:/WINDOWS/System32/wshom.ocx del
C:/WINDOWS/System32/wshom.ocx regsvr32/u C:/WINDOWS/system32/shell32.dll del
C:/WINDOWS/system32/shell32.dll


B、改名不安全组件,需要注意的是组件的名称和Clsid都要改,并且要改彻底了,不要照抄,要自己改


【开始→运行→regedit →回车】打开注册表编辑器

然后【编辑→查找→填写Shell.application →查找下一个】

用这个方法能找到两个注册表项:

{13709620-C279-11CE-A49E-444553540000} 和 Shell.application 。

第一步: 为了确保万无一失,把这两个注册表项导出来,保存为xxxx.reg 文件。

第二步: 比如我们想做这样的更改

13709620-C279-11CE-A49E-444553540000 改名为 13709620-C279-11CE-A49E-444553540001

Shell.application 改名为 Shell.application_nohack

第三步: 那么,就把刚才导出的.reg文件里的内容按上面的对应关系替换掉,然后把修改好的.reg文件导入到注册表中(双击即可),导入了改名后的注册表项之后,别忘记了删除原有的那两个项目。这里需要注意一点,Clsid中只能是十个数字和ABCDEF六个字母 

其实,只要把对应注册表项导出来备份,然后直接改键名就可以了,


改好的例子
建议自己改
应该可一次成功


Windows Registry Editor Version 5.00
[HKEY_CLASSES_ROOT/CLSID/{13709620-C279-11CE-A49E-444553540001}]
@="Shell Automation Service"
[HKEY_CLASSES_ROOT/CLSID/{13709620-C279-11CE-A49E-444553540001}/InProcServer32]
@="C://WINNT//system32//shell32.dll"
"ThreadingModel"="Apartment"
[HKEY_CLASSES_ROOT/CLSID/{13709620-C279-11CE-A49E-444553540001}/ProgID]
@="Shell.Application_nohack.1"
[HKEY_CLASSES_ROOT/CLSID/{13709620-C279-11CE-A49E-444553540001}/TypeLib]
@="{50a7e9b0-70ef-11d1-b75a-00a0c90564fe}" [HKEY_CLASSES_ROOT/CLSID/{13709620-C279-11CE-A49E-444553540001}/Version]
@="1.1"
[HKEY_CLASSES_ROOT/CLSID/{13709620-C279-11CE-A49E-444553540001}/VersionIndependentProgID]
@="Shell.Application_nohack" [HKEY_CLASSES_ROOT/Shell.Application_nohack]
@="Shell Automation Service"
[HKEY_CLASSES_ROOT/Shell.Application_nohack/CLSID]
@="{13709620-C279-11CE-A49E-444553540001}"
[HKEY_CLASSES_ROOT/Shell.Application_nohack/CurVer]
@="Shell.Application_nohack.1"


老杜评论:


WScript.Shell 和 Shell.application 组件是 脚本入侵过程中,提升权限的重要环节,这两个组件的卸载和修改对应注册键名,可以很大程度的提高虚拟主机的脚本安全性能,一般来说,ASP和php类脚本提升权限的功能是无法实现了,再加上一些系统服务 、硬盘访问权限、端口过滤、本地安全策略 的设置,虚拟主机因该说,安全性能有非常大的提高,黑客入侵的可能性是非常低了。注销了Shell组件之后,侵入者运行提升工具的可能性就很小了,但是prel等别的脚本语言也有shell能力,为防万一,还是设置一下为好。下面是另外一种设置,大同小异。


  一、禁止使用FileSystemObject组件

  FileSystemObject可以对文件进行常规操作,可以通过修改注册表,将此组件改名,来防止此类木马的危害。

  HKEY_CLASSES_ROOT/Scripting.FileSystemObject/

  改名为其它的名字,如:改为 FileSystemObject_ChangeName

  自己以后调用的时候使用这个就可以正常调用此组件了

  也要将clsid值也改一下

  HKEY_CLASSES_ROOT/Scripting.FileSystemObject/CLSID/ 项目的值

  也可以将其删除,来防止此类木马的危害。

  2000注销此组件命令:RegSrv32 /u C:/WINNT/SYSTEM/scrrun.dll

  2003注销此组件命令:RegSrv32 /u C:/WINDOWS/SYSTEM/scrrun.dll

  如何禁止Guest用户使用scrrun.dll来防止调用此组件?

  使用这个命令:cacls C:/WINNT/system32/scrrun.dll /e /d guests

  二、禁止使用WScript.Shell组件

  WScript.Shell可以调用系统内核运行DOS基本命令

  可以通过修改注册表,将此组件改名,来防止此类木马的危害。

  HKEY_CLASSES_ROOT/WScript.Shell/及HKEY_CLASSES_ROOT/WScript.Shell.1/

  改名为其它的名字,如:改为WScript.Shell_ChangeName 或 WScript.Shell.1_ChangeName

  自己以后调用的时候使用这个就可以正常调用此组件了

  也要将clsid值也改一下

  HKEY_CLASSES_ROOT/WScript.Shell/CLSID/ 项目的值

  HKEY_CLASSES_ROOT/WScript.Shell.1/CLSID/ 项目的值

  也可以将其删除,来防止此类木马的危害。

  三、禁止使用Shell.Application组件

  Shell.Application可以调用系统内核运行DOS基本命令

  可以通过修改注册表,将此组件改名,来防止此类木马的危害。

  HKEY_CLASSES_ROOT/Shell.Application/

  及

  HKEY_CLASSES_ROOT/Shell.Application.1/

  改名为其它的名字,如:改为Shell.Application_ChangeName 或Shell.Application.1_ChangeName

  自己以后调用的时候使用这个就可以正常调用此组件了

  也要将clsid值也改一下

  HKEY_CLASSES_ROOT/Shell.Application/CLSID/项目的值

  HKEY_CLASSES_ROOT/Shell.Application/CLSID/项目的值

  也可以将其删除,来防止此类木马的危害。

  禁止Guest用户使用shell32.dll来防止调用此组件。

  2000使用命令:cacls C:/WINNT/system32/shell32.dll /e /d
guests 
  2003使用命令:cacls C:/WINDOWS/system32/shell32.dll /e
/d guests

  注:操作均需要重新启动WEB服务后才会生效。

  四、调用Cmd.exe

  禁用Guests组用户调用cmd.exe

  2000使用命令:cacls C:/WINNT/system32/Cmd.exe /e /d
guests 
  2003使用命令:cacls C:/WINDOWS/system32/Cmd.exe /e /d
guests

  通过以上四步的设置基本可以防范目前比较流行的几种木马,但最有效的办法还是通过综合安全设置,将服务器、程序安全都达到一定标准,才可能将安全等级设置较高,防范更多非法入侵。


C、防止Serv-U权限提升 (适用于 Serv-U6.0 以前版本,之后可以直接设置密码)


先停掉Serv-U服务

用Ultraedit 打开ServUDaemon.exe

查找 Ascii:LocalAdministrator 和 #[email protected]$ak#.lk;[email protected]

修改成等长度的其它字符就可以了,ServUAdmin.exe 也一样处理。

另外注意设置Serv-U所在的文件夹的权限,不要让IIS匿名用户有读取的权限 ,否则人家下走你修改过的文件,照样可以分析出你的管理员名和密码。


阿江ASP探针


http://www.ajiang.net/products/aspcheck/(可以测试组件安全性)

八:部分安全设置


把下面文本保存为: windows2000-2003服务器安全和性能注册表自动配置文件.reg 运行即可。


Windows Registry Editor Version 5.00 [HKEY_CURRENT_USER/Software/Microsoft/Windows/CurrentVersion/Policies/Explorer]
"NoRecentDocsMenu"=hex:01,00,00,00
"NoRecentDocsHistory"=hex:01,00,00,00
[HKEY_LOCAL_MACHINE/Software/Microsoft/Windows NT/CurrentVersion/Winlogon]
"DontDisplayLastUserName"="1"
[HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Control/Lsa]
"restrictanonymous"=dword:00000001
[HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services/lanmanserver/Parameters]
"AutoShareServer"=dword:00000000 "AutoShareWks"=dword:00000000
[HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services/Tcpip/Parameters]
"EnableICMPRedirect"=dword:00000000
"KeepAliveTime"=dword:000927c0
"SynAttackProtect"=dword:00000002
"TcpMaxHalfOpen"=dword:000001f4 "TcpMaxHalfOpenRetried"=dword:00000190
"TcpMaxConnectResponseRetransmissions"=dword:00000001
"TcpMaxDataRetransmissions"=dword:00000003
"TCPMaxPortsExhausted"=dword:00000005
"DisableIPSourceRouting"=dword:00000002
"TcpTimedWaitDelay"=dword:0000001e "TcpNumConnections"=dword:00004e20
"EnablePMTUDiscovery"=dword:00000000 "NoNameReleaseOnDemand"=dword:00000001
"EnableDeadGWDetect"=dword:00000000
"PerformRouterDiscovery"=dword:00000000
"EnableICMPRedirects"=dword:00000000
[HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services/NetBT/Parameters] "BacklogIncrement"=dword:00000005
"MaxConnBackLog"=dword:000007d0
[HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services/AFD/Parameters]
"EnableDynamicBacklog"=dword:00000001
"MinimumDynamicBacklog"=dword:00000014
"MaximumDynamicBacklog"=dword:00007530 "DynamicBacklogGrowthDelta"=dword:0000000a


功能:可抵御DDOS攻击2-3万包,提高服务器TCP-IP整体安全性能(效果等于软件防火墙,节约了系统资源)

九:服务
   
在我的系统中,停掉或禁用的服务有:


Aleter

 

Application Management

 

ASp.net状态服务

 

Automatic Upadates

 

Background intelligent transfer servervice

 

clipbook

 

com+ system application

 

computer brower

 

cryptographic services

 

distributed file system

 

distributed link tracking client

 

distributed link tracking server

 

distributed transaction coordinator

 

file replication

 

help and support

 

IMAPI CD-BURNING com service

 

indexing service

 

intersite messaging

 

kerberos key distribution center

 

license logging

 

logical disk manager administrative service

 

messenger

 

microsoft software shadow copy provider

 

net logon

 

netmeeting remote desktop sharing

 

network dde

 

network dde dsdm

 

Network Provisioning Service

 

Office Source Engine

 

Performance Logs and Alerts

 

Portable Media Serial Number Service

 

Print Spooler

 

Remote Access Auto Connection Manager

 

Remote Desktop Help Session Manager

 

Remote Procedure Call (RPC) Locator

 

Remote Registry

 

Removable Storage

 

Resultant Set of Policy Provider

 

Routing and Remote Access

 

Server

 

Smart Card

 

Special Administration Console Helper

 

SQL Server Active Directory Helper

 

SQL Server Browser

 

SQL Server VSS Writer

 

Task Scheduler

 

TCP/IP NetBIOS Helper

 

Telnet

 

Terminal Services Session Directory

 

Themes

 

Uninterruptible Power Supply

 

Virtual Disk Service

 

Volume Shadow Copy

 

WebClient

 

Windows Audio

 

Windows Image Acquisition (WIA)

 

Windows Installer

 

Windows Management Instrumentation Driver Extensions

 

Windows Time

 

Windows User Mode Driver Framework

 

WinHTTP Web Proxy Auto-Discovery Service

 

Wireless Configuration

 

WMI Performance Adapter

 

Workstation

 

十:系统文件权限设置 
    这里着重谈需要的权限,也就是最终文件夹或硬盘需要的权限,可以防御各种木马入侵,提权攻击,跨站攻击等。本实例经过多次试验,安全性能很好,服务器基本没有被木马威胁的担忧了。


硬盘或文件夹: C:/ D:/ E:/ F:/ 类推


主要权限部分:


其他权限部分:


Administrators


完全控制



如果安装了其他运行环境,比如PHP等,则根据PHP的环境功能要求来设置硬盘权限,一般是安装目录加上users读取运行权限就足够了,比如c:/php 的话,就在根目录权限继承的情况下加上users读取运行权限,需要写入数据的比如tmp文件夹,则把users的写删权限加上,运行权限不要,然后把虚拟主机用户的读权限拒绝即可。如果是mysql的话,用一个独立用户运行MYSQL会更安全,下面会有介绍。如果是winwebmail,则最好建立独立的应用程序池和独立IIS用户,然后整个安装目录有winwebmail进程用户的读/运行/写/权限,IIS用户则相同,这个IIS用户就只用在 winwebmail的WEB访问中,其他IIS站点切勿使用,安装了winwebmail的服务器硬盘权限设置后面举例

 
该文件夹,子文件夹及文件


<不是继承的>


CREATOR OWNER


完全控制


只有子文件夹及文件


<不是继承的>


SYSTEM


完全控制


该文件夹,子文件夹及文件


<不是继承的>


硬盘或文件夹: C:/Inetpub/


主要权限部分:


其他权限部分:


Administrators


完全控制



该文件夹,子文件夹及文件


<继承于c:/>


CREATOR OWNER


完全控制


只有子文件夹及文件


<继承于c:/>


SYSTEM


完全控制


该文件夹,子文件夹及文件


<继承于c:/>


硬盘或文件夹: C:/Inetpub/ AdminScripts


主要权限部分:


其他权限部分:


Administrators


完全控制



该文件夹,子文件夹及文件


<不是继承的>


SYSTEM


完全控制


该文件夹,子文件夹及文件


<不是继承的>


硬盘或文件夹: C:/Inetpub/wwwroot


主要权限部分:


其他权限部分:


Administrators


完全控制


IIS_WPG


读取运行/列出文件夹目录/读取


该文件夹,子文件夹及文件


该文件夹,子文件夹及文件


<不是继承的>


<不是继承的>


SYSTEM


完全控制


Users


读取运行/列出文件夹目录/读取


该文件夹,子文件夹及文件


该文件夹,子文件夹及文件


<不是继承的>


<不是继承的>


这里可以把虚拟主机用户组加上
同Internet 来宾帐户一样的权限
拒绝权限


Internet 来宾帐户


创建文件/写入数据/:拒绝
创建文件夹/附加数据/:拒绝 
写入属性/:拒绝
写入扩展属性/:拒绝 
删除子文件夹及文件/:拒绝
删除/:拒绝


该文件夹,子文件夹及文件


<不是继承的>


硬盘或文件夹: C:/Inetpub/wwwroot/aspnet_client


主要权限部分:


其他权限部分:


Administrators


完全控制


Users


读取


该文件夹,子文件夹及文件


该文件夹,子文件夹及文件


<不是继承的>


<不是继承的>


SYSTEM


完全控制


该文件夹,子文件夹及文件


<不是继承的>


硬盘或文件夹: C:/Documents and Settings


主要权限部分:


其他权限部分:


Administrators


完全控制



该文件夹,子文件夹及文件


<不是继承的>


SYSTEM


完全控制


该文件夹,子文件夹及文件


<不是继承的>


硬盘或文件夹: C:/Documents and Settings/All Users


主要权限部分:


其他权限部分:


Administrators


完全控制


Users


读取和运行


该文件夹,子文件夹及文件


该文件夹,子文件夹及文件


<不是继承的>


<不是继承的>


SYSTEM


完全控制


USERS组的权限仅仅限制于读取和运行,
绝对不能加上写入权限


该文件夹,子文件夹及文件


<不是继承的>


硬盘或文件夹: C:/Documents and Settings/All Users/「开始」菜单


主要权限部分:


其他权限部分:


Administrators


完全控制



该文件夹,子文件夹及文件


<不是继承的>


SYSTEM


完全控制


该文件夹,子文件夹及文件


<不是继承的>


硬盘或文件夹: C:/Documents and Settings/All
Users/Application Data


主要权限部分:


其他权限部分:


Administrators


完全控制


Users


读取和运行


该文件夹,子文件夹及文件


该文件夹,子文件夹及文件


<不是继承的>


<不是继承的>


CREATOR OWNER


完全控制


Users


写入


只有子文件夹及文件


该文件夹,子文件夹


<不是继承的>


<不是继承的>


SYSTEM


完全控制


两个并列权限同用户组需要分开列权限


该文件夹,子文件夹及文件


<不是继承的>


硬盘或文件夹: C:/Documents and Settings/All
Users/Application Data/Microsoft


主要权限部分:


其他权限部分:


Administrators


完全控制


Users


读取和运行


该文件夹,子文件夹及文件


该文件夹,子文件夹及文件


<不是继承的>


<不是继承的>


SYSTEM


完全控制


此文件夹包含 Microsoft 应用程序状态数据


该文件夹,子文件夹及文件


<不是继承的>


硬盘或文件夹: C:/Documents and Settings/All
Users/Application Data/Microsoft/Crypto/RSA/MachineKeys


主要权限部分:


其他权限部分:


Administrators


完全控制


Everyone


列出文件夹、读取属性、读取扩展属性、创建文件、创建文件夹、写入属性、写入扩展属性、读取权限


只有该文件夹


Everyone这里只有读写权限,不能加运行和删除权限,仅限该文件夹


只有该文件夹


<不是继承的>


<不是继承的>


硬盘或文件夹: C:/Documents and Settings/All
Users/Application Data/Microsoft/Crypto/DSS/MachineKeys


主要权限部分:


其他权限部分:


Administrators


完全控制


Everyone


列出文件夹、读取属性、读取扩展属性、创建文件、创建文件夹、写入属性、写入扩展属性、读取权限


只有该文件夹


Everyone这里只有读写权限,不能加运行和删除权限,仅限该文件夹


只有该文件夹


<不是继承的>


<不是继承的>


硬盘或文件夹: C:/Documents and Settings/All
Users/Application Data/Microsoft/HTML Help


主要权限部分:


其他权限部分:


Administrators


完全控制


Users


读取和运行


该文件夹,子文件夹及文件


该文件夹,子文件夹及文件


<不是继承的>


<不是继承的>


SYSTEM


完全控制


该文件夹,子文件夹及文件


<不是继承的>


硬盘或文件夹: C:/Documents and Settings/All
Users/Application Data/Microsoft/Network/Connections/Cm


主要权限部分:


其他权限部分:


Administrators


完全控制


Everyone


读取和运行


该文件夹,子文件夹及文件


该文件夹,子文件夹及文件


<不是继承的>


<不是继承的>


SYSTEM


完全控制


Everyone这里只有读和运行权限


该文件夹,子文件夹及文件


<不是继承的>


硬盘或文件夹: C:/Documents and Settings/All
Users/Application Data/Microsoft/Network/Downloader


主要权限部分:


其他权限部分:


Administrators


完全控制



该文件夹,子文件夹及文件


<不是继承的>


SYSTEM


完全控制


该文件夹,子文件夹及文件


<不是继承的>


硬盘或文件夹: C:/Documents and Settings/All
Users/Application Data/Microsoft/Media Index


主要权限部分:


其他权限部分:


Administrators


完全控制


Users


读取和运行


该文件夹,子文件夹及文件


该文件夹,子文件夹及文件


<不是继承的>


<继承于上一级文件夹>


SYSTEM


完全控制


Users


创建文件/写入数据
创建文件夹/附加数据
写入属性
写入扩展属性
读取权限


该文件夹,子文件夹及文件


只有该文件夹


<不是继承的>


<不是继承的>


Users


创建文件/写入数据
创建文件夹/附加数据
写入属性
写入扩展属性


只有该子文件夹和文件


<不是继承的>


硬盘或文件夹: C:/Documents and Settings/All Users/DRM


主要权限部分:


其他权限部分:


这里需要把GUEST用户组和IIS访问用户组全部禁止
Everyone的权限比较特殊,默认安装后已经带了
主要是要把IIS访问的用户组加上所有权限都禁止


Users


读取和运行


该文件夹,子文件夹及文件


<不是继承的>


Guests


拒绝所有


该文件夹,子文件夹及文件


<不是继承的>


Guest


拒绝所有


该文件夹,子文件夹及文件


<不是继承的>


IUSR_XXX
或某个虚拟主机用户组


拒绝所有


该文件夹,子文件夹及文件


<不是继承的>


硬盘或文件夹: C:/Documents and Settings/All Users/Documents (共享文档)


主要权限部分:


其他权限部分:


Administrators


完全控制



该文件夹,子文件夹及文件


<不是继承的>


CREATOR OWNER


完全控制


只有子文件夹及文件


<不是继承的>


SYSTEM


完全控制


该文件夹,子文件夹及文件


<不是继承的>


硬盘或文件夹: C:/Program Files


主要权限部分:


其他权限部分:


Administrators


完全控制


IIS_WPG


读取和运行


该文件夹,子文件夹及文件


该文件夹,子文件夹及文件


<不是继承的>


<不是继承的>


CREATOR OWNER


完全控制


IUSR_XXX
或某个虚拟主机用户组


列出文件夹/读取数据 :拒绝


只有子文件夹及文件


该文件夹,子文件夹及文件


<不是继承的>


<不是继承的>


SYSTEM


完全控制


IIS虚拟主机用户组禁止列目录,可有效防止FSO类木马
如果安装了aspjepg和aspupload


该文件夹,子文件夹及文件


<不是继承的>


硬盘或文件夹: C:/Program Files/Common Files


主要权限部分:


其他权限部分:


Administrators


完全控制


IIS_WPG


读取和运行


该文件夹,子文件夹及文件


该文件夹,子文件夹及文件


<不是继承的>


<继承于上级目录>


CREATOR OWNER


完全控制


Users


读取和运行


只有子文件夹及文件


该文件夹,子文件夹及文件


<不是继承的>


<不是继承的>


SYSTEM


完全控制


复合权限,为IIS提供快速安全的运行环境


该文件夹,子文件夹及文件


<不是继承的>


硬盘或文件夹: C:/Program Files/Common Files/Microsoft
Shared/web server extensions


主要权限部分:


其他权限部分:


Administrators


完全控制



该文件夹,子文件夹及文件


<不是继承的>


CREATOR OWNER


完全控制


只有子文件夹及文件


<不是继承的>


SYSTEM


完全控制


该文件夹,子文件夹及文件


<不是继承的>


硬盘或文件夹: C:/Program Files/Microsoft SQL Server/MSSQL (程序部分默认装在C:盘)


主要权限部分:


其他权限部分:


Administrators


完全控制



该文件夹,子文件夹及文件


<不是继承的>


硬盘或文件夹: E:/Program Files/Microsoft SQL Server (数据库部分装在E:盘的情况)


主要权限部分:


其他权限部分:


Administrators


完全控制



该文件夹,子文件夹及文件


<不是继承的>


CREATOR OWNER


完全控制


只有子文件夹及文件


<不是继承的>


SYSTEM


完全控制


该文件夹,子文件夹及文件


<不是继承的>


硬盘或文件夹: E:/Program Files/Microsoft SQL Server/MSSQL (数据库部分装在E:盘的情况)


主要权限部分:


其他权限部分:


Administrators


完全控制



该文件夹,子文件夹及文件


<不是继承的>


硬盘或文件夹: C:/Program Files/Internet
Explorer/iexplore.exe


主要权限部分:


其他权限部分:


Administrators


完全控制



该文件夹,子文件夹及文件


<不是继承的>


硬盘或文件夹: C:/Program Files/Outlook Express


主要权限部分:


其他权限部分:


Administrators


完全控制



该文件夹,子文件夹及文件


<不是继承的>


CREATOR OWNER


完全控制


只有子文件夹及文件


<不是继承的>


SYSTEM


完全控制


该文件夹,子文件夹及文件


<不是继承的>


硬盘或文件夹: C:/Program Files/PowerEasy5 (如果装了动易组件的话)


主要权限部分:


其他权限部分:


Administrators


完全控制



该文件夹,子文件夹及文件


<不是继承的>


CREATOR OWNER


完全控制


只有子文件夹及文件


<不是继承的>


SYSTEM


完全控制


该文件夹,子文件夹及文件


<不是继承的>


硬盘或文件夹: C:/Program Files/Radmin (如果装了Radmin远程控制的话)


主要权限部分:


其他权限部分:


Administrators


完全控制



对应的c:/windows/system32里面有两个文件
r_server.exe和AdmDll.dll
要把Users读取运行权限去掉
默认权限只要administrators和system全部权限

 
该文件夹,子文件夹及文件


<不是继承的>


CREATOR OWNER


完全控制


只有子文件夹及文件


<不是继承的>


SYSTEM


完全控制


该文件夹,子文件夹及文件


<不是继承的>


硬盘或文件夹: C:/Program Files/Serv-U (如果装了Serv-U服务器的话)


主要权限部分:


其他权限部分:


Administrators


完全控制



这里常是提权入侵的一个比较大的漏洞点
一定要按这个方法设置
目录名字根据Serv-U版本也可能是 
C:/Program
Files/RhinoSoft.com/Serv-U

 
该文件夹,子文件夹及文件


<不是继承的>


CREATOR OWNER


完全控制


只有子文件夹及文件


<不是继承的>


SYSTEM


完全控制


该文件夹,子文件夹及文件


<不是继承的>


硬盘或文件夹: C:/Program Files/Windows Media Player


主要权限部分:


其他权限部分:


Administrators


完全控制



该文件夹,子文件夹及文件


<不是继承的>


CREATOR OWNER


完全控制


只有子文件夹及文件


<不是继承的>


SYSTEM


完全控制


该文件夹,子文件夹及文件


<不是继承的>


硬盘或文件夹: C:/Program Files/Windows NT/Accessories


主要权限部分:


其他权限部分:


Administrators


完全控制



该文件夹,子文件夹及文件


<不是继承的>


CREATOR OWNER


完全控制


只有子文件夹及文件


<不是继承的>


SYSTEM


完全控制


该文件夹,子文件夹及文件


<不是继承的>


硬盘或文件夹: C:/Program Files/WindowsUpdate


主要权限部分:


其他权限部分:


Administrators


完全控制



该文件夹,子文件夹及文件


<不是继承的>


CREATOR OWNER


完全控制


只有子文件夹及文件


<不是继承的>


SYSTEM


完全控制


该文件夹,子文件夹及文件


<不是继承的>


硬盘或文件夹: C:/WINDOWS


主要权限部分:


其他权限部分:


Administrators


完全控制


Users


读取和运行


该文件夹,子文件夹及文件


该文件夹,子文件夹及文件


<不是继承的>


<不是继承的>


CREATOR OWNER


完全控制


只有子文件夹及文件


<不是继承的>


SYSTEM


完全控制


该文件夹,子文件夹及文件


<不是继承的>


硬盘或文件夹: C:/WINDOWS/repair


主要权限部分:


其他权限部分:


Administrators


完全控制


IUSR_XXX
或某个虚拟主机用户组


列出文件夹/读取数据 :拒绝


该文件夹,子文件夹及文件


该文件夹,子文件夹及文件


<不是继承的>


<不是继承的>


CREATOR OWNER


完全控制


虚拟主机用户访问组拒绝读取,有助于保护系统数据
这里保护的是系统级数据SAM

 
只有子文件夹及文件


<不是继承的>


SYSTEM


完全控制


该文件夹,子文件夹及文件


<不是继承的>


硬盘或文件夹: C:/WINDOWS/IIS Temporary Compressed Files


主要权限部分:


其他权限部分:


Administrators


完全控制


USERS


读取和写入/删除


该文件夹,子文件夹及文件


该文件夹,子文件夹及文件


<继承于C:/windows>


<不是继承的>


CREATOR OWNER


完全控制


IIS_WPG


读取和写入/删除


只有子文件夹及文件


该文件夹,子文件夹及文件


<继承于C:/windows>


<不是继承的>


SYSTEM


完全控制


建议装了MCAFEE或NOD的用户把此文件夹,禁止写入一些文件类型比如*.EXE和*.com等可执行文件或vbs类脚本


该文件夹,子文件夹及文件


<继承于C:/windows>


IUSR_XXX
或某个虚拟主机用户组


列出文件夹/读取数据 :拒绝


该文件夹,子文件夹及文件


<不是继承的>


Guests


列出文件夹/读取数据 :拒绝


该文件夹,子文件夹及文件


<不是继承的>


硬盘或文件夹: C:/WINDOWS/Microsoft.NET/Framework/版本/Temporary ASP.NET Files


主要权限部分:


其他权限部分:


Administrators


完全控制


ASP.NET 计算机帐户


读取和运行


该文件夹,子文件夹及文件


该文件夹,子文件夹及文件


<继承于C:/windows>


<继承于C:/windows>


CREATOR OWNER


完全控制


ASP.NET 计算机帐户


写入/删除


只有子文件夹及文件


该文件夹,子文件夹及文件


<继承于C:/windows>


<不是继承的>


SYSTEM


完全控制


IIS_WPG


读取和运行


该文件夹,子文件夹及文件


该文件夹,子文件夹及文件


<继承于C:/windows>


<继承于C:/windows>


IUSR_XXX
或某个虚拟主机用户组


列出文件夹/读取数据 :拒绝


IIS_WPG


写入(原来有删除权限要去掉 )


该文件夹,子文件夹及文件


该文件夹,子文件夹及文件


<不是继承的>


<不是继承的>


Guests


列出文件夹/读取数据 :拒绝


LOCAL SERVICE


读取和运行


该文件夹,子文件夹及文件


该文件夹,子文件夹及文件


<不是继承的>


<继承于C:/windows>


USERS


读取和运行


LOCAL SERVICE


写入/删除


该文件夹,子文件夹及文件


该文件夹,子文件夹及文件


<继承于C:/windows>


<不是继承的>


NETWORK SERVICE


读取和运行


该文件夹,子文件夹及文件


<继承于C:/windows>


建议装了MCAFEE或NOD的用户把此文件夹,禁止写入一些文件类型,比如*.EXE和*.com等可执行文件或vbs类脚本


NETWORK SERVICE


写入/删除


该文件夹,子文件夹及文件


<不是继承的>


硬盘或文件夹: C:/WINDOWS/system32


主要权限部分:


其他权限部分:


Administrators


完全控制


Users


读取和运行


该文件夹,子文件夹及文件


该文件夹,子文件夹及文件


<不是继承的>


<不是继承的>


CREATOR OWNER


完全控制


IUSR_XXX
或某个虚拟主机用户组


列出文件夹/读取数据 :拒绝


只有子文件夹及文件


该文件夹,子文件夹及文件


<不是继承的>


<不是继承的>


SYSTEM


完全控制


虚拟主机用户访问组拒绝读取,有助于保护系统数据


该文件夹,子文件夹及文件


<不是继承的>


硬盘或文件夹: C:/WINDOWS/system32/config


主要权限部分:


其他权限部分:


Administrators


完全控制


Users


读取和运行


该文件夹,子文件夹及文件


该文件夹,子文件夹及文件


<不是继承的>


<不是继承的>


CREATOR OWNER


完全控制


IUSR_XXX
或某个虚拟主机用户组


列出文件夹/读取数据 :拒绝


只有子文件夹及文件


该文件夹,子文件夹及文件


<不是继承的>


<继承于上一级目录>


SYSTEM


完全控制


虚拟主机用户访问组拒绝读取,有助于保护系统数据


该文件夹,子文件夹及文件


<不是继承的>


硬盘或文件夹: C:/WINDOWS/system32/inetsrv/


主要权限部分:


其他权限部分:


Administrators


完全控制


Users


读取和运行


该文件夹,子文件夹及文件


该文件夹,子文件夹及文件


<不是继承的>


<不是继承的>


CREATOR OWNER


完全控制


IUSR_XXX
或某个虚拟主机用户组


列出文件夹/读取数据 :拒绝


只有子文件夹及文件


只有该文件夹


<不是继承的>


<继承于上一级目录>


SYSTEM


完全控制


虚拟主机用户访问组拒绝读取,有助于保护系统数据


该文件夹,子文件夹及文件


<不是继承的>


硬盘或文件夹: C:/WINDOWS/system32/inetsrv/ASP Compiled
Templates


主要权限部分:


其他权限部分:


Administrators


完全控制


IIS_WPG


完全控制


该文件夹,子文件夹及文件


该文件夹,子文件夹及文件


<不是继承的>


<不是继承的>


IUSR_XXX
或某个虚拟主机用户组


列出文件夹/读取数据 :拒绝


该文件夹,子文件夹及文件


<继承于上一级目录>


虚拟主机用户访问组拒绝读取,有助于保护系统数据

 
   

硬盘或文件夹: C:/WINDOWS/system32/inetsrv/iisadmpwd


主要权限部分:


其他权限部分:


Administrators


完全控制



该文件夹,子文件夹及文件


<不是继承的>


CREATOR OWNER


完全控制


只有子文件夹及文件


<不是继承的>


SYSTEM


完全控制


该文件夹,子文件夹及文件


<不是继承的>


硬盘或文件夹: C:/WINDOWS/system32/inetsrv/MetaBack


主要权限部分:


其他权限部分:


Administrators


完全控制


Users


读取和运行


该文件夹,子文件夹及文件


该文件夹,子文件夹及文件


<不是继承的>


<不是继承的>


CREATOR OWNER


完全控制


IUSR_XXX
或某个虚拟主机用户组


列出文件夹/读取数据 :拒绝


只有子文件夹及文件


该文件夹,子文件夹及文件


<不是继承的>


<继承于上一级目录>


SYSTEM


完全控制


虚拟主机用户访问组拒绝读取,有助于保护系统数据


该文件夹,子文件夹及文件


<不是继承的>


Winwebmail 电子邮局安装后权限举例:目录E:/


主要权限部分:


其他权限部分:


Administrators


完全控制


IUSR_XXXXXX 
这个用户是WINWEBMAIL访问WEB站点专用帐户


读取和运行


该文件夹,子文件夹及文件


该文件夹,子文件夹及文件


<不是继承的>


<不是继承的>


CREATOR OWNER


完全控制


只有子文件夹及文件


<不是继承的>


SYSTEM


完全控制


该文件夹,子文件夹及文件


<不是继承的>


Winwebmail 电子邮局安装后权限举例:目录E:/WinWebMail


主要权限部分:


其他权限部分:


Administrators


完全控制


IUSR_XXXXXX 
WINWEBMAIL访问WEB站点专用帐户


读取和运行


该文件夹,子文件夹及文件


该文件夹,子文件夹及文件


<继承于E:/>


<继承于E:/>


CREATOR OWNER


完全控制


Users


修改/读取运行/列出文件目录/读取/写入


只有子文件夹及文件


该文件夹,子文件夹及文件


<继承于E:/>


<不是继承的>


SYSTEM


完全控制


IUSR_XXXXXX 
WINWEBMAIL访问WEB站点专用帐户


修改/读取运行/列出文件目录/读取/写入


该文件夹,子文件夹及文件


该文件夹,子文件夹及文件


<继承于E:/>


<不是继承的>


IUSR_XXXXXX 和IWAM_XXXXXX 
是winwebmail专用的IIS用户和应用程序池用户
单独使用,安全性能高


IWAM_XXXXXX 
WINWEBMAIL应用程序池专用帐户


修改/读取运行/列出文件目录/读取/写入


该文件夹,子文件夹及文件


<不是继承的>

十一:本地安全策略设置 
开始菜单—>管理工具—>本地安全策略
  A、本地策略——>审核策略 
  审核策略更改   成功 失败  
  审核登录事件   成功 失败
  审核对象访问      失败
  审核过程跟踪   无审核
  审核目录服务访问    失败
  审核特权使用      失败
  审核系统事件   成功 失败
  审核账户登录事件 成功 失败
  审核账户管理   成功 失败

  B、本地策略——>用户权限分配
  关闭系统:只有Administrators组、其它全部删除。
  通过终端服务拒绝登陆:加入Guests(注意一定不能加入user组,否则不能远程桌面)
  通过终端服务允许登陆:只加入Administrators组,其他全部删除

  C、本地策略——>安全选项
  交互式登陆:不显示上次的用户名       启用
  网络访问:不允许SAM帐户和共享的匿名枚举   启用
  网络访问:不允许为网络身份验证储存凭证   启用
  网络访问:可匿名访问的共享         全部删除
  网络访问:可匿名访问的命          全部删除
  网络访问:可远程访问的注册表路径      全部删除 
  网络访问:可远程访问的注册表路径和子路径  全部删除 
  帐户:重命名来宾帐户            重命名一个帐户 
  帐户:重命名系统管理员帐户         重命名一个帐户

十二:其它注册表项 
     1、防止SYN洪水攻击  
  HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services/Tcpip/Parameters  
  新建DWORD值,名为SynAttackProtect,值为2  
  2、 禁止响应ICMP路由通告报文  
  HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services/Tcpip/Parameters/Interfaces/interface  
  新建DWORD值,名为PerformRouterDiscovery
值为0  
  3. 防止ICMP重定向报文的攻击  
  HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services/Tcpip/Parameters  
  将EnableICMPRedirects 值设为0  
  4. 不支持IGMP协议  
  HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services/Tcpip/Parameters  
  新建DWORD值,名为IGMPLevel 值为0

十三:如果有非法用户,要删除,则

如果您是一名网络管理员,请保持经常检查服务器帐户的良好习惯,如果您看到一名陌生的帐户,而且发现这名帐户不属于任何用户组的时候,那么恭喜你,你的管理员帐户可能被克隆了,该用户很可能拥有服务器的超管权限,因为那是通过克隆你的超管帐号的sam信息建立的帐户,该用户不属于任何用户组,使用用户管理器或命令行下删除该用户时将提示“用户不属于此组 ”,正确删除方法如下:
    运行注册表编辑器,依次展开
HKEY_LOCAL_MACHINE/SAM/SAM,右键点击,选择权限,更改Administrators的权限为完全控制.刷新后依次展开该项下的的Domains/Account/Users/Names/
删除该子项下的陌生帐号及与之相对应的Domains/Account/Users里的项;返回,删除administrator在 HKEY_LOCAL_MACHINE/SAM/SAM下的权限。
    重启系统搞定。
    补充一下,以便于大家回答,本来是可以在注册表中,将些账号删除
    过程我想大家想知道了,我要么再罗嗦一下,
1.在cmd下进入regedt32下提高sam/sam文件夹的权限(在菜单的“安全”里),提高到当前用户完全控制,关掉(要不这么做regedit中HKEY_local_machine/sam/sam是没有权限查看的!).
2. 进入regedit中HKEY_local_machine/sam/sam/domains/account/users/names/那个黑账号,删除它,删除前先看一下其对应的文件夹,在HKEY_local_machine/sam/sam/domains/account/users下,一起删除掉。

十四:端口检测

安装端口实时监测软件如ActivePorts,它的最大好处在于在监视端口的同时,能把活动端口所对应的应用程序列出来。

十五:安全扫描

对计算机进行全方位的立体检测,可用微软为我们提供的免费工具MBSA(Microsoft Baseline Security
Analyzer,微软基准安全分析器)进行检测。

web iis服务器安全性配置实例,布布扣,bubuko.com

时间: 2024-10-02 15:16:48

web iis服务器安全性配置实例的相关文章

linux服务器安全配置实例(一)

引言 很多企业的服务器经常遭受到攻击,出现的攻击方式有:http服务攻击.操作系统漏洞溢出攻击.sql注入攻击等. 大多服务器都托管在阿里云或者腾讯云上,这些云服务也都提供杀毒软件和防火墙功能,如:阿里云盾.上述攻击大部分都已经被厂商提供的云安全拦截住了,但是毕竟没有绝对的安全. 这里记录下我平时对服务器的安全配置,希望对大家有一些帮助,还是没有绝对的安全,但是能够防患未然还是好的.另外这里指出,在描述攻击我们的那些人,我拒绝使用黑客这个词语,黑客的含义已经被现在的社会涂上了一层让人憎恨讨厌的色

[.net]手机APP与IIS服务器联调配置

前端时间写过一段时间接口,在后期的时候,出现了一些无法通过查看日志来找出问题所在的bug.于是,将手机APP连接到IIS服务器上进行调试,下面是配置的具体步骤 1. 配置IIS  添加网站,将物理路径配置为你项目的文件路径,IP地址设置为APP调用API的地址,其他的默认. 2.配置Visual Studio 选中项目,右键选择属性,并在弹出的页面中选择Web:   关键的一步,将原来默认的IISExpress修改为本地IIS, 并修改项目URL为上一步的IP地址,点击创建虚拟目录: 保存设置.

IIS服务器环境配置(一)

在开始-> 控制面板 ->打开或关闭功能 IIS 服务器程序 勾选  HTML勾选 完成添加后  重启  确认是否添加上在控制面板的 管理工具中查看

iis 服务器而配置php运行环境

第一步 下载php 下载压缩包就可以了 第二步 解压缩php到某个目录,比如D:\php php目录里面有两个php.ini,一个是php.ini-dist,比较适合开发用:一个是php.ini-recommended,比较适合配置运行环境用,因为这个安全性稍高一些. 所以我们复制php.ini-recommended到C:\WINDOWS下,并改名为php.ini,然后用记事本打开它 1.搜索"extension_dir"找到extensino_dir="./"将

vue-router规则下 history模式在iis服务器上配置

vue默认模式是hash模式    url地址栏会带有"#"这个字符. 例如:http://www.xxx.com/#/index 感觉和正常的url相比有点丑. 如何让此地址如正常的url一样  官网告诉我用hostory模式... 但是当我布置完后 刷新就是404...感觉还不如url丑点那. 但是事情的结果大多都会很美好.然后查了一些资料.... 因为vue属于单页面应用   所以iis识别不了vue路由规则. 问题找到了---方法就好找了.... 第一个比较笨的方法是:iis站

IIS服务器被配置为不列出此目录的内容

使用 IIS 管理器启用目录浏览. 打开 IIS 管理器. 在“功能”视图中,双击“目录浏览”. 在“目录浏览”页上,在“操作”窗格中单击“启用”.

IIS服务器 远程发布(Web Deploy)配置 VS2010 开发环境 Windows Server 2008服务器系统

sp.net 网站有三种常用的发布方式:分别是拷贝开发机上发布好的文件到服务器硬盘上.打包成安装程序到服务器上安装.通过Visual Studio 开发平台远程发布到服务器. 在asp.net网站的开发阶段,经常需要将系统发布到开发者所在局域网的服务器上,供客户和项目负责人预览.之前都是在开发机上发布好之后再拷贝到服务器上部署,因为开 发阶段系统的更新很快,每次都拷贝文件很麻烦.于是开始研究VS2010发布到远程IIS服务器的方法,经过在网上查找相关资料和亲身实践成功的在Windows Serv

iis7 发布mvc3 遇到的HTTP错误 403.14-Forbidden Web 服务器被配置为不列出此目录的内容及Login on failed for &quot;IIS APPPOOL\ASP.NET v4.0&quot;问题

问题1: 发布mvc3报错:403.14-Forbidden Web 服务器被配置为不列出此目录的内容 折腾了半天,提示里面的解决方法是: 如果不希望启用目录浏览,请确保配置了默认文档并且该文件存在. 使用 IIS 管理器启用目录浏览. 打开 IIS 管理器. 在“功能”视图中,双击“目录浏览”. 在“目录浏览”页上,在“操作”窗格中单击“启用”. 确认站点或应用程序配置文件中的 configuration/system.webServer/[email protected] 特性被设置为 Tr

iis 7上发布mvc报错:403.14-Forbidden Web 服务器被配置为不列出此目录的内容

提示里面的解决方法是: 如果不希望启用目录浏览,请确保配置了默认文档并且该文件存在. 使用 IIS 管理器启用目录浏览. 打开 IIS 管理器. 在“功能”视图中,双击“目录浏览”. 在“目录浏览”页上,在“操作”窗格中单击“启用”. 确认站点或应用程序配置文件中的 configuration/system.webServer/[email protected] 特性被设置为 True. 按照该方法改后 ,发现网页运行界面进去的变成了目录结构,后来发现改配置文件web.config配置文件的配置