web iis服務器安全性配置實例


自己不維護服務器,不知道維護服務器的辛苦。剛開始為了嫌麻煩,抱有僥幸心理,一些繁瑣的安全設置沒有配置,結果服務器連一天都沒撐過去。經過10天的反復摸索和努力,現在服務器已經穩定工作一個月了,特此整理本文。

 

    我的服務器的應用含:
    APACHE:80
    IIS:81,由APACHE映射過來
    MySql: 3306
    SQLServer2005: 5687
    svn: 80
    FTP: 21

    遠程桌面:9898

一:關於TCP/IP篩選 
    TCP/IP的篩選,我是不做的。如你只開發80端口,則外網可以訪問你的WEB服務器,但是,你不能訪問別人的WEB服務。因為訪問別人的WEB服務的時候,你本地不是從80出去,而是WINDOWS隨機創建了一個端口。
    不能訪問外網的WEB服務,導致的直接后果是有些軟件,如360、殺毒軟件、個人防火牆、WINDOWS系統漏洞等不能升級。這些升級全部是使用WEB服務的。

二:防火牆 
    1:使用瑞星個人防火牆,在端口篩選中,開放題頭中的端口。
    2:同時,開放WINDOWS防火牆,在例外和高級中,都要對端口進行開發。尤其注意,服務器一般放置在機房,一定要開放遠程桌面的端口。

三:用戶管理 
    1:改名guest,設置超復雜密碼,然后停用。;
    2:改名administrator,可帶中文,設置超復雜密碼;然后建立一個名為administrator的誘餌賬戶,屬於user組。設立超復雜密碼。

四:IP安全策略 
    IP安全策略,個人認為很重要,無論是個人防火牆還是WINDOWS,都不能做出、入限制,在安全策略中卻可以。

協議

IP協議端口

源地址

目標地址

描述

方式

ICMP

--

--

--

ICMP

阻止

UDP

135

任何IP地址

我的IP地址

135-UDP

阻止

UDP

136

任何IP地址

我的IP地址

136-UDP

阻止

UDP

137

任何IP地址

我的IP地址

137-UDP

阻止

UDP

138

任何IP地址

我的IP地址

138-UDP

阻止

UDP

139

任何IP地址

我的IP地址

139-UDP

阻止

TCP

445

任何IP地址-從任意端口

我的IP地址-445

445-TCP

阻止

UDP

445

任何IP地址-從任意端口

我的IP地址-445

445-UDP

阻止

UDP

69

任何IP地址-從任意端口

我的IP地址-69

69-入

阻止

UDP

69

我的IP地址-69

任何IP地址-任意端口

69-出

阻止

TCP

4444

任何IP地址-從任意端口

我的IP地址-4444

4444-TCP

阻止

TCP

1026

我的IP地址-1026

任何IP地址-任意端口

灰鴿子-1026

阻止

TCP

1027

我的IP地址-1027

任何IP地址-任意端口

灰鴿子-1027

阻止

TCP

1028

我的IP地址-1028

任何IP地址-任意端口

灰鴿子-1028

阻止

UDP

1026

我的IP地址-1026

任何IP地址-任意端口

灰鴿子-1026

阻止

UDP

1027

我的IP地址-1027

任何IP地址-任意端口

灰鴿子-1027

阻止

UDP

1028

我的IP地址-1028

任何IP地址-任意端口

灰鴿子-1028

阻止

TCP

21

我的IP地址-從任意端口

任何IP地址-到21端口

阻止tftp出站

阻止

TCP

99

我的IP地址-99

任何IP地址-任意端口

阻止99shell

阻止

TCP

3306

任何IP地址-任意端口

我的IP地址-3306

阻止外部訪問MYSQL

阻止

TCP

1433

任何IP地址-任意端口

我的IP地址-1433

阻止外部訪問SQLSERVER

阻止

TCP

1434

任何IP地址-任意端口

我的IP地址-1434

阻止外部訪問SQLSERVER

阻止



五:IIS安全設置 
    1:刪除默認網站對應的interpub;
    2:停掉默認網站;
    3:WEB日志更改到別處;
    這里舉例4個不同類型腳本的虛擬主機 權限設置例子 

主機頭

主機腳本

硬盤目錄

IIS用戶名

硬盤權限

應用程序池

主目錄

應用程序配置

www.1.com

HTM

D:/www.1.com/

IUSR_1.com

Administrators(完全控制)
IUSR_1.com (讀)

可共用

讀取/純腳本

啟用父路徑

www.2.com

ASP

D:/www.2.com/

IUSR_1.com

Administrators(完全控制)
IUSR_2.com (讀/寫)

可共用

讀取/純腳本

啟用父路徑

www.3.com

NET

D:/www.3.com/

IUSR_1.com

Administrators(完全控制) 
IWAM_3.com (讀/寫)
IUSR_3.com (讀/寫)

獨立池

讀取/純腳本

啟用父路徑

www.4.com

PHP

D:/www.4.com/

IUSR_1.com

Administrators(完全控制) 
IWAM_4.com (讀/寫)
IUSR_4.com (讀/寫)

獨立池

讀取/純腳本

啟用父路徑

其中 IWAM_3.com 和 IWAM_4.com 分別是各自獨立應用程序池標識 中的啟動帳戶

 

主機腳本類型

應用程序擴展名 (就是文件后綴名)對應主機腳本 ,只需要加載以下的應用程序擴展

HTM

STM | SHTM | SHTML | MDB

ASP

ASP | ASA | MDB

NET

ASPX | ASAX | ASCX| ASHX | ASMX | AXD | VSDISCO | REM | SOAP | CONFIG |
CS |CSPROJ | VB | VBPROJ | WEBINFO | LICX | RESX | RESOURCES | MDB

PHP

PHP | PHP3 | PHP4

MDB是共用映射,下面用紅色表示

應用程序擴展

映射文件

執行動作

STM=.stm

C:/WINDOWS/system32/inetsrv/ssinc.dll

GET,POST

SHTM=.shtm

C:/WINDOWS/system32/inetsrv/ssinc.dll

GET,POST

SHTML=.shtml

C:/WINDOWS/system32/inetsrv/ssinc.dll

GET,POST

ASP=.asp

C:/WINDOWS/system32/inetsrv/asp.dll

GET,HEAD,POST,TRACE

ASA=.asa

C:/WINDOWS/system32/inetsrv/asp.dll

GET,HEAD,POST,TRACE

ASPX=.aspx

C:/WINDOWS/Microsoft.NET/Framework/v1.1.4322/aspnet_isapi.dll

GET,HEAD,POST,DEBUG

ASAX=.asax

C:/WINDOWS/Microsoft.NET/Framework/v1.1.4322/aspnet_isapi.dll

GET,HEAD,POST,DEBUG

ASCX=.ascx

C:/WINDOWS/Microsoft.NET/Framework/v1.1.4322/aspnet_isapi.dll

GET,HEAD,POST,DEBUG

ASHX=.ashx

C:/WINDOWS/Microsoft.NET/Framework/v1.1.4322/aspnet_isapi.dll

GET,HEAD,POST,DEBUG

ASMX=.asmx

C:/WINDOWS/Microsoft.NET/Framework/v1.1.4322/aspnet_isapi.dll

GET,HEAD,POST,DEBUG

AXD=.axd

C:/WINDOWS/Microsoft.NET/Framework/v1.1.4322/aspnet_isapi.dll

GET,HEAD,POST,DEBUG

VSDISCO=.vsdisco

C:/WINDOWS/Microsoft.NET/Framework/v1.1.4322/aspnet_isapi.dll

GET,HEAD,POST,DEBUG

REM=.rem

C:/WINDOWS/Microsoft.NET/Framework/v1.1.4322/aspnet_isapi.dll

GET,HEAD,POST,DEBUG

SOAP=.soap

C:/WINDOWS/Microsoft.NET/Framework/v1.1.4322/aspnet_isapi.dll

GET,HEAD,POST,DEBUG

CONFIG=.config

C:/WINDOWS/Microsoft.NET/Framework/v1.1.4322/aspnet_isapi.dll

GET,HEAD,POST,DEBUG

CS=.cs

C:/WINDOWS/Microsoft.NET/Framework/v1.1.4322/aspnet_isapi.dll

GET,HEAD,POST,DEBUG

CSPROJ=.csproj

C:/WINDOWS/Microsoft.NET/Framework/v1.1.4322/aspnet_isapi.dll

GET,HEAD,POST,DEBUG

VB=.vb

C:/WINDOWS/Microsoft.NET/Framework/v1.1.4322/aspnet_isapi.dll

GET,HEAD,POST,DEBUG

VBPROJ=.vbproj

C:/WINDOWS/Microsoft.NET/Framework/v1.1.4322/aspnet_isapi.dll

GET,HEAD,POST,DEBUG

WEBINFO=.webinfo

C:/WINDOWS/Microsoft.NET/Framework/v1.1.4322/aspnet_isapi.dll

GET,HEAD,POST,DEBUG

LICX=.licx

C:/WINDOWS/Microsoft.NET/Framework/v1.1.4322/aspnet_isapi.dll

GET,HEAD,POST,DEBUG

RESX=.resx

C:/WINDOWS/Microsoft.NET/Framework/v1.1.4322/aspnet_isapi.dll

GET,HEAD,POST,DEBUG

RESOURCES=.resources

C:/WINDOWS/Microsoft.NET/Framework/v1.1.4322/aspnet_isapi.dll

GET,HEAD,POST,DEBUG

PHP=.php

C:/php5/php5isapi.dll

GET,HEAD,POST

PHP3=.php3

C:/php5/php5isapi.dll

GET,HEAD,POST

PHP4=.php4

C:/php5/php5isapi.dll

GET,HEAD,POST

MDB=.mdb

C:/WINDOWS/system32/inetsrv/ssinc.dll

GET,POST

ASP.NET 進程帳戶所需的 NTFS 權限

目錄

所需權限

Temporary ASP.NET Files%windir%/Microsoft.NET/Framework/{版本}Temporary ASP.NET Files

進程帳戶和模擬標識: 
看下面詳細權限

臨時目錄 (%temp%)

進程帳戶 
完全控制

.NET Framework 目錄%windir%/Microsoft.NET/Framework/{版本}

進程帳戶和模擬標識: 
讀取和執行 
列出文件夾內容 
讀取

.NET Framework 配置目錄%windir%/Microsoft.NET/Framework/{版本}/CONFIG

進程帳戶和模擬標識: 
讀取和執行 
列出文件夾內容 
讀取

網站根目錄 
C:/inetpub/wwwroot 
或默認網站指向的路徑

進程帳戶: 
讀取

系統根目錄 
%windir%/system32

進程帳戶: 
讀取

全局程序集高速緩存 
%windir%/assembly

進程帳戶和模擬標識: 
讀取

內容目錄
C:/inetpub/wwwroot/YourWebApp 
(一般來說不用默認目錄,管理員可根據實際情況調整比如D:/wwwroot)

進程帳戶: 
讀取
列出文件夾內容 
讀取 
注意 對於 .NET Framework 1.0,直到文件系統根目錄的所有父目錄也都需要上述權限。父目錄包括: 
C:/ 
C:/inetpub/ 
C:/inetpub/wwwroot/

 

硬盤或文件夾: C:/WINDOWS/Microsoft.NET/Framework/版本/Temporary ASP.NET Files

 

主要權限部分:

其他權限部分:

Administrators

完全控制

 

ASP.NET 計算機帳戶

 

讀取和運行

 

該文件夾,子文件夾及文件

該文件夾,子文件夾及文件

 

<繼承於E:/>

<繼承於C:/windows>

CREATOR OWNER

完全控制

ASP.NET 計算機帳戶

寫入/刪除

 

只有子文件夾及文件

該文件夾,子文件夾及文件

 

<繼承於E:/>

<不是繼承的>

SYSTEM

完全控制

 

IIS_WPG

 

讀取和運行

 

該文件夾,子文件夾及文件

該文件夾,子文件夾及文件

 

<繼承於E:/>

<繼承於C:/windows>

IUSR_XXX
或某個虛擬主機用戶組

 

列出文件夾/讀取數據 :拒絕

 

IIS_WPG

寫入/刪除

該文件夾,子文件夾及文件

該文件夾,子文件夾及文件

<不是繼承的>

<不是繼承的>

Guests

列出文件夾/讀取數據 :拒絕

LOCAL SERVICE

讀取和運行

該文件夾,子文件夾及文件

該文件夾,子文件夾及文件

<不是繼承的>

<繼承於C:/windows>

USERS

讀取和運行

LOCAL SERVICE

寫入/刪除

該文件夾,子文件夾及文件

該文件夾,子文件夾及文件

<繼承於C:/windows>

<不是繼承的>

 

 

NETWORK SERVICE

讀取和運行

 

 

該文件夾,子文件夾及文件

 

 

<繼承於C:/windows>

 

 

NETWORK SERVICE

寫入/刪除

 

 

該文件夾,子文件夾及文件

 

 

<不是繼承的>



六:SQLServer2005安全設置 
    1:停掉CMDSHELL,使用如下語句:
-- To allow advanced options to be changed
EXEC sp_configure 'show advanced options', 1;
GO
-- To update the currently configured value for -- advanced options
RECONFIGURE;
GO
-- To disable xp_cmdshell
EXEC sp_configure 'xp_cmdshell', 0;
GO
-- To update the currently configured value for this -- feature
RECONFIGURE;
GO 
    2:更改SA名,設置超復雜密碼;
    3:刪除不必要用戶,但是要保留系統自己創建的用戶。如果你不想讓使用windows身份驗證登錄,則也可以刪除sqlserver登錄中的xxx/administrator這個用戶。
    4:更改1433這個默認的端口號,這里是5687。   

七:組件設置

A、卸載WScript.Shell 和 Shell.application 組件,將下面的代碼保存為一個.BAT文件執行(分2000和2003系統)

windows2000.bat

regsvr32/u C:/WINNT/System32/wshom.ocx del C:/WINNT/System32/wshom.ocx regsvr32/u C:/WINNT/system32/shell32.dll del C:/WINNT/system32/shell32.dll

windows2003.bat

regsvr32/u C:/WINDOWS/System32/wshom.ocx del C:/WINDOWS/System32/wshom.ocx regsvr32/u C:/WINDOWS/system32/shell32.dll del C:/WINDOWS/system32/shell32.dll

B、改名不安全組件,需要注意的是組件的名稱和Clsid都要改,並且要改徹底了,不要照抄,要自己改

 


【開始→運行→regedit →回車】打開注冊表編輯器 

然后【編輯→查找→填寫Shell.application →查找下一個】

用這個方法能找到兩個注冊表項:

{13709620-C279-11CE-A49E-444553540000} 和 Shell.application 。

第一步: 為了確保萬無一失,把這兩個注冊表項導出來,保存為xxxx.reg 文件。

第二步: 比如我們想做這樣的更改

13709620-C279-11CE-A49E-444553540000 改名為 13709620-C279-11CE-A49E-444553540001 

Shell.application 改名為 Shell.application_nohack 

第三步: 那么,就把剛才導出的.reg文件里的內容按上面的對應關系替換掉,然后把修改好的.reg文件導入到注冊表中(雙擊即可),導入了改名后的注冊表項之后,別忘記了刪除原有的那兩個項目。這里需要注意一點,Clsid中只能是十個數字和ABCDEF六個字母 

其實,只要把對應注冊表項導出來備份,然后直接改鍵名就可以了,

改好的例子
建議自己改
應該可一次成功

Windows Registry Editor Version 5.00 [HKEY_CLASSES_ROOT/CLSID/{13709620-C279-11CE-A49E-444553540001}] @="Shell Automation Service" [HKEY_CLASSES_ROOT/CLSID/{13709620-C279-11CE-A49E-444553540001}/InProcServer32] @="C://WINNT//system32//shell32.dll" "ThreadingModel"="Apartment" [HKEY_CLASSES_ROOT/CLSID/{13709620-C279-11CE-A49E-444553540001}/ProgID] @="Shell.Application_nohack.1" [HKEY_CLASSES_ROOT/CLSID/{13709620-C279-11CE-A49E-444553540001}/TypeLib] @="{50a7e9b0-70ef-11d1-b75a-00a0c90564fe}" [HKEY_CLASSES_ROOT/CLSID/{13709620-C279-11CE-A49E-444553540001}/Version] @="1.1" [HKEY_CLASSES_ROOT/CLSID/{13709620-C279-11CE-A49E-444553540001}/VersionIndependentProgID] @="Shell.Application_nohack" [HKEY_CLASSES_ROOT/Shell.Application_nohack] @="Shell Automation Service" [HKEY_CLASSES_ROOT/Shell.Application_nohack/CLSID] @="{13709620-C279-11CE-A49E-444553540001}" [HKEY_CLASSES_ROOT/Shell.Application_nohack/CurVer] @="Shell.Application_nohack.1"

老杜評論:

WScript.Shell 和 Shell.application 組件是 腳本入侵過程中,提升權限的重要環節,這兩個組件的卸載和修改對應注冊鍵名,可以很大程度的提高虛擬主機的腳本安全性能,一般來說,ASP和php類腳本提升權限的功能是無法實現了,再加上一些系統服務 、硬盤訪問權限、端口過濾、本地安全策略 的設置,虛擬主機因該說,安全性能有非常大的提高,黑客入侵的可能性是非常低了。注銷了Shell組件之后,侵入者運行提升工具的可能性就很小了,但是prel等別的腳本語言也有shell能力,為防萬一,還是設置一下為好。下面是另外一種設置,大同小異。

  一、禁止使用FileSystemObject組件

  FileSystemObject可以對文件進行常規操作,可以通過修改注冊表,將此組件改名,來防止此類木馬的危害。

  HKEY_CLASSES_ROOT/Scripting.FileSystemObject/ 

  改名為其它的名字,如:改為 FileSystemObject_ChangeName

  自己以后調用的時候使用這個就可以正常調用此組件了

  也要將clsid值也改一下

  HKEY_CLASSES_ROOT/Scripting.FileSystemObject/CLSID/ 項目的值

  也可以將其刪除,來防止此類木馬的危害。

  2000注銷此組件命令:RegSrv32 /u C:/WINNT/SYSTEM/scrrun.dll

  2003注銷此組件命令:RegSrv32 /u C:/WINDOWS/SYSTEM/scrrun.dll

  如何禁止Guest用戶使用scrrun.dll來防止調用此組件?

  使用這個命令:cacls C:/WINNT/system32/scrrun.dll /e /d guests

  二、禁止使用WScript.Shell組件

  WScript.Shell可以調用系統內核運行DOS基本命令

  可以通過修改注冊表,將此組件改名,來防止此類木馬的危害。

  HKEY_CLASSES_ROOT/WScript.Shell/及HKEY_CLASSES_ROOT/WScript.Shell.1/

  改名為其它的名字,如:改為WScript.Shell_ChangeName 或 WScript.Shell.1_ChangeName

  自己以后調用的時候使用這個就可以正常調用此組件了

  也要將clsid值也改一下

  HKEY_CLASSES_ROOT/WScript.Shell/CLSID/ 項目的值

  HKEY_CLASSES_ROOT/WScript.Shell.1/CLSID/ 項目的值

  也可以將其刪除,來防止此類木馬的危害。

  三、禁止使用Shell.Application組件

  Shell.Application可以調用系統內核運行DOS基本命令

  可以通過修改注冊表,將此組件改名,來防止此類木馬的危害。

  HKEY_CLASSES_ROOT/Shell.Application/ 

  及

  HKEY_CLASSES_ROOT/Shell.Application.1/ 

  改名為其它的名字,如:改為Shell.Application_ChangeName 或Shell.Application.1_ChangeName

  自己以后調用的時候使用這個就可以正常調用此組件了

  也要將clsid值也改一下

  HKEY_CLASSES_ROOT/Shell.Application/CLSID/項目的值

  HKEY_CLASSES_ROOT/Shell.Application/CLSID/項目的值

  也可以將其刪除,來防止此類木馬的危害。

  禁止Guest用戶使用shell32.dll來防止調用此組件。

  2000使用命令:cacls C:/WINNT/system32/shell32.dll /e /d guests 
  2003使用命令:cacls C:/WINDOWS/system32/shell32.dll /e /d guests 

  注:操作均需要重新啟動WEB服務后才會生效。

  四、調用Cmd.exe

  禁用Guests組用戶調用cmd.exe

  2000使用命令:cacls C:/WINNT/system32/Cmd.exe /e /d guests 
  2003使用命令:cacls C:/WINDOWS/system32/Cmd.exe /e /d guests

  通過以上四步的設置基本可以防范目前比較流行的幾種木馬,但最有效的辦法還是通過綜合安全設置,將服務器、程序安全都達到一定標准,才可能將安全等級設置較高,防范更多非法入侵。

C、防止Serv-U權限提升 (適用於 Serv-U6.0 以前版本,之后可以直接設置密碼)

 

先停掉Serv-U服務

用Ultraedit 打開ServUDaemon.exe 

查找 Ascii:LocalAdministrator 和 #l@$ak#.lk;0@P 

修改成等長度的其它字符就可以了,ServUAdmin.exe 也一樣處理。

另外注意設置Serv-U所在的文件夾的權限,不要讓IIS匿名用戶有讀取的權限 ,否則人家下走你修改過的文件,照樣可以分析出你的管理員名和密碼。

阿江ASP探針

http://www.ajiang.net/products/aspcheck/ (可以測試組件安全性)


八:部分安全設置

把下面文本保存為: windows2000-2003服務器安全和性能注冊表自動配置文件.reg 運行即可。

Windows Registry Editor Version 5.00 [HKEY_CURRENT_USER/Software/Microsoft/Windows/CurrentVersion/Policies/Explorer] "NoRecentDocsMenu"=hex:01,00,00,00 "NoRecentDocsHistory"=hex:01,00,00,00 [HKEY_LOCAL_MACHINE/Software/Microsoft/Windows NT/CurrentVersion/Winlogon] "DontDisplayLastUserName"="1" [HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Control/Lsa] "restrictanonymous"=dword:00000001 [HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services/lanmanserver/Parameters] "AutoShareServer"=dword:00000000 "AutoShareWks"=dword:00000000 [HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services/Tcpip/Parameters] "EnableICMPRedirect"=dword:00000000 "KeepAliveTime"=dword:000927c0 "SynAttackProtect"=dword:00000002 "TcpMaxHalfOpen"=dword:000001f4 "TcpMaxHalfOpenRetried"=dword:00000190 "TcpMaxConnectResponseRetransmissions"=dword:00000001 "TcpMaxDataRetransmissions"=dword:00000003 "TCPMaxPortsExhausted"=dword:00000005 "DisableIPSourceRouting"=dword:00000002 "TcpTimedWaitDelay"=dword:0000001e "TcpNumConnections"=dword:00004e20 "EnablePMTUDiscovery"=dword:00000000 "NoNameReleaseOnDemand"=dword:00000001 "EnableDeadGWDetect"=dword:00000000 "PerformRouterDiscovery"=dword:00000000 "EnableICMPRedirects"=dword:00000000 [HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services/NetBT/Parameters] "BacklogIncrement"=dword:00000005 "MaxConnBackLog"=dword:000007d0 [HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services/AFD/Parameters] "EnableDynamicBacklog"=dword:00000001 "MinimumDynamicBacklog"=dword:00000014 "MaximumDynamicBacklog"=dword:00007530 "DynamicBacklogGrowthDelta"=dword:0000000a

功能:可抵御DDOS攻擊2-3萬包,提高服務器TCP-IP整體安全性能(效果等於軟件防火牆,節約了系統資源)



九:服務
    在我的系統中,停掉或禁用的服務有:

Aleter

 

Application Management

 

ASp.net狀態服務

 

Automatic Upadates

 

Background intelligent transfer servervice

 

clipbook

 

com+ system application

 

computer brower

 

cryptographic services

 

distributed file system

 

distributed link tracking client

 

distributed link tracking server

 

distributed transaction coordinator

 

file replication

 

help and support

 

IMAPI CD-BURNING com service

 

indexing service

 

intersite messaging

 

kerberos key distribution center

 

license logging

 

logical disk manager administrative service

 

messenger

 

microsoft software shadow copy provider

 

net logon

 

netmeeting remote desktop sharing

 

network dde

 

network dde dsdm

 

Network Provisioning Service

 

Office Source Engine

 

Performance Logs and Alerts

 

Portable Media Serial Number Service

 

Print Spooler

 

Remote Access Auto Connection Manager

 

Remote Desktop Help Session Manager

 

Remote Procedure Call (RPC) Locator

 

Remote Registry

 

Removable Storage

 

Resultant Set of Policy Provider

 

Routing and Remote Access

 

Server

 

Smart Card

 

Special Administration Console Helper

 

SQL Server Active Directory Helper

 

SQL Server Browser

 

SQL Server VSS Writer

 

Task Scheduler

 

TCP/IP NetBIOS Helper

 

Telnet

 

Terminal Services Session Directory

 

Themes

 

Uninterruptible Power Supply

 

Virtual Disk Service

 

Volume Shadow Copy

 

WebClient

 

Windows Audio

 

Windows Image Acquisition (WIA)

 

Windows Installer

 

Windows Management Instrumentation Driver Extensions

 

Windows Time

 

Windows User Mode Driver Framework

 

WinHTTP Web Proxy Auto-Discovery Service

 

Wireless Configuration

 

WMI Performance Adapter

 

Workstation

 



十:系統文件權限設置 
    這里着重談需要的權限,也就是最終文件夾或硬盤需要的權限,可以防御各種木馬入侵,提權攻擊,跨站攻擊等。本實例經過多次試驗,安全性能很好,服務器基本沒有被木馬威脅的擔憂了。

硬盤或文件夾: C:/ D:/ E:/ F:/ 類推

 

主要權限部分:

其他權限部分:

Administrators

完全控制

 


如果安裝了其他運行環境,比如PHP等,則根據PHP的環境功能要求來設置硬盤權限,一般是安裝目錄加上users讀取運行權限就足夠了,比如c:/php 的話,就在根目錄權限繼承的情況下加上users讀取運行權限,需要寫入數據的比如tmp文件夾,則把users的寫刪權限加上,運行權限不要,然后把虛擬主機用戶的讀權限拒絕即可。如果是mysql的話,用一個獨立用戶運行MYSQL會更安全,下面會有介紹。如果是winwebmail,則最好建立獨立的應用程序池和獨立IIS用戶,然后整個安裝目錄有winwebmail進程用戶的讀/運行/寫/權限,IIS用戶則相同,這個IIS用戶就只用在 winwebmail的WEB訪問中,其他IIS站點切勿使用,安裝了winwebmail的服務器硬盤權限設置后面舉例

 

該文件夾,子文件夾及文件

 

<不是繼承的>

CREATOR OWNER

完全控制

 

只有子文件夾及文件

 

<不是繼承的>

SYSTEM

完全控制

 

該文件夾,子文件夾及文件

 

<不是繼承的>

 

硬盤或文件夾: C:/Inetpub/

 

主要權限部分:

其他權限部分:

Administrators

完全控制

 

 

該文件夾,子文件夾及文件

 

<繼承於c:/>

CREATOR OWNER

完全控制

 

只有子文件夾及文件

 

<繼承於c:/>

SYSTEM

完全控制

 

該文件夾,子文件夾及文件

 

<繼承於c:/>

 

硬盤或文件夾: C:/Inetpub/ AdminScripts

 

主要權限部分:

其他權限部分:

Administrators

完全控制

 

 

該文件夾,子文件夾及文件

 

<不是繼承的>

SYSTEM

完全控制

 

該文件夾,子文件夾及文件

 

<不是繼承的>

 

硬盤或文件夾: C:/Inetpub/wwwroot

 

主要權限部分:

其他權限部分:

Administrators

完全控制

IIS_WPG

讀取運行/列出文件夾目錄/讀取

 

該文件夾,子文件夾及文件

 

該文件夾,子文件夾及文件

 

<不是繼承的>

 

<不是繼承的>

SYSTEM

完全控制

Users

讀取運行/列出文件夾目錄/讀取

 

該文件夾,子文件夾及文件

 

該文件夾,子文件夾及文件

 

<不是繼承的>

 

<不是繼承的>

這里可以把虛擬主機用戶組加上
同Internet 來賓帳戶一樣的權限
拒絕權限

Internet 來賓帳戶

創建文件/寫入數據/:拒絕
創建文件夾/附加數據/:拒絕 
寫入屬性/:拒絕
寫入擴展屬性/:拒絕 
刪除子文件夾及文件/:拒絕
刪除/:拒絕

 

該文件夾,子文件夾及文件

 

<不是繼承的>

 

硬盤或文件夾: C:/Inetpub/wwwroot/aspnet_client

 

主要權限部分:

其他權限部分:

Administrators

完全控制

Users

讀取

 

該文件夾,子文件夾及文件

 

該文件夾,子文件夾及文件

 

<不是繼承的>

 

<不是繼承的>

SYSTEM

完全控制

 

 

該文件夾,子文件夾及文件

 

<不是繼承的>

 

硬盤或文件夾: C:/Documents and Settings

 

主要權限部分:

其他權限部分:

Administrators

完全控制

 

 

該文件夾,子文件夾及文件

 

<不是繼承的>

SYSTEM

完全控制

 

該文件夾,子文件夾及文件

 

<不是繼承的>

 

硬盤或文件夾: C:/Documents and Settings/All Users

 

主要權限部分:

其他權限部分:

Administrators

完全控制

Users

讀取和運行

 

該文件夾,子文件夾及文件

 

該文件夾,子文件夾及文件

 

<不是繼承的>

 

<不是繼承的>

SYSTEM

完全控制

USERS組的權限僅僅限制於讀取和運行,
絕對不能加上寫入權限

 

該文件夾,子文件夾及文件

 

<不是繼承的>

 

硬盤或文件夾: C:/Documents and Settings/All Users/「開始」菜單

 

主要權限部分:

其他權限部分:

Administrators

完全控制

 

該文件夾,子文件夾及文件

 

<不是繼承的>

SYSTEM

完全控制

 

該文件夾,子文件夾及文件

 

<不是繼承的>

 

硬盤或文件夾: C:/Documents and Settings/All Users/Application Data

 

主要權限部分:

其他權限部分:

Administrators

完全控制

Users

讀取和運行

 

該文件夾,子文件夾及文件

 

該文件夾,子文件夾及文件

 

<不是繼承的>

 

<不是繼承的>

CREATOR OWNER

完全控制

Users

寫入

 

只有子文件夾及文件

 

該文件夾,子文件夾

 

<不是繼承的>

 

<不是繼承的>

SYSTEM

完全控制

兩個並列權限同用戶組需要分開列權限

 

該文件夾,子文件夾及文件

 

<不是繼承的>

 

硬盤或文件夾: C:/Documents and Settings/All Users/Application Data/Microsoft

 

主要權限部分:

其他權限部分:

Administrators

完全控制

Users

讀取和運行

 

該文件夾,子文件夾及文件

 

該文件夾,子文件夾及文件

 

<不是繼承的>

 

<不是繼承的>

SYSTEM

完全控制

此文件夾包含 Microsoft 應用程序狀態數據

 

該文件夾,子文件夾及文件

 

<不是繼承的>

 

硬盤或文件夾: C:/Documents and Settings/All Users/Application Data/Microsoft/Crypto/RSA/MachineKeys

 

主要權限部分:

其他權限部分:

Administrators

完全控制

Everyone

列出文件夾、讀取屬性、讀取擴展屬性、創建文件、創建文件夾、寫入屬性、寫入擴展屬性、讀取權限

 

只有該文件夾

 

Everyone這里只有讀寫權限,不能加運行和刪除權限,僅限該文件夾

只有該文件夾

 

<不是繼承的>

<不是繼承的>

 

硬盤或文件夾: C:/Documents and Settings/All Users/Application Data/Microsoft/Crypto/DSS/MachineKeys

 

主要權限部分:

其他權限部分:

Administrators

完全控制

Everyone

列出文件夾、讀取屬性、讀取擴展屬性、創建文件、創建文件夾、寫入屬性、寫入擴展屬性、讀取權限

 

只有該文件夾

 

Everyone這里只有讀寫權限,不能加運行和刪除權限,僅限該文件夾

只有該文件夾

 

<不是繼承的>

<不是繼承的>

 

硬盤或文件夾: C:/Documents and Settings/All Users/Application Data/Microsoft/HTML Help

 

主要權限部分:

其他權限部分:

Administrators

完全控制

Users

讀取和運行

 

該文件夾,子文件夾及文件

 

該文件夾,子文件夾及文件

 

<不是繼承的>

 

<不是繼承的>

SYSTEM

完全控制

 

 

該文件夾,子文件夾及文件

 

<不是繼承的>

 

硬盤或文件夾: C:/Documents and Settings/All Users/Application Data/Microsoft/Network/Connections/Cm

 

主要權限部分:

其他權限部分:

Administrators

完全控制

Everyone

讀取和運行

 

該文件夾,子文件夾及文件

 

該文件夾,子文件夾及文件

 

<不是繼承的>

 

<不是繼承的>

SYSTEM

完全控制

Everyone這里只有讀和運行權限

 

該文件夾,子文件夾及文件

 

<不是繼承的>

 

硬盤或文件夾: C:/Documents and Settings/All Users/Application Data/Microsoft/Network/Downloader

 

主要權限部分:

其他權限部分:

Administrators

完全控制

 

該文件夾,子文件夾及文件

 

<不是繼承的>

SYSTEM

完全控制

 

該文件夾,子文件夾及文件

 

<不是繼承的>

 

硬盤或文件夾: C:/Documents and Settings/All Users/Application Data/Microsoft/Media Index

 

主要權限部分:

其他權限部分:

Administrators

完全控制

Users

讀取和運行

 

該文件夾,子文件夾及文件

 

該文件夾,子文件夾及文件

 

<不是繼承的>

 

<繼承於上一級文件夾>

SYSTEM

完全控制

Users

創建文件/寫入數據
創建文件夾/附加數據
寫入屬性
寫入擴展屬性
讀取權限

 

該文件夾,子文件夾及文件

 

只有該文件夾

 

<不是繼承的>

 

<不是繼承的>

 

Users

創建文件/寫入數據
創建文件夾/附加數據
寫入屬性
寫入擴展屬性

 

只有該子文件夾和文件

 

<不是繼承的>

 

硬盤或文件夾: C:/Documents and Settings/All Users/DRM

 

主要權限部分:

其他權限部分:

這里需要把GUEST用戶組和IIS訪問用戶組全部禁止
Everyone的權限比較特殊,默認安裝后已經帶了
主要是要把IIS訪問的用戶組加上所有權限都禁止

Users

讀取和運行

 

該文件夾,子文件夾及文件

 

<不是繼承的>

Guests

拒絕所有

 

該文件夾,子文件夾及文件

 

<不是繼承的>

Guest

拒絕所有

 

該文件夾,子文件夾及文件

 

<不是繼承的>

IUSR_XXX
或某個虛擬主機用戶組

 

 

拒絕所有

該文件夾,子文件夾及文件

<不是繼承的>

 

硬盤或文件夾: C:/Documents and Settings/All Users/Documents (共享文檔)

 

主要權限部分:

其他權限部分:

Administrators

完全控制

 

該文件夾,子文件夾及文件

 

<不是繼承的>

CREATOR OWNER

完全控制

 

只有子文件夾及文件

 

<不是繼承的>

SYSTEM

完全控制

 

該文件夾,子文件夾及文件

 

<不是繼承的>

 

硬盤或文件夾: C:/Program Files

 

主要權限部分:

其他權限部分:

Administrators

完全控制

IIS_WPG

讀取和運行

 

該文件夾,子文件夾及文件

 

該文件夾,子文件夾及文件

 

<不是繼承的>

 

<不是繼承的>

CREATOR OWNER

完全控制

IUSR_XXX
或某個虛擬主機用戶組

列出文件夾/讀取數據 :拒絕

 

只有子文件夾及文件

該文件夾,子文件夾及文件

 

<不是繼承的>

<不是繼承的>

SYSTEM

完全控制

IIS虛擬主機用戶組禁止列目錄,可有效防止FSO類木馬
如果安裝了aspjepg和aspupload

 

該文件夾,子文件夾及文件

 

<不是繼承的>

 

硬盤或文件夾: C:/Program Files/Common Files

 

主要權限部分:

其他權限部分:

Administrators

完全控制

IIS_WPG

讀取和運行

 

該文件夾,子文件夾及文件

 

該文件夾,子文件夾及文件

 

<不是繼承的>

 

<繼承於上級目錄>

CREATOR OWNER

完全控制

Users

讀取和運行

 

只有子文件夾及文件

該文件夾,子文件夾及文件

 

<不是繼承的>

<不是繼承的>

SYSTEM

完全控制

復合權限,為IIS提供快速安全的運行環境

 

該文件夾,子文件夾及文件

 

<不是繼承的>

 

硬盤或文件夾: C:/Program Files/Common Files/Microsoft Shared/web server extensions

 

主要權限部分:

其他權限部分:

Administrators

完全控制

 

該文件夾,子文件夾及文件

 

<不是繼承的>

CREATOR OWNER

完全控制

 

只有子文件夾及文件

 

<不是繼承的>

SYSTEM

完全控制

 

該文件夾,子文件夾及文件

 

<不是繼承的>

 

硬盤或文件夾: C:/Program Files/Microsoft SQL Server/MSSQL (程序部分默認裝在C:盤)

 

主要權限部分:

其他權限部分:

Administrators

完全控制

 

該文件夾,子文件夾及文件

 

<不是繼承的>

 

硬盤或文件夾: E:/Program Files/Microsoft SQL Server (數據庫部分裝在E:盤的情況)

 

主要權限部分:

其他權限部分:

Administrators

完全控制

 

該文件夾,子文件夾及文件

 

<不是繼承的>

CREATOR OWNER

完全控制

 

只有子文件夾及文件

 

<不是繼承的>

SYSTEM

完全控制

 

該文件夾,子文件夾及文件

 

<不是繼承的>

 

硬盤或文件夾: E:/Program Files/Microsoft SQL Server/MSSQL (數據庫部分裝在E:盤的情況)

 

主要權限部分:

其他權限部分:

Administrators

完全控制

 

該文件夾,子文件夾及文件

 

<不是繼承的>

 

硬盤或文件夾: C:/Program Files/Internet Explorer/iexplore.exe

 

主要權限部分:

其他權限部分:

Administrators

完全控制

 

該文件夾,子文件夾及文件

 

<不是繼承的>

 

硬盤或文件夾: C:/Program Files/Outlook Express

 

主要權限部分:

其他權限部分:

Administrators

完全控制

 

該文件夾,子文件夾及文件

 

<不是繼承的>

CREATOR OWNER

完全控制

 

只有子文件夾及文件

 

<不是繼承的>

SYSTEM

完全控制

 

該文件夾,子文件夾及文件

 

<不是繼承的>

 

硬盤或文件夾: C:/Program Files/PowerEasy5 (如果裝了動易組件的話)

 

主要權限部分:

其他權限部分:

Administrators

完全控制

 

該文件夾,子文件夾及文件

 

<不是繼承的>

CREATOR OWNER

完全控制

 

只有子文件夾及文件

 

<不是繼承的>

SYSTEM

完全控制

 

該文件夾,子文件夾及文件

 

<不是繼承的>

 

硬盤或文件夾: C:/Program Files/Radmin (如果裝了Radmin遠程控制的話)

 

主要權限部分:

其他權限部分:

Administrators

完全控制


對應的c:/windows/system32里面有兩個文件
r_server.exe和AdmDll.dll
要把Users讀取運行權限去掉
默認權限只要administrators和system全部權限

 

該文件夾,子文件夾及文件

 

<不是繼承的>

CREATOR OWNER

完全控制

 

只有子文件夾及文件

 

<不是繼承的>

SYSTEM

完全控制

 

該文件夾,子文件夾及文件

 

<不是繼承的>

 

硬盤或文件夾: C:/Program Files/Serv-U (如果裝了Serv-U服務器的話)

 

主要權限部分:

其他權限部分:

Administrators

完全控制


這里常是提權入侵的一個比較大的漏洞點
一定要按這個方法設置
目錄名字根據Serv-U版本也可能是 
C:/Program Files/RhinoSoft.com/Serv-U 

 

該文件夾,子文件夾及文件

 

<不是繼承的>

CREATOR OWNER

完全控制

 

只有子文件夾及文件

 

<不是繼承的>

SYSTEM

完全控制

 

該文件夾,子文件夾及文件

 

<不是繼承的>

 

硬盤或文件夾: C:/Program Files/Windows Media Player

 

主要權限部分:

其他權限部分:

Administrators

完全控制

 

該文件夾,子文件夾及文件

 

<不是繼承的>

CREATOR OWNER

完全控制

 

只有子文件夾及文件

 

<不是繼承的>

SYSTEM

完全控制

 

該文件夾,子文件夾及文件

 

<不是繼承的>

 

硬盤或文件夾: C:/Program Files/Windows NT/Accessories

 

主要權限部分:

其他權限部分:

Administrators

完全控制

 

該文件夾,子文件夾及文件

 

<不是繼承的>

CREATOR OWNER

完全控制

 

只有子文件夾及文件

 

<不是繼承的>

SYSTEM

完全控制

 

該文件夾,子文件夾及文件

 

<不是繼承的>

 

硬盤或文件夾: C:/Program Files/WindowsUpdate

 

主要權限部分:

其他權限部分:

Administrators

完全控制

 

該文件夾,子文件夾及文件

 

<不是繼承的>

CREATOR OWNER

完全控制

 

只有子文件夾及文件

 

<不是繼承的>

SYSTEM

完全控制

 

該文件夾,子文件夾及文件

 

<不是繼承的>

 

硬盤或文件夾: C:/WINDOWS

 

主要權限部分:

其他權限部分:

Administrators

完全控制

Users

讀取和運行

 

該文件夾,子文件夾及文件

 

該文件夾,子文件夾及文件

 

<不是繼承的>

 

<不是繼承的>

CREATOR OWNER

完全控制

 

 

 

只有子文件夾及文件

 

 

<不是繼承的>

 

SYSTEM

完全控制

 

 

該文件夾,子文件夾及文件

 

<不是繼承的>

 

硬盤或文件夾: C:/WINDOWS/repair

 

主要權限部分:

其他權限部分:

Administrators

完全控制

IUSR_XXX
或某個虛擬主機用戶組

 

列出文件夾/讀取數據 :拒絕

 

該文件夾,子文件夾及文件

該文件夾,子文件夾及文件

 

<不是繼承的>

<不是繼承的>

CREATOR OWNER

完全控制

 

 

虛擬主機用戶訪問組拒絕讀取,有助於保護系統數據
這里保護的是系統級數據SAM

 

只有子文件夾及文件

 

<不是繼承的>

SYSTEM

完全控制

 

該文件夾,子文件夾及文件

 

<不是繼承的>

 

硬盤或文件夾: C:/WINDOWS/IIS Temporary Compressed Files

 

主要權限部分:

其他權限部分:

Administrators

完全控制

 

USERS

讀取和寫入/刪除

 

該文件夾,子文件夾及文件

該文件夾,子文件夾及文件

 

<繼承於C:/windows>

<不是繼承的>

CREATOR OWNER

完全控制

IIS_WPG

讀取和寫入/刪除

 

只有子文件夾及文件

該文件夾,子文件夾及文件

 

<繼承於C:/windows>

<不是繼承的>

SYSTEM

完全控制

建議裝了MCAFEE或NOD的用戶把此文件夾,禁止寫入一些文件類型比如*.EXE和*.com等可執行文件或vbs類腳本

 

該文件夾,子文件夾及文件

 

<繼承於C:/windows>

IUSR_XXX
或某個虛擬主機用戶組

 

列出文件夾/讀取數據 :拒絕

該文件夾,子文件夾及文件

<不是繼承的>

Guests

列出文件夾/讀取數據 :拒絕

該文件夾,子文件夾及文件

<不是繼承的>

 

 

 

硬盤或文件夾: C:/WINDOWS/Microsoft.NET/Framework/版本/Temporary ASP.NET Files

 

主要權限部分:

其他權限部分:

Administrators

完全控制

 

ASP.NET 計算機帳戶

 

讀取和運行

 

該文件夾,子文件夾及文件

該文件夾,子文件夾及文件

 

<繼承於C:/windows>

<繼承於C:/windows>

CREATOR OWNER

完全控制

ASP.NET 計算機帳戶

寫入/刪除

 

只有子文件夾及文件

該文件夾,子文件夾及文件

 

<繼承於C:/windows>

<不是繼承的>

SYSTEM

完全控制

 

IIS_WPG

 

讀取和運行

 

該文件夾,子文件夾及文件

該文件夾,子文件夾及文件

 

<繼承於C:/windows>

<繼承於C:/windows>

IUSR_XXX
或某個虛擬主機用戶組

 

列出文件夾/讀取數據 :拒絕

 

IIS_WPG

寫入(原來有刪除權限要去掉 )

該文件夾,子文件夾及文件

該文件夾,子文件夾及文件

<不是繼承的>

<不是繼承的>

Guests

列出文件夾/讀取數據 :拒絕

LOCAL SERVICE

讀取和運行

該文件夾,子文件夾及文件

該文件夾,子文件夾及文件

<不是繼承的>

<繼承於C:/windows>

USERS

讀取和運行

LOCAL SERVICE

寫入/刪除

該文件夾,子文件夾及文件

該文件夾,子文件夾及文件

<繼承於C:/windows>

<不是繼承的>

 

 

NETWORK SERVICE

讀取和運行

 

 

該文件夾,子文件夾及文件

 

 

<繼承於C:/windows>

建議裝了MCAFEE或NOD的用戶把此文件夾,禁止寫入一些文件類型,比如*.EXE和*.com等可執行文件或vbs類腳本

NETWORK SERVICE

寫入/刪除

該文件夾,子文件夾及文件

<不是繼承的>

 

硬盤或文件夾: C:/WINDOWS/system32

 

主要權限部分:

其他權限部分:

Administrators

完全控制

Users

讀取和運行

 

該文件夾,子文件夾及文件

 

該文件夾,子文件夾及文件

 

<不是繼承的>

 

<不是繼承的>

CREATOR OWNER

完全控制

IUSR_XXX
或某個虛擬主機用戶組

 

 

列出文件夾/讀取數據 :拒絕

 

只有子文件夾及文件

該文件夾,子文件夾及文件

 

<不是繼承的>

<不是繼承的>

SYSTEM

完全控制

虛擬主機用戶訪問組拒絕讀取,有助於保護系統數據

 

該文件夾,子文件夾及文件

 

<不是繼承的>

 

硬盤或文件夾: C:/WINDOWS/system32/config

 

主要權限部分:

其他權限部分:

Administrators

完全控制

Users

讀取和運行

 

該文件夾,子文件夾及文件

 

該文件夾,子文件夾及文件

 

<不是繼承的>

 

<不是繼承的>

CREATOR OWNER

完全控制

IUSR_XXX
或某個虛擬主機用戶組

 

 

列出文件夾/讀取數據 :拒絕

 

只有子文件夾及文件

該文件夾,子文件夾及文件

 

<不是繼承的>

<繼承於上一級目錄>

SYSTEM

完全控制

虛擬主機用戶訪問組拒絕讀取,有助於保護系統數據

 

該文件夾,子文件夾及文件

 

<不是繼承的>

 

硬盤或文件夾: C:/WINDOWS/system32/inetsrv/

 

主要權限部分:

其他權限部分:

Administrators

完全控制

Users

讀取和運行

 

該文件夾,子文件夾及文件

 

該文件夾,子文件夾及文件

 

<不是繼承的>

 

<不是繼承的>

CREATOR OWNER

完全控制

IUSR_XXX
或某個虛擬主機用戶組

 

 

列出文件夾/讀取數據 :拒絕

 

只有子文件夾及文件

只有該文件夾

 

<不是繼承的>

<繼承於上一級目錄>

SYSTEM

完全控制

虛擬主機用戶訪問組拒絕讀取,有助於保護系統數據

 

該文件夾,子文件夾及文件

 

<不是繼承的>

 

硬盤或文件夾: C:/WINDOWS/system32/inetsrv/ASP Compiled Templates

 

 

主要權限部分:

其他權限部分:

 

Administrators

完全控制

IIS_WPG

完全控制

 

 

該文件夾,子文件夾及文件

 

該文件夾,子文件夾及文件

 

 

<不是繼承的>

 

<不是繼承的>

 

 

IUSR_XXX
或某個虛擬主機用戶組

 

 

列出文件夾/讀取數據 :拒絕

 

該文件夾,子文件夾及文件

 

<繼承於上一級目錄>

 

虛擬主機用戶訪問組拒絕讀取,有助於保護系統數據

 
   

 

 

硬盤或文件夾: C:/WINDOWS/system32/inetsrv/iisadmpwd

 

主要權限部分:

其他權限部分:

Administrators

完全控制

 

該文件夾,子文件夾及文件

 

<不是繼承的>

CREATOR OWNER

完全控制

 

只有子文件夾及文件

 

<不是繼承的>

SYSTEM

完全控制

 

該文件夾,子文件夾及文件

 

<不是繼承的>

 

硬盤或文件夾: C:/WINDOWS/system32/inetsrv/MetaBack

 

主要權限部分:

其他權限部分:

Administrators

完全控制

Users

讀取和運行

 

該文件夾,子文件夾及文件

 

該文件夾,子文件夾及文件

 

<不是繼承的>

 

<不是繼承的>

CREATOR OWNER

完全控制

IUSR_XXX
或某個虛擬主機用戶組

 

 

列出文件夾/讀取數據 :拒絕

 

只有子文件夾及文件

該文件夾,子文件夾及文件

 

<不是繼承的>

<繼承於上一級目錄>

SYSTEM

完全控制

虛擬主機用戶訪問組拒絕讀取,有助於保護系統數據

 

該文件夾,子文件夾及文件

 

<不是繼承的>

 

Winwebmail 電子郵局安裝后權限舉例:目錄E:/

 

主要權限部分:

其他權限部分:

Administrators

完全控制

IUSR_XXXXXX 
這個用戶是WINWEBMAIL訪問WEB站點專用帳戶

 

 

讀取和運行

 

該文件夾,子文件夾及文件

該文件夾,子文件夾及文件

 

<不是繼承的>

<不是繼承的>

CREATOR OWNER

完全控制

 

 

只有子文件夾及文件

 

<不是繼承的>

SYSTEM

完全控制

 

該文件夾,子文件夾及文件

 

<不是繼承的>

 

Winwebmail 電子郵局安裝后權限舉例:目錄E:/WinWebMail

 

主要權限部分:

其他權限部分:

Administrators

完全控制

 

IUSR_XXXXXX 
WINWEBMAIL訪問WEB站點專用帳戶

 

讀取和運行

 

該文件夾,子文件夾及文件

該文件夾,子文件夾及文件

 

<繼承於E:/>

<繼承於E:/>

CREATOR OWNER

完全控制

Users

 

 

修改/讀取運行/列出文件目錄/讀取/寫入

 

只有子文件夾及文件

該文件夾,子文件夾及文件

 

<繼承於E:/>

<不是繼承的>

SYSTEM

完全控制

IUSR_XXXXXX 
WINWEBMAIL訪問WEB站點專用帳戶

 

 

修改/讀取運行/列出文件目錄/讀取/寫入

 

該文件夾,子文件夾及文件

該文件夾,子文件夾及文件

 

<繼承於E:/>

<不是繼承的>

IUSR_XXXXXX 和IWAM_XXXXXX 
是winwebmail專用的IIS用戶和應用程序池用戶
單獨使用,安全性能高

IWAM_XXXXXX 
WINWEBMAIL應用程序池專用帳戶

 

 

修改/讀取運行/列出文件目錄/讀取/寫入

該文件夾,子文件夾及文件

<不是繼承的>


    
十一:本地安全策略設置 
開始菜單—>管理工具—>本地安全策略
  A、本地策略——>審核策略 
  審核策略更改   成功 失敗  
  審核登錄事件   成功 失敗
  審核對象訪問      失敗
  審核過程跟蹤   無審核
  審核目錄服務訪問    失敗
  審核特權使用      失敗
  審核系統事件   成功 失敗
  審核賬戶登錄事件 成功 失敗
  審核賬戶管理   成功 失敗

  B、本地策略——>用戶權限分配
  關閉系統:只有Administrators組、其它全部刪除。
  通過終端服務拒絕登陸:加入Guests(注意一定不能加入user組,否則不能遠程桌面)
  通過終端服務允許登陸:只加入Administrators組,其他全部刪除

  C、本地策略——>安全選項
  交互式登陸:不顯示上次的用戶名       啟用
  網絡訪問:不允許SAM帳戶和共享的匿名枚舉   啟用
  網絡訪問:不允許為網絡身份驗證儲存憑證   啟用
  網絡訪問:可匿名訪問的共享         全部刪除
  網絡訪問:可匿名訪問的命          全部刪除
  網絡訪問:可遠程訪問的注冊表路徑      全部刪除 
  網絡訪問:可遠程訪問的注冊表路徑和子路徑  全部刪除 
  帳戶:重命名來賓帳戶            重命名一個帳戶 
  帳戶:重命名系統管理員帳戶         重命名一個帳戶

十二:其它注冊表項 
     1、防止SYN洪水攻擊  
  HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services/Tcpip/Parameters  
  新建DWORD值,名為SynAttackProtect,值為2  
  2、 禁止響應ICMP路由通告報文  
  HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services/Tcpip/Parameters/Interfaces/interface  
  新建DWORD值,名為PerformRouterDiscovery 值為0  
  3. 防止ICMP重定向報文的攻擊  
  HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services/Tcpip/Parameters  
  將EnableICMPRedirects 值設為0  
  4. 不支持IGMP協議  
  HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services/Tcpip/Parameters  
  新建DWORD值,名為IGMPLevel 值為0

十三:如果有非法用戶,要刪除,則

    如果您是一名網絡管理員,請保持經常檢查服務器帳戶的良好習慣,如果您看到一名陌生的帳戶,而且發現這名帳戶不屬於任何用戶組的時候,那么恭喜你,你的管理員帳戶可能被克隆了,該用戶很可能擁有服務器的超管權限,因為那是通過克隆你的超管帳號的sam信息建立的帳戶,該用戶不屬於任何用戶組,使用用戶管理器或命令行下刪除該用戶時將提示“用戶不屬於此組 ”,正確刪除方法如下:
    運行注冊表編輯器,依次展開 HKEY_LOCAL_MACHINE/SAM/SAM,右鍵點擊,選擇權限,更改Administrators的權限為完全控制.刷新后依次展開該項下的的Domains/Account/Users/Names/ 刪除該子項下的陌生帳號及與之相對應的Domains/Account/Users里的項;返回,刪除administrator在 HKEY_LOCAL_MACHINE/SAM/SAM下的權限。
    重啟系統搞定。
    補充一下,以便於大家回答,本來是可以在注冊表中,將些賬號刪除
    過程我想大家想知道了,我要么再羅嗦一下,
1.在cmd下進入regedt32下提高sam/sam文件夾的權限(在菜單的“安全”里),提高到當前用戶完全控制,關掉(要不這么做regedit中HKEY_local_machine/sam/sam是沒有權限查看的!).
2. 進入regedit中HKEY_local_machine/sam/sam/domains/account/users/names/那個黑賬號,刪除它,刪除前先看一下其對應的文件夾,在HKEY_local_machine/sam/sam/domains/account/users下,一起刪除掉。

十四:端口檢測

    安裝端口實時監測軟件如ActivePorts,它的最大好處在於在監視端口的同時,能把活動端口所對應的應用程序列出來。

十五:安全掃描

    對計算機進行全方位的立體檢測,可用微軟為我們提供的免費工具MBSA(Microsoft Baseline Security Analyzer,微軟基准安全分析器)進行檢測。

 


免責聲明!

本站轉載的文章為個人學習借鑒使用,本站對版權不負任何法律責任。如果侵犯了您的隱私權益,請聯系本站郵箱yoyou2525@163.com刪除。



 
粵ICP備18138465號   © 2018-2025 CODEPRJ.COM