windows 2003 server IIS权限设置

WEB服务器 专栏收录该内容
3 篇文章 0 订阅
 仅针对windows 2003 server SP1 Internet(IIS) 服务器

系统安装在C:"

系统用户情况为:

administrators 超级管理员()

system 系统用户(内置安全主体)

guests 来宾帐号()

iusr_服务器名 匿名访问web用户

iwam_服务器名 启动iis进程用户

www_cnnsc_org 自己添加的用户、添加后删除Users()、删除后添加到guests来宾帐号()

为加强系统安全、(guest)用户及(iusr_服务器名)用户均被禁用

将访问web目录的全部账户设为guests组、去除其他的组

 

 

■盘符 安全访问权限

C:" administrators() 完全控制权限、system(内置安全主体) 完全控制权限

D:" (如果用户网站内容放置在这个分区中)administrators() 完全控制权限

E:" administrators() 完全控制权限、system(内置安全主体) 完全控制权限

f:" administrators() 完全控制权限、system(内置安全主体) 完全控制权限

△如有其他盘符类推下去.

 

 

■目录安全访问权限

C:"wmpub

administrators() 完全控制权限、system(内置安全主体) 完全控制权限

 

c:"windows"

administrators() 完全控制权限、system(内置安全主体) 完全控制权限

 

c:"windows"system32"

administrators() 完全控制权限、system(内置安全主体) 完全控制权限、iwam_服务器名(用户) 读取+运行权限

 

c:"windows"temp"

administrators() 完全控制权限、system(内置安全主体) 完全控制权限、guests() 完全控制权限

 

C:"WINDOWS"system32"config"

administrators() 完全控制权限、system(内置安全主体) 完全控制权限

 

c:"Program Files"

administrators() 完全控制权限、system(内置安全主体) 完全控制权限

 

C:"Program Files"Common Files"

administrators() 完全控制权限、system(内置安全主体) 完全控制权限、guests() 读取+运行权限

 

c:"Documents and Settings"

administrators() 完全控制权限、system(内置安全主体) 完全控制权限

 

C:"Documents and Settings"All Users"

administrators() 完全控制权限、system(内置安全主体) 完全控制权限

 

C:"Documents and Settings"All Users"Application Data"

administrators() 完全控制权限、system(内置安全主体) 完全控制权限

 

C:"Documents and Settings"All Users"Application Data"Microsoft"

administrators() 完全控制权限、system(内置安全主体) 完全控制权限

 

C:"Documents and Settings"All Users"Application Data"Microsoft"HTML Help"

administrators() 完全控制权限、system(内置安全主体) 完全控制权限

 

 

■禁止系统盘下的EXE文件:

net.execmd.exetftp.exenetstat.exeregedit.exeregedt32.exeat.exeattrib.execacls.exe

△些文件都设置成 administrators 完全控制权限

 

 

■新建WWW(网站)根目录【administrators() 完全控制权限、system(内置安全主体) 完全控制权限】

▲根目录里新建wwwroot目录

▲网站根目录、网页请上传到这个目录

administrators()   完全控制权限

www_cnnsc_org(用户完全控制权限

 

▲根目录里新建logfiles目录

▲网站访问日志文件、本目录不占用您的空间

administrators()   完全控制权限

 

▲根目录里新建database目录

▲数据库目录、用来存放ACCESS数据库

administrators()   完全控制权限

 

▲根目录里新建others目录

▲用于存放您的其它文件、该类文件不会出现在网站上

administrators()   完全控制权限

www_cnnsc_org(用户完全控制权限

 

▲在FTP(登陆消息文件里填)IIS日志说明:

〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓

欢迎您使用本虚拟主机.

请使用CUTEFTP或者LEAFTP等软件上传您的网页.

注意、如果上传不了、请把FTP软件的PASV模式关掉再试.

 

您登陆进去的根目录为FTP根目录

"--wwwroot        网站根目录、网页请上传到这个目录.

"--logfiles       网站访问日志文件、本目录不占用您的空间.

"--database       数据库目录、用来存放ACCESS数据库.

"--others         用于存放您的其它文件,该类文件不会出现在网站上.

为了保证服务器高速稳定运行、请勿上传江湖游戏、广告交换、

博彩类网站、大型论坛、软件下载等耗费系统资源的程序.

 

IIS日志说明

"--Date             动作发生时的日期

"--Time             动作发生时的时间

"--s-sitename       客户所访问的Internet服务于以及实例号

"--s-computername   产生日志条目的服务器的名字

"--s-ip             产生日志条目的服务器的IP地址

"--cs-method        客户端企图执行的动作(例如GET方法)

"--cs-uri-stem      被访问的资源、例如Default.asp

"--cs-uri-query     客户所执行的查询

"--s-port           客户端连接的端口号

"--cs-username      通过身份验证访问服务器的用户名、不包括匿名用户

"--c-ip             访问服务器的客户端IP地址

"--cs(User-Agent)   客户所用的浏览器

"--sc-status        HTTP或者FTP术语所描述的动作状态

"--sc-win32-status Microsoft Windows的术语所描述的动作状态

〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓

 

SQL Server 2000数据库:

▲在本机将身份验证配置为Win登陆

▲删除以下的扩展存储过程格式为:

use master

exec sp_dropextendedproc 'xp_cmdshell'

exec sp_dropextendedproc 'xp_dirtree'

exec sp_dropextendedproc 'xp_enumgroups'

exec sp_dropextendedproc 'xp_fixeddrives'

exec sp_dropextendedproc 'xp_loginconfig'

exec sp_dropextendedproc 'xp_enumerrorlogs'

exec sp_dropextendedproc 'xp_getfiledetails'

exec sp_dropextendedproc 'Sp_OACreate'

exec sp_dropextendedproc 'Sp_OADestroy'

exec sp_dropextendedproc 'Sp_OAGetErrorInfo'

exec sp_dropextendedproc 'Sp_OAGetProperty'

exec sp_dropextendedproc 'Sp_OAMethod'

exec sp_dropextendedproc 'Sp_OASetProperty'

exec sp_dropextendedproc 'Sp_OAStop'

exec sp_dropextendedproc 'Xp_regaddmultistring'

exec sp_dropextendedproc 'Xp_regdeletekey'

exec sp_dropextendedproc 'Xp_regdeletevalue'

exec sp_dropextendedproc 'Xp_regenumvalues'

exec sp_dropextendedproc 'Xp_regread'

exec sp_dropextendedproc 'Xp_regremovemultistring'

exec sp_dropextendedproc 'Xp_regwrite'

drop procedure sp_makewebtask

go

 

 

■禁止下载Access数据库

Internet 信息服务(IIS)管理器→网站→属性→主目录→配置→添加

△可执行文件:C:"WINDOWS"twain_32.dll

△扩展名:.mdb

▲如果你还想禁止下载其它的东东

Internet 信息服务(IIS)管理器→网站→属性→主目录→配置→添加

△可执行文件:C:"WINDOWS"twain_32.dll

△扩展名:.(改成你要禁止的文件名)

▲然后删除扩展名:shtml stm shtm cdx idc cer

 

 

 

■防止列出用户组和系统进程:

△开始→程序→管理工具→服务

△找到 Workstation 停止它、禁用它

 

 

■防止SYN洪水攻击

HKEY_LOCAL_MACHINE"SYSTEM"CurrentControlSet"Services"Tcpip"Parameters

△新建 DWORD值、名为SynAttackProtect、值为2

 

 

 

■禁止139空连接

HKEY_LOCAL_MACHINE"System"CurrentControSet"Control"LSA

△新建 DWORD值、名为restrictanonymous的键值项、将他设置成1、设置以后重起就可以了

 

 

■禁止ADMIN$共享

HKEY_LOCAL_MACHINE"CurrentControlset"serviceslanmanserver"parameters

△新建 DWORD值、名为AutoShareServer的键值、将其设置为0的键值项、将其设置为0

 

 

■禁止C$D$E$等共享

HKEY_LOCAL_MACHINE"CurrentControlset"services"Tcpip"Paramers

△新建 DWORD值、名为EnablelCMPRedirects的键值项将其设置为00是不响应

 

 

■禁止IPC$共享

▲察看本地共享资源

△运行 cmd 输入 net share

▲删除共享(每次输入一个)

net share ipc$ /delete

net share admin$ /delete

net share c$ /delete

net share d$ /delete(如果有e,f,……可以继续删除)

▲停止server服务

net stop server /y (重新启动后server服务会重新开启)

▲修改注册表

运行-regedit

server:找到如下主键[HKEY_LOCAL_MACHINE"SYSTEM"CurrentControlSet"Services"LanmanServer"Parameters]AutoShareServerDWORD)的键值改为:00000000

pro:找到如下主键[HKEY_LOCAL_MACHINE"SYSTEM"CurrentControlSet"Services"LanmanServer"Parameters]AutoShareWksDWORD)的键值改为:00000000

如果上面所说的主键不存在,就新建(右击-新建-双字节值)一个主健再改键值。

 

 

■更改3389端口

HKEY_LOCAL_MACHINE"System"currentcontrolset"controlTerminalserver"wds"rdpwd"tds"tcp

△选中名为portnumber的键值、将其3389改为其它

HKEY_LOCAL_MACHINE"System"currentcontrolset"control"Terminalserver"winstations

△里应该有一个或者很多类似的子键、一样的改他的值为3389

 

 

■关闭445端口

HKEY_LOCAL_MACHINE"System"currentcontrolset"control"services"NetBT"parmeters

△新建 DWORD值、名为SMBDeviceEnabled的键值、把它设置为0

 

 

■防止注册表被匿名访问

HKEY_LOCAL_MACHINE"System"CurrentControSet"Control"securepipeservers"winreg

△选中名为winreg、单击安全菜单、XP的右键菜单选项选权限、将管理员设置为完全控制、确保不会列出其他用户或组、然后确认

 

 

■卸载最不安全的组件:

△开始→运行→cmd→回车键

cmd里输入:

regsvr32/u C:"WINDOWS"system32"wshom.ocx

del C:"WINDOWS"system32"wshom.ocx

regsvr32/u C:"WINDOWS"system32"shell32.dll

del C:"WINDOWS"system32"shell32.dll

△也可以设置为禁止guests用户组访问

 

 

■解除FSO上传程序小于200k限制:

△在服务里关闭IIS admin service服务

△打开 C:"WINDOWS"system32"inetsrv"MetaBase.xml

△找到ASPMaxRequestEntityAllowed

△将其修改为需要的值、默认为204800、即200K、把它修改为51200000(50M)、然后重启IIS admin service服务

 

 

■解除IIS下载文件大小限制:

△在服务里关闭IIS admin service服务

△打开 C:"WINDOWS"system32"inetsrv"MetaBase.xml

△找到AspBufferingLimit

△将其修改为需要的值、默认为4194304、把它修改为52200000(50M)、然后重启IIS admin service服务

 

 

■禁用IPC连接

△开始→运行→regedit

△找到如下组建(HKEY_LOCAL_MACHINE"SYSTEM"CurrentControlSet"Control"Lsa)中的

(restrictanonymous)子键

△将其值改为1

 

 

■清空远程可访问的注册表路径:

△开始→运行→gpedit.msc

△依次展开“计算机配置→Windows 设置→安全设置→本地策略→安全选项”

△在右侧窗口中找到“网络访问:可远程访问的注册表路径”

△然后在打开的窗口中、将可远程访问的注册表路径和子路径内容全部设置为空即

 

 

■关闭不必要的服务

△开始→程序→管理工具→服务

TelnetTCP"IP NetBIOS Helper等等............

 

 

■解决终端服务许可证过期的办法

△如果你服务器上已经开着终端服务、那就在添加删除程序里删除终端服务和终端授权

服务

△我的电脑--右键属性--远程---远程桌面、打勾、应用

△重启服务器、OK了、再也不会提示过期了

  • 0
    点赞
  • 0
    评论
  • 0
    收藏
  • 打赏
    打赏
  • 扫一扫,分享海报

参与评论 您还未登录,请先 登录 后发表或查看评论
©️2022 CSDN 皮肤主题:大白 设计师:CSDN官方博客 返回首页

打赏作者

caoyoucheng

你的鼓励将是我创作的最大动力

¥2 ¥4 ¥6 ¥10 ¥20
输入1-500的整数
余额支付 (余额:-- )
扫码支付
扫码支付:¥2
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、C币套餐、付费专栏及课程。

余额充值