windows2003SERVER安全设置实例
自己不维护服务器,不知道维护服务器的辛苦。刚开始为了嫌麻烦,抱有侥幸心理,一些繁琐的安全设置没有配置,结果服务器连一天都没撑过去。经过10天的反复摸索和努力,现在服务器已经稳定工作一个月了,特此整理本文。
我的服务器的应用含:
APACHE:80
IIS:81,由APACHE映射过来
MySql: 3306
SQLServer2005: 5687
svn: 80
FTP: 21
远程桌面:9898
一:关于TCP/IP筛选
TCP/IP的筛选,我是不做的。如你只开发80端口,则外网可以访问你的WEB服务器,但是,你不能访问别人的WEB服务。因为访问别人的WEB服务的时候,你本地不是从80出去,而是WINDOWS随机创建了一个端口。
不能访问外网的WEB服务,导致的直接后果是有些软件,如360、杀毒软件、个人防火墙、WINDOWS系统漏洞等不能升级。这些升级全部是使用WEB服务的。
二:防火墙
1:使用瑞星个人防火墙,在端口筛选中,开放题头中的端口。
2:同时,开放WINDOWS防火墙,在例外和高级中,都要对端口进行开发。尤其注意,服务器一般放置在机房,一定要开放远程桌面的端口。
三:用户管理
1:改名guest,设置超复杂密码,然后停用。;
2:改名administrator,可带中文,设置超复杂密码;然后建立一个名为administrator的诱饵账户,属于user组。设立超复杂密码。
四:IP安全策略
IP安全策略,个人认为很重要,无论是个人防火墙还是WINDOWS,都不能做出、入限制,在安全策略中却可以。
协议
|
IP协议端口
|
源地址
|
目标地址
|
描述
|
方式
|
ICMP | -- | -- | -- |
ICMP
|
阻止
|
UDP
|
135
|
任何IP地址
|
我的IP地址
|
135-UDP
|
阻止
|
UDP
|
136
|
任何IP地址
|
我的IP地址
|
136-UDP
|
阻止
|
UDP
|
137
|
任何IP地址
|
我的IP地址
|
137-UDP
|
阻止
|
UDP
|
138
|
任何IP地址
|
我的IP地址
|
138-UDP
|
阻止
|
UDP
|
139
|
任何IP地址
|
我的IP地址
|
139-UDP
|
阻止
|
TCP
|
445
|
任何IP地址-从任意端口
|
我的IP地址-445
|
445-TCP
|
阻止
|
UDP
| 445 |
任何IP地址-从任意端口
|
我的IP地址-445
|
445-UDP
|
阻止
|
UDP | 69 | 任何IP地址-从任意端口 | 我的IP地址-69 |
69-入
|
阻止
|
UDP | 69 | 我的IP地址-69 | 任何IP地址-任意端口 | 69-出 |
阻止
|
TCP | 4444 | 任何IP地址-从任意端口 | 我的IP地址-4444 | 4444-TCP |
阻止
|
TCP | 1026 | 我的IP地址-1026 | 任何IP地址-任意端口 | 灰鸽子-1026 |
阻止
|
TCP | 1027 | 我的IP地址-1027 | 任何IP地址-任意端口 | 灰鸽子-1027 |
阻止
|
TCP | 1028 | 我的IP地址-1028 | 任何IP地址-任意端口 | 灰鸽子-1028 |
阻止
|
UDP
| 1026 | 我的IP地址-1026 | 任何IP地址-任意端口 | 灰鸽子-1026 |
阻止
|
UDP | 1027 | 我的IP地址-1027 | 任何IP地址-任意端口 | 灰鸽子-1027 |
阻止
|
UDP | 1028 | 我的IP地址-1028 | 任何IP地址-任意端口 | 灰鸽子-1028 |
阻止
|
TCP | 21 | 我的IP地址-从任意端口 | 任何IP地址-到21端口 | 阻止tftp出站 |
阻止
|
TCP | 99 | 我的IP地址-99 | 任何IP地址-任意端口 | 阻止99shell |
阻止
|
TCP | 3306 | 任何IP地址-任意端口 | 我的IP地址-3306 | 阻止外部访问MYSQL | 阻止 |
TCP | 1433 | 任何IP地址-任意端口 | 我的IP地址-1433 | 阻止外部访问SQLSERVER | 阻止 |
TCP | 1434 | 任何IP地址-任意端口 | 我的IP地址-1434 | 阻止外部访问SQLSERVER | 阻止 |
五:IIS安全设置
1:删除默认网站对应的interpub;
2:停掉默认网站;
3:WEB日志更改到别处;
这里举例4个不同类型脚本的虚拟主机 权限设置例子
主机头
|
主机脚本
|
硬盘目录
|
IIS用户名
|
硬盘权限
|
应用程序池
|
主目录
|
应用程序配置
|
www.1.com
|
HTM
|
D:/www.1.com/
|
IUSR_1.com
|
Administrators(完全控制)
IUSR_1.com (读) |
可共用
|
读取/纯脚本
|
启用父路径
|
www.2.com
|
ASP
|
D:/www.2.com/
|
IUSR_1.com
|
Administrators(完全控制)
IUSR_2.com (读/写) |
可共用
|
读取/纯脚本
|
启用父路径
|
www.3.com
|
NET
|
D:/www.3.com/
|
IUSR_1.com
|
Administrators(完全控制)
IWAM_3.com (读/写) IUSR_3.com (读/写) |
独立池
|
读取/纯脚本
|
启用父路径
|
www.4.com
|
PHP
|
D:/www.4.com/
|
IUSR_1.com
|
Administrators(完全控制)
IWAM_4.com (读/写) IUSR_4.com (读/写) |
独立池
|
读取/纯脚本
|
启用父路径
|
其中
IWAM_3.com 和
IWAM_4.com 分别是各自
独立应用程序池标识 中的启动帐户
|
主机脚本类型
| 应用程序扩展名 (就是文件后缀名)对应主机脚本 ,只需要加载以下的应用程序扩展 |
HTM
| STM | SHTM | SHTML | MDB |
ASP
| ASP | ASA | MDB |
NET
| ASPX | ASAX | ASCX| ASHX | ASMX | AXD | VSDISCO | REM | SOAP | CONFIG | CS |CSPROJ | VB | VBPROJ | WEBINFO | LICX | RESX | RESOURCES | MDB |
PHP
| PHP | PHP3 | PHP4 |
MDB是共用映射,下面用红色表示
应用程序扩展
| 映射文件 | 执行动作 |
STM=.stm
| C:/WINDOWS/system32/inetsrv/ssinc.dll | GET,POST |
SHTM=.shtm
| C:/WINDOWS/system32/inetsrv/ssinc.dll | GET,POST |
SHTML=.shtml
| C:/WINDOWS/system32/inetsrv/ssinc.dll | GET,POST |
ASP=.asp
| C:/WINDOWS/system32/inetsrv/asp.dll | GET,HEAD,POST,TRACE |
ASA=.asa
| C:/WINDOWS/system32/inetsrv/asp.dll | GET,HEAD,POST,TRACE |
ASPX=.aspx
| C:/WINDOWS/Microsoft.NET/Framework/v1.1.4322/aspnet_isapi.dll | GET,HEAD,POST,DEBUG |
ASAX=.asax
| C:/WINDOWS/Microsoft.NET/Framework/v1.1.4322/aspnet_isapi.dll | GET,HEAD,POST,DEBUG |
ASCX=.ascx
| C:/WINDOWS/Microsoft.NET/Framework/v1.1.4322/aspnet_isapi.dll | GET,HEAD,POST,DEBUG |
ASHX=.ashx
| C:/WINDOWS/Microsoft.NET/Framework/v1.1.4322/aspnet_isapi.dll | GET,HEAD,POST,DEBUG |
ASMX=.asmx
| C:/WINDOWS/Microsoft.NET/Framework/v1.1.4322/aspnet_isapi.dll | GET,HEAD,POST,DEBUG |
AXD=.axd
| C:/WINDOWS/Microsoft.NET/Framework/v1.1.4322/aspnet_isapi.dll | GET,HEAD,POST,DEBUG |
VSDISCO=.vsdisco
| C:/WINDOWS/Microsoft.NET/Framework/v1.1.4322/aspnet_isapi.dll | GET,HEAD,POST,DEBUG |
REM=.rem
| C:/WINDOWS/Microsoft.NET/Framework/v1.1.4322/aspnet_isapi.dll | GET,HEAD,POST,DEBUG |
SOAP=.soap
| C:/WINDOWS/Microsoft.NET/Framework/v1.1.4322/aspnet_isapi.dll | GET,HEAD,POST,DEBUG |
CONFIG=.config
| C:/WINDOWS/Microsoft.NET/Framework/v1.1.4322/aspnet_isapi.dll | GET,HEAD,POST,DEBUG |
CS=.cs
| C:/WINDOWS/Microsoft.NET/Framework/v1.1.4322/aspnet_isapi.dll | GET,HEAD,POST,DEBUG |
CSPROJ=.csproj
| C:/WINDOWS/Microsoft.NET/Framework/v1.1.4322/aspnet_isapi.dll | GET,HEAD,POST,DEBUG |
VB=.vb
| C:/WINDOWS/Microsoft.NET/Framework/v1.1.4322/aspnet_isapi.dll | GET,HEAD,POST,DEBUG |
VBPROJ=.vbproj
| C:/WINDOWS/Microsoft.NET/Framework/v1.1.4322/aspnet_isapi.dll | GET,HEAD,POST,DEBUG |
WEBINFO=.webinfo
| C:/WINDOWS/Microsoft.NET/Framework/v1.1.4322/aspnet_isapi.dll | GET,HEAD,POST,DEBUG |
LICX=.licx
| C:/WINDOWS/Microsoft.NET/Framework/v1.1.4322/aspnet_isapi.dll | GET,HEAD,POST,DEBUG |
RESX=.resx
| C:/WINDOWS/Microsoft.NET/Framework/v1.1.4322/aspnet_isapi.dll | GET,HEAD,POST,DEBUG |
RESOURCES=.resources
| C:/WINDOWS/Microsoft.NET/Framework/v1.1.4322/aspnet_isapi.dll | GET,HEAD,POST,DEBUG |
PHP=.php
| C:/php5/php5isapi.dll | GET,HEAD,POST |
PHP3=.php3
| C:/php5/php5isapi.dll | GET,HEAD,POST |
PHP4=.php4
| C:/php5/php5isapi.dll | GET,HEAD,POST |
MDB=.mdb
| C:/WINDOWS/system32/inetsrv/ssinc.dll | GET,POST |
ASP.NET 进程帐户所需的 NTFS 权限
目录 | 所需权限 |
Temporary ASP.NET Files%windir%/Microsoft.NET/Framework/{版本}Temporary ASP.NET Files | 进程帐户和模拟标识: |
临时目录 (%temp%) | 进程帐户 |
.NET Framework 目录%windir%/Microsoft.NET/Framework/{版本} | 进程帐户和模拟标识: |
.NET Framework 配置目录%windir%/Microsoft.NET/Framework/{版本}/CONFIG | 进程帐户和模拟标识: |
网站根目录 | 进程帐户: |
系统根目录 | 进程帐户: |
全局程序集高速缓存 | 进程帐户和模拟标识: |
内容目录 | 进程帐户: |
硬盘或文件夹: C:/WINDOWS/Microsoft.NET/Framework/版本/Temporary ASP.NET Files
| |||
主要权限部分: | 其他权限部分: | ||
Administrators
| 完全控制 |
ASP.NET 计算机帐户
| 读取和运行 |
| 该文件夹,子文件夹及文件 | 该文件夹,子文件夹及文件 | |
<继承于E:/> | <继承于C:/windows> | ||
CREATOR OWNER
| 完全控制 |
ASP.NET 计算机帐户
| 写入/删除 |
| 只有子文件夹及文件 | 该文件夹,子文件夹及文件 | |
| <继承于E:/> | <不是继承的> | |
SYSTEM
| 完全控制 |
IIS_WPG
| 读取和运行 |
该文件夹,子文件夹及文件 | 该文件夹,子文件夹及文件 | ||
<继承于E:/> | <继承于C:/windows> | ||
IUSR_XXX
或某个虚拟主机用户组 | 列出文件夹/读取数据 :拒绝 |
IIS_WPG
| 写入/删除 |
该文件夹,子文件夹及文件 | 该文件夹,子文件夹及文件 | ||
<不是继承的> | <不是继承的> | ||
Guests
| 列出文件夹/读取数据 :拒绝 |
LOCAL SERVICE
| 读取和运行 |
该文件夹,子文件夹及文件 | 该文件夹,子文件夹及文件 | ||
<不是继承的> | <继承于C:/windows> | ||
USERS
| 读取和运行 |
LOCAL SERVICE
| 写入/删除 |
该文件夹,子文件夹及文件 | 该文件夹,子文件夹及文件 | ||
<继承于C:/windows> | <不是继承的> | ||
NETWORK SERVICE
| 读取和运行 | ||
该文件夹,子文件夹及文件 | |||
<继承于C:/windows> | |||
NETWORK SERVICE
| 写入/删除 | ||
该文件夹,子文件夹及文件 | |||
<不是继承的> |
六:SQLServer2005安全设置
1:停掉CMDSHELL,使用如下语句:
-- To allow advanced options to be changed
EXEC sp_configure 'show advanced options', 1;
GO
-- To update the currently configured value for -- advanced options
RECONFIGURE;
GO
-- To disable xp_cmdshell
EXEC sp_configure 'xp_cmdshell', 0;
GO
-- To update the currently configured value for this -- feature
RECONFIGURE;
GO
2:更改SA名,设置超复杂密码;
3:删除不必要用户,但是要保留系统自己创建的用户。如果你不想让使用windows身份验证登录,则也可以删除sqlserver登录中的xxx/administrator这个用户。
4:更改1433这个默认的端口号,这里是5687。
七:组件设置
A、卸载WScript.Shell 和 Shell.application 组件,将下面的代码保存为一个.BAT文件执行(分2000和2003系统) | |
windows2000.bat | regsvr32/u C:/WINNT/System32/wshom.ocx del C:/WINNT/System32/wshom.ocx regsvr32/u C:/WINNT/system32/shell32.dll del C:/WINNT/system32/shell32.dll |
windows2003.bat | regsvr32/u C:/WINDOWS/System32/wshom.ocx del C:/WINDOWS/System32/wshom.ocx regsvr32/u C:/WINDOWS/system32/shell32.dll del C:/WINDOWS/system32/shell32.dll |
B、改名不安全组件,需要注意的是组件的名称和Clsid都要改,并且要改彻底了,不要照抄,要自己改 | |
【开始→运行→regedit →回车】打开注册表编辑器 然后【编辑→查找→填写Shell.application →查找下一个】 用这个方法能找到两个注册表项: {13709620-C279-11CE-A49E-444553540000} 和 Shell.application 。 第一步: 为了确保万无一失,把这两个注册表项导出来,保存为xxxx.reg 文件。 第二步: 比如我们想做这样的更改 13709620-C279-11CE-A49E-444553540000 改名为 13709620-C279-11CE-A49E-444553540001 Shell.application 改名为 Shell.application_nohack 第三步: 那么,就把刚才导出的.reg文件里的内容按上面的对应关系替换掉,然后把修改好的.reg文件导入到注册表中(双击即可),导入了改名后的注册表项之后,别忘记了删除原有的那两个项目。这里需要注意一点,Clsid中只能是十个数字和ABCDEF六个字母 。 其实,只要把对应注册表项导出来备份,然后直接改键名就可以了, | |
改好的例子
建议自己改 应该可一次成功 | Windows Registry Editor Version 5.00 [HKEY_CLASSES_ROOT/CLSID/{13709620-C279-11CE-A49E-444553540001}] @="Shell Automation Service" [HKEY_CLASSES_ROOT/CLSID/{13709620-C279-11CE-A49E-444553540001}/InProcServer32] @="C://WINNT//system32//shell32.dll" "ThreadingModel"="Apartment" [HKEY_CLASSES_ROOT/CLSID/{13709620-C279-11CE-A49E-444553540001}/ProgID] @="Shell.Application_nohack.1" [HKEY_CLASSES_ROOT/CLSID/{13709620-C279-11CE-A49E-444553540001}/TypeLib] @="{50a7e9b0-70ef-11d1-b75a-00a0c90564fe}" [HKEY_CLASSES_ROOT/CLSID/{13709620-C279-11CE-A49E-444553540001}/Version] @="1.1" [HKEY_CLASSES_ROOT/CLSID/{13709620-C279-11CE-A49E-444553540001}/VersionIndependentProgID] @="Shell.Application_nohack" [HKEY_CLASSES_ROOT/Shell.Application_nohack] @="Shell Automation Service" [HKEY_CLASSES_ROOT/Shell.Application_nohack/CLSID] @="{13709620-C279-11CE-A49E-444553540001}" [HKEY_CLASSES_ROOT/Shell.Application_nohack/CurVer] @="Shell.Application_nohack.1" |
老杜评论:
| WScript.Shell 和 Shell.application 组件是 脚本入侵过程中,提升权限的重要环节,这两个组件的卸载和修改对应注册键名,可以很大程度的提高虚拟主机的脚本安全性能,一般来说,ASP和php类脚本提升权限的功能是无法实现了,再加上一些系统服务 、硬盘访问权限、端口过滤、本地安全策略 的设置,虚拟主机因该说,安全性能有非常大的提高,黑客入侵的可能性是非常低了。注销了Shell组件之后,侵入者运行提升工具的可能性就很小了,但是prel等别的脚本语言也有shell能力,为防万一,还是设置一下为好。下面是另外一种设置,大同小异。 |
一、禁止使用FileSystemObject组件 FileSystemObject可以对文件进行常规操作,可以通过修改注册表,将此组件改名,来防止此类木马的危害。 也可以将其删除,来防止此类木马的危害。 2000注销此组件命令:RegSrv32 /u C:/WINNT/SYSTEM/scrrun.dll 2003注销此组件命令:RegSrv32 /u C:/WINDOWS/SYSTEM/scrrun.dll 如何禁止Guest用户使用scrrun.dll来防止调用此组件? 使用这个命令:cacls C:/WINNT/system32/scrrun.dll /e /d guests 二、禁止使用WScript.Shell组件 WScript.Shell可以调用系统内核运行DOS基本命令 可以通过修改注册表,将此组件改名,来防止此类木马的危害。 HKEY_CLASSES_ROOT/WScript.Shell/及HKEY_CLASSES_ROOT/WScript.Shell.1/ 改名为其它的名字,如:改为WScript.Shell_ChangeName 或 WScript.Shell.1_ChangeName 自己以后调用的时候使用这个就可以正常调用此组件了 也要将clsid值也改一下 HKEY_CLASSES_ROOT/WScript.Shell/CLSID/ 项目的值 HKEY_CLASSES_ROOT/WScript.Shell.1/CLSID/ 项目的值 也可以将其删除,来防止此类木马的危害。 三、禁止使用Shell.Application组件 Shell.Application可以调用系统内核运行DOS基本命令 可以通过修改注册表,将此组件改名,来防止此类木马的危害。 HKEY_CLASSES_ROOT/Shell.Application/ 自己以后调用的时候使用这个就可以正常调用此组件了 也要将clsid值也改一下 HKEY_CLASSES_ROOT/Shell.Application/CLSID/项目的值 也可以将其删除,来防止此类木马的危害。 禁止Guest用户使用shell32.dll来防止调用此组件。 2000使用命令:cacls C:/WINNT/system32/shell32.dll /e /d guests 四、调用Cmd.exe 禁用Guests组用户调用cmd.exe 通过以上四步的设置基本可以防范目前比较流行的几种木马,但最有效的办法还是通过综合安全设置,将服务器、程序安全都达到一定标准,才可能将安全等级设置较高,防范更多非法入侵。 | |
C、防止Serv-U权限提升 (适用于 Serv-U6.0 以前版本,之后可以直接设置密码) | |
先停掉Serv-U服务 另外注意设置Serv-U所在的文件夹的权限,不要让IIS匿名用户有读取的权限 ,否则人家下走你修改过的文件,照样可以分析出你的管理员名和密码。 | |
http://www.ajiang.net/products/aspcheck/ (可以测试组件安全性) |
八:部分安全设置
把下面文本保存为:
windows2000-2003服务器安全和性能注册表自动配置文件.reg 运行即可。
|
Windows Registry Editor Version 5.00 [HKEY_CURRENT_USER/Software/Microsoft/Windows/CurrentVersion/Policies/Explorer] "NoRecentDocsMenu"=hex:01,00,00,00 "NoRecentDocsHistory"=hex:01,00,00,00 [HKEY_LOCAL_MACHINE/Software/Microsoft/Windows NT/CurrentVersion/Winlogon] "DontDisplayLastUserName"="1" [HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Control/Lsa] "restrictanonymous"=dword:00000001 [HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services/lanmanserver/Parameters] "AutoShareServer"=dword:00000000 "AutoShareWks"=dword:00000000 [HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services/Tcpip/Parameters] "EnableICMPRedirect"=dword:00000000 "KeepAliveTime"=dword:000927c0 "SynAttackProtect"=dword:00000002 "TcpMaxHalfOpen"=dword:000001f4 "TcpMaxHalfOpenRetried"=dword:00000190 "TcpMaxConnectResponseRetransmissions"=dword:00000001 "TcpMaxDataRetransmissions"=dword:00000003 "TCPMaxPortsExhausted"=dword:00000005 "DisableIPSourceRouting"=dword:00000002 "TcpTimedWaitDelay"=dword:0000001e "TcpNumConnections"=dword:00004e20 "EnablePMTUDiscovery"=dword:00000000 "NoNameReleaseOnDemand"=dword:00000001 "EnableDeadGWDetect"=dword:00000000 "PerformRouterDiscovery"=dword:00000000 "EnableICMPRedirects"=dword:00000000 [HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services/NetBT/Parameters] "BacklogIncrement"=dword:00000005 "MaxConnBackLog"=dword:000007d0 [HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services/AFD/Parameters] "EnableDynamicBacklog"=dword:00000001 "MinimumDynamicBacklog"=dword:00000014 "MaximumDynamicBacklog"=dword:00007530 "DynamicBacklogGrowthDelta"=dword:0000000a |
功能:可抵御DDOS攻击2-3万包,提高服务器TCP-IP整体安全性能(效果等于软件防火墙,节约了系统资源)
|
九:服务
在我的系统中,停掉或禁用的服务有:
Aleter | |
Application Management | |
ASp.net状态服务 | |
Automatic Upadates | |
Background intelligent transfer servervice | |
clipbook | |
com+ system application | |
computer brower | |
cryptographic services | |
distributed file system | |
distributed link tracking client | |
distributed link tracking server | |
distributed transaction coordinator | |
file replication | |
help and support | |
IMAPI CD-BURNING com service | |
indexing service | |
intersite messaging | |
kerberos key distribution center | |
license logging | |
logical disk manager administrative service | |
messenger | |
microsoft software shadow copy provider | |
net logon | |
netmeeting remote desktop sharing | |
network dde | |
network dde dsdm | |
Network Provisioning Service | |
Office Source Engine | |
Performance Logs and Alerts | |
Portable Media Serial Number Service | |
Print Spooler | |
Remote Access Auto Connection Manager | |
Remote Desktop Help Session Manager | |
Remote Procedure Call (RPC) Locator | |
Remote Registry | |
Removable Storage | |
Resultant Set of Policy Provider | |
Routing and Remote Access | |
Server | |
Smart Card | |
Special Administration Console Helper | |
SQL Server Active Directory Helper | |
SQL Server Browser | |
SQL Server VSS Writer | |
Task Scheduler | |
TCP/IP NetBIOS Helper | |
Telnet | |
Terminal Services Session Directory | |
Themes | |
Uninterruptible Power Supply | |
Virtual Disk Service | |
Volume Shadow Copy | |
WebClient | |
Windows Audio | |
Windows Image Acquisition (WIA) | |
Windows Installer | |
Windows Management Instrumentation Driver Extensions | |
Windows Time | |
Windows User Mode Driver Framework | |
WinHTTP Web Proxy Auto-Discovery Service | |
Wireless Configuration | |
WMI Performance Adapter | |
Workstation |
十:系统文件权限设置
这里着重谈需要的权限,也就是最终文件夹或硬盘需要的权限,可以防御各种木马入侵,提权攻击,跨站攻击等。本实例经过多次试验,安全性能很好,服务器基本没有被木马威胁的担忧了。
硬盘或文件夹: C:/ D:/ E:/ F:/ 类推
| |||
主要权限部分: | 其他权限部分: | ||
Administrators
| 完全控制 |
无
如果安装了其他运行环境,比如PHP等,则根据PHP的环境功能要求来设置硬盘权限,一般是安装目录加上users读取运行权限就足够了,比如c:/php 的话,就在根目录权限继承的情况下加上users读取运行权限,需要写入数据的比如tmp文件夹,则把users的写删权限加上,运行权限不要,然后把虚拟主机用户的读权限拒绝即可。如果是mysql的话,用一个独立用户运行MYSQL会更安全,下面会有介绍。如果是winwebmail,则最好建立独立的应用程序池和独立IIS用户,然后整个安装目录有winwebmail进程用户的读/运行/写/权限,IIS用户则相同,这个IIS用户就只用在 winwebmail的WEB访问中,其他IIS站点切勿使用,安装了winwebmail的服务器硬盘权限设置后面举例 | |
该文件夹,子文件夹及文件 | |||
<不是继承的> | |||
CREATOR OWNER
| 完全控制 | ||
| 只有子文件夹及文件 | ||
| <不是继承的> | ||
SYSTEM
| 完全控制 | ||
| 该文件夹,子文件夹及文件 | ||
| <不是继承的> |
硬盘或文件夹: C:/Inetpub/
| |||
主要权限部分: | 其他权限部分: | ||
Administrators
| 完全控制 |
无
| |
| 该文件夹,子文件夹及文件 | ||
<继承于c:/> | |||
CREATOR OWNER
| 完全控制 | ||
| 只有子文件夹及文件 | ||
| <继承于c:/> | ||
SYSTEM
| 完全控制 | ||
| 该文件夹,子文件夹及文件 | ||
| <继承于c:/> |
硬盘或文件夹: C:/Inetpub/ AdminScripts
| |||
主要权限部分: | 其他权限部分: | ||
Administrators
| 完全控制 |
无
| |
| 该文件夹,子文件夹及文件 | ||
<不是继承的> | |||
SYSTEM
| 完全控制 | ||
| 该文件夹,子文件夹及文件 | ||
| <不是继承的> |
硬盘或文件夹: C:/Inetpub/wwwroot
| |||
主要权限部分: | 其他权限部分: | ||
Administrators
| 完全控制 |
IIS_WPG
|
读取运行/列出文件夹目录/读取
|
| 该文件夹,子文件夹及文件 |
|
该文件夹,子文件夹及文件
|
<不是继承的> |
| <不是继承的> | |
SYSTEM
| 完全控制 |
Users
| 读取运行/列出文件夹目录/读取 |
| 该文件夹,子文件夹及文件 |
| 该文件夹,子文件夹及文件 |
| <不是继承的> |
| <不是继承的> |
这里可以把虚拟主机用户组加上
同Internet 来宾帐户一样的权限 拒绝权限 |
Internet 来宾帐户
| 创建文件/写入数据/:拒绝 创建文件夹/附加数据/:拒绝 写入属性/:拒绝 写入扩展属性/:拒绝 删除子文件夹及文件/:拒绝 删除/:拒绝 | |
| 该文件夹,子文件夹及文件 | ||
| <不是继承的> |
硬盘或文件夹: C:/Inetpub/wwwroot/aspnet_client
| |||
主要权限部分: | 其他权限部分: | ||
Administrators
| 完全控制 |
Users
| 读取 |
| 该文件夹,子文件夹及文件 |
| 该文件夹,子文件夹及文件 |
<不是继承的> |
| <不是继承的> | |
SYSTEM
| 完全控制 | ||
| 该文件夹,子文件夹及文件 | ||
| <不是继承的> |
硬盘或文件夹: C:/Documents and Settings
| |||
主要权限部分: | 其他权限部分: | ||
Administrators
| 完全控制 |
无
| |
| 该文件夹,子文件夹及文件 | ||
<不是继承的> | |||
SYSTEM
| 完全控制 | ||
| 该文件夹,子文件夹及文件 | ||
| <不是继承的> |
硬盘或文件夹: C:/Documents and Settings/All Users
| |||
主要权限部分: | 其他权限部分: | ||
Administrators
| 完全控制 |
Users
| 读取和运行 |
| 该文件夹,子文件夹及文件 |
| 该文件夹,子文件夹及文件 |
<不是继承的> |
| <不是继承的> | |
SYSTEM
| 完全控制 |
USERS组的权限仅仅限制于读取和运行,
绝对不能加上写入权限 | |
| 该文件夹,子文件夹及文件 | ||
| <不是继承的> |
硬盘或文件夹: C:/Documents and Settings/All Users/「开始」菜单
| |||
主要权限部分: | 其他权限部分: | ||
Administrators
| 完全控制 |
无
| |
| 该文件夹,子文件夹及文件 | ||
<不是继承的> | |||
SYSTEM
| 完全控制 | ||
| 该文件夹,子文件夹及文件 | ||
| <不是继承的> |
硬盘或文件夹: C:/Documents and Settings/All Users/Application Data
| |||
主要权限部分: | 其他权限部分: | ||
Administrators
| 完全控制 |
Users
| 读取和运行 |
| 该文件夹,子文件夹及文件 |
| 该文件夹,子文件夹及文件 |
<不是继承的> |
| <不是继承的> | |
CREATOR OWNER
| 完全控制 |
Users
| 写入 |
| 只有子文件夹及文件 |
| 该文件夹,子文件夹 |
| <不是继承的> |
| <不是继承的> |
SYSTEM
| 完全控制 |
两个并列权限同用户组需要分开列权限
| |
该文件夹,子文件夹及文件 | |||
<不是继承的> |
硬盘或文件夹: C:/Documents and Settings/All Users/Application Data/Microsoft
| |||
主要权限部分: | 其他权限部分: | ||
Administrators
| 完全控制 |
Users
| 读取和运行 |
| 该文件夹,子文件夹及文件 |
| 该文件夹,子文件夹及文件 |
<不是继承的> |
| <不是继承的> | |
SYSTEM
| 完全控制 |
此文件夹包含 Microsoft 应用程序状态数据
| |
| 该文件夹,子文件夹及文件 | ||
| <不是继承的> |
硬盘或文件夹: C:/Documents and Settings/All Users/Application Data/Microsoft/Crypto/RSA/MachineKeys
| |||
主要权限部分: | 其他权限部分: | ||
Administrators
| 完全控制 |
Everyone
| 列出文件夹、读取属性、读取扩展属性、创建文件、创建文件夹、写入属性、写入扩展属性、读取权限 |
| 只有该文件夹 |
Everyone这里只有读写权限,不能加运行和删除权限,仅限该文件夹
| 只有该文件夹 |
<不是继承的> | <不是继承的> |
硬盘或文件夹: C:/Documents and Settings/All Users/Application Data/Microsoft/Crypto/DSS/MachineKeys
| |||
主要权限部分: | 其他权限部分: | ||
Administrators
| 完全控制 |
Everyone
| 列出文件夹、读取属性、读取扩展属性、创建文件、创建文件夹、写入属性、写入扩展属性、读取权限 |
| 只有该文件夹 |
| 只有该文件夹 |
<不是继承的> | <不是继承的> |
硬盘或文件夹: C:/Documents and Settings/All Users/Application Data/Microsoft/HTML Help
| |||
主要权限部分: | 其他权限部分: | ||
Administrators
| 完全控制 |
Users
| 读取和运行 |
| 该文件夹,子文件夹及文件 |
| 该文件夹,子文件夹及文件 |
<不是继承的> |
| <不是继承的> | |
SYSTEM
| 完全控制 |
| |
| 该文件夹,子文件夹及文件 | ||
| <不是继承的> |
硬盘或文件夹: C:/Documents and Settings/All Users/Application Data/Microsoft/Network/Connections/Cm
| |||
主要权限部分: | 其他权限部分: | ||
Administrators
| 完全控制 |
Everyone
| 读取和运行 |
| 该文件夹,子文件夹及文件 |
| 该文件夹,子文件夹及文件 |
<不是继承的> |
| <不是继承的> | |
SYSTEM
| 完全控制 |
Everyone这里只有读和运行权限
| |
| 该文件夹,子文件夹及文件 | ||
| <不是继承的> |
硬盘或文件夹: C:/Documents and Settings/All Users/Application Data/Microsoft/Network/Downloader
| |||
主要权限部分: | 其他权限部分: | ||
Administrators
| 完全控制 |
无
| |
| 该文件夹,子文件夹及文件 | ||
<不是继承的> | |||
SYSTEM
| 完全控制 | ||
| 该文件夹,子文件夹及文件 | ||
| <不是继承的> |
硬盘或文件夹: C:/Documents and Settings/All Users/Application Data/Microsoft/Media Index
| |||
主要权限部分: | 其他权限部分: | ||
Administrators
| 完全控制 |
Users
| 读取和运行 |
| 该文件夹,子文件夹及文件 |
| 该文件夹,子文件夹及文件 |
<不是继承的> |
| <继承于上一级文件夹> | |
SYSTEM
| 完全控制 |
Users
| 创建文件/写入数据 创建文件夹/附加数据 写入属性 写入扩展属性 读取权限 |
| 该文件夹,子文件夹及文件 |
| 只有该文件夹 |
| <不是继承的> |
| <不是继承的> |
Users
| 创建文件/写入数据 创建文件夹/附加数据 写入属性 写入扩展属性 | ||
| 只有该子文件夹和文件 | ||
| <不是继承的> |
硬盘或文件夹: C:/Documents and Settings/All Users/DRM
| |||
主要权限部分: | 其他权限部分: | ||
这里需要把GUEST用户组和IIS访问用户组全部禁止
Everyone的权限比较特殊,默认安装后已经带了 主要是要把IIS访问的用户组加上所有权限都禁止 |
Users
| 读取和运行 | |
| 该文件夹,子文件夹及文件 | ||
| <不是继承的> | ||
Guests
| 拒绝所有 | ||
| 该文件夹,子文件夹及文件 | ||
| <不是继承的> | ||
Guest
| 拒绝所有 | ||
| 该文件夹,子文件夹及文件 | ||
| <不是继承的> | ||
IUSR_XXX
或某个虚拟主机用户组 | 拒绝所有 | ||
该文件夹,子文件夹及文件 | |||
<不是继承的> |
硬盘或文件夹: C:/Documents and Settings/All Users/Documents (共享文档)
| |||
主要权限部分: | 其他权限部分: | ||
Administrators
| 完全控制 |
无
| |
| 该文件夹,子文件夹及文件 | ||
<不是继承的> | |||
CREATOR OWNER
| 完全控制 | ||
| 只有子文件夹及文件 | ||
| <不是继承的> | ||
SYSTEM
| 完全控制 | ||
该文件夹,子文件夹及文件 | |||
<不是继承的> |
硬盘或文件夹: C:/Program Files
| |||
主要权限部分: | 其他权限部分: | ||
Administrators
| 完全控制 |
IIS_WPG
| 读取和运行 |
| 该文件夹,子文件夹及文件 |
| 该文件夹,子文件夹及文件 |
<不是继承的> |
| <不是继承的> | |
CREATOR OWNER
| 完全控制 |
IUSR_XXX
或某个虚拟主机用户组 | 列出文件夹/读取数据 :拒绝 |
| 只有子文件夹及文件 | 该文件夹,子文件夹及文件 | |
| <不是继承的> | <不是继承的> | |
SYSTEM
| 完全控制 |
IIS虚拟主机用户组禁止列目录,可有效防止FSO类木马
如果安装了aspjepg和aspupload | |
该文件夹,子文件夹及文件 | |||
<不是继承的> |
硬盘或文件夹: C:/Program Files/Common Files
| |||
主要权限部分: | 其他权限部分: | ||
Administrators
| 完全控制 |
IIS_WPG
| 读取和运行 |
| 该文件夹,子文件夹及文件 |
| 该文件夹,子文件夹及文件 |
<不是继承的> |
| <继承于上级目录> | |
CREATOR OWNER
| 完全控制 |
Users
| 读取和运行 |
| 只有子文件夹及文件 | 该文件夹,子文件夹及文件 | |
| <不是继承的> | <不是继承的> | |
SYSTEM
| 完全控制 |
复合权限,为IIS提供快速安全的运行环境
| |
该文件夹,子文件夹及文件 | |||
<不是继承的> |
硬盘或文件夹: C:/Program Files/Common Files/Microsoft Shared/web server extensions
| |||
主要权限部分: | 其他权限部分: | ||
Administrators
| 完全控制 |
无
| |
| 该文件夹,子文件夹及文件 | ||
<不是继承的> | |||
CREATOR OWNER
| 完全控制 | ||
| 只有子文件夹及文件 | ||
| <不是继承的> | ||
SYSTEM
| 完全控制 | ||
该文件夹,子文件夹及文件 | |||
<不是继承的> |
硬盘或文件夹: C:/Program Files/Microsoft SQL Server/MSSQL (程序部分默认装在C:盘)
| |||
主要权限部分: | 其他权限部分: | ||
Administrators
| 完全控制 |
无
| |
| 该文件夹,子文件夹及文件 | ||
<不是继承的> |
硬盘或文件夹: E:/Program Files/Microsoft SQL Server (数据库部分装在E:盘的情况)
| |||
主要权限部分: | 其他权限部分: | ||
Administrators
| 完全控制 |
无
| |
| 该文件夹,子文件夹及文件 | ||
<不是继承的> | |||
CREATOR OWNER
| 完全控制 | ||
| 只有子文件夹及文件 | ||
| <不是继承的> | ||
SYSTEM
| 完全控制 | ||
该文件夹,子文件夹及文件 | |||
<不是继承的> |
硬盘或文件夹: E:/Program Files/Microsoft SQL Server/MSSQL (数据库部分装在E:盘的情况)
| |||
主要权限部分: | 其他权限部分: | ||
Administrators
| 完全控制 |
无
| |
| 该文件夹,子文件夹及文件 | ||
<不是继承的> |
硬盘或文件夹: C:/Program Files/Internet Explorer/iexplore.exe
| |||
主要权限部分: | 其他权限部分: | ||
Administrators
| 完全控制 |
无
| |
| 该文件夹,子文件夹及文件 | ||
<不是继承的> |
硬盘或文件夹: C:/Program Files/Outlook Express
| |||
主要权限部分: | 其他权限部分: | ||
Administrators
| 完全控制 |
无
| |
| 该文件夹,子文件夹及文件 | ||
<不是继承的> | |||
CREATOR OWNER
| 完全控制 | ||
| 只有子文件夹及文件 | ||
| <不是继承的> | ||
SYSTEM
| 完全控制 | ||
该文件夹,子文件夹及文件 | |||
<不是继承的> |
硬盘或文件夹: C:/Program Files/PowerEasy5 (如果装了动易组件的话)
| |||
主要权限部分: | 其他权限部分: | ||
Administrators
| 完全控制 |
无
| |
| 该文件夹,子文件夹及文件 | ||
<不是继承的> | |||
CREATOR OWNER
| 完全控制 | ||
| 只有子文件夹及文件 | ||
| <不是继承的> | ||
SYSTEM
| 完全控制 | ||
该文件夹,子文件夹及文件 | |||
<不是继承的> |
硬盘或文件夹: C:/Program Files/Radmin (如果装了Radmin远程控制的话)
| |||
主要权限部分: | 其他权限部分: | ||
Administrators
| 完全控制 |
无
对应的c:/windows/system32里面有两个文件 r_server.exe和AdmDll.dll 要把Users读取运行权限去掉 默认权限只要administrators和system全部权限 | |
该文件夹,子文件夹及文件 | |||
<不是继承的> | |||
CREATOR OWNER
| 完全控制 | ||
| 只有子文件夹及文件 | ||
| <不是继承的> | ||
SYSTEM
| 完全控制 | ||
该文件夹,子文件夹及文件 | |||
<不是继承的> |
硬盘或文件夹: C:/Program Files/Serv-U (如果装了Serv-U服务器的话)
| |||
主要权限部分: | 其他权限部分: | ||
Administrators
| 完全控制 |
无
这里常是提权入侵的一个比较大的漏洞点 一定要按这个方法设置 目录名字根据Serv-U版本也可能是 C:/Program Files/RhinoSoft.com/Serv-U | |
该文件夹,子文件夹及文件 | |||
<不是继承的> | |||
CREATOR OWNER
| 完全控制 | ||
| 只有子文件夹及文件 | ||
| <不是继承的> | ||
SYSTEM
| 完全控制 | ||
该文件夹,子文件夹及文件 | |||
<不是继承的> |
硬盘或文件夹: C:/Program Files/Windows Media Player
| |||
主要权限部分: | 其他权限部分: | ||
Administrators
| 完全控制 |
无
| |
| 该文件夹,子文件夹及文件 | ||
<不是继承的> | |||
CREATOR OWNER
| 完全控制 | ||
| 只有子文件夹及文件 | ||
| <不是继承的> | ||
SYSTEM
| 完全控制 | ||
该文件夹,子文件夹及文件 | |||
<不是继承的> |
硬盘或文件夹: C:/Program Files/Windows NT/Accessories
| |||
主要权限部分: | 其他权限部分: | ||
Administrators
| 完全控制 |
无
| |
| 该文件夹,子文件夹及文件 | ||
<不是继承的> | |||
CREATOR OWNER
| 完全控制 | ||
| 只有子文件夹及文件 | ||
| <不是继承的> | ||
SYSTEM
| 完全控制 | ||
该文件夹,子文件夹及文件 | |||
<不是继承的> |
硬盘或文件夹: C:/Program Files/WindowsUpdate
| |||
主要权限部分: | 其他权限部分: | ||
Administrators
| 完全控制 |
无
| |
| 该文件夹,子文件夹及文件 | ||
<不是继承的> | |||
CREATOR OWNER
| 完全控制 | ||
| 只有子文件夹及文件 | ||
| <不是继承的> | ||
SYSTEM
| 完全控制 | ||
该文件夹,子文件夹及文件 | |||
<不是继承的> |
硬盘或文件夹: C:/WINDOWS
| |||
主要权限部分: | 其他权限部分: | ||
Administrators
| 完全控制 |
Users
| 读取和运行 |
| 该文件夹,子文件夹及文件 |
| 该文件夹,子文件夹及文件 |
<不是继承的> |
| <不是继承的> | |
CREATOR OWNER
| 完全控制 | ||
| 只有子文件夹及文件 | ||
| <不是继承的> | ||
SYSTEM
| 完全控制 |
| |
该文件夹,子文件夹及文件 | |||
<不是继承的> |
硬盘或文件夹: C:/WINDOWS/repair
| |||
主要权限部分: | 其他权限部分: | ||
Administrators
| 完全控制 |
IUSR_XXX
或某个虚拟主机用户组 | 列出文件夹/读取数据 :拒绝 |
| 该文件夹,子文件夹及文件 | 该文件夹,子文件夹及文件 | |
<不是继承的> | <不是继承的> | ||
CREATOR OWNER
| 完全控制 |
虚拟主机用户访问组拒绝读取,有助于保护系统数据
这里保护的是系统级数据 SAM | |
只有子文件夹及文件 | |||
| <不是继承的> | ||
SYSTEM
| 完全控制 | ||
该文件夹,子文件夹及文件 | |||
<不是继承的> |
硬盘或文件夹: C:/WINDOWS/IIS Temporary Compressed Files
| |||
主要权限部分: | 其他权限部分: | ||
Administrators
| 完全控制 |
USERS
| 读取和写入/删除 |
| 该文件夹,子文件夹及文件 | 该文件夹,子文件夹及文件 | |
<继承于C:/windows> | <不是继承的> | ||
CREATOR OWNER
| 完全控制 |
IIS_WPG
| 读取和写入/删除 |
| 只有子文件夹及文件 | 该文件夹,子文件夹及文件 | |
| <继承于C:/windows> | <不是继承的> | |
SYSTEM
| 完全控制 |
建议装了MCAFEE或NOD的用户把此文件夹,禁止写入一些文件类型比如*.EXE和*.com等可执行文件或vbs类脚本
| |
该文件夹,子文件夹及文件 | |||
<继承于C:/windows> | |||
IUSR_XXX
或某个虚拟主机用户组 | 列出文件夹/读取数据 :拒绝 | ||
该文件夹,子文件夹及文件 | |||
<不是继承的> | |||
Guests
| 列出文件夹/读取数据 :拒绝 | ||
该文件夹,子文件夹及文件 | |||
<不是继承的> | |||
|
硬盘或文件夹: C:/WINDOWS/Microsoft.NET/Framework/版本/Temporary ASP.NET Files
| |||
主要权限部分: | 其他权限部分: | ||
Administrators
| 完全控制 |
ASP.NET 计算机帐户
| 读取和运行 |
| 该文件夹,子文件夹及文件 | 该文件夹,子文件夹及文件 | |
<继承于C:/windows> | <继承于C:/windows> | ||
CREATOR OWNER
| 完全控制 |
ASP.NET 计算机帐户
| 写入/删除 |
| 只有子文件夹及文件 | 该文件夹,子文件夹及文件 | |
| <继承于C:/windows> | <不是继承的> | |
SYSTEM
| 完全控制 |
IIS_WPG
| 读取和运行 |
该文件夹,子文件夹及文件 | 该文件夹,子文件夹及文件 | ||
<继承于C:/windows> | <继承于C:/windows> | ||
IUSR_XXX
或某个虚拟主机用户组 | 列出文件夹/读取数据 :拒绝 |
IIS_WPG
| 写入(原来有删除权限要去掉 ) |
该文件夹,子文件夹及文件 | 该文件夹,子文件夹及文件 | ||
<不是继承的> | <不是继承的> | ||
Guests
| 列出文件夹/读取数据 :拒绝 |
LOCAL SERVICE
| 读取和运行 |
该文件夹,子文件夹及文件 | 该文件夹,子文件夹及文件 | ||
<不是继承的> | <继承于C:/windows> | ||
USERS
| 读取和运行 |
LOCAL SERVICE
| 写入/删除 |
该文件夹,子文件夹及文件 | 该文件夹,子文件夹及文件 | ||
<继承于C:/windows> | <不是继承的> | ||
NETWORK SERVICE
| 读取和运行 | ||
该文件夹,子文件夹及文件 | |||
<继承于C:/windows> | |||
建议装了MCAFEE或NOD的用户把此文件夹,禁止写入一些文件类型,比如*.EXE和*.com等可执行文件或vbs类脚本
|
NETWORK SERVICE
| 写入/删除 | |
该文件夹,子文件夹及文件 | |||
<不是继承的> |
硬盘或文件夹: C:/WINDOWS/system32
| |||
主要权限部分: | 其他权限部分: | ||
Administrators
| 完全控制 |
Users
| 读取和运行 |
| 该文件夹,子文件夹及文件 |
| 该文件夹,子文件夹及文件 |
<不是继承的> |
| <不是继承的> | |
CREATOR OWNER
| 完全控制 |
IUSR_XXX
或某个虚拟主机用户组 | 列出文件夹/读取数据 :拒绝 |
| 只有子文件夹及文件 | 该文件夹,子文件夹及文件 | |
| <不是继承的> | <不是继承的> | |
SYSTEM
| 完全控制 |
虚拟主机用户访问组拒绝读取,有助于保护系统数据
| |
该文件夹,子文件夹及文件 | |||
<不是继承的> |
硬盘或文件夹: C:/WINDOWS/system32/config
| |||
主要权限部分: | 其他权限部分: | ||
Administrators
| 完全控制 |
Users
| 读取和运行 |
| 该文件夹,子文件夹及文件 |
| 该文件夹,子文件夹及文件 |
<不是继承的> |
| <不是继承的> | |
CREATOR OWNER
| 完全控制 |
IUSR_XXX
或某个虚拟主机用户组 | 列出文件夹/读取数据 :拒绝 |
| 只有子文件夹及文件 | 该文件夹,子文件夹及文件 | |
| <不是继承的> | <继承于上一级目录> | |
SYSTEM
| 完全控制 |
虚拟主机用户访问组拒绝读取,有助于保护系统数据
| |
该文件夹,子文件夹及文件 | |||
<不是继承的> |
硬盘或文件夹: C:/WINDOWS/system32/inetsrv/
| |||
主要权限部分: | 其他权限部分: | ||
Administrators
| 完全控制 |
Users
| 读取和运行 |
| 该文件夹,子文件夹及文件 |
| 该文件夹,子文件夹及文件 |
<不是继承的> |
| <不是继承的> | |
CREATOR OWNER
| 完全控制 |
IUSR_XXX
或某个虚拟主机用户组 | 列出文件夹/读取数据 :拒绝 |
| 只有子文件夹及文件 | 只有该文件夹 | |
| <不是继承的> | <继承于上一级目录> | |
SYSTEM
| 完全控制 |
虚拟主机用户访问组拒绝读取,有助于保护系统数据
| |
该文件夹,子文件夹及文件 | |||
<不是继承的> |
硬盘或文件夹: C:/WINDOWS/system32/inetsrv/ASP Compiled Templates
| |||
主要权限部分: | 其他权限部分: | ||
Administrators
| 完全控制 |
IIS_WPG
| 完全控制 |
| 该文件夹,子文件夹及文件 | 该文件夹,子文件夹及文件 | |
<不是继承的> | <不是继承的> | ||
IUSR_XXX
或某个虚拟主机用户组 | 列出文件夹/读取数据 :拒绝 | ||
该文件夹,子文件夹及文件 | |||
<继承于上一级目录> | |||
虚拟主机用户访问组拒绝读取,有助于保护系统数据
|
硬盘或文件夹: C:/WINDOWS/system32/inetsrv/iisadmpwd
| |||
主要权限部分: | 其他权限部分: | ||
Administrators
| 完全控制 |
无
| |
| 该文件夹,子文件夹及文件 | ||
<不是继承的> | |||
CREATOR OWNER
| 完全控制 | ||
| 只有子文件夹及文件 | ||
| <不是继承的> | ||
SYSTEM
| 完全控制 | ||
该文件夹,子文件夹及文件 | |||
<不是继承的> |
硬盘或文件夹: C:/WINDOWS/system32/inetsrv/MetaBack
| |||
主要权限部分: | 其他权限部分: | ||
Administrators
| 完全控制 |
Users
| 读取和运行 |
| 该文件夹,子文件夹及文件 |
| 该文件夹,子文件夹及文件 |
<不是继承的> |
| <不是继承的> | |
CREATOR OWNER
| 完全控制 |
IUSR_XXX
或某个虚拟主机用户组 | 列出文件夹/读取数据 :拒绝 |
| 只有子文件夹及文件 | 该文件夹,子文件夹及文件 | |
| <不是继承的> | <继承于上一级目录> | |
SYSTEM
| 完全控制 |
虚拟主机用户访问组拒绝读取,有助于保护系统数据
| |
该文件夹,子文件夹及文件 | |||
<不是继承的> |
Winwebmail 电子邮局安装后权限举例:目录E:/
| |||
主要权限部分: | 其他权限部分: | ||
Administrators
| 完全控制 |
IUSR_XXXXXX
这个用户是WINWEBMAIL访问WEB站点专用帐户 | 读取和运行 |
| 该文件夹,子文件夹及文件 | 该文件夹,子文件夹及文件 | |
<不是继承的> | <不是继承的> | ||
CREATOR OWNER
| 完全控制 |
| |
| 只有子文件夹及文件 | ||
| <不是继承的> | ||
SYSTEM
| 完全控制 | ||
该文件夹,子文件夹及文件 | |||
<不是继承的> |
Winwebmail 电子邮局安装后权限举例:目录E:/WinWebMail
| |||
主要权限部分: | 其他权限部分: | ||
Administrators
| 完全控制 |
IUSR_XXXXXX
WINWEBMAIL访问WEB站点专用帐户 | 读取和运行 |
| 该文件夹,子文件夹及文件 | 该文件夹,子文件夹及文件 | |
<继承于E:/> | <继承于E:/> | ||
CREATOR OWNER
| 完全控制 |
Users
| 修改/读取运行/列出文件目录/读取/写入 |
| 只有子文件夹及文件 | 该文件夹,子文件夹及文件 | |
| <继承于E:/> | <不是继承的> | |
SYSTEM
| 完全控制 |
IUSR_XXXXXX
WINWEBMAIL访问WEB站点专用帐户 | 修改/读取运行/列出文件目录/读取/写入 |
该文件夹,子文件夹及文件 | 该文件夹,子文件夹及文件 | ||
<继承于E:/> | <不是继承的> | ||
IUSR_XXXXXX 和
IWAM_XXXXXX 是winwebmail专用的IIS用户和应用程序池用户 单独使用,安全性能高 |
IWAM_XXXXXX
WINWEBMAIL应用程序池专用帐户 | 修改/读取运行/列出文件目录/读取/写入 | |
该文件夹,子文件夹及文件 | |||
<不是继承的> |
十一:本地安全策略设置
开始菜单—>管理工具—>本地安全策略
A、本地策略——>审核策略
审核策略更改 成功 失败
审核登录事件 成功 失败
审核对象访问 失败
审核过程跟踪 无审核
审核目录服务访问 失败
审核特权使用 失败
审核系统事件 成功 失败
审核账户登录事件 成功 失败
审核账户管理 成功 失败
B、本地策略——>用户权限分配
关闭系统:只有Administrators组、其它全部删除。
通过终端服务拒绝登陆:加入Guests(注意一定不能加入user组,否则不能远程桌面)
通过终端服务允许登陆:只加入Administrators组,其他全部删除
C、本地策略——>安全选项
交互式登陆:不显示上次的用户名 启用
网络访问:不允许SAM帐户和共享的匿名枚举 启用
网络访问:不允许为网络身份验证储存凭证 启用
网络访问:可匿名访问的共享 全部删除
网络访问:可匿名访问的命 全部删除
网络访问:可远程访问的注册表路径 全部删除
网络访问:可远程访问的注册表路径和子路径 全部删除
帐户:重命名来宾帐户 重命名一个帐户
帐户:重命名系统管理员帐户 重命名一个帐户
十二:其它注册表项
1、防止SYN洪水攻击
HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services/Tcpip/Parameters
新建DWORD值,名为SynAttackProtect,值为2
2、 禁止响应ICMP路由通告报文
HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services/Tcpip/Parameters/Interfaces/interface
新建DWORD值,名为PerformRouterDiscovery 值为0
3. 防止ICMP重定向报文的攻击
HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services/Tcpip/Parameters
将EnableICMPRedirects 值设为0
4. 不支持IGMP协议
HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services/Tcpip/Parameters
新建DWORD值,名为IGMPLevel 值为0
如果您是一名网络管理员,请保持经常检查服务器帐户的良好习惯,如果您看到一名陌生的帐户,而且发现这名帐户不属于任何用户组的时候,那么恭喜你,你的管理员帐户可能被克隆了,该用户很可能拥有服务器的超管权限,因为那是通过克隆你的超管帐号的sam信息建立的帐户,该用户不属于任何用户组,使用用户管理器或命令行下删除该用户时将提示“用户不属于此组 ”,正确删除方法如下:
运行注册表编辑器,依次展开 HKEY_LOCAL_MACHINE/SAM/SAM,右键点击,选择权限,更改Administrators的权限为完全控制.刷新后依次展开该项下的的Domains/Account/Users/Names/ 删除该子项下的陌生帐号及与之相对应的Domains/Account/Users里的项;返回,删除administrator在 HKEY_LOCAL_MACHINE/SAM/SAM下的权限。
重启系统搞定。
补充一下,以便于大家回答,本来是可以在注册表中,将些账号删除
过程我想大家想知道了,我要么再罗嗦一下,
1.在cmd下进入regedt32下提高sam/sam文件夹的权限(在菜单的“安全”里),提高到当前用户完全控制,关掉(要不这么做regedit中HKEY_local_machine/sam/sam是没有权限查看的!).
2. 进入regedit中HKEY_local_machine/sam/sam/domains/account/users/names/那个黑账号,删除它,删除前先看一下其对应的文件夹,在HKEY_local_machine/sam/sam/domains/account/users下,一起删除掉。
十五:安全扫描
对计算机进行全方位的立体检测,可用微软为我们提供的免费工具MBSA(Microsoft Baseline Security Analyzer,微软基准安全分析器)进行检测。