Windows 2003 安全配置(WEB)

最新推荐文章于 2021-08-06 05:56:00 发布
最新推荐文章于 2021-08-06 05:56:00 发布
阅读量1.8k 收藏
点赞数
分类专栏: 网络安全 文章标签: windows web system service iis terminal
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/mengyao/article/details/619406
版权

1.
删除以下的注册表主键:
WScript.Shell
WScript.Shell.1
Shell.application
Shell.application.1
WSCRIPT.NETWORK
WSCRIPT.NETWORK.1

regsvr32/u wshom.ocx回车、regsvr32/u wshext.dll回车
regsvr32 WSHom.Ocx  /u

Windows 2003 硬盘安全设置

c:/
administrators 全部
system 全部
iis_wpg 只有该文件夹
列出文件夹/读数据
读属性
读扩展属性
读取权限


c:/inetpub/mailroot
administrators 全部
system 全部
service 全部

c:/inetpub/ftproot
everyone 只读和运行

c:/windows
administrators 全部
Creator owner
不是继承的
只有子文件夹及文件
完全
Power Users
修改,读取和运行,列出文件夹目录,读取,写入
system 全部
IIS_WPG 读取和运行,列出文件夹目录,读取
Users 读取和运行(此权限最后调整完成后可以取消)

C:/WINDOWS/Microsoft.Net
administrators 全部
Creator owner
不是继承的
只有子文件夹及文件
完全
Power Users
修改,读取和运行,列出文件夹目录,读取,写入
system 全部
Users 读取和运行,列出文件夹目录,读取
''www.knowsky.com
C:/WINDOWS/Microsoft.Net
administrators 全部
Creator owner
不是继承的
只有子文件夹及文件
完全
Power Users
修改,读取和运行,列出文件夹目录,读取,写入
system 全部
Users 读取和运行,列出文件夹目录,读取

 

C:/WINDOWS/Microsoft.Net/temporary ASP.NET Files
administrators 全部
Creator owner
不是继承的
只有子文件夹及文件
完全
Power Users
修改,读取和运行,列出文件夹目录,读取,写入
system 全部
Users 全部

 

c:/Program Files
Everyone 只有该文件夹
不是继承的
列出文件夹/读数据
administrators 全部
iis_wpg 只有该文件夹
列出文件/读数据
读属性
读扩展属性
读取权限


c:/windows/temp
Administrator 全部权限
System全部权限
users 全部权限

c:/Program Files/Common Files
administrators 全部
Creator owner
不是继承的
只有子文件夹及文件
完全
Power Users
修改,读取和运行,列出文件夹目录,读取,写入
system 全部
TERMINAL SERVER Users(如果有这个用户)
修改,读取和运行,列出文件夹目录,读取,写入
Users 读取和运行,列出文件夹目录,读取

c:/Program Files/Dimac(如果有这个目录)
Everyone 读取和运行,列出文件夹目录,读取
administrators 全部

c:/Program Files/ComPlus Applications (如果有)
administrators 全部

c:/Program Files/GflSDK (如果有)
administrators 全部
Creator owner
不是继承的
只有子文件夹及文件
完全
Power Users
修改,读取和运行,列出文件夹目录,读取,写入
system 全部
TERMINAL SERVER Users
修改,读取和运行,列出文件夹目录,读取,写入
Users 读取和运行,列出文件夹目录,读取
Everyone 读取和运行,列出文件夹目录,读取

c:/Program Files/InstallShield Installation Information (如果有)
c:/Program Files/Internet Explorer (如果有)
c:/Program Files/NetMeeting (如果有)
administrators 全部

c:/Program Files/Windowsupdate
Creator owner
不是继承的
只有子文件夹及文件
完全
administrators 全部
Power Users
修改,读取和运行,列出文件夹目录,读取,写入
system 全部

c:/Program Files/Microsoft SQL(如果SQL安装在这个目录)
administrators 全部
Service 全部
system 全部

d:/ (如果用户网站内容放置在这个分区中)
administrators 全部权限

d:/FreeHost (如果此目录用来放置用户网站内容)
administrators 全部权限
SERVICE 读取与运行


从安全角度,我们建议WebEasyMail(WinWebMail)安装在独立的盘中,例如E:
E:/(如果webeasymail安装在这个盘中)
administrators 全部权限
system 全部权限
IUSR_*,默认的Internet来宾帐户(或专用的运行用户)
读取与运行
E:/WebEasyMail (如果webeasymail安装在这个目录中)
administrators 全部
system 全部权限
SERVICE全部
IUSR_*,默认的Internet来宾帐户 (或专用的运行用户)
全部权限


C:/php/uploadtemp
C:/php/sessiondata
everyone
全部

C:/php/
administrators 全部
system 全部权限
SERVICE全部
Users 只读和运行


c:/windows/php.ini
administrators 全部
system 全部权限
SERVICE全部
Users 只读和运行

防止海洋木马列出WIN服务器的用户和进程

1.先以C盘为例,右击C盘,点击“安全”,将Everyone、Users组删除,设置administrators、system完全控制;iis_wpg只有该文件夹(列出文件夹/读数据/读属性/读扩展属性/读取权限)
2.
c:/inetpub/mailroot administrators 完全;system 完全;service 完全
c:/inetpub/ftproot everyone 只读和运行
如果装了软件:
c:/Program Files/soft Everyone 读取和运行,列出文件夹目录,读取 administrators 完全 具体要看软件的性质
3.让asp顺利运行
C:/Program Files/Common Files everyone默认权限
C:/WINNT/Temp everyone 读写
C:/WINDOWS/system32 everyone默认权限

其他盘,也只留administrators、system 两个用户即可,如果安装有软件,具体设置见附录硬盘权限设置
4.防止asp木马
首先,设置system32下程序:net.exe,cmd.exe,ftp.exe,tftp.exe,telnet.exe,只允许administrator访问
然后,给每个虚拟站点单独设一个用户,分给每个用户文件夹相应用户名完全控制的权限(防止FSO),具体设置见附录 或参看 http://www.im286.com/viewthread.php?tid … a=page%3D1 落伍论坛有相关贴
如果服务器不需要 Wscript.Shell,stream对象 支持的话可以将其卸载
regsvr32 WSHom.Ocx  /u

regsvr32 /s /u "C:/Program Files/Common Files/System/ado/msado15.dll" 注:此项不能轻易去掉,否则数据库连接是可能出现 错误'ASP 0177 : 800401f3' server.createobject


上文主要是简单的走一下过程,如有什么不明白的地方可以参考附录

附录(参考文献):
注:全来自网上,版权归原撰写人

 

 

Win 2003 硬盘安全设置(针对ASP类网站)

 

C:分区部分:
c:/
administrators 全部
iis_wpg 只有该文件夹
列出文件夹/读数据
读属性
读扩展属性
读取权限

c:/inetpub/mailroot
administrators 全部
system 全部
service 全部

c:/inetpub/ftproot
everyone 只读和运行

 

c:/windows
administrators 全部
Creator owner
不是继承的
只有子文件夹及文件
完全
Power Users
修改,读取和运行,列出文件夹目录,读取,写入
system 全部
Users 读取和运行,列出文件夹目录,读取

c:/Program Files
Everyone 只有该文件夹
不是继承的
列出文件夹/读数据
administrators 全部
iis_wpg 只有该文件夹
列出文件/读数据
读属性
读扩展属性
读取权限

c:/Program Files/Common Files
administrators 全部
Creator owner
不是继承的
只有子文件夹及文件
完全
Power Users
修改,读取和运行,列出文件夹目录,读取,写入
system 全部
TERMINAL SERVER Users(如果有这个用户)
修改,读取和运行,列出文件夹目录,读取,写入
Users 读取和运行,列出文件夹目录,读取

如果安装了我们的软件:
c:/Program Files/LIWEIWENSOFT
Everyone 读取和运行,列出文件夹目录,读取
administrators 全部
IIS_WPG 读取和运行,列出文件夹目录,读取


c:/Program Files/Dimac(如果有这个目录)
Everyone 读取和运行,列出文件夹目录,读取
administrators 全部

c:/Program Files/ComPlus Applications (如果有)
administrators 全部

c:/Program Files/GflSDK (如果有)
administrators 全部
Creator owner
不是继承的
只有子文件夹及文件
完全
Power Users
修改,读取和运行,列出文件夹目录,读取,写入
system 全部
TERMINAL SERVER Users
修改,读取和运行,列出文件夹目录,读取,写入
Users 读取和运行,列出文件夹目录,读取
Everyone 读取和运行,列出文件夹目录,读取

c:/Program Files/InstallShield Installation Information (如果有)
c:/Program Files/Internet Explorer (如果有)
c:/Program Files/NetMeeting (如果有)
administrators 全部

c:/Program Files/WindowsUpdate
Creator owner
不是继承的
只有子文件夹及文件
完全
administrators 全部
Power Users
修改,读取和运行,列出文件夹目录,读取,写入
system 全部

D:分区部分:
d:/ (如果用户网站内容放置在这个分区中)
administrators 全部权限

d:/FreeHost (如果此目录用来放置用户网站内容)
administrators 全部权限
SERVICE 全部权限


E:分区部分:
从安全角度,我们建议WebEasyMail(WinWebMail)安装在独立的盘中,例如E:
E:/(如果webeasymail安装在这个盘中)
administrators 全部权限
system 全部权限
IUSR_*,默认的Internet来宾帐户(如果这个网站用这个用户来运行)
不是继承的
只有子文件夹
读取权限
E:/WebEasyMail (如果webeasymail安装在这个目录中)
administrators 全部
system 全部权限
SERVICE 全部
IUSR_*,默认的Internet来宾帐户 全部权限(如果这个网站用这个用户来运行)
关于IUSR_*,我们不建议用这个用户来运行Webeasymail,应该用平台开一个虚拟主机来运行Webeasymail。
----------------不知道2000是不是一样设置.
(出处:中国站长站)

 

 

 

Win 2003中提高FSO的安全性

 

ASP提供了强大的文件系统访问能力,可以对服务器硬盘上的任何文件进行读、写、复制、删除、改名等操作,这给学校网站的安全带来巨大的威胁。现在很多校园主机都遭受过FSO木马的侵扰。但是禁用FSO组件后,引起的后果就是所有利用这个组件的ASP程序将无法运行,无法满足客户的需求。如何既允许FileSystemObject组件,又不影响服务器的安全性呢(即:不同虚拟主机用户之间不能使用该组件读写别人的文件)?以下是笔者多年来摸索出来的经验:

  第一步是有别于Windows 2000设置的关键:右击C盘,点击“共享与安全”,在出现在对话框中选择“安全”选项卡,将Everyone、Users组删除,删除后如果你的网站连ASP程序都不能运行,请添加IIS_WPG组(图1),并重启计算机。

  经过这样设计后,FSO木马就已经不能运行了。如果你要进行更安全级别的设置,请分别对各个磁盘分区进行如上设置,并为各个站点设置不同匿名访问用户。下面以实例来介绍(假设你的主机上E盘Abc文件夹下设Abc.com站点):

  1. 打开“计算机管理→本地用户和组→用户”,创建Abc用户,并设置密码,并将“用户下次登录时须更改密码”前的对号去掉,选中“用户不能更改密码”和“密码永不过期”,并把用户设置为隶属于Guests组。

  2. 右击E:/Abc,选择“属性→安全”选项卡,此时可以看到该文件夹的默认安全设置是“Everyone”完全控制(视不同情况显示的内容不完全一样),删除Everyone的完全控制(如果不能删除,请点击[高级]按钮,将“允许父项的继承权限传播”前面的对号去掉,并删除所有),添加Administrators及Abc用户对本网站目录的所有安全权限。

  3. 打开IIS管理器,右击Abc.com主机名,在弹出的菜单中选择“属性→目录安全性”选项卡,点击身份验证和访问控制的[编辑],弹出图2所示对话框,匿名访问用户默认的就是“IUSR_机器名”,点击[浏览],在“选择用户”对话框中找到前面创建的Abc账户,确定后重复输入密码。

  经过这样设置,访问网站的用户就以Abc账户匿名身份访问E:/Abc文件夹的站点,因为Abc账户只对此文件夹有安全权限,所以他只能在本文件夹下使用FSO。

  常见问题:

  如何解除FSO上传程序小于200k限制?

  先在服务里关闭IIS admin service服务,找到Windows\System32\Inesrv目录下的Metabase.xml并打开,找到ASPMaxRequestEntityAllowed,将其修改为需要的值。默认为204800,即200K,把它修改为51200000(50M),然后重启IIS admin service服务。

mengyao
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Windows2003 服务器安全配置详细篇
01-20
看过这个演示,之前的”超详细web服务器权限设置,精确到每个文件夹”和”超详细web服务器权限设置,事件查看器完全无报错”就不用再看了.这个比原来做的有所改进.操作系统用的是雨林木风的ghost镜像,补丁是打上截止...
windows 2003最完善最完美的权限及安全设置解决方案
szg3827的专栏
08-22 957
一、服务器安全设置1. IIS6.0的安装和设置1.1 开始菜单—>控制面板—>添加或删除程序—>添加/删除Windows组件   应用程序 ———ASP.NET(可选)        |——启用网络 COM+ 访问(必选)        |——Internet 信息服务(IIS)———Internet 信息服务管理器(必选)                      |—
Windows Server 2003安装IIS服务并配置WEB站点
热门推荐
fendo
12-28 7万+
一、安装IIS服务 简介 IIS(Internet Information Server,互联网信息服务)是一种Web(网页)服务组件,其中包括Web服务器、FTP服务器、NNTP服务器和SMTP服务器,分别用于网页浏览、文件传输、新闻服务和邮件发送等方面,它使得在网络(包括互联网和局域网)上发布信息成了一件很容易的事。 安装 控制面板”,依次选“添加/
Windows Server2003防***权限设置IIS服务器安全配置整理
weixin_33938733的博客
03-07 342
一、 系统的安装 1、按照Windows2003安装光盘的提示安装,默认情况下2003没有把IIS6.0安装在系统里面。 2、IIS6.0的安装 开始菜单—>控制面板—>添加或删除程序—>添加/删除Windows组件 应用程序 ———ASP.NET(可选) |——启用网络 COM+ 访问(必选) |——Internet 信息服务(IIS)———I...
Windows 2003安全设置大全
happyjack
05-01 328
Windows 2003安全设置大全 1.硬盘分区与操作系统的安装 硬盘分区   总的来讲在硬盘分区上面没什么值得深入剖析的地方,无非就是一个在分区前做好规划知道要去放些什么东西,如果实在不知道。那就只一个硬盘只分一个区,分区要一次性完成,不要先分成FAT32再转成NTFS。一次性分成NTFS格式,以我个人习惯,系统盘一般给12G。建议使用光盘启动完成分区过程,不要加载硬盘软件。 ...
Windows Server 2003 安全配置
闷骚的男
05-26 1513
windows server2003是目前最为成熟的网络服务器平台,安全性相对于windows 2000有大大的提高,但是2003默认的安全配置不一定适合我们的需要,所以,我们要根据实际情况来对win2003进行全面安全配置。说实话,安全配置是一项比较有难度的网络技术,权限配置的太严格,好多程序又运行不起,权限配置的太松,又很容易被黑客入侵,做为网络管理员,真的很头痛,因此,我结合这几年的网络安全管理经验,总结出以下一些方法来提高我们服务器的安全性。 第一招:正确划分文件系统格式,选择稳定的操作系统安装盘为
Windows WEB服务器配置安全规范
05-27
Windows WEB服务器配置安全规范Windows WEB服务器配置安全规范Windows WEB服务器配置安全规范Windows WEB服务器配置安全规范
Windows 2003 WEB服务器安全配置指南
02-05
1.系统盘和站点放置盘必须设置为NTFS格式,方便设置权限. 2.系统盘和站点放置盘除administrators 和system的用户权限全部去除.
Windows2003WEB服务器安全配置方案.pdf
10-11
Windows2003WEB服务器安全配置方案.pdf
WindowsWEB服务器安全配置.pdf
10-11
WindowsWEB服务器安全配置.pdf
Windows2003搭建web服务器(学习笔记)
qq_43236906的博客
10-24 3514
Windows2003搭建web服务器 第一步:IIS安装 开始—>控制面板—>添加或删除程序—>添加/删除windows组件。 勾选应用程序服务器并双击打开—>然后选择Internet(信息服务IIS) 勾选并双击打开Internet(信息服务IIS)—>选择万维网服务—>完成 管理工具—>Internet信息服务(IIS)管理器 这里可以将默认网站停止,因为默认网站使用80端口。点击默认网站,然后右键,选择停止。 如果不停止默认网站,可以在建立新的网站时
Win2003 安全设置大全
sakura379的博客
05-17 430
就“最小的权限+最少的服务=最大的安全”呢?其实不然,任何事物都是相对的依我个人而见,以上设置也只是最基本的一些东西而已 NTFS系统权限设置 在使用之前将每个硬盘根加上 Administrators 用户为全部权限(可选加入SYSTEM用户) 删除其它用户,进入系统盘:权限如下 C:\WINDOWS Administrators SYSTEM用户全部权限 Users 用户默认权限不作修改 其它目...
Win2003 Server 安全的个人Web服务器
sakura379的博客
05-14 453
Win2003 Server的安全性较之Win2K确实有了很大的提高,但是用Win2003 Server作为服务器是否就真的安全了?如何才能打造一个安全的个人Web服务器。 如何才能打造一个安全的个人Web服务器?下面我们简单介绍一下   一、Windows Server2003的安装   1、安装系统最少两需要个分区,分区格式都采用NTFS格式   2、在断开网络的情况安装好2003系统   3...
win2003+IIS服务器下运行ASP程序非常慢的解决办法
aikker的专栏
01-05 4366
<br />笔者今天重新装了服务器,装的是win2003+IIS,在上面运行的是ASP+ACCESS。装完之后,浏览HTML页面,非常快,令人很满意:)但是,运行ASP就狂慢,即使只运行<%=now()%>都非常慢。这到底是怎么回事呢? <br />  笔者在网上狂搜一通,结果只到到一堆人提出同样的问题,但是就是没有一个有用的答案。<br />  于是,笔者找了一个在机房工作的朋友问,结果,只用了1分钟就搞定了,真是狂喜啊。但是,好东西不能只自己享用,现在和大家分享一下。<br />  解决办法如下:<b
win2003服务器的一些安全设置
sakura379的博客
05-23 348
这篇文章主要介绍了win2003服务器的一些安全设置(彩票),一些不错的地方,当然也可以使用安全狗设置,需要的朋友可以参考下 以下内容截取自一套彩票程序的使用帮助,帮助中提供了程序使用独立服务器时的帮助说明。大致看了一下,有些东西值得借鉴,特转来做个收藏 1 将远程桌面系统默认端口 3389 改为 XXXX SYSTEM\CurrentControlSet\Control\Terminal Ser...
2003服务器系统数据库,win2003服务器安全设置教程图文(系统+数据库)
weixin_29863809的博客
08-06 447
这篇文章简单介绍了win2003安全设置方法,但一些更安全与深入的设置,还需要参考IIS7站长之家以前发布的文章服务器安全设置1、系统盘和站点放置盘必须设置为NTFS格式,方便设置权限。2、系统盘和站点放置盘除administrators 和system的用户权限全部去除。3、启用windows自带防火墙,只保留有用的端口,比如远程和Web、Ftp(3389、80、21)等等,有邮件服务器的还要...
Web网站缓存文件并发问题解决方案
canduecho的专栏
01-31 646
我所负责的XXX.CN平台前期由于网站整体运行效率低因此采用了文件缓存的方式(文件缓存就是当某个页面第一次接受用户访问时将数据库中获取到的内容转化成xml文件的形式,并且存储在服务器硬盘当中,当后面的人再来访问时就只需要直接读取xml缓存文件即可,减少了读取数据库的次数,从而达到提高网站运行效率的目的),但是使用了这种方式其中有一个更新数据的问题,在更新和读取是就产生了并发的问题,说白了就是读取
WIN2003 Server安全配置完整篇
IV@N_KANG
05-24 1596
以前写个一个老寒win2003服务器安全设置什么的文章,被转载了老多,其实那个文章是品拼凑起来的,很多是招抄2000安全设置的,怪不好意思的被转了这么多,而且很多地方都有纰漏!大家看到这个文章的时候记得帮偶覆盖下下面的文章(: 写这个文章的时候也扒拉了不少网络上的2003安全设置文章,基本上大多都是还是以2000的汤挂着2003的牌,,所以偶就辛苦点,写个吧。刚好刚拿到服务商给重装系统,就记录下来
服务器安全设置之--硬盘权限篇
好好学习,天天向上。
12-14 763
<br />服务器安全设置之--硬盘权限篇 <br />     这里着重谈需要的权限,也就是最终文件夹或硬盘需要的权限,可以防御各种木马入侵,提权攻击,跨站攻击等。本实例经过多次试验,安全性能很好,服务器基本没有被木马威胁的担忧了。<br />硬盘或文件夹: C:/ D:/ E:/ F:/ 类推 <br />主要权限部分: 其他权限部分: <br />Administrators 完全控制 无<br />如果安装了其他运行环境,比如PHP等,则根据PHP的环境功能要求来设置硬盘权限,一般是安装目录加上us
windows2012web服务器配置
最新发布
03-16
Windows 2012 Web服务器配置包括以下步骤: 1. 安装IIS(Internet Information Services):在服务器管理器中选择“添加角色和功能”,选择Web服务器(IIS)角色,按照向导完成安装。 2. 配置网站:在IIS管理器中...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值