Windows作为Web服务器的安全设置攻略

最新推荐文章于 2021-03-12 21:51:08 发布
最新推荐文章于 2021-03-12 21:51:08 发布
阅读量431 收藏
点赞数
分类专栏: Study
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/painerch/article/details/21388117
版权
//  by  redice 
//  2009.9.17
//转自 http://www.redicecn.cn
//  辛勤劳动成果,转载请保留上述信息
一句废话:服务器安全问题是一个令人头痛的问题,也是一个无法回避的问题...

经过实验总计如下:

NTFS权限设置要先设置父目录,再设置子目录,因为设置继承权限时,父目录的权限会覆盖掉子目录权限,“先父后子”。

对于IIS。

1)  为每个Web站点新建一个IIS匿名账户,隶属于Guests组,删除其隶属的Users组,并将新建的IIS匿名账户分配给各个站点。

2)  去掉所有盘的Users组、everyone、network  services的NTFS权限,继承权限到子目录,只保留Administrators,CREATEOR  OWNER,SYSTEM。

3)  为了支持ASP及.Net,要做如下设置:

“windows”目录添加Users组,IIS_WPG组“读取和运行,列出文件夹目录,读取”权限,继承权限到子目录;

“Program  Files”目录添加Users组“读取和运行,列出文件夹目录,读取”权限,继承权限到子目录;
     
“windowstemp”目录添加IIS_WPG组,ASP.NET账户,所有IIS匿名账户“修改,读取和运行,列出文件夹目录,读取,写入”权限,继承权限

到子目录。
     
ASP.Net所需的其它权限,我们通过“aspnet_regiis"  ”命令来设置,具体命令格式如下:

C:WINDOWS\Microsoft.NET\Framework\v2.0.50727\aspnet_regiis  -ga  "NT  AUTHORITYNETWORK  SERVICE"

(4)“windows\system32\config  “  ,禁止guests组所有权限;

        “Documents  and  Settings\All  Users\「开始」菜单\程序”,  禁止guests组所有权限;

        “windows\system32\inetsrv\data  “,禁止guests组所有权限;

      “windows\system32”  at.exe、attrib.exe、cacls.exe、net.exe、net1.exe、netstat.exe、regedit.exe  文件,只给 

      Administrators  组和  SYSTEM  的完全控制权限;

        “windows\system32”  cmd.exe、format.com文件,  只给  Administrators  组完全控制权限。
             
5)  在各个站点目录下设置IIS匿名账户“读取,拒绝写入”权限,继承权限到子目录。
      如果是.Net网站,还要设置IIS_WPG组,ASP.NET账户“读取,拒绝写入”权限,继承权限到子目录。
     
6)  在各个站点下的可写目录设置IIS匿名账户“读取和运行,列出文件夹目录,读取,修改,写入”权限,继承权限到子目录。
    如果是.Net网站,还要设置IIS_WPG组,ASP.NET账户“读取和运行,列出文件夹目录,读取,修改,写入”权限,继承权限到子目录。

7)  设置各个站点下的可写目录的脚本执行权限为“无”。

8)  去掉各站点目录的IIS写权限,目录浏览权限。

9)  配置  IIS  元数据库权限:“windows\system32\Inetsrv\MetaBase.xml  “,确认只有  Administrators  组和  SYSTEM拥有对元数据库的完全

控制访问权,删除所有其他文件权限。

10)  关闭WScript.Shell,  Shell.application,  WScript.Network这三个危险而又不常用的系统组件:

        regsvr32  /u  c:\windows\system32\wshom.ocx
        regsvr32  /u  c:\windows\system32\shell32.dll


.NET 网站权限设置非常麻烦,建议尽量不要使用.NET Web程序。

对于MSSQL。

1)  给SA用户设置高强度密码。

2)  删除以下危险的扩展存储过程。

删除脚步:

use  master

exec  sp_dropextendedproc  xp_cmdshell

exec  sp_dropextendedproc  xp_enumgroups

exec  sp_dropextendedproc  xp_loginconfig

exec  sp_dropextendedproc  xp_enumerrorlogs

exec  sp_dropextendedproc  xp_getfiledetails

exec  sp_dropextendedproc  Sp_OACreate

exec  sp_dropextendedproc  Sp_OADestroy

exec  sp_dropextendedproc  Sp_OAGetErrorInfo

exec  sp_dropextendedproc  Sp_OAGetProperty

exec  sp_dropextendedproc  Sp_OAMethod

exec  sp_dropextendedproc  Sp_OASetProperty

exec  sp_dropextendedproc  Sp_OAStop

exec  sp_dropextendedproc  xp_regaddmultistring

exec  sp_dropextendedproc  xp_regdeletekey

exec  sp_dropextendedproc  xp_regdeletevalue

exec  sp_dropextendedproc  xp_regenumvalues

exec  sp_dropextendedproc  xp_regremovemultistring

exec  sp_dropextendedproc  xp_regwrite

drop  procedure  sp_makewebtask

exec  sp_dropextendedproc  xp_cmdshell  --  删除此项扩展后,将无法远程连接数据库

exec  sp_dropextendedproc  xp_dirtree    --  删除此项扩展后,将无法新建或附加数据库

exec  sp_dropextendedproc  Xp_regread    --  删除此项扩展后,  还原数据库辅助

exec  sp_dropextendedproc  xp_fixeddrives  --  删除此项扩展后,将无法还原数据库

恢复脚本:

use  master

EXEC  sp_addextendedproc  xp_cmdshell  ,@dllname  =xplog70.dll

EXEC  sp_addextendedproc  xp_enumgroups  ,@dllname  =xplog70.dll

EXEC  sp_addextendedproc  xp_loginconfig  ,@dllname  =xplog70.dll

EXEC  sp_addextendedproc  xp_enumerrorlogs  ,@dllname  =xpstar.dll

EXEC  sp_addextendedproc  xp_getfiledetails  ,@dllname  =xpstar.dll

EXEC  sp_addextendedproc  Sp_OACreate  ,@dllname  =odsole70.dll

EXEC  sp_addextendedproc  Sp_OADestroy  ,@dllname  =odsole70.dll

EXEC  sp_addextendedproc  Sp_OAGetErrorInfo  ,@dllname  =odsole70.dll

EXEC  sp_addextendedproc  Sp_OAGetProperty  ,@dllname  =odsole70.dll

EXEC  sp_addextendedproc  Sp_OAMethod  ,@dllname  =odsole70.dll

EXEC  sp_addextendedproc  Sp_OASetProperty  ,@dllname  =odsole70.dll

EXEC  sp_addextendedproc  Sp_OAStop  ,@dllname  =odsole70.dll

EXEC  sp_addextendedproc  xp_regaddmultistring  ,@dllname  =xpstar.dll

EXEC  sp_addextendedproc  xp_regdeletekey  ,@dllname  =xpstar.dll

EXEC  sp_addextendedproc  xp_regdeletevalue  ,@dllname  =xpstar.dll

EXEC  sp_addextendedproc  xp_regenumvalues  ,@dllname  =xpstar.dll

EXEC  sp_addextendedproc  xp_regremovemultistring  ,@dllname  =xpstar.dll

EXEC  sp_addextendedproc  xp_regwrite  ,@dllname  =xpstar.dll

EXEC  sp_addextendedproc  xp_dirtree  ,@dllname  =xpstar.dll

EXEC  sp_addextendedproc  xp_regread  ,@dllname  =xpstar.dll

EXEC  sp_addextendedproc  xp_fixeddrives  ,@dllname  =xpstar.dll


对于Windows远程终端(3389)。

去掉以下位置所有IIS匿名账户的读写权限:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal  Server
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\TermService

对于radmin。

radmin2.0  去掉以下位置所有IIS匿名账户的读写权限:
HKEY_LOCAL_MACHINE\SYSTEM\RAdmin

radmin1.0  和radmin3.0  去掉以下位置所有IIS匿名账户的读写权限:
HKEY_LOCAL_MACHINE\SOFTWARE\RAdmin

对于Serv-U。

修改默认管理端口和密码。

PS: php安装目录也要给user组“读取”权限
pecliu
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
windows服务器管理的安全注意事项
01-10
web服务器 1.web服务器关闭不需要的IIS组件,比如禁用wev,禁用cgi和asp功能 2.隐藏网站物理路径,删除默认网站,更改网站的物理路径 3.删除无用的虚拟目录以及iis映射,只保留需要后缀文件的映射, 4.启用IIS日志记录,每天审查日志 5.设置web站点目录访问权限为读取权限,去除写入目录浏览;尽可能不给执行权限 6.防止access数据库被下载,具体操作为:添加.mdb扩展名的映射的都做为禁止(默认是POST,GET,) 7.禁用vbscript执行权限 数据库服务器 1.SQLSERVER 禁用xpcmd..命令 2.sqlserver 服务器,禁止采用sa作为访问账号
开启网站服务器写入权限,数据库写不进去IIS写入权限怎么设置
weixin_28843191的博客
08-05 1111
后台内容无法更新,如基本设置保存不了,数据库写不进去,很有可能是Everyone权限问题,即Everyone 无权操作文件夹,按照下面的步骤操作即可经常有刚刚使用cms网站的朋友会提到,后台内容无法更新,如基本设置保存不了,数据库写不进去。如果出现这些问题的可以参考以下方法解决。首先查看网站所在的硬盘是不是NTFS格式。如果是很有可能是Everyone权限问题,即Everyone 无权操作文件夹,...
Win2008 R2 WEB 服务器安全设置指南之文件夹权限设置技巧
weixin_33919950的博客
05-28 157
通过控制文件夹权限来提高站点的安全性。这一篇权限设置包括二个方面,一个是系统目录、盘符的权限,一个是应用程序的上传文件夹权限设置。系统目录确保所有盘符都是NTFS格式,如果不是,可以用命令 convert d:/fs:ntfs 转换为NTFS格式。所有磁盘根目录只给system和administrators权限,其它删除。其中系统盘符会有几个提示,直接确定就可以了。在做这步操...
windows下关于使用eclipse开发web服务器后台项目完整配置(jsp+javabean+servlet)
热门推荐
selous的专栏
03-02 1万+
写在开头:因为是写java程序,所以jre是肯定需要有的 jre环境变量的配置此文并没有讲解 默认配置完成 一.软件下载 1.eclipse for java ee developer http://pan.baidu.com/s/1ntP7TdJ 2.tomcat服务器 自己上网找,一大堆,而且很小 3.eclipse集成tomcat服务器插件 http://pan.baid
php runtime目录权限,解决ThinkPHP runtime目录访问权限的问题
weixin_30869777的博客
03-12 792
问题使用Thinkphp 发布项目的时候,框架会默认在runtime目录下记录日志,但是把项目发布时,由于系统是Linux系统,所以对于文件的权限要求比较严格。所以项目运行时,无法向runtime下记录日志,导致运行失败。解决方法STEP 1既然,没有写入权限,我们直接授权就可以解决问题。授权的方案有两种1、直接给文件夹授权chmod -R 777 runtime这种方法的弊端在于此文件夹下所有的...
Windows WEB服务器配置安全规范
happmaoo的专栏
12-22 323
一、安装 Win 200x 安全概览 1.硬盘分区的文件系统选择 ①使用多分区分别管理不同内容在安装Win 2000时,如条件许可,应至少建立两个逻辑分区,一个用作系统分区,另一个用作应用程序分区。尽量修改“我的文档”及“Outlook Express”等应用程序的默认文件夹位置,使其位置不在系统分区。对提供服务的机器,可按如下设置分区: 分区1:系统分区,安装系统和重要日志文件。分区2:...
WINDOWSWEB服务器安全设置
weixin_33790053的博客
06-05 153
前言 其实,在服务器安全设置方面,我虽然有一些经验,但是还谈不上有研究,所以我写这篇文章的时候心里很不踏实,总害怕说错了会误了别人的事。 本文更侧重于防止ASP漏洞***,所以服务器防黑等方面的讲解可能略嫌少了点。 基本的服务器安全设置 1、安装补丁 安装好操作系统之后,最好能在托管之前就完成补丁的安装,配置好网络后,如果是2000则确定安装上了SP4,如果是20...
Windows Server 2008 R2 WEB 服务器安全设置指南(三)之文件夹权限设置
易寒的专栏
04-19 9345
Windows Server 2008 R2 WEB 服务器安全设置指南(三)之文件夹权限设置系统目录确保所有盘符都是NTFS格式,如果不是,可以用命令 convert d:/fs:ntfs 转换为NTFS格式。所有磁盘根目录只给system和administrators权限,其它删除。其中系统盘符会有几个提示,直接确定就可以了。在做这步操作之前,你的运行环境软件必须都安装好以后才能做。不然可能会导
win2003服务器安全设置教程图文(系统+数据库)
01-11
服务器安全设置 1、系统盘和站点放置盘必须设置为NTFS格式,方便设置权限。 2、系统盘和站点放置盘除administrators 和system的用户权限全部去除。 3、启用windows自带防火墙,只保留有用的端口,比如远程和Web、...
Win2008 R2 WEB 服务器安全设置指南之修改3389端口与更新补丁
01-10
随着云主机的普及和微软的大力更新,用windows server 2008 R2作为web服务器的人越来越多,而其强大的性能和可操作性得到了好评。连卖win2008的虚拟主机商也多起来了,所以今天我来讲讲我是怎么设置Win2008服务器...
怎样保证Web服务器安全的措施
04-09
本文主要以Windows server 操作系统的服务器作为目标对象,因基于IIS的Web网站服务器较多,受攻击情况较严重。
win2003 服务器安全设置教程(权限与本地策略)
01-10
服务器安全设置 1、系统盘和站点放置盘必须设置为NTFS格式,方便设置权限。 2、系统盘和站点放置盘除administrators 和system的用户权限全部去除。 3、启用windows自带防火墙,只保留有用的端口,比如远程和Web、...
施耐德PLC例程源码twidopid控制实列
04-22
施耐德PLC例程源码twido pid 控制实列提取方式是百度网盘分享地址
node-v19.2.0-darwin-arm64.tar.xz
04-22
Node.js,简称Node,是一个开源且跨平台的JavaScript运行时环境,它允许在浏览器外运行JavaScript代码。Node.js于2009年由Ryan Dahl创立,旨在创建高性能的Web服务器和网络应用程序。它基于Google Chrome的V8 JavaScript引擎,可以在Windows、Linux、Unix、Mac OS X等操作系统上运行。 Node.js的特点之一是事件驱动和非阻塞I/O模型,这使得它非常适合处理大量并发连接,从而在构建实时应用程序如在线游戏、聊天应用以及实时通讯服务时表现卓越。此外,Node.js使用了模块化的架构,通过npm(Node package manager,Node包管理器),社区成员可以共享和复用代码,极大地促进了Node.js生态系统的发展和扩张。 Node.js不仅用于服务器端开发。随着技术的发展,它也被用于构建工具链、开发桌面应用程序、物联网设备等。Node.js能够处理文件系统、操作数据库、处理网络请求等,因此,开发者可以用JavaScript编写全栈应用程序,这一点大大提高了开发效率和便捷性。 在实践中,许多大型企业和组织已经采用Node.js作为其Web应用程序的开发平台,如Netflix、PayPal和Walmart等。它们利用Node.js提高了应用性能,简化了开发流程,并且能更快地响应市场需求。
node-v15.12.0-darwin-x64.tar.xz
最新发布
04-22
Node.js,简称Node,是一个开源且跨平台的JavaScript运行时环境,它允许在浏览器外运行JavaScript代码。Node.js于2009年由Ryan Dahl创立,旨在创建高性能的Web服务器和网络应用程序。它基于Google Chrome的V8 JavaScript引擎,可以在Windows、Linux、Unix、Mac OS X等操作系统上运行。 Node.js的特点之一是事件驱动和非阻塞I/O模型,这使得它非常适合处理大量并发连接,从而在构建实时应用程序如在线游戏、聊天应用以及实时通讯服务时表现卓越。此外,Node.js使用了模块化的架构,通过npm(Node package manager,Node包管理器),社区成员可以共享和复用代码,极大地促进了Node.js生态系统的发展和扩张。 Node.js不仅用于服务器端开发。随着技术的发展,它也被用于构建工具链、开发桌面应用程序、物联网设备等。Node.js能够处理文件系统、操作数据库、处理网络请求等,因此,开发者可以用JavaScript编写全栈应用程序,这一点大大提高了开发效率和便捷性。 在实践中,许多大型企业和组织已经采用Node.js作为其Web应用程序的开发平台,如Netflix、PayPal和Walmart等。它们利用Node.js提高了应用性能,简化了开发流程,并且能更快地响应市场需求。
毕业设计 一款家庭记账本.zip
04-22
毕业设计 一款家庭记账本
Apache-maven-3.9.6-bin.tar.gz 安装包
04-22
本资源是apache-maven-3.9.6版本安装包,适用于 Mac 操作系统,内部包含 apache-maven-3.9.6-bin.tar.gz 和 安装步骤,仅需解压即可使用,非常方便快捷!
机械设计4L斗式提升sw16可编辑非常好的设计图纸100%好用.zip
04-22
机械设计4L斗式提升sw16可编辑非常好的设计图纸100%好用.zip
windows sever web服务器
08-11
对于Windows Server操作系统,您可以使用IIS(Internet Information Services)作为Web服务器。以下是在Windows Server上设置Web服务器的步髙级概述: 1. 安装IIS:打开"服务器管理器",选择"角色",然后点击"添加...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值