二级目录给 Administr 完全控制权限和 Everyon 除了完全控制, 更改, 取得, 其它全部打勾的权限和 IUSR 只有该文件夹的完全拒绝权限, 三级目录是每个客户的虚拟主机网站, 给 Administr 完全控制权限和 Everyon 除了完全控制, 更改, 取得, 其它全部打勾的权限即可 最好在 C 盘以外 ( 如 D,E,F..... 根目录建立到三级目录 , 一级目录只给 Administr 权限。 .
原来管理过三十多台 服务器 从多年积累的经验, 写出以下详细的 Windows2003 服务系统的平安方案 , 电信 局做网管。 应用以下方案, 平安运行了二年, 无黑客有成功入侵的记录, 也有黑客入侵胜利的案, 但最终还是没有拿到肉鸡的最高管理员身份 , 只是可以浏览跳转到服务器上所有客户的网站。
>> IIS6.0 装置
开始菜单 — > 控制面板 — > 添加或删除程序 — > 添加 / 删除 Windows 组件
应用顺序 ASP.NET 可选 )
启用 网络 COM+ 访问 ( 必选 )
Internet 信息服务 ( IIS Internet 信息服务管理器 ( 必选 )
公用文件 ( 必选 )
万维网服务 — Active Server page 必选 )
Internet 数据连接器 ( 可选 )
WebDAV 发布 ( 可选 )
万维网服务 ( 必选 )
服务器端的包括文件 ( 可选 )
把不需要的协议和服务都删掉, >> 网络连接 ” 里。 这里只安装了基本的 Internet 协议 ( TCP/IP 和 Microsoft 网络客户端。 高级 tcp/ip 设置里 --"NetBIOS" 设置 " 禁用 tcp/IP 上的 NetBIOS S "
基本达到一个 IPSec 功能 , >> 外地连接 ” 打开 Window 2003 自带的 防火墙 可以屏蔽端口。 只保留有用的端口 , 比如远程 ( 3389 和 Web 80 ,Ftp 21 , 邮件服务器 ( 25,110 ,http 443 ,SQL 1433
>> IIS Internet 信息服务器管理器 ) " 主目录 " 选项设置以下
读 允许
写 不允许
脚本源访问 不允许
目录浏览 建议关闭
记录访问 建议关闭
索引资源 建议关闭
执行权限 推荐选择 纯脚本 ”
每天记录客户 IP 地址, >> 建议使用 W3C 扩充日志文件格式。 用户名, 服务器端口, 方法, URI 字根, HTTP 状态, 用户代理, 而且每天均要审查日志。
建议更换一个记日志的路径, 最好不要使用缺省的目录。 同时设置日志的访问权限, 只允许管理员和 system 为 Full Control
>> IIS6.0 - 外地计算机 - 属性 - 允许直接编辑配置 数据库 IIS 中 属性 -> 主目录 -> 配置 -> 选项中。
>> 网站把 ” 启用父路径 “ 前面打上勾
>> IIS 中的 Web 服务扩展中选中 Active Server Page 点击 “ 允许 ”
>> 优化 IIS6 应用顺序池
1 取消 “ 空闲此段时间后关闭工作进程 ( 分钟 )
2 勾选 “ 回收工作进程 ( 请求数目 )
3 取消 “ 快速失败维护 ”
>> 解决 SERVER 2003 不能上传大附件的问题
服务 ” 里关闭 ii admin servic 服务。
找到 windows\system32\inetsrv\ 下的 metabase.xml 文件。
找到 ASPMaxRequestEntityAllow 把它修改为需要的值 ( 可修改为 20M 即: 20480000
然后重启 ii admin servic 服务。 存盘。
>> 解决 SERVER 2003 无法下载超越 4M 附件问题
服务 ” 里关闭 ii admin servic 服务。
找到 windows\system32\inetsrv\ 下的 metabase.xml 文件。
找到 AspBufferingLimit 把它修改为需要的值 ( 可修改为 20M 即: 20480000
然后重启 ii admin servic 服务。 存盘。
>> 超时问题
解决大附件上传容易超时失败的问题
操作方法是 IIS 站点或虚拟目录 ” 主目录 ” 下点击 “ 配置 ” 按钮, IIS 中调大一些脚本超时时间。
设置脚本超时时间为: 300 秒 注意:不是 Session 超时时间 )
按下发信按钮就会回到系统登录界面的问题 解决通过 WebMail 写信时间较长后。
适当增加会话时间 ( Session 为 60 分钟。 IIS 站点或虚拟目录属性的主目录 ” 下点击 “ 配置 --> 选项 ”
就可以进行设置了 Window 2003 默认为 20 分钟 )
>> 修改 3389 远程连接端口
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Termin Server\Wds\rdpwd\Tds\tcp]
"PortNumber"=dword:0000 端口号
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Termin Server\WinStations\RDP-Tcp]
"PortNumber"=dword:0000 端口号
添加 “ IUSR 完全拒绝 禁止显示端口号 设置这两个注册表的权限 .
>> 外地战略 ---> 用户权限分配
关闭系统:只有 Administr 组、其它全部删除。
其他全部删除 通过终端服务允许登陆:只加入 Administrators,Remot Desktop User 组。
通过终端服务拒绝登陆 加入 >> 平安设置里 外地战略 - 用户权利分配。
ASPNET
IUSR_
IWAM_
NETWORK SERVICE
注意不要添加进 user 组和 administr 组 添加进去以后就没有方法远程登陆了
>> 平安设置里 外地战略 - 平安选项
网络访问 : 可匿名访问的共享 ;
网络访问 : 可匿名访问的命名管道 ;
网络访问 : 可远程访问的注册表路径 ;
网络访问 : 可远程访问的注册表路径和子路径 ;
将以上四项全部删除
>> 不允许 SAM 账户的匿名枚举 更改为 " 已启用 "
>> 不允许 SAM 账户和共享的匿名枚举 更改为 " 已启用 " ;
>> 网络访问 : 不允许存储网络身份验证的凭据或 .NET Passport 更改为 " 已启用 " ;
更改为 " 已启用 " >> 网络访问 . 限制匿名访问命名管道和共享 .;
将以上四项通通设为 “ 已启用 ”
>> 计算机管理的外地用户和组
SQL 服务 ( SQLDebugg , 禁用终端服务 ( TsInternetUs . SUPPORT_388945a0
>> 禁用不必要的服务
sc config AeLookupSvc start= AUTO
sc config Alerter start= DISABLED
sc config ALG start= DISABLED
sc config AppMgmt start= DEMAND
sc config aspnet_st start= DEMAND
sc config AudioSrv start= DISABLED
sc config BITS start= DEMAND
sc config Browser start= DEMAND
sc config CiSvc start= DISABLED
sc config ClipSrv start= DISABLED
sc config clr_optimization_v2.0.50727_32 start= DEMAND
sc config COMSysApp start= DEMAND
sc config CryptSvc start= AUTO
sc config DcomLaunch start= AUTO
sc config Df start= DEMAND
sc config Dhcp start= AUTO
sc config dmadmin start= DEMAND
sc config dmserver start= AUTO
sc config Dnscach start= AUTO
sc config ERSvc start= DISABLED
sc config Eventlog start= AUTO
sc config EventSystem start= AUTO
sc config helpsvc start= DISABLED
sc config HidServ start= AUTO
sc config HTTPFilter start= DEMAND
sc config IISADMIN start= AUTO
sc config ImapiServic start= DISABLED
sc config IsmServ start= DISABLED
sc config kdc start= DISABLED
sc config lanmanworkst start= DISABLED
sc config LicenseServic start= DISABLED
sc config LmHost start= DISABLED
sc config Messeng start= DISABLED
sc config mnmsrvc start= DISABLED
sc config MSDTC start= AUTO
sc config MSIServer start= DEMAND
sc config MSSEARCH start= AUTO
sc config MSSQLSERVER start= AUTO
sc config MSSQLServerADHelp start= DEMAND
sc config NetDDE start= DISABLED
sc config NetDDEdsdm start= DISABLED
sc config Netlogon start= DEMAND
sc config Netman start= DEMAND
sc config Nla start= DEMAND
sc config NtFr start= DEMAND
sc config NtLmSsp start= DEMAND
sc config NtmsSvc start= DEMAND
sc config PlugPlai start= AUTO
sc config PolicyAg start= AUTO
sc config ProtectedStorag start= AUTO
sc config RasAuto start= DEMAND
sc config RasMan start= DEMAND
sc config RDSessMgr start= DEMAND
sc config RemoteAccess start= DISABLED
sc config RemoteRegistri start= DISABLED
sc config RpcLocat start= DEMAND
sc config RpcS start= AUTO
sc config RSoPProv start= DEMAND
sc config sacsvr start= DEMAND
sc config SamS start= AUTO
sc config SCardSvr start= DEMAND
sc config Schedul start= AUTO
sc config seclogon start= AUTO
sc config SENS start= AUTO
sc config SharedAccess start= DISABLED
sc config ShellHWDetect start= AUTO
sc config SMTPSVC start= AUTO
sc config Spooler start= DISABLED
sc config SQLSERVERAGENT start= AUTO
sc config stisvc start= DISABLED
sc config swprv start= DEMAND
sc config SysmonLog start= AUTO
sc config TapiSrv start= DEMAND
sc config TermServic start= AUTO
sc config Theme start= DISABLED
sc config TlntSvr start= DISABLED
sc config TrkSvr start= DISABLED
sc config TrkWk start= AUTO
sc config Tssdi start= DISABLED
sc config UMWdf start= DEMAND
sc config UPS start= DEMAND
sc config vd start= DEMAND
sc config VSS start= DEMAND
sc config W32Time start= AUTO
sc config W3SVC start= AUTO
sc config WebClient start= DISABLED
sc config WinHttpAutoProxySvc start= DEMAND
sc config winmgmt start= AUTO
sc config WmdmPmSN start= DEMAND
sc config Wmi start= DEMAND
sc config WmiApSrv start= DEMAND
sc config wuauserv start= DISABLED
sc config WZCSVC start= DISABLED
sc config xmlprov start= DEMAND
>> 删除默认共享
@echo off
::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::
::
然后再逐个删除以分区名命名的共享 :: 先列举存在分区。 ;
:: 通过修改注册表防止 admin$ 共享在下次开机时重新加载 ;
:: IPC$ 共享需要 administritor 权限才干胜利删除
::
::
::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::
titl 默认共享删除器
color 1f
echo.
echo ------------------------------------------------------
echo.
echo 开始删除每个分区下的默认共享 .
echo.
for %%a in C D E F G H I J K L M N O P Q R S T U V W X Y Z do @
if exist %%a:\nul
net share %%a$Content$nbsp;/delete>nul 2>nul && echo 胜利删除名为 %%a$Content$nbsp; 默认共享 echo 名为 %%a$Content$nbsp; 默认共享不存在
net share admin$Content$nbsp;/delete>nul 2>nul && echo 胜利删除名为 admin$Content$nbsp; 默认共享 echo 名为 admin$Content$nbsp; 默认共享不存在
echo.
echo ------------------------------------------------------
echo.
net stop Server /y>nul 2>nul && echo Server 服务已停止 .
net start Server>nul 2>nul && echo Server 服务已启动 .
echo.
echo ------------------------------------------------------
echo.
echo 修改注册表以更改系统默认设置 .
echo.
echo 正在创建注册表文件 .
echo Window Registri Editor Version 5.00> c:\delshare.reg
以防重启后再次加载 :: 通过注册表禁止 Admin$ 共享。
echo [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters]>> c:\delshare.reg
echo "AutoShareWks"=dword:00000000>> c:\delshare.reg
echo "AutoShareServer"=dword:00000000>> c:\delshare.reg
本功能需要 administritor 权限才干胜利删除 :: 删除 IPC$ 共享。
echo [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa]>> c:\delshare.reg
echo "restrictanonymous"=dword:00000001>> c:\delshare.reg
echo 正在导入注册表文件以更改系统默认设置 .
regedit /s c:\delshare.reg
del c:\delshare.reg && echo 临时文件已经删除 .
echo.
echo ------------------------------------------------------
echo.
echo 顺序已经胜利删除所有的默认共享 .
echo.
echo 按任意键退出 ...
pause>nul
>> 打开 C:\Window 目录 搜索以下 DOS 命令文件
NET1.EXE, NET.EXE.CMD.EXE,FTP.EXE,ATPIB.EXE,CACLS.EXE,AT.EXE,FORMAT.COM,TELNET.EXE,COMMAND.COM,NETSTAT.EXE,REGEDIT.EXE,ARP.EXE,NBTSTAT.EXE
把以上命令文件通通只给 Administr 和 SYSTEM 为完全控制权限
>> 卸载删除具有 CMD 命令功能的危险组件
WSHOM.OCX 对应于 WScript.Shel 组件
HKEY_CLASSES_ROOT\WScript.Shell\
及
HKEY_CLASSES_ROOT\WScript.Shell.1\
添加 IUSR 用户完全拒绝权限
Shell32.dll 对应于 Shell.Applic 组件
HKEY_CLASSES_ROOT\Shell.Application\
及
HKEY_CLASSES_ROOT\Shell.Application.1\
添加 IUSR 用户完全拒绝权限
regsvr32/u C:\Windows\System32\wshom.ocx
regsvr32/u C:\Windows\System32\shell32.dll
WSHOM.OCXx 和 Shell32.dl 这两个文件只给 Administr 完全权限
>>> SQL 权限设置
只给 PUBLIC 和 DB_OWNER 权限, SA 帐号基本是不使用的因为 SA 实在太危险了 1 一个数据库 , 一个帐号和密码 , 比如建立了一个数据库。 .
任何情况下都不要用 sa 这个帐户 2 更改 sa 密码为你都不知道的超长密码 ..
请重试 ]" 问题 3 Web 登录时经常出现 "[ 超时。
一定要启用 “ 服务器网络实用工具 ” 中的多协议 ” 项。 如果装置了 SQL Server 时。
4 将有安全问题的 SQL 扩展存储过程删除 . 将以下代码全部复制到 "SQL 查询分析器 "
us master
EXEC sp_dropextendedproc xp_cmdshell
EXEC sp_dropextendedproc Sp_OACreat
EXEC sp_dropextendedproc Sp_OADestroi
EXEC sp_dropextendedproc Sp_OAGetErrorInfo
EXEC sp_dropextendedproc Sp_OAGetProperti
EXEC sp_dropextendedproc Sp_OAMethod
EXEC sp_dropextendedproc Sp_OASetProperti
EXEC sp_dropextendedproc Sp_OAStop
EXEC sp_dropextendedproc Xp_regaddmultistr
EXEC sp_dropextendedproc Xp_regdeletekei
EXEC sp_dropextendedproc Xp_regdeletevalu
EXEC sp_dropextendedproc Xp_regenumvalu
EXEC sp_dropextendedproc Xp_regread
EXEC sp_dropextendedproc Xp_regremovemultistr
EXEC sp_dropextendedproc Xp_regwrit
drop procedur sp_makewebtask
恢复的命令是
@dllname = 存储过程的 dll EXEC sp_addextendedproc 存储过程的名称 .
例如:恢复存储过程 xp_cmdshell
@dllnam = xplog70.dll EXEC sp_addextendedproc xp_cmdshell.
恢复时如果 xplog70.dll 已删除需要 copi 一个。 注意。
>> WEB 目录权限设置
所有的用户, Everyone: 顾名思义。 这个计算机上的所有用户都属于这个组。
……