鑒于現(xiàn)在webshell得泛濫��,網(wǎng)上沒有比較完整得2003安全設(shè)置����,故整理出不足之處請大家多侃侃
系統(tǒng)安裝windows2003advserver版本,mcafree 8.0 企業(yè)版病毒防火墻,serv-u6.0,mdaemon
系統(tǒng)得分區(qū):至少3個區(qū),c,d,e 推薦建立三個邏輯驅(qū)動器���,第一個用來裝系統(tǒng)和重要的日志文件����;第二個放IIS;第三個放FTP�,這樣無論IIS或FTP出了安全漏洞都不會直接影響到系統(tǒng)目錄和系統(tǒng)文件
系統(tǒng)管理:Terminal Service(修改端口)互補(bǔ),如PcAnyWher,remoadmin
安裝順序的選擇
安裝系統(tǒng)前拔掉網(wǎng)線�,先安裝好后打補(bǔ)丁sp1,在設(shè)置本地安全策略IPSec�����,安全日志��,密碼策略等等
1. 安全日志設(shè)置
推薦的審核是:
賬戶管理 成功 失敗
登錄事件 成功 失敗
對象訪問 失敗
策略更改 成功 失敗
特權(quán)使用 失敗
系統(tǒng)事件 成功 失敗
目錄服務(wù)訪問 失敗
賬戶登錄事件 成功 失敗
2. 管理工具-服務(wù)設(shè)置
用stimulant.exe工具調(diào)整為高級模式保持確定退出
?3.目錄和文件權(quán)限:
為了控制好服務(wù)器上用戶的權(quán)限����,同時也為了預(yù)防以后可能的入侵和溢出,我們還必須非常小心地設(shè)置目錄和文件的訪問權(quán)限��,NT的訪問權(quán)限分為:讀取��、寫入��、讀取及執(zhí)行���、修改��、列目錄��、完全控制�����。在默認(rèn)的情況下�,大多數(shù)的文件夾對所有用戶(Everyone這個組)是完全敞開的(Full Control)�,你需要根據(jù)應(yīng)用的需要進(jìn)行權(quán)限重設(shè)。
在進(jìn)行權(quán)限控制時��,請記住以下幾個原則:
1>限是累計的:如果一個用戶同時屬于兩個組�,那么他就有了這兩個組所允許的所有權(quán)限;
2>拒絕的權(quán)限要比允許的權(quán)限高(拒絕策略會先執(zhí)行)如果一個用戶屬于一個被拒絕訪問某個資源的組��,那么不管其他的權(quán)限設(shè)置給他開放了多少權(quán)限�,他也一定不能訪問這個資源。所以請非常小心地使用拒絕�����,任何一個不當(dāng)?shù)木芙^都有可能造成系統(tǒng)無法正常運(yùn)行���;
3>文件權(quán)限比文件夾權(quán)限高(這個不用解釋了吧����?)
4>利用用戶組來進(jìn)行權(quán)限控制是一個成熟的系統(tǒng)管理員必須具有的優(yōu)良習(xí)慣之一;
5>僅給用戶真正需要的權(quán)限��,權(quán)限的最小化原則是安全的重要保障�����;
取消C
個人總結(jié)如下:
0: C:/Documents and Settings 禁止guests組
1: C:/Documents and Settings/All Users/Application Data/ 禁止guests組 2.C:/windows/system32/config/ 禁止guests組 3.C:/Documents and Settings/All Users/「開始」菜單/程序/ 禁止guests組
4.c:/windowns/system32/inetsrv/data/ 禁止guests組 5.c:/php, 禁止guests組,c:/prel 禁止guests組
6.C:/Program Files/Java Web Start/ 禁止guests組
7.c:/Documents and Settings/All Users/「開始」菜單/程序/啟動 禁止guests組 8.C:/Program Files/Serv-U 禁止guests組(建議安裝得時候更改目錄) |
4.IIS設(shè)置ASP防御(重點(diǎn))
web 服務(wù)擴(kuò)展:保留acitve server pages��,其他都禁止
網(wǎng)站屬性:去掉擴(kuò)展名中不用得��,僅保留asp,asa,等常用
shell.application"對象" WSCRIPT.SHELL等
基于shell.application組件
cacls %systemroot%/system32/shell32.dll /e /d guests //禁止guests,僅保留administrator
基于WSCRIPT.SHELL組件,基于WSCRIPT.NETWORK組件
cacls %systemroot%/system32/wshom.ocx /e /d guests //禁止guests,僅保留administrator
具體組件查看注冊表中對應(yīng)得dll文件�,限制他得權(quán)限就可以
cscript.exe
regedt32.exe
regedit.exe
.....
很多都要設(shè)置
歡迎探討(QQ:3003303)
//僅保留administrator
9.SERV-U本地提升權(quán)限
修改管理賬號是LocalAdministrator,默認(rèn)密碼
10. mcafree 8.0 企業(yè)版病毒防火墻設(shè)置
如圖設(shè)置
文件,共享資源規(guī)則中-設(shè)置選中所有����,增加對c,d,e,f盤*.exe文件得新創(chuàng)建增加對c:/windows/temp目錄得控制,增加對c:/Documents and Settings 目錄得控制
關(guān)鍵詞標(biāo)簽:windows2003
如何修改服務(wù)器3389端口
Win11系統(tǒng)怎么設(shè)置中文-Win11更改成中文的方法教程
Win11怎么設(shè)置同步時間-Win11手動同步時間操作方法
Win11怎么在開始菜單添加快捷方式-開始菜單添加快捷方式操作方法