您當(dāng)前所在位置:
首頁 →
服務(wù)器 →
WEB服務(wù)器 →
Windows 2003 防木馬、硬盤安全設(shè)置功略
Windows 2003 防木馬�、硬盤安全設(shè)置功略
時間:2015-06-28 00:00:00
來源:IT貓撲網(wǎng)
作者:網(wǎng)管聯(lián)盟
我要評論(0)
1.先以C盤為例,右擊C盤�,點(diǎn)擊"安全",將Everyone��、Users組刪除���,設(shè)置administrators、system完全控制��;iis_wpg只有該文件夾(列出文件夾/讀數(shù)據(jù)/讀屬性/讀擴(kuò)展屬性/讀取權(quán)限)
2.
c:\inetpub\mailroot?administrators?完全��;system?完全��;service?完全
c:\inetpub\ftproot?everyone?只讀和運(yùn)行
如果裝了軟件:
c:\Program?Files\soft?Everyone?讀取和運(yùn)行,列出文件夾目錄�,讀取?administrators?完全?具體要看軟件的性質(zhì)
3.讓asp順利運(yùn)行
C:\Program?Files\Common?Files?everyone默認(rèn)權(quán)限
C:\WINNT\Temp?everyone?讀寫
C:\WINDOWS\system32?everyone默認(rèn)權(quán)限
其他盤,也只留administrators�、system?兩個用戶即可,如果安裝有軟件���,具體設(shè)置見附錄硬盤權(quán)限設(shè)置
4.防止asp木馬
首先����,設(shè)置system32下程序:net.exe,cmd.exe,ftp.exe,tftp.exe,telnet.exe�,只允許administrator訪問
然后,給每個虛擬站點(diǎn)單獨(dú)設(shè)一個用戶���,分給每個用戶文件夾相應(yīng)用戶名完全控制的權(quán)限(防止FSO)���,具體設(shè)置見附錄?或參看?http://www.im286.com/viewthread.php?tid=974099&extra=page%3D1?落伍論壇有相關(guān)貼
如果服務(wù)器不需要?Wscript.Shell,stream對象?支持的話可以將其卸載
regsvr32?WSHom.Ocx?/u
regsvr32?/s?/u?"C:\Program?Files\Common?Files\System\ado\msado15.dll"?注:此項不能輕易去掉,否則數(shù)據(jù)庫連接是可能出現(xiàn)?錯誤’ASP?0177?:?800401f3’?server.createobject
上文主要是簡單的走一下過程���,如有什么不明白的地方可以參考附錄
附錄(參考文獻(xiàn)):
注:全來自網(wǎng)上����,版權(quán)歸原撰寫人
Win?2003?硬盤安全設(shè)置(針對ASP類網(wǎng)站)
C:分區(qū)部分:
c:\
administrators?全部
iis_wpg?只有該文件夾
列出文件夾/讀數(shù)據(jù)
讀屬性
讀擴(kuò)展屬性
讀取權(quán)限
c:\inetpub\mailroot
administrators?全部
system?全部
service?全部
c:\inetpub\ftproot
everyone?只讀和運(yùn)行
c:\windows
administrators?全部
Creator?owner
不是繼承的
只有子文件夾及文件
完全
Power?Users
修改�,讀取和運(yùn)行����,列出文件夾目錄�����,讀取�,寫入
system?全部
Users?讀取和運(yùn)行,列出文件夾目錄��,讀取
c:\Program?Files
Everyone?只有該文件夾
不是繼承的
列出文件夾/讀數(shù)據(jù)
administrators?全部
iis_wpg?只有該文件夾
列出文件/讀數(shù)據(jù)
讀屬性
讀擴(kuò)展屬性
讀取權(quán)限
c:\Program?Files\Common?Files
administrators?全部
Creator?owner
不是繼承的
只有子文件夾及文件
完全
Power?Users
修改����,讀取和運(yùn)行,列出文件夾目錄���,讀取�,寫入
system?全部
TERMINAL?SERVER?Users(如果有這個用戶)
修改���,讀取和運(yùn)行,列出文件夾目錄�����,讀取,寫入
Users?讀取和運(yùn)行�����,列出文件夾目錄��,讀取
如果安裝了我們的軟件:
c:\Program?Files\LIWEIWENSOFT
Everyone?讀取和運(yùn)行��,列出文件夾目錄��,讀取
administrators?全部
IIS_WPG?讀取和運(yùn)行��,列出文件夾目錄�����,讀取
c:\Program?Files\Dimac(如果有這個目錄)
Everyone?讀取和運(yùn)行����,列出文件夾目錄,讀取
administrators?全部
c:\Program?Files\ComPlus?Applications?(如果有)
administrators?全部
c:\Program?Files\GflSDK?(如果有)
administrators?全部
Creator?owner
不是繼承的
只有子文件夾及文件
完全
Power?Users
修改�����,讀取和運(yùn)行,列出文件夾目錄�����,讀取�,寫入
system?全部
TERMINAL?SERVER?Users
修改,讀取和運(yùn)行���,列出文件夾目錄�����,讀取��,寫入
Users?讀取和運(yùn)行�����,列出文件夾目錄��,讀取
Everyone?讀取和運(yùn)行���,列出文件夾目錄,讀取
c:\Program?Files\InstallShield?Installation?Information?(如果有)
c:\Program?Files\Internet?Explorer?(如果有)
c:\Program?Files\NetMeeting?(如果有)
administrators?全部
c:\Program?Files\WindowsUpdate
Creator?owner
不是繼承的
只有子文件夾及文件
完全
administrators?全部
Power?Users
修改��,讀取和運(yùn)行��,列出文件夾目錄�����,讀取����,寫入
system?全部
D:分區(qū)部分:
d:\?(如果用戶網(wǎng)站內(nèi)容放置在這個分區(qū)中)
administrators?全部權(quán)限
d:\FreeHost?(如果此目錄用來放置用戶網(wǎng)站內(nèi)容)
administrators?全部權(quán)限
SERVICE?全部權(quán)限
E:分區(qū)部分:
從安全角度,我們建議WebEasyMail(WinWebMail)安裝在獨(dú)立的盤中���,例如E:
E:\(如果webeasymail安裝在這個盤中)
administrators?全部權(quán)限
system?全部權(quán)限
IUSR_*����,默認(rèn)的Internet來賓帳戶(如果這個網(wǎng)站用這個用戶來運(yùn)行)
不是繼承的
只有子文件夾
讀取權(quán)限
E:\WebEasyMail?(如果webeasymail安裝在這個目錄中)
administrators?全部
system?全部權(quán)限
SERVICE?全部
IUSR_*�����,默認(rèn)的Internet來賓帳戶?全部權(quán)限(如果這個網(wǎng)站用這個用戶來運(yùn)行)
關(guān)于IUSR_*����,我們不建議用這個用戶來運(yùn)行Webeasymail,應(yīng)該用平臺開一個虛擬主機(jī)來運(yùn)行Webeasymail�����。
----------------不知道2000是不是一樣設(shè)置.
Win?2003中提高FSO的安全性
ASP提供了強(qiáng)大的文件系統(tǒng)訪問能力,可以對服務(wù)器硬盤上的任何文件進(jìn)行讀�����、寫���、復(fù)制�、刪除�����、改名等操作����,這給學(xué)校網(wǎng)站的安全帶來巨大的威脅。現(xiàn)在很多校園主機(jī)都遭受過FSO木馬的侵?jǐn)_���。但是禁用FSO組件后���,引起的后果就是所有利用這個組件的ASP程序?qū)o法運(yùn)行,無法滿足客戶的需求���。如何既允許FileSystemObject組件����,又不影響服務(wù)器的安全性呢(即:不同虛擬主機(jī)用戶之間不能使用該組件讀寫別人的文件)���?以下是筆者多年來摸索出來的經(jīng)驗:?
第一步是有別于Windows?2000設(shè)置的關(guān)鍵:右擊C盤�����,點(diǎn)擊"共享與安全"�,在出現(xiàn)在對話框中選擇"安全"選項卡�,將Everyone、Users組刪除���,刪除后如果你的網(wǎng)站連ASP程序都不能運(yùn)行����,請?zhí)砑覫IS_WPG組(圖1)����,并重啟計算機(jī)。
經(jīng)過這樣設(shè)計后���,F(xiàn)SO木馬就已經(jīng)不能運(yùn)行了�。如果你要進(jìn)行更安全級別的設(shè)置,請分別對各個磁盤分區(qū)進(jìn)行如上設(shè)置���,并為各個站點(diǎn)設(shè)置不同匿名訪問用戶��。下面以實例來介紹(假設(shè)你的主機(jī)上E盤Abc文件夾下設(shè)Abc.com站點(diǎn)):?
1.?打開"計算機(jī)管理→本地用戶和組→用戶"�����,創(chuàng)建Abc用戶���,并設(shè)置密碼,并將"用戶下次登錄時須更改密碼"前的對號去掉���,選中"用戶不能更改密碼"和"密碼永不過期"����,并把用戶設(shè)置為隸屬于Guests組��。?
2.?右擊E:\Abc���,選擇"屬性→安全"選項卡�����,此時可以看到該文件夾的默認(rèn)安全設(shè)置是"Everyone"完全控制(視不同情況顯示的內(nèi)容不完全一樣)���,刪除Everyone的完全控制(如果不能刪除��,請點(diǎn)擊[高級]按鈕���,將"允許父項的繼承權(quán)限傳播"前面的對號去掉�,并刪除所有),添加Administrators及Abc用戶對本網(wǎng)站目錄的所有安全權(quán)限�。?
3.?打開IIS管理器,右擊Abc.com主機(jī)名���,在彈出的菜單中選擇"屬性→目錄安全性"選項卡��,點(diǎn)擊身份驗證和訪問控制的[編輯]��,彈出圖2所示對話框����,匿名訪問用戶默認(rèn)的就是"IUSR_機(jī)器名"��,點(diǎn)擊[瀏覽],在"選擇用戶"對話框中找到前面創(chuàng)建的Abc賬戶���,確定后重復(fù)輸入密碼���。?
經(jīng)過這樣設(shè)置,訪問網(wǎng)站的用戶就以Abc賬戶匿名身份訪問E:\Abc文件夾的站點(diǎn)���,因為Abc賬戶只對此文件夾有安全權(quán)限��,所以他只能在本文件夾下使用FSO��。
常見問題:?
如何解除FSO上傳程序小于200k限制���??
先在服務(wù)里關(guān)閉IIS?admin?service服務(wù),找到Windows\System32\Inesrv目錄下的Metabase.xml并打開�,找到ASPMaxRequestEntityAllowed,將其修改為需要的值��。默認(rèn)為204800��,即200K��,把它修改為51200000(50M)����,然后重啟IIS?admin?service服務(wù)�����。
關(guān)鍵詞標(biāo)簽:設(shè)置,安全,硬盤,木馬,
相關(guān)閱讀
熱門文章
ISAPI Rewrite實現(xiàn)IIS圖片防盜鏈
IIS6.0下配置MySQL+PHP5+Zend+phpMyAdmin
在Windows服務(wù)器上快速架設(shè)視頻編解碼器全攻略
win2000server IIS和tomcat5多站點(diǎn)配置
人氣排行
XAMPP配置出現(xiàn)403錯誤“Access forbidden!”的解決辦法
WIN2003 IIS6.0+PHP+ASP+MYSQL優(yōu)化配置
訪問網(wǎng)站403錯誤 Forbidden解決方法
如何從最大用戶并發(fā)數(shù)推算出系統(tǒng)最大用戶數(shù)
Server Application Unavailable的解決辦法
報錯“HTTP/1.1 400 Bad Request”的處理方法
Windows Server 2003的Web接口
http 500內(nèi)部服務(wù)器錯誤的解決辦法(windows xp + IIS5.0)
