二級目錄給 Administr 完全控制權(quán)限和 Everyon 除了完全控制， 更改， 取得， 其它全部打勾的權(quán)限和 IUSR 只有該文件夾的完全拒絕權(quán)限， 三級目錄是每個客戶的虛擬主機網(wǎng)站， 給 Administr 完全控制權(quán)限和 Everyon 除了完全控制， 更改， 取得， 其它全部打勾的權(quán)限即可 最好在 C 盤以外 ( 如 D,E,F..... 根目錄建立到三級目錄 , 一級目錄只給 Administr 權(quán)限。 .

原來管理過三十多臺 服務器 從多年積累的經(jīng)驗， 寫出以下詳細的 Windows2003 服務系統(tǒng)的平安方案 , 電信 局做網(wǎng)管。 應用以下方案， 平安運行了二年， 無黑客有成功入侵的記錄， 也有黑客入侵勝利的案， 但最終還是沒有拿到肉雞的最高管理員身份 , 只是可以瀏覽跳轉(zhuǎn)到服務器上所有客戶的網(wǎng)站。

服務器平安設置

>> IIS6.0 裝置

開始菜單 — > 控制面板 — > 添加或刪除程序 — > 添加 / 刪除 Windows 組件

應用順序 ASP.NET 可選 )

啟用 網(wǎng)絡 COM+ 訪問 ( 必選 )

Internet 信息服務 ( IIS Internet 信息服務管理器 ( 必選 )

公用文件 ( 必選 )

萬維網(wǎng)服務 — Active Server page 必選 )

Internet 數(shù)據(jù)連接器 ( 可選 )

WebDAV 發(fā)布 ( 可選 )

萬維網(wǎng)服務 ( 必選 )

服務器端的包括文件 ( 可選 )

把不需要的協(xié)議和服務都刪掉， >> 網(wǎng)絡連接 ” 里。 這里只安裝了基本的 Internet 協(xié)議 ( TCP/IP 和 Microsoft 網(wǎng)絡客戶端。 高級 tcp/ip 設置里 --"NetBIOS" 設置 " 禁用 tcp/IP 上的 NetBIOS S "

基本達到一個 IPSec 功能 , >> 外地連接 ” 打開 Window 2003 自帶的 防火墻 可以屏蔽端口。 只保留有用的端口 , 比如遠程 ( 3389 和 Web 80 ,Ftp 21 , 郵件服務器 ( 25,110 ,http 443 ,SQL 1433

>> IIS Internet 信息服務器管理器 ) " 主目錄 " 選項設置以下

讀 允許

寫 不允許

腳本源訪問 不允許

目錄瀏覽 建議關閉

記錄訪問 建議關閉

索引資源 建議關閉

執(zhí)行權(quán)限 推薦選擇 純腳本 ”

每天記錄客戶 IP 地址， >> 建議使用 W3C 擴充日志文件格式。 用戶名， 服務器端口， 方法， URI 字根， HTTP 狀態(tài)， 用戶代理， 而且每天均要審查日志。

建議更換一個記日志的路徑， 最好不要使用缺省的目錄。 同時設置日志的訪問權(quán)限， 只允許管理員和 system 為 Full Control

>> IIS6.0 - 外地計算機 - 屬性 - 允許直接編輯配置 數(shù)據(jù)庫 IIS 中 屬性 -> 主目錄 -> 配置 -> 選項中。

>> 網(wǎng)站把 ” 啟用父路徑 “ 前面打上勾

>> IIS 中的 Web 服務擴展中選中 Active Server Page 點擊 “ 允許 ”

>> 優(yōu)化 IIS6 應用順序池

1 取消 “ 空閑此段時間后關閉工作進程 ( 分鐘 )

2 勾選 “ 回收工作進程 ( 請求數(shù)目 )

3 取消 “ 快速失敗維護 ”

>> 解決 SERVER 2003 不能上傳大附件的問題

服務 ” 里關閉 ii admin servic 服務。

找到 windows\system32\inetsrv\ 下的 metabase.xml 文件。

找到 ASPMaxRequestEntityAllow 把它修改為需要的值 ( 可修改為 20M 即： 20480000

然后重啟 ii admin servic 服務。 存盤。

>> 解決 SERVER 2003 無法下載超越 4M 附件問題

服務 ” 里關閉 ii admin servic 服務。

找到 windows\system32\inetsrv\ 下的 metabase.xml 文件。

找到 AspBufferingLimit 把它修改為需要的值 ( 可修改為 20M 即： 20480000

然后重啟 ii admin servic 服務。 存盤。

>> 超時問題

解決大附件上傳容易超時失敗的問題

操作方法是 IIS 站點或虛擬目錄 ” 主目錄 ” 下點擊 “ 配置 ” 按鈕， IIS 中調(diào)大一些腳本超時時間。

設置腳本超時時間為： 300 秒 注意：不是 Session 超時時間 )

按下發(fā)信按鈕就會回到系統(tǒng)登錄界面的問題 解決通過 WebMail 寫信時間較長后。

適當增加會話時間 ( Session 為 60 分鐘。 IIS 站點或虛擬目錄屬性的主目錄 ” 下點擊 “ 配置 --> 選項 ”

就可以進行設置了 Window 2003 默認為 20 分鐘 )

>> 修改 3389 遠程連接端口

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Termin Server\Wds\rdpwd\Tds\tcp]

"PortNumber"=dword:0000 端口號

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Termin Server\WinStations\RDP-Tcp]

"PortNumber"=dword:0000 端口號

添加 “ IUSR 完全拒絕 禁止顯示端口號 設置這兩個注冊表的權(quán)限 .

>> 外地戰(zhàn)略 ---> 用戶權(quán)限分配

關閉系統(tǒng)：只有 Administr 組、其它全部刪除。

其他全部刪除 通過終端服務允許登陸：只加入 Administrators,Remot Desktop User 組。

通過終端服務拒絕登陸 加入 >> 平安設置里 外地戰(zhàn)略 - 用戶權(quán)利分配。

ASPNET

IUSR_

IWAM_

NETWORK SERVICE

注意不要添加進 user 組和 administr 組 添加進去以后就沒有方法遠程登陸了

>> 平安設置里 外地戰(zhàn)略 - 平安選項

網(wǎng)絡訪問 : 可匿名訪問的共享 ;

網(wǎng)絡訪問 : 可匿名訪問的命名管道 ;

網(wǎng)絡訪問 : 可遠程訪問的注冊表路徑 ;

網(wǎng)絡訪問 : 可遠程訪問的注冊表路徑和子路徑 ;

將以上四項全部刪除

>> 不允許 SAM 賬戶的匿名枚舉 更改為 " 已啟用 "

>> 不允許 SAM 賬戶和共享的匿名枚舉 更改為 " 已啟用 " ;

>> 網(wǎng)絡訪問 : 不允許存儲網(wǎng)絡身份驗證的憑據(jù)或 .NET Passport 更改為 " 已啟用 " ;

更改為 " 已啟用 " >> 網(wǎng)絡訪問 . 限制匿名訪問命名管道和共享 .;

將以上四項通通設為 “ 已啟用 ”

>> 計算機管理的外地用戶和組

SQL 服務 ( SQLDebugg , 禁用終端服務 ( TsInternetUs . SUPPORT_388945a0

>> 禁用不必要的服務

sc config AeLookupSvc start= AUTO

sc config Alerter start= DISABLED

sc config ALG start= DISABLED

sc config AppMgmt start= DEMAND

sc config aspnet_st start= DEMAND

sc config AudioSrv start= DISABLED

sc config BITS start= DEMAND

sc config Browser start= DEMAND

sc config CiSvc start= DISABLED

sc config ClipSrv start= DISABLED

sc config clr_optimization_v2.0.50727_32 start= DEMAND

sc config COMSysApp start= DEMAND

sc config CryptSvc start= AUTO

sc config DcomLaunch start= AUTO

sc config Df start= DEMAND

sc config Dhcp start= AUTO

sc config dmadmin start= DEMAND

sc config dmserver start= AUTO

sc config Dnscach start= AUTO

sc config ERSvc start= DISABLED

sc config Eventlog start= AUTO

sc config EventSystem start= AUTO

sc config helpsvc start= DISABLED

sc config HidServ start= AUTO

sc config HTTPFilter start= DEMAND

sc config IISADMIN start= AUTO

sc config ImapiServic start= DISABLED

sc config IsmServ start= DISABLED

sc config kdc start= DISABLED

sc config lanmanworkst start= DISABLED

sc config LicenseServic start= DISABLED

sc config LmHost start= DISABLED

sc config Messeng start= DISABLED

sc config mnmsrvc start= DISABLED

sc config MSDTC start= AUTO

sc config MSIServer start= DEMAND

sc config MSSEARCH start= AUTO

sc config MSSQLSERVER start= AUTO

sc config MSSQLServerADHelp start= DEMAND

sc config NetDDE start= DISABLED

sc config NetDDEdsdm start= DISABLED

sc config Netlogon start= DEMAND

sc config Netman start= DEMAND

sc config Nla start= DEMAND

sc config NtFr start= DEMAND

sc config NtLmSsp start= DEMAND

sc config NtmsSvc start= DEMAND

sc config PlugPlai start= AUTO

sc config PolicyAg start= AUTO

sc config ProtectedStorag start= AUTO

sc config RasAuto start= DEMAND

sc config RasMan start= DEMAND

sc config RDSessMgr start= DEMAND

sc config RemoteAccess start= DISABLED

sc config RemoteRegistri start= DISABLED

sc config RpcLocat start= DEMAND

sc config RpcS start= AUTO

sc config RSoPProv start= DEMAND

sc config sacsvr start= DEMAND

sc config SamS start= AUTO

sc config SCardSvr start= DEMAND

sc config Schedul start= AUTO

sc config seclogon start= AUTO

sc config SENS start= AUTO

sc config SharedAccess start= DISABLED

sc config ShellHWDetect start= AUTO

sc config SMTPSVC start= AUTO

sc config Spooler start= DISABLED

sc config SQLSERVERAGENT start= AUTO

sc config stisvc start= DISABLED

sc config swprv start= DEMAND

sc config SysmonLog start= AUTO

sc config TapiSrv start= DEMAND

sc config TermServic start= AUTO

sc config Theme start= DISABLED

sc config TlntSvr start= DISABLED

sc config TrkSvr start= DISABLED

sc config TrkWk start= AUTO

sc config Tssdi start= DISABLED

sc config UMWdf start= DEMAND

sc config UPS start= DEMAND

sc config vd start= DEMAND

sc config VSS start= DEMAND

sc config W32Time start= AUTO

sc config W3SVC start= AUTO

sc config WebClient start= DISABLED

sc config WinHttpAutoProxySvc start= DEMAND

sc config winmgmt start= AUTO

sc config WmdmPmSN start= DEMAND

sc config Wmi start= DEMAND

sc config WmiApSrv start= DEMAND

sc config wuauserv start= DISABLED

sc config WZCSVC start= DISABLED

sc config xmlprov start= DEMAND

>> 刪除默認共享

@echo off

::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::

::

然后再逐個刪除以分區(qū)名命名的共享 :: 先列舉存在分區(qū)。 ;

:: 通過修改注冊表防止 admin$ 共享在下次開機時重新加載 ;

:: IPC$ 共享需要 administritor 權(quán)限才干勝利刪除

::

::

::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::

titl 默認共享刪除器

color 1f

echo.

echo ------------------------------------------------------

echo.

echo 開始刪除每個分區(qū)下的默認共享 .

echo.

for %%a in C D E F G H I J K L M N O P Q R S T U V W X Y Z do @

if exist %%a:\nul

net share %%a$Content$nbsp;/delete>nul 2>nul && echo 勝利刪除名為 %%a$Content$nbsp; 默認共享 echo 名為 %%a$Content$nbsp; 默認共享不存在

net share admin$Content$nbsp;/delete>nul 2>nul && echo 勝利刪除名為 admin$Content$nbsp; 默認共享 echo 名為 admin$Content$nbsp; 默認共享不存在

echo.

echo ------------------------------------------------------

echo.

net stop Server /y>nul 2>nul && echo Server 服務已停止 .

net start Server>nul 2>nul && echo Server 服務已啟動 .

echo.

echo ------------------------------------------------------

echo.

echo 修改注冊表以更改系統(tǒng)默認設置 .

echo.

echo 正在創(chuàng)建注冊表文件 .

echo Window Registri Editor Version 5.00> c:\delshare.reg

以防重啟后再次加載 :: 通過注冊表禁止 Admin$ 共享。

echo [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters]>> c:\delshare.reg

echo "AutoShareWks"=dword:00000000>> c:\delshare.reg

echo "AutoShareServer"=dword:00000000>> c:\delshare.reg

本功能需要 administritor 權(quán)限才干勝利刪除 :: 刪除 IPC$ 共享。

echo [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa]>> c:\delshare.reg

echo "restrictanonymous"=dword:00000001>> c:\delshare.reg

echo 正在導入注冊表文件以更改系統(tǒng)默認設置 .

regedit /s c:\delshare.reg

del c:\delshare.reg && echo 臨時文件已經(jīng)刪除 .

echo.

echo ------------------------------------------------------

echo.

echo 順序已經(jīng)勝利刪除所有的默認共享 .

echo.

echo 按任意鍵退出 ...

pause>nul

>> 打開 C:\Window 目錄 搜索以下 DOS 命令文件

NET1.EXE, NET.EXE.CMD.EXE,FTP.EXE,ATPIB.EXE,CACLS.EXE,AT.EXE,FORMAT.COM,TELNET.EXE,COMMAND.COM,NETSTAT.EXE,REGEDIT.EXE,ARP.EXE,NBTSTAT.EXE

把以上命令文件通通只給 Administr 和 SYSTEM 為完全控制權(quán)限

>> 卸載刪除具有 CMD 命令功能的危險組件

WSHOM.OCX 對應于 WScript.Shel 組件

HKEY_CLASSES_ROOT\WScript.Shell\

及

HKEY_CLASSES_ROOT\WScript.Shell.1\

添加 IUSR 用戶完全拒絕權(quán)限

Shell32.dll 對應于 Shell.Applic 組件

HKEY_CLASSES_ROOT\Shell.Application\

及

HKEY_CLASSES_ROOT\Shell.Application.1\

添加 IUSR 用戶完全拒絕權(quán)限

regsvr32/u C:\Windows\System32\wshom.ocx

regsvr32/u C:\Windows\System32\shell32.dll

WSHOM.OCXx 和 Shell32.dl 這兩個文件只給 Administr 完全權(quán)限

>>> SQL 權(quán)限設置

只給 PUBLIC 和 DB_OWNER 權(quán)限， SA 帳號基本是不使用的因為 SA 實在太危險了 1 一個數(shù)據(jù)庫 , 一個帳號和密碼 , 比如建立了一個數(shù)據(jù)庫。 .

任何情況下都不要用 sa 這個帳戶 2 更改 sa 密碼為你都不知道的超長密碼 ..

請重試 ]" 問題 3 Web 登錄時經(jīng)常出現(xiàn) "[ 超時。

一定要啟用 “ 服務器網(wǎng)絡實用工具 ” 中的多協(xié)議 ” 項。 如果裝置了 SQL Server 時。

4 將有安全問題的 SQL 擴展存儲過程刪除 . 將以下代碼全部復制到 "SQL 查詢分析器 "

us master

EXEC sp_dropextendedproc xp_cmdshell

EXEC sp_dropextendedproc Sp_OACreat

EXEC sp_dropextendedproc Sp_OADestroi

EXEC sp_dropextendedproc Sp_OAGetErrorInfo

EXEC sp_dropextendedproc Sp_OAGetProperti

EXEC sp_dropextendedproc Sp_OAMethod

EXEC sp_dropextendedproc Sp_OASetProperti

EXEC sp_dropextendedproc Sp_OAStop

EXEC sp_dropextendedproc Xp_regaddmultistr

EXEC sp_dropextendedproc Xp_regdeletekei

EXEC sp_dropextendedproc Xp_regdeletevalu

EXEC sp_dropextendedproc Xp_regenumvalu

EXEC sp_dropextendedproc Xp_regread

EXEC sp_dropextendedproc Xp_regremovemultistr

EXEC sp_dropextendedproc Xp_regwrit

drop procedur sp_makewebtask

恢復的命令是

@dllname = 存儲過程的 dll EXEC sp_addextendedproc 存儲過程的名稱 .

例如：恢復存儲過程 xp_cmdshell

@dllnam = xplog70.dll EXEC sp_addextendedproc xp_cmdshell.

恢復時如果 xplog70.dll 已刪除需要 copi 一個。 注意。

>> WEB 目錄權(quán)限設置

所有的用戶， Everyone: 顧名思義。 這個計算機上的所有用戶都屬于這個組。