- 掛牌上市企業(yè)
- 60秒人工響應
- 99.99%連通率
- 7*24h人工
- 故障100倍補償
Windows 2003 防木馬、硬盤安全設置功略 |
| 發(fā)布時間: 2012/7/4 14:14:49 |
|
1.先以C盤為例,右擊C盤,點擊“安全”,將Everyone、Users組刪除,設置administrators、system完全控制;iis_wpg只有該文件夾(列出文件夾/讀數(shù)據(jù)/讀屬性/讀擴展屬性/讀取權限) 2. c:\inetpub\mailroot administrators 完全;system 完全;service 完全 c:\inetpub\ftproot everyone 只讀和運行 如果裝了軟件: c:\Program Files\soft Everyone 讀取和運行,列出文件夾目錄,讀取 administrators 完全 具體要看軟件的性質(zhì) 3.讓asp順利運行 C:\Program Files\Common Files everyone默認權限 C:\WINNT\Temp everyone 讀寫 C:\WINDOWS\system32 everyone默認權限 其他盤,也只留administrators、system 兩個用戶即可,如果安裝有軟件,具體設置見附錄硬盤權限設置 4.防止asp木馬 首先,設置system32下程序:net.exe,cmd.exe,ftp.exe,tftp.exe,telnet.exe,只允許administrator訪問 然后,給每個虛擬站點單獨設一個用戶,分給每個用戶文件夾相應用戶名完全控制的權限(防止FSO),具體設置見附錄 或參看 http://www.im286.com/viewthread.php?tid=974099&extra=page%3D1 落伍論壇有相關貼 如果服務器不需要 Wscript.Shell,stream對象 支持的話可以將其卸載 regsvr32 WSHom.Ocx /u regsvr32 /s /u "C:\Program Files\Common Files\System\ado\msado15.dll" 注:此項不能輕易去掉,否則數(shù)據(jù)庫連接是可能出現(xiàn) 錯誤’ASP 0177 : 800401f3’ server.createobject 上文主要是簡單的走一下過程,如有什么不明白的地方可以參考附錄 附錄(參考文獻): 注:全來自網(wǎng)上,版權歸原撰寫人 Win 2003 硬盤安全設置(針對ASP類網(wǎng)站) C:分區(qū)部分: c:\ administrators 全部 iis_wpg 只有該文件夾 列出文件夾/讀數(shù)據(jù) 讀屬性 讀擴展屬性 讀取權限 c:\inetpub\mailroot administrators 全部 system 全部 service 全部 c:\inetpub\ftproot everyone 只讀和運行 c:\windows administrators 全部 Creator owner 不是繼承的 只有子文件夾及文件 完全 Power Users 修改,讀取和運行,列出文件夾目錄,讀取,寫入 system 全部 Users 讀取和運行,列出文件夾目錄,讀取 c:\Program Files Everyone 只有該文件夾 不是繼承的 列出文件夾/讀數(shù)據(jù) administrators 全部 iis_wpg 只有該文件夾 列出文件/讀數(shù)據(jù) 讀屬性 讀擴展屬性 讀取權限 c:\Program Files\Common Files administrators 全部 Creator owner 不是繼承的 只有子文件夾及文件 完全 Power Users 修改,讀取和運行,列出文件夾目錄,讀取,寫入 system 全部 TERMINAL SERVER Users(如果有這個用戶) 修改,讀取和運行,列出文件夾目錄,讀取,寫入 Users 讀取和運行,列出文件夾目錄,讀取 如果安裝了我們的軟件: c:\Program Files\LIWEIWENSOFT Everyone 讀取和運行,列出文件夾目錄,讀取 administrators 全部 IIS_WPG 讀取和運行,列出文件夾目錄,讀取 c:\Program Files\Dimac(如果有這個目錄) Everyone 讀取和運行,列出文件夾目錄,讀取 administrators 全部 c:\Program Files\ComPlus Applications (如果有) administrators 全部 c:\Program Files\GflSDK (如果有) administrators 全部 Creator owner 不是繼承的 只有子文件夾及文件 完全 Power Users 修改,讀取和運行,列出文件夾目錄,讀取,寫入 system 全部 TERMINAL SERVER Users 修改,讀取和運行,列出文件夾目錄,讀取,寫入 Users 讀取和運行,列出文件夾目錄,讀取 Everyone 讀取和運行,列出文件夾目錄,讀取 c:\Program Files\InstallShield Installation Information (如果有) c:\Program Files\Internet Explorer (如果有) c:\Program Files\NetMeeting (如果有) administrators 全部 c:\Program Files\WindowsUpdate Creator owner 不是繼承的 只有子文件夾及文件 完全 administrators 全部 Power Users 修改,讀取和運行,列出文件夾目錄,讀取,寫入 system 全部 D:分區(qū)部分: d:\ (如果用戶網(wǎng)站內(nèi)容放置在這個分區(qū)中) administrators 全部權限 d:\FreeHost (如果此目錄用來放置用戶網(wǎng)站內(nèi)容) administrators 全部權限 SERVICE 全部權限 E:分區(qū)部分: 從安全角度,我們建議WebEasyMail(WinWebMail)安裝在獨立的盤中,例如E: E:\(如果webeasymail安裝在這個盤中) administrators 全部權限 system 全部權限 IUSR_*,默認的Internet來賓帳戶(如果這個網(wǎng)站用這個用戶來運行) 不是繼承的 只有子文件夾 讀取權限 E:\WebEasyMail (如果webeasymail安裝在這個目錄中) administrators 全部 system 全部權限 SERVICE 全部 IUSR_*,默認的Internet來賓帳戶 全部權限(如果這個網(wǎng)站用這個用戶來運行) 關于IUSR_*,我們不建議用這個用戶來運行Webeasymail,應該用平臺開一個虛擬主機來運行Webeasymail。 ----------------不知道2000是不是一樣設置. Win 2003中提高FSO的安全性 ASP提供了強大的文件系統(tǒng)訪問能力,可以對服務器硬盤上的任何文件進行讀、寫、復制、刪除、改名等操作,這給學校網(wǎng)站的安全帶來巨大的威脅。現(xiàn)在很多校園主機都遭受過FSO木馬的侵擾。但是禁用FSO組件后,引起的后果就是所有利用這個組件的ASP程序?qū)o法運行,無法滿足客戶的需求。如何既允許FileSystemObject組件,又不影響服務器的安全性呢(即:不同虛擬主機用戶之間不能使用該組件讀寫別人的文件)?以下是筆者多年來摸索出來的經(jīng)驗: 第一步是有別于Windows 2000設置的關鍵:右擊C盤,點擊“共享與安全”,在出現(xiàn)在對話框中選擇“安全”選項卡,將Everyone、Users組刪除,刪除后如果你的網(wǎng)站連ASP程序都不能運行,請?zhí)砑覫IS_WPG組(圖1),并重啟計算機。 經(jīng)過這樣設計后,F(xiàn)SO木馬就已經(jīng)不能運行了。如果你要進行更安全級別的設置,請分別對各個磁盤分區(qū)進行如上設置,并為各個站點設置不同匿名訪問用戶。下面以實例來介紹(假設你的主機上E盤Abc文件夾下設Abc.com站點): 1. 打開“計算機管理→本地用戶和組→用戶”,創(chuàng)建Abc用戶,并設置密碼,并將“用戶下次登錄時須更改密碼”前的對號去掉,選中“用戶不能更改密碼”和“密碼永不過期”,并把用戶設置為隸屬于Guests組。 2. 右擊E:\Abc,選擇“屬性→安全”選項卡,此時可以看到該文件夾的默認安全設置是“Everyone”完全控制(視不同情況顯示的內(nèi)容不完全一樣),刪除Everyone的完全控制(如果不能刪除,請點擊[高級]按鈕,將“允許父項的繼承權限傳播”前面的對號去掉,并刪除所有),添加Administrators及Abc用戶對本網(wǎng)站目錄的所有安全權限。 3. 打開IIS管理器,右擊Abc.com主機名,在彈出的菜單中選擇“屬性→目錄安全性”選項卡,點擊身份驗證和訪問控制的[編輯],彈出圖2所示對話框,匿名訪問用戶默認的就是“IUSR_機器名”,點擊[瀏覽],在“選擇用戶”對話框中找到前面創(chuàng)建的Abc賬戶,確定后重復輸入密碼。 經(jīng)過這樣設置,訪問網(wǎng)站的用戶就以Abc賬戶匿名身份訪問E:\Abc文件夾的站點,因為Abc賬戶只對此文件夾有安全權限,所以他只能在本文件夾下使用FSO。 常見問題: 如何解除FSO上傳程序小于200k限制? 先在服務里關閉IIS admin service服務,找到Windows\System32\Inesrv目錄下的Metabase.xml并打開,找到ASPMaxRequestEntityAllowed,將其修改為需要的值。默認為204800,即200K,把它修改為51200000(50M),然后重啟IIS admin service服務。 本文出自:億恩科技【www.artduck.net】 |
0371-60135900
京公網(wǎng)安備41019702002023號
香港服務器租用
美國服務器租用
電信骨干機房
聯(lián)通骨干機房
