Windows 2003服务器权限详细配置方案
作者:
1、服务器安全设置之--硬盘权限篇
这里着重谈需要的权限,也就是最终文件夹或硬盘需要的权限,可以防御各种木马入侵,提权攻击,跨站攻击等。本实例经过多次试验,安全性能很好,服务器基本没有被木马威胁的担忧了。
硬盘或文件夹: C:\
D:\
E:\
F:\ 类推
主要权限部分: 其他权限部分:
Administrators
完全控制 无
如果安装了其他运行环境,比如PHP等,则根据PHP的环境功能要求来设置硬盘权限,一般是安装目录加上users读取运行权限就足够了,比如c:\php的话,就在根目录权限继承的情况下加上users读取运行权限,需要写入数据的比如tmp文件夹,则把users的写删权限加上,运行权限不要,然后把虚拟主机用户的读权限拒绝即可。如果是mysql的话,用一个独立用户运行MYSQL会更安全,下面会有介绍。如果是winwebmail,则最好建立独立的应用程序池和独立IIS用户,然后整个安装目录有users用户的读/运行/写/权限,IIS用户则相同,这个IIS用户就只用在winwebmail的WEB访问中,其他IIS站点切勿使用,安装了winwebmail的服务器硬盘权限设置后面举例
该文件夹,子文件夹及文件
<不是继承的>
CREATOR OWNER
完全控制
只有子文件夹及文件
<不是继承的>
SYSTEM
完全控制
该文件夹,子文件夹及文件
<不是继承的>
硬盘或文件夹: C:\Inetpub\
主要权限部分: 其他权限部分:
Administrators
完全控制 无
该文件夹,子文件夹及文件
<继承于c:\>
CREATOR OWNER
完全控制
只有子文件夹及文件
<继承于c:\>
SYSTEM
完全控制
该文件夹,子文件夹及文件
<继承于c:\>
硬盘或文件夹: C:\Inetpub\AdminScripts
主要权限部分: 其他权限部分:
Administrators
完全控制 无
该文件夹,子文件夹及文件
<不是继承的>
SYSTEM
完全控制
该文件夹,子文件夹及文件
<不是继承的>
硬盘或文件夹: C:\Inetpub\wwwroot
主要权限部分: 其他权限部分:
Administrators
完全控制 IIS_WPG
读取运行/列出文件夹目录/读取
该文件夹,子文件夹及文件 该文件夹,子文件夹及文件
<不是继承的> <不是继承的>
SYSTEM
完全控制 Users
读取运行/列出文件夹目录/读取
该文件夹,子文件夹及文件 该文件夹,子文件夹及文件
<不是继承的> <不是继承的>
这里可以把虚拟主机用户组加上
同Internet 来宾帐户一样的权限
拒绝权限
Internet 来宾帐户
创建文件/写入数据/:拒绝
创建文件夹/附加数据/:拒绝
写入属性/:拒绝
写入扩展属性/:拒绝
删除子文件夹及文件/:拒绝
删除/:拒绝
该文件夹,子文件夹及文件
<不是继承的>
硬盘或文件夹: C:\Inetpub\wwwroot\aspnet_client
主要权限部分: 其他权限部分:
Administrators
完全控制 Users
读取
该文件夹,子文件夹及文件 该文件夹,子文件夹及文件
<不是继承的> <不是继承的>
SYSTEM
完全控制
该文件夹,子文件夹及文件
<不是继承的>
硬盘或文件夹: C:\Documents and Settings
主要权限部分: 其他权限部分:
Administrators
完全控制 无
该文件夹,子文件夹及文件
<不是继承的>
SYSTEM
完全控制
该文件夹,子文件夹及文件
<不是继承的>
硬盘或文件夹: C:\Documents and Settings\All Users
主要权限部分: 其他权限部分:
Administrators
完全控制 Users
读取和运行
该文件夹,子文件夹及文件 该文件夹,子文件夹及文件
<不是继承的> <不是继承的>
SYSTEM
完全控制 USERS组的权限仅仅限制于读取和运行,
绝对不能加上写入权限
该文件夹,子文件夹及文件
<不是继承的>
硬盘或文件夹: C:\Documents and Settings\All Users\「开始」菜单
主要权限部分: 其他权限部分:
Administrators
完全控制 无
该文件夹,子文件夹及文件
<不是继承的>
SYSTEM
完全控制
该文件夹,子文件夹及文件
<不是继承的>
硬盘或文件夹: C:\Documents and Settings\All Users\Application Data
主要权限部分: 其他权限部分:
Administrators
完全控制 Users
读取和运行
该文件夹,子文件夹及文件 该文件夹,子文件夹及文件
<不是继承的> <不是继承的>
CREATOR OWNER
完全控制 Users
写入
只有子文件夹及文件 该文件夹,子文件夹
<不是继承的> <不是继承的>
SYSTEM
完全控制 两个并列权限同用户组需要分开列权限
该文件夹,子文件夹及文件
<不是继承的>
硬盘或文件夹: C:\Documents and Settings\All Users\Application Data\Microsoft
主要权限部分: 其他权限部分:
Administrators
完全控制 Users
读取和运行
该文件夹,子文件夹及文件 该文件夹,子文件夹及文件
<不是继承的> <不是继承的>
SYSTEM
完全控制 此文件夹包含 Microsoft 应用程序状态数据
该文件夹,子文件夹及文件
<不是继承的>
硬盘或文件夹: C:\Documents and Settings\All Users\Application Data\Microsoft\Crypto\RSA\MachineKeys
主要权限部分: 其他权限部分:
Administrators
完全控制 Everyone
列出文件夹、读取属性、读取扩展属性、创建文件、创建文件夹、写入属性、写入扩展属性、读取权限
只有该文件夹 Everyone这里只有读写权限,不能加运行和删除权限,仅限该文件夹
只有该文件夹
<不是继承的> <不是继承的>
硬盘或文件夹: C:\Documents and Settings\All Users\Application Data\Microsoft\Crypto\DSS\MachineKeys
主要权限部分: 其他权限部分:
Administrators
完全控制 Everyone
列出文件夹、读取属性、读取扩展属性、创建文件、创建文件夹、写入属性、写入扩展属性、读取权限
只有该文件夹 Everyone这里只有读写权限,不能加运行和删除权限,仅限该文件夹 只有该文件夹
<不是继承的> <不是继承的>
硬盘或文件夹: C:\Documents and Settings\All Users\Application Data\Microsoft\HTML Help
主要权限部分: 其他权限部分:
Administrators
完全控制 Users
读取和运行
该文件夹,子文件夹及文件 该文件夹,子文件夹及文件
<不是继承的> <不是继承的>
SYSTEM
完全控制
该文件夹,子文件夹及文件
<不是继承的>
硬盘或文件夹: C:\Documents and Settings\All Users\Application Data\Microsoft\Network\Connections\Cm
主要权限部分: 其他权限部分:
Administrators
完全控制 Everyone
读取和运行
该文件夹,子文件夹及文件 该文件夹,子文件夹及文件
<不是继承的> <不是继承的>
SYSTEM
完全控制 Everyone这里只有读和运行权限
该文件夹,子文件夹及文件
<不是继承的>
硬盘或文件夹: C:\Documents and Settings\All Users\Application Data\Microsoft\Network\Downloader
主要权限部分: 其他权限部分:
Administrators
完全控制 无
该文件夹,子文件夹及文件
<不是继承的>
SYSTEM
完全控制
该文件夹,子文件夹及文件
<不是继承的>
硬盘或文件夹: C:\Documents and Settings\All Users\Application Data\Microsoft\Media Index
主要权限部分: 其他权限部分:
Administrators
完全控制 Users
读取和运行
该文件夹,子文件夹及文件 该文件夹,子文件夹及文件
<不是继承的> <继承于上一级文件夹>
SYSTEM
完全控制 Users
创建文件/写入数据
创建文件夹/附加数据
写入属性
写入扩展属性
读取权限
该文件夹,子文件夹及文件 只有该文件夹
<不是继承的> <不是继承的>
Users
创建文件/写入数据
创建文件夹/附加数据
写入属性
写入扩展属性
只有该子文件夹和文件
<不是继承的>
硬盘或文件夹: C:\Documents and Settings\All Users\DRM
主要权限部分: 其他权限部分:
这里需要把GUEST用户组和IIS访问用户组全部禁止
Everyone的权限比较特殊,默认安装后已经带了
主要是要把IIS访问的用户组加上所有权限都禁止
Users
读取和运行
该文件夹,子文件夹及文件
<不是继承的>
Guests
拒绝所有
该文件夹,子文件夹及文件
<不是继承的>
Guest
拒绝所有
该文件夹,子文件夹及文件
<不是继承的>
IUSR_XXX
或某个虚拟主机用户组
拒绝所有
该文件夹,子文件夹及文件
<不是继承的>
硬盘或文件夹: C:\Documents and Settings\All Users\Documents (共享文档)
主要权限部分: 其他权限部分:
Administrators
完全控制 无
该文件夹,子文件夹及文件
<不是继承的>
CREATOR OWNER
完全控制
只有子文件夹及文件
<不是继承的>
SYSTEM
完全控制
该文件夹,子文件夹及文件
<不是继承的>
硬盘或文件夹: C:\Program Files
主要权限部分: 其他权限部分:
Administrators
完全控制 IIS_WPG
读取和运行
该文件夹,子文件夹及文件 该文件夹,子文件夹及文件
<不是继承的> <不是继承的>
CREATOR OWNER
完全控制 IUSR_XXX
或某个虚拟主机用户组
列出文件夹/读取数据 :拒绝
只有子文件夹及文件 该文件夹,子文件夹及文件
<不是继承的> <不是继承的>
SYSTEM
完全控制 IIS虚拟主机用户组禁止列目录,可有效防止FSO类木马
如果安装了aspjepg和aspupload
该文件夹,子文件夹及文件
<不是继承的>
硬盘或文件夹: C:\Program Files\Common Files
主要权限部分: 其他权限部分:
Administrators
完全控制 IIS_WPG
读取和运行
该文件夹,子文件夹及文件 该文件夹,子文件夹及文件
<不是继承的> <继承于上级目录>
CREATOR OWNER
完全控制 Users
读取和运行
只有子文件夹及文件 该文件夹,子文件夹及文件
<不是继承的> <不是继承的>
SYSTEM
完全控制 复合权限,为IIS提供快速安全的运行环境
该文件夹,子文件夹及文件
<不是继承的>
硬盘或文件夹: C:\Program Files\Common Files\Microsoft Shared\web server extensions
主要权限部分: 其他权限部分:
Administrators
完全控制 无
该文件夹,子文件夹及文件
<不是继承的>
CREATOR OWNER
完全控制
只有子文件夹及文件
<不是继承的>
SYSTEM
完全控制
该文件夹,子文件夹及文件
<不是继承的>
硬盘或文件夹: C:\Program Files\Microsoft SQL Server\MSSQL (程序部分默认装在C:盘)
主要权限部分: 其他权限部分:
Administrators
完全控制 无
该文件夹,子文件夹及文件
<不是继承的>
硬盘或文件夹: E:\Program Files\Microsoft SQL Server (数据库部分装在E:盘的情况)
主要权限部分: 其他权限部分:
Administrators
完全控制 无
该文件夹,子文件夹及文件
<不是继承的>
CREATOR OWNER
完全控制
只有子文件夹及文件
<不是继承的>
SYSTEM
完全控制
该文件夹,子文件夹及文件
<不是继承的>
硬盘或文件夹: E:\Program Files\Microsoft SQL Server\MSSQL (数据库部分装在E:盘的情况)
主要权限部分: 其他权限部分:
Administrators
完全控制 无
该文件夹,子文件夹及文件
<不是继承的>
硬盘或文件夹: C:\Program Files\Internet Explorer\iexplore.exe
主要权限部分: 其他权限部分:
Administrators
完全控制 无
该文件夹,子文件夹及文件
<不是继承的>
硬盘或文件夹: C:\Program Files\Outlook Express
主要权限部分: 其他权限部分:
Administrators
完全控制 无
该文件夹,子文件夹及文件
<不是继承的>
CREATOR OWNER
完全控制
只有子文件夹及文件
<不是继承的>
SYSTEM
完全控制
该文件夹,子文件夹及文件
<不是继承的>
硬盘或文件夹: C:\Program Files\PowerEasy5 (如果装了动易组件的话)
主要权限部分: 其他权限部分:
Administrators
完全控制 无
该文件夹,子文件夹及文件
<不是继承的>
CREATOR OWNER
完全控制
只有子文件夹及文件
<不是继承的>
SYSTEM
完全控制
该文件夹,子文件夹及文件
<不是继承的>
硬盘或文件夹: C:\Program Files\Radmin (如果装了Radmin远程控制的话)
主要权限部分: 其他权限部分:
Administrators
完全控制 无
对应的c:\windows\system32里面有两个文件
r_server.exe和AdmDll.dll
要把Users读取运行权限去掉
默认权限只要administrators和system全部权限
该文件夹,子文件夹及文件
<不是继承的>
CREATOR OWNER
完全控制
只有子文件夹及文件
<不是继承的>
SYSTEM
完全控制
该文件夹,子文件夹及文件
<不是继承的>
硬盘或文件夹: C:\Program Files\Serv-U (如果装了Serv-U服务器的话)
主要权限部分: 其他权限部分:
Administrators
完全控制 无
这里常是提权入侵的一个比较大的漏洞点
一定要按这个方法设置
目录名字根据Serv-U版本也可能是
C:\Program Files\RhinoSoft.com\Serv-U
该文件夹,子文件夹及文件
<不是继承的>
CREATOR OWNER
完全控制
只有子文件夹及文件
<不是继承的>
SYSTEM
完全控制
该文件夹,子文件夹及文件
<不是继承的>
硬盘或文件夹: C:\Program Files\Windows Media Player
主要权限部分: 其他权限部分:
Administrators
完全控制 无
该文件夹,子文件夹及文件
<不是继承的>
CREATOR OWNER
完全控制
只有子文件夹及文件
<不是继承的>
SYSTEM
完全控制
该文件夹,子文件夹及文件
<不是继承的>
硬盘或文件夹: C:\Program Files\Windows NT\Accessories
主要权限部分: 其他权限部分:
Administrators
完全控制 无
该文件夹,子文件夹及文件
<不是继承的>
CREATOR OWNER
完全控制
只有子文件夹及文件
<不是继承的>
SYSTEM
完全控制
该文件夹,子文件夹及文件
<不是继承的>
硬盘或文件夹: C:\Program Files\WindowsUpdate
主要权限部分: 其他权限部分:
Administrators
完全控制 无
该文件夹,子文件夹及文件
<不是继承的>
CREATOR OWNER
完全控制
只有子文件夹及文件
<不是继承的>
SYSTEM
完全控制
该文件夹,子文件夹及文件
<不是继承的>
硬盘或文件夹: C:\WINDOWS
主要权限部分: 其他权限部分:
Administrators
完全控制 Users
读取和运行
该文件夹,子文件夹及文件 该文件夹,子文件夹及文件
<不是继承的> <不是继承的>
CREATOR OWNER
完全控制
只有子文件夹及文件
<不是继承的>
SYSTEM
完全控制
该文件夹,子文件夹及文件
<不是继承的>
硬盘或文件夹: C:\WINDOWS\repair
主要权限部分: 其他权限部分:
Administrators
完全控制 IUSR_XXX
或某个虚拟主机用户组
列出文件夹/读取数据 :拒绝
该文件夹,子文件夹及文件 该文件夹,子文件夹及文件
<不是继承的> <不是继承的>
CREATOR OWNER
完全控制 虚拟主机用户访问组拒绝读取,有助于保护系统数据
这里保护的是系统级数据SAM
只有子文件夹及文件
<不是继承的>
SYSTEM
完全控制
该文件夹,子文件夹及文件
<不是继承的>
硬盘或文件夹: C:\WINDOWS\system32
主要权限部分: 其他权限部分:
Administrators
完全控制 Users
读取和运行
该文件夹,子文件夹及文件 该文件夹,子文件夹及文件
<不是继承的> <不是继承的>
CREATOR OWNER
完全控制 IUSR_XXX
或某个虚拟主机用户组
列出文件夹/读取数据 :拒绝
只有子文件夹及文件 该文件夹,子文件夹及文件
<不是继承的> <不是继承的>
SYSTEM
完全控制 虚拟主机用户访问组拒绝读取,有助于保护系统数据
该文件夹,子文件夹及文件
<不是继承的>
硬盘或文件夹: C:\WINDOWS\system32\config
主要权限部分: 其他权限部分:
Administrators
完全控制 Users
读取和运行
该文件夹,子文件夹及文件 该文件夹,子文件夹及文件
<不是继承的> <不是继承的>
CREATOR OWNER
完全控制 IUSR_XXX
或某个虚拟主机用户组
列出文件夹/读取数据 :拒绝
只有子文件夹及文件 该文件夹,子文件夹及文件
<不是继承的> <继承于上一级目录>
SYSTEM
完全控制 虚拟主机用户访问组拒绝读取,有助于保护系统数据
该文件夹,子文件夹及文件
<不是继承的>
硬盘或文件夹: C:\WINDOWS\system32\inetsrv\
主要权限部分: 其他权限部分:
Administrators
完全控制 Users
读取和运行
该文件夹,子文件夹及文件 该文件夹,子文件夹及文件
<不是继承的> <不是继承的>
CREATOR OWNER
完全控制 IUSR_XXX
或某个虚拟主机用户组
列出文件夹/读取数据 :拒绝
只有子文件夹及文件 只有该文件夹
<不是继承的> <继承于上一级目录>
SYSTEM
完全控制 虚拟主机用户访问组拒绝读取,有助于保护系统数据
该文件夹,子文件夹及文件
<不是继承的>
硬盘或文件夹: C:\WINDOWS\system32\inetsrv\ASP Compiled Templates
主要权限部分: 其他权限部分:
Administrators
完全控制 IIS_WPG
完全控制
该文件夹,子文件夹及文件 该文件夹,子文件夹及文件
<不是继承的> <不是继承的>
IUSR_XXX
或某个虚拟主机用户组
列出文件夹/读取数据 :拒绝
该文件夹,子文件夹及文件
<继承于上一级目录>
虚拟主机用户访问组拒绝读取,有助于保护系统数据
硬盘或文件夹: C:\WINDOWS\system32\inetsrv\iisadmpwd
主要权限部分: 其他权限部分:
Administrators
完全控制 无
该文件夹,子文件夹及文件
<不是继承的>
CREATOR OWNER
完全控制
只有子文件夹及文件
<不是继承的>
SYSTEM
完全控制
该文件夹,子文件夹及文件
<不是继承的>
硬盘或文件夹: C:\WINDOWS\system32\inetsrv\MetaBack
主要权限部分: 其他权限部分:
Administrators
完全控制 Users
读取和运行
该文件夹,子文件夹及文件 该文件夹,子文件夹及文件
<不是继承的> <不是继承的>
CREATOR OWNER
完全控制 IUSR_XXX
或某个虚拟主机用户组
列出文件夹/读取数据 :拒绝
只有子文件夹及文件 该文件夹,子文件夹及文件
<不是继承的> <继承于上一级目录>
SYSTEM
完全控制 虚拟主机用户访问组拒绝读取,有助于保护系统数据
该文件夹,子文件夹及文件
<不是继承的>
Winwebmail 电子邮局安装后权限举例:目录E:\
主要权限部分: 其他权限部分:
Administrators
完全控制 IUSR_XXXXXX
这个用户是WINWEBMAIL访问WEB站点专用帐户
读取和运行
该文件夹,子文件夹及文件 该文件夹,子文件夹及文件
<不是继承的> <不是继承的>
CREATOR OWNER
完全控制
只有子文件夹及文件
<不是继承的>
SYSTEM
完全控制
该文件夹,子文件夹及文件
<不是继承的>
Winwebmail 电子邮局安装后权限举例:目录E:\WinWebMail
主要权限部分: 其他权限部分:
Administrators
完全控制 IUSR_XXXXXX
WINWEBMAIL访问WEB站点专用帐户
读取和运行
该文件夹,子文件夹及文件 该文件夹,子文件夹及文件
<继承于E:\> <继承于E:\>
CREATOR OWNER
完全控制 Users
修改/读取运行/列出文件目录/读取/写入
只有子文件夹及文件 该文件夹,子文件夹及文件
<继承于E:\> <不是继承的>
SYSTEM
完全控制 IUSR_XXXXXX
WINWEBMAIL访问WEB站点专用帐户
修改/读取运行/列出文件目录/读取/写入
该文件夹,子文件夹及文件 该文件夹,子文件夹及文件
<继承于E:\> <不是继承的>
IUSR_XXXXXX和IWAM_XXXXXX
是winwebmail专用的IIS用户和应用程序池用户
单独使用,安全性能高
IWAM_XXXXXX
WINWEBMAIL应用程序池专用帐户
修改/读取运行/列出文件目录/读取/写入
该文件夹,子文件夹及文件
<不是继承的>
2、服务器安全设置之--系统服务篇(设置完毕需要重新启动)
*除非特殊情况非开不可,下列系统服务要*停止并禁用*: Alerter
服务名称:
Alerter
显示名称:
Alerter
服务描述:
通知选定的用户和计算机管理警报。如果服务停止,使用管理警报的程序将不会收到它们。如果此服务被禁用,任何直接依赖它的服务都将不能启动。
可执行文件路径:
E:\WINDOWS\system32\svchost.exe -k LocalService
其他补充:
Application Layer Gateway Service
服务名称:
ALG
显示名称:
Application Layer Gateway Service
服务描述:
为应用程序级协议插件提供支持并启用网络/协议连接。如果此服务被禁用,任何依赖它的服务将无法启动。
可执行文件路径:
E:\WINDOWS\System32\alg.exe
其他补充:
Background Intelligent Transfer Service
服务名称:
BITS
显示名称:
Background Intelligent Transfer Service
服务描述:
服务描述:利用空闲的网络带宽在后台传输文件。如果服务被停用,例如 Windows Update 和 MSN Explorer 的功能将无法自动下载程序和其他信息。如果此服务被禁用,任何依赖它的服务如果没有容错技术以直接通过 IE 传输文件,一旦 BITS 被禁用,就可能无法传输文件。
可执行文件路径:
E:\WINDOWS\system32\svchost.exe -k netsvcs
其他补充:
Computer Browser
服务名称:
服务名称:Browser
显示名称:
显示名称:Computer Browser
服务描述:
服务描述:维护网络上计算机的更新列表,并将列表提供给计算机指定浏览。如果服务停止,列表不会被更新或维护。如果服务被禁用,任何直接依赖于此服务的服务将无法启动。
可执行文件路径:
可执行文件路径: E:\WINDOWS\system32\svchost.exe -k netsvcs
其他补充:
Distributed File System
服务名称:
Dfs
显示名称:
Distributed File System
服务描述:
将分散的文件共享合并成一个逻辑名称空间并在局域网或广域网上管理这些逻辑卷。如果这个服务被停止,用户则无法访问文件共享。如果这个服务被禁用,任何依赖它的服务将无法启动。
可执行文件路径:
E:\WINDOWS\system32\Dfssvc.exe
其他补充:
Help and Support
服务名称:
helpsvc
显示名称:
Help and Support
服务描述:
启用在此计算机上运行帮助和支持中心。如果停止服务,帮助和支持中心将不可用。如果禁用服务,任何直接依赖于此服务的服务将无法启动。
可执行文件路径:
E:\WINDOWS\System32\svchost.exe -k netsvcs
其他补充:
Messenger
服务名称:
Messenger
显示名称:
Messenger
服务描述:
传输客户端和服务器之间的 NET SEND 和 警报器服务消息。此服务与 Windows Messenger 无关。如果服务停止,警报器消息不会被传输。如果服务被禁用,任何直接依赖于此服务的服务将无法启动。
可执行文件路径:
E:\WINDOWS\system32\svchost.exe -k netsvcs
其他补充:
NetMeeting Remote Desktop Sharing
服务名称:
mnmsrvc
显示名称:
NetMeeting Remote Desktop Sharing
服务描述:
允许经过授权的用户用 NetMeeting 在公司 intranet 上远程访问这台计算机。如果服务被停止,远程桌面共享将不可用。如果服务被禁用,依赖这个服务的任何服务都会无法启动。
可执行文件路径:
E:\WINDOWS\system32\mnmsrvc.exe
其他补充:
Print Spooler
服务名称:
Spooler
显示名称:
Print Spooler
服务描述:
管理所有本地和网络打印队列及控制所有打印工作。如果此服务被停用,本地计算机上的打印将不可用。如果此服务被禁用,任何依赖于它的服务将无法启用。
可执行文件路径:
E:\WINDOWS\system32\spoolsv.exe
其他补充:
Remote Registry
服务名称:
RemoteRegistry
显示名称:
Remote Registry
服务描述:
使远程用户能修改此计算机上的注册表设置。如果此服务被终止,只有此计算机上的用户才能修改注册表。如果此服务被禁用,任何依赖它的服务将无法启动。
可执行文件路径:
E:\WINDOWS\system32\svchost.exe -k regsvc
其他补充:
Task Scheduler
服务名称:
Schedule
显示名称:
Task Scheduler
服务描述:
使用户能在此计算机上配置和计划自动任务。如果此服务被终止,这些任务将无法在计划时间里运行。如果此服务被禁用,任何依赖它的服务将无法启动。
可执行文件路径:
E:\WINDOWS\System32\svchost.exe -k netsvcs
其他补充:
TCP/IP NetBIOS Helper
服务名称:
LmHosts
显示名称:
TCP/IP NetBIOS Helper
服务描述:
提供 TCP/IP (NetBT) 服务上的 NetBIOS 和网络上客户端的 NetBIOS 名称解析的支持,从而使用户能够共享文件、打印和登录到网络。如果此服务被停用,这些功能可能不可用。如果此服务被禁用,任何依赖它的服务将无法启动。
可执行文件路径:
E:\WINDOWS\system32\svchost.exe -k LocalService
其他补充:
Telnet
服务名称:
TlntSvr
显示名称:
Telnet
服务描述:
允许远程用户登录到此计算机并运行程序,并支持多种 TCP/IP Telnet 客户端,包括基于 UNIX 和 Windows 的计算机。如果此服务停止,远程用户就不能访问程序,任何直接依赖于它的服务将会启动失败。
可执行文件路径:
E:\WINDOWS\system32\tlntsvr.exe
其他补充:
Workstation
服务名称:
lanmanworkstation
显示名称:
Workstation
服务描述:
创建和维护到远程服务的客户端网络连接。如果服务停止,这些连接将不可用。如果服务被禁用,任何直接依赖于此服务的服务将无法启动。
可执行文件路径:
E:\WINDOWS\system32\svchost.exe -k netsvcs
其他补充:
以上是windows2003server标准服务当中需要停止的服务,作为IIS网络服务器,以上服务务必要停止,如果需要SSL证书服务,则设置方法不同
3、服务器安全设置之--组件安全设置篇 (非常重要!!!) A、卸载WScript.Shell 和 Shell.application 组件,将下面的代码保存为一个.BAT文件执行(分2000和2003系统)
windows2000.bat regsvr32/u C:\WINNT\System32\wshom.ocxdel C:\WINNT\System32\wshom.ocxregsvr32/u C:\WINNT\system32\shell32.dlldel C:\WINNT\system32\shell32.dll
windows2003.bat regsvr32/u C:\WINDOWS\System32\wshom.ocxdel C:\WINDOWS\System32\wshom.ocxregsvr32/u C:\WINDOWS\system32\shell32.dlldel C:\WINDOWS\system32\shell32.dll
B、改名不安全组件,需要注意的是组件的名称和Clsid都要改,并且要改彻底了,不要照抄,要自己改
【开始→运行→regedit→回车】打开注册表编辑器
然后【编辑→查找→填写Shell.application→查找下一个】
用这个方法能找到两个注册表项:
{13709620-C279-11CE-A49E-444553540000} 和 Shell.application 。
第一步:为了确保万无一失,把这两个注册表项导出来,保存为xxxx.reg 文件。
第二步:比如我们想做这样的更改
13709620-C279-11CE-A49E-444553540000 改名为 13709620-C279-11CE-A49E-444553540001
Shell.application 改名为 Shell.application_nohack
第三步:那么,就把刚才导出的.reg文件里的内容按上面的对应关系替换掉,然后把修改好的.reg文件导入到注册表中(双击即可),导入了改名后的注册表项之后,别忘记了删除原有的那两个项目。这里需要注意一点,Clsid中只能是十个数字和ABCDEF六个字母。
其实,只要把对应注册表项导出来备份,然后直接改键名就可以了,
改好的例子
建议自己改
应该可一次成功
Windows Registry Editor Version 5.00[HKEY_CLASSES_ROOT\CLSID\{13709620-C279-11CE-A49E-444553540001}]@="Shell Automation Service"[HKEY_CLASSES_ROOT\CLSID\{13709620-C279-11CE-A49E-444553540001}\InProcServer32]@="C:\\WINNT\\system32\\shell32.dll""ThreadingModel"="Apartment"[HKEY_CLASSES_ROOT\CLSID\{13709620-C279-11CE-A49E-444553540001}\ProgID]@="Shell.Application_nohack.1"[HKEY_CLASSES_ROOT\CLSID\{13709620-C279-11CE-A49E-444553540001}\TypeLib]@="{50a7e9b0-70ef-11d1-b75a-00a0c90564fe}"[HKEY_CLASSES_ROOT\CLSID\{13709620-C279-11CE-A49E-444553540001}\Version]@="1.1"[HKEY_CLASSES_ROOT\CLSID\{13709620-C279-11CE-A49E-444553540001}\VersionIndependentProgID]@="Shell.Application_nohack"[HKEY_CLASSES_ROOT\Shell.Application_nohack]@="Shell Automation Service"[HKEY_CLASSES_ROOT\Shell.Application_nohack\CLSID]@="{13709620-C279-11CE-A49E-444553540001}"[HKEY_CLASSES_ROOT\Shell.Application_nohack\CurVer]@="Shell.Application_nohack.1"
老杜评论:
WScript.Shell 和 Shell.application 组件是 脚本入侵过程中,提升权限的重要环节,这两个组件的卸载和修改对应注册键名,可以很大程度的提高虚拟主机的脚本安全性能,一般来说,ASP和php类脚本提升权限的功能是无法实现了,再加上一些系统服务、硬盘访问权限、端口过滤、本地安全策略的设置,虚拟主机因该说,安全性能有非常大的提高,黑客入侵的可能性是非常低了。注销了Shell组件之后,侵入者运行提升工具的可能性就很小了,但是prel等别的脚本语言也有shell能力,为防万一,还是设置一下为好。下面是另外一种设置,大同小异。
一、禁止使用FileSystemObject组件 FileSystemObject可以对文件进行常规操作,可以通过修改注册表,将此组件改名,来防止此类木马的危害。
HKEY_CLASSES_ROOT\Scripting.FileSystemObject\
改名为其它的名字,如:改为 FileSystemObject_ChangeName
自己以后调用的时候使用这个就可以正常调用此组件了
也要将clsid值也改一下
HKEY_CLASSES_ROOT\Scripting.FileSystemObject\CLSID\项目的值
也可以将其删除,来防止此类木马的危害。
2000注销此组件命令:RegSrv32 /u C:\WINNT\SYSTEM\scrrun.dll
2003注销此组件命令:RegSrv32 /u C:\WINDOWS\SYSTEM\scrrun.dll
如何禁止Guest用户使用scrrun.dll来防止调用此组件?
使用这个命令:cacls C:\WINNT\system32\scrrun.dll /e /d guests
二、禁止使用WScript.Shell组件
WScript.Shell可以调用系统内核运行DOS基本命令
可以通过修改注册表,将此组件改名,来防止此类木马的危害。
HKEY_CLASSES_ROOT\WScript.Shell\及HKEY_CLASSES_ROOT\WScript.Shell.1\
改名为其它的名字,如:改为WScript.Shell_ChangeName 或 WScript.Shell.1_ChangeName
自己以后调用的时候使用这个就可以正常调用此组件了
也要将clsid值也改一下
HKEY_CLASSES_ROOT\WScript.Shell\CLSID\项目的值
HKEY_CLASSES_ROOT\WScript.Shell.1\CLSID\项目的值
也可以将其删除,来防止此类木马的危害。
三、禁止使用Shell.Application组件
Shell.Application可以调用系统内核运行DOS基本命令
可以通过修改注册表,将此组件改名,来防止此类木马的危害。
HKEY_CLASSES_ROOT\Shell.Application\
及
HKEY_CLASSES_ROOT\Shell.Application.1\
改名为其它的名字,如:改为Shell.Application_ChangeName 或 Shell.Application.1_ChangeName
自己以后调用的时候使用这个就可以正常调用此组件了
也要将clsid值也改一下
HKEY_CLASSES_ROOT\Shell.Application\CLSID\项目的值
HKEY_CLASSES_ROOT\Shell.Application\CLSID\项目的值
也可以将其删除,来防止此类木马的危害。
禁止Guest用户使用shell32.dll来防止调用此组件。
2000使用命令:cacls C:\WINNT\system32\shell32.dll /e /d guests
2003使用命令:cacls C:\WINDOWS\system32\shell32.dll /e /d guests
注:操作均需要重新启动WEB服务后才会生效。
四、调用Cmd.exe
禁用Guests组用户调用cmd.exe
2000使用命令:cacls C:\WINNT\system32\Cmd.exe /e /d guests
2003使用命令:cacls C:\WINDOWS\system32\Cmd.exe /e /d guests
通过以上四步的设置基本可以防范目前比较流行的几种木马,但最有效的办法还是通过综合安全设置,将服务器、程序安全都达到一定标准,才可能将安全等级设置较高,防范更多非法入侵。
C、防止Serv-U权限提升 (适用于 Serv-U6.0 以前版本,之后可以直接设置密码)
先停掉Serv-U服务
用Ultraedit打开ServUDaemon.exe
查找 Ascii:LocalAdministrator 和 #l@$ak#.lk;0@P
修改成等长度的其它字符就可以了,ServUAdmin.exe也一样处理。
另外注意设置Serv-U所在的文件夹的权限,不要让IIS匿名用户有读取的权限,否则人家下走你修改过的文件,照样可以分析出你的管理员名和密码。
阿江ASP探针
http://www.ajiang.net/products/aspcheck/ (可以测试组件安全性)
4、服务器安全设置之--IIS用户设置方法
IIS安全访问的例子
IIS基本设置
这里举例4个不同类型脚本的虚拟主机 权限设置例子
主机头
主机脚本
硬盘目录
IIS用户名
硬盘权限
应用程序池
主目录
应用程序配置
www.1.com
HTM
D:\www.1.com\
IUSR_1.com
Administrators(完全控制)
IUSR_1.com(读)
可共用
读取/纯脚本
启用父路径
www.2.com
ASP
D:\www.2.com\
IUSR_1.com
Administrators(完全控制)
IUSR_2.com(读/写)
可共用
读取/纯脚本
启用父路径
www.3.com
NET
D:\www.3.com\
IUSR_1.com
Administrators(完全控制)
IWAM_3.com(读/写)
IUSR_3.com(读/写)
独立池
读取/纯脚本
启用父路径
www.4.com
PHP
D:\www.4.com\
IUSR_1.com
Administrators(完全控制)
IWAM_4.com(读/写)
IUSR_4.com(读/写)
独立池
读取/纯脚本
启用父路径
其中 IWAM_3.com 和 IWAM_4.com 分别是各自独立应用程序池标识中的启动帐户
主机脚本类型
应用程序扩展名 (就是文件后缀名)对应主机脚本,只需要加载以下的应用程序扩展
HTM
STM | SHTM | SHTML | MDB
ASP
ASP | ASA | MDB
NET
ASPX | ASAX | ASCX| ASHX | ASMX | AXD | VSDISCO | REM | SOAP | CONFIG |
CS |CSPROJ | VB | VBPROJ | WEBINFO | LICX | RESX | RESOURCES | MDB
PHP
PHP | PHP3 | PHP4
MDB是共用映射,下面用红色表示
应用程序扩展
映射文件 执行动作
STM=.stm
C:\WINDOWS\system32\inetsrv\ssinc.dll GET,POST
SHTM=.shtm
C:\WINDOWS\system32\inetsrv\ssinc.dll GET,POST
SHTML=.shtml
C:\WINDOWS\system32\inetsrv\ssinc.dll GET,POST
ASP=.asp
C:\WINDOWS\system32\inetsrv\asp.dll GET,HEAD,POST,TRACE
ASA=.asa
C:\WINDOWS\system32\inetsrv\asp.dll GET,HEAD,POST,TRACE
ASPX=.aspx
C:\WINDOWS\Microsoft.NET\Framework\v1.1.4322\aspnet_isapi.dll GET,HEAD,POST,DEBUG
ASAX=.asax
C:\WINDOWS\Microsoft.NET\Framework\v1.1.4322\aspnet_isapi.dll GET,HEAD,POST,DEBUG
ASCX=.ascx
C:\WINDOWS\Microsoft.NET\Framework\v1.1.4322\aspnet_isapi.dll GET,HEAD,POST,DEBUG
ASHX=.ashx
C:\WINDOWS\Microsoft.NET\Framework\v1.1.4322\aspnet_isapi.dll GET,HEAD,POST,DEBUG
ASMX=.asmx
C:\WINDOWS\Microsoft.NET\Framework\v1.1.4322\aspnet_isapi.dll GET,HEAD,POST,DEBUG
AXD=.axd
C:\WINDOWS\Microsoft.NET\Framework\v1.1.4322\aspnet_isapi.dll GET,HEAD,POST,DEBUG
VSDISCO=.vsdisco
C:\WINDOWS\Microsoft.NET\Framework\v1.1.4322\aspnet_isapi.dll GET,HEAD,POST,DEBUG
REM=.rem
C:\WINDOWS\Microsoft.NET\Framework\v1.1.4322\aspnet_isapi.dll GET,HEAD,POST,DEBUG
SOAP=.soap
C:\WINDOWS\Microsoft.NET\Framework\v1.1.4322\aspnet_isapi.dll GET,HEAD,POST,DEBUG
CONFIG=.config
C:\WINDOWS\Microsoft.NET\Framework\v1.1.4322\aspnet_isapi.dll GET,HEAD,POST,DEBUG
CS=.cs
C:\WINDOWS\Microsoft.NET\Framework\v1.1.4322\aspnet_isapi.dll GET,HEAD,POST,DEBUG
CSPROJ=.csproj
C:\WINDOWS\Microsoft.NET\Framework\v1.1.4322\aspnet_isapi.dll GET,HEAD,POST,DEBUG
VB=.vb
C:\WINDOWS\Microsoft.NET\Framework\v1.1.4322\aspnet_isapi.dll GET,HEAD,POST,DEBUG
VBPROJ=.vbproj
C:\WINDOWS\Microsoft.NET\Framework\v1.1.4322\aspnet_isapi.dll GET,HEAD,POST,DEBUG
WEBINFO=.webinfo
C:\WINDOWS\Microsoft.NET\Framework\v1.1.4322\aspnet_isapi.dll GET,HEAD,POST,DEBUG
LICX=.licx
C:\WINDOWS\Microsoft.NET\Framework\v1.1.4322\aspnet_isapi.dll GET,HEAD,POST,DEBUG
RESX=.resx
C:\WINDOWS\Microsoft.NET\Framework\v1.1.4322\aspnet_isapi.dll GET,HEAD,POST,DEBUG
RESOURCES=.resources
C:\WINDOWS\Microsoft.NET\Framework\v1.1.4322\aspnet_isapi.dll GET,HEAD,POST,DEBUG
PHP=.php
C:\php5\php5isapi.dll GET,HEAD,POST
PHP3=.php3
C:\php5\php5isapi.dll GET,HEAD,POST
PHP4=.php4
C:\php5\php5isapi.dll GET,HEAD,POST
MDB=.mdb
C:\WINDOWS\system32\inetsrv\ssinc.dll GET,POST
ASP.NET 进程帐户所需的 NTFS 权限
目录 所需权限
Temporary ASP.NET Files%windir%\Microsoft.NET\Framework\{版本}Temporary ASP.NET Files
进程帐户和模拟标识:
完全控制
临时目录 (%temp%)
进程帐户
完全控制
.NET Framework 目录%windir%\Microsoft.NET\Framework\{版本}
进程帐户和模拟标识:
读取和执行
列出文件夹内容
读取
.NET Framework 配置目录%windir%\Microsoft.NET\Framework\{版本}\CONFIG
进程帐户和模拟标识:
读取和执行
列出文件夹内容
读取
网站根目录
C:\inetpub\wwwroot
或默认网站指向的路径
进程帐户:
读取
系统根目录
%windir%\system32
进程帐户:
读取
全局程序集高速缓存
%windir%\assembly
5、 服务器安全设置之--服务器安全和性能配置 把下面文本保存为: windows2000-2003服务器安全和性能注册表自动配置文件.reg 运行即可。
Windows Registry Editor Version 5.00[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]"NoRecentDocsMenu"=hex:01,00,00,00"NoRecentDocsHistory"=hex:01,00,00,00[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]"DontDisplayLastUserName"="1"[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa]"restrictanonymous"=dword:00000001[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\Parameters]"AutoShareServer"=dword:00000000"AutoShareWks"=dword:00000000[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters]"EnableICMPRedirect"=dword:00000000"KeepAliveTime"=dword:000927c0"SynAttackProtect"=dword:00000002"TcpMaxHalfOpen"=dword:000001f4"TcpMaxHalfOpenRetried"=dword:00000190"TcpMaxConnectResponseRetransmissions"=dword:00000001"TcpMaxDataRetransmissions"=dword:00000003"TCPMaxPortsExhausted"=dword:00000005"DisableIPSourceRouting"=dword:00000002"TcpTimedWaitDelay"=dword:0000001e"TcpNumConnections"=dword:00004e20"EnablePMTUDiscovery"=dword:00000000"NoNameReleaseOnDemand"=dword:00000001"EnableDeadGWDetect"=dword:00000000"PerformRouterDiscovery"=dword:00000000"EnableICMPRedirects"=dword:00000000[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NetBT\Parameters]"BacklogIncrement"=dword:00000005"MaxConnBackLog"=dword:000007d0[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\AFD\Parameters]"EnableDynamicBacklog"=dword:00000001"MinimumDynamicBacklog"=dword:00000014"MaximumDynamicBacklog"=dword:00007530"DynamicBacklogGrowthDelta"=dword:0000000a
6、服务器安全设置之--IP安全策略 (仅仅列出需要屏蔽或阻止的端口或协议) 协议
IP协议端口
源地址
目标地址
描述
方式
ICMP -- -- -- ICMP
阻止
UDP
135
任何IP地址
我的IP地址
135-UDP
阻止
UDP
136
任何IP地址
我的IP地址
136-UDP
阻止
UDP
137
任何IP地址
我的IP地址
137-UDP
阻止
UDP
138
任何IP地址
我的IP地址
138-UDP
阻止
UDP
139
任何IP地址
我的IP地址
139-UDP
阻止
TCP
445
任何IP地址-从任意端口
我的IP地址-445
445-TCP
阻止
UDP
445 任何IP地址-从任意端口
我的IP地址-445
445-UDP
阻止
UDP 69 任何IP地址-从任意端口 我的IP地址-69 69-入
阻止
UDP 69 我的IP地址-69 任何IP地址-任意端口 69-出 阻止
TCP 4444 任何IP地址-从任意端口 我的IP地址-4444 4444-TCP 阻止
TCP 1026 我的IP地址-1026 任何IP地址-任意端口 灰鸽子-1026 阻止
TCP 1027 我的IP地址-1027 任何IP地址-任意端口 灰鸽子-1027 阻止
TCP 1028 我的IP地址-1028 任何IP地址-任意端口 灰鸽子-1028 阻止
UDP
1026 我的IP地址-1026 任何IP地址-任意端口 灰鸽子-1026 阻止
UDP 1027 我的IP地址-1027 任何IP地址-任意端口 灰鸽子-1027 阻止
UDP 1028 我的IP地址-1028 任何IP地址-任意端口 灰鸽子-1028 阻止
TCP 21 我的IP地址-从任意端口 任何IP地址-到21端口 阻止tftp出站 阻止
TCP 99 我的IP地址-99 任何IP地址-任意端口 阻止99shell 阻止
以上是IP安全策略里的设置,可以根据实际情况,增加或删除端口
进程帐户和模拟标识:
读取
内容目录
C:\inetpub\wwwroot\YourWebApp
(一般来说不用默认目录,管理员可根据实际情况调整比如D:\wwwroot)
7、服务器安全设置之--本地安全策略设置
安全策略自动更新命令:GPUpdate /force (应用组策略自动生效不需重新启动)
开始菜单—>管理工具—>本地安全策略
A、本地策略——>审核策略
审核策略更改 成功 失败
审核登录事件 成功 失败
审核对象访问 失败
审核过程跟踪 无审核
审核目录服务访问 失败
审核特权使用 失败
审核系统事件 成功 失败
审核账户登录事件 成功 失败
审核账户管理 成功 失败 B、本地策略——>用户权限分配
关闭系统:只有Administrators组、其它全部删除。
通过终端服务拒绝登陆:加入Guests、User组
通过终端服务允许登陆:只加入Administrators组,其他全部删除
C、本地策略——>安全选项
交互式登陆:不显示上次的用户名 启用
网络访问:不允许SAM帐户和共享的匿名枚举 启用
网络访问:不允许为网络身份验证储存凭证 启用
网络访问:可匿名访问的共享 全部删除
网络访问:可匿名访问的命 全部删除
网络访问:可远程访问的注册表路径 全部删除
网络访问:可远程访问的注册表路径和子路径 全部删除
帐户:重命名来宾帐户 重命名一个帐户
帐户:重命名系统管理员帐户 重命名一个帐户
UI 中的设置名称 企业客户端台式计算机 企业客户端便携式计算机 高安全级台式计算机 高安全级便携式计算机
帐户: 使用空白密码的本地帐户只允许进行控制台登录
已启用
已启用
已启用
已启用
帐户: 重命名系统管理员帐户
推荐
推荐
推荐
推荐
帐户: 重命名来宾帐户
推荐
推荐
推荐
推荐
设备: 允许不登录移除
已禁用
已启用
已禁用
已禁用
设备: 允许格式化和弹出可移动媒体
Administrators, Interactive Users
Administrators, Interactive Users
Administrators
Administrators
设备: 防止用户安装打印机驱动程序
已启用
已禁用
已启用
已禁用
设备: 只有本地登录的用户才能访问 CD-ROM
已禁用
已禁用
已启用
已启用
设备: 只有本地登录的用户才能访问软盘
已启用
已启用
已启用
已启用
设备: 未签名驱动程序的安装操作
允许安装但发出警告
允许安装但发出警告
禁止安装
禁止安装
域成员: 需要强 (Windows 2000 或以上版本) 会话密钥
已启用
已启用
已启用
已启用
交互式登录: 不显示上次的用户名
已启用
已启用
已启用
已启用
交互式登录: 不需要按 CTRL+ALT+DEL
已禁用
已禁用
已禁用
已禁用
交互式登录: 用户试图登录时消息文字
此系统限制为仅授权用户。尝试进行未经授权访问的个人将受到起诉。
此系统限制为仅授权用户。尝试进行未经授权访问的个人将受到起诉。
此系统限制为仅授权用户。尝试进行未经授权访问的个人将受到起诉。
此系统限制为仅授权用户。尝试进行未经授权访问的个人将受到起诉。
交互式登录: 用户试图登录时消息标题
继续在没有适当授权的情况下使用是违法行为。
继续在没有适当授权的情况下使用是违法行为。
继续在没有适当授权的情况下使用是违法行为。
继续在没有适当授权的情况下使用是违法行为。
交互式登录: 可被缓存的前次登录个数 (在域控制器不可用的情况下)
2
2
0
1
交互式登录: 在密码到期前提示用户更改密码
14 天
14 天
14 天
14 天
交互式登录: 要求域控制器身份验证以解锁工作站
已禁用
已禁用
已启用
已禁用
交互式登录: 智能卡移除操作
锁定工作站
锁定工作站
锁定工作站
锁定工作站
Microsoft 网络客户: 数字签名的通信(若服务器同意)
已启用
已启用
已启用
已启用
Microsoft 网络客户: 发送未加密的密码到第三方 SMB 服务器。
已禁用
已禁用
已禁用
已禁用
Microsoft 网络服务器: 在挂起会话之前所需的空闲时间
15 分钟
15 分钟
15 分钟
15 分钟
Microsoft 网络服务器: 数字签名的通信(总是)
已启用
已启用
已启用
已启用
Microsoft 网络服务器: 数字签名的通信(若客户同意)
已启用
已启用
已启用
已启用
Microsoft 网络服务器: 当登录时间用完时自动注销用户
已启用
已禁用
已启用
已禁用
网络访问: 允许匿名 SID/名称 转换
已禁用
已禁用
已禁用
已禁用
网络访问: 不允许 SAM 帐户和共享的匿名枚举
已启用
已启用
已启用
已启用
网络访问: 不允许 SAM 帐户和共享的匿名枚举
已启用
已启用
已启用
已启用
网络访问: 不允许为网络身份验证储存凭据或 .NET Passports
已启用
已启用
已启用
已启用
网络访问: 限制匿名访问命名管道和共享
已启用
已启用
已启用
已启用
网络访问: 本地帐户的共享和安全模式
经典 - 本地用户以自己的身份验证
经典 - 本地用户以自己的身份验证
经典 - 本地用户以自己的身份验证
经典 - 本地用户以自己的身份验证
网络安全: 不要在下次更改密码时存储 LAN Manager 的哈希值
已启用
已启用
已启用
已启用
网络安全: 在超过登录时间后强制注销
已启用
已禁用
已启用
已禁用
网络安全: LAN Manager 身份验证级别
仅发送 NTLMv2 响应
仅发送 NTLMv2 响应
仅发送 NTLMv2 响应\拒绝 LM & NTLM
仅发送 NTLMv2 响应\拒绝 LM & NTLM
网络安全: 基于 NTLM SSP(包括安全 RPC)客户的最小会话安全
没有最小
没有最小
要求 NTLMv2 会话安全 要求 128-位加密
要求 NTLMv2 会话安全 要求 128-位加密
网络安全: 基于 NTLM SSP(包括安全 RPC)服务器的最小会话安全
没有最小
没有最小
要求 NTLMv2 会话安全 要求 128-位加密
要求 NTLMv2 会话安全 要求 128-位加密
故障恢复控制台: 允许自动系统管理级登录
已禁用
已禁用
已禁用
已禁用
故障恢复控制台: 允许对所有驱动器和文件夹进行软盘复制和访问
已启用
已启用
已禁用
已禁用
关机: 允许在未登录前关机
已禁用
已禁用
已禁用
已禁用
关机: 清理虚拟内存页面文件
已禁用
已禁用
已启用
已启用
系统加密: 使用 FIPS 兼容的算法来加密,哈希和签名
已禁用
已禁用
已禁用
已禁用
系统对象: 由管理员 (Administrators) 组成员所创建的对象默认所有者
对象创建者
对象创建者
对象创建者
对象创建者
系统设置: 为软件限制策略对 Windows 可执行文件使用证书规则
已禁用
已禁用
已禁用
已禁用
8、防御PHP木马攻击的技巧
PHP本身再老版本有一些问题,比如在 php4.3.10和php5.0.3以前有一些比较严重的bug,所以推荐使用新版。另外,目前闹的轰轰烈烈的SQL Injection也是在PHP上有很多利用方式,所以要保证
安全,PHP代码编写是一方面,PHP的配置更是非常关键。
我们php手手工安装的,php的默认配置文件在 /usr/local/apache2/conf/php.ini,我们最主要就是要配置php.ini中的内容,让我们执行 php能够更安全。整个PHP中的安全设置主要是为了防止phpshell和SQL Injection的攻击,一下我们慢慢探讨。我们先使用任何编辑工具打开 /etc/local/apache2/conf/php.ini,如果你是采用其他方式安装,配置文件可能不在该目录。
(1) 打开php的安全模式
php的安全模式是个非常重要的内嵌的安全机制,能够控制一些php中的函数,比如system(),
同时把很多文件操作函数进行了权限控制,也不允许对某些关键文件的文件,比如/etc/passwd,
但是默认的php.ini是没有打开安全模式的,我们把它打开:
safe_mode = on
(2) 用户组安全
当safe_mode打开时,safe_mode_gid被关闭,那么php脚本能够对文件进行访问,而且相同
组的用户也能够对文件进行访问。
建议设置为:
safe_mode_gid = off
如果不进行设置,可能我们无法对我们服务器网站目录下的文件进行操作了,比如我们需要
对文件进行操作的时候。
(3) 安全模式下执行程序主目录
如果安全模式打开了,但是却是要执行某些程序的时候,可以指定要执行程序的主目录:
safe_mode_exec_dir = D:/usr/bin
一般情况下是不需要执行什么程序的,所以推荐不要执行系统程序目录,可以指向一个目录,
然后把需要执行的程序拷贝过去,比如:
safe_mode_exec_dir = D:/tmp/cmd
但是,我更推荐不要执行任何程序,那么就可以指向我们网页目录:
safe_mode_exec_dir = D:/usr/www
(4) 安全模式下包含文件
如果要在安全模式下包含某些公共文件,那么就修改一下选项:
safe_mode_include_dir = D:/usr/www/include/
其实一般php脚本中包含文件都是在程序自己已经写好了,这个可以根据具体需要设置。
(5) 控制php脚本能访问的目录
使用open_basedir选项能够控制PHP脚本只能访问指定的目录,这样能够避免PHP脚本访问
不应该访问的文件,一定程度上限制了phpshell的危害,我们一般可以设置为只能访问网站目录:
open_basedir = D:/usr/www
(6) 关闭危险函数
如果打开了安全模式,那么函数禁止是可以不需要的,但是我们为了安全还是考虑进去。比如,
我们觉得不希望执行包括system()等在那的能够执行命令的php函数,或者能够查看php信息的
phpinfo()等函数,那么我们就可以禁止它们:
disable_functions = system,passthru,exec,shell_exec,popen,phpinfo
如果你要禁止任何文件和目录的操作,那么可以关闭很多文件操作
disable_functions = chdir,chroot,dir,getcwd,opendir,readdir,scandir,fopen,unlink,delete,copy,mkdir, rmdir,rename,file,file_get_contents,fputs,fwrite,chgrp,chmod,chown
以上只是列了部分不叫常用的文件处理函数,你也可以把上面执行命令函数和这个函数结合,
就能够抵制大部分的phpshell了。
(7) 关闭PHP版本信息在http头中的泄漏
我们为了防止黑客获取服务器中php版本的信息,可以关闭该信息斜路在http头中:
expose_php = Off
比如黑客在 telnet www.12345.com 80 的时候,那么将无法看到PHP的信息。
(8) 关闭注册全局变量
在PHP中提交的变量,包括使用POST或者GET提交的变量,都将自动注册为全局变量,能够直接访问,
这是对服务器非常不安全的,所以我们不能让它注册为全局变量,就把注册全局变量选项关闭:
register_globals = Off
当然,如果这样设置了,那么获取对应变量的时候就要采用合理方式,比如获取GET提交的变量var,
那么就要用$_GET['var']来进行获取,这个php程序员要注意。
(9) 打开magic_quotes_gpc来防止SQL注入
SQL注入是非常危险的问题,小则网站后台被入侵,重则整个服务器沦陷,
所以一定要小心。php.ini中有一个设置:
magic_quotes_gpc = Off
这个默认是关闭的,如果它打开后将自动把用户提交对sql的查询进行转换,
比如把 ' 转为 \'等,这对防止sql注射有重大作用。所以我们推荐设置为:
magic_quotes_gpc = On
(10) 错误信息控制
一般php在没有连接到数据库或者其他情况下会有提示错误,一般错误信息中会包含php脚本当
前的路径信息或者查询的SQL语句等信息,这类信息提供给黑客后,是不安全的,所以一般服务器建议禁止错误提示:
display_errors = Off
如果你却是是要显示错误信息,一定要设置显示错误的级别,比如只显示警告以上的信息:
error_reporting = E_WARNING & E_ERROR
当然,我还是建议关闭错误提示。
(11) 错误日志
建议在关闭display_errors后能够把错误信息记录下来,便于查找服务器运行的原因:
log_errors = On
同时也要设置错误日志存放的目录,建议根apache的日志存在一起:
error_log = D:/usr/local/apache2/logs/php_error.log
注意:给文件必须允许apache用户的和组具有写的权限。
MYSQL的降权运行
新建立一个用户比如mysqlstart
net user mysqlstart ****microsoft /add
net localgroup users mysqlstart /del
不属于任何组
如果MYSQL装在d:\mysql ,那么,给 mysqlstart 完全控制 的权限
然后在系统服务中设置,MYSQL的服务属性,在登录属性当中,选择此用户 mysqlstart 然后输入密码,确定。
重新启动 MYSQL服务,然后MYSQL就运行在低权限下了。
如果是在windos平台下搭建的apache我们还需要注意一点,apache默认运行是system权限,
这很恐怖,这让人感觉很不爽.那我们就给apache降降权限吧。
net user apache ****microsoft /add
net localgroup users apache /del
ok.我们建立了一个不属于任何组的用户apche。
我们打开计算机管理器,选服务,点apache服务的属性,我们选择log on,选择this account,我们填入上面所建立的账户和密码,
重启apache服务,ok,apache运行在低权限下了。
实际上我们还可以通过设置各个文件夹的权限,来让apache用户只能执行我们想让它能干的事情,给每一个目录建立一个单独能读写的用户。
这也是当前很多虚拟主机提供商的流行配置方法哦,不过这种方法用于防止这里就显的有点大材小用了。
进程帐户:
读取和执行
列出文件夹内容
读取
注意 对于 .NET Framework 1.0,直到文件系统根目录的所有父目录也都需要上述权限。父目录包括:
C:\
C:\inetpub\
C:\inetpub\wwwroot\
基本上我也看不太清楚,所以打包给大家看了
https://www.jb51.net/downtools/win2003权限安全设置.rar