猪头三的服务器安全配置说明
以下是我服务器的安全配置情况,写得没好,请没要介意.也没要拿砖头砸我
一.磁盘权限的设置
c:\
Administrators 完全控制
System 完全控制
Users 读取 读取运行 列出文件夹目录(为了让防盗链能正常运行)
Guest 拒绝所有权限.并只应用到“只有该文件夹”
C:\Documents and Settings
Administrators 完全控制
System 完全控制
C:\Documents and Settings\All Users
Administrators 完全控制
System 完全控制
C:\php
读取 读取运行 列出文件夹目录
C:\Program Files
Administrators 完全控制
System 完全控制
C:\Program Files\Common Files\System
把Everyone权限加上去,赋予 读取 读取运行 列出文件夹目录权限
C:\WINDOWS
Administrators 完全控制
System 完全控制
IIS_WPG 读取 读取运行 列出文件夹目录,并应用到“只有子文件夹及文件”
Users 读取 读取运行 列出文件夹目录,并应用到“只有该文件夹”
C:\WINDOWS\system32
Administrators 完全控制 System 完全控制
Everyone 读取 读取运行 列出文件夹目录,并应用到“只有子文件夹及文件”
搜索 cmd.exe net.exe net1.exe cacls.exe tftp.exe ftp.exe
赋予Administrators完全控制权限.并将C:\WINDOWS\ServicePackFiles\i386目录下面多余的删掉!
D盘看不到,不用管
E:\
Administrators 完全控制
E:\web
Administrators 完全控制
e:\web下面是网站目录,每个站点使用独立的匿名用户,这个不用多说了.
F:\
Administrators 完全控制
f:\web
administrators 完全控制
f:\web下面也是用户目录。。。自己设置权限去...
服务器上有2个PHP的站点.因为PHP的安全机制
设置的权限有所不同.
F:\web\www.ndsman.net
administrators 完全控制
system 完全控制
everyone 完全控制,不是继承的.点高级-把那个勾去掉
F:\web\www.ndsman.net\sb 是网站目录
administrators 完全控制
system 完全控制
www.ndsman.net 除了完全控制以外,全部赋予
F:\web\www.xzhy.cn 这个也是PHP的,设置权限如上,不再重复.
另:E:\web\IIS备份 此目录下是IIS站点配置备份.建立站点时直接导入就可,E:\2盘\bak\建立网站用户的批处理.BAT 直接运行就会自动建立网站匿名帐户.
二.系统安全设置
1.启用Windows自带防火墙,并开放80 21 3306 52013 端口.(想开什么端口自己加)
2.删除以下的注册表主键:
WScript.Shell
WScript.Shell.1
Shell.application
Shell.application.1
WSCRIPT.NETWORK
WSCRIPT.NETWORK.1
regsvr32 /u wshom.ocx回车、regsvr32 /u wshext.dll回车
3.删除没有必要的储存过程
use master
EXEC sp_dropextendedproc 'xp_cmdshell'
EXEC sp_dropextendedproc 'Sp_OACreate'
EXEC sp_dropextendedproc 'Sp_OADestroy'
EXEC sp_dropextendedproc 'Sp_OAGetErrorInfo'
EXEC sp_dropextendedproc 'Sp_OAGetProperty'
EXEC sp_dropextendedproc 'Sp_OAMethod'
EXEC sp_dropextendedproc 'Sp_OASetProperty'
EXEC sp_dropextendedproc 'Sp_OAStop'
EXEC sp_dropextendedproc 'Xp_regaddmultistring'
EXEC sp_dropextendedproc 'Xp_regdeletekey'
EXEC sp_dropextendedproc 'Xp_regdeletevalue'
EXEC sp_dropextendedproc 'Xp_regenumvalues'
EXEC sp_dropextendedproc 'Xp_regread'
EXEC sp_dropextendedproc 'Xp_regremovemultistring'
EXEC sp_dropextendedproc 'Xp_regwrite'
drop procedure sp_makewebtask
(本人建议直接找对应的DLL文件删除比较保险)
4.禁用Workstation服务,防止ASP木马列出用户.
5.关闭默认共享防止LAN内IPC入侵。可以用批处理来实现.如下:
echo off
net share c$ /del
net share d$ /del
net share e$ /del
net share f$ /del
保存为bat放到C:\Documents and Settings\All Users\「开始」菜单\程序\启动 即可
6.定时重启IIS服务及SQL服务.释放资源.可以用计划任务来实现.怎么弄自己想去。
7.设置终端登陆权限,只允许授权用户登陆.开始-程序-管理工具-终端服务配置-RDP-属性-权限
Administrator
chadmin
system
完全控制,不过尽管这样还是有一定的不安全,克隆个帐户就得了.建议限制IP登陆.尽管这样还是不安全滴,人家可以映射终端端口.最好的就是把服务器搞得上没得网.用IP安全策略可以做到.
8.Serv-U改一下本地管理密码,防止本地溢出.设置一下FTP域安全性,选择允许SSL/TLS和规则会话.
OK.就照着这样设置就行了,又安全又不影响第三方软件使用.每台服务器的权限配置都不一样,不要照搬了.服务器升天我不负责.这样设置防防点小菜鸟应该足够啦.哈~
一.磁盘权限的设置
c:\
Administrators 完全控制
System 完全控制
Users 读取 读取运行 列出文件夹目录(为了让防盗链能正常运行)
Guest 拒绝所有权限.并只应用到“只有该文件夹”
C:\Documents and Settings
Administrators 完全控制
System 完全控制
C:\Documents and Settings\All Users
Administrators 完全控制
System 完全控制
C:\php
读取 读取运行 列出文件夹目录
C:\Program Files
Administrators 完全控制
System 完全控制
C:\Program Files\Common Files\System
把Everyone权限加上去,赋予 读取 读取运行 列出文件夹目录权限
C:\WINDOWS
Administrators 完全控制
System 完全控制
IIS_WPG 读取 读取运行 列出文件夹目录,并应用到“只有子文件夹及文件”
Users 读取 读取运行 列出文件夹目录,并应用到“只有该文件夹”
C:\WINDOWS\system32
Administrators 完全控制 System 完全控制
Everyone 读取 读取运行 列出文件夹目录,并应用到“只有子文件夹及文件”
搜索 cmd.exe net.exe net1.exe cacls.exe tftp.exe ftp.exe
赋予Administrators完全控制权限.并将C:\WINDOWS\ServicePackFiles\i386目录下面多余的删掉!
D盘看不到,不用管
E:\
Administrators 完全控制
E:\web
Administrators 完全控制
e:\web下面是网站目录,每个站点使用独立的匿名用户,这个不用多说了.
F:\
Administrators 完全控制
f:\web
administrators 完全控制
f:\web下面也是用户目录。。。自己设置权限去...
服务器上有2个PHP的站点.因为PHP的安全机制
设置的权限有所不同.
F:\web\www.ndsman.net
administrators 完全控制
system 完全控制
everyone 完全控制,不是继承的.点高级-把那个勾去掉
F:\web\www.ndsman.net\sb 是网站目录
administrators 完全控制
system 完全控制
www.ndsman.net 除了完全控制以外,全部赋予
F:\web\www.xzhy.cn 这个也是PHP的,设置权限如上,不再重复.
另:E:\web\IIS备份 此目录下是IIS站点配置备份.建立站点时直接导入就可,E:\2盘\bak\建立网站用户的批处理.BAT 直接运行就会自动建立网站匿名帐户.
二.系统安全设置
1.启用Windows自带防火墙,并开放80 21 3306 52013 端口.(想开什么端口自己加)
2.删除以下的注册表主键:
WScript.Shell
WScript.Shell.1
Shell.application
Shell.application.1
WSCRIPT.NETWORK
WSCRIPT.NETWORK.1
regsvr32 /u wshom.ocx回车、regsvr32 /u wshext.dll回车
3.删除没有必要的储存过程
use master
EXEC sp_dropextendedproc 'xp_cmdshell'
EXEC sp_dropextendedproc 'Sp_OACreate'
EXEC sp_dropextendedproc 'Sp_OADestroy'
EXEC sp_dropextendedproc 'Sp_OAGetErrorInfo'
EXEC sp_dropextendedproc 'Sp_OAGetProperty'
EXEC sp_dropextendedproc 'Sp_OAMethod'
EXEC sp_dropextendedproc 'Sp_OASetProperty'
EXEC sp_dropextendedproc 'Sp_OAStop'
EXEC sp_dropextendedproc 'Xp_regaddmultistring'
EXEC sp_dropextendedproc 'Xp_regdeletekey'
EXEC sp_dropextendedproc 'Xp_regdeletevalue'
EXEC sp_dropextendedproc 'Xp_regenumvalues'
EXEC sp_dropextendedproc 'Xp_regread'
EXEC sp_dropextendedproc 'Xp_regremovemultistring'
EXEC sp_dropextendedproc 'Xp_regwrite'
drop procedure sp_makewebtask
(本人建议直接找对应的DLL文件删除比较保险)
4.禁用Workstation服务,防止ASP木马列出用户.
5.关闭默认共享防止LAN内IPC入侵。可以用批处理来实现.如下:
echo off
net share c$ /del
net share d$ /del
net share e$ /del
net share f$ /del
保存为bat放到C:\Documents and Settings\All Users\「开始」菜单\程序\启动 即可
6.定时重启IIS服务及SQL服务.释放资源.可以用计划任务来实现.怎么弄自己想去。
7.设置终端登陆权限,只允许授权用户登陆.开始-程序-管理工具-终端服务配置-RDP-属性-权限
Administrator
chadmin
system
完全控制,不过尽管这样还是有一定的不安全,克隆个帐户就得了.建议限制IP登陆.尽管这样还是不安全滴,人家可以映射终端端口.最好的就是把服务器搞得上没得网.用IP安全策略可以做到.
8.Serv-U改一下本地管理密码,防止本地溢出.设置一下FTP域安全性,选择允许SSL/TLS和规则会话.
OK.就照着这样设置就行了,又安全又不影响第三方软件使用.每台服务器的权限配置都不一样,不要照搬了.服务器升天我不负责.这样设置防防点小菜鸟应该足够啦.哈~
顶(0)
踩(0)
- 最新评论