Win2003 IIS6 ASP NET PHP PERL MSSQL MYSQL最新服务器安全设置技术实例(9)

<继承于E:\> <继承于C:\windows> CREATOR OWNER 完全控制 ASP.NET 计算机帐户 写入/删除 只有子文件夹及文件 该文件夹，子文件夹及文件 <继承于E:\> <不是继承的> SYSTEM 完全控制 IIS_WPG 读取和运行 该文件夹，子文件夹及文件 该文件夹，子文件夹及文件 <继承于E:\> <继承于C:\windows> IUSR_XXX
或某个虚拟主机用户组 列出文件夹/读取数据 ：拒绝 IIS_WPG 写入/删除 该文件夹，子文件夹及文件 该文件夹，子文件夹及文件 <不是继承的> <不是继承的> Guests 列出文件夹/读取数据 ：拒绝 LOCAL SERVICE 读取和运行 该文件夹，子文件夹及文件 该文件夹，子文件夹及文件 <不是继承的> <继承于C:\windows> USERS 读取和运行 LOCAL SERVICE 写入/删除 该文件夹，子文件夹及文件 该文件夹，子文件夹及文件 <继承于C:\windows> <不是继承的> NETWORK SERVICE 读取和运行 该文件夹，子文件夹及文件 <继承于C:\windows> NETWORK SERVICE 写入/删除 该文件夹，子文件夹及文件 <不是继承的>

5、 服务器安全设置之--服务器安全和性能配置

把下面文本保存为: windows2000-2003服务器安全和性能注册表自动配置文件.reg 运行即可。

Windows Registry Editor Version 5.00[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]"NoRecentDocsMenu"=hex:01,00,00,00"NoRecentDocsHistory"=hex:01,00,00,00[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]"DontDisplayLastUserName"="1"[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa]"restrictanonymous"=dword:00000001[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\Parameters]"AutoShareServer"=dword:00000000"AutoShareWks"=dword:00000000[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters]"EnableICMPRedirect"=dword:00000000"KeepAliveTime"=dword:000927c0"SynAttackProtect"=dword:00000002"TcpMaxHalfOpen"=dword:000001f4"TcpMaxHalfOpenRetried"=dword:00000190"TcpMaxConnectResponseRetransmissions"=dword:00000001"TcpMaxDataRetransmissions"=dword:00000003"TCPMaxPortsExhausted"=dword:00000005"DisableIPSourceRouting"=dword:00000002"TcpTimedWaitDelay"=dword:0000001e"TcpNumConnections"=dword:00004e20"EnablePMTUDiscovery"=dword:00000000"NoNameReleaseOnDemand"=dword:00000001"EnableDeadGWDetect"=dword:00000000"PerformRouterDiscovery"=dword:00000000"EnableICMPRedirects"=dword:00000000[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NetBT\Parameters]"BacklogIncrement"=dword:00000005"MaxConnBackLog"=dword:000007d0[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\AFD\Parameters]"EnableDynamicBacklog"=dword:00000001"MinimumDynamicBacklog"=dword:00000014"MaximumDynamicBacklog"=dword:00007530"DynamicBacklogGrowthDelta"=dword:0000000a

功能：可抵御DDOS攻击2-3万包，提高服务器TCP-IP整体安全性能（效果等于软件防火墙，节约了系统资源）

6、服务器安全设置之--IP安全策略 (仅仅列出需要屏蔽或阻止的端口或协议)

协议	IP协议端口	源地址	目标地址	描述	方式
ICMP	--	--	--	ICMP	阻止
UDP	135	任何IP地址	我的IP地址	135-UDP	阻止
UDP	136	任何IP地址	我的IP地址	136-UDP	阻止
UDP	137	任何IP地址	我的IP地址	137-UDP	阻止
UDP	138	任何IP地址	我的IP地址	138-UDP	阻止
UDP	139	任何IP地址	我的IP地址	139-UDP	阻止
TCP	445	任何IP地址-从任意端口	我的IP地址-445	445-TCP	阻止
UDP	445	任何IP地址-从任意端口	我的IP地址-445	445-UDP	阻止
UDP	69	任何IP地址-从任意端口	我的IP地址-69	69-入	阻止
UDP	69	我的IP地址-69	任何IP地址-任意端口	69-出	阻止
TCP	4444	任何IP地址-从任意端口	我的IP地址-4444	4444-TCP	阻止
TCP	1026	我的IP地址-1026	任何IP地址-任意端口	灰鸽子-1026	阻止
TCP	1027	我的IP地址-1027	任何IP地址-任意端口	灰鸽子-1027	阻止
TCP	1028	我的IP地址-1028	任何IP地址-任意端口	灰鸽子-1028	阻止
UDP	1026	我的IP地址-1026	任何IP地址-任意端口	灰鸽子-1026	阻止
UDP	1027	我的IP地址-1027	任何IP地址-任意端口	灰鸽子-1027	阻止
UDP	1028	我的IP地址-1028	任何IP地址-任意端口	灰鸽子-1028	阻止
TCP	21	我的IP地址-从任意端口	任何IP地址-到21端口	阻止tftp出站	阻止
TCP	99	我的IP地址-99	任何IP地址-任意端口	阻止99shell	阻止

以上是IP安全策略里的设置，可以根据实际情况，增加或删除端口。

7、服务器安全设置之--本地安全策略设置
安全策略自动更新命令：GPUpdate /force (应用组策略自动生效不需重新启动)

　　 开始菜单—>管理工具—>本地安全策略

　　 A、本地策略——>审核策略

　　 审核策略更改　　　成功　失败　　
　　 审核登录事件　　　成功　失败
　　 审核对象访问　　　　　　失败
　　 审核过程跟踪　　　无审核
　　 审核目录服务访问　　　　失败
　　 审核特权使用　　　　　　失败
　　 审核系统事件　　　成功　失败
　　 审核账户登录事件　成功　失败
　　 审核账户管理　　　成功　失败 　　B、本地策略——>用户权限分配

　　 关闭系统：只有Administrators组、其它全部删除。
　　 通过终端服务拒绝登陆：加入Guests、User组
　　 通过终端服务允许登陆：只加入Administrators组，其他全部删除
　　C、本地策略——>安全选项

　　 交互式登陆：不显示上次的用户名　　　　　　　启用
　　 网络访问：不允许SAM帐户和共享的匿名枚举　　 启用
　　 网络访问：不允许为网络身份验证储存凭证　　　启用
　　 网络访问：可匿名访问的共享　　　　　　　　　全部删除
　　 网络访问：可匿名访问的命　　　　　　　　　　全部删除
　　 网络访问：可远程访问的注册表路径　　　　　　全部删除
　　 网络访问：可远程访问的注册表路径和子路径　　全部删除
　　 帐户：重命名来宾帐户　　　　　　　　　　　　重命名一个帐户
　　 帐户：重命名系统管理员帐户　　　　　　　　　重命名一个帐户

UI 中的设置名称	企业客户端台式计算机	企业客户端便携式计算机	高安全级台式计算机	高安全级便携式计算机
帐户: 使用空白密码的本地帐户只允许进行控制台登录	已启用	已启用	已启用	已启用
帐户: 重命名系统管理员帐户	推荐	推荐	推荐	推荐
帐户: 重命名来宾帐户	推荐	推荐	推荐	推荐
设备: 允许不登录移除	已禁用	已启用	已禁用	已禁用
设备: 允许格式化和弹出可移动媒体	Administrators, Interactive Users	Administrators, Interactive Users	Administrators	Administrators
设备: 防止用户安装打印机驱动程序	已启用	已禁用	已启用	已禁用
设备: 只有本地登录的用户才能访问 CD-ROM	已禁用	已禁用	已启用	已启用
设备: 只有本地登录的用户才能访问软盘	已启用	已启用	已启用	已启用
设备: 未签名驱动程序的安装操作	允许安装但发出警告	允许安装但发出警告	禁止安装	禁止安装
域成员: 需要强 (Windows 2000 或以上版本) 会话密钥	已启用	已启用	已启用	已启用
交互式登录: 不显示上次的用户名	已启用	已启用	已启用	已启用
交互式登录: 不需要按 CTRL ALT DEL	已禁用	已禁用	已禁用	已禁用
交互式登录: 用户试图登录时消息文字	此系统限制为仅授权用户。尝试进行未经授权访问的个人将受到起诉。	此系统限制为仅授权用户。尝试进行未经授权访问的个人将受到起诉。	此系统限制为仅授权用户。尝试进行未经授权访问的个人将受到起诉。	此系统限制为仅授权用户。尝试进行未经授权访问的个人将受到起诉。
交互式登录: 用户试图登录时消息标题	继续在没有适当授权的情况下使用是违法行为。	继续在没有适当授权的情况下使用是违法行为。	继续在没有适当授权的情况下使用是违法行为。	继续在没有适当授权的情况下使用是违法行为。
交互式登录: 可被缓存的前次登录个数 (在域控制器不可用的情况下)	2 共11页: 上一页 1 2 3 4 5 6 7 8 9 10 11 下一页 顶(5) 踩(0) 【搜索相关内容】[打印] [关闭] 上一篇：Windows2003 下安装 WinWebMail 3.6.3.1 完全攻略手册 下一篇：轻轻松松把 Apache 配置安全 您可能还会对下面的文章感兴趣： 相关文章 1 自动重启server2003服务器 2 ibmx335/ibmx336服务器做RAID阵列的图文方法(包括删除RAID阵列) 3 让服务器iis支持.apk文件下载的设置方法 4 提高IIS网站服务器性能2点考虑(缓存+gzip) 5 服务器中aux,com1,com2,prn,con,nul等特殊文件删除方法 6 LVS(Linux Virtual Server)Linux 虚拟服务器介绍及配置(负载均衡 最新评论 ^