Windows系统目前最完善最完美的安全权限方案Word文件下载.docx
《Windows系统目前最完善最完美的安全权限方案Word文件下载.docx》由会员分享,可在线阅读,更多相关《Windows系统目前最完善最完美的安全权限方案Word文件下载.docx(24页珍藏版)》请在冰豆网上搜索。
2003
自带的防火墙,可以屏蔽端口,基本达到一个IPSec的功能,只保留有用的端口,比如远程(3389)和
Web(80),Ftp(21),邮件服务器(25,110),https(443),SQL(1433)
IIS
(Internet信息服务器管理器)
在"
主目录"
选项设置以下
读
允许
写
不允许
脚本源访问
目录浏览
建议关闭
记录访问
索引资源
执行权限
推荐选择
“纯脚本”
建议使用W3C扩充日志文件格式,每天记录客户IP地址,用户名,服务器端口,方法,URI字根,HTTP状态,用户代理,而且每天均要审查日志。
(最好不要使用缺省的目录,建议更换一个记日志的路径,同时设置日志的访问权限,只允许管理员和system为Full
Control)。
在IIS6.0
-本地计算机
-
属性-
允许直接编辑配置数据库在IIS中
属性->
主目录->
配置->
选项中。
在网站把”启用父路径“前面打上勾
在IIS中的Web服务扩展中选中Active
Pages,点击“允许”
优化IIS6应用程序池
1、取消“在空闲此段时间后关闭工作进程(分钟)”
2、勾选“回收工作进程(请求数目)”
3、取消“快速失败保护”
解决SERVER
2003不能上传大附件的问题
在“服务”里关闭
iis
admin
service
服务。
找到
windows\system32\inetsrv\
下的
metabase.xml
文件。
ASPMaxRequestEntityAllowed
把它修改为需要的值(可修改为20M即:
20480000)
存盘,然后重启
2003无法下载超过4M的附件问题
AspBufferingLimit
超时问题
解决大附件上传容易超时失败的问题
在IIS中调大一些脚本超时时间,操作方法是:
在IIS的“站点或虚拟目录”的“主目录”下点击“配置”按钮,
设置脚本超时时间为:
300秒
(注意:
不是Session超时时间)
解决通过WebMail写信时间较长后,按下发信按钮就会回到系统登录界面的问题
适当增加会话时间(Session)为
60分钟。
在IIS站点或虚拟目录属性的“主目录”下点击“配置-->
选项”,
就可以进行设置了(Windows
2003默认为20分钟)
修改3389远程连接端口
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal
Server\Wds\rdpwd\Tds\tcp]
"
PortNumber"
=dword:
0000端口号
Server\WinStations\RDP-Tcp]
设置这两个注册表的权限,
添加“IUSR”的完全拒绝
禁止显示端口号
本地策略--->
用户权限分配
关闭系统:
只有Administrators组、其它全部删除。
通过终端服务允许登陆:
只加入Administrators,Remote
Desktop
Users组,其他全部删除
在安全设置里
本地策略-用户权利分配,通过终端服务拒绝登陆
加入
ASPNET
IUSR_
IWAM_
NETWORK
SERVICE
(注意不要添加进user组和administrators组
添加进去以后就没有办法远程登陆了)
本地策略-安全选项
网络访问:
可匿名访问的共享;
可匿名访问的命名管道;
可远程访问的注册表路径;
可远程访问的注册表路径和子路径;
将以上四项全部删除
不允许
SAM
账户的匿名枚举
更改为"
已启用"
账户和共享的匿名枚举
;
不允许存储网络身份验证的凭据或
.NET
Passports
网络访问.限制匿名访问命名管道和共享,更改为"
将以上四项通通设为“已启用”
计算机管理的本地用户和组
禁用终端服务(TsInternetUser),
SQL服务(SQLDebugger),
SUPPORT_388945a0
禁用不必要的服务
sc
config
AeLookupSvc
start=
AUTO
Alerter
DISABLED
ALG
AppMgmt
DEMAND
aspnet_state
AudioSrv
BITS
Browser
CiSvc
ClipSrv
clr_optimization_v2.0.50727_32
COMSysApp
CryptSvc
DcomLaunch
Dfs
Dhcp
dmadmin
dmserver
Dnscache
ERSvc
Eventlog
EventSystem
helpsvc
HidServ
HTTPFilter
IISADMIN
ImapiService
IsmServ
kdc
lanmanworkstation
LicenseService
LmHosts
Messenger
mnmsrvc
MSDTC
MSIServer
MSSEARCH
MSSQLSERVER
MSSQLServerADHelper
NetDDE
NetDDEdsdm
Netlogon
Netman
Nla
NtFrs
NtLmSsp
NtmsSvc
PlugPlay
PolicyAgent
ProtectedStorage
RasAuto
RasMan
RDSessMgr
RemoteAccess
RemoteRegistry
RpcLocator
RpcSs
RSoPProv
sacsvr
SamSs
SCardSvr
Schedule
seclogon
SENS
SharedAccess
ShellHWDetection
SMTPSVC
Spooler
SQLSERVERAGENT
stisvc
swprv
SysmonLog
TapiSrv
TermService
Themes
TlntSvr
TrkSvr
TrkWks
Tssdis
UMWdf
UPS
vds
VSS
W32Time
W3SVC
WebClient
WinHttpAutoProxySvc
winmgmt
WmdmPmSN
Wmi
WmiApSrv
wuauserv
WZCSVC
xmlprov
删除默认共享
@echo
off
:
先列举存在的分区,然后再逐个删除以分区名命名的共享;
通过修改注册表防止admin$共享在下次开机时重新加载;
IPC$共享需要administritor权限才能成功删除
title
默认共享删除器
color
1f
echo.
echo
------------------------------------------------------
开始删除每个分区下的默认共享.
for
%%a
in
(C
D
E
F
G
H
I
J
K
L
M
N
O
P
Q
R
S
T
U
V
W
X
Y
Z)
do
@(
if
exist
%%a:
\nul
(
net
share
%%a$Content$nbsp;
/delete>
nul
2>
&
成功删除名为
的默认共享
||
名为
的默认共享不存在
)
admin$Content$nbsp;
stop
/y>
Server服务已停止.
start
Server>
Server服务已启动.
修改注册表以更改系统默认设置.
正在创建注册表文件.
Registry
Editor
Version
5.00>
c:
\delshare.reg
通过注册表禁止Admin$共享,以防重启后再次加载
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters]>
AutoShareWks"
00000000>
AutoShareServer"
删除IPC$共享,本功能需要administritor权限才能成功删除
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa]>
restrictanonymous"
00000001>
正在导入注册表文件以更改系统默认设置.
regedit
/s
del
\delshare.reg
临时文件已经删除.
程序已经成功删除所有的默认共享.
按任意键退出...
pause>
nul
打开C:
\Windows目录
搜索以下DOS命令文件
NET.EXE,NET1.EXE,CMD.EXE,FTP.EXE,ATTRIB.EXE,CACLS.EXE,AT.EXE,FORMAT.COM,TELNET.EXE,COMMAND.COM,NETSTAT.EXE,REGEDIT.EXE,ARP.EXE,NBTSTAT.EXE
把以上命令文件通通只给Administrators
和SYSTEM为完全控制权限
卸载删除具有CMD命令功能的危险组件
WSHOM.OCX对应于WScript.Shell组件
HKEY_CLASSES_ROOT\WScript.Shell\
及
HKEY_CLASSES_ROOT\WScript.Shell.1\
添加IUSR用户完全拒绝权限
Shell32.dll对应于Shell.Application组件
HKEY_CLASSES_ROOT\Shell.Application\
HKEY_CLASSES_ROOT\Shell.Application.1\
regsvr32/u
C:
\Windows\System32\wshom.ocx
\Windows\System32\shell32.dll
WSHOM.OCXx和Shell32.dl这两个文件只给Administrator完全权限
SQL权限设置
1、一个数据库,一个帐号和密码,比如建立了一个数据库,只给PUBLIC和DB_OWNER权限,SA帐号基本是不使用的,因为SA实在是太危险了.
2、更改
sa
密码为你都不知道的超长密码,在任何情况下都不要用
这个帐户.
3、Web登录时经常出现"
[超时,请重试]"
的问题
如果安装了
SQL
时,一定要启用“服务器网络实用工具”中的“多协议”项。
4、将有安全问题的SQL扩展存储过程删除.
将以下代码全部复制到"
SQL查询分析器"
use
master
EXEC
sp_dropextendedproc
’xp_cmdshell’
’Sp_OACreate’
’Sp_OADestroy’
’Sp_OAGetErrorInfo’
’Sp_OAGetProperty’
’Sp_OAMethod’
’Sp_OASetProperty’
’Sp_OAStop’
’Xp_regaddmultistring’
’Xp_regdeletekey’
’Xp_regdeletevalue’
’Xp_regenumvalues’
’Xp_regread’
’Xp_regremovemultistring’
’Xp_regwrite’
drop
procedure
sp_makewebtask
恢复的命令是
sp_addextendedproc
存储过程的名称,@dllname
=’存储过程的dll’
例如:
恢复存储过程xp_cmdshell
xp_cmdshell,@dllname
=’xplog70.dll’
注意,恢复时如果xplog70.dll已删除需要copy一个。
WEB目录权限设置
Everyone:
顾名思义,所有的用户,这个计算机上的所有用户都属于这个组。
最好在C盘以外(