Windows系统目前最完善最完美的安全权限方案Word文件下载.docx

Windows系统目前最完善最完美的安全权限方案Word文件下载.docx

《Windows系统目前最完善最完美的安全权限方案Word文件下载.docx》由会员分享，可在线阅读，更多相关《Windows系统目前最完善最完美的安全权限方案Word文件下载.docx（24页珍藏版）》请在冰豆网上搜索。

2003 

自带的防火墙，可以屏蔽端口，基本达到一个IPSec的功能,只保留有用的端口,比如远程（3389）和 

Web（80）,Ftp（21）,邮件服务器（25,110）,https（443）,SQL（1433）

IIS 

（Internet信息服务器管理器） 

在"

主目录"

选项设置以下

读 

允许

写 

不允许

脚本源访问 

目录浏览 

建议关闭

记录访问 

索引资源 

执行权限 

推荐选择 

“纯脚本”

建议使用W3C扩充日志文件格式，每天记录客户IP地址，用户名，服务器端口，方法，URI字根，HTTP状态，用户代理，而且每天均要审查日志。

（最好不要使用缺省的目录，建议更换一个记日志的路径，同时设置日志的访问权限，只允许管理员和system为Full 

Control）。

在IIS6.0 

-本地计算机 

- 

属性- 

允许直接编辑配置数据库在IIS中 

属性->

主目录->

配置->

选项中。

在网站把”启用父路径“前面打上勾

在IIS中的Web服务扩展中选中Active 

Pages，点击“允许”

优化IIS6应用程序池

1、取消“在空闲此段时间后关闭工作进程（分钟）”

2、勾选“回收工作进程（请求数目）”

3、取消“快速失败保护”

解决SERVER 

2003不能上传大附件的问题

在“服务”里关闭 

iis 

admin 

service 

服务。

找到 

windows\system32\inetsrv\ 

下的 

metabase.xml 

文件。

ASPMaxRequestEntityAllowed 

把它修改为需要的值（可修改为20M即：

20480000）

存盘，然后重启 

2003无法下载超过4M的附件问题

AspBufferingLimit 

超时问题

解决大附件上传容易超时失败的问题

在IIS中调大一些脚本超时时间，操作方法是：

在IIS的“站点或虚拟目录”的“主目录”下点击“配置”按钮，

设置脚本超时时间为：

300秒 

（注意：

不是Session超时时间）

　　解决通过WebMail写信时间较长后，按下发信按钮就会回到系统登录界面的问题

适当增加会话时间（Session）为 

60分钟。

在IIS站点或虚拟目录属性的“主目录”下点击“配置-->

选项”，

就可以进行设置了（Windows 

2003默认为20分钟）

修改3389远程连接端口

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal 

Server\Wds\rdpwd\Tds\tcp]

"

PortNumber"

=dword:

0000端口号

Server\WinStations\RDP-Tcp]

设置这两个注册表的权限, 

添加“IUSR”的完全拒绝 

禁止显示端口号

本地策略--->

用户权限分配

关闭系统：

只有Administrators组、其它全部删除。

通过终端服务允许登陆：

只加入Administrators,Remote 

Desktop 

Users组，其他全部删除

在安全设置里 

本地策略-用户权利分配，通过终端服务拒绝登陆 

加入

ASPNET

IUSR_

IWAM_

NETWORK 

SERVICE

（注意不要添加进user组和administrators组 

添加进去以后就没有办法远程登陆了）

本地策略-安全选项

网络访问:

可匿名访问的共享;

可匿名访问的命名管道;

可远程访问的注册表路径;

可远程访问的注册表路径和子路径;

将以上四项全部删除

不允许 

SAM 

账户的匿名枚举 

更改为"

已启用"

账户和共享的匿名枚举 

;

不允许存储网络身份验证的凭据或 

.NET 

Passports 

网络访问.限制匿名访问命名管道和共享,更改为"

将以上四项通通设为“已启用”

计算机管理的本地用户和组

禁用终端服务（TsInternetUser）, 

SQL服务（SQLDebugger）, 

SUPPORT_388945a0

禁用不必要的服务

sc 

config 

AeLookupSvc 

start= 

AUTO

Alerter 

DISABLED

ALG 

AppMgmt 

DEMAND

aspnet_state 

AudioSrv 

BITS 

Browser 

CiSvc 

ClipSrv 

clr_optimization_v2.0.50727_32 

COMSysApp 

CryptSvc 

DcomLaunch 

Dfs 

Dhcp 

dmadmin 

dmserver 

Dnscache 

ERSvc 

Eventlog 

EventSystem 

helpsvc 

HidServ 

HTTPFilter 

IISADMIN 

ImapiService 

IsmServ 

kdc 

lanmanworkstation 

LicenseService 

LmHosts 

Messenger 

mnmsrvc 

MSDTC 

MSIServer 

MSSEARCH 

MSSQLSERVER 

MSSQLServerADHelper 

NetDDE 

NetDDEdsdm 

Netlogon 

Netman 

Nla 

NtFrs 

NtLmSsp 

NtmsSvc 

PlugPlay 

PolicyAgent 

ProtectedStorage 

RasAuto 

RasMan 

RDSessMgr 

RemoteAccess 

RemoteRegistry 

RpcLocator 

RpcSs 

RSoPProv 

sacsvr 

SamSs 

SCardSvr 

Schedule 

seclogon 

SENS 

SharedAccess 

ShellHWDetection 

SMTPSVC 

Spooler 

SQLSERVERAGENT 

stisvc 

swprv 

SysmonLog 

TapiSrv 

TermService 

Themes 

TlntSvr 

TrkSvr 

TrkWks 

Tssdis 

UMWdf 

UPS 

vds 

VSS 

W32Time 

W3SVC 

WebClient 

WinHttpAutoProxySvc 

winmgmt 

WmdmPmSN 

Wmi 

WmiApSrv 

wuauserv 

WZCSVC 

xmlprov 

删除默认共享

@echo 

off

:

先列举存在的分区，然后再逐个删除以分区名命名的共享；

通过修改注册表防止admin$共享在下次开机时重新加载；

IPC$共享需要administritor权限才能成功删除

title 

默认共享删除器

color 

1f

echo.

echo 

------------------------------------------------------

开始删除每个分区下的默认共享.

for 

%%a 

in 

（C 

D 

E 

F 

G 

H 

I 

J 

K 

L 

M 

N 

O 

P 

Q 

R 

S 

T 

U 

V 

W 

X 

Y 

Z） 

do 

@（

if 

exist 

%%a:

\nul 

（

net 

share 

%%a$Content$nbsp;

/delete>

nul 

2>

&

成功删除名为 

的默认共享 

|| 

名为 

的默认共享不存在

）

admin$Content$nbsp;

stop 

/y>

Server服务已停止.

start 

Server>

Server服务已启动.

修改注册表以更改系统默认设置.

正在创建注册表文件.

Registry 

Editor 

Version 

5.00>

c:

\delshare.reg

通过注册表禁止Admin$共享，以防重启后再次加载

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters]>

AutoShareWks"

00000000>

AutoShareServer"

删除IPC$共享，本功能需要administritor权限才能成功删除

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa]>

restrictanonymous"

00000001>

正在导入注册表文件以更改系统默认设置.

regedit 

/s 

del 

\delshare.reg 

临时文件已经删除.

程序已经成功删除所有的默认共享.

按任意键退出...

pause>

nul

打开C:

\Windows目录 

搜索以下DOS命令文件

NET.EXE,NET1.EXE,CMD.EXE,FTP.EXE,ATTRIB.EXE,CACLS.EXE,AT.EXE,FORMAT.COM,TELNET.EXE,COMMAND.COM,NETSTAT.EXE,REGEDIT.EXE,ARP.EXE,NBTSTAT.EXE

把以上命令文件通通只给Administrators 

和SYSTEM为完全控制权限

卸载删除具有CMD命令功能的危险组件

WSHOM.OCX对应于WScript.Shell组件 

HKEY_CLASSES_ROOT\WScript.Shell\

及

HKEY_CLASSES_ROOT\WScript.Shell.1\

添加IUSR用户完全拒绝权限

Shell32.dll对应于Shell.Application组件

HKEY_CLASSES_ROOT\Shell.Application\

HKEY_CLASSES_ROOT\Shell.Application.1\

regsvr32/u 

C:

\Windows\System32\wshom.ocx

\Windows\System32\shell32.dll

WSHOM.OCXx和Shell32.dl这两个文件只给Administrator完全权限

SQL权限设置

1、一个数据库,一个帐号和密码,比如建立了一个数据库，只给PUBLIC和DB_OWNER权限，SA帐号基本是不使用的，因为SA实在是太危险了.

2、更改 

sa 

密码为你都不知道的超长密码,在任何情况下都不要用 

这个帐户.

3、Web登录时经常出现"

[超时，请重试]"

的问题

如果安装了 

SQL 

时，一定要启用“服务器网络实用工具”中的“多协议”项。

4、将有安全问题的SQL扩展存储过程删除. 

将以下代码全部复制到"

SQL查询分析器"

use 

master

EXEC 

sp_dropextendedproc 

’xp_cmdshell’

’Sp_OACreate’

’Sp_OADestroy’

’Sp_OAGetErrorInfo’

’Sp_OAGetProperty’

’Sp_OAMethod’

’Sp_OASetProperty’

’Sp_OAStop’

’Xp_regaddmultistring’

’Xp_regdeletekey’

’Xp_regdeletevalue’

’Xp_regenumvalues’

’Xp_regread’

’Xp_regremovemultistring’

’Xp_regwrite’

drop 

procedure 

sp_makewebtask

恢复的命令是

sp_addextendedproc 

存储过程的名称,@dllname 

=’存储过程的dll’

例如：

恢复存储过程xp_cmdshell

xp_cmdshell,@dllname 

=’xplog70.dll’

注意，恢复时如果xplog70.dll已删除需要copy一个。

WEB目录权限设置

Everyone:

顾名思义，所有的用户，这个计算机上的所有用户都属于这个组。

最好在C盘以外（