WindowsServer系统安全系统配置大全.docx
《WindowsServer系统安全系统配置大全.docx》由会员分享,可在线阅读,更多相关《WindowsServer系统安全系统配置大全.docx(41页珍藏版)》请在冰豆网上搜索。
WindowsServer系统安全系统配置大全
Windows2008服务器安全设置技术实例
一、服务器安全设置之--硬盘权限篇
这里着重谈需要的权限,也就是最终文件夹或硬盘需要的权限,可以防御各种木马入侵,提权攻击,跨站攻击等。
本实例经过多次试验,安全性能很好,服务器基本没有被木马威胁的担忧了(注:
红色背景为主要审查配置对象)。
硬盘或文件夹:
C:
D:
E:
F:
类推
主要权限部分:
其他权限部分:
Administrators
完全控制
无
如果安装了其他运行环境,比如PHP等,则根据PHP的环境功能要求来设置硬盘权限,一般是安装目录加上users读取运行权限就足够了,比如c:
php的话,就在根目录权限继承的情况下加上users读取运行权限,需要写入数据的比如tmp文件夹,则把users的写删权限加上,运行权限不要,然后把虚拟主机用户的读权限拒绝即可。
如果是mysql的话,用一个独立用户运行MYSQL会更安全,下面会有介绍。
如果是winwebmail,则最好建立独立的应用程序池和独立IIS用户,然后整个安装目录有users用户的读/运行/写/权限,IIS用户则相同,这个IIS用户就只用在winwebmail的WEB访问中,其他IIS站点切勿使用,安装了winwebmail的服务器硬盘权限设置后面举例
该文件夹,子文件夹及文件
<不是继承的>
SYSTEM
完全控制
该文件夹,子文件夹及文件
<不是继承的>
硬盘或文件夹:
C:
Inetpub
主要权限部分:
其他权限部分:
Administrators
完全控制
无
该文件夹,子文件夹及文件
<继承于c:
>
CREATOROWNER
完全控制
只有子文件夹及文件
<继承于c:
>
SYSTEM
完全控制
该文件夹,子文件夹及文件
<继承于c:
>
硬盘或文件夹:
C:
Inetpub/temp
主要权限部分:
其他权限部分:
Administrators
完全控制
Users
读取,读取和执行
该文件夹,子文件夹及文件
该文件夹,子文件夹及文件
<不是继承的>
<不是继承的>
SYSTEM
完全控制
该文件夹,子文件夹及文件
<不是继承的>
硬盘或文件夹:
C:
Inetpub/wwwroot
主要权限部分:
其他权限部分:
Administrators
完全控制
IIS_IUSR
读取运行/列出文件夹目录/读取
该文件夹,子文件夹及文件
该文件夹,子文件夹及文件
<不是继承的>
<不是继承的>
SYSTEM
完全控制
Users
读取运行/列出文件夹目录/读取
该文件夹,子文件夹及文件
该文件夹,子文件夹及文件
<不是继承的>
<不是继承的>
硬盘或文件夹:
C:
Inetpub/wwwroot/aspnet_client
主要权限部分:
其他权限部分:
Administrators
完全控制
Users
读取
该文件夹,子文件夹及文件
该文件夹,子文件夹及文件
<不是继承的>
<不是继承的>
SYSTEM
完全控制
该文件夹,子文件夹及文件
<不是继承的>
硬盘或文件夹:
C:
Users
主要权限部分:
其他权限部分:
Administrators
完全控制
Users
读取和运行(包括列出文件夹容,读取权限),USERS组的权限仅仅限制于读取和运行,
绝对不能加上写入权限
该文件夹,子文件夹及文件
该文件夹,子文件夹及文件
<不是继承的>
<不是继承的>
SYSTEM
完全控制
该文件夹,子文件夹及文件
<不是继承的>
硬盘或文件夹:
C:
Users/Administrator
主要权限部分:
其他权限部分:
Administrators
完全控制
Administrator
完全控制
该文件夹,子文件夹及文件
该文件夹,子文件夹及文件
<不是继承的>
<不是继承的>
SYSTEM
完全控制
该文件夹,子文件夹及文件
<不是继承的>
硬盘或文件夹:
C:
Users/Default
C:
\Users\Default\AppData\Roaming
主要权限部分:
其他权限部分:
Administrators
完全控制
Users
读取和运行
该文件夹,子文件夹及文件
该文件夹,子文件夹及文件
<不是继承的>
<继承上一级文件夹>
SYSTEM
完全控制
USERS组的权限仅仅限制于读取和运行,
绝对不能加上写入权限
该文件夹,子文件夹及文件
<不是继承的>
硬盘或文件夹:
C:
\Users\Default\AppData\Roaming\Microsoft\Windows\「开始」菜单
主要权限部分:
其他权限部分:
Administrators
完全控制
Users
读取和运行
该文件夹,子文件夹及文件
该文件夹,子文件夹及文件
<不是继承的>
<不是继承的>
SYSTEM
完全控制
隐藏,只读
该文件夹,子文件夹及文件
<不是继承的>
硬盘或文件夹:
C:
\Users\Administrator\AppData
主要权限部分:
其他权限部分:
Administrators
完全控制
Users
读取和运行
该文件夹,子文件夹及文件
该文件夹,子文件夹及文件
<不是继承的>
<不是继承的>
SYSTEM
完全控制
该文件夹,子文件夹及文件
<不是继承的>
硬盘或文件夹:
C:
\Users\Default\AppData
主要权限部分:
其他权限部分:
Administrators
完全控制
Users
读取和运行
该文件夹,子文件夹及文件
该文件夹,子文件夹及文件
<不是继承的>
<不是继承的>
SYSTEM
完全控制
隐藏,只读
该文件夹,子文件夹及文件
<不是继承的>
硬盘或文件夹:
C:
\Users\Default\Downloads
C:
\Users\Default\Documents
主要权限部分:
其他权限部分:
Administrators
完全控制
Users
读取和运行
该文件夹,子文件夹及文件
该文件夹,子文件夹及文件
<继承于上一级文件夹>
<继承上一级目录>
SYSTEM
完全控制
只读
该文件夹,子文件夹及文件
<继承于上一级文件夹>
硬盘或文件夹:
C:
\Users\Administrator\AppData\Roaming
C:
\Users\Administrator\AppData\Local
主要权限部分:
其他权限部分:
Administrators
完全控制
该文件夹,子文件夹及文件
<继承于上一级文件夹>
Administrator
完全控制
该文件夹,子文件夹及文件
<继承于上一级文件夹>
SYSTEM
完全控制
该文件夹,子文件夹及文件
<继承于上一级文件夹>
硬盘或文件夹:
C:
\Users\Default\AppData\Local\Temp
主要权限部分:
其他权限部分:
Administrators
完全控制
Users
读取和运行
该文件夹,子文件夹及文件
该文件夹,子文件夹及文件
<继承上一级文件夹>
<继承上一级目录>
SYSTEM
完全控制
只读
该文件夹,子文件夹及文件
<继承上一级文件夹>
硬盘或文件夹:
C:
\Users\Administrator\AppData\Local\Temp
主要权限部分:
其他权限部分:
Administrators
完全控制
该文件夹,子文件夹及文件
<继承上一级文件夹>
Administrator
完全控制
该文件夹,子文件夹及文件
<继承于上一级文件夹>
SYSTEM
完全控制
该文件夹,子文件夹及文件
<继承上一级文件夹>
硬盘或文件夹:
C:
\Users\Default\AppData\Roaming\Microsoft
主要权限部分:
其他权限部分:
Administrators
完全控制
Users
读取和运行
该文件夹,子文件夹及文件
该文件夹,子文件夹及文件
<继承上一级文件夹>
<继承上一级文件夹>
SYSTEM
完全控制
此文件夹包含Microsoft应用程序状态数据,系统默认权限即可。
该文件夹,子文件夹及文件
<继承上一级文件夹>
硬盘或文件夹:
C:
\Users\Administrator\AppData\Roaming\Microsoft\Crypto\RSA
C:
\Users\Administrator\AppData\Roaming\Microsoft\Crypto
主要权限部分:
其他权限部分:
Administrators
完全控制
存在administrator管理员权限,不用理会。
该文件夹,子文件夹及文件
<继承上一级文件夹>
SYSTEM
完全控制
该文件夹,子文件夹及文件
<继承上一级文件夹>
硬盘或文件夹:
C:
\Users\Administrator\AppData\Roaming\Microsoft\HTMLHelp
主要权限部分:
其他权限部分:
Administrators
完全控制
Administrator
完全控制
该文件夹,子文件夹及文件
该文件夹,子文件夹及文件
<继承上一级文件夹>
<继承上一级文件夹>
SYSTEM
完全控制
该文件夹,子文件夹及文件
<继承上一级文件夹>
硬盘或文件夹:
C:
\Users\Default\AppData\Roaming\Microsoft\Windows\NetworkShortcuts
主要权限部分:
其他权限部分:
Administrators
完全控制
Users
读取和运行
该文件夹,子文件夹及文件
该文件夹,子文件夹及文件
<继承上一级文件夹>
<继承于上一级文件夹>
SYSTEM
完全控制
该文件夹,子文件夹及文件
<继承上一级文件夹>
硬盘或文件夹:
C:
\Windows\Media
主要权限部分:
其他权限部分:
Administrators
完全控制
Users
读取和运行
该文件夹,子文件夹及文件
该文件夹,子文件夹及文件
<不是继承的>
<继承于上一级文件夹>
SYSTEM
完全控制
该文件夹,子文件夹及文件
<不是继承的>
硬盘或文件夹:
C:
\Windows
C:
\ProgramFiles
C:
\ProgramFiles(x86)
C:
\ProgramFiles\CommonFiles
C:
\ProgramFiles\WindowsNT
C:
\ProgramFiles(x86)\WindowsNT
C:
\ProgramFiles(x86)\CommonFiles
C:
\ProgramFiles(x86)\WindowsNT\Accessories
C:
\ProgramFiles\WindowsNT\Accessories
C:
ProgramFiles\CommonFiles\MicrosoftShared
C:
\ProgramFiles(x86)\CommonFiles\MicrosoftShared
主要权限部分:
其他权限部分:
Administrators
特殊权限
完全控制
Users
读取和运行
只有该文件夹
子文件夹及文件
该文件夹,子文件夹及文件
<不是继承的>
<不是继承的>
<不是继承的>
CREATOROWNER
特殊权限
后续子文件夹均为继承父目录
只有该文件夹
<不是继承的>
SYSTEM
特殊权限
完全控制
只有该文件夹
子文件夹及文件
<不是继承的>
<不是继承的>
硬盘或文件夹:
C:
ProgramFilesMicrosoftSQLServerMSSQL
主要权限部分:
其他权限部分:
Administrators
完全控制
Users
读取和运行
该文件夹,子文件夹及文件
该文件夹,子文件夹及文件
<继承于上一级文件夹>
<继承于上一级文件夹>
SYSTEM
完全控制
该文件夹,子文件夹及文件
<继承于上一级文件夹>
硬盘或文件夹:
E:
ProgramFilesMicrosoftSQLServer
E:
ProgramFilesMicrosoftSQLServerMSSQL(数据库部分装在E:
盘的情况)
主要权限部分:
其他权限部分:
Administrators
完全控制
Users
读取和运行
该文件夹,子文件夹及文件
该文件夹,子文件夹及文件
<继承于上一级文件夹>
<继承于上一级文件夹>
CREATOROWNER
完全控制
只有子文件夹及文件
<不是继承的>
SYSTEM
完全控制
该文件夹,子文件夹及文件
<继承于上一级文件夹>
硬盘或文件夹:
C:
ProgramFiles\InternetExplorer\iexplore.exe
C:
\ProgramFiles(x86)\InternetExplorer\iexplore.exe
主要权限部分:
其他权限部分:
Administrators
读取和执行,读取
Users
读取和执行,读取
该文件夹,子文件夹及文件
该文件夹,子文件夹及文件
<继承于上一级文件夹>
<继承于上一级文件夹>
SYSTEM
读取和执行,读取
该文件夹,子文件夹及文件
<继承于上一级文件夹>
硬盘或文件夹:
C:
\Windows\Temp
主要权限部分:
其他权限部分:
Administrators
完全控制
Users
列出文件夹/读取数据
该文件夹,子文件夹及文件
该文件夹,子文件夹及文件
<不是继承的>
<不是继承的>
CREATOROWNER
完全控制
IIS_IUSR
(如果服务器存在IIS或其他应用服务,给予相应的读取权限)
列出文件夹/读取数据
只有子文件夹及文件
该文件夹,子文件夹及文件
<不是继承的>
<不是继承的>
SYSTEM
完全控制
该文件夹,子文件夹及文件
<不是继承的>
硬盘或文件夹:
C:
WINDOWS/system32
主要权限部分:
其他权限部分:
Administrators
完全控制
Users
读取和运行
该文件夹,子文件夹及文件
该文件夹,子文件夹及文件
<不是继承的>
<不是继承的>
CREATOROWNER
完全控制
只有子文件夹及文件
<不是继承的>
SYSTEM
完全控制
该文件夹,子文件夹及文件
<不是继承的>
硬盘或文件夹:
C:
WINDOWS/system32/config
主要权限部分:
其他权限部分:
Administrators
完全控制
该文件夹,子文件夹及文件
<不是继承的>
CREATOROWNER
完全控制
只有子文件夹及文件
<不是继承的>
SYSTEM
完全控制
该文件夹,子文件夹及文件
<不是继承的>
硬盘或文件夹:
C:
WINDOWS/system32/inetsrv
主要权限部分:
其他权限部分:
Administrators
完全控制
Users
读取和运行
该文件夹,子文件夹及文件
该文件夹,子文件夹及文件
<不是继承的>
<不是继承的>
CREATOROWNER
完全控制
只有子文件夹及文件
<不是继承的>
SYSTEM
完全控制
该文件夹,子文件夹及文件
<不是继承的>
注:
其他应用程序相关权限,除主要的权限访问继承上一级文件夹以外,需对指定的文件夹或文件进行单独的权限设置,规则按最小权限给予。
二、服务器安全设置之--系统服务篇(设置完毕需要重新启动)
*除非特殊情况非开不可,下列系统服务要■停止并禁用■:
ApplicationLayerGatewayService
服务名称:
ALG
显示名称:
ApplicationLayerGatewayService
服务描述:
为应用程序级协议插件提供支持并启用网络/协议连接。
如果此服务被禁用,任何依赖它的服务将无法启动。
可执行文件路径:
E:
WINDOWSSystem32alg.exe
其他补充:
BackgroundIntelligentTransferService
服务名称:
BITS
显示名称:
BackgroundIntelligentTransferService
服务描述:
服务描述:
利用空闲的网络带宽在后台传输文件。
如果服务被停用,例如WindowsUpdate和MSNExplorer的功能将无法自动下载程序和其他信息。
如果此服务被禁用,任何依赖它的服务如果没有容错技术以直接通过IE传输文件,一旦BITS被禁用,就可能无法传输文件。
可执行文件路径:
E:
WINDOWSsystem32svchost.exe-knetsvcs
其他补充:
ComputerBrowser
服务名称:
Browser
显示名称:
ComputerBrowser
服务描述:
服务描述:
维护网络上计算机的更新列表,并将列表提供给计算机指定浏览。
如果服务停止,列表不会被更新或维护。
如果服务被禁用,任何直接依赖于此服务的服务将无法启动。
可执行文件路径:
可执行文件路径:
E:
WINDOWSsystem32svchost.exe-knetsvcs
其他补充:
DNSClient(如果没有开启DNS服务器,将禁止掉)
服务名称:
Dnscache
显示名称:
DNSClient
服务描述:
DNS客户端服务(dnscache)缓存域名系统(DNS)名称并注册该计算机的完整计算机名称。
如果该服务被停止,将继续解析DNS名称。
然而,将不缓存DNS名称的查询结果,且不注册计算机名称。
如果该服务被禁用,则任何明确依赖于它的服务都将无法启动。
可执行文件路径:
svchost.exe-kNetworkService
其他补充:
InternetConnectionSharing(ICS)
服务名称:
SharedAccess
显示名称:
InternetConnectionSharing(ICS)
服务描述:
为家庭和小型办公网络提供网络地址转换、寻址、名称解析和/或入侵保护服务。
可执行文件路径:
svchost.exe-knetsvcs
其他补充:
IPHelper
服务名称:
iphlpsvc
显示名称:
IPHelper
服务描述:
使用IPv6转换技术(6to4、ISATAP、端口代理和Teredo)和IP-HTTPS提供隧道连接。
如果停止该服务,则计算机将不具备这些技术提供的增强连接优势。
可执行文件路径:
C:
\Windows\System32\svchost.exe-kNetSvcs
其他补充:
Net.TcpListenerAdapter
Net.PipeListenerAdapter
Net.TcpListenerAdapter
Net.TcpPortSharingService
服务名称:
Microsoft.NET组件
显示名称:
Net.TcpListenerAdapter
Net.PipeListenerAdapter
Net.TcpListenerAdapter
Net.TcpPortSharingService
服务描述:
Microsoft.NET组件相关服务
可执行文件路径:
C:
\Windows\Microsoft.NET\Framework*
其他补充:
可根据情况进行禁止。
DistributedFileSystem
服务名称:
Dfs
显示名称:
DistributedFileSystem
服务描述:
将分散的文件共享合并成一个逻辑名称空间并在局域网或广域网上管理这些逻辑卷。
如果这个服务被停止,用户则无法访问文件共享。
如果这个服务被禁用,任何依赖它的服务将无法启动。
可执行文件路径:
C:
WINDOWSsystem32Dfssvc.exe
其他补充:
PrintSpooler
服务名称:
Spooler
显示名称:
PrintSpooler
服务描述:
管理所有本地和网络打印队列及控制所有打印工作。
如果此服务被停用,本地计算机上的打印将不可用。
如果此服务被禁用,任何依赖于它的服务将无法启用。
可执行文件路径:
C:
WINDOWSsystem32spoolsv.exe
其他补充:
ProblemReportsandSolutionsControlPanelSupport
服务名称:
wercplsupport
显示名称:
ProblemR