收藏
下载资源下载资源 加入VIP,免费下载

WindowsServer系统安全系统配置大全.docx

上传人:b****6 文档编号:5546031 上传时间:2022-12-19 格式:DOCX 页数:41 大小:74.43KB
下载 相关 举报
WindowsServer系统安全系统配置大全.docx_第1页
第1页 / 共41页
WindowsServer系统安全系统配置大全.docx_第2页
第2页 / 共41页
WindowsServer系统安全系统配置大全.docx_第3页
第3页 / 共41页
WindowsServer系统安全系统配置大全.docx_第4页
第4页 / 共41页
WindowsServer系统安全系统配置大全.docx_第5页
第5页 / 共41页
点击查看更多>>
下载资源
资源描述

WindowsServer系统安全系统配置大全.docx

《WindowsServer系统安全系统配置大全.docx》由会员分享,可在线阅读,更多相关《WindowsServer系统安全系统配置大全.docx(41页珍藏版)》请在冰豆网上搜索。

WindowsServer系统安全系统配置大全.docx

WindowsServer系统安全系统配置大全

Windows2008服务器安全设置技术实例

 

一、服务器安全设置之--硬盘权限篇

这里着重谈需要的权限,也就是最终文件夹或硬盘需要的权限,可以防御各种木马入侵,提权攻击,跨站攻击等。

本实例经过多次试验,安全性能很好,服务器基本没有被木马威胁的担忧了(注:

红色背景为主要审查配置对象)。

硬盘或文件夹:

C:

D:

E:

F:

类推

主要权限部分:

其他权限部分:

Administrators

完全控制

如果安装了其他运行环境,比如PHP等,则根据PHP的环境功能要求来设置硬盘权限,一般是安装目录加上users读取运行权限就足够了,比如c:

php的话,就在根目录权限继承的情况下加上users读取运行权限,需要写入数据的比如tmp文件夹,则把users的写删权限加上,运行权限不要,然后把虚拟主机用户的读权限拒绝即可。

如果是mysql的话,用一个独立用户运行MYSQL会更安全,下面会有介绍。

如果是winwebmail,则最好建立独立的应用程序池和独立IIS用户,然后整个安装目录有users用户的读/运行/写/权限,IIS用户则相同,这个IIS用户就只用在winwebmail的WEB访问中,其他IIS站点切勿使用,安装了winwebmail的服务器硬盘权限设置后面举例

该文件夹,子文件夹及文件

 

<不是继承的>

SYSTEM

完全控制

该文件夹,子文件夹及文件

<不是继承的>

硬盘或文件夹:

C:

Inetpub

主要权限部分:

其他权限部分:

Administrators

完全控制

该文件夹,子文件夹及文件

 

<继承于c:

>

CREATOROWNER

完全控制

只有子文件夹及文件

<继承于c:

>

SYSTEM

完全控制

该文件夹,子文件夹及文件

<继承于c:

>

硬盘或文件夹:

C:

Inetpub/temp

主要权限部分:

其他权限部分:

Administrators

完全控制

Users

读取,读取和执行

该文件夹,子文件夹及文件

该文件夹,子文件夹及文件

 

<不是继承的>

<不是继承的>

SYSTEM

完全控制

该文件夹,子文件夹及文件

<不是继承的>

硬盘或文件夹:

C:

Inetpub/wwwroot

主要权限部分:

其他权限部分:

Administrators

完全控制

IIS_IUSR

读取运行/列出文件夹目录/读取

该文件夹,子文件夹及文件

该文件夹,子文件夹及文件

 

<不是继承的>

<不是继承的>

SYSTEM

完全控制

Users

读取运行/列出文件夹目录/读取

该文件夹,子文件夹及文件

该文件夹,子文件夹及文件

<不是继承的>

<不是继承的>

硬盘或文件夹:

C:

Inetpub/wwwroot/aspnet_client

主要权限部分:

其他权限部分:

Administrators

完全控制

Users

读取

该文件夹,子文件夹及文件

该文件夹,子文件夹及文件

 

<不是继承的>

<不是继承的>

SYSTEM

完全控制

 

该文件夹,子文件夹及文件

<不是继承的>

硬盘或文件夹:

C:

Users

主要权限部分:

其他权限部分:

Administrators

完全控制

Users

读取和运行(包括列出文件夹容,读取权限),USERS组的权限仅仅限制于读取和运行,

绝对不能加上写入权限

该文件夹,子文件夹及文件

该文件夹,子文件夹及文件

 

<不是继承的>

<不是继承的>

SYSTEM

完全控制

该文件夹,子文件夹及文件

<不是继承的>

硬盘或文件夹:

C:

Users/Administrator

主要权限部分:

其他权限部分:

Administrators

完全控制

Administrator

完全控制

该文件夹,子文件夹及文件

该文件夹,子文件夹及文件

 

<不是继承的>

<不是继承的>

SYSTEM

完全控制

该文件夹,子文件夹及文件

<不是继承的>

硬盘或文件夹:

C:

Users/Default

C:

\Users\Default\AppData\Roaming

主要权限部分:

其他权限部分:

Administrators

完全控制

Users

读取和运行

该文件夹,子文件夹及文件

该文件夹,子文件夹及文件

 

<不是继承的>

<继承上一级文件夹>

SYSTEM

完全控制

USERS组的权限仅仅限制于读取和运行,

绝对不能加上写入权限

该文件夹,子文件夹及文件

<不是继承的>

硬盘或文件夹:

C:

\Users\Default\AppData\Roaming\Microsoft\Windows\「开始」菜单

主要权限部分:

其他权限部分:

Administrators

完全控制

Users

读取和运行

该文件夹,子文件夹及文件

该文件夹,子文件夹及文件

 

<不是继承的>

<不是继承的>

SYSTEM

完全控制

隐藏,只读

该文件夹,子文件夹及文件

<不是继承的>

硬盘或文件夹:

C:

\Users\Administrator\AppData

主要权限部分:

其他权限部分:

Administrators

完全控制

Users

读取和运行

该文件夹,子文件夹及文件

该文件夹,子文件夹及文件

 

<不是继承的>

<不是继承的>

SYSTEM

完全控制

 

该文件夹,子文件夹及文件

 

<不是继承的>

硬盘或文件夹:

C:

\Users\Default\AppData

主要权限部分:

其他权限部分:

Administrators

完全控制

Users

读取和运行

该文件夹,子文件夹及文件

该文件夹,子文件夹及文件

 

<不是继承的>

<不是继承的>

SYSTEM

完全控制

隐藏,只读

 

该文件夹,子文件夹及文件

 

<不是继承的>

硬盘或文件夹:

C:

\Users\Default\Downloads

C:

\Users\Default\Documents

主要权限部分:

其他权限部分:

Administrators

完全控制

Users

读取和运行

该文件夹,子文件夹及文件

该文件夹,子文件夹及文件

 

<继承于上一级文件夹>

<继承上一级目录>

SYSTEM

完全控制

只读

 

该文件夹,子文件夹及文件

 

<继承于上一级文件夹>

硬盘或文件夹:

C:

\Users\Administrator\AppData\Roaming

C:

\Users\Administrator\AppData\Local

主要权限部分:

其他权限部分:

Administrators

完全控制

该文件夹,子文件夹及文件

 

<继承于上一级文件夹>

Administrator

完全控制

该文件夹,子文件夹及文件

<继承于上一级文件夹>

SYSTEM

完全控制

 

该文件夹,子文件夹及文件

 

<继承于上一级文件夹>

硬盘或文件夹:

C:

\Users\Default\AppData\Local\Temp

主要权限部分:

其他权限部分:

Administrators

完全控制

Users

读取和运行

该文件夹,子文件夹及文件

该文件夹,子文件夹及文件

 

<继承上一级文件夹>

<继承上一级目录>

SYSTEM

完全控制

只读

 

该文件夹,子文件夹及文件

 

<继承上一级文件夹>

硬盘或文件夹:

C:

\Users\Administrator\AppData\Local\Temp

主要权限部分:

其他权限部分:

Administrators

完全控制

该文件夹,子文件夹及文件

 

<继承上一级文件夹>

Administrator

完全控制

该文件夹,子文件夹及文件

<继承于上一级文件夹>

SYSTEM

完全控制

 

该文件夹,子文件夹及文件

 

<继承上一级文件夹>

 

硬盘或文件夹:

C:

\Users\Default\AppData\Roaming\Microsoft

主要权限部分:

其他权限部分:

Administrators

完全控制

Users

读取和运行

该文件夹,子文件夹及文件

该文件夹,子文件夹及文件

 

<继承上一级文件夹>

<继承上一级文件夹>

SYSTEM

完全控制

此文件夹包含Microsoft应用程序状态数据,系统默认权限即可。

该文件夹,子文件夹及文件

<继承上一级文件夹>

硬盘或文件夹:

C:

\Users\Administrator\AppData\Roaming\Microsoft\Crypto\RSA

C:

\Users\Administrator\AppData\Roaming\Microsoft\Crypto

主要权限部分:

其他权限部分:

Administrators

完全控制

存在administrator管理员权限,不用理会。

该文件夹,子文件夹及文件

 

<继承上一级文件夹>

SYSTEM

完全控制

 

该文件夹,子文件夹及文件

 

<继承上一级文件夹>

硬盘或文件夹:

C:

\Users\Administrator\AppData\Roaming\Microsoft\HTMLHelp

主要权限部分:

其他权限部分:

Administrators

完全控制

Administrator

完全控制

该文件夹,子文件夹及文件

该文件夹,子文件夹及文件

 

<继承上一级文件夹>

<继承上一级文件夹>

SYSTEM

完全控制

该文件夹,子文件夹及文件

<继承上一级文件夹>

 

硬盘或文件夹:

C:

\Users\Default\AppData\Roaming\Microsoft\Windows\NetworkShortcuts

主要权限部分:

其他权限部分:

Administrators

完全控制

Users

读取和运行

该文件夹,子文件夹及文件

该文件夹,子文件夹及文件

 

<继承上一级文件夹>

<继承于上一级文件夹>

SYSTEM

完全控制

该文件夹,子文件夹及文件

<继承上一级文件夹>

硬盘或文件夹:

C:

\Windows\Media

主要权限部分:

其他权限部分:

Administrators

完全控制

Users

读取和运行

该文件夹,子文件夹及文件

该文件夹,子文件夹及文件

 

<不是继承的>

<继承于上一级文件夹>

SYSTEM

完全控制

该文件夹,子文件夹及文件

<不是继承的>

 

硬盘或文件夹:

C:

\Windows

C:

\ProgramFiles

C:

\ProgramFiles(x86)

C:

\ProgramFiles\CommonFiles

C:

\ProgramFiles\WindowsNT

C:

\ProgramFiles(x86)\WindowsNT

C:

\ProgramFiles(x86)\CommonFiles

C:

\ProgramFiles(x86)\WindowsNT\Accessories

C:

\ProgramFiles\WindowsNT\Accessories

C:

ProgramFiles\CommonFiles\MicrosoftShared

C:

\ProgramFiles(x86)\CommonFiles\MicrosoftShared

主要权限部分:

其他权限部分:

Administrators

特殊权限

完全控制

Users

读取和运行

只有该文件夹

子文件夹及文件

该文件夹,子文件夹及文件

 

<不是继承的>

<不是继承的>

<不是继承的>

CREATOROWNER

特殊权限

后续子文件夹均为继承父目录

只有该文件夹

<不是继承的>

SYSTEM

特殊权限

完全控制

 

只有该文件夹

子文件夹及文件

 

<不是继承的>

<不是继承的>

硬盘或文件夹:

C:

ProgramFilesMicrosoftSQLServerMSSQL

主要权限部分:

其他权限部分:

Administrators

完全控制

Users

读取和运行

该文件夹,子文件夹及文件

该文件夹,子文件夹及文件

<继承于上一级文件夹>

<继承于上一级文件夹>

SYSTEM

完全控制

该文件夹,子文件夹及文件

<继承于上一级文件夹>

 

硬盘或文件夹:

E:

ProgramFilesMicrosoftSQLServer

E:

ProgramFilesMicrosoftSQLServerMSSQL(数据库部分装在E:

盘的情况)

主要权限部分:

其他权限部分:

Administrators

完全控制

Users

读取和运行

该文件夹,子文件夹及文件

该文件夹,子文件夹及文件

<继承于上一级文件夹>

<继承于上一级文件夹>

CREATOROWNER

完全控制

只有子文件夹及文件

<不是继承的>

SYSTEM

完全控制

 

该文件夹,子文件夹及文件

<继承于上一级文件夹>

硬盘或文件夹:

C:

ProgramFiles\InternetExplorer\iexplore.exe

C:

\ProgramFiles(x86)\InternetExplorer\iexplore.exe

主要权限部分:

其他权限部分:

Administrators

读取和执行,读取

Users

读取和执行,读取

该文件夹,子文件夹及文件

该文件夹,子文件夹及文件

<继承于上一级文件夹>

<继承于上一级文件夹>

SYSTEM

读取和执行,读取

 

该文件夹,子文件夹及文件

<继承于上一级文件夹>

 

硬盘或文件夹:

C:

\Windows\Temp

主要权限部分:

其他权限部分:

Administrators

完全控制

Users

列出文件夹/读取数据

该文件夹,子文件夹及文件

该文件夹,子文件夹及文件

 

<不是继承的>

<不是继承的>

CREATOROWNER

完全控制

IIS_IUSR

(如果服务器存在IIS或其他应用服务,给予相应的读取权限)

列出文件夹/读取数据

只有子文件夹及文件

该文件夹,子文件夹及文件

<不是继承的>

<不是继承的>

SYSTEM

完全控制

 

该文件夹,子文件夹及文件

 

<不是继承的>

硬盘或文件夹:

C:

WINDOWS/system32

主要权限部分:

其他权限部分:

Administrators

完全控制

Users

读取和运行

该文件夹,子文件夹及文件

该文件夹,子文件夹及文件

 

<不是继承的>

<不是继承的>

CREATOROWNER

完全控制

只有子文件夹及文件

<不是继承的>

SYSTEM

完全控制

 

该文件夹,子文件夹及文件

 

<不是继承的>

硬盘或文件夹:

C:

WINDOWS/system32/config

主要权限部分:

其他权限部分:

Administrators

完全控制

该文件夹,子文件夹及文件

 

<不是继承的>

CREATOROWNER

完全控制

只有子文件夹及文件

<不是继承的>

SYSTEM

完全控制

 

该文件夹,子文件夹及文件

 

<不是继承的>

硬盘或文件夹:

C:

WINDOWS/system32/inetsrv

主要权限部分:

其他权限部分:

Administrators

完全控制

Users

读取和运行

该文件夹,子文件夹及文件

该文件夹,子文件夹及文件

 

<不是继承的>

<不是继承的>

CREATOROWNER

完全控制

只有子文件夹及文件

<不是继承的>

SYSTEM

完全控制

 

该文件夹,子文件夹及文件

 

<不是继承的>

 

注:

其他应用程序相关权限,除主要的权限访问继承上一级文件夹以外,需对指定的文件夹或文件进行单独的权限设置,规则按最小权限给予。

二、服务器安全设置之--系统服务篇(设置完毕需要重新启动)

*除非特殊情况非开不可,下列系统服务要■停止并禁用■:

ApplicationLayerGatewayService

服务名称:

ALG

显示名称:

ApplicationLayerGatewayService

服务描述:

为应用程序级协议插件提供支持并启用网络/协议连接。

如果此服务被禁用,任何依赖它的服务将无法启动。

可执行文件路径:

E:

WINDOWSSystem32alg.exe

其他补充:

 

BackgroundIntelligentTransferService

服务名称:

BITS

显示名称:

BackgroundIntelligentTransferService

服务描述:

服务描述:

利用空闲的网络带宽在后台传输文件。

如果服务被停用,例如WindowsUpdate和MSNExplorer的功能将无法自动下载程序和其他信息。

如果此服务被禁用,任何依赖它的服务如果没有容错技术以直接通过IE传输文件,一旦BITS被禁用,就可能无法传输文件。

可执行文件路径:

E:

WINDOWSsystem32svchost.exe-knetsvcs

其他补充:

 

ComputerBrowser

服务名称:

Browser

显示名称:

ComputerBrowser

服务描述:

服务描述:

维护网络上计算机的更新列表,并将列表提供给计算机指定浏览。

如果服务停止,列表不会被更新或维护。

如果服务被禁用,任何直接依赖于此服务的服务将无法启动。

可执行文件路径:

可执行文件路径:

E:

WINDOWSsystem32svchost.exe-knetsvcs

其他补充:

 

DNSClient(如果没有开启DNS服务器,将禁止掉)

服务名称:

Dnscache

显示名称:

DNSClient

服务描述:

DNS客户端服务(dnscache)缓存域名系统(DNS)名称并注册该计算机的完整计算机名称。

如果该服务被停止,将继续解析DNS名称。

然而,将不缓存DNS名称的查询结果,且不注册计算机名称。

如果该服务被禁用,则任何明确依赖于它的服务都将无法启动。

可执行文件路径:

svchost.exe-kNetworkService

其他补充:

InternetConnectionSharing(ICS)

服务名称:

SharedAccess

显示名称:

InternetConnectionSharing(ICS)

服务描述:

为家庭和小型办公网络提供网络地址转换、寻址、名称解析和/或入侵保护服务。

可执行文件路径:

svchost.exe-knetsvcs

其他补充:

IPHelper

服务名称:

iphlpsvc

显示名称:

IPHelper

服务描述:

使用IPv6转换技术(6to4、ISATAP、端口代理和Teredo)和IP-HTTPS提供隧道连接。

如果停止该服务,则计算机将不具备这些技术提供的增强连接优势。

可执行文件路径:

C:

\Windows\System32\svchost.exe-kNetSvcs

其他补充:

Net.TcpListenerAdapter

Net.PipeListenerAdapter

Net.TcpListenerAdapter

Net.TcpPortSharingService

服务名称:

Microsoft.NET组件

显示名称:

Net.TcpListenerAdapter

Net.PipeListenerAdapter

Net.TcpListenerAdapter

Net.TcpPortSharingService

服务描述:

Microsoft.NET组件相关服务

可执行文件路径:

C:

\Windows\Microsoft.NET\Framework*

其他补充:

可根据情况进行禁止。

DistributedFileSystem

服务名称:

Dfs

显示名称:

DistributedFileSystem

服务描述:

将分散的文件共享合并成一个逻辑名称空间并在局域网或广域网上管理这些逻辑卷。

如果这个服务被停止,用户则无法访问文件共享。

如果这个服务被禁用,任何依赖它的服务将无法启动。

可执行文件路径:

C:

WINDOWSsystem32Dfssvc.exe

其他补充:

 

PrintSpooler

服务名称:

Spooler

显示名称:

PrintSpooler

服务描述:

管理所有本地和网络打印队列及控制所有打印工作。

如果此服务被停用,本地计算机上的打印将不可用。

如果此服务被禁用,任何依赖于它的服务将无法启用。

可执行文件路径:

C:

WINDOWSsystem32spoolsv.exe

其他补充:

 

ProblemReportsandSolutionsControlPanelSupport

服务名称:

wercplsupport

显示名称:

ProblemR

展开阅读全文
相关资源
猜你喜欢
相关搜索

当前位置:首页 > 解决方案 > 学习计划

copyright@ 2008-2022 冰豆网网站版权所有

经营许可证编号:鄂ICP备2022015515号-1