windows 系统目前最完善最完美的安全权限方案.docx

windows 系统目前最完善最完美的安全权限方案.docx

《windows 系统目前最完善最完美的安全权限方案.docx》由会员分享，可在线阅读，更多相关《windows 系统目前最完善最完美的安全权限方案.docx（31页珍藏版）》请在冰豆网上搜索。

windows系统目前最完善最完美的安全权限方案

服务器安全设置

>>IIS6.0的安装

　　开始菜单—>控制面板—>添加或删除程序—>添加/删除Windows组件

　　应用程序———ASP.NET（可选）

　　　　　　　|——启用网络COM访问（必选）

　　　　　　　|——Internet信息服务（IIS）———Internet信息服务管理器（必选）　

　　　　　　　　　　　　　　　　　　　　　|——公用文件（必选）

　　　　　　　　　　　　　　　　　　　　　|——万维网服务———ActiveServerpages（必选）

　　　　　　　　　　　　　　　　　　　　　　　　　　　　　|——Internet数据连接器（可选）

　　　　　　　　　　　　　　　　　　　　　　　　　　　　　|——WebDAV发布（可选）

　　　　　　　　　　　　　　　　　　　　　　　　　　　　　|——万维网服务（必选）

　　　　　　　　　　　　　　　　　　　　　　　　　　　　　|——在服务器端的包含文件（可选）

>>在”网络连接”里，把不需要的协议和服务都删掉，这里只安装了基本的Internet协议（TCP/IP）和Microsoft网络客户端。

在高级tcp/ip设置里--"NetBIOS"设置"禁用tcp/IP上的NetBIOS（S）"。

>>在“本地连接”打开Windows2003自带的防火墙，可以屏蔽端口，基本达到一个IPSec的功能,只保留有用的端口,比如远程（3389）和Web（80）,Ftp（21）,邮件服务器（25,110）,https（443）,SQL（1433）

>>IIS（Internet信息服务器管理器）在"主目录"选项设置以下

读允许

写不允许

脚本源访问不允许

目录浏览建议关闭

记录访问建议关闭

索引资源建议关闭

执行权限推荐选择“纯脚本”

>>建议使用W3C扩充日志文件格式，每天记录客户IP地址，用户名，服务器端口，方法，URI字根，HTTP状态，用户代理，而且每天均要审查日志。

（最好不要使用缺省的目录，建议更换一个记日志的路径，同时设置日志的访问权限，只允许管理员和system为FullControl）。

>>在IIS6.0-本地计算机-属性-允许直接编辑配置数据库在IIS中属性->主目录->配置->选项中。

>>在网站把”启用父路径“前面打上勾

>>在IIS中的Web服务扩展中选中ActiveServerPages，点击“允许”

>>优化IIS6应用程序池

　　1、取消“在空闲此段时间后关闭工作进程（分钟）”

　　2、勾选“回收工作进程（请求数目）”

　　3、取消“快速失败保护”

>>解决SERVER2003不能上传大附件的问题

　　在“服务”里关闭iisadminservice服务。

　　找到windows\system32\inetsrv\下的metabase.xml文件。

　　找到ASPMaxRequestEntityAllowed把它修改为需要的值（可修改为20M即：

20480000）

　　存盘，然后重启iisadminservice服务。

>>解决SERVER2003无法下载超过4M的附件问题

　　在“服务”里关闭iisadminservice服务。

　　找到windows\system32\inetsrv\下的metabase.xml文件。

　　找到AspBufferingLimit把它修改为需要的值（可修改为20M即：

20480000）

　　存盘，然后重启iisadminservice服务。

>>超时问题

　　解决大附件上传容易超时失败的问题

　　在IIS中调大一些脚本超时时间，操作方法是：

在IIS的“站点或虚拟目录”的“主目录”下点击“配置”按钮，

　　设置脚本超时时间为：

300秒（注意：

不是Session超时时间）

　　解决通过WebMail写信时间较长后，按下发信按钮就会回到系统登录界面的问题

　　适当增加会话时间（Session）为60分钟。

在IIS站点或虚拟目录属性的“主目录”下点击“配置-->选项”，

　　就可以进行设置了（Windows2003默认为20分钟）

>>修改3389远程连接端口

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\TerminalServer\Wds\rdpwd\Tds\tcp]

"PortNumber"=dword:

0000端口号

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\TerminalServer\WinStations\RDP-Tcp]

"PortNumber"=dword:

0000端口号

设置这两个注册表的权限,添加“IUSR”的完全拒绝禁止显示端口号

>>本地策略--->用户权限分配

　　关闭系统：

只有Administrators组、其它全部删除。

　　通过终端服务允许登陆：

只加入Administrators,RemoteDesktopUsers组，其他全部删除

>>在安全设置里本地策略-用户权利分配，通过终端服务拒绝登陆加入

ASPNET

IUSR_

IWAM_

NETWORKSERVICE

（注意不要添加进user组和administrators组添加进去以后就没有办法远程登陆了）

>>在安全设置里本地策略-安全选项

网络访问:

可匿名访问的共享;

网络访问:

可匿名访问的命名管道;

网络访问:

可远程访问的注册表路径;

网络访问:

可远程访问的注册表路径和子路径;

将以上四项全部删除

>>不允许SAM账户的匿名枚举更改为"已启用"

>>不允许SAM账户和共享的匿名枚举更改为"已启用";

>>网络访问:

不允许存储网络身份验证的凭据或.NETPassports更改为"已启用";

>>网络访问.限制匿名访问命名管道和共享,更改为"已启用";

将以上四项通通设为“已启用”

>>计算机管理的本地用户和组

禁用终端服务（TsInternetUser）,SQL服务（SQLDebugger）,SUPPORT_388945a0

>>禁用不必要的服务

scconfigAeLookupSvcstart=AUTO

scconfigAlerterstart=DISABLED

scconfigALGstart=DISABLED

scconfigAppMgmtstart=DEMAND

scconfigaspnet_statestart=DEMAND

scconfigAudioSrvstart=DISABLED

scconfigBITSstart=DEMAND

scconfigBrowserstart=DEMAND

scconfigCiSvcstart=DISABLED

scconfigClipSrvstart=DISABLED

scconfigclr_optimization_v2.0.50727_32start=DEMAND

scconfigCOMSysAppstart=DEMAND

scconfigCryptSvcstart=AUTO

scconfigDcomLaunchstart=AUTO

scconfigDfsstart=DEMAND

scconfigDhcpstart=AUTO

scconfigdmadminstart=DEMAND

scconfigdmserverstart=AUTO

scconfigDnscachestart=AUTO

scconfigERSvcstart=DISABLED

scconfigEventlogstart=AUTO

scconfigEventSystemstart=AUTO

scconfighelpsvcstart=DISABLED

scconfigHidServstart=AUTO

scconfigHTTPFilterstart=DEMAND

scconfigIISADMINstart=AUTO

scconfigImapiServicestart=DISABLED

scconfigIsmServstart=DISABLED

scconfigkdcstart=DISABLED

scconfiglanmanworkstationstart=DISABLED

scconfigLicenseServicestart=DISABLED

scconfigLmHostsstart=DISABLED

scconfigMessengerstart=DISABLED

scconfigmnmsrvcstart=DISABLED

scconfigMSDTCstart=AUTO

scconfigMSIServerstart=DEMAND

scconfigMSSEARCHstart=AUTO

scconfigMSSQLSERVERstart=AUTO

scconfigMSSQLServerADHelperstart=DEMAND

scconfigNetDDEstart=DISABLED

scconfigNetDDEdsdmstart=DISABLED

scconfigNetlogonstart=DEMAND

scconfigNetmanstart=DEMAND

scconfigNlastart=DEMAND

scconfigNtFrsstart=DEMAND

scconfigNtLmSspstart=DEMAND

scconfigNtmsSvcstart=DEMAND

scconfigPlugPlaystart=AUTO

scconfigPolicyAgentstart=AUTO

scconfigProtectedStoragestart=AUTO

scconfigRasAutostart=DEMAND

scconfigRasManstart=DEMAND

scconfigRDSessMgrstart=DEMAND

scconfigRemoteAccessstart=DISABLED

scconfigRemoteRegistrystart=DISABLED

scconfigRpcLocatorstart=DEMAND

scconfigRpcSsstart=AUTO

scconfigRSoPProvstart=DEMAND

scconfigsacsvrstart=DEMAND

scconfigSamSsstart=AUTO

scconfigSCardSvrstart=DEMAND

scconfigSchedulestart=AUTO

scconfigseclogonstart=AUTO

scconfigSENSstart=AUTO

scconfigSharedAccessstart=DISABLED

scconfigShellHWDetectionstart=AUTO

scconfigSMTPSVCstart=AUTO

scconfigSpoolerstart=DISABLED

scconfigSQLSERVERAGENTstart=AUTO

scconfigstisvcstart=DISABLED

scconfigswprvstart=DEMAND

scconfigSysmonLogstart=AUTO

scconfigTapiSrvstart=DEMAND

scconfigTermServicestart=AUTO

scconfigThemesstart=DISABLED

scconfigTlntSvrstart=DISABLED

scconfigTrkSvrstart=DISABLED

scconfigTrkWksstart=AUTO

scconfigTssdisstart=DISABLED

scconfigUMWdfstart=DEMAND

scconfigUPSstart=DEMAND

scconfigvdsstart=DEMAND

scconfigVSSstart=DEMAND

scconfigW32Timestart=AUTO

scconfigW3SVCstart=AUTO

scconfigWebClientstart=DISABLED

scconfigWinHttpAutoProxySvcstart=DEMAND

scconfigwinmgmtstart=AUTO

scconfigWmdmPmSNstart=DEMAND

scconfigWmistart=DEMAND

scconfigWmiApSrvstart=DEMAND

scconfigwuauservstart=DISABLED

scconfigWZCSVCstart=DISABLED

scconfigxmlprovstart=DEMAND

>>删除默认共享

@echooff

:

:

:

:

:

:

:

:

:

:

:

:

:

:

:

:

:

:

:

:

:

:

:

:

:

:

:

:

:

:

:

:

:

:

:

:

:

:

:

:

:

:

:

:

:

:

:

:

:

:

:

:

:

:

:

:

:

:

:

:

:

:

:

:

:

:

先列举存在的分区，然后再逐个删除以分区名命名的共享；

:

:

通过修改注册表防止admin$共享在下次开机时重新加载；

:

:

IPC$共享需要administritor权限才能成功删除

:

:

:

:

:

:

:

:

:

:

:

:

:

:

:

:

:

:

:

:

:

:

:

:

:

:

:

:

:

:

:

:

:

:

:

:

:

:

:

:

:

:

:

:

:

:

:

:

:

:

:

:

:

:

:

:

:

:

:

:

:

:

:

:

:

:

title默认共享删除器

color1f

echo.

echo------------------------------------------------------

echo.

echo开始删除每个分区下的默认共享.

echo.

for%%ain（CDEFGHIJKLMNOPQRSTUVWXYZ）do@（

ifexist%%a:

\nul（

netshare%%a$/delete>nul2>nul&&echo成功删除名为%%a$的默认共享||echo名为%%a$的默认共享不存在

）

）

netshareadmin$/delete>nul2>nul&&echo成功删除名为admin$的默认共享||echo名为admin$的默认共享不存在

echo.

echo------------------------------------------------------

echo.

netstopServer/y>nul2>nul&&echoServer服务已停止.

netstartServer>nul2>nul&&echoServer服务已启动.

echo.

echo------------------------------------------------------

echo.

echo修改注册表以更改系统默认设置.

echo.

echo正在创建注册表文件.

echoWindowsRegistryEditorVersion5.00>c:

\delshare.reg

:

:

通过注册表禁止Admin$共享，以防重启后再次加载

echo[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters]>>c:

\delshare.reg

echo"AutoShareWks"=dword:

00000000>>c:

\delshare.reg

echo"AutoShareServer"=dword:

00000000>>c:

\delshare.reg

:

:

删除IPC$共享，本功能需要administritor权限才能成功删除

echo[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa]>>c:

\delshare.reg

echo"restrictanonymous"=dword:

00000001>>c:

\delshare.reg

echo正在导入注册表文件以更改系统默认设置.

regedit/sc:

\delshare.reg

delc:

\delshare.reg&&echo临时文件已经删除.

echo.

echo------------------------------------------------------

echo.

echo程序已经成功删除所有的默认共享.

echo.

echo按任意键退出...

pause>nul

>>打开C:

\Windows目录搜索以下DOS命令文件

NET.EXE,NET1.EXE,CMD.EXE,FTP.EXE,ATTRIB.EXE,CACLS.EXE,AT.EXE,FORMAT.COM,TELNET.EXE,COMMAND.COM,NETSTAT.EXE,REGEDIT.EXE,ARP.EXE,NBTSTAT.EXE

把以上命令文件通通只给Administrators和SYSTEM为完全控制权限

>>卸载删除具有CMD命令功能的危险组件

WSHOM.OCX对应于WScript.Shell组件

HKEY_CLASSES_ROOT\WScript.Shell\

及

HKEY_CLASSES_ROOT\WScript.Shell.1\

添加IUSR用户完全拒绝权限

Shell32.dll对应于Shell.Application组件

HKEY_CLASSES_ROOT\Shell.Application\

及

HKEY_CLASSES_ROOT\Shell.Application.1\

添加IUSR用户完全拒绝权限

regsvr32/uC:

\Windows\System32\wshom.ocx

regsvr32/uC:

\Windows\System32\shell32.dll

WSHOM.OCXx和Shell32.dl这两个文件只给Administrator完全权限

>>>SQL权限设置

1、一个数据库,一个帐号和密码,比如建立了一个数据库，只给PUBLIC和DB_OWNER权限，SA帐号基本是不使用的，因为SA实在是太危险了.

2、更改sa密码为你都不知道的超长密码,在任何情况下都不要用sa这个帐户.

3、Web登录时经常出现"[超时，请重试]"的问题

　如果安装了SQLServer时，一定要启用“服务器网络实用工具”中的“多协议”项。

4、将有安全问题的SQL扩展存储过程删除.将以下代码全部复制到"SQL查询分析器"

usemaster

EXECsp_dropextendedproc'xp_cmdshell'

EXECsp_dropextendedproc'Sp_OACreate'

EXECsp_dropextendedproc'Sp_OADestroy'

EXECsp_dropextendedproc'Sp_OAGetErrorInfo'

EXECsp_dropextendedproc'Sp_OAGetProperty'

EXECsp_dropextendedproc'Sp_OAMethod'

EXECsp_dropextendedproc'Sp_OASetProperty'

EXECsp_dropextendedproc'Sp_OAStop'

EXECsp_dropextendedproc'Xp_regaddmultistring'

EXECsp_dropextendedproc'Xp_regdeletekey'

EXECsp_dropextendedproc'Xp_regdeletevalue'

EXECsp_dropextendedproc'Xp_regenumvalues'

EXECsp_dropextendedproc'Xp_regread'

EXECsp_dropextendedproc'Xp_regremovemultistring'

EXECsp_dropextendedproc'Xp_regwrite'

dropproceduresp_makewebtask

恢复的命令是

EXECsp_addextendedproc存储过程的名称,@dllname='存储过程的dll'

例如：

恢复存储过程xp_cmdshell

EXECsp_addextendedprocxp_cmdshell,@dllname='xplog70.dll'

注意，恢复时如果xplog70.dll已删除需要copy一个。

>>WEB目录权限设置

Everyone:

顾名思义，所有的用户，这个计算机上的所有用户都属于这个组。

最好在C盘以外（如D,E,F.....）的根目录建立到三级目录,一级目录只给Administrator权限，二级目录给Administrator完全控制权限和Everyone除了完全控制，更改，取得，其它全部打勾的权限和IUSR只有该文件夹的完全拒绝权限，三级目录是每个客户的虚拟主机网站，给Administrator完全控制权限和Everyone除了完全控制，更改，取得，其它全部打勾的权限即可.

C盘的目录权限以表格的方式来说明,简单明了。

硬盘或文件夹:

C:

\D:

\E:

\F:

\类推

主要权限部分：

其他权限部分：

Administrators

完全控制

无

如果安装了其他运行环境，比如PHP等，则根据PHP的环境功能要求来设置硬盘权限，一般是安装目录加上users读取运行权限就足够了，比如c:

\php的话，就在根目录权限继承的情况下