windows2003基本权限设置

 如果我们有一个服务器,并且我们想要在服务器上运行多个网站的话,我们希望把网站的安全性做到比较好,尽量能把危险限制在一个虚拟主机以内。不让一个网站的沦陷影响到其他的网站!也就是把黑客提权的可能性降到最低。

一、首先了解权限设置的方案
1、被授予权限的对象分用户和用户组两种
2、批量设置有两大方案,当设置某个目录的权限时,进入高级
I   可设置是否继承父级权限设置 (第一个勾)
II 可设置是否替换子目录及文件的权限设置 (第二个勾)


二、系统盘主要目录的权限设置
C:\
只授予 System 和 Administrators 完全控制权限,删除其他用户或组,不替换子目录

C:\Documents and Settings
仅继承父级,并替换子目录

C:\Inetpub
删除之,不要使用该目录作为网站发布的目录。

C:\Program Files
仅继承父级,并替换子目录

C:\Program Files\Common Files\Microsoft Shared
删除继承并保留设置(在“高级”中取消第一个勾,再在弹出的对话中选“复制”)
添加 Users 组,只授予读取权限
将该目录的设置替换它的子目录(勾中第二个勾)

C:\Windows
删除继承并保留设置
添加 Users 组,只授予读取权限
将该目录的设置替换它的子目录
(具体做法和上面 /Microsoft Shared 目录设置一样)

C:\Windows\Temp
添加 IIS_WPG、ASPNET、Network Services、Network 用户或组
授予完全控制权限,替换它的子目录

C:\Windows\Microsoft.NET\Framework\v1.1.4322\Temporary ASP.NET Files
添加 Everyone,授予完全控制权限,将该设置替换它的子目录


三、其他盘的设置
C盘设置完成,其他盘均仅给 System 和 Administrators 授予完全控制即可。
网站发布目录授予IIS匿名用户读取访问权限。需要.NET权限的目录添加 IIS_WPG 组(或隶属于该组的某个用户),授予完全控制权限。

另外,还将:net.exe;cmd.exe;tftp.exe;netstat.exe;regedit.exe;at.exe;attrib.exe;cacls.exe;format.com;regsvr32.exe;xcopy.exe;wscript.exe;cscript.exe;ftp.exe;telnet.exe;arp.exe;edlin.exe;ping.exe;route.exe;finger.exe;posix.exe;rsh.exe;atsvc.exe;qbasic.exe;runonce.exe;syskey.exe,这些文件都设置只允许administrators访问。

regsvr32/u C:\WINDOWS\System32\wshom.ocx
del C:\WINDOWS\System32\wshom.ocx
regsvr32/u C:\WINDOWS\system32\shell32.dll
del C:\WINDOWS\system32\shell32.dll

Windows Registry Editor Version 5.00

[HKEY_CLASSES_ROOT\CLSID\{13709620-C279-11CE-A49E-444553540001}]
@="Shell Automation Service"

[HKEY_CLASSES_ROOT\CLSID\{13709620-C279-11CE-A49E-444553540001}\InProcServer32]
@="C:\\WINDOWS\\system32\\shell32.dll"
"ThreadingModel"="Apartment"

[HKEY_CLASSES_ROOT\CLSID\{13709620-C279-11CE-A49E-444553540001}\ProgID]
@="Shell.Application_hnboy.1"

[HKEY_CLASSES_ROOT\CLSID\{13709620-C279-11CE-A49E-444553540001}\TypeLib]
@="{50a7e9b0-70ef-11d1-b75a-00a0c90564fe}"

[HKEY_CLASSES_ROOT\CLSID\{13709620-C279-11CE-A49E-444553540001}\Version]
@="1.1"

[HKEY_CLASSES_ROOT\CLSID\{13709620-C279-11CE-A49E-444553540001}\VersionIndependentProgID]
@="Shell.Application_hnboy"

[HKEY_CLASSES_ROOT\Shell.Application_hnboy]
@="Shell Automation Service"

[HKEY_CLASSES_ROOT\Shell.Application_hnboy\CLSID]
@="{13709620-C279-11CE-A49E-444553540001}"

[HKEY_CLASSES_ROOT\Shell.Application_hnboy\CurVer]
@="Shell.Application_hnboy.1"

帐户登录 审核成功尝试:开 
审核失败尝试:开
 帐户管理
 审核成功尝试:关 
审核失败尝试:开 
目录服务访问 
审核成功尝试:关 
审核失败尝试:开 
登录 审核成功尝试:开 
审核失败尝试:开 
对象访问 
审核成功尝试:关 
审核失败尝试:关 
策略更改 
审核成功尝试:开 
审核失败尝试:开 
特权使用 
审核成功尝试:关 
审核失败尝试:开 
过程追踪 
审核成功尝试:关 
审核失败尝试:关 
系统
审核成功尝试:关 
审核失败尝试:关





有什么问题可以加群,100852896
点击这里加入此群 在线提问
文章来自: 本站原创
Tags:
评论: 0 | 查看次数: 6337
博主QQ: 友情链接请找我
QQ群: 灰色档案
返回顶部 关闭