猪头三的服务器安全配置说明

www.hx99.org 阅读: 时间:2007-07-09 整理:华西黑盟
------------------------------------------------------------------

  来源:骨头'sblog

以下是我服务器的安全配置情况,写得没好,请没要介意.也没要拿砖头砸我

一.磁盘权限的设置

c:\
Administrators完全控制
System完全控制
Users读取读取运行列出文件夹目录(为了让防盗链能正常运行)
Guest拒绝所有权限.并只应用到“只有该文件夹”

C:\DocumentsandSettings
Administrators完全控制
System完全控制

C:\DocumentsandSettings\AllUsers
Administrators完全控制
System完全控制

C:\php
读取读取运行列出文件夹目录

C:\ProgramFiles
Administrators完全控制
System完全控制

C:\ProgramFiles\CommonFiles\System
把Everyone权限加上去，赋予读取读取运行列出文件夹目录权限

C:\WINDOWS
Administrators完全控制
System完全控制
IIS_WPG读取读取运行列出文件夹目录,并应用到“只有子文件夹及文件”

Users读取读取运行列出文件夹目录,并应用到“只有该文件夹”
C:\WINDOWS\system32
Administrators完全控制System完全控制
Everyone读取读取运行列出文件夹目录,并应用到“只有子文件夹及文件”

搜索cmd.exenet.exenet1.execacls.exetftp.exeftp.exe
赋予Administrators完全控制权限.并将C:\WINDOWS\ServicePackFiles\i386目录下面多余的删掉！

D盘看不到，不用管

E:\
Administrators完全控制

E:\web
Administrators完全控制

e:\web下面是网站目录，每个站点使用独立的匿名用户，这个不用多说了.

F:\
Administrators完全控制

f:\web

administrators完全控制
f:\web下面也是用户目录。。。自己设置权限去...

服务器上有2个PHP的站点.因为PHP的安全机制
设置的权限有所不同.
F:\web\www.ndsman.net
administrators完全控制
system完全控制
everyone完全控制，不是继承的.点高级-把那个勾去掉
F:\web\www.ndsman.net\sb是网站目录
administrators完全控制
system完全控制
www.ndsman.net除了完全控制以外，全部赋予

F:\web\www.xzhy.cn这个也是PHP的，设置权限如上，不再重复.

另：E:\web\IIS备份此目录下是IIS站点配置备份.建立站点时直接导入就可，E:\2盘\bak\建立网站用户的批处理.BAT直接运行就会自动建立网站匿名帐户.

二.系统安全设置

1.启用Windows自带防火墙，并开放8021330652013端口.（想开什么端口自己加）

2.删除以下的注册表主键:
WScript.Shell
WScript.Shell.1
Shell.application
Shell.application.1
WSCRIPT.NETWORK
WSCRIPT.NETWORK.1

regsvr32/uwshom.ocx回车、regsvr32/uwshext.dll回车

3.删除没有必要的储存过程
usemaster
EXECsp_dropextendedproc'xp_cmdshell'
EXECsp_dropextendedproc'Sp_OACreate'
EXECsp_dropextendedproc'Sp_OADestroy'
EXECsp_dropextendedproc'Sp_OAGetErrorInfo'
EXECsp_dropextendedproc'Sp_OAGetProperty'
EXECsp_dropextendedproc'Sp_OAMethod'
EXECsp_dropextendedproc'Sp_OASetProperty'
EXECsp_dropextendedproc'Sp_OAStop'
EXECsp_dropextendedproc'Xp_regaddmultistring'
EXECsp_dropextendedproc'Xp_regdeletekey'
EXECsp_dropextendedproc'Xp_regdeletevalue'
EXECsp_dropextendedproc'Xp_regenumvalues'
EXECsp_dropextendedproc'Xp_regread'
EXECsp_dropextendedproc'Xp_regremovemultistring'
EXECsp_dropextendedproc'Xp_regwrite'
dropproceduresp_makewebtask

（本人建议直接找对应的DLL文件删除比较保险）

4.禁用Workstation服务，防止ASP木马列出用户.

5.关闭默认共享防止LAN内IPC入侵。可以用批处理来实现.如下：
echooff
netsharec$/del
netshared$/del
netsharee$/del
netsharef$/del
保存为bat放到C:\DocumentsandSettings\AllUsers\「开始」菜单\程序\启动即可

6.定时重启IIS服务及SQL服务.释放资源.可以用计划任务来实现.怎么弄自己想去。

7.设置终端登陆权限，只允许授权用户登陆.开始-程序-管理工具-终端服务配置-RDP-属性-权限
Administrator
chadmin
system
完全控制,不过尽管这样还是有一定的不安全,克隆个帐户就得了.建议限制IP登陆.尽管这样还是不安全滴,人家可以映射终端端口.最好的就是把服务器搞得上没得网.用IP安全策略可以做到.

8.Serv-U改一下本地管理密码，防止本地溢出.设置一下FTP域安全性，选择允许SSL/TLS和规则会话.

OK.就照着这样设置就行了，又安全又不影响第三方软件使用.每台服务器的权限配置都不一样，不要照搬了.服务器升天我不负责.这样设置防防点小菜鸟应该足够啦.哈

【免费加入会员】【我要投稿】【关闭本页】