当前位置:首页 > 网络安全 > windows安全 > windowsserver2003服务器安全设置

windowsserver2003服务器安全设置

2016-09-17 | 来源:网络
每次设置完服务器后必须设置的其他项目: ***首先导入Mcafee的规则备份***然后禁用Mcafee的访问保护功能再进行下面的设置。 1、【数据库】d:\ProgramFiles\MicrosoftSQLServer\MSSQL\binn\sqlagent.exe通用最

 

每次设置完服务器后必须设置的其他项目:
***首先导入Mcafee的规则备份***然后禁用Mcafee的访问保护功能再进行下面的设置。
1、【数据库】d:\Program Files\Microsoft SQL Server\MSSQL\binn\sqlagent.exe 通用最大保护:禁止将程序注册为服务 (解除禁止)
2、【数据库】把(local)(Windows NT)属性--在操作系统启动时自动启动策略,3个全部开启。
3、【数据库】(local)(Windows NT)属性--内存 设置为动态配置 最小值0 最大值1024 为SQL Server保留物理内存不勾选 下面的最小查询内存 1024 最下面是选择 配置值
4、【数据库】把管理--SQL Server代理的属性--高级--重新启动服务2个都开启。
5、【数据库】设置sql server的作业调度来建立自动备份。
6、运行卸载最不安全的组件.bat。
7、运行改名不安全组件.reg。
8、运行改名不安全组件.reg。
9、运行2003服务器安全和性能注册表自动配置文件.reg。
10、【数据库】安装好SQL后搜索 xplog70 注意, 查找范围必须选择安装目录的 Binn 然后将找到的三个文件改名或者删

secpol.msc

本地安全策略设置
开始菜单—>管理工具—>本地安全策略
本地策略——>审核策略
审核策略更改    成功 失败
审核登录事件    成功 失败
审核对象访问       失败
审核过程跟踪       失败
审核目录服务访问     失败
审核特权使用       失败
审核系统事件    成功 失败
审核账户登录事件  成功 失败
审核账户管理    成功 失败

我的电脑-右键-管理-事件查看器-右边的每一个事件鼠标右键-属性
调整日至文件大小:1048576KB=1G 覆盖时间超过30天的事件

帐户策略——>帐户锁定策略 设置为3次无效登陆

本地策略——>用户权限分配
   关闭系统:只有Administrators组、其它全部删除。
   通过终端服务允许登陆:只加入Administrators,Remote Desktop Users组
   用户权利分配:将“从网络访问此计算机”中只保留(Administrators)、使用Asp.net还要保留Aspnet账户。 (ASPNET)、启动IIS进程账户(IUSR)、(IWAM)(Everyone)
(Administrators)(ASPNET)(IUSR)(IWAM)(Everyone)

本地策略——>安全选项
   交互式登陆:不显示上次的用户名       启用
   网络访问:不允许SAM帐户和共享的匿名枚举   启用
   网络访问:不允许为网络身份验证储存凭证   启用
   网络访问:可匿名访问的共享         全部删除
   网络访问:可匿名访问的命名通道       全部删除
   网络访问:可远程访问的注册表路径      全部删除
   网络访问:可远程访问的注册表路径和子路径  全部删除
   帐户:重命名来宾帐户            重命名一个帐户(例如Gu2#edst@1)



 

请找到c盘的这些文件,把安全性设置只有特定的管理员有完全操作权限

下列这些文件只允许Administrators和SYSTEM访问


net.exe
net1.exe
cmd.exe
ftp.exe
tftp.exe
telnet.exe
netstat.exe
regedit.exe
at.exe
attrib.exe
cacls.exe
format.com

另外将系统盘C:\WINDOWS\system32下 cmd.exe、format.com、ftp.exe转移到其他目录或更名

快捷方式:在搜索框里输入
"net.exe","net1.exe","cmd.exe","tftp.exe","netstat.exe","regedit.exe","at.exe","attrib.exe","cacls.exe","format.com","c.exe"
点击搜索 然后全选 右键 属性 安全

磁盘权限

磁盘(C、D、E、F盘全部) Administrators和SYSTEM
完全控制权限
<不是继承的>
该文件夹,子文件夹及文件
C:\WINDOWS Administrators和SYSTEM
完全控制权限
Users (用户默认权限不作修改“读取和运行、列出文件夹目录、读取”)
<不是继承的>
该文件夹,子文件夹及文件
CREATOR OWNER完全控制
<不是继承的>
只有子文件夹及文件
C:\Program Files Administrators和SYSTEM
完全控制权限
<不是继承的>
该文件夹,子文件夹及文件
CREATOR OWNER完全控制权限 <不是继承的>
只有子文件夹及文件
Users读取和运行 <不是继承的>
该文件夹,子文件夹及文件
C:\Documents and Settings Administrators和SYSTEM
完全控制权限
<不是继承的>
该文件夹,子文件夹及文件
C:\Documents and Settings\All Users Administrators和SYSTEM
完全控制权限
<不是继承的>
该文件夹,子文件夹及文件
Users组的权限仅仅限制于读取和运行,绝对不能加上写入权限(默认为“读取和运行、列出文件夹目录、读取”)
C:\Documents and Settings\All Users\Application Data


Administrators和SYSTEM
完全控制权限
<不是继承的>
该文件夹,子文件夹及文件
CREATOR OWNER完全控制 <不是继承的>
只有子文件夹及文件
Users读取和运行 <不是继承的>
该文件夹,子文件夹及文件
Users写入 <不是继承的>
该文件夹及子文件夹
两个并列权限同用户组需要在高级里分开添加,分开列权限

Users读取和运行的权限:选择 2345项和倒数第3项
Users写入的权限:选择6789项
C:\Program Files\Microsoft SQL Server\MSSQL
(程序部分默认装在C:盘)

D:\Program Files\Microsoft SQL Server\MSSQL
(本人的在D盘)
Administrators完全控制权限 <不是继承的>
该文件夹,子文件夹及文件
D:\Program Files\Microsoft SQL Server (数据库部分装在D:盘的情况) Administrators和SYSTEM
完全控制权限
<不是继承的>
该文件夹,子文件夹及文件
CREATOR OWNER完全控制权限 <不是继承的>
只有子文件夹及文件
C:\Program Files\Internet Explorer\iexplore.exe Administrators完全控制权限 <不是继承的>
该文件夹,子文件夹及文件
C:\Program Files\Serv-U (如果装了Serv-U服务器的话)

D:\Program Files\Serv-U (本人的在D盘)

这里常是提权入侵的一个比较大的漏洞点一定要按这个方法设置目录名字根据Serv-U版本也可能是
C:\Program Files\RhinoSoft.com\Serv-U
Administrators和SYSTEM
完全控制权限
<不是继承的>
该文件夹,子文件夹及文件
CREATOR OWNER完全控制权限 <不是继承的>
只有子文件夹及文件
删除c:\inetpub目录

如果服务器上有.NET网站运行,aspnet_client文件夹的权限设置为
Administrators、SYSTEM<完全控制><不是继承的><该文件夹,子文件夹及文件>
Users <读取><不是继承的><该文件夹,子文件夹及文件>

最后:C\WINDOWS\TEMP设置添加Everyone的读写属性,NetWork Service完全控制属性。(不然ASP网站链接数据库会出错,.NET网站也会出错。)


 

禁用Guest账号
运行compmgmt.msc打开计算机管理,用户里面把Guest账号改名并禁用,为了保险起见,最好给Guest加一个复杂的密码。


 

禁用TCP/IP上的NetBIOS

 网上邻居-属性-本地连接-属性-Internet协议(TCP/IP)属性-高级-WINS面板-NetBIOS设置-禁用TCP/IP上的NetBIOS。这样cracker就无法用nbtstat命令来读取你的NetBIOS信息和网卡 MAC地址了


 

services.msc

禁用不必要的服务,提高安全性和系统效率

开始菜单—>管理工具—>服务

Application Layer Gateway Service 为应用程序级协议插件提供支持并启用网络/协议连接。如果此服务被禁用,任何依赖它的服务将无法启动。

Background Intelligent Transfer Service 利用空闲的网络带宽在后台传输文件。如果服务被停用,例如 Windows Update 和 MSN Explorer 的功能将无法自动下载程序和其他信息。

Routing and Remote Access 在局域网以及广域网环境中为企业提供路由服务

Computer Browser 维护网络上计算机的更新列表,并将列表提供给计算机指定浏览。如果服务停止,列表不会被更新或维护。

Distributed File System 将分散的文件共享合并成一个逻辑名称空间并在局域网或广域网上管理这些逻辑卷。

Distributed Link Tracking Client 用于局域网更新连接信息

Error reporting service 发送错误报告

Remote Procedure Call (RPC) Locator RpcNs*远程过程调用 (RPC)

Remote Desktop Help Session Manager 远程协助

Net Logon 域控制器通道管理

NT LM Security Support Provider 为使用传输协议而不是命名管道的远程过程调用(RPC)程序提供安全机制。

Microsoft Serch 基于结构化和半结构化数据的内容以及属性生成全文索引,以便可以对数据进行快速的单词搜索。

Help and Support 启用在此计算机上运行帮助和支持中心。如果停止服务,帮助和支持中心将不可用。

Messenger 传输客户端和服务器之间的 NET SEND 和 警报器服务消息。此服务与 Windows Messenger 无关。

NetMeeting Remote Desktop Sharing 允许经过授权的用户用 NetMeeting 在公司 intranet 上远程访问这台计算机。如果服务被停止,远程桌面共享将不可用。

Workstation 创建和维护到远程服务的客户端网络连接。

Removable storage 管理可移动媒体、驱动程序和库

Print Spooler 管理所有本地和网络打印队列及控制所有打印工作。如果此服务被停用,本地计算机上的打印将不可用

Remote Registry 使远程用户能修改此计算机上的注册表设置。如果此服务被终止,只有此计算机上的用户才能修改注册表

TCP/IP NetBIOS Helper 提供 TCP/IP (NetBT) 服务上的 NetBIOS 和网络上客户端的 NetBIOS 名称解析的支持,从而使用户能够共享文件、打印和登录到网络

Server 支持此计算机通过网络的文件、打印、和命名管道共享

Com+ Event System 提供事件的自动发布到订阅COM组件

Alerter 通知选定的用户和计算机管理警报

Telnet 允许远程用户登录到此计算机并运行程序,并支持多种 TCP/IP Telnet 客户端,包括基于 UNIX 和 Windows 的计算机。


 

设置应用程及子目录的执行权限
A.网站主应用程序目录中的"属性--应用程序设置--执行权限"设为纯脚本
B.在不需要执行asp、asp.net的子目录中执行权限设为无,上传文件目录执行权限设为无,图片或其他不需要程序访问的目录都一样设置


 

应用程序池设置

回收工作进程(分钟):1440 (1440分钟=24小时)
在下列时间回收工作进程:06:00
最大虚拟内存为,最大使用的物理内存不用钩选


 

安装有MSsql2000数据库的请把SA密码设置的超复杂


从下面开始就可以导入已经准备好的了

下面3个修改如果没有其他特殊需要可以直接打开services.msc禁用Server服务来关闭。(本人服务器就是直接采用禁用)
6.禁止建立空连接
默认情况下,任何用户通过通过空连接连上服务器,进而枚举出帐号,猜测密码。我们可以通过修改注册表来禁止建立空连接:
Local_Machine\System\CurrentControlSet\Control\LSA将restrictAnonymous 值为1

7.删除默认共享
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters新建DWORD值,名称设为AutoShareServer值设为0

8.禁止ADMIN$缺省共享
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters项,添加键值AutoShareWKs、REG_DWORD设置值为0


 

卸载最不安全的组件

最简单的办法是直接卸载后删除相应的程序文件。将下面的代码保存为一个.BAT文件

regsvr32/u C:\WINDOWS\System32\wshom.ocx
del C:\WINDOWS\System32\wshom.ocx
regsvr32/u C:\WINDOWS\system32\shell32.dll
del C:\WINDOWS\system32\shell32.dll

然后运行一下探针,WScript.Shell, Shell.application, WScript.Network就会被卸载了。可能会提示无法删除文件,不用管它,重启一下服务器,你会发现这三个都提示“×安全”了。


 

最后:
1、在服务器IIS上设置 Uploadfiles 等等上传图片的文件夹 执行权限
2、设置conn.asp之类的文件 重定向到指定页面
3、数据库也要做重定向
4、修改复杂数据库名(前面加#)和后缀默认.mdb
添加数据库名的如MDB的扩展映射

这个方法就是通过修改IIS设置来实现,适合有IIS控制权的朋友,不适合购买虚拟主机用户(除非管理员已经设置了)。这个方法我认为是目前最好的。只要修改一处,整个站点的数据库都可以防止被下载。无须修改代码即使暴露目标地址也可以防止下载。
我们在IIS属性---主目录---配置---映射---应用程序扩展那里添加.mdb文件的应用解析。注意这里的选择的DLL(或EXE等)似乎也不是任意的,选择不当,这个MDB文件还是可以被下载的,注意最好不要选择选择asp.dll等。你可以自己多测试下
这样修改后下载数据库如:http://www.test.com/data/dvbbs6.mdb。就出现(404或500等错误)

适用于管理员一次性解决MDB文件被下载的,方法是使用shtml的脚本映射,默认文件是C:\WINDOWS\system32\inetsrv\ssinc.dll。
该方法一出,以后暴库下载就彻底没戏了!

5、开启服务器自带的Windows防火墙,如果有程序需要例外的单独设置例外。
6、改名网站后台地址,防止黑客的恶意猜解

解决eWdbEditor编辑器安全隐患
1、修改该编辑器的默认数据库路径和后缀名,防止数据库被黑客非法下载。
默认登陆路径admin_login.asp(或Edit/admin_login.asp)
默认数据库db/ewebeditor.mdb
2、修改编辑器后台登陆路径和默认的登陆用户名和密码,防止黑客进入后台管理界面。
默认帐号admin
默认密码admin或admin888
3、对Upload.asp文件语句进行修改,防止黑客利用其上传ASP木马从而获得WEB权限。

对上传语句限制进行修改:
将原来的:
sAllowExt = Replace(UCase(sAllowExt), "ASP", "")
修改为(增加上传限制):
sAllowExt = Replace(Replace(Replace(Replace(Replace(UCase(sAllowExt), "ASP", ""), "CER", ""), "ASA", ""), "CDX", ""), "HTR", "")


 

更改此功能会导致部分网站使用不正常。(本人服务器没有关闭)
关闭FSO组件,运行 regsvr32 /u scrrun.dll
开启FSO组件,运行 regsvr32 scrrun.dll


 

改名不安全组件

【开始→运行→regedit→回车】打开注册表编辑器

然后【编辑→查找→填写Shell.application→查找下一个】

用这个方法能找到两个注册表项:

{13709620-C279-11CE-A49E-444553540000} 和 Shell.application

第一步:为了确保万无一失,把这两个注册表项导出来,保存为xxxx.reg 文件。

第二步:比如我们想做这样的更改

13709620-C279-11CE-A49E-444553540000 改名为 13709620-C279-11CE-A49E-444553540001

Shell.application 改名为 Shell.application_nohack

第三步:那么,就把刚才导出的.reg文件里的内容按上面的对应关系替换掉,然后把修改好的.reg文件导入到注册表中(双击即可),导入了改名后的注册表项之后,别忘记了删除原有的那两个项目。这里需要注意一点,Clsid中只能是十个数字和ABCDEF六个字母

其实,只要把对应注册表项导出来备份,然后直接改键名就可以了,

下面是我修改后的代码(两个文件我合到一起了):

Windows Registry Editor Version 5.00

[HKEY_CLASSES_ROOT\CLSID\{13709620-C279-11CE-A49E-444553540001}]
@="Shell Automation Service"

[HKEY_CLASSES_ROOT\CLSID\{13709620-C279-11CE-A49E-444553540001}\InProcServer32]
@="C:\\WINNT\\system32\\shell32.dll"
"ThreadingModel"="Apartment"

[HKEY_CLASSES_ROOT\CLSID\{13709620-C279-11CE-A49E-444553540001}\ProgID]
@="Shell.Application_ajiang.1"

[HKEY_CLASSES_ROOT\CLSID\{13709620-C279-11CE-A49E-444553540001}\TypeLib]
@="{50a7e9b0-70ef-11d1-b75a-00a0c90564fe}"

[HKEY_CLASSES_ROOT\CLSID\{13709620-C279-11CE-A49E-444553540001}\Version]
@="1.1"

[HKEY_CLASSES_ROOT\CLSID\{13709620-C279-11CE-A49E-444553540001}\VersionIndependentProgID]
@="Shell.Application_ajiang"

[HKEY_CLASSES_ROOT\Shell.Application_ajiang]
@="Shell Automation Service"

[HKEY_CLASSES_ROOT\Shell.Application_ajiang\CLSID]
@="{13709620-C279-11CE-A49E-444553540001}"

[HKEY_CLASSES_ROOT\Shell.Application_ajiang\CurVer]
@="Shell.Application_ajiang.1"

你可以把这个保存为一个.reg文件运行试一下,但是可别就此了事,因为万一黑客也看了我的这篇文章,他会试验我改出来的这个名字的。


 

防止Serv-U权限提升

其实,注销了Shell组件之后,侵入者运行提升工具的可能性就很小了,但是prel等别的脚本语言也有shell能力,为防万一,还是设置一下为好。

先停掉Serv-U服务

用Ultraedit打开ServUDaemon.exe

查找 Ascii:LocalAdministrator 和 #l@$ak#.lk;0@P

修改成等长度的其它字符就可以了,ServUAdmin.exe也一样处理。

另外注意设置Serv-U所在的文件夹的权限,不要让IIS匿名用户有读取的权限,否则人家下走你修改过的文件,照样可以分析出你的管理员名和密码。


 

1、将当前服务器的进程抓图或记录下来,将其保存,方便以后对照查看是否有不明的程序。
2、将当前开放的端口抓图或记录下来,保存,方便以后对照查看是否开放了不明的端口。当然如果你能分辨每一个进程,和端口这一步可以省略。

最后,最重要,必须要做的!【本框内所有设置适用于XP系统】

运行regedt32.exe打开你的注册表,里面有一个目录树:

打开其中目录HKEY_LOCAL_MACHINE

再打开其中目录SAM

再打开其中目录SAM

再打开其中目录Domains

再打开其中目录Account

再打开其中目录Groups

好了,就是这个Groups就是负责建立用户的。(注意,在进行下一步操作之前,你先要对Groups进行备份,必要的时候,可以还原。)删掉它,系统就不能建立用户了。无论木马怎样折腾,都无法建立用户,更谈不上提升为管理员了。这个目录里的文件如果被删除,是没有办法还原的。

备份方法:右键点击Groups选择“导出”,给导出的文件起个名字,保存好,就可以了。(最好就是保存一份在服务器上,保存一份在本地。)

4.说明:

可能你进入注册表的时候,只能看到第一个SAM目录,其他的都看不到。别着急,那是因为你权限不够,右键点击相应目录选择“权限”,把你自己(通常是Administrators)设置为“允许完全控制”就可以了。以此类推,一直找到Groups目录为止。

5.还原:

很简单,找到你导出的那的文件,直接点击就可以了。

由于删除Groups目录之后,你将不能使用控制面板中的“用户帐户”和“本地用户和组”的功能,因此,备份文件很重要。需要使用相应功能的时候,先还原一下,就跟以前一样了。当然,如果你是一个个人用户,一直都是你一个人使用这台计算机,那就无所谓了。

至此,文章也结束了。有兴趣的朋友,可以一试。但愿能帮上你的忙,祝你好运。

-------------------------------------------------------------------------------------------------------------------------

防止时间病毒

打开控制面板--> 管理工具--> 本地安全策略-->在弹出的窗口依次展开“本地策略” -->“用户权利指派”然后在右侧找到“更改系统时间”项目
双击打开“更改系统时间”,把里面所有权限用户名全部删除,然后重新启动计算机。

-------------------------------------------------------------------------------------------------------------------------

禁用Guest账号

运行compmgmt.msc打开计算机管理,用户里面把Guest账号改名并禁用,为了保险起见,最好给Guest加一个复杂的密码。

-------------------------------------------------------------------------------------------------------------------------

禁用TCP/IP上的NetBIOS

网上邻居-属性-本地连接-属性-Internet协议(TCP/IP)属性-高级-WINS面板-NetBIOS设置-禁用TCP/IP上的NetBIOS。这样cracker就无法用nbtstat命令来读取你的NetBIOS信息和网卡 MAC地址了

-------------------------------------------------------------------------------------------------------------------------

打开services.msc禁用Server服务

-------------------------------------------------------------------------------------------------------------------------

关闭网络端口

关闭135端口
关闭135端口最直接有效的方法,就是将RPC服务停止掉。点击开始菜单中的"运行",在"运行"中输入"services.msc"后回车,打开"服务"窗口中,将"Remote Procedure Call"选中,再单击右键菜单中的"属性"命令,弹出设置窗口;在启动类型设置项处,选中"已禁用"选项,并单击"确定"按钮。
以后需要重新启用RPC服务时,必须运行"regedit.exe"打开注册表编辑窗口,找到"HKEY_LOCAL_ MACHINE\SYSTEM\CurrentControlSet\Services \RpcSs"子键,双击该子键下面的"Start"项,将其数值设置为"0x02",然后把系统重新启动一下就OK了。

关闭137和139端口只要禁用TCP/IP上的NetBIOS 就可以了,继续下面的设置。

关闭139端口
1.开始->控制面板(或者管理)->管理工具->本地安全策略
2.右击"Ip安全策略,在 本地计算机", 选择 "管理 IP 筛选器表和筛选器操作
<就可以启动管理 IP 筛选器表和筛选器操作对话框>
3.在"管理 IP 筛选器表"中,按"添加"按钮打开IP筛选器列表
4.在名称(N) 下面添上"禁止139端口" 任何名字都行,只要你知道就行描述(D) 也写上"禁止139端口"
5.添加按扭 进入ip筛选向导
6.点击下一步 进入筛选向导
7.在源地址(s): 出选择 下拉里的第二项"任何 ip 地址" 点击下一步
8.在目标地址(D): 选上"我的 ip 地址" 点击下一步
9.选择协议类型(S): 把"任意"选改为"tcp" 点击下一步
10.设置ip协议断口: 可以看到很相似的两组选项选择 到端口(O) 添上你要禁止的端口"139" 点击下一步即可。

关闭445端口
其关闭的方法,几乎与关闭139端口的方法完全一致。

-------------------------------------------------------------------------------------------------------------------------


关闭远程桌面

打开控制面板-系统-远程-关闭远程协助和远程桌面两个

-------------------------------------------------------------------------------------------------------------------------

防ARP绑定IP

在命令提示符下输入“Ipconfig/all”,然后继续命令提示符下输入命令“ ARP -s IP MAC ”,就可以将MAC地址和IP地址捆绑在一起了。

这里举例4个不同类型脚本的虚拟主机 权限设置例子

主机头 主机脚本 硬盘目录 IIS用户名 硬盘权限 应用程序池 主目录 应用程序配置
www.1.com HTM D:\www.1.com\ IUSR_1.com Administrators(完全控制)
IUSR_1.com(读)
可共用 读取/纯脚本 启用父路径
www.2.com ASP D:\www.2.com\ IUSR_1.com Administrators(完全控制)
IUSR_2.com(读/写)
可共用 读取/纯脚本 启用父路径
www.3.com NET D:\www.3.com\ IUSR_1.com Administrators(完全控制)
IWAM_3.com(读/写)
IUSR_3.com(读/写)
独立池 读取/纯脚本 启用父路径
www.4.com PHP D:\www.4.com\ IUSR_1.com Administrators(完全控制)
IWAM_4.com(读/写)
IUSR_4.com(读/写)
独立池 读取/纯脚本 启用父路径
其中 IWAM_3.com 和 IWAM_4.com 分别是各自独立应用程序池标识中的启动帐户

主机脚本类型 应用程序扩展名 (就是文件后缀名)对应主机脚本,只需要加载以下的应用程序扩展
HTM STM | SHTM | SHTML | MDB
ASP ASP | ASA | MDB
NET ASPX | ASAX | ASCX| ASHX | ASMX | AXD | VSDISCO | REM | SOAP | CONFIG |
CS |CSPROJ | VB | VBPROJ | WEBINFO | LICX | RESX | RESOURCES | MDB
PHP PHP | PHP3 | PHP4

MDB是共用映射,下面用红色表示

应用程序扩展 映射文件 执行动作
STM=.stm C:\WINDOWS\system32\inetsrv\ssinc.dll GET,POST
SHTM=.shtm C:\WINDOWS\system32\inetsrv\ssinc.dll GET,POST
SHTML=.shtml C:\WINDOWS\system32\inetsrv\ssinc.dll GET,POST
ASP=.asp C:\WINDOWS\system32\inetsrv\asp.dll GET,HEAD,POST,TRACE
ASA=.asa C:\WINDOWS\system32\inetsrv\asp.dll GET,HEAD,POST,TRACE
ASPX=.aspx C:\WINDOWS\Microsoft.NET\Framework\v1.1.4322\aspnet_isapi.dll GET,HEAD,POST,DEBUG
ASAX=.asax C:\WINDOWS\Microsoft.NET\Framework\v1.1.4322\aspnet_isapi.dll GET,HEAD,POST,DEBUG
ASCX=.ascx C:\WINDOWS\Microsoft.NET\Framework\v1.1.4322\aspnet_isapi.dll GET,HEAD,POST,DEBUG
ASHX=.ashx C:\WINDOWS\Microsoft.NET\Framework\v1.1.4322\aspnet_isapi.dll GET,HEAD,POST,DEBUG
ASMX=.asmx C:\WINDOWS\Microsoft.NET\Framework\v1.1.4322\aspnet_isapi.dll GET,HEAD,POST,DEBUG
AXD=.axd C:\WINDOWS\Microsoft.NET\Framework\v1.1.4322\aspnet_isapi.dll GET,HEAD,POST,DEBUG
VSDISCO=.vsdisco C:\WINDOWS\Microsoft.NET\Framework\v1.1.4322\aspnet_isapi.dll GET,HEAD,POST,DEBUG
REM=.rem C:\WINDOWS\Microsoft.NET\Framework\v1.1.4322\aspnet_isapi.dll GET,HEAD,POST,DEBUG
SOAP=.soap C:\WINDOWS\Microsoft.NET\Framework\v1.1.4322\aspnet_isapi.dll GET,HEAD,POST,DEBUG
CONFIG=.config C:\WINDOWS\Microsoft.NET\Framework\v1.1.4322\aspnet_isapi.dll GET,HEAD,POST,DEBUG
CS=.cs C:\WINDOWS\Microsoft.NET\Framework\v1.1.4322\aspnet_isapi.dll GET,HEAD,POST,DEBUG
CSPROJ=.csproj C:\WINDOWS\Microsoft.NET\Framework\v1.1.4322\aspnet_isapi.dll GET,HEAD,POST,DEBUG
VB=.vb C:\WINDOWS\Microsoft.NET\Framework\v1.1.4322\aspnet_isapi.dll GET,HEAD,POST,DEBUG
VBPROJ=.vbproj C:\WINDOWS\Microsoft.NET\Framework\v1.1.4322\aspnet_isapi.dll GET,HEAD,POST,DEBUG
WEBINFO=.webinfo C:\WINDOWS\Microsoft.NET\Framework\v1.1.4322\aspnet_isapi.dll GET,HEAD,POST,DEBUG
LICX=.licx C:\WINDOWS\Microsoft.NET\Framework\v1.1.4322\aspnet_isapi.dll GET,HEAD,POST,DEBUG
RESX=.resx C:\WINDOWS\Microsoft.NET\Framework\v1.1.4322\aspnet_isapi.dll GET,HEAD,POST,DEBUG
RESOURCES=.resources C:\WINDOWS\Microsoft.NET\Framework\v1.1.4322\aspnet_isapi.dll GET,HEAD,POST,DEBUG
PHP=.php C:\php5\php5isapi.dll GET,HEAD,POST
PHP3=.php3 C:\php5\php5isapi.dll GET,HEAD,POST
PHP4=.php4 C:\php5\php5isapi.dll GET,HEAD,POST
MDB=.mdb C:\WINDOWS\system32\inetsrv\ssinc.dll GET,POST

ASP.NET 进程帐户所需的 NTFS 权限

目录 所需权限

Temporary ASP.NET Files%windir%\Microsoft.NET\Framework\{版本}Temporary ASP.NET Files

进程帐户和模拟标识:
完全控制

临时目录 (%temp%)

进程帐户
完全控制

.NET Framework 目录%windir%\Microsoft.NET\Framework\{版本}

进程帐户和模拟标识:
读取和执行
列出文件夹内容
读取

.NET Framework 配置目录%windir%\Microsoft.NET\Framework\{版本}\CONFIG

进程帐户和模拟标识:
读取和执行
列出文件夹内容
读取

网站根目录
C:\inetpub\wwwroot
或默认网站指向的路径

进程帐户:
读取

系统根目录
%windir%\system32

进程帐户:
读取

全局程序集高速缓存
%windir%\assembly

进程帐户和模拟标识:
读取

内容目录
C:\inetpub\wwwroot\YourWebApp
(一般来说不用默认目录,管理员可根据实际情况调整比如D:\wwwroot)

进程帐户:
读取和执行
列出文件夹内容
读取
注意 对于 .NET Framework 1.0,直到文件系统根目录的所有父目录也都需要上述权限。父目录包括:
C:\
C:\inetpub\
C:\inetpub\wwwroot\

服务器安全设置之--本地安全策略

自动更新命令:GPUpdate /force (应用组策略自动生效不需重新启动)

UI 中的设置名称 企业客户端台式计算机 企业客户端便携式计算机 高安全级台式计算机 高安全级便携式计算机

帐户: 使用空白密码的本地帐户只允许进行控制台登录

已启用

已启用

已启用

已启用

帐户: 重命名系统管理员帐户

推荐

推荐

推荐

推荐

帐户: 重命名来宾帐户

推荐

推荐

推荐

推荐

设备: 允许不登录移除

已禁用

已启用

已禁用

已禁用

设备: 允许格式化和弹出可移动媒体

Administrators, Interactive Users

Administrators, Interactive Users

Administrators

Administrators

设备: 防止用户安装打印机驱动程序

已启用

已禁用

已启用

已禁用

设备: 只有本地登录的用户才能访问 CD-ROM

已禁用

已禁用

已启用

已启用

设备: 只有本地登录的用户才能访问软盘

已启用

已启用

已启用

已启用

设备: 未签名驱动程序的安装操作

允许安装但发出警告

允许安装但发出警告

禁止安装

禁止安装

域成员: 需要强 (Windows 2000 或以上版本) 会话密钥

已启用

已启用

已启用

已启用

交互式登录: 不显示上次的用户名

已启用

已启用

已启用

已启用

交互式登录: 不需要按 CTRL+ALT+DEL

已禁用

已禁用

已禁用

已禁用

交互式登录: 用户试图登录时消息文字

此系统限制为仅授权用户。尝试进行未经授权访问的个人将受到起诉。

此系统限制为仅授权用户。尝试进行未经授权访问的个人将受到起诉。

此系统限制为仅授权用户。尝试进行未经授权访问的个人将受到起诉。

此系统限制为仅授权用户。尝试进行未经授权访问的个人将受到起诉。

交互式登录: 用户试图登录时消息标题

继续在没有适当授权的情况下使用是违法行为。

继续在没有适当授权的情况下使用是违法行为。

继续在没有适当授权的情况下使用是违法行为。

继续在没有适当授权的情况下使用是违法行为。

交互式登录: 可被缓存的前次登录个数 (在域控制器不可用的情况下)

2

2

0

1

交互式登录: 在密码到期前提示用户更改密码

14 天

14 天

14 天

14 天

交互式登录: 要求域控制器身份验证以解锁工作站

已禁用

已禁用

已启用

已禁用

交互式登录: 智能卡移除操作

锁定工作站

锁定工作站

锁定工作站

锁定工作站

Microsoft 网络客户: 数字签名的通信(若服务器同意)

已启用

已启用

已启用

已启用

Microsoft 网络客户: 发送未加密的密码到第三方 SMB 服务器。

已禁用

已禁用

已禁用

已禁用

Microsoft 网络服务器: 在挂起会话之前所需的空闲时间

15 分钟

15 分钟

15 分钟

15 分钟

Microsoft 网络服务器: 数字签名的通信(总是)

已启用

已启用

已启用

已启用

Microsoft 网络服务器: 数字签名的通信(若客户同意)

已启用

已启用

已启用

已启用

Microsoft 网络服务器: 当登录时间用完时自动注销用户

已启用

已禁用

已启用

已禁用

网络访问: 允许匿名 SID/名称 转换

已禁用

已禁用

已禁用

已禁用

网络访问: 不允许 SAM 帐户和共享的匿名枚举

已启用

已启用

已启用

已启用

网络访问: 不允许 SAM 帐户和共享的匿名枚举

已启用

已启用

已启用

已启用

网络访问: 不允许为网络身份验证储存凭据或 .NET Passports

已启用

已启用

已启用

已启用

网络访问: 限制匿名访问命名管道和共享

已启用

已启用

已启用

已启用

网络访问: 本地帐户的共享和安全模式

经典 - 本地用户以自己的身份验证

经典 - 本地用户以自己的身份验证

经典 - 本地用户以自己的身份验证

经典 - 本地用户以自己的身份验证

网络安全: 不要在下次更改密码时存储 LAN Manager 的哈希值

已启用

已启用

已启用

已启用

网络安全: 在超过登录时间后强制注销

已启用

已禁用

已启用

已禁用

网络安全: LAN Manager 身份验证级别

仅发送 NTLMv2 响应

仅发送 NTLMv2 响应

仅发送 NTLMv2 响应\拒绝 LM & NTLM

仅发送 NTLMv2 响应\拒绝 LM & NTLM

网络安全: 基于 NTLM SSP(包括安全 RPC)客户的最小会话安全

没有最小

没有最小

要求 NTLMv2 会话安全 要求 128-位加密

要求 NTLMv2 会话安全 要求 128-位加密

网络安全: 基于 NTLM SSP(包括安全 RPC)服务器的最小会话安全

没有最小

没有最小

要求 NTLMv2 会话安全 要求 128-位加密

要求 NTLMv2 会话安全 要求 128-位加密

故障恢复控制台: 允许自动系统管理级登录

已禁用

已禁用

已禁用

已禁用

故障恢复控制台: 允许对所有驱动器和文件夹进行软盘复制和访问

已启用

已启用

已禁用

已禁用

关机: 允许在未登录前关机

已禁用

已禁用

已禁用

已禁用

关机: 清理虚拟内存页面文件

已禁用

已禁用

已启用

已启用

系统加密: 使用 FIPS 兼容的算法来加密,哈希和签名

已禁用

已禁用

已禁用

已禁用

系统对象: 由管理员 (Administrators) 组成员所创建的对象默认所有者

对象创建者

对象创建者

对象创建者

对象创建者

系统设置: 为软件限制策略对 Windows 可执行文件使用证书规则

已禁用

已禁用

已禁用

已禁用


 

一般网站最容易发生的故障的解决方法


1.出现提示网页无法显示,500错误的时候,又没有详细的提示信息

可以进行下面的操作显示详细的提示信息:IE-工具-internet选项-高级-友好的http错误信息提示,将这选项前面不打勾,则可以看到详细的提示信息了


2.系统在安装的时候提示数据库连接错误

一是检查const文件的设置关于数据库的路径设置是否正确

二是检查服务器上面的数据库的路径和用户名、密码等是否正确


3.IIS不支持ASP解决办法:

IIS的默认解析语言是否正确设定?将默认改为VBSCRIPT,进入IIS,右键单击默认Web站点,选择属性,在目录安全性选项卡的匿名访问和身份验证控制中,单击编辑,在身份验证方法属性页中,去掉匿名访问的选择试试.

4.FSO没有权限

FSO的权限问题,可以在后台测试是否能删除文件,解决FSO组件是否开启的方法如下:

首先在系统盘中查找scrrun.dll,如果存在这个文件,请跳到第三步,如果没有,请执行第二步。

在安装文件目录i386中找到scrrun.dl_,用winrar解压缩,得scrrun.dll,然后复制到(你的系统盘)C:\windows\system32\目录中。 运行regsvr32 scrrun.dll即可。

如果想关闭FSO组件,请运行regsvr32/u scrrun.dll即可


5.Microsoft JET Database Engine 错误 '80040e09' 不能更新。数据库或对象为只读

原因分析:
未打开数据库目录的读写权限

解决方法:

( 1 )检查是否在 IIS 中对整个网站打开了 “ 写入 ” 权限,而不仅仅是数据库文件。
( 2 )检查是否在 WIN2000 的资源管理器中,将网站所在目录对 EveryOne 用户打开所有权限。具体方法是:
打开 “ 我的电脑 ”---- 找到网站所在文件夹 ---- 在其上点右键 ---- 选 “ 属性 ”----- 切换到 “ 安全性 ” 选项卡,在这里给 EveryOne 用户所有权限。

注意: 如果你的系统是 XP ,请先点 “ 工具 ”----“ 文件夹选项 ”----“ 查看 ”----- 去掉 “ 使用简单文件共享 ” 前的勾,确定后,文件夹 “ 属性 ” 对话框中才会有 “ 安全性 ” 这一个选项卡。

6.验证码不能显示

原因分析:
造成该问题的原因是 Service Pack 2 为了提高系统的稳定性,默认状态下是屏蔽了对 XBM,也即是 x-bitmap 格式的图片的显示,而这些验证码恰恰是 XBM 格式的,所以显示不出来了。

解决办法:
解决的方法其实也很简单,只需在系统注册表中添加键值 "BlockXBM"=dword:00000000 就可以了,具体操作如下:

1》打开系统注册表;

2》依次点开HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Internet Explorer\\Security;

3》在屏幕右边空白处点击鼠标右键,选择新建一个名为“BlockXBM”为的 DWORD 键,其值为默认的0。

4》退出注册表编辑器。

如果操作系统是2003系统则看是否开启了父路径


7.windows 2003配置IIS支持.shtml

要使用 Shtml 的文件,则系统必须支持SSI,SSI必须是管理员通过Web 服务扩展启用的
windows 2003安装好IIS之后默认是支持.shtml的,只要在“WEB服务扩展”允许“在服务器前端的包含文件”即可 (www.jz5u.com)



8.如何去掉“处理 URL 时服务器出错。请与系统管理员联系。”

如果是本地服务器的话,请右键点IIS默认网站,选属性,在主目录里点配置,选调试。 选中向客户端发送详细的ASP错误消息。 然后再调试程序,此时就可以显示出正确的错误代码。


如果你是租用的空间的话,请和你的空间商联系

评论

评论数10

表情
发表评论
网友评论仅供其表达个人看法,并不表明网易立场。
《windowsserver2003服务器安全设置》更多评论

阅读下一篇

MicrosoftWindowsSharePointServices与代码访问安全

MicrosoftWindowsSharePointServices与代码访问安全 MauriceJ.Prather SurajPoozhiyil AndrewM.Miller MicrosoftCorporation 2003年7月 适用于: Microsoft&#174;Windows&#174;SharePoint ... 查看全文

返回windows安全 返回网站首页