資源描述:
《變態(tài)的web服務(wù)器iis安全設(shè)置05900》由會(huì)員上傳分享,免費(fèi)在線閱讀,更多相關(guān)內(nèi)容在行業(yè)資料-天天文庫。
1、變態(tài)的Web服務(wù)器IIS安全設(shè)置一.刪除默認(rèn)共享.關(guān)閉139.445端口???選擇“計(jì)算機(jī)管理”程序,選擇“共享文件夾”,在相應(yīng)的共享文件夾上按右鍵,選擇“停止”共享即可。不過在系統(tǒng)重新啟動(dòng)后,IPC$和printer$會(huì)再次共享。???IPC$和printer$工作的端口是139和445.咱們來手工關(guān)閉.???關(guān)閉445端口的方法:???(445端口是文件共享.打印機(jī)共享通訊端口.默認(rèn)是開放的.)???修改注冊(cè)表,添加一個(gè)鍵值???Hive:HKEY_LOCAL_MACHINESystemCurr
2、entControlSetServicesNetBTParameters???添加DWORD值:SMBDeviceEnabled???右鍵單擊“SMBDeviceEnabled”值,選擇“修改”???在出現(xiàn)的“編輯DWORD值”對(duì)話框中,在“數(shù)值數(shù)據(jù)”下,輸入“0”,???單擊“確定”按鈕,完成設(shè)置。從啟電腦.即可關(guān)閉445端口???關(guān)閉139端口的方法:???(139端口開啟都是由于NetBIOS這個(gè)網(wǎng)絡(luò)協(xié)議在使用它,Netbios網(wǎng)絡(luò)基本輸入輸出系統(tǒng)。是1983年IBM開發(fā)的一套網(wǎng)絡(luò)標(biāo)準(zhǔn),微軟
3、在這基礎(chǔ)上繼續(xù)開發(fā)。微軟的客戶機(jī)/服務(wù)器網(wǎng)絡(luò)系統(tǒng)都是基于NetBIOS的。在構(gòu)建的網(wǎng)絡(luò)系統(tǒng)中,對(duì)每一臺(tái)主機(jī)的唯一標(biāo)識(shí)信息是它的NetBIOS名。系統(tǒng)可以利用WINS服務(wù)、廣播及Lmhost文件等多種模式將NetBIOS名解析為相應(yīng)IP地址,從而實(shí)現(xiàn)信息通訊。在這樣的網(wǎng)絡(luò)系統(tǒng)內(nèi)部,利用NetBIOS名實(shí)現(xiàn)信息通訊是非常方便、快捷的。但是在Internet上,它就和一個(gè)后門程序差不多了。不少駭客就是通過這個(gè)漏洞入侵計(jì)算機(jī)的!)???控制面板-網(wǎng)絡(luò)-本地鏈接-屬性(這里勾選取消"網(wǎng)絡(luò)文件和打印機(jī)共享")-tc
4、p/ip協(xié)議屬性-高級(jí)-WINS-Netbios設(shè)置-禁用Netbios???即可關(guān)閉139端口???二.設(shè)置目錄權(quán)限???WINDOWS用戶,在WIN2003系統(tǒng)中大多數(shù)時(shí)候把權(quán)限按用戶(組)來劃分。???在【開始→程序→管理工具→計(jì)算機(jī)管理→本地用戶和組】管理系統(tǒng)用戶和用戶組???NTFS安全權(quán)限設(shè)置是很強(qiáng)大的,(請(qǐng)記住分區(qū)的時(shí)候把所有的硬盤都分為NTFS分區(qū))???然后我們可以確定每個(gè)分區(qū)對(duì)每個(gè)用戶開放的權(quán)限。???【文件(夾)上右鍵→屬性→安全】在這里管理NTFS文件(夾)權(quán)限。???IIS匿名
5、用戶,每個(gè)IIS站點(diǎn)或者虛擬目錄,都可以設(shè)置一個(gè)匿名訪問用戶(現(xiàn)在暫且把它叫“IIS匿名用戶”),???當(dāng)用戶訪問你的網(wǎng)站的.ASP文件的時(shí)候,這個(gè).ASP文件所具有的權(quán)限,就是這個(gè)“IIS匿名用戶”所具有的權(quán)限。???權(quán)限設(shè)置的思路要為每個(gè)獨(dú)立的要保護(hù)的個(gè)體(比如一個(gè)網(wǎng)站或者一個(gè)虛擬目錄)創(chuàng)建一個(gè)系統(tǒng)用戶,???讓這個(gè)站點(diǎn)在系統(tǒng)中具有惟一的可以設(shè)置權(quán)限的身份。???設(shè)置所有的分區(qū)禁止這個(gè)用戶訪問,???而剛才這個(gè)站點(diǎn)的主目錄對(duì)應(yīng)的那個(gè)文件夾設(shè)置允許這個(gè)用戶訪問(要去掉繼承父權(quán)限,并且要加上超管組和SY
6、STEM組)。???這樣設(shè)置了之后,這個(gè)站點(diǎn)里的ASP程序就只有當(dāng)前這個(gè)文件夾的權(quán)限了。???具體設(shè)置???c盤保留administrators和system用戶并給于完全權(quán)限之外.其他用戶全部刪除????C:ProgramFilesCommonFiles這個(gè)文件夾給于everyone讀取權(quán)限??C:DocumentsandSettingsAllUsers?這個(gè)文件夾從新刪除一次.只保留administrators和system用戶并給于完全權(quán)限??c:windows文件夾給于administ
7、rators和system用戶完全權(quán)限和Users用戶組讀取運(yùn)行權(quán)限?其他分區(qū)全部保留administrators和system用戶并給于完全權(quán)限之外.別的用戶全部刪除??而每個(gè)網(wǎng)站則單獨(dú)建立一個(gè)用戶.添加到Guests用戶組?右擊“我的電腦”—管理—“本地用戶組”—“用戶”?新建用戶,比如創(chuàng)建“dongwang”密碼:dongwang然后右擊“dongwang“用戶—屬性---選擇”隸屬于“選項(xiàng)卡----將默認(rèn)歸屬于”users“組刪除,添加Guests組(來賓組)---確定然后再選擇“遠(yuǎn)程控制“選項(xiàng)
8、卡,將”啟用遠(yuǎn)程控制“取消—確定?????在網(wǎng)站程序文件夾點(diǎn)擊右鍵.安全.給于剛剛建立用戶讀取和寫入的權(quán)限?注意:(網(wǎng)站程序文件夾)指的是?自己的網(wǎng)站所在的目錄?比如?我的網(wǎng)站存放路徑為?E:WEB動(dòng)網(wǎng)網(wǎng)站?????在IIS的【站點(diǎn)屬性或者虛擬目錄屬性→目錄安全性→匿名訪問和驗(yàn)證控制→編輯→匿名訪問→編輯】填寫剛剛創(chuàng)建的那個(gè)用戶名并輸入密碼。然后確定,其次提示你再次輸入密碼然后點(diǎn)確定;?????三.刪除不必要的組件.關(guān)掉不必要的服務(wù)??