資源描述:
《windows2003 server的安全配置》由會(huì)員上傳分享,免費(fèi)在線閱讀��,更多相關(guān)內(nèi)容在行業(yè)資料-天天文庫(kù)�。
1、硬盤目錄權(quán)限設(shè)置和刪除不需要的目錄1.C盤只給administrators和system權(quán)限�,其他的權(quán)限不給,其他的盤也可以這樣設(shè)置�����,這里給的system權(quán)限也不一定需要給�����,只是由于某些第三方應(yīng)用程序是以服務(wù)形式啟動(dòng)的,需要加上這個(gè)用戶��,否則造成啟動(dòng)不了2.Windows目錄要加上給users的默認(rèn)權(quán)限���,刪除everyone即可���。否則ASP和ASPX等應(yīng)用程序就無(wú)法運(yùn)行���。c:/DocumentsandSettings/AllUsers/ApplicationData目錄不能出現(xiàn)everyone用戶有完全控制權(quán)限�,在用做web
2����、/ftp服務(wù)器的系統(tǒng)里,建議是將這些目錄都設(shè)置的鎖死��。其他每個(gè)盤的目錄都按照這樣設(shè)置�,每個(gè)盤都只給adinistrators權(quán)限。3.刪除C:WINDOWSWebprinters目錄�,此目錄的存在會(huì)造成IIS里加入一個(gè).printers的擴(kuò)展名,可溢出攻擊4.打開(kāi)C:Windows搜索net.exe;cmd.exe;tftp.exe;netstat.exe;regedit.exe;at.exe;attrib.exe;cacls.exe;format.com;regsvr32.exe;xcopy.exe;wscrīpt
3�����、.exe;cscrīpt.exe;ftp.exe;telnet.exe;arp.exe;edlin.exe;ping.exe;route.exe;finger.exe;posix.exe;rsh.exe;atsvc.exe;qbasic.exe;runonce.exe;syskey.exe修改權(quán)限,刪除所有的用戶只保存Administrators和SYSTEM為所有權(quán)限禁用不必要的服務(wù)RemoteRegistry服務(wù)[禁止遠(yuǎn)程連接注冊(cè)表]命令:scconfigRemoteRegistrystart=disabledtasks
4�����、chedule服務(wù)??[禁止自動(dòng)運(yùn)行程序]命令:scconfigSchedulestart=disabledserver服務(wù)????????[禁止默認(rèn)共享]命令:scconfiglanmanserverstart=disabledTelnet服務(wù)????????[禁止telnet遠(yuǎn)程登陸]命令:scconfigTlntSvrstart=disabledworkstation服務(wù)????[防止一些漏洞和系統(tǒng)敏感信息獲取]命令:scconfiglanmanworkstationstart=disabledErrorReporti
5�����、ngService服務(wù)[禁止收集��、存儲(chǔ)和向Microsoft報(bào)告異常應(yīng)用程序]命令:scconfigERSvcstart=disabledMessenger服務(wù)[禁止傳輸客戶端和服務(wù)器之間的NETSEND和警報(bào)器服務(wù)消息]命令:scconfigMessengerstart=disabledHelpandSupport服務(wù)[禁止在此計(jì)算機(jī)上運(yùn)行幫助和支持中心]命令:scconfighelpsvcstart=disabledNetworkLocationAwareness(NLA)服務(wù)[禁止收集并保存網(wǎng)絡(luò)配置和位置信息]命令:s
6��、cconfigNlastart=disabledSERV-UFTP服務(wù)器的設(shè)置1.選中“Block"FTP_bounce"attackandFXP”�。FXP,也稱跨服務(wù)器攻擊���。惡意用戶可以通過(guò)FTP服務(wù)器作為中介�����,能夠最終實(shí)現(xiàn)與目標(biāo)服務(wù)器的連接�。選中后就可以防止發(fā)生此種情況2.選中”Blockantitime-outschemes",其次���,在“Advanced”選項(xiàng)卡中�����,檢查“Enablesecurity”是否被選中�����,如果沒(méi)有���,選擇它們IIS的安全與性能:1.刪掉c:/inetpub目錄(還是不要?jiǎng)h除)�,刪除iis不必要的映
7����、射首先是每一個(gè)web站點(diǎn)使用單獨(dú)的IIS用戶�,譬如這里,新建立了一個(gè)名為www.hellows.com���,權(quán)限為guest的����。2.在IIS里的站點(diǎn)屬性里“目錄安全性”---“身份驗(yàn)證和訪問(wèn)控制“里設(shè)置匿名訪問(wèn)使用下列Windows用戶帳戶”的用戶名密碼都使用www.hellows.com這個(gè)用戶的信息.在這個(gè)站點(diǎn)相對(duì)應(yīng)的web目錄文件��,默認(rèn)的只給IIS用戶的讀取和寫入權(quán)限3.在應(yīng)用程序配置里,設(shè)置調(diào)試為向客戶端發(fā)送自定義的文本信息���,這樣能對(duì)于有ASP注入漏洞的站點(diǎn)����,可以不反饋程序報(bào)錯(cuò)的信息�����,能夠避免一定程度的攻擊�����。4.?在自定
8��、義HTTP錯(cuò)誤選項(xiàng)里��,有必要定義下譬如404,500等錯(cuò)誤���,不過(guò)有有時(shí)候?yàn)榱苏{(diào)試程序�,好知道程序出錯(cuò)在什么地方�����,建議只設(shè)置404就可以了。5.?IIS6.0由于運(yùn)行機(jī)制的不同����,出現(xiàn)了應(yīng)用程序池的概念。一般建議10個(gè)左右的站點(diǎn)共用一個(gè)應(yīng)用程序池�,應(yīng)用程序池對(duì)于一般站點(diǎn)可以采用默認(rèn)設(shè)置6.可以
