亚洲韩日午夜视频,欧美日韩在线精品一区二区三区,韩国超清无码一区二区三区,亚洲国产成人影院播放,久草新在线,在线看片AV色

您好,歡迎來到思海網(wǎng)絡(luò),我們將竭誠為您提供優(yōu)質(zhì)的服務(wù)! 誠征網(wǎng)絡(luò)推廣 | 網(wǎng)站備案 | 幫助中心 | 軟件下載 | 購買流程 | 付款方式 | 聯(lián)系我們 [ 會員登錄/注冊 ]
促銷推廣
客服中心
業(yè)務(wù)咨詢
有事點擊這里…  531199185
有事點擊這里…  61352289
點擊這里給我發(fā)消息  81721488
有事點擊這里…  376585780
有事點擊這里…  872642803
有事點擊這里…  459248018
有事點擊這里…  61352288
有事點擊這里…  380791050
技術(shù)支持
有事點擊這里…  714236853
有事點擊這里…  719304487
有事點擊這里…  1208894568
有事點擊這里…  61352289
在線客服
有事點擊這里…  531199185
有事點擊這里…  61352288
有事點擊這里…  983054746
有事點擊這里…  893984210
當(dāng)前位置:首頁 >> 技術(shù)文章 >> 文章瀏覽
技術(shù)文章

IIS網(wǎng)站防木馬權(quán)限設(shè)置安全配置

添加時間:2012-4-2  添加: admin 

一、系統(tǒng)的安裝
1、按照Windows2003安裝光盤的提示安裝,默認(rèn)情況下2003沒有把IIS6.0安裝在系統(tǒng)里面。
2、IIS6.0的安裝
以下為引用的內(nèi)容:
  開始菜單—>控制面板—>添加或刪除程序—>添加/刪除Windows組件
  應(yīng)用程序 ———ASP.NET(可選)
       |——啟用網(wǎng)絡(luò) COM 訪問(必選)
       |——Internet 信息服務(wù)(IIS)———Internet 信息服務(wù)管理器(必選) 
       |——公用文件(必選)
       |——萬維網(wǎng)服務(wù)———Active Server pages(必選)
       |——Internet 數(shù)據(jù)連接器(可選)
       |——WebDAV 發(fā)布(可選)
       |——萬維網(wǎng)服務(wù)(必選)
       |——在服務(wù)器端的包含文件(可選)
然后點擊確定—>下一步安裝。
3、系統(tǒng)補(bǔ)丁的更新:點擊開始菜單—>所有程序—>Windows Update 按照提示進(jìn)行補(bǔ)丁的安裝。
4、備份系統(tǒng):用GHOST備份系統(tǒng)。
5、安裝常用的軟件:例如:殺毒軟件、解壓縮軟件等;安裝完畢后,配置殺毒軟件,掃描系統(tǒng)漏洞,安裝之后用GHOST再次備份系統(tǒng)。
6、先關(guān)閉不需要的端口 開啟防火墻 導(dǎo)入IPSEC策略
在"網(wǎng)絡(luò)連接"里,把不需要的協(xié)議和服務(wù)都刪掉,這里只安裝了基本的Internet協(xié)議(TCP/IP),由于要控制帶寬流量服務(wù),額外安裝了Qos數(shù)據(jù)包計劃程序。在高級tcp/ip設(shè)置里--"NetBIOS"設(shè)置"禁用tcp/IP上的NetBIOS(S)"。在高級選項里,使用"Internet連接防火墻",這是windows 2003 自帶的防火墻,在2000系統(tǒng)里沒有的功能,雖然沒什么功能,但可以屏蔽端口,這樣已經(jīng)基本達(dá)到了一個IPSec的功能。
修改3389遠(yuǎn)程連接端口
修改注冊表
開始--運行--regedit
依次展開 HKEY_LOCAL_MACHINE/SYSTEM/CURRENTCONTROLSET/CONTROL/
TERMINAL SERVER/WDS/RDPWD/TDS/TCP
右邊鍵值中 PortNumber 改為你想用的端口號.注意使用十進(jìn)制(例 10000)
HKEY_LOCAL_MACHINE/SYSTEM/CURRENTCONTROLSET/CONTROL/TERMINAL SERVER/WINSTATIONS/RDP-TCP/
右邊鍵值中 PortNumber 改為你想用的端口號.注意使用十進(jìn)制(例 10000)
注意:別忘了在WINDOWS2003自帶的防火墻給 上10000端口
修改完畢。重新啟動服務(wù)器設(shè)置生效。
二、用戶安全設(shè)置
1、禁用Guest賬號
在計算機(jī)管理的用戶里面把Guest賬號禁用。為了保險起見,最好給Guest加一個復(fù)雜的密碼。你可以打開記事本,在里面輸入一串包含特殊字符、數(shù)字、字母的長字符串,然后把它作為Guest用戶的密碼拷進(jìn)去。
2、限制不必要的用戶
去掉所有的Duplicate User用戶、測試用戶、共享用戶等等。用戶組策略設(shè)置相應(yīng)權(quán)限,并且經(jīng)常檢查系統(tǒng)的用戶,刪除已經(jīng)不再使用的用戶。這些用戶很多時候都是黑客們?nèi)肭窒到y(tǒng)的突破口。
3、把系統(tǒng)Administrator賬號改名
大家都知道,Windows 2003 的Administrator用戶是不能被停用的,這意味著別人可以一遍又一遍地嘗試這個用戶的密碼。盡量把它偽裝成普通用戶,比如改成Guesycludx。
4、創(chuàng)建一個陷阱用戶
什么是陷阱用戶?即創(chuàng)建一個名為"Administrator"的本地用戶,把它的權(quán)限設(shè)置成最低,什么事也干不了的那種,并且加上一個超過10位的超級復(fù)雜密碼。這樣可以讓那些 Hacker們忙上一段時間,借此發(fā)現(xiàn)它們的入侵企圖。
5、把共享文件的權(quán)限從Everyone組改成授權(quán)用戶
任何時候都不要把共享文件的用戶設(shè)置成"Everyone"組,包括打印共享,默認(rèn)的屬性就是"Everyone"組的,一定不要忘了改。
6、開啟用戶策略
使用用戶策略,分別設(shè)置復(fù)位用戶鎖定計數(shù)器時間為20分鐘,用戶鎖定時間為20分鐘,用戶鎖定閾值為3次。 (該項為可選)
7、不讓系統(tǒng)顯示上次登錄的用戶名
默認(rèn)情況下,登錄對話框中會顯示上次登錄的用戶名。這使得別人可以很容易地得到系統(tǒng)的一些用戶名,進(jìn)而做密碼猜測。修改注冊表可以不讓對話框里顯示上次登錄的用戶名。方法為:打開注冊表編輯器并找到注冊表"HKLM\Software\Microsoft\WindowsT\CurrentVersion\Winlogon\Dont-DisplayLastUserName",把REG_SZ的鍵值改成1。
8、密碼安全設(shè)置
a、使用安全密碼
一些公司的管理員創(chuàng)建賬號的時候往往用公司名、計算機(jī)名做用戶名,然后又把這些用戶的密碼設(shè)置得太簡單,比如"welcome"等等。因此,要注意密碼的復(fù)雜性,還要記住經(jīng)常改密碼。
b、設(shè)置屏幕保護(hù)密碼
這是一個很簡單也很有必要的操作。設(shè)置屏幕保護(hù)密碼也是防止內(nèi)部人員破壞服務(wù)器的一個屏障。
c、開啟密碼策略
注意應(yīng)用密碼策略,如啟用密碼復(fù)雜性要求,設(shè)置密碼長度最小值為6位 ,設(shè)置強(qiáng)制密碼歷史為5次,時間為42天。
d、考慮使用智能卡來代替密碼
對于密碼,總是使安全管理員進(jìn)退兩難,密碼設(shè)置簡單容易受到黑客的攻擊,密碼設(shè)置復(fù)雜又容易忘記。如果條件允許,用智能卡來代替復(fù)雜的密碼是一個很好的解決方法。
三、系統(tǒng)權(quán)限的設(shè)置
1、磁盤權(quán)限
系統(tǒng)盤及所有磁盤只給 Administrators 組和 SYSTEM 的完全控制權(quán)限
系統(tǒng)盤\Documents and Settings 目錄只給 Administrators 組和 SYSTEM 的完全控制權(quán)限
系統(tǒng)盤\Documents and Settings\All Users 目錄只給 Administrators 組和 SYSTEM 的完全控制權(quán)限
系統(tǒng)盤\Windows\System32\cacls.exe、cmd.exe、net.exe、net1.exe、ftp.exe、tftp.exe、telnet.exe 、 netstat.exe、regedit.exe、at.exe、attrib.exe、format.com、del文件只給 Administrators 組和SYSTEM 的完全控制權(quán)限
另將<systemroot>\System32\cmd.exe、format.com、ftp.exe轉(zhuǎn)移到其他目錄或更名
Documents and Settings下所有些目錄都設(shè)置只給adinistrators權(quán)限。并且要一個一個目錄查看,包括下面的所有子目錄。
刪除c:\inetpub目錄
2、本地安全策略設(shè)置
開始菜單—>管理工具—>本地安全策略
A、本地策略——>審核策略
審核策略更改   成功 失敗
審核登錄事件   成功 失敗
審核對象訪問      失敗審核過程跟蹤   無審核
審核目錄服務(wù)訪問    失敗
審核特權(quán)使用      失敗
審核系統(tǒng)事件   成功 失敗
審核賬戶登錄事件 成功 失敗
審核賬戶管理   成功 失敗
B、本地策略——>用戶權(quán)限分配
關(guān)閉系統(tǒng):只有Administrators組、其它全部刪除。
通過終端服務(wù)允許登陸:只加入Administrators,Remote Desktop Users組,其他全部刪除
C、本地策略——>安全選項
交互式登陸:不顯示上次的用戶名       啟用
網(wǎng)絡(luò)訪問:不允許SAM帳戶和共享的匿名枚舉  啟用
網(wǎng)絡(luò)訪問:不允許為網(wǎng)絡(luò)身份驗證儲存憑證   啟用
網(wǎng)絡(luò)訪問:可匿名訪問的共享         全部刪除
網(wǎng)絡(luò)訪問:可匿名訪問的命          全部刪除
網(wǎng)絡(luò)訪問:可遠(yuǎn)程訪問的注冊表路徑      全部刪除
網(wǎng)絡(luò)訪問:可遠(yuǎn)程訪問的注冊表路徑和子路徑  全部刪除
帳戶:重命名來賓帳戶            重命名一個帳戶
帳戶:重命名系統(tǒng)管理員帳戶         重命名一個帳戶
3、禁用不必要的服務(wù) 開始-運行-services.msc
TCP/IPNetBIOS Helper提供 TCP/IP 服務(wù)上的 NetBIOS 和網(wǎng)絡(luò)上客戶端的 NetBIOS 名稱解析的支持而使用戶能夠共享文件、打印和登錄到網(wǎng)絡(luò)
Server支持此計算機(jī)通過網(wǎng)絡(luò)的文件、打印、和命名管道共享
Computer Browser 維護(hù)網(wǎng)絡(luò)上計算機(jī)的最新列表以及提供這個列表
Task scheduler 允許程序在指定時間運行
Messenger 傳輸客戶端和服務(wù)器之間的 NET SEND 和 警報器服務(wù)消息
Distributed File System: 局域網(wǎng)管理共享文件,不需要可禁用
Distributed linktracking client:用于局域網(wǎng)更新連接信息,不需要可禁用
Error reporting service:禁止發(fā)送錯誤報告
Microsoft Serch:提供快速的單詞搜索,不需要可禁用
NTLMSecuritysupportprovide:telnet服務(wù)和Microsoft Serch用的,不需要可禁用
PrintSpooler:如果沒有打印機(jī)可禁用
Remote Registry:禁止遠(yuǎn)程修改注冊表
Remote Desktop Help Session Manager:禁止遠(yuǎn)程協(xié)助
Workstation 關(guān)閉的話遠(yuǎn)程NET命令列不出用戶組
以上是在Windows Server 2003 系統(tǒng)上面默認(rèn)啟動的服務(wù)中禁用的,默認(rèn)禁用的服務(wù)如沒特別需要的話不要啟動。
4、修改注冊表:修改注冊表,讓系統(tǒng)更強(qiáng)壯
a、隱藏重要文件/目錄可以修改注冊表實現(xiàn)完全隱藏
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\ Current-Version\Explorer\Advanced\Folder\Hi-dden\SHOWALL",鼠標(biāo)右擊"CheckedValue",選擇修改,把數(shù)值由1改為0
b、防止SYN洪水攻擊
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters
新建DWORD值,名為SynAttackProtect,值為2
新建EnablePMTUDiscovery REG_DWORD 0
新建NoNameReleaseOnDemand REG_DWORD 1
新建EnableDeadGWDetect REG_DWORD 0
新建KeepAliveTime REG_DWORD 300,000
新建PerformRouterDiscovery REG_DWORD 0
新建EnableICMPRedirects REG_DWORD 03. 禁止響應(yīng)ICMP路由通告報文
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Inte*ces\inte*ce
新建DWORD值,名為PerformRouterDiscovery 值為0
c. 防止ICMP重定向報文的攻擊
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters
將EnableICMPRedirects 值設(shè)為0
d. 不支持IGMP協(xié)議
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters
新建DWORD值,名為IGMPLevel 值為0
e、禁止IPC空連接:
cracker可以利用net use命令建立空連接,進(jìn)而入侵,還有net view,nbtstat這些都是基于空連接的,禁止空連接就好了。
Local_Machine\System\CurrentControlSet\Control\LSA-RestrictAnonymous 把這個值改成"1"即可。
f、更改TTL值
cracker可以根據(jù)ping回的TTL值來大致判斷你的操作系統(tǒng),如:
TTL=107(WINNT);
TTL=108(win2000);
TTL=127或128(win9x);
TTL=240或241(linux);
TTL=252(solaris);
TTL=240(Irix);
實際上你可以自己改的:HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters:DefaultTTL REG_DWORD 0-0xff(0-255 十進(jìn)制,默認(rèn)值128)改成一個莫名其妙的數(shù)字如258,起碼讓那些小菜鳥暈上半天,就此放棄入侵你也不一定哦
g. 刪除默認(rèn)共享
有人問過我一開機(jī)就共享所有盤,改回來以后,重啟又變成了共享是怎么回事,這是2K為管理而設(shè)置的默認(rèn)共享,HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters:AutoShareServer類型是REG_DWORD把值改為0即可
h. 禁止建立空連接
默認(rèn)情況下,任何用戶通過通過空連接連上服務(wù)器,進(jìn)而枚舉出帳號,猜測密碼。我們可以通過修改注冊表來禁止建立空連接:
Local_Machine\System\CurrentControlSet\Control\LSA-RestrictAnonymous 的值改成"1"即可。
i、建立一個記事本,填上以下代碼。保存為*.bat并加到啟動項目中
以下為引用的內(nèi)容:
net share c$ /del
net share d$ /del
net share e$ /del
net share f$ /del
net share ipc$ /del
net share admin$ /del
5、IIS站點設(shè)置:
a、將IIS目錄&數(shù)據(jù)與系統(tǒng)磁盤分開,保存在專用磁盤空間內(nèi)。
b、啟用父級路徑
c、在IIS管理器中刪除必須之外的任何沒有用到的映射(保留asp等必要映射即可)
d、在IIS中將HTTP404 Object Not Found出錯頁面通過URL重定向到一個定制HTM文件
e、Web站點權(quán)限設(shè)定(建議)
讀 允許
寫 不允許
腳本源訪問 不允許
目錄瀏覽 建議關(guān)閉
日志訪問 建議關(guān)閉
索引資源 建議關(guān)閉
執(zhí)行 推薦選擇 "僅限于腳本"
f、建議使用W3C擴(kuò)充日志文件格式,每天記錄客戶IP地址,用戶名,服務(wù)器端口,方法,URI字根,HTTP狀態(tài),用戶代理,而且每天均要審查日志。(最好不要使用缺省的目錄,建議更換一個記日志的路徑,同時設(shè)置日志的訪問權(quán)限,只允許管理員和system為Full Control)。
g、程序安全
1) 涉及用戶名與口令的程序最好封裝在服務(wù)器端,盡量少的在ASP文件里出現(xiàn),涉及到與數(shù)據(jù)庫連接地用戶名與口令應(yīng)給予最小的權(quán)限;
2) 需要經(jīng)過驗證的ASP頁面,可跟蹤上一個頁面的文件名,只有從上一頁面轉(zhuǎn)進(jìn)來的會話才能讀取這個頁面。3) 防止ASP主頁.inc文件泄露問題;
4) 防止UE等編輯器生成some.asp.bak文件泄露問題。
6、IIS權(quán)限設(shè)置的思路
1) 要為每個獨立的要保護(hù)的個體(比如一個網(wǎng)站或者一個虛擬目錄)創(chuàng)建一個系統(tǒng)用戶,讓這個站點在系統(tǒng)中具有惟一的可以設(shè)置權(quán)限的身份。
2) 在IIS的【站點屬性或者虛擬目錄屬性→目錄安全性→匿名訪問和驗證控制→編輯→匿名訪問→編輯】填寫剛剛創(chuàng)建的那個用戶名。
3) 設(shè)置所有的分區(qū)禁止這個用戶訪問,而剛才這個站點的主目錄對應(yīng)的那個文件夾設(shè)置允許這個用戶訪問(要去掉繼承父權(quán)限,并且要加上超管組和SYSTEM組)。
7、卸載最不安全的組件
最簡單的辦法是直接卸載后刪除相應(yīng)的程序文件。將下面的代碼保存為一個.BAT文件,( 以下均以 WIN2000 為例,如果使用2003,則系統(tǒng)文件夾應(yīng)該是 C:\WINDOWS\ )
以下為引用的內(nèi)容:
regsvr32/u C:\WINDOWS\System32\wshom.ocx
del C:\WINDOWS\System32\wshom.ocx
regsvr32/u C:\WINDOWS\system32\shell32.dll
del C:\WINNT\WINDOWS\shell32.dll
然后運行一下,W.Shell, Shell.application, W.Network就會被卸載了。可能會提示無法刪除文件,不用管它,重啟一下服務(wù)器,你會發(fā)現(xiàn)這三個都提示"×安全"了。

關(guān)鍵詞:安全策略  權(quán)限

分享到:

頂部 】 【 關(guān)閉
版權(quán)所有:佛山思海電腦網(wǎng)絡(luò)有限公司 ©1998-2024 All Rights Reserved.
聯(lián)系電話:(0757)22630313、22633833
中華人民共和國增值電信業(yè)務(wù)經(jīng)營許可證: 粵B1.B2-20030321 備案號:粵B2-20030321-1
網(wǎng)站公安備案編號:44060602000007 交互式欄目專項備案編號:200303DD003  
察察 工商 網(wǎng)安 舉報有獎  警警  手機(jī)打開網(wǎng)站