IT猫扑网:您身边最放心的安全下载站! 最新更新|软件分类|软件专题|手机版|论坛转贴|软件发布

您当前所在位置:首页操作系统windows → windows2003主机安全设置

windows2003主机安全设置

时间:2015/6/28来源:IT猫扑网作者:网管联盟我要评论(0)

鉴于现在webshell得泛滥,网上没有比较完整得2003安全设置,故整理出不足之处请大家多侃侃

系统安装windows2003advserver版本,mcafree 8.0 企业版病毒防火墙,serv-u6.0,mdaemon

系统得分区:至少3个区,c,d,e 推荐建立三个逻辑驱动器,第一个用来装系统和重要的日志文件;第二个放iis;第三个放FTP,这样无论IIS或FTP出了安全漏洞都不会直接影响到系统目录和系统文件

系统管理:Terminal Service(修改端口)互补,如PcAnyWher,remoadmin


安装顺序的选择

安装系统前拔掉网线,先安装好后打补丁sp1,在设置本地安全策略IPSec,安全日志,密码策略等等

1. 安全日志设置

推荐的审核是:
账户管理 成功 失败
登录事件 成功 失败
对象访问 失败
策略更改 成功 失败
特权使用 失败
系统事件 成功 失败
目录服务访问 失败
账户登录事件 成功 失败

2. 管理工具-服务设置

用stimulant.exe工具调整为高级模式保持确定退出

 3.目录和文件权限:
为了控制好服务器上用户的权限,同时也为了预防以后可能的入侵和溢出,我们还必须非常小心地设置目录和文件的访问权限,NT的访问权限分为:读取、写入、读取及执行、修改、列目录、完全控制。在默认的情况下,大多数的文件夹对所有用户(Everyone这个组)是完全敞开的(Full Control),你需要根据应用的需要进行权限重设。
在进行权限控制时,请记住以下几个原则:
1>限是累计的:如果一个用户同时属于两个组,那么他就有了这两个组所允许的所有权限;
2>拒绝的权限要比允许的权限高(拒绝策略会先执行)如果一个用户属于一个被拒绝访问某个资源的组,那么不管其他的权限设置给他开放了多少权限,他也一定不能访问这个资源。所以请非常小心地使用拒绝,任何一个不当的拒绝都有可能造成系统无法正常运行;
3>文件权限比文件夹权限高(这个不用解释了吧?)
4>利用用户组来进行权限控制是一个成熟的系统管理员必须具有的优良习惯之一;
5>仅给用户真正需要的权限,权限的最小化原则是安全的重要保障;

取消C<D<E<F驱动盘得everyone权限改为user组

个人总结如下:
0: C:/Documents and Settings 禁止guests组

1: C:/Documents and Settings/All Users/Application Data/ 禁止guests组

2.C:/windows/system32/config/ 禁止guests组

3.C:/Documents and Settings/All Users/「开始」菜单/程序/ 禁止guests组

4.c:/windowns/system32/inetsrv/data/ 禁止guests组

5.c:/php, 禁止guests组,c:/prel 禁止guests组

6.C:/Program Files/java Web Start/ 禁止guests组

7.c:/Documents and Settings/All Users/「开始」菜单/程序/启动 禁止guests组

8.C:/Program Files/Serv-U 禁止guests组(建议安装得时候更改目录)

4.IIS设置ASP防御(重点)

web 服务扩展:保留acitve server pages,其他都禁止

网站属性:去掉扩展名中不用得,仅保留asp,asa,等常用


shell.application"对象" WSCRIPT.SHELL等

  基于shell.application组件
  cacls %systemroot%/system32/shell32.dll /e /d guests //禁止guests,仅保留administrator

  基于WSCRIPT.SHELL组件,基于WSCRIPT.NETWORK组件
  cacls %systemroot%/system32/wshom.ocx /e /d guests //禁止guests,仅保留administrator

具体组件查看注册表中对应得dll文件,限制他得权限就可以

cscript.exe
regedt32.exe
regedit.exe
.....
很多都要设置
欢迎探讨(QQ:3003303)

//仅保留administrator

9.SERV-U本地提升权限

修改管理账号是LocalAdministrator,默认密码

10. mcafree 8.0 企业版病毒防火墙设置


如图设置

文件,共享资源规则中-设置选中所有,增加对c,d,e,f盘*.exe文件得新创建

增加对c:/windows/temp目录得控制,增加对c:/Documents and Settings 目录得控制

关键词标签:windows2003

相关阅读

文章评论
发表评论

热门文章 windows7虚拟光驱安装和使用方法windows7虚拟光驱安装和使用方法解决应用程序正常初始化(0xc0000135)失败解决应用程序正常初始化(0xc0000135)失败hosts文件位置以及如何修改hosts文件hosts文件位置以及如何修改hosts文件[声音故障]XP没有声音,丢失Windows Audi[声音故障]XP没有声音,丢失Windows Audi

相关下载

人气排行 [声音故障]XP没有声音,丢失Windows Audio服务(AudioSrv)[警解决Windows 7黑屏的有效方法windows2003中关于软路由设置方法的具体介绍Windows不能在本地计算机启动OracleDBConsoleorcl一个空文件夹删不掉的解决办法Windows 7加XP的局域网搭建与文件共享用Windows命令行实现自动SSH代理Windows提示错误应用程序update.exe