windows-server-2003的权限设置方案

1、windows 2003最完美的权限和安全设置解决方案一、服务器的安全设定1. IIS6.0的安装和设置1.1开始菜单-控制面板-添加/删除程序添加/删除Windows组件应用程序 ASP.NET (可选)|启用网络COM访问(必需)|互联网信息服务(iis)-互联网信息服务管理器(必需)|公共文件(必需)| web服务Active Server pages (必需)|互联网数据连接器(可选)|WebDAV发行版(可选)|网络服务(必需)|服务器端的包含文件(可选)在“网络连接”中，删除所有不需要的协议和服务，在这里只安装基本的互联网协议(TCP/IP )和微软的网络客户端。 高级tcp/ip

2、设置-NetBIOS”设置“tcp/ip”禁用NetBIOS(S )。在“本地连接”中，打开Windows 2003附带的防火墙，阻塞端口，实现IPSec的功能，实现远程(3389 )和Web(80 )、Ftp(21 )、邮件服务器(25，110 )、https(4431.2.IIS (internetinformationservermanager )在“主页目录”选项中设定以下内容读取许可不要写不允许访问脚本源关闭目录引用的建议日志访问的建议已关闭。索引资源的推荐关闭执行权限推荐选择“纯粹的脚本”建议您使用W 3C扩展日志文件格式每天记录客户IP地址、用户名、服务器端口、方法、URI路由、

3、HTTP状态和用户代理，并每天检查日志。(请不要使用默认的目录。 更改记录日志的路径，设置对日志的访问权限，确保只有管理员和system为全控制)。1.3.iis6.0-允许直接编辑本地计算机-属性-配置数据库在IIS属性-主页目录-配置-选项中，在网站的启用父路径前选中1.4 .在IIS的Web服务扩展中选择Active Server Pages，然后单击“允许”1.5.iis6应用程序池的优化1 .取消“此时间空闲后结束工作流(分钟)”2 .检查“工作流回收(请求数)”3 .撤销“迅速的失败保护”1.6 .解决了server 2003无法上传大附件的问题在“服务”下，关闭iisadmin服

4、务。找到windowssystem32inetsrv的metabase.xml文件。找到ASPMaxRequestEntityAllowed并将其更改为所需的值(可以更改为20M:)保存磁盘并重新启动iisadmin服务。1.7 .解决server 2003无法下载超过4M的附件的问题在“服务”下，关闭iisadmin服务。找到windowssystem32inetsrv的metabase.xml文件。找到AspBufferingLimit并将其更改为所需的值(可以更改为20M:)保存磁盘，然后重新启动iisadmin服务。1.8 .超时问题解决了大附件的上传容易超时的问题。的问题在IIS的“

5、站点或虚拟目录”的“主目录”中，单击“配置”按钮，增加IIS脚本的超时时间将脚本超时时间设置为300秒(注意：不是Session超时时间)解决了如果用WebMail写信的时间长，按下发送按钮就返回到系统登录画面的问题适当地增加会话时间是60分钟。 在IIS站点或虚拟目录的属性的主目录中，单击设置-选项现在可以设置(Windows 2003的默认设置为20分钟)2 .设置web目录权限如Everyone:的名称所示，所有用户，此计算机上的所有用户都属于该组。在c盘以外(例如，d、e、f)的根目录中，第一级目录只有管理员权限，第二级目录是管理员完全控制权限，Everyone是完全控制、变更、检索、

6、检查所有其他权限，IUSR是该文件夹的完全拒绝权限第三级目录是每个客户端的虚拟主机站点，管理员完全控制权限和Everyone可以除去完全控制、更改、获取和检查所有其他权限。3 .设置SQL权限3.1 .建立数据库、帐户和密码，例如数据库，基本上不使用只授予PUBLIC和DB_OWNER权限的SA帐户。 因为PS太危险了3.2 .更改sa密码是你不知道的长密码，在任何情况下都不要使用sa帐户3.3. Web登录时经常出现“超时，请重试”问题：如果安装了SQL Server，请务必启用“服务器网络实用程序”中的“多协议”项。3.4 .删除有安全问题的SQL扩展存储过程.以下命令删除了调用shell

7、、注册表和COM组件的破坏权限.都是相对全面的.为了安全！将以下所有代码复制到SQL查询分析器中，然后单击菜单上的查询-执行use masterexecsp _ dropexterndeprocxp _ cmdshellexecsp _ dropexterndeprocsp _ oacreateexecsp _ dropexterndeprocsp _ oadestroyexecsp _ dropexterndeprocsp _ oageterrorinfoexecsp _ dropexterndeprocsp _ OA getpropertyexecsp _ dropexterndeproc

8、sp _ oamethodexecsp _ dropexterndeprocsp _ osetspropertyexecsp _ dropexterndedprocsp _ OA stopexecsp _ dropexterndedprocxp _ regaddmultistringexecsp _ dropexterndeprocxp _ regdeletekeyexecsp _ dropexterndeprocxp _ regdeletevalueexecsp _ dropexterndeprocxp _ regenummvaluesexecsp _ dropexterndeprocxp

9、_ regreadexecsp _ dropexterndedprocxp _ regremovemultistringexecsp _ dropexterndeprocxp _ regwritedrop procedure sp_makewebtask恢复的命令是execsp_addexternalproc存储过程的名称，dllname=存储过程的dll例如，恢复存储过程xp_cmdshellexecsp _ addexternalprocxp _ cmdshell，dllname=xplog70.dll请注意，如果在恢复过程中删除了xplog70.dll，则需要复制。二、系统的一般安全设置

10、4 .更新系统补丁单击“开始”菜单-所有程序- windows更新按照说明安装修补程序.5 .备份系统用GHOST备份系统。6 .一般软件的安装例如，在安装防病毒软件、防火墙、解压缩软件等后，配置防病毒软件，扫描系统漏洞，安装后在GHOST中重新备份系统。7 .首先，关闭不必要的端口，打开防火墙，导入IPSEC策略在“网络连接”中，删除了不需要的协议和服务，这里仅实现了基本的互联网协议(TCP/IP )，并添加了Qos分组计划程序以控制带宽业务。 使用高级tcp/ip设置-NetBIOS”设置“tcp/ip”禁用NetBIOS(S )。 高级选项使用“internet连接防火墙”。 这是win

11、dows 2003附带的防火墙，是2000系统上没有的功能，但可以阻止端口，几乎实现了IPSec的功能。8. win2003服务器防止海洋特洛伊木马安全设置删除以下注册表键：WScript.ShellWScript.Shell.1shell .应用程序shell .应用程序. 1WSCRIPT.NETWORKWSCRIPT.NETWORK.1regsvr32/u wshom.ocx托架返回，regsvr32/u wshext.dll托架返回regsvr 32/USC :win ntsystem32wsom.ocxdelc :win ntsystem32wsom.ocxregsvr 32/USC

12、 :win ntsystem32shelll 32.dlldelc :win ntsystem32shelll 32.dll此外，将上述两个文件权限设置为管理员组的完全权限所有者这里只提到了FSO的防止，但不需要在自动开通空间的虚拟商店服务器上使用，只适合手动开通网站。 可以为需要FSO的站点和不需要FSO的站点设置两组。 需要FSO的用户组被授予执行c : win ntsystem32scrrun.dll文件的权限，而不被授予不必要的权限。 重新启动服务器后生效。如果结合上述设置和上述权限设置，可以看到海阳木马在这里不工作了9 .重命名不安全的组件请注意，组件的名称和Clsid已经完全更改。

13、 以shell.application为例介绍方法。打开注册表编辑器，通过【开始运行regedit回车】，然后【编辑搜索shell.application查找下一个】的方法，可以找到两个注册表项： -c279-11ce-a4 为了确保完整，请导出这两个注册表项并将其保存为. reg文件。比如，我们想做这样的变更-C279-11CE-A49E-0已更改为-C279-11CE-A49E-1shell.application已更改为shell.application _ ajiang然后，将刚才导出的. reg文件的内容替换为上述对应关系，将修改后的. reg文件导入(双击)注册表中，在导入改名后的

14、注册表条目后，请不要忘记删除原来的两个条目请在这里注意。 Clsid只能包含10个字符和ABCDEF六个字符。下面是我修改的代码(总结了两个文件)windows注册表编辑器5.00版 HKEY _ classes _ rootclsid-c79-11ce-a49e-1 =Shell Automation Service HKEY _ classes _ rootclsid-c79-11ce-a49e-1 inpro cserver 32 = c : win nt system32 shelll 32.dll threading model = apadepartmentnt HKEY _ cl

15、asses _ rootclsid-c79-11ce-a49e-1 progid =Shell.Application_ajiang.1 HKEY _ classes _ rootclsid-c79-11ce-a49e-1 typelib = 50 a 7e9b0- 70ef-11 D1-b75a-00a0c 90564 Fe HKEY _ classes _ rootclsid-c79-11ce-a49e-1 version =1.1 HKEY _ classes _ rootclsid-c79-11ce-a49e-1 versionindedentprogid =Shell.Applica

16、tion_ajiang HKEY _ classes _ rootshell.application _ ajiang =Shell Automation Service HKEY _ classes _ rootshell.application _ ajiangclsid =-C279-11CE-A49E-1 HKEY _ classes _ rootshell.application _ ajiangcurver =Shell.Application_ajiang.1 请尝试将其保存为. reg文件。 但是，光靠那个是不行的。 因为如果黑客读了我这篇文章，他会尝试我改的名字。10 .系统安全策略a .帐户策略密码策略：b .密码设置的最小值不能小于10位c .密码设置必须保证复杂性d .注册计数器必须打开e .本地政策审计政策：f .审计策略的变更：