热门搜索:  热水器  开锁  开锁修锁  旧房改造  净水器维修
漫钰维修网>维修知识大全>维修数码电脑知识>

Win2003 + IIS6.0 + Serv-U + SQL Server 安全

编辑:admin时间:2020-11-19 16:28点击数:

系统权限的设置

1.磁盘权限系统磁盘仅授予管理员组和系统完全控制权限。其他磁盘仅给予管理员组系统磁盘完全控制权限\文档和设置目录仅给予管理员组和系统磁盘完全控制权限\文档和设置\所有用户目录仅给予管理员组和系统完全控制系统磁盘\windows\system32\config\禁止的来宾组系统磁盘\文档和设置\所有用户\开始菜单\程序\禁止的来宾组系统磁盘\ windows \ system32 \ inetsrv \ data \ 被禁止的来宾组系统盘\ windows \ system32 \ at.exe、attrib.exe、cacls.exe、net.exe、net1.exe、netstat.exe和regedit.exe的文件只给管理员组和系统盘\ windows \ system32 \在cmd.exe和format.com中,只有管理员组有完全的控制权限将所有(windows \ system32和windows \ service pack文件\ i386) format.com重命名为format_nowayh.com

2.本地安全策略设置的开始菜单->:管理工具->:本地安全策略a,本地策略->:审核策略审核策略更改成功失败审核登录事件成功失败审核对象访问失败审核进程跟踪无审核目录服务访问失败审核权限使用失败审核系统事件成功失败审核帐户登录事件成功失败审核帐户管理成功失败

b、本地策略-->:用户权限分配关闭系统:只删除管理员组和所有其他人。通过终端服务拒绝登录:加入来宾组并允许通过终端服务登录:加入管理员和远程桌面用户组,这

他全删了

c、本地策略->:安全选项交互登录:不显示最后一个用户名以启用网络访问:不允许匿名枚举sam帐户和共享以启用网络访问:不允许网络访问存储用于网络身份验证的凭据:删除所有可以匿名访问的共享:删除所有可以匿名访问的生活:删除所有网络访问:远程访问删除所有注册表路径询问网络访问:远程可访问注册表路径和子路径删除所有帐户:重命名来宾帐户重命名帐户:重命名系统管理员帐户重命名帐户

D.帐户策略->:帐户锁定策略将帐户设置为“5次登录无效”、“锁定时间为30分钟”和“重置锁定计数设置为30分钟”

其他配置

√将管理员帐户更改为管理工具→本地安全策略→本地策略→安全选项

√新建一个没有任何权限的假管理员账户管理工具→计算机管理→系统工具→本地用户和组→用户变更描述:管理计算机(域)内置账户

x重命名iis来宾帐户1。管理工具→计算机管理→系统工具→本地用户和组→用户→重命名iusr_computername2,打开iis管理器→本地计算机→属性→允许直接编辑配置数据库3,进入windows\system32\inetsrv文件夹→metabase.xml→右键单击编辑→找到“anonymoussername”→写入

√禁止文件共享本地连接属性→删除“microsoft网络文件和打印共享”和“microsoft网络客户端”前的“√”

√禁用netbios(关闭端口139)本地连接属性→tcp/ip属性→高级→wins→禁用tcp/ip上的netbios管理工具→计算机管理→设备管理器→查看→显示隐藏设备→非即插即用驱动程序→通过tcpip禁用NetBIOS→重启

√防火墙设置本地连接属性→高级→windows防火墙设置→高级

->第一个“设置”,检查ftp、http、远程桌面服务

√禁止admin$默认共享、磁盘默认共享、限制ipc$默认共享(匿名用户不能列出本地用户,禁止空连接)并创建新的reg文件。导入注册表-windows注册表编辑器版本5.00 " auto sharewks " = dword:0000000 " auto shareserver " = dword:00000 ous " = dword:00000001-

√删除以下注册表主键:wscript。net wscript。net work . 1 { 093 ff 999-1ea 0-4079-9525 wscript . shell wscript . shell . 1 { 72 c24 DD 5-d70a-438 b-8 a 42-98424 b 88 AFB 8 } shell . application . 1 { 13709620-c279-11 ce-a49e-44453540000 }-

√将端口3389改为12344。这里只介绍如何改变。既然这个端口已经发布了,就不要用这个了。这个端口可以用windows自带的计算器从十进制转换成十六进制。十六进制数代替下面两个dword:后一个值(7位数字,不够,前面补0),登录时使用十进制,端口更改在服务器重启创建新的reg文件后生效。导入注册表-windows注册表编辑器5.00版“端口号”= dword: 0003038

"端口号" = dword:00003038-最后,不要忘记windows防火墙允许端口12344并关闭端口3389

√禁止非管理员使用at命令新建注册表文件,导入注册表-Windows注册表编辑器5.00版“提交控件”= dword: 0000001

√卸载最不安全的组件运行“卸载最不安全的组件。蝙蝠”。重启后,重命名或删除windows \ system32 \-中的wshom.ocx和shell32.dll卸载最不安全的组件。蝙蝠。system32 \ wshom . ocxregsvr 32/u % systemroot % \ system32 \ shell 32 . dllregsvr 32/u % systemroot % \ system32 \ whext . dll-

√ windows日志移动打开“HKEY _ local _ machine \ system \ current controlset \ services \ event log”应用子项:应用日志安全子项:安全日志系统子项:系统日志更改子项的文件键值,然后将system32\config目录中的appevent.evt、secevent.evt、sysevent.evt复制到目标文件夹,重新启动。

√保护√窗口日志1。将文件夹移至日志后→属性→安全性→高级→删除“允许父级继承权...”→复制→确定2。保留系统帐户和用户组。系统帐号保留完全控制和修改以外的权限,用户组只保留只读权限3。appevent.e

Vt,sysevent.evt保留管理员、系统帐户和用户组。管理员、系统帐户保留除完全控制和修改之外的权限,用户组仅保留只读权限。Dnsevent.evt和secevent.evt保留系统帐户和用户组。系统帐户保留除完全控制和修改之外的权限,而用户组仅保留只读权限

√手动停止/禁用的服务:计算机浏览器、错误报告服务、microsoft serch、打印假脱机程序、远程注册表、服务器、tcp/ip netbios助手、工作站

√解决在iis 6.0中,超过4m的附件不能下载(现在改为10m)。停止iis服务→打开windows\system32\inetsrv\→记事本打开元数据库. xml→查找aspbufferinglimit项→将值更改为10485760

√将web上传的单个文件的最大值设置为10 mb以停止iis服务→打开windows\system32\inetsrv\→记事本以打开metabase.xml→找到aspmaxrequestentityallowed项→将值更改为10485760

x重新定位并设置iis日志文件的权限1。将iis日志文件的位置移动到非系统分区:在非系统ntfs分区中创建新文件夹→打开iis管理器→右键单击网站→属性→在“启用日志记录”框架中单击“属性”→更改到刚刚创建的文件夹2。设置iis日志文件的权限:浏览到日志文件所在的文件夹→属性→安全→确保管理员和系统的权限

x配置iis元数据库权限以打开windows \ system32 \ inetsrv \ metabase . XML文件→属性→安全性→确认只有administrators组和localsystem帐户的成员才能完全控制对元数据库的访问,删除所有其他文件权限→确定解释web内容和打开iis管理器的权限→右键单击要配置的网站的文件夹、网站、目录、虚拟目录或文件?脚本源文件访问。用户可以访问源文件。如果选择“读取”,可以读取源文件。如果选择“写”,就可以写源文件了。脚本源访问包括脚本在内的源代码。如果既未选择“读取”也未选择“写入”,则此选项不可用。?读取(默认选择)。用户可以查看目录或文件的内容和属性。?写。用户可以更改目录或文件的内容和属性。?目录浏览。用户可以查看文件

列表和集合。?日志访问。为每次访问网站创建一个日志条目。?检索资源。允许检索服务检索此资源。这允许用户搜索资源。

√关闭自动播放并运行组策略编辑器(gpedit.msc)→计算机配置→管理模板→系统→关闭自动播放→属性→启用→所有驱动器

√禁用dcom运行dcomcnfg.exe。控制台根节点→组件服务→计算机→右键单击我的计算机→属性→默认属性选项卡→清除复选框“在此计算机上启用分布式com”。

√启用父路径iis管理器→右键网站→属性→主目录→配置→选项→启用父路径

√ iis 6.0系统没有动作超时和脚本超时。iis管理器→右键单击网站→属性→主目录→配置→选项→分别更改为40分钟和180秒

√删除不必要的iis扩展映射iis管理器→右键网站→属性→主目录→配置→映射,删除不必要的应用程序映射,主要是。shtml,。shtm,。扫描隧道显微镜

√增加iis对mime文件类型的支持iis管理器→选择服务器→右键→属性→mime类型(或者右键网站→属性→http头→mime类型→新建)添加下表内容,然后重启iis扩展mime类型。isoapplication/octet-stream . rmvb application/vnd . rn-real media

√禁止生成转储文件,我的电脑→右键→属性→高级→启动和故障恢复→写调试信息→无。当系统崩溃并出现蓝屏时,转储文件是查找问题的有用信息(否则我会把它翻译成垃圾文件)。但是也可以给黑客提供一些敏感信息,比如一些应用的密码。

→ → → → → → → → → → → → → → → → → → → → → → → →服务器-U FTP服务设置√本地服务器→设置→拦截“ftp_bounce”攻击,60秒内连接10次以上的用户fxp拦截5分钟

√本地服务器→域→设置→高级→取消“允许mdtm命令更改文件的日期/时间”

设置serv-u程序所在文件夹的权限,该文件夹完全由管理员组控制,并禁止来宾组和iis匿名用户拥有读取权限

服务器消息,从上到下,改为:服务器工作正常,现在准备就绪...错误!请联系管理员!文件传输协议服务器正在离开

线路正在维护中,请稍后再试!ftp服务器出现故障,请稍后再试!当前帐户已达到最大用户访问次数。请稍后再试!抱歉,服务器上不允许匿名访问!您上传的东西太少,请上传更多的东西并尝试再次下载!

→→→→→→→→→→→→→→→→→→→→→→→→→→→→SQL安全设置

审核连接企业管理器,指向sql server →展开服务器组→右键单击→属性→安全性→失败

修改sa帐户密码企业管理器→展开服务器组→安全性→登录→双击sa帐户

Sql查询分析器使用master exec sp _ dropdextendedproc ' XP _ cmdshell ' exec sp _ dropdextendedproc ' XP _ dirtree ' exec sp _ dropdextendedproc ' XP _ enumgroups ' exec sp _ dropdextendedproc ' XP _ fixed drives ' exec sp _ dropdextendedproc ' XP _ logingconfig ' exec sp _ dropdextendedproc ' XP _ enumerorlogs ' exec sp _ dropdextendedproc ' XP _ getfile details ' exec sp _ dropdextendedproc ' sp _ oad

emutistring ' exec sp _ dropdextendedproc ' XP _ regwrite ' drop procedure sp _ makewebtask

相关文章推荐 更多
咨询热线
400-000-8888
提供电话上门维修服务
  • 姓  名
  • 电  话
提供电话维修师傅第一时间联系您! 提供免费维修知识,享受独家优惠。