用户IIS虚拟主机网站防木马权限设置安全配置整理

资料内容仅供您学习参考如有不当或者侵权请联系改正或者删除。

IIS虚拟主机网站防木马权限设置安全配置整理

参考了网络上很多关于WIN的安全设置以及自己动手做了一些实践,综合了这些安全设置文章整理而成, 希望对大家有所帮助, 另外里面有不足之处还请大家多多指点, 然后给补上,谢谢

一、 系统的安装

1 、 按照Windows安装光盘的提示安装,默认情况下没有把I IS6.0安装在系统里面。

2 、 IIS6.0的安装

以下为引用的内容:

开始菜单—>控制面板—>添加或删除程序—>添加/删除Window s组件

应用程序———ASP.NET(可选)

|——启用网络COM访问(必选)

|——Internet信息服务(IIS)———Internet信息服务管理器(必选)

|——公用文件(必选)

|——万维网服务———Active Server pages(必选)

|——Internet数据连接器(可选)

|——WebDAV发布(可选)

|——万维网服务(必选)

|——在服务器端的包含文件(可选)

然后点击确定—>下一步安装。

3 、 系统补丁的更新:点击开始菜单—>所有程序—>Windows Upda te按照提示进行补丁的安装。

4 、 备份系统:用GHOST备份系统。

资料内容仅供您学习参考如有不当或者侵权请联系改正或者删除。

5 、 安装常见的软件:例如: 杀毒软件、 解压缩软件等; 安装完毕后,配置杀毒软件,扫描系统漏洞,安装之后用GHOST再次备份系统。

6 、 先关闭不需要的端口开启防火墙导入I PSEC策略

在"网络连接"里, 把不需要的协议和服务都删掉, 这里只安装了基本的Internet协议(TCP/IP) , 由于要控制带宽流量服务,额外安装了Qos数据包计划程序。 在高级tcp/ip 设置里- - "Ne tB IOS"设置"禁用t cp/IP上的NetB IOS(S)" 。 在高级选项里, 使用"Internet连接防火墙" ,这是windows 自带的防火墙, 在系统里没有的功能, 虽然没什么功能,但能够屏蔽端口,这样已经基本达到了一个IPSec的功能。

修改3389远程连接端口

修改注册表

开始- -运行- -regedit

依次展开HKEY_LOCAL_MACHINE/SYSTEM/CURRENTCONTROLSET/CONTROL/

TERMINAL SERVER/WDS/RDPWD/TDS/TCP

右边键值中Por tNumber改为你想用的端口号.注意使用十进制(例10000)

HKEY_LOCAL_MACHINE/SYSTEM/CURRENTCONTROLSET/CONTROL/TERMINAL

SERVER/WINSTAT IONS/RDP-TCP/

右边键值中Por tNumber改为你想用的端口号.注意使用十进制(例10000)

注意: 别忘了在WINDOWS自带的防火墙给上10000端口

修改完毕。 重新启动服务器设置生效。

二、 用户安全设置

1 、 禁用Gue s t账号

在计算机管理的用户里面把Gue s t账号禁用。 为了保险起见, 最好给Gue s t加一个复杂的密码。你能够打开记事本,在里面输入一串包含特殊字符、 数字、 字母的长字符串,

资料内容仅供您学习参考如有不当或者侵权请联系改正或者删除。

然后把它作为Gue s t用户的密码拷进去。

2 、 限制不必要的用户

去掉所有的Duplicate User用户、 测试用户、 共享用户等等。 用户组策略设置相应权限, 而且经常检查系统的用户,删除已经不再使用的用户。 这些用户很多时候都是黑客们入侵系统的突破口。

3 、 把系统Adminis trator账号改名

大家都知道,Windows 的Admini s tra tor用户是不能被停用的,这意味着别人能够一遍又一遍地尝试这个用户的密码。 尽量把它伪装成普通用户,比如改成Guesyc ludx 。

4 、 创立一个陷阱用户

什么是陷阱用户?即创立一个名为"Adminis trator"的本地用户,把它的权限设置成最低,

什么事也干不了的那种, 而且加上一个超过10位的超级复杂密码。 这样能够让那些Hacke r们忙上一段时间,借此发现它们的入侵企图。

5 、 把共享文件的权限从Everyone组改成授权用户

任何时候都不要把共享文件的用户设置成"Everyone"组, 包括打印共享,默认的属性就是"Everyone"组的, 一定不要忘了改。

6 、 开启用户策略

使用用户策略, 分别设置复位用户锁定计数器时间为20分钟, 用户锁定时间为20分钟,用户锁定阈值为3次。 (该项为可选)

7 、 不让系统显示上次登录的用户名

默认情况下, 登录对话框中会显示上次登录的用户名。 这使得别人能够很容易地得到系统的一些用户名,进而做密码猜测。 修改注册表能够不让对话框里显示上次登录的用户名 。 方 法 为 : 打 开 注 册 表 编 辑 器 并 找 到 注 册表 "HKLMSoftwareMicrosof tWindowsTCurrentVers ionWinlogonDont-

资料内容仅供您学习参考如有不当或者侵权请联系改正或者删除。

DisplayLas tUserName" ,把REG_SZ的键值改成1 。

8 、 密码安全设置a 、 使用安全密码

一些公司的管理员创立账号的时候往往用公司名、 计算机名做用户名,然后又把这些用户的密码设置得太简单,比如"welcome"等等。 因此, 要注意密码的复杂性,还要记住经常改密码。b 、 设置屏幕保护密码

这是一个很简单也很有必要的操作。 设置屏幕保护密码也是防止内部人员破坏服务器的一个屏障。c 、 开启密码策略

注意应用密码策略, 如启用密码复杂性要求,设置密码长度最小值为6位,设置强制密码历史为5次, 时间为42天。d 、 考虑使用智能卡来代替密码

对于密码, 总是使安全管理员进退两难, 密码设置简单容易受到黑客的攻击, 密码设置复杂又容易忘记。 如果条件允许, 用智能卡来代替复杂的密码是一个很好的解决方法。

三、 系统权限的设置

1 、 磁盘权限

系统盘及所有磁盘只给Adminis trators组和SYSTEM的完全控制权限

系统盘Documents and Settings 目录只给Administrators组和SYSTEM的完全控制权限系统盘Documents and SettingsAll Users 目录只给Administrators组和SYSTEM的完全控制权限

系统盘WindowsSystem32cacls .exe 、 cmd.exe 、 net.exe 、 net1 .exe 、 ftp.exe 、 tftp.exe 、 telnet.exe 、 netstat .exe 、 regedit .exe 、 at .exe 、 attrib.exe

资料内容仅供您学习参考如有不当或者侵权请联系改正或者删除。

、 format.com、 del文件只给Administrators组和SYSTEM的完全控制权限

另将<systemroot>System32cmd.exe 、 format.com、 f tp.exe转移到其它目录或更名Documents and Settings下所有些目录都设置只给adinistrators权限。 而且要一个一个目录查看,包括下面的所有子目录。

删除c:inetpub目录

2 、 本地安全策略设置

开始菜单—>管理工具—>本地安全策略

A、 本地策略——>审核策略

审核策略更改 成功 失败

审核登录事件 成功 失败

审核对象访问 失败审核过程跟踪 无审核

审核目录服务访问 失败

审核特权使用 失败

审核系统事件 成功 失败

审核账户登录事件 成功 失败

审核账户管理 成功 失败

B、 本地策略——>用户权限分配

关闭系统:只有Adminis trators组、 其它全部删除。

经过终端服务允许登陆: 只加入Administrators,Remote Desktop Users组,其它全部删除

C、 本地策略——>安全选项

交互式登陆: 不显示上次的用户名 启用

资料内容仅供您学习参考如有不当或者侵权请联系改正或者删除。

网络访问: 不允许SAM帐户和共享的匿名枚举 启用

网络访问: 不允许为网络身份验证储存凭证 启用

网络访问: 可匿名访问的共享 全部删除

网络访问: 可匿名访问的命 全部删除

网络访问: 可远程访问的注册表路径 全部删除

网络访问: 可远程访问的注册表路径和子路径 全部删除

帐户:重命名来宾帐户 重命名一个帐户

帐户:重命名系统管理员帐户 重命名一个帐户

3 、 禁用不必要的服务开始-运行-services.msc

TCP/IPNetBIOS Helper提供TCP/IP服务上的NetBIOS和网络上客户端的NetBIOS名称解析的支持而使用户能够共享文件、 打印和登录到网络

Server支持此计算机经过网络的文件、 打印、 和命名管道共享

Computer Browser维护网络上计算机的最新列表以及提供这个列表

Task scheduler允许程序在指定时间运行

Messenger传输客户端和服务器之间的NET SEND和警报器服务消息

Distributed File System:局域网管理共享文件, 不需要可禁用

Distributed l inktracking client : 用于局域网更新连接信息, 不需要可禁用Error reporting service :禁止发送错误报告

Microsoft Serch :提供快速的单词搜索, 不需要可禁用

NTLMSecuritysupportprovide : telnet服务和Microsoft Serch用的, 不需要可禁用PrintSpooler : 如果没有打印机可禁用

Remote Registry :禁止远程修改注册表

Remote Desktop Help Session Manager :禁止远程协助

资料内容仅供您学习参考如有不当或者侵权请联系改正或者删除。

Workstation关闭的话远程NET命令列不出用户组

以上是在Windows Server 系统上面默认启动的服务中禁用的,默认禁用的服务如没特别需要的话不要启动。

4 、 修改注册表:修改注册表, 让系统更强壮a 、 隐藏重要文件/目录能够修改注册表实现完全隐藏

HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows Current-Vers ionExplorerAdvancedFolderHi-ddenSHOWALL" , 鼠标右击"CheckedValue" ,选择修改,把数值由1改为0b 、 防止SYN洪水攻击

HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesTcpipParameters

新建DWORD值, 名为SynAttackPro tec t ,值为2

新建EnablePMTUDiscovery REG_DWORD 0

新建NoNameReleaseOnDemand REG_DWORD 1

新建EnableDeadGWDetect REG_DWORD 0

新建KeepAliveTime REG_DWORD 300,000

新建PerformRouterDiscovery REG_DWORD 0

新建EnableICMPRedirects REG_DWORD 03.禁止响应ICMP路由通告报文

HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesTcpipParametersInterface sinterface

新建DWORD值, 名为PerformRouterDiscovery值为0c.防止ICMP重定向报文的攻击

HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesTcpipParameters

将EnableICMPRedirects值设为0

资料内容仅供您学习参考如有不当或者侵权请联系改正或者删除。d.不支持IGMP协议

HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesTcpipParameters

新建DWORD值, 名为IGMPLev e l值为0e 、 禁止IPC空连接:cracker能够利用net use命令建立空连接,进而入侵,还有net view, nbtstat这些都是基于空连接的,禁止空连接就好了。

Local_MachineSys temCurrentContro lSetContro lLSA-Restr ic tAnonymous把这个值改成"1"即可。f 、 更改TTL值cracker能够根据ping回的TTL值来大致判断你的操作系统, 如:

TTL=107(WINNT);

TTL=108(win) ;

TTL=127或128(win9x) ;

TTL=240或241(l inux) ;

TTL=252(solaris) ;

TTL=240(Irix) ;

实 际 上 你 能 够 自 己 改 的 :HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesTcpipParameters :Defaul tTTL REG_DWORD 0-0xff(0-255十进制,默认值128)改成一个莫名其妙的数字如258,起码让那些小菜鸟晕上半天,就此放弃入侵你也不一定哦g.删除默认共享

有人问过我一开机就共享所有盘, 改回来以后, 重启又变成了共享是怎么回事,这是2K 为 管 理 而 设 置 的 默 认 共 享 ,

资料内容仅供您学习参考如有不当或者侵权请联系改正或者删除。

HKEY_LOCAL_MACHINESYSTEMCurrentContro lSetServicesLanmanServerParameters :AutoShareServer类型是REG_DWORD把值改为0即可h.禁止建立空连接

默认情况下,任何用户经过经过空连接连上服务器,进而枚举出帐号,猜测密码。 我们能够经过修改注册表来禁止建立空连接:

Local_MachineSys temCurrentContro lSetContro lLSA-Restr ic tAnonymous 的值改成"1"即可。i 、 建立一个记事本,填上以下代码。 保存为*.bat并加到启动项目中

以下为引用的内容:net share c$ /del net share d$ /del net share e$ /del net share f$ /del net share ipc$ /del net share admin$ /del

5 、 IIS站点设置:a 、 将IIS目录&数据与系统磁盘分开,保存在专用磁盘空间内。b 、 启用父级路径c 、 在IIS管理器中删除必须之外的任何没有用到的映射(保留asp等必要映射即可)d 、 在IIS中将HTTP404 Object Not Found出错页面经过URL重定向到一个定制HTM文件e 、 Web站点权限设定(建议)

读允许

写不允许

脚本源访问不允许