您的位置: 首页 > 计算机技术 > 操作系统 > windows 2003系统安全权限方案
特殊文件防止闪存为电脑带来病毒 回到列表 开机启动小键盘的方法
 windows 2003系统安全权限方案

作者:zhang23269 时间: 2008-07-30 文档类型:原创 来自:蓝色理想

第 1 页 windows 2003系统安全权限方案 [1]
第 2 页 windows 2003系统安全权限方案 [2]
第 3 页 windows 2003系统安全权限方案 [3]

我在电信局做网管,原来管理过三十多台服务器,从多年积累的经验,写出以下详细的Windows2003服务系统的安全方案,我应用以下方案,安全运行了二年,无黑客有成功入侵的记录,也有黑客入侵成功的在案,但最终还是没有拿到肉鸡的最高管理员身份,只是可以浏览跳转到服务器上所有客户的网站。
服务器安全设置
>> IIS6.0的安装
   开始菜单—>控制面板—>添加或删除程序—>添加/删除Windows组件
   应用程序 ———ASP.NET(可选)
        |——启用网络 COM+ 访问(必选)
        |——Internet 信息服务(IIS)———Internet 信息服务管理器(必选) 
            |——公用文件(必选)
            |——万维网服务———Active Server pages(必选)
                   |——Internet 数据连接器(可选)
                   |——WebDAV 发布(可选)
                   |——万维网服务(必选)
                   |——在服务器端的包含文件(可选)
>> 在”网络连接”里,把不需要的协议和服务都删掉,这里只安装了基本的Internet协议(TCP/IP)和Microsoft网络客户端。在高级tcp/ip设置里--"NetBIOS"设置"禁用tcp/IP上的NetBIOS(S)"。
>>在“本地连接”打开Windows 2003 自带的防火墙,可以屏蔽端口,基本达到一个IPSec的功能,只保留有用的端口,比如远程(3389)和 Web(80),Ftp(21),邮件服务器(25,110),https(443),SQL(1433)
>> IIS (Internet信息服务器管理器) 在"主目录"选项设置以下
读 允许
写 不允许
脚本源访问 不允许
目录浏览 建议关闭
记录访问 建议关闭
索引资源 建议关闭
执行权限 推荐选择 “纯脚本”
>> 建议使用W3C扩充日志文件格式,每天记录客户IP地址,用户名,服务器端口,方法,URI字根,HTTP状态,用户代理,而且每天均要审查日志。
(最好不要使用缺省的目录,建议更换一个记日志的路径,同时设置日志的访问权限,只允许管理员和system为Full Control)。
>> 在IIS6.0 -本地计算机 - 属性- 允许直接编辑配置数据库在IIS中 属性->主目录->配置->选项中。
>> 在网站把”启用父路径“前面打上勾
>> 在IIS中的Web服务扩展中选中Active Server Pages,点击“允许”
>> 优化IIS6应用程序池
   1、取消“在空闲此段时间后关闭工作进程(分钟)”
   2、勾选“回收工作进程(请求数目)”
   3、取消“快速失败保护”
>> 解决SERVER 2003不能上传大附件的问题
   在“服务”里关闭 iis admin service 服务。
   找到 windows\system32\inetsrv\ 下的 metabase.xml 文件。
   找到 ASPMaxRequestEntityAllowed 把它修改为需要的值(可修改为20M即:20480000)
   存盘,然后重启 iis admin service 服务。
>> 解决SERVER 2003无法下载超过4M的附件问题
   在“服务”里关闭 iis admin service 服务。
   找到 windows\system32\inetsrv\ 下的 metabase.xml 文件。
   找到 AspBufferingLimit 把它修改为需要的值(可修改为20M即:20480000)
   存盘,然后重启 iis admin service 服务。
>> 超时问题
   解决大附件上传容易超时失败的问题
   在IIS中调大一些脚本超时时间,操作方法是: 在IIS的“站点或虚拟目录”的“主目录”下点击“配置”按钮,
   设置脚本超时时间为:300秒 (注意:不是Session超时时间)
  解决通过WebMail写信时间较长后,按下发信按钮就会回到系统登录界面的问题
   适当增加会话时间(Session)为 60分钟。在IIS站点或虚拟目录属性的“主目录”下点击“配置-->选项”,
   就可以进行设置了(Windows 2003默认为20分钟)
>> 修改3389远程连接端口
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\Wds\rdpwd\Tds\tcp]
"PortNumber"=dword:0000端口号
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp]
"PortNumber"=dword:0000端口号
设置这两个注册表的权限, 添加“IUSR”的完全拒绝 禁止显示端口号
>> 本地策略--->用户权限分配
   关闭系统:只有Administrators组、其它全部删除。
   通过终端服务允许登陆:只加入Administrators,Remote Desktop Users组,其他全部删除
>> 在安全设置里 本地策略-用户权利分配,通过终端服务拒绝登陆 加入
ASPNET
IUSR_
IWAM_
NETWORK SERVICE
(注意不要添加进user组和administrators组 添加进去以后就没有办法远程登陆了)
>> 在安全设置里 本地策略-安全选项
网络访问:可匿名访问的共享;
网络访问:可匿名访问的命名管道;
网络访问:可远程访问的注册表路径;
网络访问:可远程访问的注册表路径和子路径;
将以上四项全部删除
>> 不允许 SAM 账户的匿名枚举 更改为"已启用"
>> 不允许 SAM 账户和共享的匿名枚举 更改为"已启用" ;
>> 网络访问: 不允许存储网络身份验证的凭据或 .NET Passports 更改为"已启用" ;
>> 网络访问.限制匿名访问命名管道和共享,更改为"已启用" ;
将以上四项通通设为“已启用”

>> 计算机管理的本地用户和组
禁用终端服务(TsInternetUser), SQL服务(SQLDebugger), SUPPORT_388945a0

>> 禁用不必要的服务
sc config AeLookupSvc start= AUTO
sc config Alerter start= DISABLED
sc config ALG start= DISABLED
sc config AppMgmt start= DEMAND
sc config aspnet_state start= DEMAND
sc config AudioSrv start= DISABLED
sc config BITS start= DEMAND
sc config Browser start= DEMAND
sc config CiSvc start= DISABLED
sc config ClipSrv start= DISABLED
sc config clr_optimization_v2.0.50727_32 start= DEMAND
sc config COMSysApp start= DEMAND
sc config CryptSvc start= AUTO
sc config DcomLaunch start= AUTO
sc config Dfs start= DEMAND
sc config Dhcp start= AUTO
sc config dmadmin start= DEMAND
sc config dmserver start= AUTO
sc config Dnscache start= AUTO
sc config ERSvc start= DISABLED
sc config Eventlog start= AUTO
sc config EventSystem start= AUTO
sc config helpsvc start= DISABLED
sc config HidServ start= AUTO
sc config HTTPFilter start= DEMAND
sc config IISADMIN start= AUTO
sc config ImapiService start= DISABLED
sc config IsmServ start= DISABLED
sc config kdc start= DISABLED
sc config lanmanworkstation start= DISABLED
sc config LicenseService start= DISABLED
sc config LmHosts start= DISABLED
sc config Messenger start= DISABLED
sc config mnmsrvc start= DISABLED
sc config MSDTC start= AUTO
sc config MSIServer start= DEMAND
sc config MSSEARCH start= AUTO
sc config MSSQLSERVER start= AUTO
sc config MSSQLServerADHelper start= DEMAND
sc config NetDDE start= DISABLED
sc config NetDDEdsdm start= DISABLED
sc config Netlogon start= DEMAND
sc config Netman start= DEMAND
sc config Nla start= DEMAND
sc config NtFrs start= DEMAND
sc config NtLmSsp start= DEMAND
sc config NtmsSvc start= DEMAND
sc config PlugPlay start= AUTO
sc config PolicyAgent start= AUTO
sc config ProtectedStorage start= AUTO
sc config RasAuto start= DEMAND
sc config RasMan start= DEMAND
sc config RDSessMgr start= DEMAND
sc config RemoteAccess start= DISABLED
sc config RemoteRegistry start= DISABLED
sc config RpcLocator start= DEMAND
sc config RpcSs start= AUTO
sc config RSoPProv start= DEMAND
sc config sacsvr start= DEMAND
sc config SamSs start= AUTO
sc config SCardSvr start= DEMAND
sc config Schedule start= AUTO
sc config seclogon start= AUTO
sc config SENS start= AUTO
sc config SharedAccess start= DISABLED
sc config ShellHWDetection start= AUTO
sc config SMTPSVC start= AUTO
sc config Spooler start= DISABLED
sc config SQLSERVERAGENT start= AUTO
sc config stisvc start= DISABLED
sc config swprv start= DEMAND
sc config SysmonLog start= AUTO
sc config TapiSrv start= DEMAND
sc config TermService start= AUTO
sc config Themes start= DISABLED
sc config TlntSvr start= DISABLED
sc config TrkSvr start= DISABLED
sc config TrkWks start= AUTO
sc config Tssdis start= DISABLED
sc config UMWdf start= DEMAND
sc config UPS start= DEMAND
sc config vds start= DEMAND
sc config VSS start= DEMAND
sc config W32Time start= AUTO
sc config W3SVC start= AUTO
sc config WebClient start= DISABLED
sc config WinHttpAutoProxySvc start= DEMAND
sc config winmgmt start= AUTO
sc config WmdmPmSN start= DEMAND
sc config Wmi start= DEMAND
sc config WmiApSrv start= DEMAND
sc config wuauserv start= DISABLED
sc config WZCSVC start= DISABLED
sc config xmlprov start= DEMAND

出处:蓝色理想
责任编辑:bluehearts

上一页 下一页 windows 2003系统安全权限方案 [2]

◎进入论坛计算机技术版块参加讨论

相关文章 更多相关链接
Windows下Apache与Tomcat的整合
让Windows免疫Autorun病毒
彻底玩转Vista关机功能
进入XP系统后出现假死机的解决
如何删除Windows Vista SP1
热门搜索:CSS Fireworks 设计比赛 网页制作 web标准 用户体验 UE photoshop Dreamweaver Studio8 Flash 手绘 CG
站点最新 站点最新列表
周大福“敬•自然”设计大赛开启
国际体验设计大会7月将在京举行
中国国防科技信息中心标志征集
云计算如何让安全问题可控
云计算是多数企业唯一拥抱互联网的机会
阿里行云
云手机年终巨献,送礼标配299起
阿里巴巴CTO王坚的"云和互联网观"
1499元买真八核 云OS双蛋大促
首届COCO桌面手机主题设计大赛
栏目最新 栏目最新列表
Windows7优化调整实用小技巧十则
关于国内Windows 7下载的一些提醒
Windows 7安全模式下修复系统故障
如何防止电脑被黑客入侵
syssafe病毒抗争记
浅谈手工杀毒
L2TP预共享密钥解决内网VPN连接问题
浅谈移动硬盘的数据安全问题
Windows组策略之软件限制策略
特殊文件防止闪存为电脑带来病毒
>> 分页 首页 前页 后页 尾页 页次:1/31个记录/页 转到 页 共3个记录 分享按钮

蓝色理想版权申明:除部分特别声明不要转载,或者授权我站独家播发的文章外,大家可以自由转载我站点的原创文章,但原作者和来自我站的链接必须保留(非我站原创的,按照原来自一节,自行链接)。文章版权归我站和作者共有。

转载要求:转载之图片、文件,链接请不要盗链到本站,且不准打上各自站点的水印,亦不能抹去我站点水印。

特别注意:本站所提供的摄影照片,插画,设计作品,如需使用,请与原作者联系,版权归原作者所有,文章若有侵犯作者版权,请与我们联系,我们将立即删除修改。

您的评论
用户名:  口令:
说明:输入正确的用户名和密码才能参与评论。如果您不是本站会员,你可以注册 为本站会员。
注意:文章中的链接、内容等需要修改的错误,请用报告错误,以利文档及时修改。
不评分 1 2 3 4 5
注意:请不要在评论中含与内容无关的广告链接,违者封ID
请您注意:
·不良评论请用报告管理员,以利管理员及时删除。
·尊重网上道德,遵守中华人民共和国的各项有关法律法规
·承担一切因您的行为而直接或间接导致的民事或刑事法律责任
·本站评论管理人员有权保留或删除其管辖评论中的任意内容
·您在本站发表的作品,本站有权在网站内转载或引用
·参与本评论即表明您已经阅读并接受上述条款
推荐文档 | 打印文档 | 评论文档 | 报告错误  
专业书推荐 更多内容
网站可用性测试及优化指南
《写给大家看的色彩书1》
《跟我去香港》
众妙之门—网站UI 设计之道
《Flex 4.0 RIA开发宝典》
《赢在设计》
犀利开发—jQuery内核详解与实践
作品集 更多内容

杂⑦杂⑧ Gold NORMANA V2