IIS虚拟主机网站防木马权限设置安全配置整理

资源描述

《IIS虚拟主机网站防木马权限设置安全配置整理》由会员分享，可在线阅读，更多相关《IIS虚拟主机网站防木马权限设置安全配置整理（12页珍藏版）》请在金锄头文库上搜索。

1、IIS虚虚拟主机机网站防防木马权权限设置置安全配配置整理理参考了网网络上很很多关于于WINN20003的安安全设置置以及自自己动手手做了一一些实践践，综合合了这些些安全设设置文章章整理而而成，希希望对大大家有所所帮助，另另外里面面有不足足之处还还请大家家多多指指点，然然后给补补上，谢谢谢！站长.站站一、系统统的安装装中.国站站长站1、按照照Winndowws20003安安装光盘盘的提示示安装，默默认情况况下20003没没有把IIIS66.0安安装在系系统里面面。 2、IIIS66.0的的安装 Www_Chiinazz_coom以下为引引用的内内容：开始始菜单控制制面板添加加或删除除程序添加

3、菜单单所所有程序序WWinddowss Uppdatte 按照提提示进行行补丁的的安装。中国国站长站站4、备份份系统:用GHHOSTT备份系系统。 5、安装装常用的的软件:例如：杀毒软软件、解解压缩软软件等；安装完完毕后,配置杀杀毒软件件,扫描描系统漏漏洞,安安装之后后用GHHOSTT再次备备份系统统。 Www_Chiinazz_coom6、先关关闭不需需要的端端口开开启防火火墙导导入IPPSECC策略中.国国站长站站在网络络连接里，把把不需要要的协议议和服务务都删掉掉，这里里只安装装了基本本的Innterrnett协议(TCPP/IPP)，由由于要控控制带宽宽流量服服务，额额外安装装

4、了Qoos数据据包计划划程序。在在高级ttcp/ip设设置里-NNetBBIOSS设置置禁用用tcpp/IPP上的NNetBBIOSS(S)。在在高级选选项里，使使用IInteerneet连接接防火墙墙，这这是wiindoows 20003 自自带的防防火墙，在在20000系统统里没有有的功能能，虽然然没什么么功能，但但可以屏屏蔽端口口，这样样已经基基本达到到了一个个IPSSec的的功能。修改33389远远程连接接端口 WwwwChhinaazccom修改注册册表开始-运行-reegeddit 中.国国.站长长站依次展开开 HKKEY_LOCCAL_MACCHINNE/SSYSTTEM/C

5、URRRENNTCOONTRROLSSET/CONNTROOL/CChinnazcommTERRMINNAL SERRVERR/WDDS/RRDPWWD/TTDS/TCPP Chinnazcomm右边键值值中 PPorttNummberr 改为为你想用用的端口口号.注注意使用用十进制制(例 100000) 中国站站长站HKEYY_LOOCALL_MAACHIINE/SYSSTEMM/CUURREENTCCONTTROLLSETT/COONTRROL/TERRMINNAL SERRVERR/WIINSTTATIIONSS/RDDP-TTCP/ WwwwCChinnazcomm右边键值值中 PPo

6、rttNummberr 改为为你想用用的端口口号.注注意使用用十进制制(例 100000) Chinnazcomm注意：别别忘了在在WINNDOWWS20003自自带的防防火墙给给+上1100000端口口中国站站长站修改完毕毕。重新新启动服服务器设设置生效效。 Www_Chiinazz_coom二、用户户安全设设置中中国站长长_站,为中文文网站提提供动力力1、禁用用Gueest账账号中国.站站.长站站在计算机机管理的的用户里里面把GGuesst账号号禁用。为为了保险险起见，最最好给GGuesst加一一个复杂杂的密码码。你可可以打开开记事本本，在里里面输入入一串包包含特殊殊字符、数数字、字

7、字母的长长字符串串，然后后把它作作为Guuestt用户的的密码拷拷进去。站长.站2、限制制不必要要的用户户 Chinnazcomm去掉所有有的Duupliicatte UUserr用户、测测试用户户、共享享用户等等等。用用户组策策略设置置相应权权限，并并且经常常检查系系统的用用户，删删除已经经不再使使用的用用户。这这些用户户很多时时候都是是黑客们们入侵系系统的突突破口。站.长长站3、把系系统Addminnisttrattor账账号改名名大家都知知道，WWinddowss 20003 的Addminnisttrattor用用户是不不能被停停用的，这这意味着着别人可可以一遍遍又一遍遍地尝试试

8、这个用用户的密密码。尽尽量把它它伪装成成普通用用户，比比如改成成Gueesyccluddx。 Chinnazcomm4、创建建一个陷陷阱用户户什么是陷陷阱用户户？即创创建一个个名为Admminiistrratoor的的本地用用户，把把它的权权限设置置成最低低，什么么事也干干不了的的那种，并并且加上上一个超超过100位的超超级复杂杂密码。这这样可以以让那些些 Haackeer们忙忙上一段段时间，借借此发现现它们的的入侵企企图。中.国站站长站5、把共共享文件件的权限限从Evveryyonee组改成成授权用用户中国站.长站任何时候候都不要要把共享享文件的的用户设设置成Eveeryoone组，包

9、包括打印印共享，默默认的属属性就是是Evveryyonee组的的，一定定不要忘忘了改。 Chinnazcomm6、开启启用户策策略站.长站站使用用户户策略，分分别设置置复位用用户锁定定计数器器时间为为20分分钟，用用户锁定定时间为为20分分钟，用用户锁定定阈值为为3次。 (该项项为可选选) WWwwChiinazzcoom7、不让让系统显显示上次次登录的的用户名名站.长.站默认情况况下，登登录对话话框中会会显示上上次登录录的用户户名。这这使得别别人可以以很容易易地得到到系统的的一些用用户名，进进而做密密码猜测测。修改改注册表表可以不不让对话话框里显显示上次次登录的的用户名名。方法法为：打打

10、开注册册表编辑辑器并找找到注册册表HHKLMMSooftwwareeMiicroosofftWWinddowssTCCurrrenttVerrsioonWWinllogoonDDontt-DiispllayLLasttUseerNaame，把RREG_SZ的的键值改改成1。 Chinnazcomm8、密码码安全设设置中国站长长_站,为中文文网站提提供动力力a、使用用安全密密码中国站.长站一些公司司的管理理员创建建账号的的时候往往往用公公司名、计计算机名名做用户户名，然然后又把把这些用用户的密密码设置置得太简简单，比比如wwelccomee等等等。因此此，要注注意密码码的复杂杂性，还还要记住

11、住经常改改密码。中国站站长.站站b、设置置屏幕保保护密码码站长.站站这是一个个很简单单也很有有必要的的操作。设设置屏幕幕保护密密码也是是防止内内部人员员破坏服服务器的的一个屏屏障。中.国站站长站c、开启启密码策策略中国站.长站注意应用用密码策策略，如如启用密密码复杂杂性要求求，设置置密码长长度最小小值为66位，设设置强制制密码历历史为55次，时时间为442天。站.长站站d、考虑虑使用智智能卡来来代替密密码 Www_Chiinazz_coom对于密码码，总是是使安全全管理员员进退两两难，密密码设置置简单容容易受到到黑客的的攻击，密密码设置置复杂又又容易忘忘记。如如果条件件允许，用用智

12、能卡卡来代替替复杂的的密码是是一个很很好的解解决方法法。中.国.站.长长.站三、系统统权限的的设置中.国站站长站1、磁盘盘权限中国站长长_站,为中文文网站提提供动力力系统盘及及所有磁磁盘只给给 Addminnisttrattorss 组和和 SYYSTEEM 的的完全控控制权限限中国站站长站系统盘Doccumeentss annd SSetttinggs 目目录只给给 Addminnisttrattorss 组和和 SYYSTEEM 的的完全控控制权限限 WwwChiinazzcoom系统盘Doccumeentss annd SSetttinggsAAll Useers 目录只只给 A

13、Admiinisstraatorrs 组组和 SSYSTTEM 的完全全控制权权限 Chinnazcomm系统盘WinndowwsSSysttem332ccaclls.eexe、ccmd.exee、neet.eexe、nnet11.exxe、fftp:/fftp.exee/、ttftpp.exxe、ttelnnet.exee 、 nnetsstatt.exxe、rregeeditt.exxe、aat.eexe、aattrrib.exee、foormaat.ccom、ddel文文件只给给 Addminnisttrattorss 组和和SYSSTEMM 的完完全控制制权限 WwwChiinazzc

14、oom另将SSysttem332ccmd.exee、foormaat.ccom、ftp:/ftp.exe/转移到其他目录或更名 Docuumennts andd Seettiingss下所有有些目录录都设置置只给aadinnisttrattorss权限。并并且要一一个一个个目录查查看，包包括下面面的所有有子目录录。删除c:innetppub目目录 Chinnaz2、本地地安全策策略设置置中国站.长站开始菜单单管管理工具具本本地安全全策略中.国.站长站站A、本地地策略审审核策略略审核策略略更改成成功失失败 Chinnaz_comm审核登录录事件成成功失失败中.国.站长站站审核对象象访问失失败审核核过程跟跟踪无审审核中.国.站长站站审核目录录服务访访问失失败中.国.站长站站

展开阅读全文