win2003服务器安全终级配置篇!
今天演示一下服务器权限的设置,实现目标是系统盘任何一个目录asp网马不可以浏览,事件查看器完全无错,所有程序正常运行.
此演示基本上保留系统默认的那些权限组不变,保留原味,以免取消不当造成莫名其妙的错误.
Power Users组是否取消无所谓
具体操作看演示
windows下根目录的权限设置:
C:WINDOWSApplication Compatibility Scripts 不用做任何修改,包括其下所有子目录
C:WINDOWSAppPatch AcWebSvc.dll已经有users组权限,其它文件加上users组权限
C:WINDOWSConnection Wizard 取消users组权限
C:WINDOWSDebug users组的默认不改
C:WINDOWSDebugUserMode默认不修改有写入文件的权限,取消users组权限,给特别的权限,看演示
C:WINDOWSDebugWPD不取消Authenticated Users组权限可以写入文件,创建目录.
C:WINDOWSDriver Cache取消users组权限,给i386文件夹下所有文件加上users组权限
C:WINDOWSHelp取消users组权限
C:WINDOWSHelpiisHelpcommon取消users组权限
C:WINDOWSIIS Temporary Compressed Files默认不修改
C:WINDOWSime不用做任何修改,包括其下所有子目录
C:WINDOWSinf不用做任何修改,包括其下所有子目录
C:WINDOWSInstaller 删除everyone组权限,给目录下的文件加上everyone组读取和运行的权限
C:WINDOWSjava 取消users组权限,给子目录下的所有文件加上users组权限
C:WINDOWSMAGICSET 默认不变
C:WINDOWSMedia 默认不变
C:WINDOWSMicrosoft.NET不用做任何修改,包括其下所有子目录
C:WINDOWSmsagent 取消users组权限,给子目录下的所有文件加上users组权限
C:WINDOWSmsapps 不用做任何修改,包括其下所有子目录
C:WINDOWSmui取消users组权限
C:WINDOWSPCHEALTH 默认不改
C:WINDOWSPCHEALTHERRORREPQHEADLES 取消everyone组的权限
C:WINDOWSPCHEALTHERRORREPQSIGNOFF 取消everyone组的权限
C:WINDOWSPCHealthUploadLB 删除everyone组的权限,其它下级目录不用管,没有user组和everyone组权限
C:WINDOWSPCHealthHelpCtr 删除everyone组的权限,其它下级目录不用管,没有user组和everyone组权限(这个不用按照演示中的搜索那些文件了,不须添加users组权限就行)
C:WINDOWSPIF 默认不改
C:WINDOWSPolicyBackup默认不改,给子目录下的所有文件加上users组权限
C:WINDOWSPrefetch 默认不改
C:WINDOWSprovisioning 默认不改,给子目录下的所有文件加上users组权限
C:WINDOWSpss默认不改,给子目录下的所有文件加上users组权限
C:WINDOWSRegisteredPackages默认不改,给子目录下的所有文件加上users组权限
C:WINDOWSRegistrationCRMLog默认不改会有写入的权限,取消users组的权限
C:WINDOWSRegistration取消everyone组权限.加NETWORK SERVICE 给子目录下的文件加everyone可读取的权限,
C:WINDOWSrepair取消users组权限
C:WINDOWSResources取消users组权限
C:WINDOWSsecurity users组的默认不改,其下Database和logs目录默认不改.取消templates目录users组权限,给文件加上users组
C:WINDOWSServicePackFiles 不用做任何修改,包括其下所有子目录
C:WINDOWSSoftwareDistribution不用做任何修改,包括其下所有子目录
C:WINDOWSsrchasst 不用做任何修改,包括其下所有子目录
C:WINDOWSsystem 保持默认
C:WINDOWSTAPI取消users组权限,其下那个tsec.ini权限不要改
C:WINDOWStwain_32取消users组权限,给目录下的文件加users组权限
C:WINDOWSvnDrvBas 不用做任何修改,包括其下所有子目录
C:WINDOWSWeb取消users组权限给其下的所有文件加上users组权限
C:WINDOWSWinSxS 取消users组权限,搜索*.tlb,*.policy,*.cat,*.manifest,*.dll,给这些文件加上everyone组和users权限
给目录加NETWORK SERVICE完全控制的权限
C:WINDOWSsystem32wbem 这个目录有重要作用。如果不给users组权限,打开一些应用软件时会非常慢。并且事件查看器中有时会报出一堆错误。导致一些程序不能正常运行。但为了不让webshell有浏览系统所属目录的权限,给wbem目录下所有的*.dll文件users组和everyone组权限。
*.dll
users;everyone
我先暂停。你操作时挨个检查就行了
C:WINDOWS#$$#%^$^@!#$%$^S#@#$#$%$#@@@$%!!WERa (我用的temp文件夹路径)temp由于必须给写入的权限,所以修改了默认路径和名称。防止webshell往此目录中写入。修改路径后要重启生效。
至此,系统盘任何一个目录是不可浏览的,唯一一个可写入的C:WINDOWStemp,又修改了默认路径和名称变成C:WINDOWS#$$#%^$^@!#$%$^S#@#$#$%$#@@@$%!!WERa
这样配置应该相对安全了些。
我先去安装一下几款流行的网站程序,先暂停.几款常用的网站程序在这样的权限设置下完全正常。还没有装上sql2000数据库,无法测试动易2006SQL版了。肯定正常。大家可以试试。
服务设置:
1.设置win2k的屏幕保护,用pcanywhere的时候,有时候下线时忘记锁定计算机了,如果别人破解了你的pcanywhere密码,就直接可以进入你计算机,如果设置了屏保,当你几分钟不用后就自动锁定计算机,这样就防止了用pcanyhwerer直接进入你计算机的可能,也是防
|
|
资源大小:14.44 KB 
