务器安全设置之--IIS用户设置方法
IIS安全访问的例子
| IIS基本设置
|
|
|
|
|
|
|
|
这里举例4个不同类型脚本的虚拟主机 权限设置例子
| 主机头
|
主机脚本
|
硬盘目录
|
IIS用户名
|
硬盘权限
|
应用程序池
|
主目录
|
应用程序配置
|
| www.1.com
|
HTM
|
D:\www.1.com\
|
IUSR_1.com
|
Administrators(完全控制) |
可共用
|
读取/纯脚本
|
启用父路径
|
| www.2.com
|
ASP
|
D:\www.2.com\
|
IUSR_1.com
|
Administrators(完全控制) |
可共用
|
读取/纯脚本
|
启用父路径
|
| www.3.com
|
NET
|
D:\www.3.com\
|
IUSR_1.com
|
Administrators(完全控制) |
独立池
|
读取/纯脚本
|
启用父路径
|
| www.4.com
|
PHP
|
D:\www.4.com\
|
IUSR_1.com
|
Administrators(完全控制) |
独立池
|
读取/纯脚本
|
启用父路径
|
| 其中 IWAM_3.com 和 IWAM_4.com 分别是各自独立应用程序池标识中的启动帐户
|
|||||||
| 主机脚本类型
|
应用程序扩展名 (就是文件后缀名)对应主机脚本,只需要加载以下的应用程序扩展
|
| HTM
|
STM | SHTM | SHTML | MDB
|
| ASP
|
ASP | ASA | MDB
|
| NET
|
ASPX | ASAX | ASCX| ASHX | ASMX | AXD | VSDISCO | REM | SOAP | CONFIG | |
| PHP
|
PHP | PHP3 | PHP4
|
MDB是共用映射,下面用红色表示
| 应用程序扩展
|
映射文件
|
执行动作
|
| STM=.stm
|
C:\WINDOWS\system32\inetsrv\ssinc.dll
|
GET,POST
|
| SHTM=.shtm
|
C:\WINDOWS\system32\inetsrv\ssinc.dll
|
GET,POST
|
| SHTML=.shtml
|
C:\WINDOWS\system32\inetsrv\ssinc.dll
|
GET,POST
|
| ASP=.asp
|
C:\WINDOWS\system32\inetsrv\asp.dll
|
GET,HEAD,POST,TRACE
|
| ASA=.asa
|
C:\WINDOWS\system32\inetsrv\asp.dll
|
GET,HEAD,POST,TRACE
|
| ASPX=.aspx
|
C:\WINDOWS\Microsoft.NET\Framework\v1.1.4322\aspnet_isapi.dll
|
GET,HEAD,POST,DEBUG
|
| ASAX=.asax
|
C:\WINDOWS\Microsoft.NET\Framework\v1.1.4322\aspnet_isapi.dll
|
GET,HEAD,POST,DEBUG
|
| ASCX=.ascx
|
C:\WINDOWS\Microsoft.NET\Framework\v1.1.4322\aspnet_isapi.dll
|
GET,HEAD,POST,DEBUG
|
| ASHX=.ashx
|
C:\WINDOWS\Microsoft.NET\Framework\v1.1.4322\aspnet_isapi.dll
|
GET,HEAD,POST,DEBUG
|
| ASMX=.asmx
|
C:\WINDOWS\Microsoft.NET\Framework\v1.1.4322\aspnet_isapi.dll
|
GET,HEAD,POST,DEBUG
|
| AXD=.axd
|
C:\WINDOWS\Microsoft.NET\Framework\v1.1.4322\aspnet_isapi.dll
|
GET,HEAD,POST,DEBUG
|
| VSDISCO=.vsdisco
|
C:\WINDOWS\Microsoft.NET\Framework\v1.1.4322\aspnet_isapi.dll
|
GET,HEAD,POST,DEBUG
|
| REM=.rem
|
C:\WINDOWS\Microsoft.NET\Framework\v1.1.4322\aspnet_isapi.dll
|
GET,HEAD,POST,DEBUG
|
| SOAP=.soap
|
C:\WINDOWS\Microsoft.NET\Framework\v1.1.4322\aspnet_isapi.dll
|
GET,HEAD,POST,DEBUG
|
| CONFIG=.config
|
C:\WINDOWS\Microsoft.NET\Framework\v1.1.4322\aspnet_isapi.dll
|
GET,HEAD,POST,DEBUG
|
| CS=.cs
|
C:\WINDOWS\Microsoft.NET\Framework\v1.1.4322\aspnet_isapi.dll
|
GET,HEAD,POST,DEBUG
|
| CSPROJ=.csproj
|
C:\WINDOWS\Microsoft.NET\Framework\v1.1.4322\aspnet_isapi.dll
|
GET,HEAD,POST,DEBUG
|
| VB=.vb
|
C:\WINDOWS\Microsoft.NET\Framework\v1.1.4322\aspnet_isapi.dll
|
GET,HEAD,POST,DEBUG
|
| VBPROJ=.vbproj
|
C:\WINDOWS\Microsoft.NET\Framework\v1.1.4322\aspnet_isapi.dll
|
GET,HEAD,POST,DEBUG
|
| WEBINFO=.webinfo
|
C:\WINDOWS\Microsoft.NET\Framework\v1.1.4322\aspnet_isapi.dll
|
GET,HEAD,POST,DEBUG
|
| LICX=.licx
|
C:\WINDOWS\Microsoft.NET\Framework\v1.1.4322\aspnet_isapi.dll
|
GET,HEAD,POST,DEBUG
|
| RESX=.resx
|
C:\WINDOWS\Microsoft.NET\Framework\v1.1.4322\aspnet_isapi.dll
|
GET,HEAD,POST,DEBUG
|
| RESOURCES=.resources
|
C:\WINDOWS\Microsoft.NET\Framework\v1.1.4322\aspnet_isapi.dll
|
GET,HEAD,POST,DEBUG
|
| PHP=.php
|
C:\php5\php5isapi.dll
|
GET,HEAD,POST
|
| PHP3=.php3
|
C:\php5\php5isapi.dll
|
GET,HEAD,POST
|
| PHP4=.php4
|
C:\php5\php5isapi.dll
|
GET,HEAD,POST
|
| MDB=.mdb
|
C:\WINDOWS\system32\inetsrv\ssinc.dll
|
GET,POST
|
ASP.NET 进程帐户所需的 NTFS 权限
| 目录
|
所需权限
|
| Temporary ASP.NET Files%windir%\Microsoft.NET\Framework\{版本}Temporary ASP.NET Files
|
进程帐户和模拟标识: |
| 临时目录 (%temp%)
|
进程帐户 |
| .NET Framework 目录%windir%\Microsoft.NET\Framework\{版本}
|
进程帐户和模拟标识: |
| .NET Framework 配置目录%windir%\Microsoft.NET\Framework\{版本}\CONFIG
|
进程帐户和模拟标识: |
| 网站根目录 |
进程帐户: |
| 系统根目录 |
进程帐户: |
| 全局程序集高速缓存 |
进程帐户和模拟标识: |
| 内容目录 |
进程帐户: |
| 硬盘或文件夹: C:\WINDOWS\Microsoft.NET\Framework\版本\Temporary ASP.NET Files
|
|||
| 主要权限部分:
|
其他权限部分:
|
||
| Administrators
|
完全控制
|
ASP.NET 计算机帐户
|
读取和运行
|
|
|
该文件夹,子文件夹及文件
|
该文件夹,子文件夹及文件
|
|
|
|
<继承于E:\>
|
<继承于C:\windows>
|
|
| CREATOR OWNER
|
完全控制
|
ASP.NET 计算机帐户
|
写入/删除
|
|
|
只有子文件夹及文件
|
该文件夹,子文件夹及文件
|
|
|
|
<继承于E:\>
|
<不是继承的>
|
|
| SYSTEM
|
完全控制
|
IIS_WPG
|
读取和运行
|
|
|
该文件夹,子文件夹及文件
|
该文件夹,子文件夹及文件
|
|
|
|
<继承于E:\>
|
<继承于C:\windows>
|
|
| IUSR_XXX |
列出文件夹/读取数据 :拒绝
|
IIS_WPG
|
写入/删除
|
| 该文件夹,子文件夹及文件
|
该文件夹,子文件夹及文件
|
||
| <不是继承的>
|
<不是继承的>
|
||
| Guests
|
列出文件夹/读取数据 :拒绝
|
LOCAL SERVICE
|
读取和运行
|
| 该文件夹,子文件夹及文件
|
该文件夹,子文件夹及文件
|
||
| <不是继承的>
|
<继承于C:\windows>
|
||
| USERS
|
读取和运行
|
LOCAL SERVICE
|
写入/删除
|
| 该文件夹,子文件夹及文件
|
该文件夹,子文件夹及文件
|
||
| <继承于C:\windows>
|
<不是继承的>
|
||
|
|
|
NETWORK SERVICE
|
读取和运行
|
|
|
|
该文件夹,子文件夹及文件
|
|
|
|
|
<继承于C:\windows>
|
|
|
|
|
NETWORK SERVICE
|
写入/删除
|
|
|
|
该文件夹,子文件夹及文件
|
|
|
|
|
<不是继承的>
|
|
5、 服务器安全设置之--服务器安全和性能配置
| 把下面文本保存为: windows2000-2003服务器安全和性能注册表自动配置文件.reg 运行即可。
|
| Windows Registry Editor Version 5.00[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]"NoRecentDocsMenu"=hex:01,00,00,00"NoRecentDocsHistory"=hex:01,00,00,00[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]"DontDisplayLastUserName"="1"[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa]"restrictanonymous"=dword:00000001[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\Parameters]"AutoShareServer"=dword:00000000"AutoShareWks"=dword:00000000[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters]"EnableICMPRedirect"=dword:00000000"KeepAliveTime"=dword:
|
| 功能:可抵御DDOS攻击2-3万包,提高服务器TCP-IP整体安全性能(效果等于软件防火墙,节约了系统资源)
|
6、服务器安全设置之--IP安全策略 (仅仅列出需要屏蔽或阻止的端口或协议)
| 协议
|
IP协议端口
|
源地址
|
目标地址
|
描述
|
方式
|
| ICMP
|
--
|
--
|
--
|
ICMP
|
阻止
|
| UDP
|
135
|
任何IP地址
|
我的IP地址
|
135-UDP
|
阻止
|
| UDP
|
136
|
任何IP地址
|
我的IP地址
|
136-UDP
|
阻止
|
| UDP
|
137
|
任何IP地址
|
我的IP地址
|
137-UDP
|
阻止
|
| UDP
|
138
|
任何IP地址
|
我的IP地址
|
138-UDP
|
阻止
|
| UDP
|
139
|
任何IP地址
|
我的IP地址
|
139-UDP
|
阻止
|
| TCP
|
445
|
任何IP地址-从任意端口
|
我的IP地址-445
|
445-TCP
|
阻止
|
| UDP
|
445
|
任何IP地址-从任意端口
|
我的IP地址-445
|
445-UDP
|
阻止
|
| UDP
|
69
|
任何IP地址-从任意端口
|
我的IP地址-69
|
69-入
|
阻止
|
| UDP
|
69
|
我的IP地址-69
|
任何IP地址-任意端口
|
69-出
|
阻止
|
| TCP
|
4444
|
任何IP地址-从任意端口
|
我的IP地址-4444
|
4444-TCP
|
阻止
|
| TCP
|
1026
|
我的IP地址-1026
|
任何IP地址-任意端口
|
灰鸽子-1026
|
阻止
|
| TCP
|
1027
|
我的IP地址-1027
|
任何IP地址-任意端口
|
灰鸽子-1027
|
阻止
|
| TCP
|
1028
|
我的IP地址-1028
|
任何IP地址-任意端口
|
灰鸽子-1028
|
阻止
|
| UDP
|
1026
|
我的IP地址-1026
|
任何IP地址-任意端口
|
灰鸽子-1026
|
阻止
|
| UDP
|
1027
|
我的IP地址-1027
|
任何IP地址-任意端口
|
灰鸽子-1027
|
阻止
|
| UDP
|
1028
|
我的IP地址-1028
|
任何IP地址-任意端口
|
灰鸽子-1028
|
阻止
|
| TCP
|
21
|
我的IP地址-从任意端口
|
任何IP地址-到21端口
|
阻止tftp出站
|
阻止
|
| TCP
|
99
|
我的IP地址-99
|
任何IP地址-任意端口
|
阻止99shell
|
阻止
|
以上是IP安全策略里的设置,可以根据实际情况,增加或删除端口,如果不会设置,可以加我QQ,有偿协助。
7、服务器安全设置之--本地安全策略设置
安全策略自动更新命令:GPUpdate /force (应用组策略自动生效不需重新启动)
开始菜单—>管理工具—>本地安全策略
A、本地策略——>审核策略
审核策略更改 成功 失败
审核登录事件 成功 失败
审核对象访问 失败
审核过程跟踪 无审核
审核目录服务访问 失败
审核特权使用 失败
审核系统事件 成功 失败
审核账户登录事件 成功 失败
审核账户管理 成功 失败
B、本地策略——>用户权限分配
关闭系统:只有Administrators组、其它全部删除。
通过终端服务拒绝登陆:加入Guests、User组
通过终端服务允许登陆:只加入Administrators组,其他全部删除
C、本地策略——>安全选项
交互式登陆:不显示上次的用户名 启用
网络访问:不允许SAM帐户和共享的匿名枚举 启用
网络访问:不允许为网络身份验证储存凭证 启用
网络访问:可匿名访问的共享 全部删除
网络访问:可匿名访问的命 全部删除
网络访问:可远程访问的注册表路径 全部删除
网络访问:可远程访问的注册表路径和子路径 全部删除
帐户:重命名来宾帐户 重命名一个帐户
帐户:重命名系统管理员帐户 重命名一个帐户
| UI 中的设置名称
|
企业客户端台式计算机
|
企业客户端便携式计算机
|
高安全级台式计算机
|
高安全级便携式计算机
|
| 帐户: 使用空白密码的本地帐户只允许进行控制台登录
|
已启用
|
已启用
|
已启用
|
已启用
|
| 帐户: 重命名系统管理员帐户
|
推荐
|
推荐
|
推荐
|
推荐
|
| 帐户: 重命名来宾帐户
|
推荐
|
推荐
|
推荐
|
推荐
|
| 设备: 允许不登录移除
|
已禁用
|
已启用
|
已禁用
|
已禁用
|
| 设备: 允许格式化和弹出可移动媒体
|
Administrators, Interactive Users
|
Administrators, Interactive Users
|
Administrators
|
Administrators
|
| 设备: 防止用户安装打印机驱动程序
|
已启用
|
已禁用
|
已启用
|
已禁用
|
| 设备: 只有本地登录的用户才能访问 CD-ROM
|
已禁用
|
已禁用
|
已启用
|
已启用
|
| 设备: 只有本地登录的用户才能访问软盘
|
已启用
|
已启用
|
已启用
|
已启用
|
| 设备: 未签名驱动程序的安装操作
|
允许安装但发出警告
|
允许安装但发出警告
|
禁止安装
|
禁止安装
|
| 域成员: 需要强 (Windows 2000 或以上版本) 会话密钥
|
已启用
|
已启用
|
已启用
|
已启用
|
| 交互式登录: 不显示上次的用户名
|
已启用
|
已启用
|
已启用
|
已启用
|
| 交互式登录: 不需要按 CTRL+ALT+DEL
|
已禁用
|
已禁用
|
已禁用
|
已禁用
|
| 交互式登录: 用户试图登录时消息文字
|
此系统限制为仅授权用户。尝试进行未经授权访问的个人将受到起诉。
|
此系统限制为仅授权用户。尝试进行未经授权访问的个人将受到起诉。
|
此系统限制为仅授权用户。尝试进行未经授权访问的个人将受到起诉。
|
此系统限制为仅授权用户。尝试进行未经授权访问的个人将受到起诉。
|
| 交互式登录: 用户试图登录时消息标题
|
继续在没有适当授权的情况下使用是违法行为。
|
继续在没有适当授权的情况下使用是违法行为。
|
继续在没有适当授权的情况下使用是违法行为。
|
继续在没有适当授权的情况下使用是违法行为。
|
| 交互式登录: 可被缓存的前次登录个数 (在域控制器不可用的情况下)
|
2
|
2
|
0
|
1
|
| 交互式登录: 在密码到期前提示用户更改密码
|
14 天
|
14 天
|
14 天
|
14 天
|
| 交互式登录: 要求域控制器身份验证以解锁工作站
|
已禁用
|
已禁用
|
已启用
|
已禁用
|
| 交互式登录: 智能卡移除操作
|
锁定工作站
|
锁定工作站
|
锁定工作站
|
锁定工作站
|
| Microsoft 网络客户: 数字签名的通信(若服务器同意)
|
已启用
|
已启用
|
已启用
|
已启用
|
| Microsoft 网络客户: 发送未加密的密码到第三方 SMB 服务器。
|
已禁用
|
已禁用
|
已禁用
|
已禁用
|
| Microsoft 网络服务器: 在挂起会话之前所需的空闲时间
|
15 分钟
|
15 分钟
|
15 分钟
|
15 分钟
|
| Microsoft 网络服务器: 数字签名的通信(总是)
|
已启用
|
已启用
|
已启用
|
已启用
|
| Microsoft 网络服务器: 数字签名的通信(若客户同意)
|
已启用
|
已启用
|
已启用
|
已启用
|
| Microsoft 网络服务器: 当登录时间用完时自动注销用户
|
已启用
|
已禁用
|
已启用
|
已禁用
|
| 网络访问: 允许匿名 SID/名称 转换
|
已禁用
|
已禁用
|
已禁用
|
已禁用
|
| 网络访问: 不允许 SAM 帐户和共享的匿名枚举
|
已启用
|
已启用
|
已启用
|
已启用
|
| 网络访问: 不允许 SAM 帐户和共享的匿名枚举
|
已启用
|
已启用
|
已启用
|
已启用
|
| 网络访问: 不允许为网络身份验证储存凭据或 .NET Passports
|
已启用
|
已启用
|
已启用
|
已启用
|
| 网络访问: 限制匿名访问命名管道和共享
|
已启用
|
已启用
|
已启用
|
已启用
|
| 网络访问: 本地帐户的共享和安全模式
|
经典 - 本地用户以自己的身份验证
|
经典 - 本地用户以自己的身份验证
|
经典 - 本地用户以自己的身份验证
|
经典 - 本地用户以自己的身份验证
|
| 网络安全: 不要在下次更改密码时存储 LAN Manager 的哈希值
|
已启用
|
已启用
|
已启用
|
已启用
|
| 网络安全: 在超过登录时间后强制注销
|
已启用
|
已禁用
|
已启用
|
已禁用
|
| 网络安全: LAN Manager 身份验证级别
|
仅发送 NTLMv2 响应
|
仅发送 NTLMv2 响应
|
仅发送 NTLMv2 响应\拒绝 LM & NTLM
|
仅发送 NTLMv2 响应\拒绝 LM & NTLM
|
| 网络安全: 基于 NTLM SSP(包括安全 RPC)客户的最小会话安全
|
没有最小
|
没有最小
|
要求 NTLMv2 会话安全 要求 128-位加密
|
要求 NTLMv2 会话安全 要求 128-位加密
|
| 网络安全: 基于 NTLM SSP(包括安全 RPC)服务器的最小会话安全
|
没有最小
|
没有最小
|
要求 NTLMv2 会话安全 要求 128-位加密
|
要求 NTLMv2 会话安全 要求 128-位加密
|
| 故障恢复控制台: 允许自动系统管理级登录
|
已禁用
|
已禁用
|
已禁用
|
已禁用
|
| 故障恢复控制台: 允许对所有驱动器和文件夹进行软盘复制和访问
|
已启用
|
已启用
|
已禁用
|
已禁用
|
| 关机: 允许在未登录前关机
|
已禁用
|
已禁用
|
已禁用
|
已禁用
|
| 关机: 清理虚拟内存页面文件
|
已禁用
|
已禁用
|
已启用
|
已启用
|
| 系统加密: 使用 FIPS 兼容的算法来加密,哈希和签名
|
已禁用
|
已禁用
|
已禁用
|
已禁用
|
| 系统对象: 由管理员 (Administrators) 组成员所创建的对象默认所有者
|
对象创建者
|
对象创建者
|
对象创建者
|
对象创建者
|
| 系统设置: 为软件限制策略对 Windows 可执行文件使用证书规则
|
已禁用
|
已禁用
|
已禁用
|
已禁用
|