win2003服務器安全終級配置篇!
今天演示一下服務器權限的設置,實現目標是系統盤任何一個目錄asp網馬不可以瀏覽,事件查看器完全無錯,所有程序正常運行.
此演示基本上保留系統默認的那些權限組不變,保留原味,以免取消不當造成莫名其妙的錯誤.
Power Users組是否取消無所謂
具體操作看演示
windows下根目錄的權限設置:
C:WINDOWSApplication Compatibility Scripts 不用做任何修改,包括其下所有子目錄
C:WINDOWSAppPatch AcWebSvc.dll已經有users組權限,其它文件加上users組權限
C:WINDOWSConnection Wizard 取消users組權限
C:WINDOWSDebug users組的默認不改
C:WINDOWSDebugUserMode默認不修改有寫入文件的權限,取消users組權限,給特別的權限,看演示
C:WINDOWSDebugWPD不取消Authenticated Users組權限可以寫入文件,創建目錄.
C:WINDOWSDriver Cache取消users組權限,給i386文件夾下所有文件加上users組權限
C:WINDOWSHelp取消users組權限
C:WINDOWSHelpiisHelpcommon取消users組權限
C:WINDOWSIIS Temporary Compressed Files默認不修改
C:WINDOWSime不用做任何修改,包括其下所有子目錄
C:WINDOWSinf不用做任何修改,包括其下所有子目錄
C:WINDOWSInstaller 刪除everyone組權限,給目錄下的文件加上everyone組讀取和運行的權限
C:WINDOWSjava 取消users組權限,給子目錄下的所有文件加上users組權限
C:WINDOWSMAGICSET 默認不變
C:WINDOWSMedia 默認不變
C:WINDOWSMicrosoft.NET不用做任何修改,包括其下所有子目錄
C:WINDOWSmsagent 取消users組權限,給子目錄下的所有文件加上users組權限
C:WINDOWSmsapps 不用做任何修改,包括其下所有子目錄
C:WINDOWSmui取消users組權限
C:WINDOWSPCHEALTH 默認不改
C:WINDOWSPCHEALTHERRORREPQHEADLES 取消everyone組的權限
C:WINDOWSPCHEALTHERRORREPQSIGNOFF 取消everyone組的權限
C:WINDOWSPCHealthUploadLB 刪除everyone組的權限,其它下級目錄不用管,沒有user組和everyone組權限
C:WINDOWSPCHealthHelpCtr 刪除everyone組的權限,其它下級目錄不用管,沒有user組和everyone組權限(這個不用按照演示中的搜索那些文件了,不須添加users組權限就行)
C:WINDOWSPIF 默認不改
C:WINDOWSPolicyBackup默認不改,給子目錄下的所有文件加上users組權限
C:WINDOWSPrefetch 默認不改
C:WINDOWSprovisioning 默認不改,給子目錄下的所有文件加上users組權限
C:WINDOWSpss默認不改,給子目錄下的所有文件加上users組權限
C:WINDOWSRegisteredPackages默認不改,給子目錄下的所有文件加上users組權限
C:WINDOWSRegistrationCRMLog默認不改會有寫入的權限,取消users組的權限
C:WINDOWSRegistration取消everyone組權限.加NETWORK SERVICE 給子目錄下的文件加everyone可讀取的權限,
C:WINDOWSrepair取消users組權限
C:WINDOWSResources取消users組權限
C:WINDOWSsecurity users組的默認不改,其下Database和logs目錄默認不改.取消templates目錄users組權限,給文件加上users組
C:WINDOWSServicePackFiles 不用做任何修改,包括其下所有子目錄
C:WINDOWSSoftwareDistribution不用做任何修改,包括其下所有子目錄
C:WINDOWSsrchasst 不用做任何修改,包括其下所有子目錄
C:WINDOWSsystem 保持默認
C:WINDOWSTAPI取消users組權限,其下那個tsec.ini權限不要改
C:WINDOWStwain_32取消users組權限,給目錄下的文件加users組權限
C:WINDOWSvnDrvBas 不用做任何修改,包括其下所有子目錄
C:WINDOWSWeb取消users組權限給其下的所有文件加上users組權限
C:WINDOWSWinSxS 取消users組權限,搜索*.tlb,*.policy,*.cat,*.manifest,*.dll,給這些文件加上everyone組和users權限
給目錄加NETWORK SERVICE完全控制的權限
C:WINDOWSsystem32wbem 這個目錄有重要作用。如果不給users組權限,打開一些應用軟件時會非常慢。并且事件查看器中有時會報出一堆錯誤。導致一些程序不能正常運行。但為了不讓webshell有瀏覽系統所屬目錄的權限,給wbem目錄下所有的*.dll文件users組和everyone組權限。
*.dll
users;everyone
我先暫停。你操作時挨個檢查就行了
C:WINDOWS#$$#%^$^@!#$%$^S#@#$#$%$#@@@$%!!WERa (我用的temp文件夾路徑)temp由于必須給寫入的權限,所以修改了默認路徑和名稱。防止webshell往此目錄中寫入。修改路徑后要重啟生效。
至此,系統盤任何一個目錄是不可瀏覽的,唯一一個可寫入的C:WINDOWStemp,又修改了默認路徑和名稱變成C:WINDOWS#$$#%^$^@!#$%$^S#@#$#$%$#@@@$%!!WERa
這樣配置應該相對安全了些。
我先去安裝一下幾款流行的網站程序,先暫停.幾款常用的網站程序在這樣的權限設置下完全正常。還沒有裝上sql2000數據庫,無法測試動易2006SQL版了。肯定正常。大家可以試試。
服務設置:
1.設置win2k的屏幕保護,用pcanywhere的時候,有時候下線時忘記鎖定計算機了,如果別人破解了你的pcanywhere密碼,就直接可以進入你計算機,如果設置了屏保,當你幾分鐘不用后就自動鎖定計算機,這樣就防止了用pcanyhwerer直接進入你計算機的可能,也是防
|
|
資源大小:14.44 KB 
