windows2003基本权限设置
作者:admin 日期:2012-05-01
如果我们有一个服务器,并且我们想要在服务器上运行多个网站的话,我们希望把网站的安全性做到比较好,尽量能把危险限制在一个虚拟主机以内。不让一个网站的沦陷影响到其他的网站!也就是把黑客提权的可能性降到最低。
一、首先了解权限设置的方案 Windows Registry Editor Version 5.00 [HKEY_CLASSES_ROOT\CLSID\{13709620-C279-11CE-A49E-444553540001}] [HKEY_CLASSES_ROOT\CLSID\{13709620-C279-11CE-A49E-444553540001}\InProcServer32] [HKEY_CLASSES_ROOT\CLSID\{13709620-C279-11CE-A49E-444553540001}\ProgID] [HKEY_CLASSES_ROOT\CLSID\{13709620-C279-11CE-A49E-444553540001}\TypeLib] [HKEY_CLASSES_ROOT\CLSID\{13709620-C279-11CE-A49E-444553540001}\Version] [HKEY_CLASSES_ROOT\CLSID\{13709620-C279-11CE-A49E-444553540001}\VersionIndependentProgID] [HKEY_CLASSES_ROOT\Shell.Application_hnboy] [HKEY_CLASSES_ROOT\Shell.Application_hnboy\CLSID] [HKEY_CLASSES_ROOT\Shell.Application_hnboy\CurVer]
1、被授予权限的对象分用户和用户组两种
2、批量设置有两大方案,当设置某个目录的权限时,进入高级
I 可设置是否继承父级权限设置 (第一个勾)
II 可设置是否替换子目录及文件的权限设置 (第二个勾)
二、系统盘主要目录的权限设置
C:\
只授予 System 和 Administrators 完全控制权限,删除其他用户或组,不替换子目录
C:\Documents and Settings
仅继承父级,并替换子目录
C:\Inetpub
删除之,不要使用该目录作为网站发布的目录。
C:\Program Files
仅继承父级,并替换子目录
C:\Program Files\Common Files\Microsoft Shared
删除继承并保留设置(在“高级”中取消第一个勾,再在弹出的对话中选“复制”)
添加 Users 组,只授予读取权限
将该目录的设置替换它的子目录(勾中第二个勾)
C:\Windows
删除继承并保留设置
添加 Users 组,只授予读取权限
将该目录的设置替换它的子目录
(具体做法和上面 /Microsoft Shared 目录设置一样)
C:\Windows\Temp
添加 IIS_WPG、ASPNET、Network Services、Network 用户或组
授予完全控制权限,替换它的子目录
C:\Windows\Microsoft.NET\Framework\v1.1.4322\Temporary ASP.NET Files
添加 Everyone,授予完全控制权限,将该设置替换它的子目录
三、其他盘的设置
C盘设置完成,其他盘均仅给 System 和 Administrators 授予完全控制即可。
网站发布目录授予IIS匿名用户读取访问权限。需要.NET权限的目录添加 IIS_WPG 组(或隶属于该组的某个用户),授予完全控制权限。
另外,还将:net.exe;cmd.exe;tftp.exe;netstat.exe;regedit.exe;at.exe;attrib.exe;cacls.exe;format.com;regsvr32.exe;xcopy.exe;wscript.exe;cscript.exe;ftp.exe;telnet.exe;arp.exe;edlin.exe;ping.exe;route.exe;finger.exe;posix.exe;rsh.exe;atsvc.exe;qbasic.exe;runonce.exe;syskey.exe,这些文件都设置只允许administrators访问。
regsvr32/u C:\WINDOWS\System32\wshom.ocx
del C:\WINDOWS\System32\wshom.ocx
regsvr32/u C:\WINDOWS\system32\shell32.dll
del C:\WINDOWS\system32\shell32.dll
@="Shell Automation Service"
@="C:\\WINDOWS\\system32\\shell32.dll"
"ThreadingModel"="Apartment"
@="Shell.Application_hnboy.1"
@="{50a7e9b0-70ef-11d1-b75a-00a0c90564fe}"
@="1.1"
@="Shell.Application_hnboy"
@="Shell Automation Service"
@="{13709620-C279-11CE-A49E-444553540001}"
@="Shell.Application_hnboy.1"
帐户登录 审核成功尝试:开
审核失败尝试:开
帐户管理
审核成功尝试:关
审核失败尝试:开
目录服务访问
审核成功尝试:关
审核失败尝试:开
登录 审核成功尝试:开
审核失败尝试:开
对象访问
审核成功尝试:关
审核失败尝试:关
策略更改
审核成功尝试:开
审核失败尝试:开
特权使用
审核成功尝试:关
审核失败尝试:开
过程追踪
审核成功尝试:关
审核失败尝试:关
系统
审核成功尝试:关
审核失败尝试:关