欢迎您访问程序员文章站本站旨在为大家提供分享程序员计算机编程知识!
您现在的位置是: 首页  >  网络运营

Vps 安全设置 Win2003中IIS的安全设置技巧

程序员文章站 2022-07-09 16:28:19
一、禁止默认共享。 方法一:建立一个记事本,填上以下代码。保存为*.bat并加到启动项目中 net share c$ /del net share d$...

一、禁止默认共享。

方法一:建立一个记事本,填上以下代码。保存为*.bat并加到启动项目中

net share c$ /del
net share d$ /del 
net share e$ /del 
net share f$ /del 
net share ipc$ /del 
net share admin$ /del

Vps 安全设置 Win2003中IIS的安全设置技巧

方法二:修改注册表,(注意修改注册表前一定要先备份一下注册表,备份方法。在 运行>regedit,选择 文件》导出 ,取个文件名,导出即可,如果修改注册表失败,可以找到导出的注册表文件双击运行即可。)
hkey_local_machine\system\currentcontrolset\services\lanmanserver\parameters
新建 “dword值”值名为 “autoshareserver” 数据值为“0”

二、远程桌面连接配置。
开始 > 程序 > 管理工具 > 终端服务配置 > 连接
选择右侧”rdp-tcp”连接右击 属性 > 权限 删除(除system外)所有用户组 添加单一的允许使用的管理员账户,这样即使服务器被创建了其它的管理员.也无法使用终端服务。

三、serv_u安全设置(注意一定要设置管理密码,否则会被提权)

打开serv_u,点击“本地服务“,在右边点击”设置/更改密码“,如果没有设置密码,”旧密码为空,填好新密码点击”确定“。

小编注:最好不要用serv_u,有人告侵权问题,建议用filezilla server.

四、关闭139、445端口

①控制面板-网络-本地链接-属性(这里勾选取消"网络文件和打印机共享")-tcp/ip协议属性-高级-wins-netbios设置-禁用netbios,即可关闭139端口
Vps 安全设置 Win2003中IIS的安全设置技巧

②关闭445端口(注意修改注册表前一定要先备份一下注册表,备份方法。在运行>regedit,选择文件》导出,取个文件名,导出即可,如果修改注册表失败,可以找到导出的注册表文件双击运行即可。)

hkey_local_machine\system\currentcontrolset\services\netbt\parameters
新建“dword值”值名为“smbdeviceenabled”数据为默认值“0”
Vps 安全设置 Win2003中IIS的安全设置技巧
Vps 安全设置 Win2003中IIS的安全设置技巧

五、删除不安全组件

wscript.shell 、shell.application 这两个组件一般一些asp木马或一些恶意程序都会使用到。
方法:在“运行”里面分别输入以下命令
①regsvr32 /u wshom.ocx 卸载wscript.shell 组件
②regsvr32 /u shell32.dll 卸载shell.application 组件。
③regsvr32 /u %windir%\system32\wshext.dll

六、设置iis权限。

针对每个网站单独建立一个用户。
①首先,右击“我的电脑”》管理》本地计算机和组》用户,在右边。右击“新用户”,建立新用户,并设置好密码。

例如:添加test为某一网站访问用户。

②设置站点文件夹的权限
然后,打开internet信息服务管理器。找到相应站点。右击,选择“权限”

选择权限后

只保留一个超级管理员administrator(可以自己定义),而不是管理员组administrators。和系统用户(system),还有添加访问网站的用户。可以点击“添加”将刚才在系统创建的用户(如test)添加里面。然后勾选该用户(test)读取和运行、列出文件夹目录、读取、写入的权限。超级管员(administrator)”完全控制”,系统用户(system) “完全控制”权限。并且选择用户(test)?“高级”

点击“应用”后,等待文件夹权限传递完毕。
然后点“确定”。
注意:
③设置访问用户。
右击 站点 属性==》目录安全性==》编辑, 将刚才添加的用户(如test)添加到匿名访问用户。密码和添加用户时密码一致。
④设置站点访问权限。
右击要设置的站点。属性==》主目录 本地路径下面只选中 读取 记录访问 索引资源
其它都不要选择。执行权限 选择 “纯脚本”.不要选择“脚本和可执行文件”。

其它设置和就是iis站点的一般设置,不再多说。

注意:对于 asp.net 程序,则需要设置 iis_wpg 组的帐号权限、上传目录的权限设置。这时需要注意,一定要将上传目录的执行权限设为“无”,将文件夹的写入权限选上,这样即使上传了 asp、php 等脚本程序或者 exe 程序,也不会在用户浏览器里触发执行,
对于纯静态网站(全部是html)将(纯脚本)改成(无)。
对于某些程序可能要求everyone有完全控制的权限,可以将网站访问用户(如test用户)对文件夹设置完全控制的权限就行了,并不需要添加everyone来设置完全控制。

七、数据库安全设置

一定要设置数据库密码。
另外。对于sql数据库建议卸载扩展存储过程xp_cmdshell
xp_cmdshell是进入操作系统的最佳捷径,是数据库留给操作系统的一个大后门。请把它去掉。使用这个sql语句:
use master
sp_dropextendedproc ‘xp_cmdshell'
如果你需要这个存储过程,请用这个语句也可以恢复过来。
sp_addextendedproc ‘xp_cmdshell', ‘xpsql70.dll

无论mysql还是sqlserver都要低权限运行,默认都是system最高权限运行了

具体的可以参考如下文章:

八、防止access数据库被下载

在iis属性 ——主目录——配置——映射——应用程序扩展那里添加。mdb文件的应用解析。注意这里的选择的d ll不要选择asp.dll,找一个映射里面不使用的dll文件。

九、利用防火墙限制端口。

对外只打开自己需要的端口,对于vps用户,需要打开网站服务端口80,远程登录端口3389,景安公司提供的密码修改服务端口6088,如果使用的有serv_u等ftp服务软件,需要打开21端口。
具体打开端口请参考下面:
1、 右击网上邻居选择“属性”,===>本地连接==?属性==?高级?设置

选中”启用”按钮.
2、 点击“例外”==》添加端口。根据自己需要添加对外的端口。注意在添加的端口前面勾选上
3、 添加完端口,点击”确定”?确定

十、防止列出用户组和系统进程
如果上传asp木马用户列表可能会被黑客利用,我们应当隐藏起来,方法是:
【开始→程序→管理工具→服务】,找到workstation,停止它,禁用它。

十一、安装杀毒软件
虽然杀毒软件有时候不能解决问题,但是杀毒软件避免了很多问题,可以查杀部分木马程序。建议安装占用内存资源比较小的杀毒软件,另外,要经常升级软件才有效。

继续补充:

远程桌面默认端口3389修改
在"开始>运行"中输入"regedit",打开注册表编辑器,修改如下:

1.依次展开"hkey_local_machine\system\currentcontrolset\control\terminal server\wds\rdpwd\tds\tcp",将portnumber数值改为2012(也可用其他端口号)。

2.依次展开"hkey_local_machine\system\currentcontrolset\control\terminal server\winstations\rdp-tcp",将portnumber数值改为2012。

或将下边内容保存为reg文件,再双击运行导入注册表中即可:
Vps 安全设置 Win2003中IIS的安全设置技巧
Vps 安全设置 Win2003中IIS的安全设置技巧

修改远程端口后重启即可生效
Vps 安全设置 Win2003中IIS的安全设置技巧

利用防火墙限制端口

对外只打开自己需要的端口,对于vps用户,需要打开网站服务端口80,远程登录端口3389,景安公司提供的密码修改服务端口6088,如果使用的有serv_u等ftp服务软件,需要打开21端口。
具体打开端口请参考下面:
1、 右击网上邻居选择“属性”,===>本地连接==属性==高级设置
Vps 安全设置 Win2003中IIS的安全设置技巧

选中”启用”按钮.
2、点击“例外”==》添加端口。根据自己需要添加对外的端口。注意在添加的端口前面勾选上
3、添加完端口,点击”确定”确定
Vps 安全设置 Win2003中IIS的安全设置技巧

安装杀毒软件
虽然杀毒软件有时候不能解决问题,但是杀毒软件避免了很多问题,可以查杀部分木马程序。建议安装占用内存资源比较小的杀毒软件(服务器安全狗防火墙,金山毒霸杀毒),另外,要经常升级软件才有效。

在windows server 2003中对于iis的安全设置具有十分重要的意义,所以掌握iis安全设置的六大技巧是一个网管员必备的基本技能。下面就是对iis的安全设置的六大技巧。

技巧1、安装系统补丁

安装好操作系统之后,最好能在托管之前就完成补丁的安装,配置好网络后,如果是2000则确定安装上了sp4,如果是windows server 2003 系统,则最好安装上sp1,然后点击开始→windows update,安装所有的关键更新。

技巧2、设置端口保护和防火墙

windows server 2003 系统的端口屏蔽可以通过自身防火墙来解决,这样比较好,比筛选更有灵活性,桌面—>网上邻居—>(右键)属性—>本地连接—>(右键)属性—>高级—>(选中)internet 连接防火墙—>设置,把服务器上面要用到的服务端口选中 即可。

例如:一台web服务器,要提供web(80)、ftp(21)服务及远程桌面管理(3389)

在“ftp 服务器”、“web服务器(http)”、“远程桌面”前面打上对号

如果你要提供服务的端口不在里面,你也可以点击“添加”铵钮来添加,具体参数可以参照系统里面原有的参数。

然后点击确定。注意:如果是远程管理这台服务器,请先确定远程管理的端口是否选中或添加。

技巧3、合理的权限设置

需要重点设置如下三种权限:

windows用户,在winnt系统中大多数时候把权限按用户(組)来划分。在【开始→程序→管理工具→计算机管理→本地用户和组】管理系统用户和用户组。

ntfs权限设置,请记住分区的时候把所有的硬盘都分为ntfs分区,然后我们可以确定每个分区对每个用户开放的权限。【文件(夹)上右键→属性→安全】在这里管理ntfs文件(夹)权限。

iis匿名用户,每个iis站点或者虚拟目录,都可以设置一个匿名访问用户(现在暂且把它叫“iis匿名用户”),当用户访问你的网站的.asp文件的时候,这个.asp文件所具有的权限,就是这个“iis匿名用户”所具有的权限。

设置好上述用户和文件系统权限后,还要记住设置如下的磁盘权限,设置原则如下:

系统盘及所有磁盘只给 administrators 组和 system 的完全控制权限

系统盘\documents and settings 目录只给 administrators 组和 system 的完全控制权限

系统盘\documents and settings\all users 目录只给 administrators 组和 system 的完全控制权限

系统盘\inetpub 目录及下面所有目录、文件只给 administrators 组和 system 的完全控制权限

系统盘\windows\system32\cacls.exe、cmd.exe、net.exe、net1.exe 文件只给 administrators 组和 system 的完全控制权限

技巧4、禁用不必要的服务

操作路径为:开始菜单—>管理工具—>服务

print spooler
remote registry
tcp/ip netbios helper
server

以上是在windows server 2003 系统上面默认启动的服务中禁用的,默认禁用的服务如没特别需要的话不要启动。

技巧5、卸载不安全的组件

最简单的办法是直接卸载后删除相应的程序文件。将下面的代码保存为一个.bat文件,( 以下均以 win2000 为例,如果使用windows server 2003 系统,则系统文件夹应该是 c:\windows\ )

regsvr32/u c:\winnt\system32\wshom.ocx
del c:\winnt\system32\wshom.ocx
regsvr32/u c:\winnt\system32\shell32.dll
del c:\winnt\system32\shell32.dll

然后运行一下,wscript.shell, shell.application, wscript.network就会被卸载了。可能会提示无法删除文件,不用管它,重启一下服务器即可。

技巧6、iis服务器安全的防护原则

一般情况下,黑客总是瞄准论坛等程序,因为这些程序都有上传功能,他们很容易的就可以上传asp木马,即使设置了权限,木马也可以控制当前站点的所有文件了。另外,有了木马就然后用木马上传提升工具来获得更高的权限,我们关闭shell组件的目的很大程度上就是为了防止攻击者运行提升工具。

如果论坛管理员关闭了上传功能,则黑客会想办法获得超管密码,比如,如果你用动网论坛并且数据库忘记了改名,人家就可以直接下载你的数据库了,然后距离找到论坛管理员密码就不远了。

作为管理员,我们首先要检查我们的asp程序,做好必要的设置,防止网站被黑客进入。另外就是防止攻击者使用一个被黑的网站来控制整个服务器,因为如果你的服务器上还为朋友开了站点,你可能无法确定你的朋友会把他上传的论坛做好安全设置。这就用到了前面所说的那一大堆东西,做了那些权限设置和防提升之后,黑客就算是进入了一个站点,也无法破坏这个网站以外的东西。

更多的软件与教程,建议大家到下载。