WindowsServer2003 + IIS6.0 + ASP + NET + PHP + PERL + MSSQL + MYSQL 最新服務器安全設置技術實例
1、服務器安全設置之--硬盤權限篇
這裡著重談需要的權限,也就是最終文件夾或硬盤需要的權限,可以防御各種木馬入侵,提權攻擊,跨站攻擊等。本實例經過多次試驗,安全性能很好,服務器基本沒有被木馬威脅的擔憂了。
硬盤或文件夾: C: D: E: F: 類推
主要權限部分: 其他權限部分:
Administrators 完全控制 無
如果安裝了其他運行環境,比如PHP等,則根據PHP的環境功能要求來設置硬盤權限,一般是安裝目錄加上users讀取運行權限就足夠了,比如c:php的話,就在根目錄權限繼承的情況下加上users讀取運行權限,需要寫入數據的比如tmp文件夾,則把users的寫刪權限加上,運行權限不要,然後把虛擬主機用戶的讀權限拒絕即可。如果是mysql的話,用一個獨立用戶運行MYSQL會更安全,下面會有介紹。如果是winwebmail,則最好建立獨立的應用程序池和獨立IIS用戶,然後整個安裝目錄有users用戶的讀/運行/寫/權限,IIS用戶則相同,這個IIS用戶就只用在winwebmail的WEB訪問中,其他IIS站點切勿使用,安裝了winwebmail的服務器硬盤權限設置後面舉例
該文件夾,子文件夾及文件
<不是繼承的>
CREATOR OWNER 完全控制
只有子文件夾及文件
<不是繼承的>
SYSTEM 完全控制
該文件夾,子文件夾及文件
<不是繼承的>
硬盤或文件夾: C:Inetpub
主要權限部分: 其他權限部分:
Administrators 完全控制 無
該文件夾,子文件夾及文件
<繼承於c:>
CREATOR OWNER 完全控制
只有子文件夾及文件
<繼承於c:>
SYSTEM 完全控制
該文件夾,子文件夾及文件
<繼承於c:>
硬盤或文件夾: C:InetpubAdminScripts
主要權限部分: 其他權限部分:
Administrators 完全控制 無
該文件夾,子文件夾及文件
<不是繼承的>
SYSTEM 完全控制
該文件夾,子文件夾及文件
<不是繼承的>
硬盤或文件夾: C:Inetpubwwwroot
主要權限部分: 其他權限部分:
Administrators 完全控制 IIS_WPG 讀取運行/列出文件夾目錄/讀取
該文件夾,子文件夾及文件 該文件夾,子文件夾及文件
<不是繼承的> <不是繼承的>
SYSTEM 完全控制 Users 讀取運行/列出文件夾目錄/讀取
該文件夾,子文件夾及文件 該文件夾,子文件夾及文件
<不是繼承的> <不是繼承的>
這裡可以把虛擬主機用戶組加上
同Internet 來賓帳戶一樣的權限
拒絕權限 Internet 來賓帳戶 創建文件/寫入數據/:拒絕
創建文件夾/附加數據/:拒絕
寫入屬性/:拒絕
寫入擴展屬性/:拒絕
刪除子文件夾及文件/:拒絕
刪除/:拒絕
該文件夾,子文件夾及文件
<不是繼承的>
硬盤或文件夾: C:Inetpubwwwrootaspnet_client
主要權限部分: 其他權限部分:
Administrators 完全控制 Users 讀取
該文件夾,子文件夾及文件 該文件夾,子文件夾及文件
<不是繼承的> <不是繼承的>
SYSTEM 完全控制
該文件夾,子文件夾及文件
<不是繼承的>
硬盤或文件夾: C:Documents and Settings
主要權限部分: 其他權限部分:
Administrators 完全控制 無
該文件夾,子文件夾及文件
<不是繼承的>
SYSTEM 完全控制
該文件夾,子文件夾及文件
<不是繼承的>
硬盤或文件夾: C:Documents and SettingsAll Users
主要權限部分: 其他權限部分:
Administrators 完全控制 Users 讀取和運行
該文件夾,子文件夾及文件 該文件夾,子文件夾及文件
<不是繼承的> <不是繼承的>
SYSTEM 完全控制 USERS組的權限僅僅限制於讀取和運行,
絕對不能加上寫入權限
該文件夾,子文件夾及文件
<不是繼承的>
硬盤或文件夾: C:Documents and SettingsAll Users「開始」菜單
主要權限部分: 其他權限部分:
Administrators 完全控制 無
該文件夾,子文件夾及文件
<不是繼承的>
SYSTEM 完全控制
該文件夾,子文件夾及文件
<不是繼承的>
硬盤或文件夾: C:Documents and SettingsAll UsersApplication Data
主要權限部分: 其他權限部分:
Administrators 完全控制 Users 讀取和運行
該文件夾,子文件夾及文件 該文件夾,子文件夾及文件
<不是繼承的> <不是繼承的>
CREATOR OWNER 完全控制 Users 寫入
只有子文件夾及文件 該文件夾,子文件夾
<不是繼承的> <不是繼承的>
SYSTEM 完全控制 兩個並列權限同用戶組需要分開列權限
該文件夾,子文件夾及文件
<不是繼承的>
硬盤或文件夾: C:Documents and SettingsAll UsersApplication DataMicrosoft
主要權限部分: 其他權限部分:
Administrators 完全控制 Users 讀取和運行
該文件夾,子文件夾及文件 該文件夾,子文件夾及文件
<不是繼承的> <不是繼承的>
SYSTEM 完全控制 此文件夾包含 Microsoft 應用程序狀態數據
該文件夾,子文件夾及文件
<不是繼承的>
硬盤或文件夾: C:Documents and SettingsAll UsersApplication DataMicrosoftCryptoRSAMachineKeys
主要權限部分: 其他權限部分:
Administrators 完全控制 Everyone 列出文件夾、讀取屬性、讀取擴展屬性、創建文件、創建文件夾、寫入屬性、寫入擴展屬性、讀取權限
只有該文件夾 Everyone這裡只有讀寫權限,不能加運行和刪除權限,僅限該文件夾 只有該文件夾
<不是繼承的> <不是繼承的>
硬盤或文件夾: C:Documents and SettingsAll UsersApplication DataMicrosoftCryptoDSSMachineKeys
主要權限部分: 其他權限部分:
Administrators 完全控制 Everyone 列出文件夾、讀取屬性、讀取擴展屬性、創建文件、創建文件夾、寫入屬性、寫入擴展屬性、讀取權限
只有該文件夾 Everyone這裡只有讀寫權限,不能加運行和刪除權限,僅限該文件夾 只有該文件夾
<不是繼承的> <不是繼承的>
硬盤或文件夾: C:Documents and SettingsAll UsersApplication DataMicrosoftHTML Help
主要權限部分: 其他權限部分:
Administrators 完全控制 Users 讀取和運行
該文件夾,子文件夾及文件 該文件夾,子文件夾及文件
<不是繼承的> <不是繼承的>
SYSTEM 完全控制
該文件夾,子文件夾及文件
<不是繼承的>
硬盤或文件夾: C:Documents and SettingsAll UsersApplication DataMicrosoftNetworkConnectionsCm
主要權限部分: 其他權限部分:
Administrators 完全控制 Everyone 讀取和運行
該文件夾,子文件夾及文件 該文件夾,子文件夾及文件
<不是繼承的> <不是繼承的>
SYSTEM 完全控制 Everyone這裡只有讀和運行權限
該文件夾,子文件夾及文件
<不是繼承的>
硬盤或文件夾: C:Documents and SettingsAll UsersApplication DataMicrosoftNetworkDownloader
主要權限部分: 其他權限部分:
Administrators 完全控制 無
該文件夾,子文件夾及文件
<不是繼承的>
SYSTEM 完全控制
該文件夾,子文件夾及文件
<不是繼承的>
硬盤或文件夾: C:Documents and SettingsAll UsersApplication DataMicrosoftMedia Index
主要權限部分: 其他權限部分:
Administrators 完全控制 Users 讀取和運行
該文件夾,子文件夾及文件 該文件夾,子文件夾及文件
<不是繼承的> <繼承於上一級文件夾>
SYSTEM 完全控制 Users 創建文件/寫入數據
創建文件夾/附加數據
寫入屬性
寫入擴展屬性
讀取權限
該文件夾,子文件夾及文件 只有該文件夾
<不是繼承的> <不是繼承的>
Users 創建文件/寫入數據
創建文件夾/附加數據
寫入屬性
寫入擴展屬性
只有該子文件夾和文件
<不是繼承的>
硬盤或文件夾: C:Documents and SettingsAll UsersDRM
主要權限部分: 其他權限部分:
這裡需要把GUEST用戶組和IIS訪問用戶組全部禁止
Everyone的權限比較特殊,默認安裝後已經帶了
主要是要把IIS訪問的用戶組加上所有權限都禁止 Users 讀取和運行
該文件夾,子文件夾及文件
<不是繼承的>
Guests 拒絕所有
該文件夾,子文件夾及文件
<不是繼承的>
Guest 拒絕所有
該文件夾,子文件夾及文件
<不是繼承的>
IUSR_XXX
或某個虛擬主機用戶組 拒絕所有
該文件夾,子文件夾及文件
<不是繼承的>
硬盤或文件夾: C:Documents and SettingsAll UsersDocuments (共享文檔)
主要權限部分: 其他權限部分:
Administrators 完全控制 無
該文件夾,子文件夾及文件
<不是繼承的>
CREATOR OWNER 完全控制
只有子文件夾及文件
<不是繼承的>
SYSTEM 完全控制
該文件夾,子文件夾及文件
<不是繼承的>
硬盤或文件夾: C:Program Files
主要權限部分: 其他權限部分:
Administrators 完全控制 IIS_WPG 讀取和運行
該文件夾,子文件夾及文件 該文件夾,子文件夾及文件
<不是繼承的> <不是繼承的>
CREATOR OWNER 完全控制 IUSR_XXX
或某個虛擬主機用戶組 列出文件夾/讀取數據 :拒絕
只有子文件夾及文件 該文件夾,子文件夾及文件
<不是繼承的> <不是繼承的>
SYSTEM 完全控制 IIS虛擬主機用戶組禁止列目錄,可有效防止FSO類木馬
如果安裝了aspjepg和aspupload
該文件夾,子文件夾及文件
<不是繼承的>
硬盤或文件夾: C:Program FilesCommon Files
主要權限部分: 其他權限部分:
Administrators 完全控制 IIS_WPG 讀取和運行
該文件夾,子文件夾及文件 該文件夾,子文件夾及文件
<不是繼承的> <繼承於上級目錄>
CREATOR OWNER 完全控制 Users 讀取和運行
只有子文件夾及文件 該文件夾,子文件夾及文件
<不是繼承的> <不是繼承的>
SYSTEM 完全控制 復合權限,為IIS提供快速安全的運行環境
該文件夾,子文件夾及文件
<不是繼承的>
硬盤或文件夾: C:Program FilesCommon FilesMicrosoft Sharedweb server extensions
主要權限部分: 其他權限部分:
Administrators 完全控制 無
該文件夾,子文件夾及文件
<不是繼承的>
CREATOR OWNER 完全控制
只有子文件夾及文件
<不是繼承的>
SYSTEM 完全控制
該文件夾,子文件夾及文件
<不是繼承的>
硬盤或文件夾: C:Program FilesMicrosoft SQL ServerMSSQL (程序部分默認裝在C:盤)
主要權限部分: 其他權限部分:
Administrators 完全控制 無
該文件夾,子文件夾及文件
<不是繼承的>
硬盤或文件夾: E:Program FilesMicrosoft SQL Server (數據庫部分裝在E:盤的情況)
主要權限部分: 其他權限部分:
Administrators 完全控制 無
該文件夾,子文件夾及文件
<不是繼承的>
CREATOR OWNER 完全控制
只有子文件夾及文件
<不是繼承的>
SYSTEM 完全控制
該文件夾,子文件夾及文件
<不是繼承的>
硬盤或文件夾: E:Program FilesMicrosoft SQL ServerMSSQL (數據庫部分裝在E:盤的情況)
主要權限部分: 其他權限部分:
Administrators 完全控制 無
該文件夾,子文件夾及文件
<不是繼承的>
硬盤或文件夾: C:Program FilesInternet Exploreriexplore.exe
主要權限部分: 其他權限部分:
Administrators 完全控制 無
該文件夾,子文件夾及文件
<不是繼承的>
硬盤或文件夾: C:Program FilesOutlook Express
主要權限部分: 其他權限部分:
Administrators 完全控制 無
該文件夾,子文件夾及文件
<不是繼承的>
CREATOR OWNER 完全控制
只有子文件夾及文件
<不是繼承的>
SYSTEM 完全控制
該文件夾,子文件夾及文件
<不是繼承的>
硬盤或文件夾: C:Program FilesPowerEasy5 (如果裝了動易組件的話)
主要權限部分: 其他權限部分:
Administrators 完全控制 無
該文件夾,子文件夾及文件
<不是繼承的>
CREATOR OWNER 完全控制
只有子文件夾及文件
<不是繼承的>
SYSTEM 完全控制
該文件夾,子文件夾及文件
<不是繼承的>
硬盤或文件夾: C:Program FilesRadmin (如果裝了Radmin遠程控制的話)
主要權限部分: 其他權限部分:
Administrators 完全控制 無
對應的c:windowssystem32裡面有兩個文件
r_server.exe和AdmDll.dll
要把Users讀取運行權限去掉
默認權限只要administrators和system全部權限
該文件夾,子文件夾及文件
<不是繼承的>
CREATOR OWNER 完全控制
只有子文件夾及文件
<不是繼承的>
SYSTEM 完全控制
該文件夾,子文件夾及文件
<不是繼承的>
硬盤或文件夾: C:Program FilesServ-U (如果裝了Serv-U服務器的話)
主要權限部分: 其他權限部分:
Administrators 完全控制 無
這裡常是提權入侵的一個比較大的漏洞點
一定要按這個方法設置
目錄名字根據Serv-U版本也可能是
C:Program FilesRhinoSoft.comServ-U
該文件夾,子文件夾及文件
<不是繼承的>
CREATOR OWNER 完全控制
只有子文件夾及文件
<不是繼承的>
SYSTEM 完全控制
該文件夾,子文件夾及文件
<不是繼承的>
硬盤或文件夾: C:Program FilesWindows Media Player
主要權限部分: 其他權限部分:
Administrators 完全控制 無
該文件夾,子文件夾及文件
<不是繼承的>
CREATOR OWNER 完全控制
只有子文件夾及文件
<不是繼承的>
SYSTEM 完全控制
該文件夾,子文件夾及文件
<不是繼承的>
硬盤或文件夾: C:Program FilesWindows NTAccessories
主要權限部分: 其他權限部分:
Administrators 完全控制 無
該文件夾,子文件夾及文件
<不是繼承的>
CREATOR OWNER 完全控制
只有子文件夾及文件
<不是繼承的>
SYSTEM 完全控制
該文件夾,子文件夾及文件
<不是繼承的>
硬盤或文件夾: C:Program FilesWindowsUpdate
主要權限部分: 其他權限部分:
Administrators 完全控制 無
該文件夾,子文件夾及文件
<不是繼承的>
CREATOR OWNER 完全控制
只有子文件夾及文件
<不是繼承的>
SYSTEM 完全控制
該文件夾,子文件夾及文件
<不是繼承的>
硬盤或文件夾: C:WINDOWS
主要權限部分: 其他權限部分:
Administrators 完全控制 Users 讀取和運行
該文件夾,子文件夾及文件 該文件夾,子文件夾及文件
<不是繼承的> <不是繼承的>
CREATOR OWNER 完全控制
只有子文件夾及文件
<不是繼承的>
SYSTEM 完全控制
該文件夾,子文件夾及文件
<不是繼承的>
硬盤或文件夾: C:WINDOWSrepair
主要權限部分: 其他權限部分:
Administrators 完全控制 IUSR_XXX
或某個虛擬主機用戶組 列出文件夾/讀取數據 :拒絕
該文件夾,子文件夾及文件 該文件夾,子文件夾及文件
<不是繼承的> <不是繼承的>
CREATOR OWNER 完全控制 虛擬主機用戶訪問組拒絕讀取,有助於保護系統數據
這裡保護的是系統級數據SAM
只有子文件夾及文件
<不是繼承的>
SYSTEM 完全控制
該文件夾,子文件夾及文件
<不是繼承的>
硬盤或文件夾: C:WINDOWSsystem32
主要權限部分: 其他權限部分:
Administrators 完全控制 Users 讀取和運行
該文件夾,子文件夾及文件 該文件夾,子文件夾及文件
<不是繼承的> <不是繼承的>
CREATOR OWNER 完全控制 IUSR_XXX
或某個虛擬主機用戶組 列出文件夾/讀取數據 :拒絕
只有子文件夾及文件 該文件夾,子文件夾及文件
<不是繼承的> <不是繼承的>
SYSTEM 完全控制 虛擬主機用戶訪問組拒絕讀取,有助於保護系統數據
該文件夾,子文件夾及文件
<不是繼承的>
硬盤或文件夾: C:WINDOWSsystem32config
主要權限部分: 其他權限部分:
Administrators 完全控制 Users 讀取和運行
該文件夾,子文件夾及文件 該文件夾,子文件夾及文件
<不是繼承的> <不是繼承的>
CREATOR OWNER 完全控制 IUSR_XXX
或某個虛擬主機用戶組 列出文件夾/讀取數據 :拒絕
只有子文件夾及文件 該文件夾,子文件夾及文件
<不是繼承的> <繼承於上一級目錄>
SYSTEM 完全控制 虛擬主機用戶訪問組拒絕讀取,有助於保護系統數據
該文件夾,子文件夾及文件
<不是繼承的>
硬盤或文件夾: C:WINDOWSsystem32inetsrv
主要權限部分: 其他權限部分:
Administrators 完全控制 Users 讀取和運行
該文件夾,子文件夾及文件 該文件夾,子文件夾及文件
<不是繼承的> <不是繼承的>
CREATOR OWNER 完全控制 IUSR_XXX
或某個虛擬主機用戶組 列出文件夾/讀取數據 :拒絕
只有子文件夾及文件 只有該文件夾
<不是繼承的> <繼承於上一級目錄>
SYSTEM 完全控制 虛擬主機用戶訪問組拒絕讀取,有助於保護系統數據
該文件夾,子文件夾及文件
<不是繼承的>
硬盤或文件夾: C:WINDOWSsystem32inetsrvASP Compiled Templates
主要權限部分: 其他權限部分:
Administrators 完全控制 IIS_WPG 完全控制
該文件夾,子文件夾及文件 該文件夾,子文件夾及文件
<不是繼承的> <不是繼承的>
IUSR_XXX
或某個虛擬主機用戶組 列出文件夾/讀取數據 :拒絕
該文件夾,子文件夾及文件
<繼承於上一級目錄>
虛擬主機用戶訪問組拒絕讀取,有助於保護系統數據
硬盤或文件夾: C:WINDOWSsystem32inetsrviisadmpwd
主要權限部分: 其他權限部分:
Administrators 完全控制 無
該文件夾,子文件夾及文件
<不是繼承的>
CREATOR OWNER 完全控制
只有子文件夾及文件
<不是繼承的>
SYSTEM 完全控制
該文件夾,子文件夾及文件
<不是繼承的>
硬盤或文件夾: C:WINDOWSsystem32inetsrvMetaBack
主要權限部分: 其他權限部分:
Administrators 完全控制 Users 讀取和運行
該文件夾,子文件夾及文件 該文件夾,子文件夾及文件
<不是繼承的> <不是繼承的>
CREATOR OWNER 完全控制 IUSR_XXX
或某個虛擬主機用戶組 列出文件夾/讀取數據 :拒絕
只有子文件夾及文件 該文件夾,子文件夾及文件
<不是繼承的> <繼承於上一級目錄>
SYSTEM 完全控制 虛擬主機用戶訪問組拒絕讀取,有助於保護系統數據
該文件夾,子文件夾及文件
<不是繼承的>
Winwebmail 電子郵局安裝後權限舉例:目錄E:
主要權限部分: 其他權限部分:
Administrators 完全控制 IUSR_XXXXXX
這個用戶是WINWEBMAIL訪問WEB站點專用帳戶 讀取和運行
該文件夾,子文件夾及文件 該文件夾,子文件夾及文件
<不是繼承的> <不是繼承的>
CREATOR OWNER 完全控制
只有子文件夾及文件
<不是繼承的>
SYSTEM 完全控制
該文件夾,子文件夾及文件
<不是繼承的>
Winwebmail 電子郵局安裝後權限舉例:目錄E:WinWebMail
主要權限部分: 其他權限部分:
Administrators 完全控制 IUSR_XXXXXX
WINWEBMAIL訪問WEB站點專用帳戶 讀取和運行
該文件夾,子文件夾及文件 該文件夾,子文件夾及文件
<繼承於E:> <繼承於E:>
CREATOR OWNER 完全控制 Users 修改/讀取運行/列出文件目錄/讀取/寫入
只有子文件夾及文件 該文件夾,子文件夾及文件
<繼承於E:> <不是繼承的>
SYSTEM 完全控制 IUSR_XXXXXX
WINWEBMAIL訪問WEB站點專用帳戶 修改/讀取運行/列出文件目錄/讀取/寫入
該文件夾,子文件夾及文件 該文件夾,子文件夾及文件
<繼承於E:> <不是繼承的>
IUSR_XXXXXX和IWAM_XXXXXX
是winwebmail專用的IIS用戶和應用程序池用戶
單獨使用,安全性能高 IWAM_XXXXXX
WINWEBMAIL應用程序池專用帳戶 修改/讀取運行/列出文件目錄/讀取/寫入
該文件夾,子文件夾及文件
<不是繼承的>
2、服務器安全設置之--系統服務篇(設置完畢需要重新啟動)
*除非特殊情況非開不可,下列系統服務要■停止並禁用■:
Alerter
服務名稱: Alerter
顯示名稱: Alerter
服務描述: 通知選定的用戶和計算機管理警報。如果服務停止,使用管理警報的程序將不會收到它們。如果此服務被禁用,任何直接依賴它的服務都將不能啟動。
可執行文件路徑: E:WINDOWSsystem32svchost.exe -k LocalService
其他補充:
Application Layer Gateway Service
服務名稱: ALG
顯示名稱: Application Layer Gateway Service
服務描述: 為應用程序級協議插件提供支持並啟用網絡/協議連接。如果此服務被禁用,任何依賴它的服務將無法啟動。
可執行文件路徑: E:WINDOWSSystem32alg.exe
其他補充:
Background Intelligent Transfer Service
服務名稱: BITS
顯示名稱: Background Intelligent Transfer Service
服務描述: 服務描述:利用空閒的網絡帶寬在後台傳輸文件。如果服務被停用,例如 Windows Update 和 MSN Explorer 的功能將無法自動下載程序和其他信息。如果此服務被禁用,任何依賴它的服務如果沒有容錯技術以直接通過 IE 傳輸文件,一旦 BITS 被禁用,就可能無法傳輸文件。
可執行文件路徑: E:WINDOWSsystem32svchost.exe -k netsvcs
其他補充:
Computer Browser
服務名稱: 服務名稱:Browser
顯示名稱: 顯示名稱:Computer Browser
服務描述: 服務描述:維護網絡上計算機的更新列表,並將列表提供給計算機指定浏覽。如果服務停止,列表不會被更新或維護。如果服務被禁用,任何直接依賴於此服務的服務將無法啟動。
可執行文件路徑: 可執行文件路徑: E:WINDOWSsystem32svchost.exe -k netsvcs
其他補充:
Distributed File System
服務名稱: Dfs
顯示名稱: Distributed File System
服務描述: 將分散的文件共享合並成一個邏輯名稱空間並在局域網或廣域網上管理這些邏輯卷。如果這個服務被停止,用戶則無法訪問文件共享。如果這個服務被禁用,任何依賴它的服務將無法啟動。
可執行文件路徑: E:WINDOWSsystem32Dfssvc.exe
其他補充:
Help and Support
服務名稱: helpsvc
顯示名稱: Help and Support
服務描述: 啟用在此計算機上運行幫助和支持中心。如果停止服務,幫助和支持中心將不可用。如果禁用服務,任何直接依賴於此服務的服務將無法啟動。
可執行文件路徑: E:WINDOWSSystem32svchost.exe -k netsvcs
其他補充:
Messenger
服務名稱: Messenger
顯示名稱: Messenger
服務描述: 傳輸客戶端和服務器之間的 NET SEND 和 警報器服務消息。此服務與 Windows Messenger 無關。如果服務停止,警報器消息不會被傳輸。如果服務被禁用,任何直接依賴於此服務的服務將無法啟動。
可執行文件路徑: E:WINDOWSsystem32svchost.exe -k netsvcs
其他補充:
NetMeeting Remote Desktop Sharing
服務名稱: mnmsrvc
顯示名稱: NetMeeting Remote Desktop Sharing
服務描述: 允許經過授權的用戶用 NetMeeting 在公司 intranet 上遠程訪問這台計算機。如果服務被停止,遠程桌面共享將不可用。如果服務被禁用,依賴這個服務的任何服務都會無法啟動。
可執行文件路徑: E:WINDOWSsystem32mnmsrvc.exe
其他補充:
Print Spooler
服務名稱: Spooler
顯示名稱: Print Spooler
服務描述: 管理所有本地和網絡打印隊列及控制所有打印工作。如果此服務被停用,本地計算機上的打印將不可用。如果此服務被禁用,任何依賴於它的服務將無法啟用。
可執行文件路徑: E:WINDOWSsystem32spoolsv.exe
其他補充:
Remote Registry
服務名稱: RemoteRegistry
顯示名稱: Remote Registry
服務描述: 使遠程用戶能修改此計算機上的注冊表設置。如果此服務被終止,只有此計算機上的用戶才能修改注冊表。如果此服務被禁用,任何依賴它的服務將無法啟動。
可執行文件路徑: E:WINDOWSsystem32svchost.exe -k regsvc
其他補充:
Task Scheduler
服務名稱: Schedule
顯示名稱: Task Scheduler
服務描述: 使用戶能在此計算機上配置和計劃自動任務。如果此服務被終止,這些任務將無法在計劃時間裡運行。如果此服務被禁用,任何依賴它的服務將無法啟動。
可執行文件路徑: E:WINDOWSSystem32svchost.exe -k netsvcs
其他補充:
TCP/IP NetBIOS Helper
服務名稱: LmHosts
顯示名稱: TCP/IP NetBIOS Helper
服務描述: 提供 TCP/IP (NetBT) 服務上的 NetBIOS 和網絡上客戶端的 NetBIOS 名稱解析的支持,從而使用戶能夠共享文件、打印和登錄到網絡。如果此服務被停用,這些功能可能不可用。如果此服務被禁用,任何依賴它的服務將無法啟動。
可執行文件路徑: E:WINDOWSsystem32svchost.exe -k LocalService
其他補充:
Telnet
服務名稱: TlntSvr
顯示名稱: Telnet
服務描述: 允許遠程用戶登錄到此計算機並運行程序,並支持多種 TCP/IP Telnet 客戶端,包括基於 UNIX 和 Windows 的計算機。如果此服務停止,遠程用戶就不能訪問程序,任何直接依賴於它的服務將會啟動失敗。
可執行文件路徑: E:WINDOWSsystem32tlntsvr.exe
其他補充:
Workstation
服務名稱: lanmanworkstation
顯示名稱: Workstation
服務描述: 創建和維護到遠程服務的客戶端網絡連接。如果服務停止,這些連接將不可用。如果服務被禁用,任何直接依賴於此服務的服務將無法啟動。
可執行文件路徑: E:WINDOWSsystem32svchost.exe -k netsvcs
其他補充:
以上是windows2003server標准服務當中需要停止的服務,作為IIS網絡服務器,以上服務務必要停止,如果需要SSL證書服務,則設置方法不同
3、服務器安全設置之--組件安全設置篇 (非常重要!!!)
A、卸載WScript.Shell 和 Shell.application 組件,將下面的代碼保存為一個.BAT文件執行(分2000和2003系統)
windows2000.bat regsvr32/u C:WINNTSystem32wshom.ocx
del C:WINNTSystem32wshom.ocx
regsvr32/u C:WINNTsystem32shell32.dll
del C:WINNTsystem32shell32.dll
windows2003.bat regsvr32/u C:WINDOWSSystem32wshom.ocx
del C:WINDOWSSystem32wshom.ocx
regsvr32/u C:WINDOWSsystem32shell32.dll
del C:WINDOWSsystem32shell32.dll
B、改名不安全組件,需要注意的是組件的名稱和Clsid都要改,並且要改徹底了,不要照抄,要自己改
【開始→運行→regedit→回車】打開注冊表編輯器
然後【編輯→查找→填寫Shell.application→查找下一個】
用這個方法能找到兩個注冊表項:
{13709620-C279-11CE-A49E-444553540000} 和 Shell.application 。
第一步:為了確保萬無一失,把這兩個注冊表項導出來,保存為xxxx.reg 文件。
第二步:比如我們想做這樣的更改
13709620-C279-11CE-A49E-444553540000 改名為 13709620-C279-11CE-A49E-444553540001
Shell.application 改名為 Shell.application_nohack
第三步:那麼,就把剛才導出的.reg文件裡的內容按上面的對應關系替換掉,然後把修改好的.reg文件導入到注冊表中(雙擊即可),導入了改名後的注冊表項之後,別忘記了刪除原有的那兩個項目。這裡需要注意一點,Clsid中只能是十個數字和ABCDEF六個字母。
其實,只要把對應注冊表項導出來備份,然後直接改鍵名就可以了,
改好的例子建議自己改應該可一次成功
Windows Registry Editor Version 5.00
[HKEY_CLASSES_ROOTCLSID{13709620-C279-11CE-A49E-444553540001}]
@="Shell Automation Service"
[HKEY_CLASSES_ROOTCLSID{13709620-C279-11CE-A49E-444553540001}InProcServer32]
@="C:WINNTsystem32shell32.dll"
"ThreadingModel"="Apartment"
[HKEY_CLASSES_ROOTCLSID{13709620-C279-11CE-A49E-444553540001}ProgID]
@="Shell.Application_nohack.1"
[HKEY_CLASSES_ROOTCLSID{13709620-C279-11CE-A49E-444553540001}TypeLib]
@="{50a7e9b0-70ef-11d1-b75a-00a0c90564fe}"
[HKEY_CLASSES_ROOTCLSID{13709620-C279-11CE-A49E-444553540001}Version]
@="1.1"
[HKEY_CLASSES_ROOTCLSID{13709620-C279-11CE-A49E-444553540001}VersionIndependentProgID]
@="Shell.Application_nohack"
[HKEY_CLASSES_ROOTShell.Application_nohack]
@="Shell Automation Service"
[HKEY_CLASSES_ROOTShell.Application_nohackCLSID]
@="{13709620-C279-11CE-A49E-444553540001}"
[HKEY_CLASSES_ROOTShell.Application_nohackCurVer]
@="Shell.Application_nohack.1"
老杜評論: WScript.Shell 和 Shell.application 組件是 腳本入侵過程中,提升權限的重要環節,這兩個組件的卸載和修改對應注冊鍵名,可以很大程度的提高虛擬主機的腳本安全性能,一般來說,ASP和php類腳本提升權限的功能是無法實現了,再加上一些系統服務、硬盤訪問權限、端口過濾、本地安全策略的設置,虛擬主機因該說,安全性能有非常大的提高,黑客入侵的可能性是非常低了。注銷了Shell組件之後,侵入者運行提升工具的可能性就很小了,但是prel等別的腳本語言也有shell能力,為防萬一,還是設置一下為好。下面是另外一種設置,大同小異。
一、禁止使用FileSystemObject組件
FileSystemObject可以對文件進行常規操作,可以通過修改注冊表,將此組件改名,來防止此類木馬的危害。
HKEY_CLASSES_ROOTScripting.FileSystemObject
改名為其它的名字,如:改為 FileSystemObject_ChangeName
自己以後調用的時候使用這個就可以正常調用此組件了
也要將clsid值也改一下
HKEY_CLASSES_ROOTScripting.FileSystemObjectCLSID項目的值
也可以將其刪除,來防止此類木馬的危害。
2000注銷此組件命令:RegSrv32 /u C:WINNTSYSTEMscrrun.dll
2003注銷此組件命令:RegSrv32 /u C:WINDOWSSYSTEMscrrun.dll
如何禁止Guest用戶使用scrrun.dll來防止調用此組件?
使用這個命令:cacls C:WINNTsystem32scrrun.dll /e /d guests
二、禁止使用WScript.Shell組件
WScript.Shell可以調用系統內核運行DOS基本命令
可以通過修改注冊表,將此組件改名,來防止此類木馬的危害。
HKEY_CLASSES_ROOTWScript.Shell及HKEY_CLASSES_ROOTWScript.Shell.1
改名為其它的名字,如:改為WScript.Shell_ChangeName 或 WScript.Shell.1_ChangeName
自己以後調用的時候使用這個就可以正常調用此組件了
也要將clsid值也改一下
HKEY_CLASSES_ROOTWScript.ShellCLSID項目的值
HKEY_CLASSES_ROOTWScript.Shell.1CLSID項目的值
也可以將其刪除,來防止此類木馬的危害。
三、禁止使用Shell.Application組件
Shell.Application可以調用系統內核運行DOS基本命令
可以通過修改注冊表,將此組件改名,來防止此類木馬的危害。
HKEY_CLASSES_ROOTShell.Application
及
HKEY_CLASSES_ROOTShell.Application.1
改名為其它的名字,如:改為Shell.Application_ChangeName 或 Shell.Application.1_ChangeName
自己以後調用的時候使用這個就可以正常調用此組件了
也要將clsid值也改一下
HKEY_CLASSES_ROOTShell.ApplicationCLSID項目的值
HKEY_CLASSES_ROOTShell.ApplicationCLSID項目的值
也可以將其刪除,來防止此類木馬的危害。
禁止Guest用戶使用shell32.dll來防止調用此組件。
2000使用命令:cacls C:WINNTsystem32shell32.dll /e /d guests
2003使用命令:cacls C:WINDOWSsystem32shell32.dll /e /d guests
注:操作均需要重新啟動WEB服務後才會生效。
四、調用Cmd.exe
禁用Guests組用戶調用cmd.exe
2000使用命令:cacls C:WINNTsystem32Cmd.exe /e /d guests
2003使用命令:cacls C:WINDOWSsystem32Cmd.exe /e /d guests
通過以上四步的設置基本可以防范目前比較流行的幾種木馬,但最有效的辦法還是通過綜合安全設置,將服務器、程序安全都達到一定標准,才可能將安全等級設置較高,防范更多非法入侵。
C、防止Serv-U權限提升 (適用於 Serv-U6.0 以前版本,之後可以直接設置密碼)
先停掉Serv-U服務
用Ultraedit打開ServUDaemon.exe
查找 Ascii:LocalAdministrator 和 [email=#l@$ak#.lk;0@P]#l@$ak#.lk;0@P[/email]
修改成等長度的其它字符就可以了,ServUAdmin.exe也一樣處理。
另外注意設置Serv-U所在的文件夾的權限,不要讓IIS匿名用戶有讀取的權限,否則人家下走你修改過的文件,照樣可以分析出你的管理員名和密碼。
阿江ASP探針 http://www.ajiang.net/products/aspcheck/ (可以測試組件安全性)
4、服務器安全設置之--IIS用戶設置方法
IIS安全訪問的例子
IIS基本設置
這裡舉例4個不同類型腳本的虛擬主機 權限設置例子
主機頭 主機腳本 硬盤目錄 IIS用戶名 硬盤權限 應用程序池 主目錄 應用程序配置
www.1.com HTM D:www.1.com IUSR_1.com Administrators(完全控制)
IUSR_1.com(讀)
可共用 讀取/純腳本 啟用父路徑
www.2.com ASP D:www.2.com IUSR_1.com Administrators(完全控制)
IUSR_2.com(讀/寫) 可共用 讀取/純腳本 啟用父路徑
www.3.com NET D:www.3.com IUSR_1.com Administrators(完全控制)
IWAM_3.com(讀/寫)
IUSR_3.com(讀/寫) 獨立池 讀取/純腳本 啟用父路徑
www.4.com PHP D:www.4.com IUSR_1.com Administrators(完全控制)
IWAM_4.com(讀/寫)
IUSR_4.com(讀/寫) 獨立池 讀取/純腳本 啟用父路徑
其中 IWAM_3.com 和 IWAM_4.com 分別是各自獨立應用程序池標識中的啟動帳戶
主機腳本類型 應用程序擴展名 (就是文件後綴名)對應主機腳本,只需要加載以下的應用程序擴展
HTM STM | SHTM | SHTML | MDB
ASP ASP | ASA | MDB
NET ASPX | ASAX | ASCX| ASHX | ASMX | AXD | VSDISCO | REM | SOAP | CONFIG |
CS |CSPROJ | VB | VBPROJ | WEBINFO | LICX | RESX | RESOURCES | MDB
PHP PHP | PHP3 | PHP4
