windows 2003 server IIS权限设置

2653885

　　前提：仅针对windows 2003 server SP1 Internet(IIS) 服务器
　　系统安装在C:"盘
　　系统用户情况为：
　　administrators 超级管理员(组)
　　system 系统用户(内置安全主体)
　　guests 来宾帐号(组)
　　iusr_服务器名 匿名访问web用户
　　iwam_服务器名 启动iis进程用户
　　www_cnnsc_org 自己添加的用户、添加后删除Users(组)、删除后添加到guests来宾帐号(组)
　　为加强系统安全、(guest)用户及(iusr_服务器名)用户均被禁用
　　将访问web目录的全部账户设为guests组、去除其他的组
　　
　　
　　■盘符 安全访问权限
　　△C:"盘 administrators(组) 完全控制权限、system(内置安全主体) 完全控制权限
　　△D:"盘 (如果用户网站内容放置在这个分区中)、administrators(组) 完全控制权限
　　△E:"盘 administrators(组) 完全控制权限、system(内置安全主体) 完全控制权限
　　△f:"盘 administrators(组) 完全控制权限、system(内置安全主体) 完全控制权限
　　△如有其他盘符类推下去.
　　
　　
　　■目录安全访问权限
　　▲C:"wmpub
　　△administrators(组) 完全控制权限、system(内置安全主体) 完全控制权限
　　
　　▲c:"windows"
　　△administrators(组) 完全控制权限、system(内置安全主体) 完全控制权限
　　
　　▲c:"windows"system32"
　　△administrators(组) 完全控制权限、system(内置安全主体) 完全控制权限、iwam_服务器名(用户) 读取+运行权限
　　
　　▲c:"windows"temp"
　　△administrators(组) 完全控制权限、system(内置安全主体) 完全控制权限、guests(组) 完全控制权限
　　
　　▲C:"WINDOWS"system32"config"
　　△administrators(组) 完全控制权限、system(内置安全主体) 完全控制权限
　　
　　▲c:"Program Files"
　　△administrators(组) 完全控制权限、system(内置安全主体) 完全控制权限
　　
　　▲C:"Program Files"Common Files"
　　△administrators(组) 完全控制权限、system(内置安全主体) 完全控制权限、guests(组) 读取+运行权限
　　
　　▲c:"Documents and Settings"
　　△administrators(组) 完全控制权限、system(内置安全主体) 完全控制权限
　　
　　▲C:"Documents and Settings"All Users"
　　△administrators(组) 完全控制权限、system(内置安全主体) 完全控制权限
　　
　　▲C:"Documents and Settings"All Users"Application Data"
　　△administrators(组) 完全控制权限、system(内置安全主体) 完全控制权限
　　
　　▲C:"Documents and Settings"All Users"Application Data"Microsoft"
　　△administrators(组) 完全控制权限、system(内置安全主体) 完全控制权限
　　
　　▲C:"Documents and Settings"All Users"Application Data"Microsoft"HTML Help"
　　△administrators(组) 完全控制权限、system(内置安全主体) 完全控制权限
　　
　　
　　■禁止系统盘下的EXE文件：
　　net.exe、cmd.exe、tftp.exe、netstat.exe、regedit.exe、regedt32.exe、at.exe、attrib.exe、cacls.exe
　　△些文件都设置成 administrators 完全控制权限
　　
　　
　　■新建WWW(网站)根目录【administrators(组) 完全控制权限、system(内置安全主体) 完全控制权限】
　　▲根目录里新建wwwroot目录
　　▲网站根目录、网页请上传到这个目录
　　△administrators(组)   完全控制权限
　　△www_cnnsc_org(用户) 完全控制权限
　　
　　▲根目录里新建logfiles目录
　　▲网站访问日志文件、本目录不占用您的空间
　　△administrators(组)   完全控制权限
　　
　　▲根目录里新建database目录
　　▲数据库目录、用来存放ACCESS数据库
　　△administrators(组)   完全控制权限
　　
　　▲根目录里新建others目录
　　▲用于存放您的其它文件、该类文件不会出现在网站上
　　△administrators(组)   完全控制权限
　　△www_cnnsc_org(用户) 完全控制权限
　　
　　▲在FTP(登陆消息文件里填)IIS日志说明：
　　〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓
　　欢迎您使用本虚拟主机.
　　请使用CUTEFTP或者LEAFTP等软件上传您的网页.
　　注意、如果上传不了、请把FTP软件的PASV模式关掉再试.
　　
　　您登陆进去的根目录为FTP根目录
　　"--wwwroot        网站根目录、网页请上传到这个目录.
　　"--logfiles       网站访问日志文件、本目录不占用您的空间.
　　"--database       数据库目录、用来存放ACCESS数据库.
　　"--others         用于存放您的其它文件，该类文件不会出现在网站上.
　　为了保证服务器高速稳定运行、请勿上传江湖游戏、广告交换、
　　博彩类网站、大型论坛、软件下载等耗费系统资源的程序.
　　
　　IIS日志说明
　　"--Date             动作发生时的日期
　　"--Time             动作发生时的时间
　　"--s-sitename       客户所访问的Internet服务于以及实例号
　　"--s-computername   产生日志条目的服务器的名字
　　"--s-ip             产生日志条目的服务器的IP地址
　　"--cs-method        客户端企图执行的动作(例如GET方法)
　　"--cs-uri-stem      被访问的资源、例如Default.asp
　　"--cs-uri-query     客户所执行的查询
　　"--s-port           客户端连接的端口号
　　"--cs-username      通过身份验证访问服务器的用户名、不包括匿名用户
　　"--c-ip             访问服务器的客户端IP地址
　　"--cs(User-Agent)   客户所用的浏览器
　　"--sc-status        用HTTP或者FTP术语所描述的动作状态
　　"--sc-win32-status 用Microsoft Windows的术语所描述的动作状态
　　〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓
　　
　　■SQL Server 2000数据库：
　　▲在本机将身份验证配置为Win登陆
　　▲删除以下的扩展存储过程格式为：
　　△use master
　　△exec sp_dropextendedproc 'xp_cmdshell'
　　△exec sp_dropextendedproc 'xp_dirtree'
　　△exec sp_dropextendedproc 'xp_enumgroups'
　　△exec sp_dropextendedproc 'xp_fixeddrives'
　　△exec sp_dropextendedproc 'xp_loginconfig'
　　△exec sp_dropextendedproc 'xp_enumerrorlogs'
　　△exec sp_dropextendedproc 'xp_getfiledetails'
　　△exec sp_dropextendedproc 'Sp_OACreate'
　　△exec sp_dropextendedproc 'Sp_OADestroy'
　　△exec sp_dropextendedproc 'Sp_OAGetErrorInfo'
　　△exec sp_dropextendedproc 'Sp_OAGetProperty'
　　△exec sp_dropextendedproc 'Sp_OAMethod'
　　△exec sp_dropextendedproc 'Sp_OASetProperty'
　　△exec sp_dropextendedproc 'Sp_OAStop'
　　△exec sp_dropextendedproc 'Xp_regaddmultistring'
　　△exec sp_dropextendedproc 'Xp_regdeletekey'
　　△exec sp_dropextendedproc 'Xp_regdeletevalue'
　　△exec sp_dropextendedproc 'Xp_regenumvalues'
　　△exec sp_dropextendedproc 'Xp_regread'
　　△exec sp_dropextendedproc 'Xp_regremovemultistring'
　　△exec sp_dropextendedproc 'Xp_regwrite'
　　△drop procedure sp_makewebtask
　　△go
　　
　　
　　■禁止下载Access数据库
　　△Internet 信息服务(IIS)管理器→网站→属性→主目录→配置→添加
　　△可执行文件：C:"WINDOWS"twain_32.dll
　　△扩展名：.mdb
　　▲如果你还想禁止下载其它的东东
　　△Internet 信息服务(IIS)管理器→网站→属性→主目录→配置→添加
　　△可执行文件：C:"WINDOWS"twain_32.dll
　　△扩展名：.(改成你要禁止的文件名)
　　▲然后删除扩展名：shtml stm shtm cdx idc cer
　　
　　
　　
　　■防止列出用户组和系统进程:
　　△开始→程序→管理工具→服务
　　△找到 Workstation 停止它、禁用它
　　
　　
　　■防止SYN洪水攻击
　　△HKEY_LOCAL_MACHINE"SYSTEM"CurrentControlSet"Services"Tcpip"Parameters
　　△新建 DWORD值、名为SynAttackProtect、值为2
　　
　　
　　
　　■禁止139空连接
　　△HKEY_LOCAL_MACHINE"System"CurrentControSet"Control"LSA
　　△新建 DWORD值、名为restrictanonymous的键值项、将他设置成1、设置以后重起就可以了
　　
　　
　　■禁止ADMIN$共享
　　△HKEY_LOCAL_MACHINE"CurrentControlset"serviceslanmanserver"parameters
　　△新建 DWORD值、名为AutoShareServer的键值、将其设置为0的键值项、将其设置为0
　　
　　
　　■禁止C$、D$、E$等共享
　　△HKEY_LOCAL_MACHINE"CurrentControlset"services"Tcpip"Paramers
　　△新建 DWORD值、名为EnablelCMPRedirects的键值项将其设置为0、0是不响应
　　
　　
　　■禁止IPC$共享
　　▲察看本地共享资源
　　△运行 cmd 输入 net share
　　▲删除共享(每次输入一个)
　　△net share ipc$ /delete
　　△net share admin$ /delete
　　△net share c$ /delete
　　△net share d$ /delete（如果有e,f,……可以继续删除）
　　▲停止server服务
　　△net stop server /y （重新启动后server服务会重新开启）
　　▲修改注册表
　　运行-regedit
　　server版:找到如下主键[HKEY_LOCAL_MACHINE"SYSTEM"CurrentControlSet"Services"LanmanServer"Parameters]把AutoShareServer（DWORD）的键值改为:00000000。
　　pro版:找到如下主键[HKEY_LOCAL_MACHINE"SYSTEM"CurrentControlSet"Services"LanmanServer"Parameters]把AutoShareWks（DWORD）的键值改为:00000000。
　　如果上面所说的主键不存在，就新建(右击-新建-双字节值）一个主健再改键值。
　　
　　
　　■更改3389端口
　　△HKEY_LOCAL_MACHINE"System"currentcontrolset"controlTerminalserver"wds"rdpwd"tds"tcp
　　△选中名为portnumber的键值、将其3389改为其它
　　△HKEY_LOCAL_MACHINE"System"currentcontrolset"control"Terminalserver"winstations
　　△里应该有一个或者很多类似的子键、一样的改他的值为3389
　　
　　
　　■关闭445端口
　　△HKEY_LOCAL_MACHINE"System"currentcontrolset"control"services"NetBT"parmeters
　　△新建 DWORD值、名为SMBDeviceEnabled的键值、把它设置为0
　　
　　
　　
　　■防止注册表被匿名访问
　　△HKEY_LOCAL_MACHINE"System"CurrentControSet"Control"securepipeservers"winreg
　　△选中名为winreg、单击安全菜单、XP的右键菜单选项选权限、将管理员设置为完全控制、确保不会列出其他用户或组、然后确认
　　
　　
　　
　　■卸载最不安全的组件：
　　△开始→运行→cmd→回车键
　　▲cmd里输入：
　　△regsvr32/u C:"WINDOWS"system32"wshom.ocx
　　△del C:"WINDOWS"system32"wshom.ocx
　　△regsvr32/u C:"WINDOWS"system32"shell32.dll
　　△del C:"WINDOWS"system32"shell32.dll
　　△也可以设置为禁止guests用户组访问
　　
　　
　　■解除FSO上传程序小于200k限制：
　　△在服务里关闭IIS admin service服务
　　△打开 C:"WINDOWS"system32"inetsrv"MetaBase.xml
　　△找到ASPMaxRequestEntityAllowed
　　△将其修改为需要的值、默认为204800、即200K、把它修改为51200000(50M)、然后重启IIS admin service服务
　　
　　
　　■解除IIS下载文件大小限制：
　　△在服务里关闭IIS admin service服务
　　△打开 C:"WINDOWS"system32"inetsrv"MetaBase.xml
　　△找到AspBufferingLimit
　　△将其修改为需要的值、默认为4194304、把它修改为52200000(50M)、然后重启IIS admin service服务
　　
　　
　　■禁用IPC连接
　　△开始→运行→regedit
　　△找到如下组建(HKEY_LOCAL_MACHINE"SYSTEM"CurrentControlSet"Control"Lsa)中的
　　(restrictanonymous)子键
　　△将其值改为1即
　　
　　
　　
　　■清空远程可访问的注册表路径：
　　△开始→运行→gpedit.msc
　　△依次展开“计算机配置→Windows 设置→安全设置→本地策略→安全选项”
　　△在右侧窗口中找到“网络访问：可远程访问的注册表路径”
　　△然后在打开的窗口中、将可远程访问的注册表路径和子路径内容全部设置为空即
　　
　　
　　
　　■关闭不必要的服务
　　△开始→程序→管理工具→服务
　　△Telnet、TCP"IP NetBIOS Helper等等............
　　
　　
　　■解决终端服务许可证过期的办法
　　△如果你服务器上已经开着终端服务、那就在添加删除程序里删除终端服务和终端授权
　　服务
　　△我的电脑--右键属性--远程---远程桌面、打勾、应用
　　△重启服务器、OK了、再也不会提示过期了