windows2003系统目前最完善最完美的安全权限方案(一)我做安全也有3年了,遇到大大小小的入侵事件,其实那都是自己服务器基本权限做的不够,很多都在找三方软件,其实在微软服务器里面还有很多的很好的策略,我好多的朋友都是做安全的,他们基本做企业还是做IDC或者是做电子商务,根本没得那么多的安全软件。微笑在这里说句,服务器权限真的很重要,不要小瞧了,下面我发一个PHP木马给大家自己检测下自己的权限到底做好了么。在这里还说一点,安全不是一个人能完善的,还希望大家能多多提出意见,这个是我做的安全设置,也没打那么多的字,做到哪里了copy到了哪里,看的懂的就没问题,不知道的,希望先百度一下,在说怎么样。大家有什么不懂的地方可以到我的论坛去交流,也同时希望大家把自己的技术发上来,共享下。论坛地址是:微笑在这里诚邀各位站长和朋友加我一个友情链接。在这里感谢感谢。我的QQ号码是:512720913加我注明:服务器安全技术转载本文要带上链接哦!我也辛苦打字上来的,理解理解啦!!先是服务器IIS安全设置:(这里是用server2003的系统做的,)服务器安全设置IIS6.0的安装开始菜单—控制面板—添加或删除程序—添加/删除Windows组件应用程序———ASP.NET(可选)|——启用网络COM+访问(必选)|——Internet信息服务(IIS)———Internet信息服务管理器(必选)|——公用文件(必选)|——万维网服务———ActiveServerpages(必选)|——Internet数据连接器(可选)|——WebDAV发布(可选)|——万维网服务(必选)|——在服务器端的包含文件(可选)在”网络连接”里,把不需要的协议和服务都删掉,这里只安装了基本的Internet协议(TCP/IP)和Microsoft网络客户端。在高级tcp/ip设置里--NetBIOS设置禁用tcp/IP上的NetBIOS(S)。在“本地连接”打开Windows2003自带的防火墙,可以屏蔽端口,基本达到一个IPSec的功能,只保留有用的端口,比如远程(3389)和Web(80),Ftp(21),邮件服务器(25,110),https(443),SQL(1433)IIS(Internet信息服务器管理器)在主目录选项设置以下读允许写不允许脚本源访问不允许目录浏览建议关闭记录访问建议关闭索引资源建议关闭执行权限推荐选择“纯脚本”建议使用W3C扩充日志文件格式,每天记录客户IP地址,用户名,服务器端口,方法,URI字根,HTTP状态,用户代理,而且每天均要审查日志。(最好不要使用缺省的目录,建议更换一个记日志的路径,同时设置日志的访问权限,只允许管理员和system为FullControl)。在IIS6.0-本地计算机-属性-允许直接编辑配置数据库在IIS中属性-主目录-配置-选项中。在网站把”启用父路径“前面打上勾在IIS中的Web服务扩展中选中ActiveServerPages,点击“允许”优化IIS6应用程序池1、取消“在空闲此段时间后关闭工作进程(分钟)”2、勾选“回收工作进程(请求数目)”3、取消“快速失败保护”解决SERVER2003不能上传大附件的问题在“服务”里关闭iisadminservice服务。找到windows\system32\inetsrv\下的metabase.xml文件。找到ASPMaxRequestEntityAllowed把它修改为需要的值(可修改为20M即:20480000)存盘,然后重启iisadminservice服务。解决SERVER2003无法下载超过4M的附件问题在“服务”里关闭iisadminservice服务。找到windows\system32\inetsrv\下的metabase.xml文件。找到AspBufferingLimit把它修改为需要的值(可修改为20M即:20480000)存盘,然后重启iisadminservice服务。超时问题解决大附件上传容易超时失败的问题在IIS中调大一些脚本超时时间,操作方法是:在IIS的“站点或虚拟目录”的“主目录”下点击“配置”按钮,设置脚本超时时间为:300秒(注意:不是Session超时时间)解决通过WebMail写信时间较长后,按下发信按钮就会回到系统登录界面的问题适当增加会话时间(Session)为60分钟。在IIS站点或虚拟目录属性的“主目录”下点击“配置--选项”,就可以进行设置了(Windows2003默认为20分钟)修改3389远程连接端口[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\TerminalServer\Wds\rdpwd\Tds\tcp]PortNumber=dword:0000端口号[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\TerminalServer\WinStations\RDP-Tcp]PortNumber=dword:0000端口号设置这两个注册表的权限,添加“IUSR”的完全拒绝禁止显示端口号这里服务器安全狗3.0的版本已经支持了,下载去官网下载吧。本地策略---用户权限分配关闭系统:只有Administrators组、其它全部删除。通过终端服务允许登陆:只加入Administrators,RemoteDesktopUsers组,其他全部删除在安全设置里本地策略-用户权利分配,通过终端服务拒绝登陆加入ASPNETIUSR_IWAM_NETWORKSERVICE(注意不要添加进user组和administrators组添加进去以后就没有办法远程登陆了)在安全设置里本地策略-安全选项网络访问:可匿名访问的共享;网络访问:可匿名访问的命名管道;网络访问:可远程访问的注册表路径;网络访问:可远程访问的注册表路径和子路径;将以上四项全部删除不允许SAM账户的匿名枚举更改为已启用不允许SAM账户和共享的匿名枚举更改为已启用;网络访问:不允许存储网络身份验证的凭据或.NETPassports更改为已启用;网络访问.限制匿名访问命名管道和共享,更改为已启用;将以上四项通通设为“已启用”计算机管理的本地用户和组禁用终端服务(TsInternetUser),SQL服务(SQLDebugger),SUPPORT_388945a0禁用不必要的服务(下面是P处理文件,装了安全防护软件的请关掉,尤其是七夜的那一类保守派人。。。。。。ps:七夜..不要骂我哦。。。。)scconfigAeLookupSvcstart=AUTOscconfigAlerterstart=DISABLEDscconfigALGstart=DISABLEDscconfigAppMgmtstart=DEMANDscconfigaspnet_statestart=DEMANDscconfigAudioSrvstart=DISABLEDscconfigBITSstart=DEMANDscconfigBrowserstart=DEMANDscconfigCiSvcstart=DISABLEDscconfigClipSrvstart=DISABLEDscconfigclr_optimization_v2.0.50727_32start=DEMANDscconfigCOMSysAppstart=DEMANDscconfigCryptSvcstart=AUTOscconfigDcomLaunchstart=AUTOscconfigDfsstart=DEMANDscconfigDhcpstart=AUTOscconfigdmadminstart=DEMANDscconfigdmserverstart=AUTOscconfigDnscachestart=AUTOscconfigERSvcstart=DISABLEDscconfigEventlogstart=AUTOscconfigEventSystemstart=AUTOscconfighelpsvcstart=DISABLEDscconfigHidServstart=AUTOscconfigHTTPFilterstart=DEMANDscconfigIISADMINstart=AUTOscconfigImapiServicestart=DISABLEDscconfigIsmServstart=DISABLEDscconfigkdcstart=DISABLEDscconfiglanmanworkstationstart=DISABLEDscconfigLicenseServicestart=DISABLEDscconfigLmHostsstart=DISABLEDscconfigMessengerstart=DISABLEDscconfigmnmsrvcstart=DISABLEDscconfigMSDTCstart=AUTOscconfigMSIServerstart=DEMANDscconfigMSSEARCHstart=AUTOscconfigMSSQLSERVERstart=AUTOscconfigMSSQLServerADHelperstart=DEMANDscconfigNetDDEstart=DISABLEDscconfigNetDDEdsdmstart=DISABLEDscconfigNetlogonstart=DEMANDscconfigNetmanstart=DEMANDscconfigNlastart=DEMANDscconfigNtFrsstart=DEMANDscconfigNtLmSspstart=DEMANDscconfigNtmsSvcstart=DEMANDscconfigPlugPlaystart=AUTOscconfigPolicyAgentstart=AUTOscconfigProtectedStoragestart=AUTOscconfigRasAutostart=DEMANDscconfigRasManstart=DEMANDscconfigRDSessMgrstart=DEMANDscconfigRemoteAccessstart=DISABLEDscconfigRemoteRegistrystart=DISABLEDscconfigRpcLocatorstart=DEMANDscconfigRpcSsstart=AUTOscconfigRSoPProvstart=DEMANDscconfigsacsvrstart=DEMANDscconfigSamSsstart=AUTOscconfigSCardSvrstart=DEMANDscconfigSchedulestart=AUTOscconfigseclogonstart=AUTOscconfigSENSstart=AUTOscconfigSharedAccessstart=DISABLEDscconfigShellHWDetectionstart=AUTOscconfigSMTPSVCstart=AUTOscconfigSpoolerstart=DISABLEDscconfigSQLSERVERAGENTstart=AUTOscconfigstisvcstart=DISABLEDscconfigswprvstart=DEMANDscconfigSysmonLogstart=AUTOscconfigTapiSrvstart=DEMANDscconfigTermServicestart=AUTOscconfigThemesstart=DISABLEDscconfigTlntSvrstart=DISABLEDscconfigTrkSvrstart=DISABLEDscco