windows-server-2003的权限设置方案

1windows2003最完善最完美的权限及安全设置解决方案一、服务器安全设置1.IIS6.0的安装和设置1.1开始菜单—控制面板—添加或删除程序—添加/删除Windows组件应用程序———ASP.NET（可选）|——启用网络COM+访问（必选）|——Internet信息服务(IIS)———Internet信息服务管理器（必选）|——公用文件（必选）|——万维网服务———ActiveServerpages（必选）|——Internet数据连接器（可选）|——WebDAV发布（可选）|——万维网服务（必选）|——在服务器端的包含文件（可选）在”网络连接”里，把不需要的协议和服务都删掉，这里只安装了基本的Internet协议（TCP/IP）和Microsoft网络客户端。在高级tcp/ip设置里--NetBIOS设置禁用tcp/IP上的NetBIOS（S）。在“本地连接”打开Windows2003自带的防火墙，可以屏蔽端口，基本达到一个IPSec的功能,只保留有用的端口,比如远程(3389)和Web(80),Ftp(21),邮件服务器(25,110),https(443),SQL(1433)1.2.IIS(Internet信息服务器管理器)在主目录选项设置以下读允许写不允许脚本源访问不允许目录浏览建议关闭记录访问建议关闭索引资源建议关闭执行权限推荐选择“纯脚本”建议使用W3C扩充日志文件格式，每天记录客户IP地址，用户名，服务器端口，方法，URI字根，HTTP状态，用户代理，而且每天均要审查日志。(最好不要使用缺省的目录，建议更换一个记日志的路径，同时设置日志的访问权限，只允许管理员和system为FullControl)。1.3.在IIS6.0-本地计算机-属性-允许直接编辑配置数据库在IIS中属性-主目录-配置-选项中，在网站“启用父路径”前面打上勾1.4.在IIS中的Web服务扩展中选中ActiveServerPages，点击“允许”1.5.优化IIS6应用程序池21、取消“在空闲此段时间后关闭工作进程（分钟）”2、勾选“回收工作进程（请求数目）”3、取消“快速失败保护”1.6.解决SERVER2003不能上传大附件的问题在“服务”里关闭iisadminservice服务。找到windows\system32\inetsrv\下的metabase.xml文件。找到ASPMaxRequestEntityAllowed把它修改为需要的值（可修改为20M即：20480000）存盘，然后重启iisadminservice服务。1.7.解决SERVER2003无法下载超过4M的附件问题在“服务”里关闭iisadminservice服务。找到windows\system32\inetsrv\下的metabase.xml文件。找到AspBufferingLimit把它修改为需要的值（可修改为20M即：20480000）存盘，然后重启iisadminservice服务。1.8.超时问题解决大附件上传容易超时失败的问题在IIS中调大一些脚本超时时间，操作方法是：在IIS的“站点或虚拟目录”的“主目录”下点击“配置”按钮，设置脚本超时时间为：300秒(注意：不是Session超时时间)解决通过WebMail写信时间较长后，按下发信按钮就会回到系统登录界面的问题适当增加会话时间(Session)为60分钟。在IIS站点或虚拟目录属性的“主目录”下点击“配置--选项”，就可以进行设置了(Windows2003默认为20分钟)2.WEB目录权限设置Everyone:顾名思义，所有的用户，这个计算机上的所有用户都属于这个组。最好在C盘以外(如D,E,F.....)的根目录建立到三级目录,一级目录只给Administrator权限，二级目录给Administrator完全控制权限和Everyone除了完全控制，更改，取得，其它全部打勾的权限和IUSR只有该文件夹的完全拒绝权限，三级目录是每个客户的虚拟主机网站，给Administrator完全控制权限和Everyone除了完全控制，更改，取得，其它全部打勾的权限即可.3.SQL权限设置3.1.一个数据库,一个帐号和密码,比如建立了一个数据库，只给PUBLIC和DB_OWNER权限，SA帐号基本是不使用的，因为SA实在是太危险了.3.2.更改sa密码为你都不知道的超长密码,在任何情况下都不要用sa这个帐户.3.3.Web登录时经常出现[超时，请重试]的问题：如果安装了SQLServer时，一定要启用“服务器网络实用工具”中的“多协议”项。33.4.将有安全问题的SQL扩展存储过程删除.以下命令删除了调用shell，注册表，COM组件的破坏权限，比较全面.一切为了安全!将以下代码全部复制到SQL查询分析器,单击菜单上的--查询--执行，即可usemasterEXECsp_dropextendedproc'xp_cmdshell'EXECsp_dropextendedproc'Sp_OACreate'EXECsp_dropextendedproc'Sp_OADestroy'EXECsp_dropextendedproc'Sp_OAGetErrorInfo'EXECsp_dropextendedproc'Sp_OAGetProperty'EXECsp_dropextendedproc'Sp_OAMethod'EXECsp_dropextendedproc'Sp_OASetProperty'EXECsp_dropextendedproc'Sp_OAStop'EXECsp_dropextendedproc'Xp_regaddmultistring'EXECsp_dropextendedproc'Xp_regdeletekey'EXECsp_dropextendedproc'Xp_regdeletevalue'EXECsp_dropextendedproc'Xp_regenumvalues'EXECsp_dropextendedproc'Xp_regread'EXECsp_dropextendedproc'Xp_regremovemultistring'EXECsp_dropextendedproc'Xp_regwrite'dropproceduresp_makewebtask恢复的命令是EXECsp_addextendedproc存储过程的名称,@dllname='存储过程的dll'例如：恢复存储过程xp_cmdshellEXECsp_addextendedprocxp_cmdshell,@dllname='xplog70.dll'注意，恢复时如果xplog70.dll已删除需要copy一个。二、系统常规安全设置4.系统补丁的更新点击开始菜单—所有程序—WindowsUpdate按照提示进行补丁的安装。5.备份系统用GHOST备份系统。6.安装常用的软件例如：杀毒软件、防火墙、解压缩软件等；安装完毕后,配置杀毒软件,扫描系统漏洞,安装之后用GHOST再次备份系统。7.先关闭不需要的端口，开启防火墙导入IPSEC策略在”网络连接”里，把不需要的协议和服务都删掉，这里只安装了基本的Internet协议（TCP/IP），由于要控制带宽流量服务，额外安装了Qos数据包计划程序。在高级tcp/ip4设置里--NetBIOS设置禁用tcp/IP上的NetBIOS（S）。在高级选项里，使用Internet连接防火墙，这是windows2003自带的防火墙，在2000系统里没有的功能，虽然没什么功能，但可以屏蔽端口，这样已经基本达到了一个IPSec的功能。8.win2003服务器防止海洋木马的安全设置删除以下的注册表主键:WScript.ShellWScript.Shell.1Shell.applicationShell.application.1WSCRIPT.NETWORKWSCRIPT.NETWORK.1regsvr32/uwshom.ocx回车、regsvr32/uwshext.dll回车regsvr32/uC:\WINNT\System32\wshom.ocxdelC:\WINNT\System32\wshom.ocxregsvr32/uC:\WINNT\system32\shell32.dlldelC:\WINNT\system32\shell32.dll再把以上2个文件权限设置为ADMINISTRATOR组完全权限所有这里只提一下FSO的防范，但并不需要在自动开通空间的虚拟商服务器上使用，只适合于手工开通的站点。可以针对需要FSO和不需要FSO的站点设置两个组，对于需要FSO的用户组给予c:winnt\system32\scrrun.dll文件的执行权限，不需要的不给权限。重新启动服务器即可生效。对于这样的设置结合上面的权限设置，你会发现海阳木马已经在这里失去了作用！9.改名不安全组件需要注意的是组件的名称和Clsid都要改，并且要改彻底了。下面以Shell.application为例来介绍方法。打开注册表编辑器【开始→运行→regedit回车】，然后【编辑→查找→填写Shell.application→查找下一个】，用这个方法能找到两个注册表项：“{13709620-C279-11CE-A49E-444553540000}”和“Shell.application”。为了确保万无一失，把这两个注册表项导出来，保存为.reg文件。比如我们想做这样的更改13709620-C279-11CE-A49E-444553540000改名为13709620-C279-11CE-A49E-444553540001Shell.application改名为Shell.application_ajiang那么，就把刚才导出的.reg文件里的内容按上面的对应关系替换掉，然后把修改好的.reg文件导入到注册表中（双击即可），导入了改名后的注册表项之后，别忘记了删除原有的那两个项目。这里需要注意一点，Clsid中只能是十个数字和ABCDEF六个字母。下面是我修改后的代码（两个文件我合到一起了）：WindowsRegistryEditorVersion5.00[HKEY_CLASSES_ROOT\CLSID\{13709620-C279-11CE-A49E-444553540001}]@=ShellAutomationService[HKEY_CLASSES_ROOT\CLSID\{13709620-C279-11CE-A49E-444553540001}\InProcServer32]@=C:\\WINNT\\system32\\shell32.dll5ThreadingModel=Apartment[HKEY_CLASSES_ROOT\CLSID\{13709620-C279-11CE-A49E-444553540001}\ProgID]@=Shell.Application_ajiang.1[HKEY_CLASSES_ROOT\CLSID\{13709620-C279-11CE-A49E-444553540001}\TypeLib]@={50a7e9b0-70ef-11d1-b75a-00a0c90564fe}[HKEY_CLASSES_ROOT\CLSID\{13709620-C279-11CE-A49E-444553540001}\Version]@=1.1[HKEY_CLASSES_ROOT\CLSID\{13709620-C279-11CE-A49E-444553540001}\VersionIndependentProgID]@=Shell.Application_ajiang[HKEY_CLASSES_ROOT\Shell.Application_ajiang]@=ShellAutomationService[HKEY_CLASSES_ROOT\Shell.Application_ajiang\