当前位置:  操作系统/服务器>linux
本页文章导读:
    ▪提示我aspnet_wp.exe没有启动的解决方法       关于您遇到的问题,您可以参考以下建议:      1. 您可以先执行一下文章中提到的aspnet_regiis.exe文件来修复一下IIS和ASP.NET之间的关联:            HOWTO:   Repair   IIS   Mapping   Aft.........
    ▪Windows Internet服务器安全配置       Windows Internet服务器安全配置 原理篇 我们将从入侵者入侵的各个环节来作出对应措施 一步步的加固windows系统. 加固windows系统.一共归于几个方面 1.端口限制 2.设置ACL权限 3.关闭服务或组件 4.........
    ▪服务器的权限设置技巧       转载请注明出自落伍im286.com,本贴地址:http://www.im286.com/viewthread.php?tid=1815922 硬盘权限篇 系统服务篇 组件安全设置篇 IIS用户设置篇 服务器安全和性能配置 IP安全策略 本地安全策略  1、.........

[1]提示我aspnet_wp.exe没有启动的解决方法
    来源: 互联网  发布时间: 2013-12-24
关于您遇到的问题,您可以参考以下建议:   
  1. 您可以先执行一下文章中提到的aspnet_regiis.exe文件来修复一下IIS和ASP.NET之间的关联:   
        HOWTO:   Repair   IIS   Mapping   After   You   Remove   and   Reinstall   IIS   (Q306005)   
        http://support.microsoft.com/default.aspx?scid=kb;EN-US;q306005     
  2. 如果您的IIS是在一台主域控制器上,您需要先根据以下文章作一些该动以使ASP.NET可以正常运行:   
        BUG:   ASP.NET   Does   Not   Work   with   the   Default   ASPNET   Account   on   a   Domain   Controller   (Q315158)   
        http://support.microsoft.com/default.aspx?scid=kb;EN-US;q315158       
  3. 您还可以在Event   Viewer中查看一下Eventlog,看是否有更详细的信息帮助您排错.   

  另外,关于ASP.NET应用程序的发布方法,您还可以通过在VS.NET中建一个Web   Setup   Project来生成安装程序,然后在Web   Server的机器上安装.   

  - 微软全球技术中心   VB技术支持   

  本贴子以“现状”提供且没有任何担保,同时也没有授予任何权利。具体事项可参见使用条款(http://support.microsoft.com/directory/worldwide/zh-cn/community/terms_chs.asp)。   

  为了为您创建更好的讨论环境,请参加我们的用户满意度调查(http://support.microsoft.com/directory/worldwide/zh-cn/community/survey.asp?key=(S,49854782))。   

    
[2]Windows Internet服务器安全配置
    来源: 互联网  发布时间: 2013-12-24
Windows Internet服务器安全配置

原理篇

我们将从入侵者入侵的各个环节来作出对应措施
一步步的加固windows系统.
加固windows系统.一共归于几个方面
1.端口限制
2.设置ACL权限
3.关闭服务或组件
4.包过滤
5.审计

我们现在开始从入侵者的第一步开始.对应的开始加固已有的windows系统.

1.扫描
这是入侵者在刚开始要做的第一步.比如搜索有漏洞的服务.
对应措施:端口限制
以下所有规则.都需要选择镜像,否则会导致无法连接
我们需要作的就是打开服务所需要的端口.而将其他的端口一律屏蔽

2.下载信息
这里主要是通过URL SCAN.来过滤一些非法请求
对应措施:过滤相应包
我们通过安全URL SCAN并且设置urlscan.ini中的DenyExtensions字段
来阻止特定结尾的文件的执行


3.上传文件
入侵者通过这步上传WEBSHELL,提权软件,运行cmd指令等等.
对应措施:取消相应服务和功能,设置ACL权限
如果有条件可以不使用FSO的.
通过 regsvr32 /u c:\windows\system32\scrrun.dll来注销掉相关的DLL.
如果需要使用.
那就为每个站点建立一个user用户
对每个站点相应的目录.只给这个用户读,写,执行权限,给administrators全部权限
安装杀毒软件.实时杀除上传上来的恶意代码.
个人推荐MCAFEE或者卡巴斯基
如果使用MCAFEE.对WINDOWS目录所有添加与修改文件的行为进行阻止.

4.WebShell
入侵者上传文件后.需要利用WebShell来执行可执行程序.或者利用WebShell进行更加方便的文件操作.
对应措施:取消相应服务和功能
一般WebShell用到以下组件
WScript.Network
WScript.Network.1
WScript.Shell
WScript.Shell.1
Shell.Application
Shell.Application.1
我们在注册表中将以上键值改名或删除
同时需要注意按照这些键值下的CLSID键的内容
从/HKEY_CLASSES_ROOT/CLSID下面对应的键值删除

5.执行SHELL
入侵者获得shell来执行更多指令
对应措施:设置ACL权限
windows的命令行控制台位于\WINDOWS\SYSTEM32\CMD.EXE
我们将此文件的ACL修改为
某个特定管理员帐户(比如administrator)拥有全部权限.
其他用户.包括system用户,administrators组等等.一律无权限访问此文件.

6.利用已有用户或添加用户
入侵者通过利用修改已有用户或者添加windows正式用户.向获取管理员权限迈进
对应措施:设置ACL权限.修改用户
将除管理员外所有用户的终端访问权限去掉.
限制CMD.EXE的访问权限.
限制SQL SERVER内的XP_CMDSHELL

7.登陆图形终端
入侵者登陆TERMINAL SERVER或者RADMIN等等图形终端,
获取许多图形程序的运行权限.由于WINDOWS系统下绝大部分应用程序都是GUI的.
所以这步是每个入侵WINDOWS的入侵者都希望获得的
对应措施:端口限制
入侵者可能利用3389或者其他的木马之类的获取对于图形界面的访问.
我们在第一步的端口限制中.对所有从内到外的访问一律屏蔽也就是为了防止反弹木马.
所以在端口限制中.由本地访问外部网络的端口越少越好.
如果不是作为MAIL SERVER.可以不用加任何由内向外的端口.
阻断所有的反弹木马.

8.擦除脚印
入侵者在获得了一台机器的完全管理员权限后
就是擦除脚印来隐藏自身.
对应措施:审计
首先我们要确定在windows日志中打开足够的审计项目.
如果审计项目不足.入侵者甚至都无需去删除windows事件.
其次我们可以用自己的cmd.exe以及net.exe来替换系统自带的.
将运行的指令保存下来.了解入侵者的行动.
对于windows日志
我们可以通过将日志发送到远程日志服务器的方式来保证记录的完整性.
evtsys工具(https://engineering.purdue.edu/ECN/Resources/Documents)
提供将windows日志转换成syslog格式并且发送到远程服务器上的功能.
使用此用具.并且在远程服务器上开放syslogd,如果远程服务器是windows系统.
推荐使用kiwi syslog deamon.

我们要达到的目的就是
不让入侵者扫描到主机弱点
即使扫描到了也不能上传文件
即使上传文件了不能操作其他目录的文件
即使操作了其他目录的文件也不能执行shell
即使执行了shell也不能添加用户
即使添加用户了也不能登陆图形终端
即使登陆了图形终端.拥有系统控制权.他的所作所为还是会被记录下来.

额外措施:
我们可以通过增加一些设备和措施来进一步加强系统安全性.
1.代理型防火墙.如ISA2004
代理型防火墙可以对进出的包进行内容过滤.
设置对HTTP REQUEST内的request string或者form内容进行过滤
将SELECT.DROP.DELETE.INSERT等都过滤掉.
因为这些关键词在客户提交的表单或者内容中是不可能出现的.
过滤了以后可以说从根本杜绝了SQL 注入
2.用SNORT建立IDS
用另一台服务器建立个SNORT.
对于所有进出服务器的包都进行分析和记录
特别是FTP上传的指令以及HTTP对ASP文件的请求
可以特别关注一下.

本文提到的部分软件在提供下载的RAR中包含
包括COM命令行执行记录
URLSCAN 2.5以及配置好的配置文件
IPSEC导出的端口规则
evtsys
一些注册表加固的注册表项.

实践篇

下面我用的例子.将是一台标准的虚拟主机.
系统:windows2003
服务:[IIS] [SERV-U] [IMAIL] [SQL SERVER 2000] [PHP] [MYSQL]
描述:为了演示,绑定了最多的服务.大家可以根据实际情况做筛减

1.WINDOWS本地安全策略 端口限制
A.对于我们的例子来说.需要开通以下端口
外->本地 80
外->本地 20
外->本地 21
外->本地 PASV所用到的一些端口
外->本地 25
外->本地 110
外->本地 3389
然后按照具体情况.打开SQL SERVER和MYSQL的端口
外->本地 1433
外->本地 3306
B.接着是开放从内部往外需要开放的端口
按照实际情况,如果无需邮件服务,则不要打开以下两条规则
本地->外 53 TCP,UDP
本地->外 25
按照具体情况.如果无需在服务器上访问网页.尽量不要开以下端口
本地->外 80
C.除了明确允许的一律阻止.这个是安全规则的关键.
外->本地 所有协议 阻止

2.用户帐号
a.将administrator改名,例子中改为root
b.取消所有除管理员root外所有用户属性中的 
远程控制->启用远程控制 以及
终端服务配置文件->允许登陆到终端服务器
c.将guest改名为administrator并且修改密码
d.除了管理员root,IUSER以及IWAM以及ASPNET用户外.禁用其他一切用户.包括SQL DEBUG以及TERMINAL USER等等

3.目录权限
将所有盘符的权限,全部改为只有
administrators组  全部权限
system  全部权限
将C盘的所有子目录和子文件继承C盘的administrator(组或用户)和SYSTEM所有权限的两个权限
然后做如下修改
C:\Program Files\Common Files 开放Everyone 默认的读取及运行 列出文件目录 读取三个权限
C:\WINDOWS\ 开放Everyone 默认的读取及运行 列出文件目录 读取三个权限
C:\WINDOWS\Temp 开放Everyone 修改,读取及运行,列出文件目录,读取,写入权限
现在WebShell就无法在系统目录内写入文件了.
当然也可以使用更严格的权限.
在WINDOWS下分别目录设置权限.
可是比较复杂.效果也并不明显.

4.IIS
在IIS 6下.应用程序扩展内的文件类型对应ISAPI的类型已经去掉了IDQ,PRINT等等危险的脚本类型,
在IIS 5下我们需要把除了ASP以及ASA以外所有类型删除.
安装URLSCAN
在[DenyExtensions]中
一般加入以下内容
.cer
.cdx
.mdb
.bat
.cmd
.com
.htw   
.ida   
.idq   
.htr   
.idc   
.shtm 
.shtml 
.stm   
.printer 
这样入侵者就无法下载.mdb数据库.这种方法比外面一些在文件头加入特殊字符的方法更加彻底.
因为即便文件头加入特殊字符.还是可以通过编码构造出来的

5.WEB目录权限
作为虚拟主机.会有许多独立客户
比较保险的做法就是为每个客户,建立一个windows用户
然后在IIS的响应的站点项内
把IIS执行的匿名用户.绑定成这个用户
并且把他指向的目录
权限变更为
administrators  全部权限
system  全部权限
单独建立的用户(或者IUSER)  选择高级->打开除 完全控制,遍历文件夹/运行程序,取得所有权 3个外的其他权限.

如果服务器上站点不多.并且有论坛
我们可以把每个论坛的上传目录
去掉此用户的执行权限.
只有读写权限
这样入侵者即便绕过论坛文件类型检测上传了webshell
也是无法运行的.

6.MS SQL SERVER2000
使用系统帐户登陆查询分析器
运行以下脚本
use master 
exec sp_dropextendedproc 'xp_cmdshell' 
exec sp_dropextendedproc 'xp_dirtree'
exec sp_dropextendedproc 'xp_enumgroups'
exec sp_dropextendedproc 'xp_fixeddrives'
exec sp_dropextendedproc 'xp_loginconfig'
exec sp_dropextendedproc 'xp_enumerrorlogs'
exec sp_dropextendedproc 'xp_getfiledetails'
exec sp_dropextendedproc 'Sp_OACreate' 
exec sp_dropextendedproc 'Sp_OADestroy' 
exec sp_dropextendedproc 'Sp_OAGetErrorInfo' 
exec sp_dropextendedproc 'Sp_OAGetProperty' 
exec sp_dropextendedproc 'Sp_OAMethod' 
exec sp_dropextendedproc 'Sp_OASetProperty' 
exec sp_dropextendedproc 'Sp_OAStop' 
exec sp_dropextendedproc 'Xp_regaddmultistring' 
exec sp_dropextendedproc 'Xp_regdeletekey' 
exec sp_dropextendedproc 'Xp_regdeletevalue' 
exec sp_dropextendedproc 'Xp_regenumvalues' 
exec sp_dropextendedproc 'Xp_regread' 
exec sp_dropextendedproc 'Xp_regremovemultistring' 
exec sp_dropextendedproc 'Xp_regwrite' 
drop procedure sp_makewebtask
go
删除所有危险的扩展.

7.修改CMD.EXE以及NET.EXE权限
将两个文件的权限.修改到特定管理员才能访问,比如本例中.我们如下修改
cmd.exe   root用户   所有权限
net.exe   root用户   所有权现
这样就能防止非法访问.
还可以使用例子中提供的comlog程序
将com.exe改名_com.exe,然后替换com文件.这样可以记录所有执行的命令行指令

8.备份
使用ntbackup软件.备份系统状态.
使用reg.exe 备份系统关键数据
如reg export HKLM\SOFTWARE\ODBC e:\backup\system\odbc.reg /y
来备份系统的ODBC

9.杀毒
这里介绍MCAFEE 8i 中文企业版
因为这个版本对于国内的许多恶意代码和木马都能够及时的更新.
比如已经能够检测到海阳顶端2006
而且能够杀除IMAIL等SMTP软件使用的队列中MIME编码的病毒文件
而很多人喜欢安装诺顿企业版.而诺顿企业版,对于WEBSHELL.基本都是没有反应的.
而且无法对于MIME编码的文件进行杀毒.
在MCAFEE中.
我们还能够加入规则.阻止在windows目录建立和修改EXE.DLL文件等
我们在软件中加入对WEB目录的杀毒计划.
每天执行一次
并且打开实时监控.

10.关闭无用的服务
我们一般关闭如下服务
Computer Browser
Help and Support
Messenger
Print Spooler
Remote Registry
TCP/IP NetBIOS Helper
如果服务器不用作域控,我们也可以禁用
Workstation

11.取消危险组件
如果服务器不需要FSO
regsvr32 /u c:\windows\system32\scrrun.dll
注销组件
使用regedit
将/HKEY_CLASSES_ROOT下的
WScript.Network
WScript.Network.1
WScript.Shell
WScript.Shell.1
Shell.Application
Shell.Application.1
键值改名或删除
将这些键值下CLSID中包含的字串
如{72C24DD5-D70A-438B-8A42-98424B88AFB8}
到/HKEY_CLASSES_ROOT/CLSID下找到以这些字串命名的键值
全部删除

12.审计
本地安全策略->本地策略->审核策略
打开以下内容
审核策略更改    成功,失败
审核系统事件    成功,失败
审核帐户登陆事件    成功,失败
审核帐户管理    成功,失败 

    
[3]服务器的权限设置技巧
    来源: 互联网  发布时间: 2013-12-24
转载请注明出自落伍im286.com,本贴地址:http://www.im286.com/viewthread.php?tid=1815922
硬盘权限篇 系统服务篇 组件安全设置篇 IIS用户设置篇 服务器安全和性能配置 IP安全策略 本地安全策略 

1、服务器安全设置之--硬盘权限篇 

这里着重谈需要的权限,也就是最终文件夹或硬盘需要的权限,可以防御各种木马入侵,提权攻击,跨站攻击等。本实例经过多次试验,安全性能很好,服务器基本没有被木马威胁的担忧了。 

硬盘或文件夹: C:\ D:\ E:\ F:\ 类推 
主要权限部分: 其他权限部分: 
Administrators 完全控制 无 
如果安装了其他运行环境,比如PHP等,则根据PHP的环境功能要求来设置硬盘权限,一般是安装目录加上users读取运行权限就足够了,比如c:\php的话,就在根目录权限继承的情况下加上users读取运行权限,需要写入数据的比如tmp文件夹,则把user的写删权限加上,运行权限不要,然后把虚拟主机用户的读权限拒绝即可。如果是mysql的话,可以把mysql安装目录只要同硬盘根目录权限就可以了。如果是winwebmail,则最好建立独立的应用程序池和独立IIS用户,然后整个安装目录有user用户的读/运行/写/权限,IIS用户则相同,这个IIS用户就只用在winwebmail的WEB访问中,其他IIS站点切勿使用,安装了winwebmail的服务器硬盘权限设置后面举例 
该文件夹,子文件夹及文件 
<不是继承的> 
CREATOR OWNER 完全控制 
只有子文件夹及文件 
<不是继承的> 
SYSTEM 完全控制 
该文件夹,子文件夹及文件 
<不是继承的> 


硬盘或文件夹: C:\Inetpub\ 
主要权限部分: 其他权限部分: 
Administrators 完全控制 无 
该文件夹,子文件夹及文件 
<继承于c:\> 
CREATOR OWNER 完全控制 
只有子文件夹及文件 
<继承于c:\> 
SYSTEM 完全控制 
该文件夹,子文件夹及文件 
<继承于c:\> 

硬盘或文件夹: C:\Inetpub\AdminScripts 
主要权限部分: 其他权限部分: 
Administrators 完全控制 无 
该文件夹,子文件夹及文件 
<不是继承的> 
SYSTEM 完全控制 
该文件夹,子文件夹及文件 
<不是继承的> 

硬盘或文件夹: C:\Inetpub\wwwroot 
主要权限部分: 其他权限部分: 
Administrators 完全控制 IIS_WPG 读取运行/列出文件夹目录/读取 
该文件夹,子文件夹及文件 该文件夹,子文件夹及文件 
<不是继承的> <不是继承的> 
SYSTEM 完全控制 Users 读取运行/列出文件夹目录/读取 
该文件夹,子文件夹及文件 该文件夹,子文件夹及文件 
<不是继承的> <不是继承的> 
这里可以把虚拟主机用户组加上 
同Internet 来宾帐户一样的权限 
拒绝权限 Internet 来宾帐户 创建文件/写入数据/:拒绝 
创建文件夹/附加数据/:拒绝 
写入属性/:拒绝 
写入扩展属性/:拒绝 
删除子文件夹及文件/:拒绝 
删除/:拒绝 
该文件夹,子文件夹及文件 
<不是继承的> 

硬盘或文件夹: C:\Inetpub\wwwroot\aspnet_client 
主要权限部分: 其他权限部分: 
Administrators 完全控制 Users 读取 
该文件夹,子文件夹及文件 该文件夹,子文件夹及文件 
<不是继承的> <不是继承的> 
SYSTEM 完全控制 
该文件夹,子文件夹及文件 
<不是继承的> 

硬盘或文件夹: C:\Documents and Settings 
主要权限部分: 其他权限部分: 
Administrators 完全控制 无 
该文件夹,子文件夹及文件 
<不是继承的> 
SYSTEM 完全控制 
该文件夹,子文件夹及文件 
<不是继承的> 

硬盘或文件夹: C:\Documents and Settings\All Users 
主要权限部分: 其他权限部分: 
Administrators 完全控制 Users 读取和运行 
该文件夹,子文件夹及文件 该文件夹,子文件夹及文件 
<不是继承的> <不是继承的> 
SYSTEM 完全控制 USERS组的权限仅仅限制于读取和运行, 
绝对不能加上写入权限 
该文件夹,子文件夹及文件 
<不是继承的> 

硬盘或文件夹: C:\Documents and Settings\All Users\「开始」菜单 
主要权限部分: 其他权限部分: 
Administrators 完全控制 无 
该文件夹,子文件夹及文件 
<不是继承的> 
SYSTEM 完全控制 
该文件夹,子文件夹及文件 
<不是继承的> 

硬盘或文件夹: C:\Documents and Settings\All Users\Application Data 
主要权限部分: 其他权限部分: 
Administrators 完全控制 Users 读取和运行 
该文件夹,子文件夹及文件 该文件夹,子文件夹及文件 
<不是继承的> <不是继承的> 
CREATOR OWNER 完全控制 Users 写入 
只有子文件夹及文件 该文件夹,子文件夹 
<不是继承的> <不是继承的> 
SYSTEM 完全控制 两个并列权限同用户组需要分开列权限 
该文件夹,子文件夹及文件 
<不是继承的> 

硬盘或文件夹: C:\Documents and Settings\All Users\Application Data\Microsoft 
主要权限部分: 其他权限部分: 
Administrators 完全控制 Users 读取和运行 
该文件夹,子文件夹及文件 该文件夹,子文件夹及文件 
<不是继承的> <不是继承的> 
SYSTEM 完全控制 此文件夹包含 Microsoft 应用程序状态数据 
该文件夹,子文件夹及文件 
<不是继承的> 

硬盘或文件夹: C:\Documents and Settings\All Users\Application Data\Microsoft\Crypto\RSA\MachineKeys 
主要权限部分: 其他权限部分: 
Administrators 完全控制 Everyone 列出文件夹、读取属性、读取扩展属性、创建文件、创建文件夹、写入属性、写入扩展属性、读取权限 

只有该文件夹 Everyone这里只有读写权限,不能加运行和删除权限,仅限该文件夹 只有该文件夹 
<不是继承的> <不是继承的> 

硬盘或文件夹: C:\Documents and Settings\All Users\Application Data\Microsoft\Crypto\DSS\MachineKeys 
主要权限部分: 其他权限部分: 
Administrators 完全控制 Everyone 列出文件夹、读取属性、读取扩展属性、创建文件、创建文件夹、写入属性、写入扩展属性、读取权限 

只有该文件夹 Everyone这里只有读写权限,不能加运行和删除权限,仅限该文件夹 只有该文件夹 
<不是继承的> <不是继承的> 

硬盘或文件夹: C:\Documents and Settings\All Users\Application Data\Microsoft\HTML Help 
主要权限部分: 其他权限部分: 
Administrators 完全控制 Users 读取和运行 
该文件夹,子文件夹及文件 该文件夹,子文件夹及文件 
<不是继承的> <不是继承的> 
SYSTEM 完全控制 
该文件夹,子文件夹及文件 
<不是继承的> 

硬盘或文件夹: C:\Documents and Settings\All Users\Application Data\Microsoft\Network\Connections\Cm 
主要权限部分: 其他权限部分: 
Administrators 完全控制 Everyone 读取和运行 
该文件夹,子文件夹及文件 该文件夹,子文件夹及文件 
<不是继承的> <不是继承的> 
SYSTEM 完全控制 Everyone这里只有读和运行权限 
该文件夹,子文件夹及文件 
<不是继承的> 

硬盘或文件夹: C:\Documents and Settings\All Users\Application Data\Microsoft\Network\Downloader 
主要权限部分: 其他权限部分: 
Administrators 完全控制 无 
该文件夹,子文件夹及文件 
<不是继承的> 
SYSTEM 完全控制 
该文件夹,子文件夹及文件 
<不是继承的> 

硬盘或文件夹: C:\Documents and Settings\All Users\Application Data\Microsoft\Media Index 
主要权限部分: 其他权限部分: 
Administrators 完全控制 Users 读取和运行 
该文件夹,子文件夹及文件 该文件夹,子文件夹及文件 
<不是继承的> <继承于上一级文件夹> 
SYSTEM 完全控制 Users 创建文件/写入数据 
创建文件夹/附加数据 
写入属性 
写入扩展属性 
读取权限 
该文件夹,子文件夹及文件 只有该文件夹 
<不是继承的> <不是继承的> 
Users 创建文件/写入数据 
创建文件夹/附加数据 
写入属性 
写入扩展属性 
只有该子文件夹和文件 
<不是继承的> 

硬盘或文件夹: C:\Documents and Settings\All Users\DRM 
主要权限部分: 其他权限部分: 
这里需要把GUEST用户组和IIS访问用户组全部禁止 
Everyone的权限比较特殊,默认安装后已经带了 
主要是要把IIS访问的用户组加上所有权限都禁止 Users 读取和运行 
该文件夹,子文件夹及文件 
<不是继承的> 
Guests 拒绝所有 
该文件夹,子文件夹及文件 
<不是继承的> 
Guest 拒绝所有 
该文件夹,子文件夹及文件 
<不是继承的> 
IUSR_XXX 
或某个虚拟主机用户组 拒绝所有 
该文件夹,子文件夹及文件 
<不是继承的> 

硬盘或文件夹: C:\Documents and Settings\All Users\Documents (共享文档) 
主要权限部分: 其他权限部分: 
Administrators 完全控制 无 
该文件夹,子文件夹及文件 
<不是继承的> 
CREATOR OWNER 完全控制 
只有子文件夹及文件 
<不是继承的> 
SYSTEM 完全控制 
该文件夹,子文件夹及文件 
<不是继承的> 

硬盘或文件夹: C:\Program Files 
主要权限部分: 其他权限部分: 
Administrators 完全控制 Users 读取和运行 
该文件夹,子文件夹及文件 该文件夹,子文件夹及文件 
<不是继承的> <不是继承的> 
CREATOR OWNER 完全控制 
只有子文件夹及文件 
<不是继承的> 
SYSTEM 完全控制 
该文件夹,子文件夹及文件 
<不是继承的> 

硬盘或文件夹: C:\Program Files\Common Files\Microsoft Shared\web server extensions 
主要权限部分: 其他权限部分: 
Administrators 完全控制 无 
该文件夹,子文件夹及文件 
<不是继承的> 
CREATOR OWNER 完全控制 
只有子文件夹及文件 
<不是继承的> 
SYSTEM 完全控制 
该文件夹,子文件夹及文件 
<不是继承的> 

硬盘或文件夹: C:\Program Files\Microsoft SQL Server\MSSQL (程序部分默认装在C:盘) 
主要权限部分: 其他权限部分: 
Administrators 完全控制 无 
该文件夹,子文件夹及文件 
<不是继承的> 

硬盘或文件夹: E:\Program Files\Microsoft SQL Server (数据库部分装在E:盘的情况) 
主要权限部分: 其他权限部分: 
Administrators 完全控制 无 
该文件夹,子文件夹及文件 
<不是继承的> 
CREATOR OWNER 完全控制 
只有子文件夹及文件 
<不是继承的> 
SYSTEM 完全控制 
该文件夹,子文件夹及文件 
<不是继承的> 

硬盘或文件夹: E:\Program Files\Microsoft SQL Server\MSSQL (数据库部分装在E:盘的情况) 
主要权限部分: 其他权限部分: 
Administrators 完全控制 无 
该文件夹,子文件夹及文件 
<不是继承的> 

硬盘或文件夹: C:\Program Files\Internet Explorer\iexplore.exe 
主要权限部分: 其他权限部分: 
Administrators 完全控制 无 
该文件夹,子文件夹及文件 
<不是继承的> 

硬盘或文件夹: C:\Program Files\Outlook Express 
主要权限部分: 其他权限部分: 
Administrators 完全控制 无 
该文件夹,子文件夹及文件 
<不是继承的> 
CREATOR OWNER 完全控制 
只有子文件夹及文件 
<不是继承的> 
SYSTEM 完全控制 
该文件夹,子文件夹及文件 
<不是继承的> 

硬盘或文件夹: C:\Program Files\PowerEasy5 (如果装了动易组件的话) 
主要权限部分: 其他权限部分: 
Administrators 完全控制 无 
该文件夹,子文件夹及文件 
<不是继承的> 
CREATOR OWNER 完全控制 
只有子文件夹及文件 
<不是继承的> 
SYSTEM 完全控制 
该文件夹,子文件夹及文件 
<不是继承的> 

硬盘或文件夹: C:\Program Files\Radmin (如果装了Radmin远程控制的话) 
主要权限部分: 其他权限部分: 
Administrators 完全控制 无 
对应的c:\windows\system32里面有两个文件 
r_server.exe和AdmDll.dll 
要把Users读取运行权限去掉 
默认权限只要administrators和system全部权限 
该文件夹,子文件夹及文件 
<不是继承的> 
CREATOR OWNER 完全控制 
只有子文件夹及文件 
<不是继承的> 
SYSTEM 完全控制 
该文件夹,子文件夹及文件 
<不是继承的> 

硬盘或文件夹: C:\Program Files\Serv-U (如果装了Serv-U服务器的话) 
主要权限部分: 其他权限部分: 
Administrators 完全控制 无 
这里常是提权入侵的一个比较大的漏洞点 
一定要按这个方法设置 
目录名字根据Serv-U版本也可能是 
C:\Program Files\RhinoSoft.com\Serv-U 

该文件夹,子文件夹及文件 
<不是继承的> 
CREATOR OWNER 完全控制 
只有子文件夹及文件 
<不是继承的> 
SYSTEM 完全控制 
该文件夹,子文件夹及文件 
<不是继承的> 

硬盘或文件夹: C:\Program Files\Windows Media Player 
主要权限部分: 其他权限部分: 
Administrators 完全控制 无 

该文件夹,子文件夹及文件 
<不是继承的> 
CREATOR OWNER 完全控制 
只有子文件夹及文件 
<不是继承的> 
SYSTEM 完全控制 
该文件夹,子文件夹及文件 
<不是继承的> 

硬盘或文件夹: C:\Program Files\Windows NT\Accessories 
主要权限部分: 其他权限部分: 
Administrators 完全控制 无 

该文件夹,子文件夹及文件 
<不是继承的> 
CREATOR OWNER 完全控制 
只有子文件夹及文件 
<不是继承的> 
SYSTEM 完全控制 
该文件夹,子文件夹及文件 
<不是继承的> 

硬盘或文件夹: C:\Program Files\WindowsUpdate 
主要权限部分: 其他权限部分: 
Administrators 完全控制 无 

该文件夹,子文件夹及文件 
<不是继承的> 
CREATOR OWNER 完全控制 
只有子文件夹及文件 
<不是继承的> 
SYSTEM 完全控制 
该文件夹,子文件夹及文件 
<不是继承的> 

硬盘或文件夹: C:\WINDOWS 
主要权限部分: 其他权限部分: 
Administrators 完全控制 Users 读取和运行 
该文件夹,子文件夹及文件 该文件夹,子文件夹及文件 
<不是继承的> <不是继承的> 
CREATOR OWNER 完全控制 
只有子文件夹及文件 
<不是继承的> 
SYSTEM 完全控制 
该文件夹,子文件夹及文件 
<不是继承的> 

硬盘或文件夹: C:\WINDOWS\system32 
主要权限部分: 其他权限部分: 
Administrators 完全控制 Users 读取和运行 
该文件夹,子文件夹及文件 该文件夹,子文件夹及文件 
<不是继承的> <不是继承的> 
CREATOR OWNER 完全控制 IUSR_XXX 
或某个虚拟主机用户组 列出文件夹/读取数据 :拒绝 
读取权限 :拒绝 
只有子文件夹及文件 只有该文件夹 
<不是继承的> <不是继承的> 
SYSTEM 完全控制 虚拟主机用户访问组拒绝读取,有助于保护系统数据 
该文件夹,子文件夹及文件 
<不是继承的> 

硬盘或文件夹: C:\WINDOWS\system32\config 
主要权限部分: 其他权限部分: 
Administrators 完全控制 Users 读取和运行 
该文件夹,子文件夹及文件 该文件夹,子文件夹及文件 
<不是继承的> <不是继承的> 
CREATOR OWNER 完全控制 IUSR_XXX 
或某个虚拟主机用户组 列出文件夹/读取数据 :拒绝 
读取权限 :拒绝 
只有子文件夹及文件 只有该文件夹 
<不是继承的> <不是继承的> 
SYSTEM 完全控制 虚拟主机用户访问组拒绝读取,有助于保护系统数据 
该文件夹,子文件夹及文件 
<不是继承的> 

硬盘或文件夹: C:\WINDOWS\system32\inetsrv\ 
主要权限部分: 其他权限部分: 
Administrators 完全控制 Users 读取和运行 
该文件夹,子文件夹及文件 该文件夹,子文件夹及文件 
<不是继承的> <不是继承的> 
CREATOR OWNER 完全控制 IUSR_XXX 
或某个虚拟主机用户组 读取 :拒绝 
只有子文件夹及文件 只有该文件夹 
<不是继承的> <不是继承的> 
SYSTEM 完全控制 虚拟主机用户访问组拒绝读取,有助于保护系统数据 
该文件夹,子文件夹及文件 
<不是继承的> 

硬盘或文件夹: C:\WINDOWS\system32\inetsrv\ASP Compiled Templates 
主要权限部分: 其他权限部分: 
Administrators 完全控制 IIS_WPG 完全控制 
该文件夹,子文件夹及文件 该文件夹,子文件夹及文件 
<不是继承的> <不是继承的> 
IUSR_XXX 
或某个虚拟主机用户组 读取 :拒绝 
该文件夹,子文件夹及文件 
<不是继承的> 
虚拟主机用户访问组拒绝读取,有助于保护系统数据 

硬盘或文件夹: C:\WINDOWS\system32\inetsrv\iisadmpwd 
主要权限部分: 其他权限部分: 
Administrators 完全控制 无 
该文件夹,子文件夹及文件 
<不是继承的> 
CREATOR OWNER 完全控制 
只有子文件夹及文件 
<不是继承的> 
SYSTEM 完全控制 
该文件夹,子文件夹及文件 
<不是继承的> 

硬盘或文件夹: C:\WINDOWS\system32\inetsrv\MetaBack 
主要权限部分: 其他权限部分: 
Administrators 完全控制 Users 读取和运行 
该文件夹,子文件夹及文件 该文件夹,子文件夹及文件 
<不是继承的> <不是继承的> 
CREATOR OWNER 完全控制 IUSR_XXX 
或某个虚拟主机用户组 读取 :拒绝 
只有子文件夹及文件 只有该文件夹 
<不是继承的> <不是继承的> 
SYSTEM 完全控制 虚拟主机用户访问组拒绝读取,有助于保护系统数据 
该文件夹,子文件夹及文件 
<不是继承的> 

Winwebmail 电子邮局安装后权限举例:目录E:\ 
主要权限部分: 其他权限部分: 
Administrators 完全控制 IUSR_XXXXXX 
这个用户是WINWEBMAIL访问WEB站点专用帐户 读取和运行 
该文件夹,子文件夹及文件 该文件夹,子文件夹及文件 
<不是继承的> <不是继承的> 
CREATOR OWNER 完全控制 
只有子文件夹及文件 
<不是继承的> 
SYSTEM 完全控制 
该文件夹,子文件夹及文件 
<不是继承的> 

Winwebmail 电子邮局安装后权限举例:目录E:\WinWebMail 
主要权限部分: 其他权限部分: 
Administrators 完全控制 IUSR_XXXXXX 
WINWEBMAIL访问WEB站点专用帐户 读取和运行 
该文件夹,子文件夹及文件 该文件夹,子文件夹及文件 
<继承于E:\> <继承于E:\> 
CREATOR OWNER 完全控制 Users 修改/读取运行/列出文件目录/读取/写入 
只有子文件夹及文件 该文件夹,子文件夹及文件 
<继承于E:\> <不是继承的> 
SYSTEM 完全控制 IUSR_XXXXXX 
WINWEBMAIL访问WEB站点专用帐户 修改/读取运行/列出文件目录/读取/写入 
该文件夹,子文件夹及文件 该文件夹,子文件夹及文件 
<继承于E:\> <不是继承的> 
IUSR_XXXXXX和IWAM_XXXXXX 
是winwebmail专用的IIS用户和应用程序池用户 
单独使用,安全性能高 IWAM_XXXXXX 
WINWEBMAIL应用程序池专用帐户 修改/读取运行/列出文件目录/读取/写入 
该文件夹,子文件夹及文件 
<不是继承的> 

如果有问题请联系QQ: 4615825 



-------------------------------------------------------------------------------- 


2、服务器安全设置之--系统服务篇(设置完毕需要重新启动) 

*除非特殊情况非开不可,下列系统服务要停止并禁用: 

Alerter 
服务名称: Alerter 
显示名称: Alerter 
服务描述: 通知选定的用户和计算机管理警报。如果服务停止,使用管理警报的程序将不会收到它们。如果此服务被禁用,任何直接依赖它的服务都将不能启动。 
可执行文件路径: E:\WINDOWS\system32\svchost.exe -k LocalService 
其他补充: 
Application Layer Gateway Service 
服务名称: ALG 
显示名称: Application Layer Gateway Service 
服务描述: 为应用程序级协议插件提供支持并启用网络/协议连接。如果此服务被禁用,任何依赖它的服务将无法启动。 
可执行文件路径: E:\WINDOWS\System32\alg.exe 
其他补充: 
Background Intelligent Transfer Service 
服务名称: BITS 
显示名称: Background Intelligent Transfer Service 
服务描述: 服务描述:利用空闲的网络带宽在后台传输文件。如果服务被停用,例如 Windows Update 和 MSN Explorer 的功能将无法自动下载程序和其他信息。如果此服务被禁用,任何依赖它的服务如果没有容错技术以直接通过 IE 传输文件,一旦 BITS 被禁用,就可能无法传输文件。 
可执行文件路径: E:\WINDOWS\system32\svchost.exe -k netsvcs 
其他补充: 
Computer Browser 
服务名称: 服务名称:Browser 
显示名称: 显示名称:Computer Browser 
服务描述: 服务描述:维护网络上计算机的更新列表,并将列表提供给计算机指定浏览。如果服务停止,列表不会被更新或维护。如果服务被禁用,任何直接依赖于此服务的服务将无法启动。 
可执行文件路径: 可执行文件路径: E:\WINDOWS\system32\svchost.exe -k netsvcs 
其他补充: 
Distributed File System 
服务名称: Dfs 
显示名称: Distributed File System 
服务描述: 将分散的文件共享合并成一个逻辑名称空间并在局域网或广域网上管理这些逻辑卷。如果这个服务被停止,用户则无法访问文件共享。如果这个服务被禁用,任何依赖它的服务将无法启动。 
可执行文件路径: E:\WINDOWS\system32\Dfssvc.exe 
其他补充: 
Help and Support 
服务名称: helpsvc 
显示名称: Help and Support 
服务描述: 启用在此计算机上运行帮助和支持中心。如果停止服务,帮助和支持中心将不可用。如果禁用服务,任何直接依赖于此服务的服务将无法启动。 
可执行文件路径: E:\WINDOWS\System32\svchost.exe -k netsvcs 
其他补充: 
Messenger 
服务名称: Messenger 
显示名称: Messenger 
服务描述: 传输客户端和服务器之间的 NET SEND 和 警报器服务消息。此服务与 Windows Messenger 无关。如果服务停止,警报器消息不会被传输。如果服务被禁用,任何直接依赖于此服务的服务将无法启动。 
可执行文件路径: E:\WINDOWS\system32\svchost.exe -k netsvcs 
其他补充: 
NetMeeting Remote Desktop Sharing 
服务名称: mnmsrvc 
显示名称: NetMeeting Remote Desktop Sharing 
服务描述: 允许经过授权的用户用 NetMeeting 在公司 intranet 上远程访问这台计算机。如果服务被停止,远程桌面共享将不可用。如果服务被禁用,依赖这个服务的任何服务都会无法启动。 
可执行文件路径: E:\WINDOWS\system32\mnmsrvc.exe 
其他补充: 
Print Spooler 
服务名称: Spooler 
显示名称: Print Spooler 
服务描述: 管理所有本地和网络打印队列及控制所有打印工作。如果此服务被停用,本地计算机上的打印将不可用。如果此服务被禁用,任何依赖于它的服务将无法启用。 
可执行文件路径: E:\WINDOWS\system32\spoolsv.exe 
其他补充: 
Remote Registry 
服务名称: RemoteRegistry 
显示名称: Remote Registry 
服务描述: 使远程用户能修改此计算机上的注册表设置。如果此服务被终止,只有此计算机上的用户才能修改注册表。如果此服务被禁用,任何依赖它的服务将无法启动。 
可执行文件路径: E:\WINDOWS\system32\svchost.exe -k regsvc 
其他补充: 
Task Scheduler 
服务名称: Schedule 
显示名称: Task Scheduler 
服务描述: 使用户能在此计算机上配置和计划自动任务。如果此服务被终止,这些任务将无法在计划时间里运行。如果此服务被禁用,任何依赖它的服务将无法启动。 
可执行文件路径: E:\WINDOWS\System32\svchost.exe -k netsvcs 
其他补充: 
TCP/IP NetBIOS Helper 
服务名称: LmHosts 
显示名称: TCP/IP NetBIOS Helper 
服务描述: 提供 TCP/IP (NetBT) 服务上的 NetBIOS 和网络上客户端的 NetBIOS 名称解析的支持,从而使用户能够共享文件、打印和登录到网络。如果此服务被停用,这些功能可能不可用。如果此服务被禁用,任何依赖它的服务将无法启动。 
可执行文件路径: E:\WINDOWS\system32\svchost.exe -k LocalService 
其他补充: 
Telnet 
服务名称: TlntSvr 
显示名称: Telnet 
服务描述: 允许远程用户登录到此计算机并运行程序,并支持多种 TCP/IP Telnet 客户端,包括基于 UNIX 和 Windows 的计算机。如果此服务停止,远程用户就不能访问程序,任何直接依赖于它的服务将会启动失败。 
可执行文件路径: E:\WINDOWS\system32\tlntsvr.exe 
其他补充: 
Workstation 
服务名称: lanmanworkstation 
显示名称: Workstation 
服务描述: 创建和维护到远程服务的客户端网络连接。如果服务停止,这些连接将不可用。如果服务被禁用,任何直接依赖于此服务的服务将无法启动。 
可执行文件路径: E:\WINDOWS\system32\svchost.exe -k netsvcs 
其他补充: 

以上是windows2003server标准服务当中需要停止的服务,作为IIS网络服务器,以上服务务必要停 

    
最新技术文章:
▪linux系统中的列出敏感用户的脚本代码
▪a10 config backup for aXAPI
▪一键备份gitolite服务器的Shell脚本
▪nagios 分发文件实现代码
▪阿里云云服务器Linux系统更新yum源Shell脚本
▪一个监控LINUX目录和文件变化的Shell脚本分享
▪Linux下实现SSH免密码登录和实现秘钥的管理、...
▪Shell正则表达式之grep、sed、awk实操笔记
▪3个备份系统文件并邮件发送的Shell脚本分享
▪CentOS 6.3下给PHP添加mssql扩展模块教程
▪监控网站是否可以正常打开的Shell脚本分享
▪Shell正则表达式之grep、sed、awk实操笔记 iis7站长之家
▪shell脚本编程之循环语句学习笔记
▪shell脚本编程之case语句学习笔记
▪Shell脚本实现的阳历转农历代码分享
▪Shell脚本实现复制文件到多台服务器的代码分...
▪Shell脚本实现批量下载网络图片代码分享
▪Shell脚本实现检测文件是否被修改过代码分享
▪Shell脚本数组用法小结
▪Shell脚本批量重命名文件后缀的3种实现
▪C语言实现的ls命令源码分享
▪Linux下查找后门程序 CentOS 查后门程序的shell脚...
▪Shell 函数参数
▪linux shell 自定义函数方法(定义、返回值、变...
▪Shell实现判断进程是否存在并重新启动脚本分...
▪Shell脚本break和continue命令简明教程
▪Shell脚本函数定义和函数参数
▪让代码整洁、过程清晰的BASH Shell编程技巧
▪shell常用重定向实例讲解
▪awk中RS、ORS、FS、OFS的区别和联系小结
 


站内导航:


特别声明:169IT网站部分信息来自互联网,如果侵犯您的权利,请及时告知,本站将立即删除!

©2012-2021,,E-mail:www_#163.com(请将#改为@)

浙ICP备11055608号-3