windows 系统目前最完善最完美的安全权限方案Word文件下载.docx

windows 系统目前最完善最完美的安全权限方案Word文件下载.docx

《windows 系统目前最完善最完美的安全权限方案Word文件下载.docx》由会员分享，可在线阅读，更多相关《windows 系统目前最完善最完美的安全权限方案Word文件下载.docx（35页珍藏版）》请在冰点文库上搜索。

选项设置以下

读允许

写不允许

脚本源访问不允许

目录浏览建议关闭

记录访问建议关闭索引资源建议关闭

执行权限推荐选择“纯脚本”

建议使用W3C扩充日志文件格式，每天记录客户IP地址，用户名，服务器端口，方法，URI字根，HTTP状态，用户代理，而且每天均要审查日志。

（最好不要使用缺省的目录，建议更换一个记日志的路径，同时设置日志的访问权限，只允许管理员和system为FullControl）。

在IIS6.0-本地计算机-属性-允许直接编辑配置数据库在IIS中属性->

主目录->

配置->

选项中。

在网站把”启用父路径“前面打上勾

在IIS中的Web服务扩展中选中ActiveServerPages，点击“允许”

优化IIS6应用程序池

1、取消“在空闲此段时间后关闭工作进程（分钟）”

2、勾选“回收工作进程（请求数目）”

3、取消“快速失败保护”

解决SERVER2003不能上传大附件的问题

在“服务”里关闭iisadminservice服务。

找到windows\system32\inetsrv\下的metabase.xml文件。

找到ASPMaxRequestEntityAllowed把它修改为需要的值（可修改为20M即：

20480000）

存盘，然后重启iisadminservice服务。

解决SERVER2003无法下载超过4M的附件问题

找到AspBufferingLimit把它修改为需要的值（可修改为20M即：

超时问题

解决大附件上传容易超时失败的问题

在IIS中调大一些脚本超时时间，操作方法是：

在IIS的“站点或虚拟目录”的“主目录”下点击“配置”按钮，

设置脚本超时时间为：

300秒（注意：

不是Session超时时间）

解决通过WebMail写信时间较长后，按下发信按钮就会回到系统登录界面的问题

适当增加会话时间（Session）为60分钟。

在IIS站点或虚拟目录属性的“主目录”下点击“配置-->

选项”，

就可以进行设置了（Windows2003默认为20分钟）

修改3389远程连接端口

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\TerminalServer\Wds\rdpwd\Tds\tcp]

"

PortNumber"

=dword:

0000端口号

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\TerminalServer\WinStations\RDP-Tcp]

设置这两个注册表的权限,添加“IUSR”的完全拒绝禁止显示端口号

本地策略--->

用户权限分配

关闭系统：

只有Administrators组、其它全部删除。

通过终端服务允许登陆：

只加入Administrators,RemoteDesktopUsers组，其他全部删除

在安全设置里本地策略-用户权利分配，通过终端服务拒绝登陆加入

ASPNET

IUSR_

IWAM_

NETWORKSERVICE

（注意不要添加进user组和administrators组添加进去以后就没有办法远程登陆了）>

在安全设置里本地策略-安全选项

网络访问:

可匿名访问的共享;

可匿名访问的命名管道;

可远程访问的注册表路径;

可远程访问的注册表路径和子路径;

将以上四项全部删除

不允许SAM账户的匿名枚举更改为"

已启用"

不允许SAM账户和共享的匿名枚举更改为"

;

网络访问:

不允许存储网络身份验证的凭据或.NETPassports更改为"

网络访问.限制匿名访问命名管道和共享,更改为"

将以上四项通通设为“已启用”

计算机管理的本地用户和组

禁用终端服务（TsInternetUser）,SQL服务（SQLDebugger）,SUPPORT_388945a0

禁用不必要的服务

scconfigAeLookupSvcstart=AUTO

scconfigAlerterstart=DISABLED

scconfigALGstart=DISABLED

scconfigAppMgmtstart=DEMAND

scconfigaspnet_statestart=DEMAND

scconfigAudioSrvstart=DISABLED

scconfigBITSstart=DEMAND

scconfigBrowserstart=DEMAND

scconfigCiSvcstart=DISABLEDscconfigClipSrvstart=DISABLED

scconfigclr_optimization_v2.0.50727_32start=DEMAND

scconfigCOMSysAppstart=DEMAND

scconfigCryptSvcstart=AUTO

scconfigDcomLaunchstart=AUTO

scconfigDfsstart=DEMAND

scconfigDhcpstart=AUTO

scconfigdmadminstart=DEMAND

scconfigdmserverstart=AUTO

scconfigDnscachestart=AUTO

scconfigERSvcstart=DISABLED

scconfigEventlogstart=AUTO

scconfigEventSystemstart=AUTO

scconfighelpsvcstart=DISABLED

scconfigHidServstart=AUTO

scconfigHTTPFilterstart=DEMAND

scconfigIISADMINstart=AUTO

scconfigImapiServicestart=DISABLED

scconfigIsmServstart=DISABLED

scconfigkdcstart=DISABLED

scconfiglanmanworkstationstart=DISABLED

scconfigLicenseServicestart=DISABLED

scconfigLmHostsstart=DISABLED

scconfigMessengerstart=DISABLED

scconfigmnmsrvcstart=DISABLED

scconfigMSDTCstart=AUTOscconfigMSIServerstart=DEMAND

scconfigMSSEARCHstart=AUTO

scconfigMSSQLSERVERstart=AUTO

scconfigMSSQLServerADHelperstart=DEMAND

scconfigNetDDEstart=DISABLED

scconfigNetDDEdsdmstart=DISABLED

scconfigNetlogonstart=DEMAND

scconfigNetmanstart=DEMAND

scconfigNlastart=DEMAND

scconfigNtFrsstart=DEMAND

scconfigNtLmSspstart=DEMAND

scconfigNtmsSvcstart=DEMAND

scconfigPlugPlaystart=AUTO

scconfigPolicyAgentstart=AUTO

scconfigProtectedStoragestart=AUTO

scconfigRasAutostart=DEMAND

scconfigRasManstart=DEMAND

scconfigRDSessMgrstart=DEMAND

scconfigRemoteAccessstart=DISABLED

scconfigRemoteRegistrystart=DISABLED

scconfigRpcLocatorstart=DEMAND

scconfigRpcSsstart=AUTO

scconfigRSoPProvstart=DEMAND

scconfigsacsvrstart=DEMAND

scconfigSamSsstart=AUTO

scconfigSCardSvrstart=DEMANDscconfigSchedulestart=AUTO

scconfigseclogonstart=AUTO

scconfigSENSstart=AUTO

scconfigSharedAccessstart=DISABLED

scconfigShellHWDetectionstart=AUTO

scconfigSMTPSVCstart=AUTO

scconfigSpoolerstart=DISABLED

scconfigSQLSERVERAGENTstart=AUTO

scconfigstisvcstart=DISABLED

scconfigswprvstart=DEMAND

scconfigSysmonLogstart=AUTO

scconfigTapiSrvstart=DEMAND

scconfigTermServicestart=AUTO

scconfigThemesstart=DISABLED

scconfigTlntSvrstart=DISABLED

scconfigTrkSvrstart=DISABLED

scconfigTrkWksstart=AUTO

scconfigTssdisstart=DISABLED

scconfigUMWdfstart=DEMAND

scconfigUPSstart=DEMAND

scconfigvdsstart=DEMAND

scconfigVSSstart=DEMAND

scconfigW32Timestart=AUTO

scconfigW3SVCstart=AUTO

scconfigWebClientstart=DISABLED

scconfigWinHttpAutoProxySvcstart=DEMANDscconfigwinmgmtstart=AUTO

scconfigWmdmPmSNstart=DEMAND

scconfigWmistart=DEMAND

scconfigWmiApSrvstart=DEMAND

scconfigwuauservstart=DISABLED

scconfigWZCSVCstart=DISABLED

scconfigxmlprovstart=DEMAND

删除默认共享

@echooff

:

先列举存在的分区，然后再逐个删除以分区名命名的共享；

通过修改注册表防止admin$共享在下次开机时重新加载；

IPC$共享需要administritor权限才能成功删除

title默认共享删除器

color1f

echo.

echo------------------------------------------------------

echo开始删除每个分区下的默认共享.

echo.for%%ain（CDEFGHIJKLMNOPQRSTUVWXYZ）do@（

ifexist%%a:

\nul（

netshare%%a$/delete>

nul2>

nul&

&

echo成功删除名为%%a$的默认共享||echo名为%%a$的默认共享不存在

）

netshareadmin$/delete>

echo成功删除名为admin$的默认共享||echo名为admin$的默认共享不存在

netstopServer/y>

echoServer服务已停止.

netstartServer>

echoServer服务已启动.

echo修改注册表以更改系统默认设置.

echo正在创建注册表文件.

echoWindowsRegistryEditorVersion5.00>

c:

\delshare.reg

通过注册表禁止Admin$共享，以防重启后再次加载

echo[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters]>

echo"

AutoShareWks"

00000000>

AutoShareServer"

删除IPC$共享，本功能需要administritor权限才能成功删除

echo[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa]>

restrictanonymous"

00000001>

echo正在导入注册表文件以更改系统默认设置.regedit/sc:

delc:

\delshare.reg&

echo临时文件已经删除.

echo程序已经成功删除所有的默认共享.

echo按任意键退出...

pause>

nul

打开C:

\Windows目录搜索以下DOS命令文件

NET.EXE,NET1.EXE,CMD.EXE,FTP.EXE,ATTRIB.EXE,CACLS.EXE,AT.EXE,FORMAT.COM,TELNET.EXE,COMMAND.COM,NETSTAT.EXE,REGEDIT.EXE,ARP.EXE,NBTSTAT.EXE

把以上命令文件通通只给Administrators和SYSTEM为完全控制权限

卸载删除具有CMD命令功能的危险组件

WSHOM.OCX对应于WScript.Shell组件

HKEY_CLASSES_ROOT\WScript.Shell\

及

HKEY_CLASSES_ROOT\WScript.Shell.1\

添加IUSR用户完全拒绝权限

Shell32.dll对应于Shell.Application组件

HKEY_CLASSES_ROOT\Shell.Application\

HKEY_CLASSES_ROOT\Shell.Application.1\添加IUSR用户完全拒绝权限

regsvr32/uC:

\Windows\System32\wshom.ocx

\Windows\System32\shell32.dll

WSHOM.OCXx和Shell32.dl这两个文件只给Administrator完全权限

SQL权限设置

1、一个数据库,一个帐号和密码,比如建立了一个数据库，只给PUBLIC和DB_OWNER权限，SA帐号基本是不使用的，因为SA实在是太危险了.

2、更改sa密码为你都不知道的超长密码,在任何情况下都不要用sa这个帐户.

3、Web登录时经常出现"

[超时，请重试]"

的问题

如果安装了SQLServer时，一定要启用“服务器网络实用工具”中的“多协议”项。

4、将有安全问题的SQL扩展存储过程删除.将以下代码全部复制到"

SQL查询分析器"

usemaster

EXECsp_dropextendedproc'

xp_cmdshell'

Sp_OACreate'

Sp_OADestroy'

Sp_OAGetErrorInfo'

Sp_OAGetProperty'

Sp_OAMethod'

Sp_OASetProperty'

Sp_OAStop'

Xp_regaddmultistring'

Xp_regdeletekey'

Xp_regdeletevalue'

Xp_regenumvalues'

Xp_regread'

Xp_regremovemultistring'

Xp_regwrite'

dropproceduresp_makewebtask

恢复的命令是

EXECsp_addextendedproc存储过程的名称,@dllname='

存储过程的dll'

例如：

恢复存储过程xp_cmdshell

EXECsp_addextendedprocxp_cmdshell,@dllname='

xplog70.dll'

注意，恢复时如果xplog70.dll已删除需要copy一个。

WEB目录权限设置

Everyone:

顾名思义，所有的用户，这个计算机上的所有用户都属于这个组。

最好在C盘以外（如D,E,F.....）的根目录建立到三级目录,一级目录只给Administrator权限，二级目录给Administrator完全控制权限和Everyone除了完全

控制，更改，取得，其它全部打勾的权限和IUSR只有该文件夹的完全拒绝权限，三级目录是每个客户的虚拟主机网站，给Administrator完全控制权限和Everyone

除了完全控制，更改，取得，其它全部打勾的权限即可.

C盘的目录权限以表格的方式来说明,简单明了。

硬盘或文件夹:

C:

\D: