服务器安全设置的技巧
2018-11-30 来源:爱站科技
服务器是企业最重要的设备之一,目前许多运营商也在内部建立了许多服务器,供广大的企业租赁,那么服务器安全设置的技巧大家都了解吗?别着急,下面就跟着西部数码技术频道小编的步伐来了解一下吧!
1、服务器安全设置之--硬盘权限篇
这里着重谈需要的权限,也就是最终文件夹或硬盘需要的权限,可以防御各种木马入侵,提权攻击,跨站攻击等。本实例经过多次试验,安全性能很好,服务器基本没有被木马威胁的担忧了。
硬盘或文件夹:C:\D:\E:\F:\类推
主要权限部分:其他权限部分:
Administrators完全控制无
如果安装了其他运行环境,比如PHP等,则根据PHP的环境功能要求来设置硬盘权限,一般是安装目录加上users读取运行权限就足够了,比如c:\php的话,就在根目录权限继承的情况下加上users读取运行权限,需要写入数据的比如tmp文件夹,则把user的写删权限加上,运行权限不要,然后把虚拟主机用户的读权限拒绝即可。如果是mysql的话,可以把mysql安装目录只要同硬盘根目录权限就可以了。如果是winwebmail,则最好建立独立的应用程序池和独立IIS用户,然后整个安装目录有user用户的读/运行/写/权限,IIS用户则相同,这个IIS用户就只用在winwebmail的WEB访问中,其他IIS站点切勿使用,安装了winwebmail的服务器硬盘权限设置后面举例
该文件夹,子文件夹及文件
CREATOROWNER完全控制
只有子文件夹及文件
SYSTEM完全控制
该文件夹,子文件夹及文件
硬盘或文件夹:C:\Inetpub\
主要权限部分:其他权限部分:
Administrators完全控制无
该文件夹,子文件夹及文件
CREATOROWNER完全控制
只有子文件夹及文件
SYSTEM完全控制
该文件夹,子文件夹及文件
硬盘或文件夹:C:\Inetpub\AdminScripts
主要权限部分:其他权限部分:
Administrators完全控制无
该文件夹,子文件夹及文件
SYSTEM完全控制
该文件夹,子文件夹及文件
硬盘或文件夹:C:\Inetpub\wwwroot
主要权限部分:其他权限部分:
Administrators完全控制IIS_WPG读取运行/列出文件夹目录/读取
该文件夹,子文件夹及文件该文件夹,子文件夹及文件
SYSTEM完全控制Users读取运行/列出文件夹目录/读取
该文件夹,子文件夹及文件该文件夹,子文件夹及文件
这里可以把虚拟主机用户组加上
同Internet来宾帐户一样的权限
拒绝权限Internet来宾帐户创建文件/写入数据/:拒绝
创建文件夹/附加数据/:拒绝
写入属性/:拒绝
写入扩展属性/:拒绝
删除子文件夹及文件/:拒绝
删除/:拒绝
该文件夹,子文件夹及文件
硬盘或文件夹:C:\Inetpub\wwwroot\aspnet_client
主要权限部分:其他权限部分:
Administrators完全控制Users读取
该文件夹,子文件夹及文件该文件夹,子文件夹及文件
SYSTEM完全控制
该文件夹,子文件夹及文件
硬盘或文件夹:C:\DocumentsandSettings
主要权限部分:其他权限部分:
Administrators完全控制无
该文件夹,子文件夹及文件
SYSTEM完全控制
该文件夹,子文件夹及文件
硬盘或文件夹:C:\DocumentsandSettings\AllUsers
主要权限部分:其他权限部分:
Administrators完全控制Users读取和运行
该文件夹,子文件夹及文件该文件夹,子文件夹及文件
SYSTEM完全控制USERS组的权限仅仅限制于读取和运行,
绝对不能加上写入权限
该文件夹,子文件夹及文件
硬盘或文件夹:C:\DocumentsandSettings\AllUsers\「开始」菜单
主要权限部分:其他权限部分:
Administrators完全控制无
该文件夹,子文件夹及文件
SYSTEM完全控制
该文件夹,子文件夹及文件
硬盘或文件夹:C:\DocumentsandSettings\AllUsers\ApplicationData
主要权限部分:其他权限部分:
Administrators完全控制Users读取和运行
该文件夹,子文件夹及文件该文件夹,子文件夹及文件
CREATOROWNER完全控制Users写入
只有子文件夹及文件该文件夹,子文件夹
SYSTEM完全控制两个并列权限同用户组需要分开列权限
该文件夹,子文件夹及文件
硬盘或文件夹:C:\DocumentsandSettings\AllUsers\ApplicationData\Microsoft
主要权限部分:其他权限部分:
Administrators完全控制Users读取和运行
该文件夹,子文件夹及文件该文件夹,子文件夹及文件
SYSTEM完全控制此文件夹包含Microsoft应用程序状态数据
该文件夹,子文件夹及文件
硬盘或文件夹:C:\DocumentsandSettings\AllUsers\ApplicationData\Microsoft\Crypto\RSA\MachineKeys
主要权限部分:其他权限部分:
Administrators完全控制Everyone列出文件夹、读取属性、读取扩展属性、创建文件、创建文件夹、写入属性、写入扩展属性、读取权限
只有该文件夹Everyone这里只有读写权限,不能加运行和删除权限,仅限该文件夹只有该文件夹
硬盘或文件夹:C:\DocumentsandSettings\AllUsers\ApplicationData\Microsoft\Crypto\DSS\MachineKeys
主要权限部分:其他权限部分:
Administrators完全控制Everyone列出文件夹、读取属性、读取扩展属性、创建文件、创建文件夹、写入属性、写入扩展属性、读取权限
只有该文件夹Everyone这里只有读写权限,不能加运行和删除权限,仅限该文件夹只有该文件夹
硬盘或文件夹:C:\DocumentsandSettings\AllUsers\ApplicationData\Microsoft\HTMLHelp
主要权限部分:其他权限部分:
Administrators完全控制Users读取和运行
该文件夹,子文件夹及文件该文件夹,子文件夹及文件
SYSTEM完全控制
该文件夹,子文件夹及文件
硬盘或文件夹:C:\DocumentsandSettings\AllUsers\ApplicationData\Microsoft\Network\Connections\Cm
主要权限部分:其他权限部分:
Administrators完全控制Everyone读取和运行
该文件夹,子文件夹及文件该文件夹,子文件夹及文件
SYSTEM完全控制Everyone这里只有读和运行权限
该文件夹,子文件夹及文件
硬盘或文件夹:C:\DocumentsandSettings\AllUsers\ApplicationData\Microsoft\Network\Downloader
主要权限部分:其他权限部分:
Administrators完全控制无
该文件夹,子文件夹及文件
SYSTEM完全控制
该文件夹,子文件夹及文件
硬盘或文件夹:C:\DocumentsandSettings\AllUsers\ApplicationData\Microsoft\MediaIndex
主要权限部分:其他权限部分:
Administrators完全控制Users读取和运行
该文件夹,子文件夹及文件该文件夹,子文件夹及文件
SYSTEM完全控制Users创建文件/写入数据
创建文件夹/附加数据
写入属性
写入扩展属性
读取权限
该文件夹,子文件夹及文件只有该文件夹
Users创建文件/写入数据
创建文件夹/附加数据
写入属性
写入扩展属性
只有该子文件夹和文件
硬盘或文件夹:C:\DocumentsandSettings\AllUsers\DRM
主要权限部分:其他权限部分:
这里需要把GUEST用户组和IIS访问用户组全部禁止
Everyone的权限比较特殊,默认安装后已经带了
主要是要把IIS访问的用户组加上所有权限都禁止Users读取和运行
该文件夹,子文件夹及文件
Guests拒绝所有
该文件夹,子文件夹及文件
Guest拒绝所有
该文件夹,子文件夹及文件
IUSR_XXX
或某个虚拟主机用户组拒绝所有
该文件夹,子文件夹及文件
硬盘或文件夹:C:\DocumentsandSettings\AllUsers\Documents(共享文档)
主要权限部分:其他权限部分:
Administrators完全控制无
该文件夹,子文件夹及文件
CREATOROWNER完全控制
只有子文件夹及文件
SYSTEM完全控制
该文件夹,子文件夹及文件
硬盘或文件夹:C:\ProgramFiles
主要权限部分:其他权限部分:
Administrators完全控制Users读取和运行
该文件夹,子文件夹及文件该文件夹,子文件夹及文件
CREATOROWNER完全控制
只有子文件夹及文件
SYSTEM完全控制
该文件夹,子文件夹及文件
硬盘或文件夹:C:\ProgramFiles\CommonFiles\MicrosoftShared\webserverextensions
主要权限部分:其他权限部分:
Administrators完全控制无
该文件夹,子文件夹及文件
CREATOROWNER完全控制
只有子文件夹及文件
SYSTEM完全控制
该文件夹,子文件夹及文件
硬盘或文件夹:C:\ProgramFiles\MicrosoftSQLServer\MSSQL(程序部分默认装在C:盘)
主要权限部分:其他权限部分:
Administrators完全控制无
该文件夹,子文件夹及文件
硬盘或文件夹:E:\ProgramFiles\MicrosoftSQLServer(数据库部分装在E:盘的情况)
主要权限部分:其他权限部分:
Administrators完全控制无
该文件夹,子文件夹及文件
CREATOROWNER完全控制
只有子文件夹及文件
SYSTEM完全控制
该文件夹,子文件夹及文件
硬盘或文件夹:E:\ProgramFiles\MicrosoftSQLServer\MSSQL(数据库部分装在E:盘的情况)
主要权限部分:其他权限部分:
Administrators完全控制无
该文件夹,子文件夹及文件
硬盘或文件夹:C:\ProgramFiles\InternetExplorer\iexplore.exe
主要权限部分:其他权限部分:
Administrators完全控制无
该文件夹,子文件夹及文件
硬盘或文件夹:C:\ProgramFiles\OutlookExpress
主要权限部分:其他权限部分:
Administrators完全控制无
该文件夹,子文件夹及文件
CREATOROWNER完全控制
只有子文件夹及文件
SYSTEM完全控制
该文件夹,子文件夹及文件
硬盘或文件夹:C:\ProgramFiles\PowerEasy5(如果装了动易组件的话)
主要权限部分:其他权限部分:
Administrators完全控制无
该文件夹,子文件夹及文件
CREATOROWNER完全控制
只有子文件夹及文件
SYSTEM完全控制
该文件夹,子文件夹及文件
硬盘或文件夹:C:\ProgramFiles\Radmin(如果装了Radmin远程控制的话)
主要权限部分:其他权限部分:
Administrators完全控制无
对应的c:\windows\system32里面有两个文件
r_server.exe和AdmDll.dll
要把Users读取运行权限去掉
默认权限只要administrators和system全部权限
该文件夹,子文件夹及文件
CREATOROWNER完全控制
只有子文件夹及文件
SYSTEM完全控制
该文件夹,子文件夹及文件
硬盘或文件夹:C:\ProgramFiles\Serv-U(如果装了Serv-U服务器的话)
主要权限部分:其他权限部分:
Administrators完全控制无
这里常是提权入侵的一个比较大的漏洞点
一定要按这个方法设置
目录名字根据Serv-U版本也可能是
C:\ProgramFiles\RhinoSoft.com\Serv-U
该文件夹,子文件夹及文件
CREATOROWNER完全控制
只有子文件夹及文件
SYSTEM完全控制
该文件夹,子文件夹及文件
硬盘或文件夹:C:\ProgramFiles\WindowsMediaPlayer
主要权限部分:其他权限部分:
Administrators完全控制无
该文件夹,子文件夹及文件
CREATOROWNER完全控制
只有子文件夹及文件
SYSTEM完全控制
该文件夹,子文件夹及文件
硬盘或文件夹:C:\ProgramFiles\WindowsNT\Accessories
主要权限部分:其他权限部分:
Administrators完全控制无
该文件夹,子文件夹及文件
CREATOROWNER完全控制
只有子文件夹及文件
SYSTEM完全控制
该文件夹,子文件夹及文件
硬盘或文件夹:C:\ProgramFiles\WindowsUpdate
主要权限部分:其他权限部分:
Administrators完全控制无
该文件夹,子文件夹及文件
CREATOROWNER完全控制
只有子文件夹及文件
SYSTEM完全控制
该文件夹,子文件夹及文件
硬盘或文件夹:C:\WINDOWS
主要权限部分:其他权限部分:
Administrators完全控制Users读取和运行
该文件夹,子文件夹及文件该文件夹,子文件夹及文件
CREATOROWNER完全控制
只有子文件夹及文件
SYSTEM完全控制
该文件夹,子文件夹及文件
硬盘或文件夹:C:\WINDOWS\system32
主要权限部分:其他权限部分:
Administrators完全控制Users读取和运行
该文件夹,子文件夹及文件该文件夹,子文件夹及文件
CREATOROWNER完全控制IUSR_XXX
或某个虚拟主机用户组列出文件夹/读取数据:拒绝
读取权限:拒绝
只有子文件夹及文件只有该文件夹
SYSTEM完全控制虚拟主机用户访问组拒绝读取,有助于保护系统数据
该文件夹,子文件夹及文件
硬盘或文件夹:C:\WINDOWS\system32\config
主要权限部分:其他权限部分:
Administrators完全控制Users读取和运行
该文件夹,子文件夹及文件该文件夹,子文件夹及文件
CREATOROWNER完全控制IUSR_XXX
或某个虚拟主机用户组列出文件夹/读取数据:拒绝
读取权限:拒绝
只有子文件夹及文件只有该文件夹
SYSTEM完全控制虚拟主机用户访问组拒绝读取,有助于保护系统数据
该文件夹,子文件夹及文件
硬盘或文件夹:C:\WINDOWS\system32\inetsrv\
主要权限部分:其他权限部分:
Administrators完全控制Users读取和运行
该文件夹,子文件夹及文件该文件夹,子文件夹及文件
CREATOROWNER完全控制IUSR_XXX
或某个虚拟主机用户组读取:拒绝
只有子文件夹及文件只有该文件夹
SYSTEM完全控制虚拟主机用户访问组拒绝读取,有助于保护系统数据
该文件夹,子文件夹及文件
硬盘或文件夹:C:\WINDOWS\system32\inetsrv\ASPCompiledTemplates
主要权限部分:其他权限部分:
Administrators完全控制IIS_WPG完全控制
该文件夹,子文件夹及文件该文件夹,子文件夹及文件
IUSR_XXX
或某个虚拟主机用户组读取:拒绝
该文件夹,子文件夹及文件
虚拟主机用户访问组拒绝读取,有助于保护系统数据
硬盘或文件夹:C:\WINDOWS\system32\inetsrv\iisadmpwd
主要权限部分:其他权限部分:
Administrators完全控制无
该文件夹,子文件夹及文件
CREATOROWNER完全控制
只有子文件夹及文件
SYSTEM完全控制
该文件夹,子文件夹及文件
硬盘或文件夹:C:\WINDOWS\system32\inetsrv\MetaBack
主要权限部分:其他权限部分:
Administrators完全控制Users读取和运行
该文件夹,子文件夹及文件该文件夹,子文件夹及文件
CREATOROWNER完全控制IUSR_XXX
或某个虚拟主机用户组读取:拒绝
只有子文件夹及文件只有该文件夹
SYSTEM完全控制虚拟主机用户访问组拒绝读取,有助于保护系统数据
该文件夹,子文件夹及文件
Winwebmail电子邮局安装后权限举例:目录E:\
主要权限部分:其他权限部分:
Administrators完全控制IUSR_XXXXXX
这个用户是WINWEBMAIL访问WEB站点专用帐户读取和运行
该文件夹,子文件夹及文件该文件夹,子文件夹及文件
CREATOROWNER完全控制
只有子文件夹及文件
SYSTEM完全控制
该文件夹,子文件夹及文件
Winwebmail电子邮局安装后权限举例:目录E:\WinWebMail
主要权限部分:其他权限部分:
Administrators完全控制IUSR_XXXXXX
WINWEBMAIL访问WEB站点专用帐户读取和运行
该文件夹,子文件夹及文件该文件夹,子文件夹及文件
CREATOROWNER完全控制Users修改/读取运行/列出文件目录/读取/写入
只有子文件夹及文件该文件夹,子文件夹及文件
SYSTEM完全控制IUSR_XXXXXX
WINWEBMAIL访问WEB站点专用帐户修改/读取运行/列出文件目录/读取/写入
该文件夹,子文件夹及文件该文件夹,子文件夹及文件
IUSR_XXXXXX和IWAM_XXXXXX
是winwebmail专用的IIS用户和应用程序池用户
单独使用,安全性能高IWAM_XXXXXX
WINWEBMAIL应用程序池专用帐户修改/读取运行/列出文件目录/读取/写入
该文件夹,子文件夹及文件
如果有问题请联系QQ:4615825
--------------------------------------------------------------------------------
2、服务器安全设置之--系统服务篇(设置完毕需要重新启动)
*除非特殊情况非开不可,下列系统服务要停止并禁用:
Alerter
服务名称:Alerter
显示名称:Alerter
服务描述:通知选定的用户和计算机管理警报。如果服务停止,使用管理警报的程序将不会收到它们。如果此服务被禁用,任何直接依赖它的服务都将不能启动。
可执行文件路径:E:\WINDOWS\system32\svchost.exe-kLocalService
其他补充:
ApplicationLayerGatewayService
服务名称:ALG
显示名称:ApplicationLayerGatewayService
服务描述:为应用程序级协议插件提供支持并启用网络/协议连接。如果此服务被禁用,任何依赖它的服务将无法启动。
可执行文件路径:E:\WINDOWS\System32\alg.exe
其他补充:
BackgroundIntelligentTransferService
服务名称:BITS
显示名称:BackgroundIntelligentTransferService
服务描述:服务描述:利用空闲的网络带宽在后台传输文件。如果服务被停用,例如WindowsUpdate和MSNExplorer的功能将无法自动下载程序和其他信息。如果此服务被禁用,任何依赖它的服务如果没有容错技术以直接通过IE传输文件,一旦BITS被禁用,就可能无法传输文件。
可执行文件路径:E:\WINDOWS\system32\svchost.exe-knetsvcs
其他补充:
ComputerBrowser
服务名称:服务名称:Browser
显示名称:显示名称:ComputerBrowser
服务描述:服务描述:维护网络上计算机的更新列表,并将列表提供给计算机指定浏览。如果服务停止,列表不会被更新或维护。如果服务被禁用,任何直接依赖于此服务的服务将无法启动。
可执行文件路径:可执行文件路径:E:\WINDOWS\system32\svchost.exe-knetsvcs
其他补充:
DistributedFileSystem
服务名称:Dfs
显示名称:DistributedFileSystem
服务描述:将分散的文件共享合并成一个逻辑名称空间并在局域网或广域网上管理这些逻辑卷。如果这个服务被停止,用户则无法访问文件共享。如果这个服务被禁用,任何依赖它的服务将无法启动。
可执行文件路径:E:\WINDOWS\system32\Dfssvc.exe
其他补充:
HelpandSupport
服务名称:helpsvc
显示名称:HelpandSupport
服务描述:启用在此计算机上运行帮助和支持中心。如果停止服务,帮助和支持中心将不可用。如果禁用服务,任何直接依赖于此服务的服务将无法启动。
可执行文件路径:E:\WINDOWS\System32\svchost.exe-knetsvcs
其他补充:
Messenger
服务名称:Messenger
显示名称:Messenger
服务描述:传输客户端和服务器之间的NETSEND和警报器服务消息。此服务与WindowsMessenger无关。如果服务停止,警报器消息不会被传输。如果服务被禁用,任何直接依赖于此服务的服务将无法启动。
可执行文件路径:E:\WINDOWS\system32\svchost.exe-knetsvcs
其他补充:
NetMeetingRemoteDesktopSharing
服务名称:mnmsrvc
显示名称:NetMeetingRemoteDesktopSharing
服务描述:允许经过授权的用户用NetMeeting在公司intranet上远程访问这台计算机。如果服务被停止,远程桌面共享将不可用。如果服务被禁用,依赖这个服务的任何服务都会无法启动。
可执行文件路径:E:\WINDOWS\system32\mnmsrvc.exe
其他补充:
PrintSpooler
服务名称:Spooler
显示名称:PrintSpooler
服务描述:管理所有本地和网络打印队列及控制所有打印工作。如果此服务被停用,本地计算机上的打印将不可用。如果此服务被禁用,任何依赖于它的服务将无法启用。
可执行文件路径:E:\WINDOWS\system32\spoolsv.exe
其他补充:
RemoteRegistry
服务名称:RemoteRegistry
显示名称:RemoteRegistry
服务描述:使远程用户能修改此计算机上的注册表设置。如果此服务被终止,只有此计算机上的用户才能修改注册表。如果此服务被禁用,任何依赖它的服务将无法启动。
可执行文件路径:E:\WINDOWS\system32\svchost.exe-kregsvc
其他补充:
TaskScheduler
服务名称:Schedule
显示名称:TaskScheduler
服务描述:使用户能在此计算机上配置和计划自动任务。如果此服务被终止,这些任务将无法在计划时间里运行。如果此服务被禁用,任何依赖它的服务将无法启动。
可执行文件路径:E:\WINDOWS\System32\svchost.exe-knetsvcs
其他补充:
TCP/IPNetBIOSHelper
服务名称:LmHosts
显示名称:TCP/IPNetBIOSHelper
服务描述:提供TCP/IP(NetBT)服务上的NetBIOS和网络上客户端的NetBIOS名称解析的支持,从而使用户能够共享文件、打印和登录到网络。如果此服务被停用,这些功能可能不可用。如果此服务被禁用,任何依赖它的服务将无法启动。
可执行文件路径:E:\WINDOWS\system32\svchost.exe-kLocalService
其他补充:
Telnet
服务名称:TlntSvr
显示名称:Telnet
服务描述:允许远程用户登录到此计算机并运行程序,并支持多种TCP/IPTelnet客户端,包括基于UNIX和Windows的计算机。如果此服务停止,远程用户就不能访问程序,任何直接依赖于它的服务将会启动失败。
可执行文件路径:E:\WINDOWS\system32\tlntsvr.exe
其他补充:
Workstation
服务名称:lanmanworkstation
显示名称:Workstation
服务描述:创建和维护到远程服务的客户端网络连接。如果服务停止,这些连接将不可用。如果服务被禁用,任何直接依赖于此服务的服务将无法启动。
可执行文件路径:E:\WINDOWS\system32\svchost.exe-knetsvcs
其他补充:
以上是服务器安全设置的技巧大家了解了吗?作为网络安全知识,这是你必须要了解的哦,更多的内容,请继续关注西部数码技术频道!
标签: Mysql 安全 服务器 服务器安全 漏洞 权限 数据库 网络 网络安全 网络安全知识 西部数码 虚拟主机
版权申明:本站文章部分自网络,如有侵权,请联系:west999com@outlook.com
特别注意:本站所有转载文章言论不代表本站观点!
本站所提供的图片等素材,版权归原作者所有,如需使用,请与原作者联系。
上一篇:刀片服务器的制约因素有哪些?
下一篇:FTP虚拟用户的使用方法