windows2003serverIIS权限设置.doc

windows 2003 server IIS 权限设置前提：仅针对 windows 2003 server SP1 Internet(IIS) 服务器系统安装在 C:\盘系统用户情况为：administrators 超级管理员(组)system 系统用户(内置安全主体)guests 来宾帐号(组)iusr_服务器名 匿名访问 web 用户iwam_服务器名 启动 iis 进程用户www_cnnsc_org 自己添加的用户、添加后删除 Users(组)、删除后添加到guests 来宾帐号(组)为加强系统安全、(guest)用户及(iusr_服务器名)用户均被禁用将访问 web 目录的全部账户设为 guests 组、去除其他的组■盘符 安全访问权限 △C:\盘 administrators(组) 完全控制权限、system(内置安全主体) 完全控制权限△D:\盘 (如果用户网站内容放置在这个分区中)、administrators(组) 完全控制权限△E:\盘 administrators(组) 完全控制权限、system(内置安全主体) 完全控制权限△f:\盘 administrators(组) 完全控制权限、system(内置安全主体) 完全控制权限△如有其他盘符类推下去. ■目录安全访问权限▲C:\wmpub△administrators(组) 完全控制权限、system(内置安全主体) 完全控制权限▲c:\windows\△administrators(组) 完全控制权限、system(内置安全主体) 完全控制权限▲c:\windows\system32\△administrators(组) 完全控制权限、system(内置安全主体) 完全控制权限、iwam_服务器名(用户) 读取+运行权限▲c:\windows\temp\△administrators(组) 完全控制权限、system(内置安全主体) 完全控制权限、guests(组) 完全控制权限▲C:\WINDOWS\system32\config\△administrators(组) 完全控制权限、system(内置安全主体) 完全控制权限▲c:\Program Files\△administrators(组) 完全控制权限、system(内置安全主体) 完全控制权限▲C:\Program Files\Common Files\△administrators(组) 完全控制权限、system(内置安全主体) 完全控制权限、guests(组) 读取+运行权限▲c:\Documents and Settings\△administrators(组) 完全控制权限、system(内置安全主体) 完全控制权限▲C:\Documents and Settings\All Users\△administrators(组) 完全控制权限、system(内置安全主体) 完全控制权限▲C:\Documents and Settings\All Users\Application Data\△administrators(组) 完全控制权限、system(内置安全主体) 完全控制权限▲C:\Documents and Settings\All Users\Application Data\Microsoft\△administrators(组) 完全控制权限、system(内置安全主体) 完全控制权限▲C:\Documents and Settings\All Users\Application Data\Microsoft\HTML Help\△administrators(组) 完全控制权限、system(内置安全主体) 完全控制权限■禁止系统盘下的 EXE 文件：net.exe、cmd.exe、tftp.exe、netstat.exe、regedit.exe、regedt32.exe、at.exe、attrib.exe、cacls.exe△些文件都设置成 administrators 完全控制权限■新建 WWW(网站)根目录【administrators(组) 完全控制权限、system(内置安全主体) 完全控制权限】▲根目录里新建 wwwroot 目录▲网站根目录、网页请上传到这个目录△administrators(组) 完全控制权限△www_cnnsc_org(用户) 完全控制权限▲根目录里新建 logfiles 目录▲网站访问日志文件、本目录不占用您的空间△administrators(组) 完全控制权限▲根目录里新建 database 目录▲数据库目录、用来存放 ACCESS 数据库△administrators(组) 完全控制权限▲根目录里新建 others 目录▲用于存放您的其它文件、该类文件不会出现在网站上△administrators(组) 完全控制权限△www_cnnsc_org(用户) 完全控制权限▲在 FTP(登陆消息文件里填)IIS 日志说明：〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓欢迎您使用本虚拟主机.请使用 CUTEFTP 或者 LEAFTP 等软件上传您的网页.注意、如果上传不了、请把 FTP 软件的 PASV 模式关掉再试.您登陆进去的根目录为 FTP 根目录\--wwwroot 网站根目录、网页请上传到这个目录.\--logfiles 网站访问日志文件、本目录不占用您的空间.\--database 数据库目录、用来存放 ACCESS 数据库.\--others 用于存放您的其它文件，该类文件不会出现在网站上.为了保证服务器高速稳定运行、请勿上传江湖游戏、广告交换、博彩类网站、大型论坛、软件下载等耗费系统资源的程序. IIS 日志说明\--Date 动作发生时的日期\--Time 动作发生时的时间\--s-sitename 客户所访问的 Internet 服务于以及实例号\--s-computername 产生日志条目的服务器的名字\--s-ip 产生日志条目的服务器的 IP 地址\--cs-method 客户端企图执行的动作(例如 GET 方法)\--cs-uri-stem 被访问的资源、例如 Default.asp\--cs-uri-query 客户所执行的查询\--s-port 客户端连接的端口号\--cs-username 通过身份验证访问服务器的用户名、不包括匿名用户\--c-ip 访问服务器的客户端 IP 地址\--cs(User-Agent) 客户所用的浏览器\--sc-status 用 HTTP 或者 FTP 术语所描述的动作状态\--sc-win32-status 用 Microsoft Windows 的术语所描述的动作状态〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓■SQL Server 2000 数据库：▲在本机将身份验证配置为 Win 登陆▲删除以下的扩展存储过程格式为：△use master △exec sp_dropextendedproc 'xp_cmdshell' △exec sp_dropextendedproc 'xp_dirtree'△exec sp_dropextendedproc 'xp_enumgroups'△exec sp_dropextendedproc 'xp_fixeddrives'△exec sp_dropextendedproc 'xp_loginconfig'△exec sp_dropextendedproc 'xp_enumerrorlogs'△exec sp_dropextendedproc 'xp_getfiledetails'△exec sp_dropextendedproc 'Sp_OACreate' △exec sp_dropextendedproc 'Sp_OADestroy' △exec sp_dropextendedproc 'Sp_OAGetErrorInfo' △exec sp_dropextendedproc 'Sp_OAGetProperty' △exec sp_dropextendedproc 'Sp_OAMethod' △exec sp_dropextendedproc 'Sp_OASetProperty' △exec sp_dropextendedproc 'Sp_OAStop' △exec sp_dropextendedproc 'Xp_regaddmultistring' △exec sp_dropextendedproc 'Xp_regdeletekey' △exec sp_dropextendedproc 'Xp_regdeletevalue' △exec sp_dropextendedproc 'Xp_regenumvalues' △exec sp_dropextendedproc 'Xp_regread' △exec sp_dropextendedproc 'Xp_regremovemultistring' △exec sp_dropextendedproc 'Xp_regwrite' △drop procedure sp_makewebtask△go■禁止下载 Access 数据库△Internet 信息服务(IIS)管理器→网站→属性→主目录→配置→添加△可执行文件：C:\WINDOWS\twain_32.dll△扩展名：.mdb▲如果你还想禁止下载其它的东东△Internet 信息服务(IIS)管理器→网站→属性→主目录→配置→添加△可执行文件：C:\WINDOWS\twain_32.dll△扩展名：.(改成你要禁止的文件名)▲然后删除扩展名：shtml stm shtm cdx idc cer■防止列出用户组和系统进程:△开始→程序→管理工具→服务△找到 Workstation 停止它、禁用它■防止 SYN 洪水攻击△HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters△新建 DWORD 值、名为 SynAttackProtect、值为 2 ■禁止 139 空连接△HKEY_LOCAL_MACHINE\System\CurrentControSet\Control\LSA△新建 DWORD 值、名为 restrictanonymous 的键值项、将他设置成 1、设置以后重起就可以了■禁止 ADMIN$共享△HKEY_LOCAL_MACHINE\CurrentControlset\serviceslanmanserver\parameters△新建 DWORD 值、名为 AutoShareServer 的键值、将其设置为 0 的键值项、将其设置为 0■禁止 C$、D$、E$等共享△HKEY_LOCAL_MACHINE\CurrentControlset\services\Tcpip\Paramers△新建 DWORD 值、名为 EnablelCMPRedirects 的键值项将其设置为 0、0 是不响应■禁止 IPC$共享▲察看本地共享资源△运行 cmd 输入 net share▲删除共享(每次输入一个)△net share ipc$ /delete△net share admin$ /delete△net share c$ /delete△net share d$ /delete（如果有 e,f,……可以继续删除）▲停止 server 服务△net s。