iis的设置.docVIP

windows2003 iis 安全设置 2008年03月15日 星期六 07:42 除了自身的硬件条件外,还需要对你的服务器做出安全设置控制,用2003系统来说下具体安全设置如下: 1、服务器安全设置之--硬盘权限篇 这里着重谈需要的权限，也就是最终文件夹或硬盘需要的权限，可以防御各种木马入侵，提权攻击，跨站攻击等。本实例经过多次试验，安全性能很好，服务器基本没有被木马威胁的担忧了。 硬盘或文件夹: C:\ D:\ E:\ F:\ 类推 主要权限部分： Administrators 完全控制 无 该文件夹，子文件夹及文件 不是继承的 CREATOR OWNER 完全控制 只有子文件夹及文件 不是继承的 SYSTEM 完全控制 该文件夹，子文件夹及文件 不是继承的 其他权限部分： 如果安装了其他运行环境，比如PHP等，则根据PHP的环境功能要求来设置硬盘权限，一般是安装目录加上users读取运行权限就足够了，比如c:\php的话，就在根目录权限继承的情况下加上users读取运行权限，需要写入数据的比如tmp文件夹，则把users的写删权限加上，运行权限不要，然后把虚拟主机用户的读权限拒绝即可。如果是mysql的话，用一个独立用户运行MYSQL会更安全，下面会有介绍。如果是winwebmail，则最好建立独立的应用程序池和独立IIS用户，然后整个安装目录有users用户的读/运行/写/权限，IIS用户则相同，这个IIS用户就只用在winwebmail的WEB访问中，其他IIS站点切勿使用 硬盘设置需要根据你的实际需要来设置权限！ 2、服务器安全设置之--系统服务篇(设置完毕需要重新启动) *除非特殊情况非开不可，下列系统服务要停止并禁用： 1、Alerter 2、Application Layer Gateway Service 3、 Background Intelligent Transfer Service 4、Computer Browser 5、Distributed File System 6、Help and Support 7、Messenger 8、NetMeeting Remote Desktop Sharing 9、Print Spooler 10、Remote Registry 11、Task Scheduler 12、TCP/IP NetBIOS Helper 13、Telnet 14、Workstation 以上是windows2003server标准服务当中需要停止的服务，作为IIS网络服务器，以上服务务必要停止，如果需要SSL证书服务，则设置方法不同。如果你装有虚拟主机系统，设置当然也不一样！更详细设置可以根据自己的需要找更详细的参考资料。 3、服务器安全设置之--组件安全设置篇 (非常重要！！！) A、卸载WScript.Shell 和 Shell.application 组件，将下面的代码保存为一个.BAT文件执行（分2000和2003系统） win2000 regsvr32/u C:\WINNT\System32\wshom.ocx del C:\WINNT\System32\wshom.ocx regsvr32/u C:\WINNT\system32\shell32.dll del C:\WINNT\system32\shell32.dll win2003 regsvr32/u C:\WINDOWS\System32\wshom.ocx del C:\WINDOWS\System32\wshom.ocx regsvr32/u C:\WINDOWS\system32\shell32.dll del C:\WINDOWS\system32\shell32.dll B、改名不安全组件，需要注意的是组件的名称和Clsid都要改，并且要改彻底了，不要照抄，要自己改 【开始→运行→regedit→回车】打开注册表编辑器 然后【编辑→查找→填写Shell.application→查找下一个】 用这个方法能找到两个注册表项： C279-11CE-A49E-444553540000} 和 Shell.application 。 第一步：为了确保万无一失，把这两个注册表项导出来，保存为xxxx.reg 文件。 第二步：比如我们想做这样的更改 C279-11CE-A49E-444553540000 改名为C279-11CE-A49E-444553540001 Shell.application 改名为 Shell.application_nohac