WindowsServer2008系统安全系统配置大全.docx

文档 文档 Windows 2008 服务器 安全设置 技术实例 目录 TOC \o "1-5" \h \z \o "Current Document" Windows 2008 服务器 安全设置 技术实例 1 一、 服务器安全设置之 -- 硬盘权限篇 2 二、 服务器安全设置之 -- 系统服务篇 （ 设置完毕需要重新启动 ） 13 三、 服务器安全设置之 -- 组件安全设置篇 18 四、 服务器安全设置之 -- 本地安全策略设置 （重要） 20 A、 策略—— ＞密码策略 20 B、 策略—— ＞锁定策略 20 D、 本地策略—— ＞用户权限分配 21 E、 本地策略—— ＞安全选项 21 五、 服务器安全设置之 -- 本地安全策略 -IP 安全策略 22 六、 服务器安全设置之 -- 高级安全 windows 防火墙 （ 掌握好很重要 ） 23 七、 服务器安全设置之 -- 本地安全策略 -高级审核策略配置 24 系统审核策略—— ＞登录 24 系统审核策略—— ＞管理 24 系统审核策略—— ＞详细跟踪 25 系统审核策略一一＞DS访问 25 系统审核策略—— ＞登陆/注销 25 系统审核策略—— ＞对象访问 25 系统审核策略—— ＞策略更改 25 系统审核策略—— ＞特权使用 25 八、 服务器安全设置之 -- 远程桌面服务策略 26 九、 服务器安全设置之 -- 组策略配置（掌握好很重要） 26 十、 服务器安全设置之 -- 用户安全设置 28 十^一、 选配一防御PHP木马攻击的技巧 30 、服务器安全设置之--硬盘权限篇 这里着重谈需要的权限，也就是最终文件夹或硬盘需要的权限， 可以防御各种木 马入侵，提权攻击，跨站攻击等。本实例经过多次试验，安全性能很好，服务器 基本没有被木马威胁的担忧了（注：红色背景为主要审查配置对象）。 硬盘或文件夹：C: D: E: F:类推 | 其他权限部分： Admi nistrators 完全控制 无 如果安装了其他运行环境，比如PHP等， 则根据PHP勺环境功能要求来设置硬盘 权限，一般是安装目录加上users读取 运行权限就足够了，比如c:php的话， 就在根目录权限继承的情况下加上 users读取运行权限，需要写入数据的 比如tmp文件夹，则把users的与删权 限加上，运行权限不要，然后把虚拟主 机用户的读权限拒绝即可。如果是mysql 的话，用一个独立用户运行 MYSQ会更 安全，下面会有介绍。如果是 winwebmail，则最好建立独立的应用程 序池和独立IIS用户，然后整个安装目 录有users用户的读/运行/写/权限， IIS用户则相同，这个IIS用户就只用在 winwebmail的WEE访问中，其他IIS 站 点切勿使用，安装了 winwebmail的服 务器硬盘权限设置后面举例 该文件夹，子文件夹 及文件 ＜不是继承的＞ SYSTE Ml全控制 该文件夹，子文件夹 及文件 ＜不是继承的＞ 硬盘或文件夹：C:Inetpub 其他权限部分： Admi nistrators 完全控制 无 该文件夹，子文件夹 及文件 ＜继承于c:＞ CREATOR OWN 完全控制 L 只有子文件夹及文件 ＜继承于c:＞ SYSTEM 完全控制  该文件夹，子文件夹 及文件 ＜继承于c:＞ 硬盘或文件夹：C:Inetpub/temp 其他权限部分： Admi nistrators 完全控制 Users 读取，读取和执行 该文件夹，子文件夹 及文件 该文件夹，子文件 夹及文件 ＜不是继承的＞ ＜不是继承的＞ SYSTE Ml全控制 该文件夹，子文件夹 及文件 ＜不是继承的＞ 硬盘或文件夹：C:Inetpub/wwwroot 其他权限部分： Admi nistrators 完全控制 IIS_IUSR 读取运行/列出文件夹 目录/读取 该文件夹，子文件夹 及文件 该文件夹，子文件夹及 文件 ＜不是继承的＞ ＜不是继承的＞ SYSTE 完全控制 Users 读取运行/列出文件夹 目录/读取 该文件夹，子文件夹 及文件 该文件夹，子文件夹及 文件 ＜不是继承的＞ ＜不是继承的＞ 硬盘或文件夹:C:Inetpub/wwwroot/aspnet_client 其他权限部分： Admi nistrators 完全控制 Users 读取 该文件夹，子文件夹 及文件 该文件夹，子文件夹及 文件 ＜不是继承的＞ ＜不是继承的＞ SYSTE \完全控制  该文件夹，子文件夹 及文件 ＜不是继承的＞ 硬盘或文件夹：C:Users 其他权限部分： Admi nistrators 完全控制 Users 读取和运行（包