[備忘]windows下IIS6.0網站最小許可權設定全攻略

技術小胖子發表於2017-11-15

先來個大概備忘錄安全策略,很多細節來不及寫了。

分割槽,使用NTFS格式化

事先規劃好分割槽,及目錄,以及設定各資料夾許可權,每根目錄只保留Administrators組的、系統組許可權。

C:Documents and Settings刪除除了Administrators組的其他組許可權,需手工重置子檔案和目錄許可權。

管理員賬號 密碼設定為強壯交叉密碼,10位到16位

刪除c:inetpub目錄中的所屬資料夾

刪除C:WINNTsystem32inetsrv中的iisadmpwd目錄。

在本地安全策略中將使用者到期時間改為0(永久不過期)

修改系統安全策略,設定帳戶策略中的密碼最長留存期為”0”;定製稽核策略

1) 賬戶管理 成功 失敗 

2) 登入事件 成功 失敗 

3) 物件訪問 失敗 

4) 策略更改 成功 失敗 

5) 特權使用 失敗 

6) 系統事件 成功 失敗 

7) 目錄服務訪問 失敗 

8) 賬戶登入事件 成功 失敗

應稽核的目錄包括:system32,sql2000,等等其他的。稽核過程如下:

資料夾屬性—安全—高階—稽核—新增—everyone—全部失敗成功稽核

修改事件檢視器日誌屬性, 51200K。

預防DoS:

在登錄檔HKLMSYSTEMCurrentControlSetServicesTcpipParameters中更改以下值,可防禦一定強度的DoS攻擊 

“TcpTimedWaitDelay” REG_DWORD=30

開起了伺服器埠安全設定(TCP/IP篩選功能)。

開啟系統防火牆,將規劃好的需要開啟的埠均新增到防火牆中。

保證“本地連線屬性”中的“Mircosoft 網路客戶”和“Mircosoft 網路的檔案和列印共項”去掉勾選。

安裝防病毒軟體

不管IIS6.0新增ASP虛擬站點,還php虛擬主機。

獨立匿名訪問使用者,並且去掉全部屬組,即空白組

建立獨立的IIS地址池

為虛擬目錄設定適當的訪問許可權

當前應用程式對映列表

然後參照下表刪除相關類別:

如果不使用下列應用 就刪除掉以下專案
基於Web的口令修改 .htr
Internet資料庫聯結器 (注意:所有的IIS5 Web伺服器將使用ADO等相似技術代替資料庫聯結器) .idc
伺服器端包含檔案(Server-side Includes) .stm, .shtm, and .shtml
Internet列印 .printer
索引服務( 

Index Server)

.htw, .ida and .id

q





     本文轉自jimmy_lixw 51CTO部落格,原文連結:http://blog.51cto.com/jimmyli/587065,如需轉載請自行聯絡原作者




相關文章