网站服务器安全配置 防木马权限设置(15)

网站服务器安全配置 防木马权限设置

2) 需要经过验证的ASP页面，可跟踪上一个页面的文件名，只有从上一页面转进来的会话才能读取这个页面。

3) 防止ASP主页.inc文件泄露问题;

4) 防止UE等编辑器生成some.asp.bak文件泄露问题。

6、IIS权限设置的思路

·要为每个独立的要保护的个体（比如一个网站或者一个虚拟目录）创建一个系统用户，让这个站点在系统中具有惟一的可以设置权限的身份。

·在IIS的【站点属性或者虚拟目录属性→目录安全性→匿名访问和验证控制→编辑→匿名访问→编辑】填写刚刚创建的那个用户名。

·设置所有的分区禁止这个用户访问，而刚才这个站点的主目录对应的那个文件夹设置允许这个用户访问（要去掉继承父权限，并且要加上超管组和SYSTEM组）。

网站服务器安全配置 防木马权限设置

7、卸载最不安全的组件（注意: 按实际要求删除，删除后用不了FSO的）

(如下设置，我们已经写一个CMD脚本，按要求复制运行即可以取代如下手工设定,)

最简单的办法是直接卸载后删除相应的程序文件。将下面的代码保存为一个.BAT文件，( 以下均以 WIN2000 为例，如果使用2003，则系统文件夹应该是 C:\WINDOWS\ ) regsvr32/u C:\WINDOWS\System32\wshom.ocx del C:\WINDOWS\System32\wshom.ocx

regsvr32/u C:\WINDOWS\system32\shell32.dll del C:\WINNT\WINDOWS\shell32.dll

然后运行一下，WScript.Shell, Shell.application, work就会被卸载了。可能会提示无法删除文件，不用管它，重启一下服务器，你会发现这三个都提示“×安全”了。

为了方便大家，和减示错误，大部份步骤可以用如下脚本代替，我已经改成脚本cmd，新建一个txt文把，把如下代码，复制到里面后，把扩展名改为.cmd 双击运行，运行后，请按提示backup。 代码如下

网站服务器安全配置 防木马权限设置

ECHO. -------------------------------------------------------------------------

ECHo 请按提示操作备份好注册表,否则修改后无法还原,本人不负责.

ECHO.

ECHO YES=next set NO=exit (this time 30 Second default for n)

ECHO. ---------

----------------------------------------------------------------

CHOICE /T 30 /C yn /D n

if errorlevel 2 goto end

if errorlevel 1 goto next

:next

if EXIST backup (echo.)else md backup

if EXIST temp (rmdir /s/q temp|md temp) else md temp

if EXIST backup\backupkey.reg (move backup\backupkey.reg backup\backupkey_old.reg ) else goto run

:run

regedit /e temp\backup-reg1.key1 "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\"

regedit /e temp\backup-reg2.key2 "HKEY_CLASSES_ROOT\"

copy /b /y /v temp\backup-reg1.key1+temp\backup-reg2.key2 backup\backupkey.reg

if exist backup\wshom.ocx (echo 备份已存在) else copy /v/y %SystemRoot%\System32\wshom.ocx

网站服务器安全配置 防木马权限设置

backup\wshom.ocx

if exist backup\shell32.dll (echo 备份已存在) else copy /v/y %SystemRoot%\system32\shell32.dll backup\shell32.dll

ECHO 备份已经完成

ECHO.

goto next2

:next2

ECHO.

ECHO. -------------------------------------------------------------------

ECHo 修改权限 system32 目录中不安全的几个 exe 文件,改为只有 Administrators 才有权限运行

ECHO YES=next set NO=this set ignore (this time 30 Second default for y)

ECHO. -------------------------------------------------------------------

CHOICE /T 30 /C yn /D y

if errorlevel 2 goto next3

if errorlevel 1 goto next21

:next21

xcacls.exe %SystemRoot%\system32\net.exe /t /g Administrators:F /y /C

xcacls.exe %SystemRoot%\system32\net1.exe /t /g Administrators:F /y /C

xcacls.exe %SystemRoot%\system32\cmd.exe /t /g Administrators:F /y /C

网站服务器安全配置 防木马权限设置

xcacls.exe %SystemRoot%\system32\tftp.exe /t /g Administrators:F /y /C

xcacls.exe %SystemRoot%\system32\netstat.exe /t /g Administrators:F /y /C

xcacls.exe %SystemRoot%\system32\regedit.exe /t /g Administrators:F /y /C

xcacls.exe %SystemRoot%\system32\at.exe /t /g Administrators:F /y /C

xcacls.exe %SystemRoot%\system32\attrib.exe /t /g Administrators:F /y /C

xcacls.exe %SystemRoot%\system32\cacls.exe /t /g Administrators:F /y /C

xcacls.exe %SystemRoot%\system32\ /t /g Administrators:F /y /C

xcacls.exe %SystemRoot%\system32\secedit.exe /t /g Administrators:F /y /C

echo "虚拟主机 C 盘权限设定"

echo "删除 C 盘的 everyone 的权限"

cd/

cacls "%SystemDrive%" /r "everyone" /e

cacls "%SystemRoot%" /r "everyone" /e

cacls "%SystemRoot%/Registration" /r "everyone" /e

cacls "%SystemDrive%/Documents and Settings" /r "everyone" /e

echo "删除 C 盘的所有的 users 的访问权限"

cacls "%SystemDrive%" /r "users" /e

网站服务器安全配置 防木马权限设置

cacls "%SystemDrive%/Program Files" /r "users" /e

cacls "%SystemDrive%/Documents and Settings" /r "users" /e

cacls "%SystemRoot%" /r "users" /e

cacls "%SystemRoot%/addins" /r "users" /e

cacls "%SystemRoot%/AppPatch" /r "users" /e

cacls "%SystemRoot%/Connection Wizard" /r "users" /e

cacls "%SystemRoot%/Debug" /r "users" /e

cacls "%S …… 此处隐藏：3175字，全部文档内容请下载后查看。喜欢就下载吧 ……