开发者社区> 技术小胖子> 正文

[备忘]windows下IIS6.0网站最小权限设置全攻略

简介:
+关注继续查看

先来个大概备忘录安全策略,很多细节来不及写了。

分区,使用NTFS格式化
事先规划好分区,及目录,以及设置各文件夹权限,每根目录只保留Administrators组的、系统组权限。
C:\Documents and Settings删除除了Administrators组的其他组权限,需手工重置子文件和目录权限。
管理员账号 密码设置为强壮交叉密码,10位到16位
删除c:\inetpub目录中的所属文件夹
删除C:\WINNT\system32\inetsrv中的iisadmpwd目录。
在本地安全策略中将用户到期时间改为0(永久不过期)

修改系统安全策略,设置帐户策略中的密码最长留存期为”0”;定制审核策略
1) 账户管理 成功 失败 
2) 登录事件 成功 失败 
3) 对象访问 失败 
4) 策略更改 成功 失败 
5) 特权使用 失败 
6) 系统事件 成功 失败 
7) 目录服务访问 失败 
8) 账户登录事件 成功 失败
应审核的目录包括:system32,sql2000,等等其他的。审核过程如下:
文件夹属性—安全—高级—审核—添加—everyone—全部失败成功审核
修改事件查看器日志属性, 51200K。

预防DoS:
在注册表HKLM\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters中更改以下值,可防御一定强度的DoS攻击 
"TcpTimedWaitDelay" REG_DWORD=30

开起了服务器端口安全设置(TCP/IP筛选功能)。
开启系统防火墙,将规划好的需要打开的端口均添加到防火墙中。
保证“本地连接属性”中的“Mircosoft 网络客户”和“Mircosoft 网络的文件和打印共项”去掉勾选。
安装防病毒软件

不管IIS6.0添加ASP虚拟站点,还php虚拟主机。
独立匿名访问用户,并且去掉全部属组,即空白组
建立独立的IIS地址池
为虚拟目录设置适当的访问权限
当前应用程序映射列表
然后参照下表删除相关类别:

如果不使用下列应用 就删除掉以下项目
基于Web的口令修改 .htr
Internet数据库连接器 (注意:所有的IIS5 Web服务器将使用ADO等相似技术代替数据库连接器) .idc
服务器端包含文件(Server-side Includes) .stm, .shtm, and .shtml
Internet打印 .printer
索引服务( 
Index Server)

.htw, .ida and .id

q





     本文转自jimmy_lixw 51CTO博客,原文链接:http://blog.51cto.com/jimmyli/587065,如需转载请自行联系原作者




版权声明:本文内容由阿里云实名注册用户自发贡献,版权归原作者所有,阿里云开发者社区不拥有其著作权,亦不承担相应法律责任。具体规则请查看《阿里云开发者社区用户服务协议》和《阿里云开发者社区知识产权保护指引》。如果您发现本社区中有涉嫌抄袭的内容,填写侵权投诉表单进行举报,一经查实,本社区将立刻删除涉嫌侵权内容。

相关文章
.NET开发不可错过的25款必备工具,徐汇区网站设计
【Csdn独家译稿 7月12日】这些年来,我们的.NET开发团队不断在更新升级开发工具,这也提供了一个机会,让我们能对.NET系列的开发工具做出不断的评估和规范。以下是我们总结出的一些.NET开发不可错过的高效工具。
1346 0
IIS 添加mime 支持 apk,exe,.woff,IIS MIME设置 ,Android apk下载的MIME 设置 苹果ISO .ipa下载mime 设置
原文:IIS 添加mime 支持 apk,exe,.woff,IIS MIME设置 ,Android apk下载的MIME 设置 苹果ISO .ipa下载mime 设置 站点--右键属性--http头 扩展名  mime类型.
1433 0
前后端分离实践:基于vue实现网站前台的权限管理
Javascript做为当下的热门语言,用途很广泛,从前端到后端处处可见其存在,该技术如今在我们项目内部也大量使用来开发诸如CMS系统以及其他其他一些数据分析系统的前端页面,为此个人非常感兴趣并将其作为帽子卡的扩展内容来进行课余学习。
3936 0
21114
文章
0
问答
文章排行榜
最热
最新
相关电子书
更多
JS零基础入门教程(上册)
立即下载
性能优化方法论
立即下载
手把手学习日志服务SLS,云启实验室实战指南
立即下载