系统环境Windows Server 2022 数据中心版
a、卸载WScript.Shell, Shell.application, WScript.Network组件:
regsvr32 /u C:\Windows\System32\wshom.ocx
regsvr32 /u C:\Windows\SysWOW64\wshom.ocx
regsvr32 /u C:\Windows\System32\shell32.dll
regsvr32 /u C:\Windows\SysWOW64\shell32.dll
b、C盘根目录权限:Administrators和SYSTEM对"此文件夹、子文件夹和文件":完全控制
Users对"只有该文件夹":读取(没这远程桌面会登录不了),其他全部删除:
icacls %SYSTEMDRIVE%\ /remove everyone /C
icacls %SYSTEMDRIVE%\ /remove users /C
icacls %SYSTEMDRIVE%\ /remove "creator owner" /C
icacls %SYSTEMDRIVE%\ /remove *S-1-15-2-1 /C
icacls %SYSTEMDRIVE%\ /remove *S-1-15-2-2 /C
icacls %SYSTEMDRIVE%\ /remove *S-1-5-11 /C
icacls %SYSTEMDRIVE%\ /remove *S-1-5-80-956008885-3418522649-1831038044-1853292631-2271478464 /C
icacls %SYSTEMDRIVE%\ /remove "IIS_IUSRS" /C
icacls %SYSTEMDRIVE%\ /grant users:(CI)(GR) /C
对以上一条的说明 Win2022需要users对系统盘"此文件夹和子文件夹"的"读取权限"权限,否则远程桌面登陆不了
低于Win2012-Win2019系统只用读取属性icacls %SYSTEMDRIVE%\ /grant:r users:(RA)
c、D盘和其他盘权限:Administrators和SYSTEM对"此文件夹、子文件夹和文件":完全控制,其他用户的权限全部删除
icacls D:\ /remove everyone /C
icacls D:\ /remove users /C
icacls D:\ /remove "creator owner" /C
icacls D:\ /remove *S-1-15-2-1 /C
icacls D:\ /remove *S-1-15-2-2 /C
icacls D:\ /remove *S-1-5-11 /C
icacls D:\ /remove *S-1-5-80-956008885-3418522649-1831038044-1853292631-2271478464 /C
icacls D:\ /remove "IIS_IUSRS" /C
如果运行NET类网站有问题可以增加icacls D:\ /grant:r users:(RA)给users读取属性权限(只有该文件夹)【一般不加】
安装护卫神V4.2搭建WEB网站环境 安装到D盘D:\HwsHostMaster
用护卫神配置好ASP\PHP\NET全能环境(不要用护卫神关闭NET,会使得程序池用户和网站权限不够)
安装后删除桌面和安装目录中的"主机大师使用说明"(文件中有管理密码等,明文放服务器不安全,请保存到本地)
1、对IIS相关目录权限设置并关闭默认网站
1.1、在IIS中停用"Default Web Site"默认网站
1.2、对C:\inetpub的删除Users等用户的权限
禁用继承takeown /f "%SystemDrive%\inetpub" /r /d y这里不需要,因为目前对C盘删除了其他用户的权限
icacls "%SystemDrive%\inetpub" /remove Users /C
icacls "%SystemDrive%\inetpub" /remove "IIS_IUSRS" /C
icacls "%SystemDrive%\inetpub" /remove "NT SERVICE\TrustedInstaller" /C
icacls "%SystemDrive%\inetpub" /remove "CREATOR OWNER" /C
icacls "%SystemDrive%\inetpub\wwwroot" /grant:r "Users:(OI)(CI)R"
不增加上面这条默认网站的Users的读取权限,会造成默认网站访问出错
1.3、对C:\inetpub\temp增加IIS_IUSRS读写权限[这个权限会使得PHP/ASPX木马读取网站列表和配置]:
icacls "%SystemDrive%\inetpub\temp" /grant:r "IIS_IUSRS:(OI)(CI)(R,W)"
为了安全只加读取权限
icacls "%SystemDrive%\inetpub\temp" /grant:r "IIS_IUSRS:(OI)(CI)(R)"
如果不加上面这条会造成网站对应的程序池停止,因为网站运行要读\C:\inetpub\temp\apppools里config各自配置文件
加(OI)(CI)就是应用于此文件夹/子文件夹和文件,否则仅应用于此文件夹
2、主机大师主控网站安全加强
主机大师主控网站目录一般在D:\HwsHostMaster\host\web
2.1、防火墙入站规则中删除6588端口的开放规则
netsh advfirewall firewall delete rule name="护卫神·主机大师端口"
2.2、IIS网站管理中--IP地址和域限制--右边"编辑功能设置"--将"未指定的客户端的访问权限"设置为"拒绝"
IIS网站管理中--IP地址和域限制--右边"添加允许条目"--将"127.0.0.1"添加进去让本地能访问
2.3、取消网站运行用户对主控网站目录的写入权限
icacls "D:\HwsHostMaster\host\web" /deny "huweishen885553:(OI)(CI)W"
请注意替换上面主控网站的程序池名huweishen885553为正确的
2.4、删除IIS_IUSRS在主控网站主控的权限,增加程序池用户的读取权限
icacls "D:\HwsHostMaster\host\web" /remove IIS_IUSRS /C
icacls "D:\HwsHostMaster\host\web" /grant:r "IIS AppPool\HwsHostPool66185:(OI)(CI)R"
请注意替换上面主控网站的程序池名HwsHostPool66185为正确的
不加程序池用户的读取权限会造成主控网站访问有问题
如果这里出现主控网站访问有问题就加上IIS_IUSRS读权限或者重新增加减程序池用户权限
3、 phpMyAdmin网站权限加强
phpMyAdmin网站目录一般在D:\HwsHostMaster\phpweb\phpmyadmin
3.1、取消网站运行用户PhpMyAdmin_HWS对网站目录的写入权限
换位思考 就是增加网站运行用户的拒绝权限 在权限中拒绝权限大于允许权限
icacls "D:\HwsHostMaster\phpweb\phpmyadmin\web" /deny "PhpMyAdmin_HWS:(OI)(CI)W"
3.2、删除IIS_IUSRS在网站目录的权限,换成程序池用户读取权限
icacls "D:\HwsHostMaster\phpweb\phpmyadmin\web" /remove IIS_IUSRS /C
icacls "D:\HwsHostMaster\phpweb\phpmyadmin\web" /grant:r "IIS AppPool\PhpMyAdmin_HWS:(OI)(CI)R"
4、修改myodbc安装目录的权限
D:\HwsHostMaster\phpweb\myodbc\x64
D:\HwsHostMaster\phpweb\myodbc\x86
删除Everyone用户的权限 加上users读取和执行的权限
icacls "D:\HwsHostMaster\phpweb\myodbc\x64" /remove Everyone /C
icacls "D:\HwsHostMaster\phpweb\myodbc\x86" /remove Everyone /C
icacls "D:\HwsHostMaster\phpweb\myodbc\x64" /grant:r "users:(OI)(CI)RX"
icacls "D:\HwsHostMaster\phpweb\myodbc\x86" /grant:r "users:(OI)(CI)RX"
但删除 D:\HwsHostMaster\phpweb\myodbc\*\myodbc-installer.exe文件的users权限
也就是添加拒绝权限
icacls "D:\HwsHostMaster\phpweb\myodbc\x64\myodbc-installer.exe" /deny "users:RX"
icacls "D:\HwsHostMaster\phpweb\myodbc\x86\myodbc-installer.exe" /deny "users:RX"
由于是单个文件所以不加(OI)(CI)参数
5、PHP的安装目录只保留一个php-cgi.exe的exe文件
PHP5.2没有php-cgi.exe所以目录不要有任何exe文件
默认已经是将PHP运行在FastCGI模式下
set PHPRUL=D:\HwsHostMaster\phpweb\php
del /f /q "%PHPRUL%52\php.exe" "%PHPRUL%52\php-win.exe" "%PHPRUL%52\phpdbg.exe" "%PHPRUL%52\deplister.exe"
del /f /q "%PHPRUL%53\php.exe" "%PHPRUL%53\php-win.exe" "%PHPRUL%53\phpdbg.exe" "%PHPRUL%53\deplister.exe"
del /f /q "%PHPRUL%54\php.exe" "%PHPRUL%54\php-win.exe" "%PHPRUL%54\phpdbg.exe" "%PHPRUL%54\deplister.exe"
del /f /q "%PHPRUL%55\php.exe" "%PHPRUL%55\php-win.exe" "%PHPRUL%55\phpdbg.exe" "%PHPRUL%55\deplister.exe"
del /f /q "%PHPRUL%56\php.exe" "%PHPRUL%56\php-win.exe" "%PHPRUL%56\phpdbg.exe" "%PHPRUL%56\deplister.exe"
del /f /q "%PHPRUL%70\php.exe" "%PHPRUL%70\php-win.exe" "%PHPRUL%70\phpdbg.exe" "%PHPRUL%70\deplister.exe"
del /f /q "%PHPRUL%71\php.exe" "%PHPRUL%71\php-win.exe" "%PHPRUL%71\phpdbg.exe" "%PHPRUL%71\deplister.exe"
del /f /q "%PHPRUL%72\php.exe" "%PHPRUL%72\php-win.exe" "%PHPRUL%72\phpdbg.exe" "%PHPRUL%72\deplister.exe"
del /f /q "%PHPRUL%73\php.exe" "%PHPRUL%73\php-win.exe" "%PHPRUL%73\phpdbg.exe" "%PHPRUL%73\deplister.exe"
del /f /q "%PHPRUL%74\php.exe" "%PHPRUL%74\php-win.exe" "%PHPRUL%74\phpdbg.exe" "%PHPRUL%74\deplister.exe"
del /f /q "%PHPRUL%80\php.exe" "%PHPRUL%80\php-win.exe" "%PHPRUL%80\phpdbg.exe" "%PHPRUL%80\deplister.exe"
del /f /q "%PHPRUL%81\php.exe" "%PHPRUL%81\php-win.exe" "%PHPRUL%81\phpdbg.exe" "%PHPRUL%81\deplister.exe"
del /f /q "%PHPRUL%82\php.exe" "%PHPRUL%82\php-win.exe" "%PHPRUL%82\phpdbg.exe" "%PHPRUL%82\deplister.exe"
del /f /q "%PHPRUL%83\php.exe" "%PHPRUL%83\php-win.exe" "%PHPRUL%83\phpdbg.exe" "%PHPRUL%83\deplister.exe"
icacls "%PHPRUL%52\pws-php5cgi.reg" /deny "users:RX"
icacls "%PHPRUL%52\pws-php5isapi.reg" /deny "users:RX"
6.1、 PHP安装文件夹权限结构:
administrator 完全控制
system 完全控制
users 读取和执行
其他用户的权限一律删除:
set PHPRUL=D:\HwsHostMaster\phpweb\php
icacls "%PHPRUL%52" /remove Everyone /C
icacls "%PHPRUL%52" /remove IIS_IUSRS /C
icacls "%PHPRUL%53" /remove Everyone /C
icacls "%PHPRUL%53" /remove IIS_IUSRS /C
icacls "%PHPRUL%54" /remove Everyone /C
icacls "%PHPRUL%54" /remove IIS_IUSRS /C
icacls "%PHPRUL%55" /remove Everyone /C
icacls "%PHPRUL%55" /remove IIS_IUSRS /C
icacls "%PHPRUL%56" /remove Everyone /C
icacls "%PHPRUL%56" /remove IIS_IUSRS /C
icacls "%PHPRUL%70" /remove Everyone /C
icacls "%PHPRUL%70" /remove IIS_IUSRS /C
icacls "%PHPRUL%71" /remove Everyone /C
icacls "%PHPRUL%71" /remove IIS_IUSRS /C
icacls "%PHPRUL%72" /remove Everyone /C
icacls "%PHPRUL%72" /remove IIS_IUSRS /C
icacls "%PHPRUL%73" /remove Everyone /C
icacls "%PHPRUL%73" /remove IIS_IUSRS /C
icacls "%PHPRUL%74" /remove Everyone /C
icacls "%PHPRUL%74" /remove IIS_IUSRS /C
icacls "%PHPRUL%80" /remove Everyone /C
icacls "%PHPRUL%80" /remove IIS_IUSRS /C
icacls "%PHPRUL%81" /remove Everyone /C
icacls "%PHPRUL%81" /remove IIS_IUSRS /C
icacls "%PHPRUL%82" /remove Everyone /C
icacls "%PHPRUL%82" /remove IIS_IUSRS /C
icacls "%PHPRUL%83" /remove Everyone /C
icacls "%PHPRUL%83" /remove IIS_IUSRS /C
6.2、注意PHP缓存目录的权限D:\HwsHostMaster\phpweb\php*\tmp要单独看一下
看一下php.ini配置文件中session.save_path和upload_tmp_dir的值
是否配置了session公用缓存目录
6.2.1、方法一:
修改php*\php.ini各版本的配置信息,前面加;将自定义缓存目录注释掉,
就会自动将缓存等使用系统的默认缓存目录C:\Windows\Temp
;session.save_path ="D:\HwsHostMaster\phpweb\php*\temp\"
;upload_tmp_dir ="D:\HwsHostMaster\phpweb\php*\temp\"
然后删除缓存文件夹中Everyone的权限:
set PHPRUL=D:\HwsHostMaster\phpweb\php
icacls "%PHPRUL%52\temp" /remove Everyone /C
icacls "%PHPRUL%53\temp" /remove Everyone /C
icacls "%PHPRUL%54\temp" /remove Everyone /C
icacls "%PHPRUL%55\temp" /remove Everyone /C
icacls "%PHPRUL%56\temp" /remove Everyone /C
icacls "%PHPRUL%70\temp" /remove Everyone /C
icacls "%PHPRUL%71\temp" /remove Everyone /C
icacls "%PHPRUL%72\temp" /remove Everyone /C
icacls "%PHPRUL%80\temp" /remove Everyone /C
icacls "%PHPRUL%81\temp" /remove Everyone /C
icacls "%PHPRUL%82\temp" /remove Everyone /C
icacls "%PHPRUL%83\temp" /remove Everyone /C
6.2.2、方法二 (建议用上面的6.2.1方法一):
要注意session缓存目录的权限:
administrator 完全控制
system 完全控制
users 读取和写入 另外在详细高级权限中加上 删除子文件夹以文件、删除 这个2个子权限
users 拒绝类型 删除 只有该文件夹
users 高级权限中删除写入属性、写入扩展属性 这2个子权限
为了预防网站存在漏洞,被黑客创建隐藏文件和只读文件到PHP公用的session缓存目录:
set PHPRUL=D:\HwsHostMaster\phpweb\php
icacls "%PHPRUL%52\temp" /remove Everyone /C
icacls "%PHPRUL%52\temp" /grant:r "users:(OI)(CI)RW"
icacls "%PHPRUL%52\temp" /grant "users:(OI)(CI)(DC,DE)"
icacls "%PHPRUL%52\temp" /deny "users:D"
icacls "%PHPRUL%52\temp" /deny "users:(OI)(CI)(WA,WEA)"
多个PHP全部要设置,这里就不列出所有的
7、IIS其他组件的文件夹权限:
如aspjpeg、aspupload、jmail等
administrator 完全控制
system 完全控制
users 读取和执行
其他用户的权限一律删除
8、 Mysql数据库文件夹权限
先将mysql数据库运行在没加入任何用户组的独立用户下(默认已是)
8.1、Mysql安装所在分区权限:
administrator 完全控制
system 完全控制
Mysql运行用户MySQL_HWS 读取权限(单小项)和读取属性 只有该文件夹
icacls D:\ /grant:r "MySQL_HWS:(RC,RA)"
8.2、Mysql安装文件夹mysql的权限(上级目录不需要设置)(默认已是)
D:\HwsHostMaster\phpweb\mysql权限结构:
administrator 完全控制
system 完全控制
Mysql运行用户MySQL_HWS 读取和执行
8.3、Mysql数据库目录D:\HwsHostMaster\phpweb\mysql\data权限(默认已是):
administrator 完全控制
system 完全控制
Mysql运行用户MySQL_HWS 完全控制
我们也可以通过修改mysql\my.ini文件中的参数将数据库放其他分区
datadir="E:/MySQL5735/data/"
innodb_data_home_dir ="E:/MySQL5735/data/"
innodb_log_group_home_dir ="E:/MySQL5735/data/"
9、MsSQL数据库安全:
请安装SQL2014或以上版本到非C盘即可
10、 ASP.NET的安全设置:
<trust level="Full" originUrl="" />的参数说明
有Full|High|Medium|Low|Minimal对应"完全没限制的权限|高的权限|中|低|最低权限"
修改文件
C:\Windows\Microsoft.NET\Framework\v2.0.50727\CONFIG\web.config文件
和C:\Windows\Microsoft.NET\Framework64\v2.0.50727\CONFIG\web.config
net宽松权限:
<location allowOverride="true">改为:
<location allowOverride="false">
<trust level="Full" originUrl=""/>改为(下面只是加多一行):
<trust level="Full" originUrl="" />
<identity impersonate="true" />(但这行加了会使得集成模式出错)
net严格权限:
<location allowOverride="true">改为:
<location allowOverride="false">
<trust level="Full" originUrl=""/>改为(参数为High):
<trust level="High" originUrl="" />
<identity impersonate="true" />---这行不用加,会使得集成模式出错
修改文件
C:\Windows\Microsoft.NET\Framework\v4.0.30319\CONFIG\web.config文件
和C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CONFIG\web.config
net宽松权限:
<location allowOverride="true">改为:
<location allowOverride="false">
<trust level="Full" originUrl="" />改为(下面只是加多一行):
<trust level="Full" originUrl="" />
<identity impersonate="true" />---这行加了会使得集成模式出错
net严格权限:
<location allowOverride="true">改为:
<location allowOverride="false">
<trust level="Full" originUrl="" />改为(参数为High):
<trust level="High" originUrl="" />
<identity impersonate="true" />---这行不用加,会使得集成模式出错
直接用powershell命令行替换:
11、如果长期不使用主机大师控制面板时将HwsHostEx、HwsHostSvc、HwsHostWebEx三个服务停用
需要使用时再开启
12、关闭系统共享功能 并设置IP安全策略屏蔽一些高危险端口的被外部访问
在IP安全策略中单独限制1433和3306端口被外部访问
13、使用权限处理工具2012和2018进行权限设置处理
2018权限处理工具中对Win2016专项处理权限的目录为:
C:\Windows\Vss
C:\Windows\tracing
C:\Windows\Tasks
C:\Windows\SysWOW64\wbem\Logs
C:\Windows\System32\wbem\Logs
C:\Windows\SysWOW64\Tasks
C:\Windows\System32\Tasks
C:\Windows\System32\spool\drivers\color
C:\Windows\System32\Microsoft\Crypto\RSA\MachineKeys
C:\Windows\System32\Ipmi
C:\Windows\SysWOW64\Ipmi
C:\Windows\System32\ias
C:\Windows\servicing\Sessions
C:\Windows\servicing\Packages
C:\Windows\ServiceProfiles\NetworkService
C:\Windows\ModemLogs
C:\Users\Default
C:\Users\All Users\USOShared\Logs
C:\Users\All Users\Microsoft\WinMSIPC\Server
C:\Users\All Users\Microsoft\Windows\WER
C:\Users\All Users\Microsoft\Windows\DeviceMetadataCache\dmrccache
C:\Users\All Users\Microsoft\User Account Pictures
C:\Users\All Users\Microsoft\Speech_OneCore
C:\Users\All Users\Microsoft\NetFramework\BreadcrumbStore
C:\Users\All Users\Microsoft\DRM\Server
C:\Users\All Users\Microsoft\DeviceSync
说明:实际上C:\Users\All Users=C:\ProgramData
其他说明:
执行专项权限处理后 如果是Hyper-V的虚拟机中,会引起的Hyper-V Time Synchronization Service服务不停的启动和关闭,可以在服务里将Hyper-V Time Synchronization Service服务禁用。
日志中会不停出现报错信息:安排软件保护服务在 2024-10-14T08:48:29Z 时重新启动失败。错误代码: 0x80070005。
对SoftwareProtection计划任务的文件增加权限即可:
icacls "%windir%\System32\Tasks\Microsoft\Windows\SoftwareProtectionPlatform\SvcRestartTask" /grant:r "NT Service\sppsvc:F"
在WIN2012中还需要对%windir%\System32\Tasks\Microsoft\Windows\SoftwareProtectionPlatform加上Everyone的读取权限
icacls "%windir%\System32\Tasks\Microsoft\Windows\SoftwareProtectionPlatform" /grant:r "Everyone:(OI)(CI)(R)"
14、主机大师开通的网站权限加强
假设存放所有网站的总目录为D:\wwwroot
D:\wwwroot目录:只保留 Administrators和SYSTEM完全控制 权限 其他的权限删除
如删除Users 用户的权限-先禁用继承并复制-然后删除相关用户的权限 :
icacls "D:\wwwroot" /inheritance:d
icacls "D:\wwwroot" /remove Users /C
相关说明:
net代码的写入删除权限依赖程序池用户权限或IIS_IUSRS用户的权限(其一)
php代码的写入删除权限依赖网站身份验证匿名用户的权限
IIS_IUSRS用户不能有写入等权限否则会引起.net跨站攻击
伪静态组件需要IIS_IUSRS对网站目录读取权限
直接用bat脚本来处理主机大师开通的网站权限:
请注意修改bat脚本中的程序池名和网站根目录web的物理路径
最后的网站整体权限结构如下
假设存放所有网站的总目录为D:\wwwroot
其中一个网站的网站路径为:D:\wwwroot\oapiiscn_4obipu
该网站的根目录为:D:\wwwroot\oapiiscn_4obipu\web
D:\wwwroot目录:只保留 Administrators和SYSTEM完全控制 权限
D:\wwwroot\oapiiscn_4obipu目录:Administrators和SYSTEM完全控制权限、网站运行用户oapiiscn读取权限
D:\wwwroot\oapiiscn_4obipu\web目录:
Administrators和SYSTEM完全控制权限
网站运行用户oapiiscn读取和写入和删除权限(此文件夹、子文件夹和文件) 说明:删除权限要在高级中加
网站运行用户oapiiscn权限类型拒绝的删除权限(只要该文件夹) 说明:删除权限要在高级中加,类型要选拒绝,这个主要是解拒绝FTP将web目录删除
程序池用户oapiiscn读取和写入和删除权限(此文件夹、子文件夹和文件) 说明:删除权限要在高级中加
程序池用户oapiiscn权限类型拒绝的删除权限(只要该文件夹) 说明:删除权限要在高级中加,类型要选拒绝,这个主要是解拒绝FTP将web目录删除
说明:程序池用户完整名称是IIS AppPool\程序池名
15、系统C盘其他目录权限设置参考
www.piis.cn/zhishi/2177.html
16、其他安全加固
16.1、本地安全策略-本地策略-安全选项-网络访问:可远程访问的注册表路径 清空 和 网络访问:可远程访问的注册表路径和子路径 清空
16.2、本地安全策略-本地策略-用户权限分配-允许本地登录-只保留administrators管理员组 删除Backup Operators和Users
16.3、本地安全策略-本地策略-用户权限分配-允许远程桌面服务登录-添加administrator超级管理员或其他管理员 然后删除administrators管理员组 和Remote Desktop Users
16.4、本地安全策略-本地策略-安全选项-网络安全-网络安全:LAN管理器身份验证级别-将其修改为仅发送NTLMv2响应.拒绝LM个NTLM(&)
16.5、以下服务必须禁用:
Computer Browser、Print Spooler、Remote Registry、Routing and Remote Access
Server、TCP/IP NetBIOS Helper、Workstation
关闭Workstation服务防止ASP木马列出用户组和系统进程
由于关闭Workstation服务会关闭Remote Desktop Configuration服务
所以需要关闭Workstation服务前需要远程登陆下服务器
如果安装安全狗不要禁用Remote Registry服务
如果安装安全狗后提示网络驱动出现异常(驱动服务未启动)也可以先将Workstation服务开启,重新安装安全狗后再禁用Workstation服务
16.6、设置完以上权限后测试重启下Mysql看能正常重启不
如果不能启动运行,就在所在分区盘D:\加上Users的读取运行权限,就可以启动Mysql了
重启好MysqL后删除Users权限,删除Users权限后再测试重启MysqL,能正常启动Mysql了,很神奇,原因不明
17、安全加强 利用麦咖啡自定义规则对服务器进行加固
a、卸载WScript.Shell, Shell.application, WScript.Network组件:
regsvr32 /u C:\Windows\System32\wshom.ocx
regsvr32 /u C:\Windows\SysWOW64\wshom.ocx
regsvr32 /u C:\Windows\System32\shell32.dll
regsvr32 /u C:\Windows\SysWOW64\shell32.dll
b、C盘根目录权限:Administrators和SYSTEM对"此文件夹、子文件夹和文件":完全控制
Users对"只有该文件夹":读取(没这远程桌面会登录不了),其他全部删除:
icacls %SYSTEMDRIVE%\ /remove everyone /C
icacls %SYSTEMDRIVE%\ /remove users /C
icacls %SYSTEMDRIVE%\ /remove "creator owner" /C
icacls %SYSTEMDRIVE%\ /remove *S-1-15-2-1 /C
icacls %SYSTEMDRIVE%\ /remove *S-1-15-2-2 /C
icacls %SYSTEMDRIVE%\ /remove *S-1-5-11 /C
icacls %SYSTEMDRIVE%\ /remove *S-1-5-80-956008885-3418522649-1831038044-1853292631-2271478464 /C
icacls %SYSTEMDRIVE%\ /remove "IIS_IUSRS" /C
icacls %SYSTEMDRIVE%\ /grant users:(CI)(GR) /C
对以上一条的说明 Win2022需要users对系统盘"此文件夹和子文件夹"的"读取权限"权限,否则远程桌面登陆不了
低于Win2012-Win2019系统只用读取属性icacls %SYSTEMDRIVE%\ /grant:r users:(RA)
c、D盘和其他盘权限:Administrators和SYSTEM对"此文件夹、子文件夹和文件":完全控制,其他用户的权限全部删除
icacls D:\ /remove everyone /C
icacls D:\ /remove users /C
icacls D:\ /remove "creator owner" /C
icacls D:\ /remove *S-1-15-2-1 /C
icacls D:\ /remove *S-1-15-2-2 /C
icacls D:\ /remove *S-1-5-11 /C
icacls D:\ /remove *S-1-5-80-956008885-3418522649-1831038044-1853292631-2271478464 /C
icacls D:\ /remove "IIS_IUSRS" /C
如果运行NET类网站有问题可以增加icacls D:\ /grant:r users:(RA)给users读取属性权限(只有该文件夹)【一般不加】
安装护卫神V4.2搭建WEB网站环境 安装到D盘D:\HwsHostMaster
用护卫神配置好ASP\PHP\NET全能环境(不要用护卫神关闭NET,会使得程序池用户和网站权限不够)
安装后删除桌面和安装目录中的"主机大师使用说明"(文件中有管理密码等,明文放服务器不安全,请保存到本地)
1、对IIS相关目录权限设置并关闭默认网站
1.1、在IIS中停用"Default Web Site"默认网站
1.2、对C:\inetpub的删除Users等用户的权限
禁用继承takeown /f "%SystemDrive%\inetpub" /r /d y这里不需要,因为目前对C盘删除了其他用户的权限
icacls "%SystemDrive%\inetpub" /remove Users /C
icacls "%SystemDrive%\inetpub" /remove "IIS_IUSRS" /C
icacls "%SystemDrive%\inetpub" /remove "NT SERVICE\TrustedInstaller" /C
icacls "%SystemDrive%\inetpub" /remove "CREATOR OWNER" /C
icacls "%SystemDrive%\inetpub\wwwroot" /grant:r "Users:(OI)(CI)R"
不增加上面这条默认网站的Users的读取权限,会造成默认网站访问出错
1.3、对C:\inetpub\temp增加IIS_IUSRS读写权限[这个权限会使得PHP/ASPX木马读取网站列表和配置]:
icacls "%SystemDrive%\inetpub\temp" /grant:r "IIS_IUSRS:(OI)(CI)(R,W)"
为了安全只加读取权限
icacls "%SystemDrive%\inetpub\temp" /grant:r "IIS_IUSRS:(OI)(CI)(R)"
如果不加上面这条会造成网站对应的程序池停止,因为网站运行要读\C:\inetpub\temp\apppools里config各自配置文件
加(OI)(CI)就是应用于此文件夹/子文件夹和文件,否则仅应用于此文件夹
2、主机大师主控网站安全加强
主机大师主控网站目录一般在D:\HwsHostMaster\host\web
2.1、防火墙入站规则中删除6588端口的开放规则
netsh advfirewall firewall delete rule name="护卫神·主机大师端口"
2.2、IIS网站管理中--IP地址和域限制--右边"编辑功能设置"--将"未指定的客户端的访问权限"设置为"拒绝"
IIS网站管理中--IP地址和域限制--右边"添加允许条目"--将"127.0.0.1"添加进去让本地能访问
2.3、取消网站运行用户对主控网站目录的写入权限
icacls "D:\HwsHostMaster\host\web" /deny "huweishen885553:(OI)(CI)W"
请注意替换上面主控网站的程序池名huweishen885553为正确的
2.4、删除IIS_IUSRS在主控网站主控的权限,增加程序池用户的读取权限
icacls "D:\HwsHostMaster\host\web" /remove IIS_IUSRS /C
icacls "D:\HwsHostMaster\host\web" /grant:r "IIS AppPool\HwsHostPool66185:(OI)(CI)R"
请注意替换上面主控网站的程序池名HwsHostPool66185为正确的
不加程序池用户的读取权限会造成主控网站访问有问题
如果这里出现主控网站访问有问题就加上IIS_IUSRS读权限或者重新增加减程序池用户权限
3、 phpMyAdmin网站权限加强
phpMyAdmin网站目录一般在D:\HwsHostMaster\phpweb\phpmyadmin
3.1、取消网站运行用户PhpMyAdmin_HWS对网站目录的写入权限
换位思考 就是增加网站运行用户的拒绝权限 在权限中拒绝权限大于允许权限
icacls "D:\HwsHostMaster\phpweb\phpmyadmin\web" /deny "PhpMyAdmin_HWS:(OI)(CI)W"
3.2、删除IIS_IUSRS在网站目录的权限,换成程序池用户读取权限
icacls "D:\HwsHostMaster\phpweb\phpmyadmin\web" /remove IIS_IUSRS /C
icacls "D:\HwsHostMaster\phpweb\phpmyadmin\web" /grant:r "IIS AppPool\PhpMyAdmin_HWS:(OI)(CI)R"
4、修改myodbc安装目录的权限
D:\HwsHostMaster\phpweb\myodbc\x64
D:\HwsHostMaster\phpweb\myodbc\x86
删除Everyone用户的权限 加上users读取和执行的权限
icacls "D:\HwsHostMaster\phpweb\myodbc\x64" /remove Everyone /C
icacls "D:\HwsHostMaster\phpweb\myodbc\x86" /remove Everyone /C
icacls "D:\HwsHostMaster\phpweb\myodbc\x64" /grant:r "users:(OI)(CI)RX"
icacls "D:\HwsHostMaster\phpweb\myodbc\x86" /grant:r "users:(OI)(CI)RX"
但删除 D:\HwsHostMaster\phpweb\myodbc\*\myodbc-installer.exe文件的users权限
也就是添加拒绝权限
icacls "D:\HwsHostMaster\phpweb\myodbc\x64\myodbc-installer.exe" /deny "users:RX"
icacls "D:\HwsHostMaster\phpweb\myodbc\x86\myodbc-installer.exe" /deny "users:RX"
由于是单个文件所以不加(OI)(CI)参数
5、PHP的安装目录只保留一个php-cgi.exe的exe文件
PHP5.2没有php-cgi.exe所以目录不要有任何exe文件
默认已经是将PHP运行在FastCGI模式下
set PHPRUL=D:\HwsHostMaster\phpweb\php
del /f /q "%PHPRUL%52\php.exe" "%PHPRUL%52\php-win.exe" "%PHPRUL%52\phpdbg.exe" "%PHPRUL%52\deplister.exe"
del /f /q "%PHPRUL%53\php.exe" "%PHPRUL%53\php-win.exe" "%PHPRUL%53\phpdbg.exe" "%PHPRUL%53\deplister.exe"
del /f /q "%PHPRUL%54\php.exe" "%PHPRUL%54\php-win.exe" "%PHPRUL%54\phpdbg.exe" "%PHPRUL%54\deplister.exe"
del /f /q "%PHPRUL%55\php.exe" "%PHPRUL%55\php-win.exe" "%PHPRUL%55\phpdbg.exe" "%PHPRUL%55\deplister.exe"
del /f /q "%PHPRUL%56\php.exe" "%PHPRUL%56\php-win.exe" "%PHPRUL%56\phpdbg.exe" "%PHPRUL%56\deplister.exe"
del /f /q "%PHPRUL%70\php.exe" "%PHPRUL%70\php-win.exe" "%PHPRUL%70\phpdbg.exe" "%PHPRUL%70\deplister.exe"
del /f /q "%PHPRUL%71\php.exe" "%PHPRUL%71\php-win.exe" "%PHPRUL%71\phpdbg.exe" "%PHPRUL%71\deplister.exe"
del /f /q "%PHPRUL%72\php.exe" "%PHPRUL%72\php-win.exe" "%PHPRUL%72\phpdbg.exe" "%PHPRUL%72\deplister.exe"
del /f /q "%PHPRUL%73\php.exe" "%PHPRUL%73\php-win.exe" "%PHPRUL%73\phpdbg.exe" "%PHPRUL%73\deplister.exe"
del /f /q "%PHPRUL%74\php.exe" "%PHPRUL%74\php-win.exe" "%PHPRUL%74\phpdbg.exe" "%PHPRUL%74\deplister.exe"
del /f /q "%PHPRUL%80\php.exe" "%PHPRUL%80\php-win.exe" "%PHPRUL%80\phpdbg.exe" "%PHPRUL%80\deplister.exe"
del /f /q "%PHPRUL%81\php.exe" "%PHPRUL%81\php-win.exe" "%PHPRUL%81\phpdbg.exe" "%PHPRUL%81\deplister.exe"
del /f /q "%PHPRUL%82\php.exe" "%PHPRUL%82\php-win.exe" "%PHPRUL%82\phpdbg.exe" "%PHPRUL%82\deplister.exe"
del /f /q "%PHPRUL%83\php.exe" "%PHPRUL%83\php-win.exe" "%PHPRUL%83\phpdbg.exe" "%PHPRUL%83\deplister.exe"
icacls "%PHPRUL%52\pws-php5cgi.reg" /deny "users:RX"
icacls "%PHPRUL%52\pws-php5isapi.reg" /deny "users:RX"
6.1、 PHP安装文件夹权限结构:
administrator 完全控制
system 完全控制
users 读取和执行
其他用户的权限一律删除:
set PHPRUL=D:\HwsHostMaster\phpweb\php
icacls "%PHPRUL%52" /remove Everyone /C
icacls "%PHPRUL%52" /remove IIS_IUSRS /C
icacls "%PHPRUL%53" /remove Everyone /C
icacls "%PHPRUL%53" /remove IIS_IUSRS /C
icacls "%PHPRUL%54" /remove Everyone /C
icacls "%PHPRUL%54" /remove IIS_IUSRS /C
icacls "%PHPRUL%55" /remove Everyone /C
icacls "%PHPRUL%55" /remove IIS_IUSRS /C
icacls "%PHPRUL%56" /remove Everyone /C
icacls "%PHPRUL%56" /remove IIS_IUSRS /C
icacls "%PHPRUL%70" /remove Everyone /C
icacls "%PHPRUL%70" /remove IIS_IUSRS /C
icacls "%PHPRUL%71" /remove Everyone /C
icacls "%PHPRUL%71" /remove IIS_IUSRS /C
icacls "%PHPRUL%72" /remove Everyone /C
icacls "%PHPRUL%72" /remove IIS_IUSRS /C
icacls "%PHPRUL%73" /remove Everyone /C
icacls "%PHPRUL%73" /remove IIS_IUSRS /C
icacls "%PHPRUL%74" /remove Everyone /C
icacls "%PHPRUL%74" /remove IIS_IUSRS /C
icacls "%PHPRUL%80" /remove Everyone /C
icacls "%PHPRUL%80" /remove IIS_IUSRS /C
icacls "%PHPRUL%81" /remove Everyone /C
icacls "%PHPRUL%81" /remove IIS_IUSRS /C
icacls "%PHPRUL%82" /remove Everyone /C
icacls "%PHPRUL%82" /remove IIS_IUSRS /C
icacls "%PHPRUL%83" /remove Everyone /C
icacls "%PHPRUL%83" /remove IIS_IUSRS /C
6.2、注意PHP缓存目录的权限D:\HwsHostMaster\phpweb\php*\tmp要单独看一下
看一下php.ini配置文件中session.save_path和upload_tmp_dir的值
是否配置了session公用缓存目录
6.2.1、方法一:
修改php*\php.ini各版本的配置信息,前面加;将自定义缓存目录注释掉,
就会自动将缓存等使用系统的默认缓存目录C:\Windows\Temp
;session.save_path ="D:\HwsHostMaster\phpweb\php*\temp\"
;upload_tmp_dir ="D:\HwsHostMaster\phpweb\php*\temp\"
然后删除缓存文件夹中Everyone的权限:
set PHPRUL=D:\HwsHostMaster\phpweb\php
icacls "%PHPRUL%52\temp" /remove Everyone /C
icacls "%PHPRUL%53\temp" /remove Everyone /C
icacls "%PHPRUL%54\temp" /remove Everyone /C
icacls "%PHPRUL%55\temp" /remove Everyone /C
icacls "%PHPRUL%56\temp" /remove Everyone /C
icacls "%PHPRUL%70\temp" /remove Everyone /C
icacls "%PHPRUL%71\temp" /remove Everyone /C
icacls "%PHPRUL%72\temp" /remove Everyone /C
icacls "%PHPRUL%80\temp" /remove Everyone /C
icacls "%PHPRUL%81\temp" /remove Everyone /C
icacls "%PHPRUL%82\temp" /remove Everyone /C
icacls "%PHPRUL%83\temp" /remove Everyone /C
6.2.2、方法二 (建议用上面的6.2.1方法一):
要注意session缓存目录的权限:
administrator 完全控制
system 完全控制
users 读取和写入 另外在详细高级权限中加上 删除子文件夹以文件、删除 这个2个子权限
users 拒绝类型 删除 只有该文件夹
users 高级权限中删除写入属性、写入扩展属性 这2个子权限
为了预防网站存在漏洞,被黑客创建隐藏文件和只读文件到PHP公用的session缓存目录:
set PHPRUL=D:\HwsHostMaster\phpweb\php
icacls "%PHPRUL%52\temp" /remove Everyone /C
icacls "%PHPRUL%52\temp" /grant:r "users:(OI)(CI)RW"
icacls "%PHPRUL%52\temp" /grant "users:(OI)(CI)(DC,DE)"
icacls "%PHPRUL%52\temp" /deny "users:D"
icacls "%PHPRUL%52\temp" /deny "users:(OI)(CI)(WA,WEA)"
多个PHP全部要设置,这里就不列出所有的
7、IIS其他组件的文件夹权限:
如aspjpeg、aspupload、jmail等
administrator 完全控制
system 完全控制
users 读取和执行
其他用户的权限一律删除
8、 Mysql数据库文件夹权限
先将mysql数据库运行在没加入任何用户组的独立用户下(默认已是)
8.1、Mysql安装所在分区权限:
administrator 完全控制
system 完全控制
Mysql运行用户MySQL_HWS 读取权限(单小项)和读取属性 只有该文件夹
icacls D:\ /grant:r "MySQL_HWS:(RC,RA)"
8.2、Mysql安装文件夹mysql的权限(上级目录不需要设置)(默认已是)
D:\HwsHostMaster\phpweb\mysql权限结构:
administrator 完全控制
system 完全控制
Mysql运行用户MySQL_HWS 读取和执行
8.3、Mysql数据库目录D:\HwsHostMaster\phpweb\mysql\data权限(默认已是):
administrator 完全控制
system 完全控制
Mysql运行用户MySQL_HWS 完全控制
我们也可以通过修改mysql\my.ini文件中的参数将数据库放其他分区
datadir="E:/MySQL5735/data/"
innodb_data_home_dir ="E:/MySQL5735/data/"
innodb_log_group_home_dir ="E:/MySQL5735/data/"
9、MsSQL数据库安全:
请安装SQL2014或以上版本到非C盘即可
10、 ASP.NET的安全设置:
<trust level="Full" originUrl="" />的参数说明
有Full|High|Medium|Low|Minimal对应"完全没限制的权限|高的权限|中|低|最低权限"
修改文件
C:\Windows\Microsoft.NET\Framework\v2.0.50727\CONFIG\web.config文件
和C:\Windows\Microsoft.NET\Framework64\v2.0.50727\CONFIG\web.config
net宽松权限:
<location allowOverride="true">改为:
<location allowOverride="false">
<trust level="Full" originUrl=""/>改为(下面只是加多一行):
<trust level="Full" originUrl="" />
<identity impersonate="true" />(但这行加了会使得集成模式出错)
net严格权限:
<location allowOverride="true">改为:
<location allowOverride="false">
<trust level="Full" originUrl=""/>改为(参数为High):
<trust level="High" originUrl="" />
<identity impersonate="true" />---这行不用加,会使得集成模式出错
修改文件
C:\Windows\Microsoft.NET\Framework\v4.0.30319\CONFIG\web.config文件
和C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CONFIG\web.config
net宽松权限:
<location allowOverride="true">改为:
<location allowOverride="false">
<trust level="Full" originUrl="" />改为(下面只是加多一行):
<trust level="Full" originUrl="" />
<identity impersonate="true" />---这行加了会使得集成模式出错
net严格权限:
<location allowOverride="true">改为:
<location allowOverride="false">
<trust level="Full" originUrl="" />改为(参数为High):
<trust level="High" originUrl="" />
<identity impersonate="true" />---这行不用加,会使得集成模式出错
直接用powershell命令行替换:
| $FileUrl1="C:\Windows\Microsoft.NET\Framework\v2.0.50727\CONFIG\web.config" $FileUrl2="C:\Windows\Microsoft.NET\Framework64\v2.0.50727\CONFIG\web.config" $FileUrl3="C:\Windows\Microsoft.NET\Framework\v4.0.30319\CONFIG\web.config" $FileUrl4="C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CONFIG\web.config" Copy-Item -Path "$FileUrl1" -Destination "$FileUrl1.bak"; (Get-Content -Path "$FileUrl1") | ForEach-Object { $_ -replace 'allowOverride="true"', 'allowOverride="false"' } | ForEach-Object { $_ -replace 'trust level="Full"', 'trust level="High"' } | Set-Content -Path "$FileUrl1" Copy-Item -Path "$FileUrl2" -Destination "$FileUrl2.bak"; (Get-Content -Path "$FileUrl2") | ForEach-Object { $_ -replace 'allowOverride="true"', 'allowOverride="false"' } | ForEach-Object { $_ -replace 'trust level="Full"', 'trust level="High"' } | Set-Content -Path "$FileUrl2" Copy-Item -Path "$FileUrl3" -Destination "$FileUrl3.bak"; (Get-Content -Path "$FileUrl3") | ForEach-Object { $_ -replace 'allowOverride="true"', 'allowOverride="false"' } | ForEach-Object { $_ -replace 'trust level="Full"', 'trust level="High"' } | Set-Content -Path "$FileUrl3" Copy-Item -Path "$FileUrl4" -Destination "$FileUrl4.bak"; (Get-Content -Path "$FileUrl4") | ForEach-Object { $_ -replace 'allowOverride="true"', 'allowOverride="false"' } | ForEach-Object { $_ -replace 'trust level="Full"', 'trust level="High"' } | Set-Content -Path "$FileUrl4" |
需要使用时再开启
12、关闭系统共享功能 并设置IP安全策略屏蔽一些高危险端口的被外部访问
在IP安全策略中单独限制1433和3306端口被外部访问
13、使用权限处理工具2012和2018进行权限设置处理
2018权限处理工具中对Win2016专项处理权限的目录为:
C:\Windows\Vss
C:\Windows\tracing
C:\Windows\Tasks
C:\Windows\SysWOW64\wbem\Logs
C:\Windows\System32\wbem\Logs
C:\Windows\SysWOW64\Tasks
C:\Windows\System32\Tasks
C:\Windows\System32\spool\drivers\color
C:\Windows\System32\Microsoft\Crypto\RSA\MachineKeys
C:\Windows\System32\Ipmi
C:\Windows\SysWOW64\Ipmi
C:\Windows\System32\ias
C:\Windows\servicing\Sessions
C:\Windows\servicing\Packages
C:\Windows\ServiceProfiles\NetworkService
C:\Windows\ModemLogs
C:\Users\Default
C:\Users\All Users\USOShared\Logs
C:\Users\All Users\Microsoft\WinMSIPC\Server
C:\Users\All Users\Microsoft\Windows\WER
C:\Users\All Users\Microsoft\Windows\DeviceMetadataCache\dmrccache
C:\Users\All Users\Microsoft\User Account Pictures
C:\Users\All Users\Microsoft\Speech_OneCore
C:\Users\All Users\Microsoft\NetFramework\BreadcrumbStore
C:\Users\All Users\Microsoft\DRM\Server
C:\Users\All Users\Microsoft\DeviceSync
说明:实际上C:\Users\All Users=C:\ProgramData
其他说明:
执行专项权限处理后 如果是Hyper-V的虚拟机中,会引起的Hyper-V Time Synchronization Service服务不停的启动和关闭,可以在服务里将Hyper-V Time Synchronization Service服务禁用。
日志中会不停出现报错信息:安排软件保护服务在 2024-10-14T08:48:29Z 时重新启动失败。错误代码: 0x80070005。
对SoftwareProtection计划任务的文件增加权限即可:
icacls "%windir%\System32\Tasks\Microsoft\Windows\SoftwareProtectionPlatform\SvcRestartTask" /grant:r "NT Service\sppsvc:F"
在WIN2012中还需要对%windir%\System32\Tasks\Microsoft\Windows\SoftwareProtectionPlatform加上Everyone的读取权限
icacls "%windir%\System32\Tasks\Microsoft\Windows\SoftwareProtectionPlatform" /grant:r "Everyone:(OI)(CI)(R)"
14、主机大师开通的网站权限加强
假设存放所有网站的总目录为D:\wwwroot
D:\wwwroot目录:只保留 Administrators和SYSTEM完全控制 权限 其他的权限删除
如删除Users 用户的权限-先禁用继承并复制-然后删除相关用户的权限 :
icacls "D:\wwwroot" /inheritance:d
icacls "D:\wwwroot" /remove Users /C
相关说明:
net代码的写入删除权限依赖程序池用户权限或IIS_IUSRS用户的权限(其一)
php代码的写入删除权限依赖网站身份验证匿名用户的权限
IIS_IUSRS用户不能有写入等权限否则会引起.net跨站攻击
伪静态组件需要IIS_IUSRS对网站目录读取权限
直接用bat脚本来处理主机大师开通的网站权限:
| @echo off title 主机大师开通的网站权限加强设置 ::请注意修改下面的程序池名和网站物理路径 set webuser=oapiiscn rem 上面webuser的值是程序池名,对应网站的运行用户,也对应网站FTP用户名 set weburl=D:\wwwroot\oapiiscn_4obipu\web rem 上面weburl的值是网站根目录web的物理路径 icacls "%weburl%" /remove IIS_IUSRS /C rem 上面是删除IIS_IUSRS权限,以免引起跨站攻击 icacls "%weburl%" /grant "IIS AppPool\%webuser%:(OI)(CI)R" "IIS AppPool\%webuser%:(CI)(X)" /C icacls "%weburl%" /grant "IIS AppPool\%webuser%:(OI)(CI)W" "IIS AppPool\%webuser%:(OI)(CI)(DE,WDAC)" /C icacls "%weburl%" /deny "IIS AppPool\%webuser%:(DE)" /C rem 上面是增加程序池用户在网站根目录的权限 pause |
最后的网站整体权限结构如下
假设存放所有网站的总目录为D:\wwwroot
其中一个网站的网站路径为:D:\wwwroot\oapiiscn_4obipu
该网站的根目录为:D:\wwwroot\oapiiscn_4obipu\web
D:\wwwroot目录:只保留 Administrators和SYSTEM完全控制 权限
D:\wwwroot\oapiiscn_4obipu目录:Administrators和SYSTEM完全控制权限、网站运行用户oapiiscn读取权限
D:\wwwroot\oapiiscn_4obipu\web目录:
Administrators和SYSTEM完全控制权限
网站运行用户oapiiscn读取和写入和删除权限(此文件夹、子文件夹和文件) 说明:删除权限要在高级中加
网站运行用户oapiiscn权限类型拒绝的删除权限(只要该文件夹) 说明:删除权限要在高级中加,类型要选拒绝,这个主要是解拒绝FTP将web目录删除
程序池用户oapiiscn读取和写入和删除权限(此文件夹、子文件夹和文件) 说明:删除权限要在高级中加
程序池用户oapiiscn权限类型拒绝的删除权限(只要该文件夹) 说明:删除权限要在高级中加,类型要选拒绝,这个主要是解拒绝FTP将web目录删除
说明:程序池用户完整名称是IIS AppPool\程序池名
15、系统C盘其他目录权限设置参考
www.piis.cn/zhishi/2177.html
16、其他安全加固
16.1、本地安全策略-本地策略-安全选项-网络访问:可远程访问的注册表路径 清空 和 网络访问:可远程访问的注册表路径和子路径 清空
16.2、本地安全策略-本地策略-用户权限分配-允许本地登录-只保留administrators管理员组 删除Backup Operators和Users
16.3、本地安全策略-本地策略-用户权限分配-允许远程桌面服务登录-添加administrator超级管理员或其他管理员 然后删除administrators管理员组 和Remote Desktop Users
16.4、本地安全策略-本地策略-安全选项-网络安全-网络安全:LAN管理器身份验证级别-将其修改为仅发送NTLMv2响应.拒绝LM个NTLM(&)
16.5、以下服务必须禁用:
Computer Browser、Print Spooler、Remote Registry、Routing and Remote Access
Server、TCP/IP NetBIOS Helper、Workstation
关闭Workstation服务防止ASP木马列出用户组和系统进程
由于关闭Workstation服务会关闭Remote Desktop Configuration服务
所以需要关闭Workstation服务前需要远程登陆下服务器
如果安装安全狗不要禁用Remote Registry服务
如果安装安全狗后提示网络驱动出现异常(驱动服务未启动)也可以先将Workstation服务开启,重新安装安全狗后再禁用Workstation服务
16.6、设置完以上权限后测试重启下Mysql看能正常重启不
如果不能启动运行,就在所在分区盘D:\加上Users的读取运行权限,就可以启动Mysql了
重启好MysqL后删除Users权限,删除Users权限后再测试重启MysqL,能正常启动Mysql了,很神奇,原因不明
17、安全加强 利用麦咖啡自定义规则对服务器进行加固
文章来源:
网络小编D
版权声明:
本文内容由互联网用户自发贡献,该文观点仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌抄袭侵权/违法违规的内容,请联系本站立刻删除。
