Win2003WEB服务器安全设置实例

IUSR_3.com(读/写) 独立池 读取/纯脚本 启用父路径
www.4.com PHP D:www.4.com IUSR_1.com Administrators(完全控制)
IWAM_4.com(读/写)
IUSR_4.com(读/写) 独立池 读取/纯脚本 启用父路径
其中 IWAM_3.com 和 IWAM_4.com 分别是各自独立应用程序池标识中的启动帐户

主机脚本类型 应用程序扩展名 （就是文件后缀名）对应主机脚本，只需要加载以下的应用程序扩展
HTM STM | SHTM | SHTML | MDB
ASP ASP | ASA | MDB
NET ASPX | ASAX | ASCX| ASHX | ASMX | AXD | VSDISCO | REM | SOAP | CONFIG |
CS |CSPROJ | VB | VBPROJ | WEBINFO | LICX | RESX | RESOURCES | MDB
PHP PHP | PHP3 | PHP4

MDB是共用映射，下面用红色表示

应用程序扩展 映射文件 执行动作
STM=.stm C:WINDOWSsystem32inetsrvssinc.dll GET,POST
SHTM=.shtm C:WINDOWSsystem32inetsrvssinc.dll GET,POST
SHTML=.shtml C:WINDOWSsystem32inetsrvssinc.dll GET,POST
ASP=.asp C:WINDOWSsystem32inetsrvasp.dll GET,HEAD,POST,TRACE
ASA=.asa C:WINDOWSsystem32inetsrvasp.dll GET,HEAD,POST,TRACE
ASPX=.aspx C:WINDOWSMicrosoft.NETFrameworkv1.1.4322aspnet_isapi.dll GET,HEAD,POST,DEBUG
ASAX=.asax C:WINDOWSMicrosoft.NETFrameworkv1.1.4322aspnet_isapi.dll GET,HEAD,POST,DEBUG
ASCX=.ascx C:WINDOWSMicrosoft.NETFrameworkv1.1.4322aspnet_isapi.dll GET,HEAD,POST,DEBUG
ASHX=.ashx C:WINDOWSMicrosoft.NETFrameworkv1.1.4322aspnet_isapi.dll GET,HEAD,POST,DEBUG
ASMX=.asmx C:WINDOWSMicrosoft.NETFrameworkv1.1.4322aspnet_isapi.dll GET,HEAD,POST,DEBUG
AXD=.axd C:WINDOWSMicrosoft.NETFrameworkv1.1.4322aspnet_isapi.dll GET,HEAD,POST,DEBUG
VSDISCO=.vsdisco C:WINDOWSMicrosoft.NETFrameworkv1.1.4322aspnet_isapi.dll GET,HEAD,POST,DEBUG
REM=.rem C:WINDOWSMicrosoft.NETFrameworkv1.1.4322aspnet_isapi.dll GET,HEAD,POST,DEBUG
SOAP=.soap C:WINDOWSMicrosoft.NETFrameworkv1.1.4322aspnet_isapi.dll GET,HEAD,POST,DEBUG
CONFIG=.config C:WINDOWSMicrosoft.NETFrameworkv1.1.4322aspnet_isapi.dll GET,HEAD,POST,DEBUG
CS=.cs C:WINDOWSMicrosoft.NETFrameworkv1.1.4322aspnet_isapi.dll GET,HEAD,POST,DEBUG
CSPROJ=.csproj C:WINDOWSMicrosoft.NETFrameworkv1.1.4322aspnet_isapi.dll GET,HEAD,POST,DEBUG
VB=.vb C:WINDOWSMicrosoft.NETFrameworkv1.1.4322aspnet_isapi.dll GET,HEAD,POST,DEBUG
VBPROJ=.vbproj C:WINDOWSMicrosoft.NETFrameworkv1.1.4322aspnet_isapi.dll GET,HEAD,POST,DEBUG
WEBINFO=.webinfo C:WINDOWSMicrosoft.NETFrameworkv1.1.4322aspnet_isapi.dll GET,HEAD,POST,DEBUG
LICX=.licx C:WINDOWSMicrosoft.NETFrameworkv1.1.4322aspnet_isapi.dll GET,HEAD,POST,DEBUG
RESX=.resx C:WINDOWSMicrosoft.NETFrameworkv1.1.4322aspnet_isapi.dll GET,HEAD,POST,DEBUG
RESOURCES=.resources C:WINDOWSMicrosoft.NETFrameworkv1.1.4322aspnet_isapi.dll GET,HEAD,POST,DEBUG
PHP=.php C:php5php5isapi.dll GET,HEAD,POST
PHP3=.php3 C:php5php5isapi.dll GET,HEAD,POST
PHP4=.php4 C:php5php5isapi.dll GET,HEAD,POST
MDB=.mdb C:WINDOWSsystem32inetsrvssinc.dll GET,POST

ASP.NET 进程帐户所需的 NTFS 权限

目录 所需权限
Temporary ASP.NET Files%windir%Microsoft.NETFramework{版本}Temporary ASP.NET Files
进程帐户和模拟标识：
完全控制

临时目录 (%temp%)
进程帐户
完全控制

.NET Framework 目录%windir%Microsoft.NETFramework{版本}
进程帐户和模拟标识：
读取和执行
列出文件夹内容
读取

.NET Framework 配置目录%windir%Microsoft.NETFramework{版本}CONFIG
进程帐户和模拟标识：
读取和执行
列出文件夹内容
读取

网站根目录
C:inetpubwwwroot
或默认网站指向的路径
进程帐户：
读取

系统根目录
%windir%system32
进程帐户：
读取

全局程序集高速缓存
%windir%assembly
进程帐户和模拟标识：
读取

内容目录
C:inetpubwwwrootYourWebApp
(一般来说不用默认目录，管理员可根据实际情况调整比如D:wwwroot)
进程帐户：
读取和执行
列出文件夹内容
读取
注意 对于 .NET Framework 1.0，直到文件系统根目录的所有父目录也都需要上述权限。父目录包括：
C:
C:inetpub
C:inetpubwwwroot

 

5、 服务器安全设置之--服务器安全和性能配置
把下面文本保存为: windows2000-2003服务器安全和性能注册表自动配置文件.reg 运行即可。

Windows Registry Editor Version 5.00

[HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionPoliciesExplorer]
"NoRecentDocsMenu"=hex:01,00,00,00
"NoRecentDocsHistory"=hex:01,00,00,00

[HKEY_LOCAL_MACHINESoftwareMicrosoftWindows NTCurrentVersionWinlogon]
"DontDisplayLastUserName"="1"

[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlLsa]
"restrictanonymous"=dword:00000001

[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServiceslanmanserverParameters]
"AutoShareServer"=dword:00000000
"AutoShareWks"=dword:00000000

[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesTcpipParameters]
"EnableICMPRedirect"=dword:00000000
"KeepAliveTime"=dword:000927c0
"SynAttackProtect"=dword:00000002
"TcpMaxHalfOpen"=dword:000001f4

上一页 1 2 3 4 5 6 78 9 10 11 12 13 下一页

评论总数：0 条 [ 查看全部 ] 网友评论