务器安全设置之--IIS用户设置方法

IIS安全访问的例子

IIS基本设置

这里举例4个不同类型脚本的虚拟主机权限设置例子

主机头	主机脚本	硬盘目录	IIS用户名	硬盘权限	应用程序池	主目录	应用程序配置
www.1.com	HTM	D:\www.1.com\	IUSR_1.com	Administrators(完全控制) IUSR_1.com(读)	可共用	读取/纯脚本	启用父路径
www.2.com	ASP	D:\www.2.com\	IUSR_1.com	Administrators(完全控制) IUSR_2.com(读/写)	可共用	读取/纯脚本	启用父路径
www.3.com	NET	D:\www.3.com\	IUSR_1.com	Administrators(完全控制) IWAM_3.com(读/写) IUSR_3.com(读/写)	独立池	读取/纯脚本	启用父路径
www.4.com	PHP	D:\www.4.com\	IUSR_1.com	Administrators(完全控制) IWAM_4.com(读/写) IUSR_4.com(读/写)	独立池	读取/纯脚本	启用父路径
其中 IWAM_3.com 和 IWAM_4.com 分别是各自独立应用程序池标识中的启动帐户

主机脚本类型	应用程序扩展名 （就是文件后缀名）对应主机脚本，只需要加载以下的应用程序扩展
HTM	STM | SHTM | SHTML | MDB
ASP	ASP | ASA | MDB
NET	ASPX | ASAX | ASCX| ASHX | ASMX | AXD | VSDISCO | REM | SOAP | CONFIG | CS |CSPROJ | VB | VBPROJ | WEBINFO | LICX | RESX | RESOURCES | MDB
PHP	PHP | PHP3 | PHP4

MDB是共用映射，下面用红色表示

应用程序扩展	映射文件	执行动作
STM=.stm	C:\WINDOWS\system32\inetsrv\ssinc.dll	GET,POST
SHTM=.shtm	C:\WINDOWS\system32\inetsrv\ssinc.dll	GET,POST
SHTML=.shtml	C:\WINDOWS\system32\inetsrv\ssinc.dll	GET,POST
ASP=.asp	C:\WINDOWS\system32\inetsrv\asp.dll	GET,HEAD,POST,TRACE
ASA=.asa	C:\WINDOWS\system32\inetsrv\asp.dll	GET,HEAD,POST,TRACE
ASPX=.aspx	C:\WINDOWS\Microsoft.NET\Framework\v1.1.4322\aspnet_isapi.dll	GET,HEAD,POST,DEBUG
ASAX=.asax	C:\WINDOWS\Microsoft.NET\Framework\v1.1.4322\aspnet_isapi.dll	GET,HEAD,POST,DEBUG
ASCX=.ascx	C:\WINDOWS\Microsoft.NET\Framework\v1.1.4322\aspnet_isapi.dll	GET,HEAD,POST,DEBUG
ASHX=.ashx	C:\WINDOWS\Microsoft.NET\Framework\v1.1.4322\aspnet_isapi.dll	GET,HEAD,POST,DEBUG
ASMX=.asmx	C:\WINDOWS\Microsoft.NET\Framework\v1.1.4322\aspnet_isapi.dll	GET,HEAD,POST,DEBUG
AXD=.axd	C:\WINDOWS\Microsoft.NET\Framework\v1.1.4322\aspnet_isapi.dll	GET,HEAD,POST,DEBUG
VSDISCO=.vsdisco	C:\WINDOWS\Microsoft.NET\Framework\v1.1.4322\aspnet_isapi.dll	GET,HEAD,POST,DEBUG
REM=.rem	C:\WINDOWS\Microsoft.NET\Framework\v1.1.4322\aspnet_isapi.dll	GET,HEAD,POST,DEBUG
SOAP=.soap	C:\WINDOWS\Microsoft.NET\Framework\v1.1.4322\aspnet_isapi.dll	GET,HEAD,POST,DEBUG
CONFIG=.config	C:\WINDOWS\Microsoft.NET\Framework\v1.1.4322\aspnet_isapi.dll	GET,HEAD,POST,DEBUG
CS=.cs	C:\WINDOWS\Microsoft.NET\Framework\v1.1.4322\aspnet_isapi.dll	GET,HEAD,POST,DEBUG
CSPROJ=.csproj	C:\WINDOWS\Microsoft.NET\Framework\v1.1.4322\aspnet_isapi.dll	GET,HEAD,POST,DEBUG
VB=.vb	C:\WINDOWS\Microsoft.NET\Framework\v1.1.4322\aspnet_isapi.dll	GET,HEAD,POST,DEBUG
VBPROJ=.vbproj	C:\WINDOWS\Microsoft.NET\Framework\v1.1.4322\aspnet_isapi.dll	GET,HEAD,POST,DEBUG
WEBINFO=.webinfo	C:\WINDOWS\Microsoft.NET\Framework\v1.1.4322\aspnet_isapi.dll	GET,HEAD,POST,DEBUG
LICX=.licx	C:\WINDOWS\Microsoft.NET\Framework\v1.1.4322\aspnet_isapi.dll	GET,HEAD,POST,DEBUG
RESX=.resx	C:\WINDOWS\Microsoft.NET\Framework\v1.1.4322\aspnet_isapi.dll	GET,HEAD,POST,DEBUG
RESOURCES=.resources	C:\WINDOWS\Microsoft.NET\Framework\v1.1.4322\aspnet_isapi.dll	GET,HEAD,POST,DEBUG
PHP=.php	C:\php5\php5isapi.dll	GET,HEAD,POST
PHP3=.php3	C:\php5\php5isapi.dll	GET,HEAD,POST
PHP4=.php4	C:\php5\php5isapi.dll	GET,HEAD,POST
MDB=.mdb	C:\WINDOWS\system32\inetsrv\ssinc.dll	GET,POST

ASP.NET 进程帐户所需的 NTFS 权限

目录	所需权限
Temporary ASP.NET Files%windir%\Microsoft.NET\Framework\{版本}Temporary ASP.NET Files	进程帐户和模拟标识： 看下面详细权限
临时目录 (%temp%)	进程帐户 完全控制
.NET Framework 目录%windir%\Microsoft.NET\Framework\{版本}	进程帐户和模拟标识： 读取和执行 列出文件夹内容 读取
.NET Framework 配置目录%windir%\Microsoft.NET\Framework\{版本}\CONFIG	进程帐户和模拟标识： 读取和执行 列出文件夹内容 读取
网站根目录 C:\inetpub\wwwroot 或默认网站指向的路径	进程帐户： 读取
系统根目录 %windir%\system32	进程帐户： 读取
全局程序集高速缓存 %windir%\assembly	进程帐户和模拟标识： 读取
内容目录 C:\inetpub\wwwroot\YourWebApp (一般来说不用默认目录，管理员可根据实际情况调整比如D:\wwwroot)	进程帐户： 读取 列出文件夹内容 读取 注意对于 .NET Framework 1.0，直到文件系统根目录的所有父目录也都需要上述权限。父目录包括： C:\ C:\inetpub\ C:\inetpub\wwwroot\

硬盘或文件夹: C:\WINDOWS\Microsoft.NET\Framework\版本\Temporary ASP.NET Files
主要权限部分：	其他权限部分：
Administrators	完全控制	ASP.NET 计算机帐户	读取和运行
	该文件夹，子文件夹及文件	该文件夹，子文件夹及文件
	<继承于E:\>	<继承于C:\windows>
CREATOR OWNER	完全控制	ASP.NET 计算机帐户	写入/删除
	只有子文件夹及文件	该文件夹，子文件夹及文件
	<继承于E:\>	<不是继承的>
SYSTEM	完全控制	IIS_WPG	读取和运行
	该文件夹，子文件夹及文件	该文件夹，子文件夹及文件
	<继承于E:\>	<继承于C:\windows>
IUSR_XXX 或某个虚拟主机用户组	列出文件夹/读取数据 ：拒绝	IIS_WPG	写入/删除
该文件夹，子文件夹及文件	该文件夹，子文件夹及文件
<不是继承的>	<不是继承的>
Guests	列出文件夹/读取数据 ：拒绝	LOCAL SERVICE	读取和运行
该文件夹，子文件夹及文件	该文件夹，子文件夹及文件
<不是继承的>	<继承于C:\windows>
USERS	读取和运行	LOCAL SERVICE	写入/删除
该文件夹，子文件夹及文件	该文件夹，子文件夹及文件
<继承于C:\windows>	<不是继承的>
		NETWORK SERVICE	读取和运行
		该文件夹，子文件夹及文件
		<继承于C:\windows>
		NETWORK SERVICE	写入/删除
		该文件夹，子文件夹及文件
		<不是继承的>

5、服务器安全设置之--服务器安全和性能配置

把下面文本保存为: windows2000-2003服务器安全和性能注册表自动配置文件.reg 运行即可。

Windows Registry Editor Version 5.00[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]"NoRecentDocsMenu"=hex:01,00,00,00"NoRecentDocsHistory"=hex:01,00,00,00[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]"DontDisplayLastUserName"="1"[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa]"restrictanonymous"=dword:00000001[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\Parameters]"AutoShareServer"=dword:00000000"AutoShareWks"=dword:00000000[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters]"EnableICMPRedirect"=dword:00000000"KeepAliveTime"=dword:000927c0"SynAttackProtect"=dword:00000002"TcpMaxHalfOpen"=dword:000001f4"TcpMaxHalfOpenRetried"=dword:00000190"TcpMaxConnectResponseRetransmissions"=dword:00000001"TcpMaxDataRetransmissions"=dword:00000003"TCPMaxPortsExhausted"=dword:00000005"DisableIPSourceRouting"=dword:00000002"TcpTimedWaitDelay"=dword:0000001e"TcpNumConnections"=dword:00004e20"EnablePMTUDiscovery"=dword:00000000"NoNameReleaseOnDemand"=dword:00000001"EnableDeadGWDetect"=dword:00000000"PerformRouterDiscovery"=dword:00000000"EnableICMPRedirects"=dword:00000000[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NetBT\Parameters]"BacklogIncrement"=dword:00000005"MaxConnBackLog"=dword:000007d0[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\AFD\Parameters]"EnableDynamicBacklog"=dword:00000001"MinimumDynamicBacklog"=dword:00000014"MaximumDynamicBacklog"=dword:00007530"DynamicBacklogGrowthDelta"=dword:0000000a

功能：可抵御DDOS攻击2-3万包，提高服务器TCP-IP整体安全性能（效果等于软件防火墙，节约了系统资源）

6、服务器安全设置之--IP安全策略 (仅仅列出需要屏蔽或阻止的端口或协议)

协议	IP协议端口	源地址	目标地址	描述	方式
ICMP	--	--	--	ICMP	阻止
UDP	135	任何IP地址	我的IP地址	135-UDP	阻止
UDP	136	任何IP地址	我的IP地址	136-UDP	阻止
UDP	137	任何IP地址	我的IP地址	137-UDP	阻止
UDP	138	任何IP地址	我的IP地址	138-UDP	阻止
UDP	139	任何IP地址	我的IP地址	139-UDP	阻止
TCP	445	任何IP地址-从任意端口	我的IP地址-445	445-TCP	阻止
UDP	445	任何IP地址-从任意端口	我的IP地址-445	445-UDP	阻止
UDP	69	任何IP地址-从任意端口	我的IP地址-69	69-入	阻止
UDP	69	我的IP地址-69	任何IP地址-任意端口	69-出	阻止
TCP	4444	任何IP地址-从任意端口	我的IP地址-4444	4444-TCP	阻止
TCP	1026	我的IP地址-1026	任何IP地址-任意端口	灰鸽子-1026	阻止
TCP	1027	我的IP地址-1027	任何IP地址-任意端口	灰鸽子-1027	阻止
TCP	1028	我的IP地址-1028	任何IP地址-任意端口	灰鸽子-1028	阻止
UDP	1026	我的IP地址-1026	任何IP地址-任意端口	灰鸽子-1026	阻止
UDP	1027	我的IP地址-1027	任何IP地址-任意端口	灰鸽子-1027	阻止
UDP	1028	我的IP地址-1028	任何IP地址-任意端口	灰鸽子-1028	阻止
TCP	21	我的IP地址-从任意端口	任何IP地址-到21端口	阻止tftp出站	阻止
TCP	99	我的IP地址-99	任何IP地址-任意端口	阻止99shell	阻止

以上是IP安全策略里的设置，可以根据实际情况，增加或删除端口，如果不会设置，可以加我QQ，有偿协助。

7、服务器安全设置之--本地安全策略设置

安全策略自动更新命令：GPUpdate /force (应用组策略自动生效不需重新启动)

　　 开始菜单—>管理工具—>本地安全策略

　　 A、本地策略——>审核策略

　　 审核策略更改　　　成功　失败　　
　　 审核登录事件　　　成功　失败
　　 审核对象访问　　　　　　失败
　　 审核过程跟踪　　　无审核
　　 审核目录服务访问　　　　失败
　　 审核特权使用　　　　　　失败
　　 审核系统事件　　　成功　失败
　　 审核账户登录事件　成功　失败
　　 审核账户管理　　　成功　失败
　　B、本地策略——>用户权限分配

　　 关闭系统：只有Administrators组、其它全部删除。
　　 通过终端服务拒绝登陆：加入Guests、User组
　　 通过终端服务允许登陆：只加入Administrators组，其他全部删除
　　C、本地策略——>安全选项

　　 交互式登陆：不显示上次的用户名　　　　　　　启用
　　 网络访问：不允许SAM帐户和共享的匿名枚举　　 启用
　　 网络访问：不允许为网络身份验证储存凭证　　　启用
　　 网络访问：可匿名访问的共享　　　　　　　　　全部删除
　　 网络访问：可匿名访问的命　　　　　　　　　　全部删除
　　 网络访问：可远程访问的注册表路径　　　　　　全部删除
　　 网络访问：可远程访问的注册表路径和子路径　　全部删除
　　 帐户：重命名来宾帐户　　　　　　　　　　　　重命名一个帐户
　　 帐户：重命名系统管理员帐户　　　　　　　　　重命名一个帐户

UI 中的设置名称	企业客户端台式计算机	企业客户端便携式计算机	高安全级台式计算机	高安全级便携式计算机
帐户: 使用空白密码的本地帐户只允许进行控制台登录	已启用	已启用	已启用	已启用
帐户: 重命名系统管理员帐户	推荐	推荐	推荐	推荐
帐户: 重命名来宾帐户	推荐	推荐	推荐	推荐
设备: 允许不登录移除	已禁用	已启用	已禁用	已禁用
设备: 允许格式化和弹出可移动媒体	Administrators, Interactive Users	Administrators, Interactive Users	Administrators	Administrators
设备: 防止用户安装打印机驱动程序	已启用	已禁用	已启用	已禁用
设备: 只有本地登录的用户才能访问 CD-ROM	已禁用	已禁用	已启用	已启用
设备: 只有本地登录的用户才能访问软盘	已启用	已启用	已启用	已启用
设备: 未签名驱动程序的安装操作	允许安装但发出警告	允许安装但发出警告	禁止安装	禁止安装
域成员: 需要强 (Windows 2000 或以上版本) 会话密钥	已启用	已启用	已启用	已启用
交互式登录: 不显示上次的用户名	已启用	已启用	已启用	已启用
交互式登录: 不需要按 CTRL+ALT+DEL	已禁用	已禁用	已禁用	已禁用
交互式登录: 用户试图登录时消息文字	此系统限制为仅授权用户。尝试进行未经授权访问的个人将受到起诉。	此系统限制为仅授权用户。尝试进行未经授权访问的个人将受到起诉。	此系统限制为仅授权用户。尝试进行未经授权访问的个人将受到起诉。	此系统限制为仅授权用户。尝试进行未经授权访问的个人将受到起诉。
交互式登录: 用户试图登录时消息标题	继续在没有适当授权的情况下使用是违法行为。	继续在没有适当授权的情况下使用是违法行为。	继续在没有适当授权的情况下使用是违法行为。	继续在没有适当授权的情况下使用是违法行为。
交互式登录: 可被缓存的前次登录个数 (在域控制器不可用的情况下)	2	2	0	1
交互式登录: 在密码到期前提示用户更改密码	14 天	14 天	14 天	14 天
交互式登录: 要求域控制器身份验证以解锁工作站	已禁用	已禁用	已启用	已禁用
交互式登录: 智能卡移除操作	锁定工作站	锁定工作站	锁定工作站	锁定工作站
Microsoft 网络客户: 数字签名的通信（若服务器同意）	已启用	已启用	已启用	已启用
Microsoft 网络客户: 发送未加密的密码到第三方 SMB 服务器。	已禁用	已禁用	已禁用	已禁用
Microsoft 网络服务器: 在挂起会话之前所需的空闲时间	15 分钟	15 分钟	15 分钟	15 分钟
Microsoft 网络服务器: 数字签名的通信（总是）	已启用	已启用	已启用	已启用
Microsoft 网络服务器: 数字签名的通信（若客户同意）	已启用	已启用	已启用	已启用
Microsoft 网络服务器: 当登录时间用完时自动注销用户	已启用	已禁用	已启用	已禁用
网络访问: 允许匿名 SID/名称 转换	已禁用	已禁用	已禁用	已禁用
网络访问: 不允许 SAM 帐户和共享的匿名枚举	已启用	已启用	已启用	已启用
网络访问: 不允许 SAM 帐户和共享的匿名枚举	已启用	已启用	已启用	已启用
网络访问: 不允许为网络身份验证储存凭据或 .NET Passports	已启用	已启用	已启用	已启用
网络访问: 限制匿名访问命名管道和共享	已启用	已启用	已启用	已启用
网络访问: 本地帐户的共享和安全模式	经典 - 本地用户以自己的身份验证	经典 - 本地用户以自己的身份验证	经典 - 本地用户以自己的身份验证	经典 - 本地用户以自己的身份验证
网络安全: 不要在下次更改密码时存储 LAN Manager 的哈希值	已启用	已启用	已启用	已启用
网络安全: 在超过登录时间后强制注销	已启用	已禁用	已启用	已禁用
网络安全: LAN Manager 身份验证级别	仅发送 NTLMv2 响应	仅发送 NTLMv2 响应	仅发送 NTLMv2 响应\拒绝 LM & NTLM	仅发送 NTLMv2 响应\拒绝 LM & NTLM
网络安全: 基于 NTLM SSP（包括安全 RPC）客户的最小会话安全	没有最小	没有最小	要求 NTLMv2 会话安全 要求 128-位加密	要求 NTLMv2 会话安全 要求 128-位加密
网络安全: 基于 NTLM SSP(包括安全 RPC)服务器的最小会话安全	没有最小	没有最小	要求 NTLMv2 会话安全 要求 128-位加密	要求 NTLMv2 会话安全 要求 128-位加密
故障恢复控制台: 允许自动系统管理级登录	已禁用	已禁用	已禁用	已禁用
故障恢复控制台: 允许对所有驱动器和文件夹进行软盘复制和访问	已启用	已启用	已禁用	已禁用
关机: 允许在未登录前关机	已禁用	已禁用	已禁用	已禁用
关机: 清理虚拟内存页面文件	已禁用	已禁用	已启用	已启用
系统加密: 使用 FIPS 兼容的算法来加密，哈希和签名	已禁用	已禁用	已禁用	已禁用
系统对象: 由管理员 (Administrators) 组成员所创建的对象默认所有者	对象创建者	对象创建者	对象创建者	对象创建者
系统设置: 为软件限制策略对 Windows 可执行文件使用证书规则	已禁用	已禁用	已禁用	已禁用