除了asp,asa,sHTML,sthm,stm外,其它的统统删除,因为其余的映射几乎每个都有安全方面的漏洞 。(这是在未装cgi之类服务的情况下,像cgi,安装后也会在这里自动添加映射,没有映射可就运行不了cgi程序了,同理,php或asp.net也一样)
默认的iis发布目录为c:Inetpub,将这个目录删除 。在d盘或e盘新建一个目录(目录名随意,如WWW),然后新建一个站点,将主目录指向你新建的目录 。
这样做的目的是为了将站点和系统分开 。不至于站点的安全设置出问题时危及到系统安全 。
11,其它
网卡属性里的tcp/ip协议属性--->高级-->WINS-->选择 "禁用TCP/IP 上的NetBIOS"
删除C:WINNTWeb下的两个子目录(一个是桌面图片目录,一个是打印目录,打印目录存在的话好像IIS的默认站点一直会多一个Printer的目录出来)
四、系统相关目录及文件的权限设置
C、D、E等盘全部设置为仅Administrator组有完全控制权限(必须)
C:Program Files
这个目录,像连接数据库这些都是要读取的,是C盘下比较重要的权限设置 。
设置为:
administrators组 -- 完全控制
SYSTEM - 完全控制
CREATOR GROUP - 全空的权限 。(你可以先默认的加上,然后应用 。再重新设置权限,会发现权限变成空的,而另外多出来一个none的用户,把那个none删了,测试过运行ASP ACCESS的程序这样才会比较安全)
。。除了以上这三个以外,其它的统统删掉 。
C:Documents and Settings
这个目录设置为Administrator,SYSTEM拥有所有控制权限 。
C:WINNT
这个目录设置为Administrator,SYSTEM拥有所有控制权限 。IIS来宾帐户设置为仅读取权限(如有建立了专门的IIS用户组,则这里设置为IIS的用户组) 。
C:WINNT目录内 除 TEMP,system32目录以外,所有目录均设置为Administrator,SYSTEM拥有所有控制权限
C:Winntsystem32目录下的
xcopy.exe, wscript.exe, cscript.exe, net.exe, ftp.exe, telnet.exe,arp.exe,
edlin.exe,ping.exe,route.exe,at.exe,finger.exe,posix.exe,rsh.exe,atsvc.exe,
qbasic.exe,runonce.exe,syskey.exe
这些常用的程序也要设置为仅Administrator,SYSTEM有所有控制权限 。
五、防止虚拟主机用户利用FSO及其它权限
-----------------------
我们以建立一个 123.com站点的为例吧 。设置目录权限 。
1,新建一个用户组 。例如 WebUser
2,新建一个站点用户,如 web_123.com (密码自定),并设置为属于WebUser组(不要再属于其它的组了)
3,新建一个该站点的目录,设置该目录权限为 administrator 组为所有权限,以及Web_123.com用户为所有权限(即完全控制)
4,设置IIS站点 。正常建立新站点后,站点属性的站点安全性里面也相应做设置...(站点属性--目录安全性--身份验证和访问控制--编辑)
推荐阅读
- 在Win2000中实现远程访问服务
- 让Win2000服务运行得更好
- Win2000系统无法打开网页的解决方法
- 圣诞节的来历是什么越简单越好
- 史上最简单的Windows登录密码解救
- win2000系统文件详解
- 确保Windows 2003系统域上的DNS安全小贴士
- 栅栏简笔画 栅栏简单画法
- 一句简单干净的早安语 一句简单干净的早安问候语
- Windows 2000 安全