WindowsServer2008系统安全配置大全
Windows 2008服务器安全设置技术实例
目录
Windows 2008服务器安全设置技术实例 (1)
一、服务器安全设置之--硬盘权限篇 (2)
二、服务器安全设置之--系统服务篇(设置完毕需要重新启动) (13)
三、服务器安全设置之--组件安全设置篇 (18)
四、服务器安全设置之--本地安全策略设置(重要) (20)
A、帐户策略——>密码策略 (20)
B、帐户策略——>帐户锁定策略 (20)
D、本地策略——>用户权限分配 (21)
E、本地策略——>安全选项 (21)
五、服务器安全设置之--本地安全策略-IP安全策略 (22)
六、服务器安全设置之--高级安全windows防火墙(掌握好很重要) (23)
七、服务器安全设置之--本地安全策略-高级审核策略配置 (24)
a. 系统审核策略——>帐户登录 (24)
b. 系统审核策略——>帐户管理 (24)
c. 系统审核策略——>详细跟踪 (25)
d. 系统审核策略——>DS访问 (25)
e. 系统审核策略——>登陆/注销 (25)
f. 系统审核策略——>对象访问 (25)
g. 系统审核策略——>策略更改 (25)
h. 系统审核策略——>特权使用 (25)
八、服务器安全设置之--远程桌面服务策略 (26)
九、服务器安全设置之--组策略配置(掌握好很重要) (26)
十、服务器安全设置之--用户安全设置 (28)
十一、选配—防御PHP木马攻击的技巧 (30)
一、服务器安全设置之--硬盘权限篇
这里着重谈需要的权限,也就是最终文件夹或硬盘需要的权限,可以防御各种木马入侵,提权攻击,跨站攻击等。本实例经过多次试验,安全性能很好,服务器基本没有被木马威胁的担忧了(注:红色背景为主要审查配置对象)。 硬盘或文件夹: C: D: E: F: 类推 主要权限部分:
其他权限部分:
Administrators 完全控制 无
如果安装了其他运行环境,比如PHP 等,
则根据PHP 的环境功能要求来设置 硬盘权限,一般是安装目录加上users 读取
运行权限就足够了,比如c:php 的话,
就在根目录权限继承的情况下加上
users 读取运行权限,需要写入数 据的
比如tmp 文件夹,则把users 的写删权限加上,运行权限不要,然后把虚拟主机用户的读权限拒绝即可。如果是mysql 的话,用一个独立用户运行 MYSQL 会更
安全,下面会有介绍。如果是winwebmail ,则最好建立独立的应用程序池和独立IIS 用户,然后整个安装目录有users 用户的读/ 运行/写/权限,IIS 用户则相同,这个IIS 用户就只用在winwebmail 的WEB 访问中,其他IIS 站点切勿使用,安装了winwebmail 的 服
务器硬盘权限设置后面举例
该文件夹,子文件夹及文件
<不是继承的> SYSTEM 完全控制
该文件夹,子文件夹及文件
<不是继承的>
硬盘或文件夹: C:Inetpub 主要权限部分:
其他权限部分:
Administrators 完全控制 无
该文件夹,子文件夹及文件 <继承于c:>
CREATOR OWNER 完全控制
只有子文件夹及文件
<继承于c:>
SYSTEM 完全控制
及文件 <继承于c:>
硬盘或文件夹: C:Inetpub/wwwroot 主要权限部分:
其他权限部分:
Administrators 完全控制 IIS_IUSR
读取运行/列出文件夹
目录/读取
该文件夹,子文件夹
及文件
该文件夹,子文件夹及文件
<不是继承的>
<不是继承的> SYSTEM 完全控制
Users
读取运行/列出文件夹目录/读取
该文件夹,子文件夹
及文件
该文件夹,子文件夹及文件
<不是继承的>
<不是继承的>
硬盘或文件夹: C:Inetpub/wwwroot/aspnet_client 主要权限部分:
其他权限部分:
Administrators 完全控制 Users 读取
该文件夹,子文件夹
及文件
该文件夹,子文件夹及文件
<不是继承的>
<不是继承的>
SYSTEM 完全控制
硬盘或文件夹: C:Inetpub/temp 主要权限部分:
其他权限部分:
Administrators 完全控制 Users 读取,读取和执行
该文件夹,子文件夹
及文件
该文件夹,子文件夹及文件
<不是继承的>
<不是继承的> SYSTEM 完全控制
该文件夹,子文件夹
及文件
<不是继承的>
及文件 <不是继承的>
硬盘或文件夹: C:Users 主要权限部分:
其他权限部分:
Administrators 完全控制
Users 读取和运行(包括列出文件夹内容,读取权限),USERS 组的权限仅
仅限制于读取和运行, 绝对不能加上写入权限
该文件夹,子文件夹
及文件
该文件夹,子文件夹及文件
<不是继承的>
<不是继承的>
SYSTEM 完全控制
该文件夹,子文件夹
及文件 <不是继承的>
硬盘或文件夹: C:Users/Administrator 主要权限部分:
其他权限部分:
Administrators 完全控制 Administrator 完全控制
该文件夹,子文件夹
及文件
该文件夹,子文件夹及文件
<不是继承的>
<不是继承的>
SYSTEM 完全控制
该文件夹,子文件夹
及文件 <不是继承的>
硬盘或文件夹: C:Users/Default
C:\Users\Default\AppData\Roaming 主要权限部分:
其他权限部分:
Administrators 完全控制 Users 读取和运行
该文件夹,子文件夹
该文件夹,子文件夹及
及文件
文件
<不是继承的>
<继承上一级文件夹>
SYSTEM 完全控制
USERS 组的权限仅仅限制于读取和运行, 绝对不能加上写入权限 该文件夹,子文件夹及文件 <不是继承的>
硬盘或文件夹: C:\Users\Default\AppData\Roaming\Microsoft\Windows\「开
始」菜单 主要权限部分:
其他权限部分:
Administrators 完全控制 Users 读取和运行
该文件夹,子文件夹
及文件
该文件夹,子文件夹及文件
<不是继承的>
<不是继承的>
SYSTEM 完全控制
隐藏,只读
该文件夹,子文件夹
及文件 <不是继承的>
硬盘或文件夹: C:\Users\Administrator\AppData 主要权限部分:
其他权限部分:
Administrators 完全控制 Users 读取和运行
该文件夹,子文件夹
及文件
该文件夹,子文件夹及文件
<不是继承的>
<不是继承的>
SYSTEM 完全控制
该文件夹,子文件夹
及文件 <不是继承的>
硬盘或文件夹: C:\Users\Default\AppData 主要权限部分:
其他权限部分:
Administrators 完全控制 Users 读取和运行
该文件夹,子文件夹
及文件
该文件夹,子文件夹及文件
<不是继承的>
<不是继承的>
SYSTEM 完全控制
隐藏,只读
该文件夹,子文件夹
及文件 <不是继承的>
硬盘或文件夹: C:\Users\Default\Downloads
C:\Users\Default\Documents 主要权限部分:
其他权限部分:
Administrators 完全控制 Users 读取和运行
该文件夹,子文件夹
及文件
该文件夹,子文件夹及文件
<继承于上一级文件夹>
<继承上一级目录>
SYSTEM 完全控制
只读 该文件夹,子文件夹及文件 <继承于上一级文件夹>
硬盘或文件夹: C:\Users\Administrator\AppData\Roaming
C:\Users\Administrator\AppData\Local 主要权限部分:
其他权限部分:
Administrators 完全控制 该文件夹,子文件夹及文件
<继承于上一级文件夹>
Administrator 完全控制 该文件夹,子文件夹及文件
<继承于上一级文件夹>
SYSTEM 完全控制
该文件夹,子文件夹及文件
<继承于上一级文件夹>
硬盘或文件夹: C:\Users\Default\AppData\Local\Temp 主要权限部分:
其他权限部分:
Administrators 完全控制 Users 读取和运行
该文件夹,子文件夹
及文件
该文件夹,子文件夹及文件
<继承上一级文件夹>
<继承上一级目录>
SYSTEM 完全控制
只读
该文件夹,子文件夹
及文件
<继承上一级文件夹>
硬盘或文件夹: C:\Users\Administrator\AppData\Local\Temp 主要权限部分:
其他权限部分:
Administrators 完全控制 该文件夹,子文件夹及文件
<继承上一级文件夹> Administrator 完全控制 该文件夹,子文件夹及文件
<继承于上一级文件夹>
SYSTEM 完全控制
该文件夹,子文件夹及文件
<继承上一级文件夹>
硬盘或文件夹: C:\Users\Default\AppData\Roaming\Microsoft 主要权限部分:
其他权限部分:
Administrators 完全控制 Users 读取和运行
该文件夹,子文件夹
该文件夹,子文件夹及
及文件
文件
<继承上一级文件夹>
<继承上一级文件夹>
SYSTEM 完全控制
此文件夹包含 Microsoft 应用程序状
态数据,系统默认权限即可。
该文件夹,子文件夹及文件
<继承上一级文件夹>
硬盘或文件夹:
C:\Users\Administrator\AppData\Roaming\Microsoft\Crypto\RSA C:\Users\Administrator\AppData\Roaming\Microsoft\Crypto 主要权限部分:
其他权限部分:
Administrators 完全控制 存在administrator 管理员权限,不用
理会。 该文件夹,子文件夹及文件
<继承上一级文件夹> SYSTEM 完全控制
该文件夹,子文件夹
及文件
<继承上一级文件夹>
硬盘或文件夹: C:\Users\Administrator\AppData\Roaming\Microsoft\HTML Help
主要权限部分:
其他权限部分:
Administrators 完全控制 Administrator 完全控制
该文件夹,子文件夹
及文件
该文件夹,子文件夹及文件
<继承上一级文件夹>
<继承上一级文件夹>
SYSTEM 完全控制
该文件夹,子文件夹
及文件
<继承上一级文件夹>
硬盘或文件夹:
C:\Users\Default\AppData\Roaming\Microsoft\Windows\Network Shortcuts
主要权限部分:其他权限部分:Administrators 完全控制Users 读取和运行
该文件夹,子文件夹及文件该文件夹,子文件夹及文件
<继承上一级文件夹> <继承于上一级文件夹>
SYSTEM 完全控制
该文件夹,子文件夹
及文件
<继承上一级文件夹>
硬盘或文件夹: C:\Windows\Media
主要权限部分:其他权限部分:Administrators 完全控制Users 读取和运行
该文件夹,子文件夹及文件该文件夹,子文件夹及文件
<不是继承的> <继承于上一级文件夹> SYSTEM 完全控制
该文件夹,子文件夹
及文件
<不是继承的>
硬盘或文件夹: C:\Windows
C:\Program Files
C:\Program Files (x86)
C:\Program Files\Common Files
C:\Program Files\Windows NT
C:\Program Files (x86)\Windows NT
C:\Program Files (x86)\Common Files
C:\Program Files (x86)\Windows NT\Accessories
C:\Program Files\Windows NT\Accessories
C:Program Files\Common Files\Microsoft Shared
C:\Program Files (x86)\Common Files\Microsoft Shared
主要权限部分:其他权限部分:
Administrators 特殊权限完全控制Users 读取和运行
只有该文件夹 子文件夹
及文件
该文件夹,子文件夹及文件
<不是继承的>
<不是继承
的>
<不是继承的>
CREATOR OWNER 特殊权限 后续子文件夹均为继承父目录
只有该文件夹
<不是继承的>
SYSTEM 特殊权限 完全控制 只有该文件夹 子文件夹及文件
<不是继承的>
<不是继承的>
硬盘或文件夹: C:Program FilesMicrosoft SQL ServerMSSQL 主要权限部分:
其他权限部分:
Administrators 完全控制 Users 读取和运行
该文件夹,子文件夹
及文件
该文件夹,子文件夹及文件
<继承于上一级文件夹>
<继承于上一级文件夹>
SYSTEM 完全控制
该文件夹,子文件夹及文件
<继承于上一级文件夹>
硬盘或文件夹: E:Program FilesMicrosoft SQL Server
E:Program FilesMicrosoft SQL ServerMSSQL (数据库部分装在E :盘的情况) 主要权限部分:
其他权限部分:
Administrators 完全控制 Users 读取和运行
该文件夹,子文件夹
及文件
该文件夹,子文件夹及文件
<继承于上一级文件夹>
<继承于上一级文件夹>
CREATOR OWNER 完全控制
只有子文件夹及文件
<不是继承的>
SYSTEM 完全控制
该文件夹,子文件夹
及文件
<继承于上一级文件
夹>
硬盘或文件夹: C:Program Files\Internet Explorer\iexplore.exe
C:\Program Files (x86)\Internet Explorer\iexplore.exe 主要权限部分:其他权限部分:
Administrators 读取和执行,读取Users 读取和执行,读取
该文件夹,子文件夹及文件该文件夹,子文件夹及文件
<继承于上一级文件夹> <继承于上一级文件夹>
SYSTEM 读取和执行,读取
该文件夹,子文件夹
及文件
<继承于上一级文件
夹>
硬盘或文件夹: C:\Windows\Temp
主要权限部分:其他权限部分:
Administrators 完全控制
Users 列出文件夹/读取数据
该文件夹,子文件夹及文件该文件夹,子文件夹及文件
<不是继承的> <不是继承的>
CREATOR OWNER 完全控制IIS_IUSR
(如果服务器存在
IIS或其他应用服
务,给予相应的读
取权限)
列出文件夹/读取
数据
只有子文件夹及文件该文件夹,子文件夹及文件
<不是继承的> <不是继承的> SYSTEM 完全控制
该文件夹,子文件夹
及文件
<不是继承的>
硬盘或文件夹: C:WINDOWS/system32
主要权限部分:其他权限部分:Administrators 完全控制Users 读取和运行
该文件夹,子文件夹及文件该文件夹,子文件夹及文件
<不是继承的> <不是继承的> CREATOR OWNER 完全控制
只有子文件夹及文件
<不是继承的>
SYSTEM 完全控制
该文件夹,子文件夹
及文件
<不是继承的>
硬盘或文件夹: C:WINDOWS/system32/config
主要权限部分:其他权限部分:Administrators 完全控制
该文件夹,子文件夹
及文件
<不是继承的>
CREATOR OWNER 完全控制
只有子文件夹及文件
<不是继承的>
SYSTEM 完全控制
该文件夹,子文件夹
及文件
<不是继承的>
硬盘或文件夹: C:WINDOWS/system32/inetsrv
主要权限部分:其他权限部分:
Administrators 完全控制 Users 读取和运行
该文件夹,子文件夹
及文件
该文件夹,子文件夹及文件
<不是继承的>
<不是继承的>
CREATOR OWNER 完全控制
只有子文件夹及文件
<不是继承的>
SYSTEM 完全控制
该文件夹,子文件夹及文件
<不是继承的>
注:其他应用程序相关权限,除主要的权限访问继承上一级文件夹以外,需对指定的文件夹或文件进行单独的权限设置,规则按最小权限给予。
二、服务器安全设置之--系统服务篇(设置完毕需要重新启动)
*除非特殊情况非开不可,下列系统服务要■停止并禁用■:
Application Layer Gateway Service
服务名称: ALG
显示名称: Application Layer Gateway Service
服务描述:
为应用程序级协议插件提供支持并启用网络/协议连接。如果
此服务被禁用,任何依赖它的服务将无法启动。 可执行文件路径: E:WINDOWSSystem32alg.exe
其他补充:
Background Intelligent Transfer Service
服务名称: BITS
显示名称: Background Intelligent Transfer Service
服务描述: 服务描述:利用空闲的网络带宽在后台传输文件。如果服务被停用,例如 Windows Update 和 MSN Explorer 的功能将无法
自动下载程序和其他信息。如果此服务被禁用,任何依赖它的
服务如果没有容错技术以直接通过 IE 传输文件,一旦 BITS 被禁用,就可能无法传输文件。 可执行文件路径: E:WINDOWSsystem32svchost.exe -k netsvcs
其他补充:
Computer Browser
服务名称: Browser
显示名称: Computer Browser
服务描述: 服务描述:维护网络上计算机的更新列表,并将列表提供给计
算机指定浏览。如果服务停止,列表不会被更新或维护。如果
服务被禁用,任何直接依赖于此服务的服务将无法启动。 可执行文件路径:
可执行文件路径: E:WINDOWSsystem32svchost.exe -k
netsvcs
其他补充:
DNS Client (如果没有开启DNS 服务器,将禁止掉)
服务名称: Dnscache 显示名称: DNS Client
服务描述: DNS 客户端服务(dnscache)缓存域名系统(DNS)名称并注册该计算机的完整计算机名称。如果该服务被停止,将继续解析
DNS 名称。然而,将不缓存 DNS 名称的查询结果,且不注册
计算机名称。如果该服务被禁用,则任何明确依赖于它的服务都将无法启动。 可执行文件路径: svchost.exe -k NetworkService
其他补充:
Internet Connection Sharing (ICS)
服务名称: SharedAccess
显示名称: Internet Connection Sharing (ICS)
服务描述:
为家庭和小型办公网络提供网络地址转换、寻址、名称解析和
/或入侵保护服务。 可执行文件路径: svchost.exe -k netsvcs
其他补充:
IP Helper
服务名称: iphlpsvc 显示名称: IP Helper
服务描述: 使用 IPv6 转换技术(6to4、ISATAP 、端口代理和 Teredo)和
IP-HTTPS 提供隧道连接。如果停止该服务,则计算机将不具
备这些技术提供的增强连接优势。 可执行文件路径: C:\Windows\System32\svchost.exe -k NetSvcs
其他补充:
Net.Tcp Listener Adapter
Net.Pipe Listener Adapter Net.Tcp Listener Adapter Net.Tcp Port Sharing Service
服务名称: https://www.wendangku.net/doc/d615815347.html, 组件
显示名称:
Net.Tcp Listener Adapter Net.Pipe Listener Adapter
Net.Tcp Listener Adapter Net.Tcp Port Sharing Service 服务描述: https://www.wendangku.net/doc/d615815347.html, 组件相关服务
可执行文件路径: C:\Windows\https://www.wendangku.net/doc/d615815347.html,\Framework*
其他补充: 可根据情况进行禁止。
Distributed File System
服务名称: Dfs
显示名称: Distributed File System
服务描述:
将分散的文件共享合并成一个逻辑名称空间并在局域网或广域网上管理这些逻辑卷。如果这个服务被停止,用户则无法访
问文件共享。如果这个服务被禁用,任何依赖它的服务将无法启动。 可执行文件路径: C:WINDOWSsystem32Dfssvc.exe
其他补充:
Print Spooler
服务名称: Spooler 显示名称: Print Spooler
服务描述: 管理所有本地和网络打印队列及控制所有打印工作。如果此服
务被停用,本地计算机上的打印将不可用。如果此服务被禁用,
任何依赖于它的服务将无法启用。 可执行文件路径: C:WINDOWSsystem32spoolsv.exe
其他补充:
Problem Reports and Solutions Control Panel Support
服务名称: wercplsupport
显示名称: Problem Reports and Solutions Control Panel Support 服务描述:
此服务为查看、发送和删除“问题报告和解决方案”控制面板
的系统级问题报告提供支持。 可执行文件路径: C:\Windows\System32\svchost.exe -k netsvcs
其他补充:
Remote Desktop Services UserMode Port Redirector
服务名称: UmRdpService
显示名称: Remote Desktop Services UserMode Port Redirector 服务描述: 允许为 RDP 连接重定向打印机/驱动程序/端口 可执行文件路径:
C:\Windows\System32\svchost.exe -k
LocalSystemNetworkRestricted
其他补充:
Remote Procedure Call (RPC) Locator
服务名称: RpcLocator
显示名称: Remote Procedure Call (RPC) Locator
服务描述:
在 Windows 2003 和 Windows 的早期版本中,远程过程调用(RPC)定位器服务可管理 RPC 名称服务数据库。在 Windows
Vista 和 Windows 的更新版本中,此服务不提供任何功能,但可用于应用程序兼容性。 可执行文件路径: C:\Windows\system32\locator.exe
其他补充:
Remote Registry
服务名称: RemoteRegistry 显示名称: Remote Registry
服务描述: 使远程用户能修改此计算机上的注册表设置。如果此服务被终
止,只有此计算机上的用户才能修改注册表。如果此服务被禁
用,任何依赖它的服务将无法启动。 可执行文件路径: C:\Windows\system32\svchost.exe -k regsvc
其他补充:
Routing and Remote Access
服务名称: RemoteAccess
显示名称: Routing and Remote Access
服务描述: 在局域网以及广域网环境中为企业提供路由服务。 可执行文件路径: C:\WINDOWS\System32\svchost.exe -k netsvcs
其他补充:
Server
服务名称: Lanmanserver 显示名称: Server
服务描述: 支持此计算机通过网络的文件、打印、和命名管道共享。如果
服务停止,这些功能不可用。如果服务被禁用,任何直接依赖
于此服务的服务将无法启动。 可执行文件路径: C:\WINDOWS\System32\svchost.exe -k netsvcs
其他补充:
Shell Hardware Detection
服务名称: ShellHWDetection
显示名称: Shell Hardware Detection 服务描述: 为自动播放硬件事件提供通知。
可执行文件路径: C:\WINDOWS\System32\svchost.exe -k netsvcs
其他补充:
SSDP Discovery
服务名称: SSDPSRV 显示名称: SSDP Discovery
服务描述:
当发现了使用 SSDP 协议的网络设备和服务,如 UPnP 设备,同时还报告了运行在本地计算机上使用的 SSDP 设备和服务。
如果停止此服务,基于 SSDP 的设备将不会被发现。如果禁用此服务,任何依赖此服务的服务都无法正常启动。 可执行文件路径:
C:\Windows\system32\svchost.exe -k
LocalServiceAndNoImpersonation
其他补充:
Task Scheduler
服务名称: Schedule 显示名称: Task Scheduler
服务描述: 使用户能在此计算机上配置和计划自动任务。如果此服务被终
止,这些任务将无法在计划时间里运行。如果此服务被禁用,
任何依赖它的服务将无法启动。 可执行文件路径: C:WINDOWSSystem32svchost.exe -k netsvcs
其他补充: 如果没有任务计划的程序运行,就直接禁掉
TCP/IP NetBIOS Helper
服务名称: LmHosts
显示名称: TCP/IP NetBIOS Helper
服务描述:
提供 TCP/IP (NetBT) 服务上的 NetBIOS 和网络上客户端的 NetBIOS 名称解析的支持,从而使用户能够共享文件、打印和
登录到网络。如果此服务被停用,这些功能可能不可用。如果此服务被禁用,任何依赖它的服务将无法启动。 可执行文件路径:
C:\Windows\system32\svchost.exe -k
LocalServiceNetworkRestricted
其他补充:
UPnP Device Host
服务名称: upnphost 显示名称: UPnP Device Host
服务描述:
允许 UPnP 设备宿主在此计算机上。如果停止此服务,则所有宿主的 UPnP 设备都将停止工作,并且不能添加其他宿主设
备。如果禁用此服务,则任何显式依赖于它的服务将都无法启动。 可执行文件路径:
C:\Windows\system32\svchost.exe -k
LocalServiceAndNoImpersonation
其他补充:
Workstation
服务名称: lanmanworkstation 显示名称: Workstation
服务描述: 创建和维护到远程服务的客户端网络连接。如果服务停止,这
些连接将不可用。如果服务被禁用,任何直接依赖于此服务的
服务将无法启动。 可执行文件路径: C:\Windows\System32\svchost.exe -k NetworkService
其他补充:
以上是windows2008server 标准服务当中需要停止的服务,作为IIS 网络服务器,以上服务务必要停止
三、服务器安全设置之--组件安全设置篇
A 、卸载WScript.Shell 和 Shell.application 组件,将下面的代码保存为一个.BAT 文件执行(2008系统)
windows2008.bat
regsvr32 /u C:/WINDOWS/System32/wshom.ocx regsvr32 /u C:/Windows/SysWOW64/wshom.ocx
regsvr32 /u C:/WINDOWS/system32/shell32.dll regsvr32 /u C:/Windows/SysWOW64/shell32.dll
B 、改名不安全组件,需要注意的是组件的名称和Clsid 都要改,并且要改彻底了,不要照抄,要自己改
【开始→运行→regedit →回车】打开注册表编辑器
然后【编辑→查找→填写Shell.application →查找下一个】
用这个方法能找到两个注册表项:
{13709620-C279-11CE-A49E-444553540000}和
Shell.application。
第一步:为了确保万无一失,把这两个注册表项导出来,保存为xxxx.reg 文件。
第二步:比如我们想做这样的更改
13709620-C279-11CE-A49E-444553540000改名为
13709620-C279-11CE-A49E-444553540001
Shell.application改名为 Shell.application_nohack
第三步:那么,就把刚才导出的.reg文件里的内容按上面的对应关系替换掉,然后把修改好的.reg文件导入到注册表中(双击即可),导入了改名后的注册表项之后,别忘记了删除原有的那两个项目。这里需要注意一点,Clsid中只能是十个数字和ABCDEF六个字母。
其实,只要把对应注册表项导出来备份,然后直接改键名就可以了,
老杜评论:WScript.Shell 和 Shell.application 组件是脚本入侵过程中,提升权限的重要环节,这两个组件的卸载和修改对应注册键名,可以很大程度的提高虚拟主机的脚本安全性能,一般来说,ASP和php类脚本提升权限的功能是无法实现了,再加上一些系统服务、硬盘访问权限、端口过滤、本地安全策略的设置,虚拟主机因该说,安全性能有非常大的提高,黑客入侵的可能性是非常低了。注销了Shell组件之后,侵入者运行提升工具的可能性就很小了,但是prel等别的脚本语言也有shell能力,为防万一,还是设置一下为好。下面是另外一种设置,大同小异。
检查相关权限是否符合下面要求
硬盘或文件:
C:/WINDOWS/SYSTEM32/scrrun.dll C:/Windows/SysWOW64/scrrun.dll C:/WINDOWS/system32/cmd.exe C:/Windows/SysWOW64/cmd.exe C:/WINDOWS/System32/wshom.ocx C:/Windows/SysWOW64/wshom.ocx
C:/WINDOWS/system32/shell32.dll
C:/Windows/SysWOW64/shell32.dll
主要权限部分:其他权限部分:Administrators 读取和执行Users 读取和执行
该文件夹,子文件夹及文件该文件夹,子文件夹及文件
<继承于上一级文件
夹>
<继承于上一级文件夹> SYSTEM 读取和执行
该文件夹,子文件夹
及文件
<继承于上一级文件
夹>
如果发现有权限不一致的,请强制更改为上面列表的权限要求。
四、服务器安全设置之--本地安全策略设置(重要)
安全策略自动更新命令:GPUpdate /force (应用组策略自动生效不需重新启动) 开始菜单—>管理工具—>本地安全策略
A、帐户策略——>密码策略
密码必须符合复杂性要求已启用
密码长度最小值8个字符
密码最短使用期限0天
密码最长使用期限90
强制密码历史0个记住的密码
用可还原的加密来存储密码已禁用
B、帐户策略——>帐户锁定策略
帐户锁定时间30分钟
帐户锁定阈值4次无效登陆