爱就爱了

 找回密码
 立即注册

QQ登录

只需一步,快速开始

搜索
查看: 12991|回复: 0

MicrosoftWindows2000ServerFSO安全隐患解决办法

[复制链接]
发表于 2010-11-11 21:48:28 | 显示全部楼层 |阅读模式
MicrosoftWindows2000ServerFSO安全隐患解决办法
发表时间:2007-5-13 17:48:23

文章简介:本文将详细的为大家介绍在Microsoft windows 2000 WebServer (IIS5.0)中如何解决FSO组件对WEB服务器系统的安全威胁之详细设置步骤;读完本文,您将可以使您的网站及服务器系统和数据完全避免黑客的入侵。

本文作者:李泊林/LeeBolin 资深系统工程师、专业网络安全顾问。 已成功为国内多家大中型企业,ISP服务商提供了完整的网络安全解决方案。尤其擅长于整体 网络安全方案的设计、大型网络工程的策划、以及提供完整的各种服务器系列安全整体解决方案。


FSO安全解决办法正文内容:
1、本文设置方法与环境:实用于Microsoft WinNT/2000 Server /Advanced Server | IIS5.0

2、确保IIS及各虚拟主机网站均正常运行,并且删除了IIS中诸如.printer.dav之类不安全的应用程序扩展的映射(其它话题不在本文的讨论范围之类, 如果需要了解更多可见本人的另一篇《Microsoft Win 2000 IIS WEB服务器整体安全解决方案详解》)

3、依次开启----->开始------>程序----->管理工具------>计算机管理----->本地用户与组,然后新建一些用户(假设为:IUSR_0001到IUSR_0050,您的WEB SERVER上有50个虚拟主机的话,如果更多可以再新增一些用户。目是就是采用不同的匿名用户访问机制,以保证您的服务器既可以完整的使用ASP 的FSO组件功能,又不会受到诸如ASP木马的威胁)。这里可以按自己适当的安全级别及实际要求决定是否设置密码,其实为空也无大碍。

4、将刚才新建好的IUSR_0001至IUSR_0050去除User组的权限,统一将他们加到Guests组内。(因为Microsoft Windows默认新用户自动为Users组内,这里一定注意不要忘了将IUSR_xxxx赶出Users组哟^_^)。如果为更好的安全着想,可再新增一个IIS_USERS组,同时将 IUSR_XXXX全部加入这个组内,以便于在做其它系统安全设置时方便用到。

5、设置IIS|依次开启----->开始------>程序----->管理工具------>Internet 服务管理器----->打开IIS管理界面,然后将打开你的第一个虚拟主机的站点属性,在出来的IIS对话界面中,点击“目录安全性”在“身份验证和访问控制”部分点击“编辑”,然后在出现的“验证方法”界面的“匿名访问”部分再点击“编辑”,将会出现匿名用户帐号的界面,这时候你选择“浏览”然后把选择在3步中新建的第一个Guests来宾用户,即选中“IUSR_0001”,如果你新建用户是密码为空者为空,不为空者输入此用户的密码即可。然后再选中下面的“允许IIS控制密码”,接着点击确定。

[另外注意:为了方便管理及后面设置目录权限,网站描述最好和IUSR_XXXX进行对号,比如你上面的操作是对网站描述为Fineacer.com的网站,那么您可以将网站描述换成:Fineacer.com(IUSR_0001)。这样一目了然,更加方便管理。]


6、磁盘权限:确保已经做好了C、D、E、F之类的磁盘的ACLs权限。(即将所有盘的Everyone"完全控制"权必须去掉,这个非常危险,只给其所必需的就成)同时设置您的网站虚拟目录的相应权限,即NTFS中的ACLs访问权限。选择到你网站所在的虚拟主机总目录,将Everyone,访问权限去掉。只加 Administrators -完全控制、System-完全控制.(System是用于Serv-U之类FTP上传下载所需用的权限,因为Serv-U是以System的身份启动服务的)。然后再选择你的IUSR_0001 假设这里是Fineacer.com(IUSR_0001)网站的根目录。再后再右键---->属性------>安全,添加我们的 IUSR_0001,并赋予读取权限,如果是单HTML只给读取权限即可,如果是ASP+ACESS数据库类似的,同时还需要加上"写入"权限。如果网站的ASP程序需要利用FSO进行网站内容的在线修改、删除等操作的话,那么一般我们将“完全控制”权给IUSR_XXXX。

7、好了,第一个虚拟主机设置终于搞定^_^,我们放一个Webshell在网站目录内,然后再浏览http: //www.fineacer.com/webshell.asp 嘿嘿,试试,再用FSO 功能访问其它网站目录是不是就访问不了了,更不用说编辑与删除其它虚拟主机用户的网页文件了:)剩下来的工作就是重复步骤3、4、5、6、将所有站点都进行设置。具本人所知,部份虚拟主机管理系统就是利用这个原理,来进行的!只不过将这些步骤都写到了虚拟主机的管理系统程序中罢了。


日志标题:WIN2003 IIS最小权限分配的批处理文件
发表时间:2007-5-14 11:26:24

echo "删除C盘的everyone的权限"
cd/
cacls "%SystemDrive%" /r "everyone" /e
cacls "%SystemRoot%" /r "everyone" /e
cacls "%SystemRoot%/Registration" /r "everyone" /e
cacls "%SystemDrive%/Documents and Settings" /r "everyone" /e


echo "删除C盘的所有的users的访问权限"
cd/
cacls "%SystemDrive%" /r "users" /e
cacls "%SystemDrive%/Program Files" /r "users" /e
cacls "%SystemDrive%/Documents and Settings" /r "users" /e

cacls "%SystemRoot%" /r "users" /e
cacls "%SystemRoot%/addins" /r "users" /e
cacls "%SystemRoot%/AppPatch" /r "users" /e
cacls "%SystemRoot%/Connection Wizard" /r "users" /e
cacls "%SystemRoot%/Debug" /r "users" /e
cacls "%SystemRoot%/Driver Cache" /r "users" /e
cacls "%SystemRoot%/Help" /r "users" /e
cacls "%SystemRoot%/IIS Temporary Compressed Files" /r "users" /e
cacls "%SystemRoot%/java" /r "users" /e
cacls "%SystemRoot%/msagent" /r "users" /e
cacls "%SystemRoot%/mui" /r "users" /e
cacls "%SystemRoot%/repair" /r "users" /e
cacls "%SystemRoot%/Resources" /r "users" /e
cacls "%SystemRoot%/security" /r "users" /e
cacls "%SystemRoot%/system" /r "users" /e
cacls "%SystemRoot%/TAPI" /r "users" /e
cacls "%SystemRoot%/Temp" /r "users" /e
cacls "%SystemRoot%/twain_32" /r "users" /e
cacls "%SystemRoot%/Web" /r "users" /e
cacls "%SystemRoot%/WinSxS" /r "users" /e

cacls "%SystemRoot%/system32/3com_dmi" /r "users" /e
cacls "%SystemRoot%/system32/administration" /r "users" /e
cacls "%SystemRoot%/system32/Cache" /r "users" /e
cacls "%SystemRoot%/system32/CatRoot2" /r "users" /e
cacls "%SystemRoot%/system32/Com" /r "users" /e
cacls "%SystemRoot%/system32/config" /r "users" /e
cacls "%SystemRoot%/system32/dhcp" /r "users" /e
cacls "%SystemRoot%/system32/drivers" /r "users" /e
cacls "%SystemRoot%/system32/export" /r "users" /e
cacls "%SystemRoot%/system32/icsxml" /r "users" /e
cacls "%SystemRoot%/system32/lls" /r "users" /e
cacls "%SystemRoot%/system32/LogFiles" /r "users" /e
cacls "%SystemRoot%/system32/MicrosoftPassport" /r "users" /e
cacls "%SystemRoot%/system32/mui" /r "users" /e
cacls "%SystemRoot%/system32/oobe" /r "users" /e
cacls "%SystemRoot%/system32/ShellExt" /r "users" /e
cacls "%SystemRoot%/system32/wbem" /r "users" /e

echo "添加iis_wpg的访问权限"
cacls "%SystemRoot%" /g iis_wpg:r /e
cacls "%SystemDrive%/Program Files/Common Files" /g iis_wpg:r /e

cacls "%SystemRoot%/Downloaded Program Files" /g iis_wpg:c /e
cacls "%SystemRoot%/Help" /g iis_wpg:c /e
cacls "%SystemRoot%/IIS Temporary Compressed Files" /g iis_wpg:c /e
cacls "%SystemRoot%/Offline Web Pages" /g iis_wpg:c /e
cacls "%SystemRoot%/System32" /g iis_wpg:c /e
cacls "%SystemRoot%/Tasks" /g iis_wpg:c /e
cacls "%SystemRoot%/Temp" /g iis_wpg:c /e
cacls "%SystemRoot%/Web" /g iis_wpg:c /e
您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

小黑屋|手机版|Archiver|平龙认个人分站 - 爱就爱了 ( 豫ICP备14029057号-2、4、5 )
豫公网安备 41010502002156号

GMT+8, 2024-12-4 01:05 , Processed in 0.038416 second(s), 20 queries , Gzip On.

Powered by Discuz! X3.4

Copyright © 2001-2020, Tencent Cloud.

快速回复 返回顶部 返回列表