欢迎您,零度科技专业海外服务器租用
公司电话: 24小时电话: 

当前位置:首页>新闻动态>网络安全

目录导航

windows服务器安全设置 防止webshell执行权限

美国西岸机房 发布于 2011-06-23  
网络安全

防止webshell执行权限,在windows服务器上卸载这些危险组件的方法

卸载wscript.shell对象,在cmd下或直接运行:regsvr32 /u %windir%\system32\WSHom.Ocx

卸载FSO对象,在cmd下或直接运行:regsvr32.exe /u %windir%\system32\scrrun.dll

卸载stream对象,在cmd下或直接运行: regsvr32 /s /u "C:\Program Files\Common Files\System\ado\msado15.dll"

如果想恢复的话只需要去掉 /U 即可重新再注册以上相关ASP组件例如:regsvr32.exe %windir%\system32\scrrun.dll

防止海洋木马列出WIN服务器的用户和进程

禁用服务里面倒数第二个 workstation 服务,可以防止列出用户和服务

c:\

administrators 全部

system 全部

iis_wpg 只有该文件夹

列出文件夹/读数据

读属性

读扩展属性

读取权限

c:\inetp \mailroot

administrators 全部

system 全部

service 全部

c:\inetp \ftproot

everyone 只读和运行

c:\windows

administrators 全部

Creator owner

不是继承的

只有子文件夹及文件

完全

Power Users

修改,读取和运行,列出文件夹目录,读取,写入

system 全部

IIS_WPG 读取和运行,列出文件夹目录,读取

Users 读取和运行(此权限最后调整完成后可以取消)

C:\WINDOWS\Microsoft.Net

administrators 全部

Creator owner

不是继承的

只有子文件夹及文件

完全

Power Users

修改,读取和运行,列出文件夹目录,读取,写入

system 全部

Users 读取和运行,列出文件夹目录,读取

'www.knowsky.com

C:\WINDOWS\Microsoft.Net

administrators 全部

Creator owner

不是继承的

只有子文件夹及文件

完全

Power Users

修改,读取和运行,列出文件夹目录,读取,写入

system 全部

Users 读取和运行,列出文件夹目录,读取

C:\WINDOWS\Microsoft.Net\temporary ASP.NET Files

administrators 全部

Creator owner

不是继承的

只有子文件夹及文件

完全

Power Users

修改,读取和运行,列出文件夹目录,读取,写入

system 全部

Users 全部

c:\Program Files

Everyone 只有该文件夹

不是继承的

列出文件夹/读数据

administrators 全部

iis_wpg 只有该文件夹

列出文件/读数据

读属性

读扩展属性

读取权限

c:\windows\temp

Administrator 全部权限

System全部权限

users 全部权限

c:\Program Files\Common Files

administrators 全部

Creator owner

不是继承的

只有子文件夹及文件

完全

Power Users

修改,读取和运行,列出文件夹目录,读取,写入

system 全部

TERMINAL SERVER Users(如果有这个用户)

修改,读取和运行,列出文件夹目录,读取,写入

Users 读取和运行,列出文件夹目录,读取

c:\Program Files\Dimac(如果有这个目录)

Everyone 读取和运行,列出文件夹目录,读取

administrators 全部

c:\Program Files\ComPlus Applications (如果有)

administrators 全部

c:\Program Files\GflSDK (如果有)

administrators 全部

Creator owner

不是继承的

只有子文件夹及文件

完全

Power Users

修改,读取和运行,列出文件夹目录,读取,写入

system 全部

TERMINAL SERVER Users

修改,读取和运行,列出文件夹目录,读取,写入

Users 读取和运行,列出文件夹目录,读取

Everyone 读取和运行,列出文件夹目录,读取

c:\Program Files\InstallShield Installation Information (如果有)

c:\Program Files\Internet Explorer (如果有)

c:\Program Files\NetMeeting (如果有)

administrators 全部

c:\Program Files\WindowsUpdate

Creator owner

不是继承的

只有子文件夹及文件

完全

administrators 全部

Power Users

修改,读取和运行,列出文件夹目录,读取,写入

system 全部

c:\Program Files\Microsoft SQL(如果SQL安装在这个目录)

administrators 全部

Service 全部

system 全部

d:\ (如果用户网站内容放置在这个分区中)

administrators 全部权限

d:\FreeHost (如果此目录用来放置用户网站内容)

administrators 全部权限

SERVICE 读取与运行

从安全角度,我们建议WebEasyMail(WinWebMail)安装在独立的盘中,例如E:

E:\(如果webeasymail安装在这个盘中)

administrators 全部权限

system 全部权限

IUSR_*,默认的Internet来宾帐户(或专用的运行用户)

读取与运行

E:\WebEasyMail (如果webeasymail安装在这个目录中)

administrators 全部

system 全部权限

SERVICE全部

IUSR_*,默认的Internet来宾帐户 (或专用的运行用户)

全部权限

C:\php\uploadtemp

C:\php\sessiondata

everyone

全部

C:\php\

administrators 全部

system 全部权限

SERVICE全部

Users 只读和运行

c:\windows\php.ini

administrators 全部

system 全部权限

SERVICE全部

Users 只读和运行

修改该Clsid的值而禁用该组件,如将注册表中HKEY_CLASSES_ROOT\Scripting.FileSystemObject\CLSID的值0D43FE01-F093-11CF-8940-00A0C9054228改成0D43FE01-F093-11CF-8940-00A0C9054229(改了最后面一位),这时候的写法为:

CF-8940-00A0C9054229">

服务器安全配置实例

一.磁盘权限的设置

c:\

Administrators 完全控制

System 完全控制

Users 读取 读取运行 列出文件夹目录(为了让防盗链能正常运行)

Gst 拒绝所有权限.并只应用到“只有该文件夹”

C:\Documents and Settings

Administrators 完全控制

System 完全控制

C:\Documents and Settings\All Users

Administrators 完全控制

System 完全控制

C:\php

读取 读取运行 列出文件夹目录

C:\Program Files

Administrators 完全控制

System 完全控制

C:\Program Files\Common Files\System

把Everyone权限加上去,赋予 读取 读取运行 列出文件夹目录权限

C:\WINDOWS

Administrators 完全控制

System 完全控制

IIS_WPG 读取 读取运行 列出文件夹目录,并应用到“只有子文件夹及文件”

Users 读取 读取运行 列出文件夹目录,并应用到“只有该文件夹”

C:\WINDOWS\system32

Administrators 完全控制 System 完全控制

Everyone 读取 读取运行 列出文件夹目录,并应用到“只有子文件夹及文件”

搜索 cmd.exe net.exe net1.exe cacls.exe tftp.exe ftp.exe

赋予Administrators完全控制权限.并将C:\WINDOWS\ServicePackFiles\i386目录下面多余的删掉!

D盘看不到,不用管

E:\

Administrators 完全控制

E:\web

Administrators 完全控制

e:\web下面是网站目录,每个站点使用独立的匿名用户,这个不用多说了.

F:\

Administrators 完全控制

f:\web

administrators 完全控制

f:\web下面也是用户目录。。。自己设置权限去...

服务器上有2个PHP的站点.因为PHP的安全机制

设置的权限有所不同.

F:\web\www.nideyu.cnadministrators 完全控制

system 完全控制

everyone 完全控制,不是继承的.点高级-把那个勾去掉

F:\web\www.nideyu.cn\sb 是网站目录

administrators 完全控制

system 完全控制

 www.nideyu.cn除了完全控制以外,全部赋予

F:\web\www.y eta.cn 这个也是PHP的,设置权限如上,不再重复.

另:E:\web\IIS备份 此目录下是IIS站点配置备份.建立站点时直接导入就可,E:\2盘\bak\建立网站用户的批处理.BAT 直接运行就会自动建立网站匿名帐户.

二.系统安全设置

1.启用Windows自带防火墙,并开放80 21 3306 52013 端口.(想开什么端口自己加)

2.删除以下的注册表主键:

WScript.Shell

WScript.Shell.1

Shell.application

Shell.application.1

WSCRIPT.NETWORK

WSCRIPT.NETWORK.1

regsvr32 /u wshom.ocx回车、regsvr32 /u wshext.dll回车

3.删除没有必要的储存过程

use master

EXEC sp_dropextendedproc 'xp_cmdshell'

EXEC sp_dropextendedproc 'Sp_OACreate'

EXEC sp_dropextendedproc 'Sp_OADestroy'

EXEC sp_dropextendedproc 'Sp_OAGetErrorInfo'

EXEC sp_dropextendedproc 'Sp_OAGetProperty'

EXEC sp_dropextendedproc 'Sp_OAMethod'

EXEC sp_dropextendedproc 'Sp_OASetProperty'

EXEC sp_dropextendedproc 'Sp_OAStop'

EXEC sp_dropextendedproc 'Xp_regaddmultistring'

EXEC sp_dropextendedproc 'Xp_regdeletekey'

EXEC sp_dropextendedproc 'Xp_regdeleteval'

EXEC sp_dropextendedproc 'Xp_regenumvals'

EXEC sp_dropextendedproc 'Xp_regread'

EXEC sp_dropextendedproc 'Xp_regremovemultistring'

EXEC sp_dropextendedproc 'Xp_regwrite'

drop procedure sp_makewebtask

(本人建议直接找对应的DLL文件删除比较保险)

4.禁用Workstation服务,防止ASP木马列出用户.

5.关闭默认共享防止LAN内IPC入侵。可以用批处理来实现.如下:

echo off

net share c$ /del

net share d$ /del

net share e$ /del

net share f$ /del

保存为bat放到C:\Documents and Settings\All Users\「开始」菜单\程序\启动 即可

6.定时重启IIS服务及SQL服务.释放资源.可以用计划任务来实现.怎么弄自己想去。

7.设置终端登陆权限,只允许授权用户登陆.开始-程序-管理工具-终端服务配置-RDP-属性-权限

Administrator

chadmin

system

完全控制,不过尽管这样还是有一定的不安全,克隆个帐户就得了.建议限制IP登陆.尽管这样还是不安全滴,人家可以映射终端端口.最好的就是把服务器搞得上没得网.用IP安全策略可以做到.

8.Serv-U改一下本地管理密码,防止本地溢出.设置一下FTP域安全性,选择允许SSL/TLS和规则会话.

OK.就照着这样设置就行了,又安全又不影响第三方软件使用.每台服务器的权限配置都不一样

防止CMD SHELL权限被夺方法

一台电脑被入侵往往会先取得主机的CMD SHELL权限,Cmd Shell的获取大多是利用溢出攻击实现的,其实我们经过手工设置可以对溢出攻击进行有效的防御。

1.对于Windows 2000/2003系统用户来说,可以先打开C:\WINNT\System32(系统安装在C盘),然后找到“cmd.exe”,用右键选择“属性”项,再在“安全”标签下修改“cmd.exe”的访问权限,只保留刚刚新建立的用户对“cmd.exe”的完全控制权限,将其他用户全部删除,尤其是Everyone。

之后,找到“net.exe”文件,按照上述方法进行设置。如果还发现了“net1.exe”,也要设置一样的权限。

2.在Windows XP下,“cmd.exe”的“属性”选项里已经没有了“安全”标签。可以点击“开始→运行”,输入“gpedit.msc”,打开“组策略”窗口。在组策略中,依次展开“计算机配置→Windows 设置→软件限制策略”,右击后,选择“创建新的策略”。然后,继续展开“软件限制策略→其他规则”项,右击该项,选择“新键散列规则”。在弹出窗口中点击“浏览”按钮,选择C:\WINNT\System32下的“cmd.exe”文件,设置“安全级别”为“不允许的”。

对“net.exe”文件执行同样的操作,进行限制。这样就禁止了CMD SHELL权限。

零度科技原文链接:http://www.ldisp.com/a/safe/2011/952.shtml

上一篇:服务器防止PHPSPY木马
下一篇:防御PHP木马攻击的技巧(二)

 
了解零度?

零度科技主营全球服务器租用,如果您有服务器租用需求请联系

海外服务器租用

推荐香港、美国、韩国。提供站群服务器、高防服务器租用

海外特价服务器

关注零度特价服务器频道,了解全球特价服务器。

102

业务咨询

    技术服务

      特价活动
        全站搜索
        热门搜索:
        会员
        0通知
        客服
        0特价
        搜索
        TOP
        香港高防服务器,远程桌面,韩国服务器,nginx,反向代理