下面是小编为大家收集的限制目录的文件执行权限保障服务器安全WEB安全,本文共5篇,仅供参考,欢迎大家阅读,一起分享。
篇1:限制目录的文件执行权限保障服务器安全WEB安全
对于一个web目录来说, 根本不需要运行可执行文件的权限。这里教大家一种方法。
利用gpedit.msc(组策略)禁止目录执行某些文件。
首先:
运行-----输入 gpedit.msc ----计算机配置---windows 设置----安全设置↓
----软件限制策略(如果旁边没有什么东西。点右键创建一个策略)---其他规则----(点右键)新建立一个路径规则(p),
如图1:
这样d:\wwwroot\目录就无法执行任何exe.bat.com文件了。 不管你是什么权限。即使是system都无法执行。
这样大大的提高了被使用exp提升权限的安全性。
当然这里提一个思路。 。大家都知道c:\windows\temp\是临时文件夹。 基本都是所有用户都可以写的。它是不需要执行权限的。
当然我们这里可以给他加一个规则。让c:\windows\temp\无执行权限。 方法如上。
篇2:服务器组策略限制目录权限的安全设置WEB安全
还在为网站被入侵,导致可以被人运行可执行文件而烦恼嘛?
对于一个web目录来说。 根本不需要运行可执行文件的权限。这里教大家一种方法。
利用gpedit.msc(组策略)禁止目录执行某些文件。
首先:
运行-----输入 gpedit.msc ----计算机配置---windows 设置----安全设置↓
----软件限制策略(如果旁边没有什么东西,
点右键创建一个策略)---其他规则----(点右键)新建立一个路径规则(p)。
如图1:
这样d:\wwwroot\目录就无法执行任何exe.bat.com文件了。 不管你是什么权限。即使是system都无法执行。
这样大大的提高了被使用exp提升权限的安全性。
当然这里提一个思路。 。大家都知道c:\windows\temp\是临时文件夹。 基本都是所有用户都可以写的。它是不需要执行权限的。
当然我们这里可以给他加一个规则。让c:\windows\temp\无执行权限。 方法如上。
篇3:如何保障Web服务器安全
如何保障Web服务器安全
维护Web服务器安全是信息安全中最不讨好的差事之一,你需要在相冲突的角色中找到平衡,允许对网络资源的合法访问,同时阻止恶意破坏。
你甚至会考虑双重认证,例如RSA SecurID,来确保认证系统的高信任度,但是这对所有网站用户来说也许不实用,或者不划算。尽管存在这样相冲突的目标,仍有六个有助Web服务器安全的步骤。
对内部和外部应用分别使用单独的服务器
假设组织有两类独立的网络应用,面向外部用户的服务和面向内部用户的服务,要谨慎地将这些应用部署在不同的服务器上。这样做可以减少恶意用户突破外部服务器来获得对敏感的内部信息地访问。如果你没有可用的部署工具,你至少应该考虑使用技术控制(例如处理隔离),使内部和外部应用不会互相牵涉。
使用单独的开发服务器测试和调试应用软件
在单独的Web服务器上测试应用软件听起来像是常识——的确是。不幸的是,许多组织没有遵循这个基本规则,相反允许开发者在生产服务器上调试代码甚至开发新软件。这对安全和可靠性来说都很可怕。在生产服务器上测试代码会使用户遇到故障,当开发者提交未经测试易受攻击的代码时,引入安全漏洞。大多数现代版本控制系统(例如微软的Visual SourceSafe)有助于编码/测试/调试过程自动化。
审查网站活动,安全存储日志
每一个安全专业人员都知道维护服务器活动日志的重要性。由于大多数Web服务器是公开的,对所有互联网服务进行审核是很重要的。审核有助你检测和打击攻击,并且使你可以检修服务器性能故障,
在高级安全环境中,确保你的日志存储在物理安全的地点——最安全的(但是最不方便的`)技巧是日志一产生就打印出来,建立不能被入侵者修改的纸记录,前提是入侵者没有物理访问权限。你也许想要使用电子备份,例如登录进安全主机,用数字签名进行加密,来阻止日志被窃取和修改。
培训开发者进行可靠的安全编码
软件开发者致力于创建满足商业需求的应用软件,却常常忽略了信息安全也是重要的商业需求。作为安全专业人员,你有责任对开发者进行影响到Web服务器的安全问题的培训。你应该让开发者了解网络中的安全机制,确保他们开发的软件不会违背这些机制;还要进行概念的培训,例如内存泄漏攻击和处理隔离——这些对编码和生成安全的应用软件大有帮助。
给操作系统和Web服务器打补丁
这是另一个常识,但是当管理员因为其他任务而不堪重荷时常常忽略这一点。安全公告,像是CERT或者微软发布的公告,提醒人们软件厂商多频繁地发布某些安全漏洞的修补程序。一些工具像是微软的软件升级服务(SUS)和RedHat的升级服务有助于使这项任务自动化。总之,一旦漏洞公布,如果你不修补它,迟早会被人发现并利用。
使用应用软件扫描
如果负担地起,你也许会考虑使用应用软件扫描器来验证内部编码。像是 Watchfire公司的AppScan这样的工具有助于确保编码在生产环境里不会存在漏洞。记住,要有安全意识。设计良好的 Web服务器结构应该基于健全的安全政策。贯彻执行这六个方法会帮助你建立坚固的基础。
篇4:最全的服务器web最小权限WEB安全
A. NTFS系统权限设置 在使用之前将每个硬盘根加上 Administrators 用户为全部权限(可选加入SYSTEM用户)删除其它用户.
B. 进入系统盘:权限如下
C:\WINDOWS Administrators SYSTEM用户全部权限 Users 用户默认权限不作修改.
其它目录删除Everyone用户,注意以下文件夹保留Everyone用户,C:\Documents and Settings下All Users\Default User目录及其子目录如C:\Documents and Settings\All Users\Application Data 目录默认配置保留了Everyone用户权限,C:\WINDOWS\PCHealth、C:\windows\Installer也是保留了Everyone权限.
删除C:\WINDOWS\Web\printers目录,此目录的存在会造成IIS里加入一个.printers的扩展名,可溢出攻击.
默认IIS错误页面已基本上没多少人使用了,建议删除C:\WINDOWS\Help\iisHelp目录.
删除C:\WINDOWS\system32\inetsrv\iisadmpwd,此目录为管理IIS密码之用,如一些因密码不同步造成500,这里可以删掉,下面设置将会杜绝因系统问题.
C, 打开C:\Windows 搜索(可以不做)
net.exe
cmd.exe
tftp.exe
netstat.exe
regedit.exe
at.exe
attrib.exe
cacls.exe
format.com
regsvr32.exe
xcopy.exe
wscript.exe
cscript.exe
ftp.exe
telnet.exe
arp.exe
edlin.exe
ping.exe
route.exe
finger.exe
posix.exe
rsh.exe
atsvc.exe
qbasic.exe
runonce.exe
syskey.exe
修改权限,删除所有的用户只保存Administrators 和SYSTEM为所有权限
D. 关闭445端口
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\netBT\Parameters
新建 “DWORD值”值名为 “SMBDeviceEnabled” 数据为默认值“0”
禁止建立空连接
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa
新建 “DWORD值”值名为 “RestrictAnonymous” 数据值为“1” [默认为1]
禁止系统自动启动服务器共享
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters
新建 “DWORD值”值名为 “AutoShareServer” 数据值为“0”
禁止系统自动启动管理共享
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters
新建 “DWORD值”值名为 “AutoShareWks” 数据值为“0”
禁止dump file的产生
dump文件在系统崩溃和蓝屏的时候是一份很有用的查找问题的资料。然而,它也能够给 提供一些敏感信息比如一些应用程序的密码等。
控制面板>系统属性>高级>启动和故障恢复把 写入调试信息 改成无。
E. 本地安全策略配置
开始 >程序 >管理工具 >本地安全策略
账户策略 >密码策略 >密码最短使用期限 改成0天[即密码不过期,上面我讲到不会造成IIS密码不同步]账户策略 >账户锁定策略 >账户锁定阈值 5 次 账户锁定时间 10分钟 [个人推荐配置]
本地策略 >审核策略 >
账户管理 成功 失败
登录事件 成功 失败
对象访问 失败
策略更改 成功 失败
特权使用 失败
系统事件 成功 失败
目录服务访问 失败
账户登录事件 成功 失败
本地策略 >安全选项 >清除虚拟内存页面文件 更改为”已启用”
>不显示上次的用户名 更改为”已启用”
>不需要按CTRL+ALT+DEL 更改为”已启用”
>不允许 SAM 账户的匿名枚举 更改为”已启用”
>不允许 SAM 账户和共享的匿名枚举 更改为”已启用”
>重命名来宾账户 更改成一个复杂的账户名
>重命名系统管理员账号 更改一个自己用的账号 [同时可建立一个无用户组的Administrat账户]
组策略编辑器
运行 gpedit.msc 计算机配置 >管理模板 >系统 显示“关闭事件跟踪程序” 更改为已禁用
删除不安全组件
WScript.Shell 、Shell.application 这两个组件一般一些ASP木马或一些恶意程序都会使用到,
方案一:
regsvr32 /u wshom.ocx 卸载WScript.Shell 组件
regsvr32 /u shell32.dll 卸载Shell.application 组件
如果按照上面讲到的设置,可不必删除这两个文件
方案二:删除注册表 HKEY_CLASSES_ROOT\CLSID\{72C24DD5-D70A-438B-8A42-98424B88AFB8} 对应 WScript.Shell
删除注册表 HKEY_CLASSES_ROOT\CLSID\{13709620-C279-11CE-A49E-444553540000} 对应 Shell.application
F. 用户管理
建立另一个备用管理员账号,防止特殊情况发生。
安装有终端服务与SQL服务的服务器停用TsInternetUser, SQLDebugger这两个账号
用户组说明
在将来要使用到的IIS中,IIS用户一般使用Guests组,也可以再重新建立一个独立的专供IIS使用的组,但要将这个组赋予C:\Windows 目录为读取权限。
以下服务改为自动
Alerter
Application Experience Lookup Service
Application Layer Gateway Service
Application Management
Background Intelligent Transfer Service
ClipBook
COM+ Event System
IIS配置
请您参考service.zzidc.com/count.asp?a=show&ID=89
IIS 6 出于安全考虑, 默认最大请求200K(也即最大提交数据限额为200KByte, 204800Byte).
解决办法:
1. 关闭 IIS Admin Service 服务
2. 打开 \Windows\system32\inesrv\metabase.xml
3. 修改 ASPMaxRequestEntityAllowed 的值为自己需要的, 默认为 204800
4. 启动 IIS Admin Service
IIS支持PHP的配置
service.zzidc.com/count.asp?a=show&ID=99
注意php5和zend有问题,想用zend 请您用php4
G. FTP的配置
服务器使用Serv-U Server 建议使用此软件安装原版至D:\Serv-U_3434999fdaf [复杂无规则的目录名可有效防止 的猜解]
尔后退出Serv-U,安装汉化包。
运行SERV-U管理器 IP地址可为空、安装为系统服务 设置密码防止溢出
PASV设置
Serv-U管理器 -本地服务器-设置-高级
PASV端口范围 这里SERV-U只允许 50个端口范围 端口的设置范围 如1025-1075[1024以前的端口为系统使用]
可以了改为9000-9049.
H. Jmail 组件的安装
建议使用 w3 JMail Personal
默认安装至 D:\w3JMail4_35434fnald [同样,复杂的目录名]
安装完成后只需单一设置 jmail.dll 权限,加入IIS用户组默认权限即可!
j. SQL Server 的安装与配置
目前SQL Server 2000 + SP4 在我看来已算比较安全,已没有SP3等版本会因为 sqlstp.log, sqlsp.log而泄露
安装信息的问题。当然也建议在安全后 检查 :\Program Files\Microsoft SQL Server\MSSQL\Install
目录中是否存在有 sqlstp.log, sqlsp.log, setup.iss文件,如果有,则备份至其它位置。
数据库的建立这里就说了。请参考SQL SERVER 2000帮助文档!
篇5:如何在windows iis7取消目录执行权限技巧WEB安全
现在 日益巩横行,可以说网站不可能没有漏洞,怎么提升自己网站的安全越来越重要了, win2008在安全方面比win2003要高很多,但是也存在很多的安全漏洞,这里笔者的网站需要把2008 ii7目录权限取消在2008下找了很久都没有找到。
经过再三研究终于找到如何将windowns2008 iis7如何取消目录执行权限的方法.
1、首先选中目录.
2、双击右边的处理程序映射,
3、点击右边的编辑功能权限。
4、把脚本的勾去掉。
到这里我们就已经去掉了网站目录的可执行权限,当然一些确实要执行的目录不要取消哦,安全固然重要,可以让部分页面打不开就是罪过了。记得不要把读也取消。不然你网站就打不开了。
★Linux下PhpMyAdmin程序目录的安全管理WEB安全
文档为doc格式
