Windows_Server_2008_系统安全配置大全

Windows2008服务器安全设置技术实例Windows2008服务器安全设置技术实例..................................................................................1一、服务器安全设置之--硬盘权限篇.........................................................................................1二、服务器安全设置之--系统服务篇(设置完毕需要重新启动)...........................................13三、服务器安全设置之--组件安全设置篇...............................................................................18四、服务器安全设置之--本地安全策略设置（重要）.........................................................20A、帐户策略——密码策略...............................................................................................20B、帐户策略——帐户锁定策略.......................................................................................20D、本地策略——用户权限分配.......................................................................................21E、本地策略——安全选项...............................................................................................21五、服务器安全设置之--本地安全策略-IP安全策略............................................................21六、服务器安全设置之--高级安全windows防火墙(掌握好很重要)...................................23七、服务器安全设置之--本地安全策略-高级审核策略配置.................................................24a.系统审核策略——帐户登录.........................................................................................24b.系统审核策略——帐户管理.........................................................................................24c.系统审核策略——详细跟踪.........................................................................................25d.系统审核策略——DS访问............................................................................................25e.系统审核策略——登陆/注销.......................................................................................25f.系统审核策略——对象访问.........................................................................................25g.系统审核策略——策略更改.........................................................................................25h.系统审核策略——特权使用.........................................................................................25八、服务器安全设置之--远程桌面服务策略...........................................................................26九、服务器安全设置之--组策略配置（掌握好很重要）.......................................................26十、服务器安全设置之--用户安全设置.................................................................................28十一、选配—防御PHP木马攻击的技巧...................................................................................30一、服务器安全设置之--硬盘权限篇这里着重谈需要的权限，也就是最终文件夹或硬盘需要的权限，可以防御各种木马入侵，提权攻击，跨站攻击等。本实例经过多次试验，安全性能很好，服务器基本没有被木马威胁的担忧了（注：红色背景为主要审查配置对象）。硬盘或文件夹:C:D:E:F:类推主要权限部分：其他权限部分：Administrators完全控制无如果安装了其他运行环境，比如PHP等，则根据PHP的环境功能要求来设置硬盘权限，一般是安装目录加上users读取运行权限就足够了，比如c:php的话，就在根目录权限继承的情况下加上users读取运行权限，需要写入数据的比如tmp文件夹，则把users的写删权限加上，运行权限不要，然后把虚拟主机用户的读权限拒绝即可。如果是mysql的话，用一个独立用户运行MYSQL会更安全，下面会有介绍。如果是winwebmail，则最好建立独立的应用程序池和独立IIS用户，然后整个安装目录有users用户的读/运行/写/权限，IIS用户则相同，这个IIS用户就只用在winwebmail的WEB访问中，其他IIS站点切勿使用，安装了winwebmail的服务器硬盘权限设置后面举例该文件夹，子文件夹及文件不是继承的SYSTEM完全控制该文件夹，子文件夹及文件不是继承的硬盘或文件夹:C:Inetpub主要权限部分：其他权限部分：Administrators完全控制无该文件夹，子文件夹及文件继承于c:CREATOROWNER完全控制只有子文件夹及文件继承于c:SYSTEM完全控制该文件夹，子文件夹及文件继承于c:硬盘或文件夹:C:Inetpub/temp硬盘或文件夹:C:Inetpub/主要权限部分：其他权限部分：Administrators完全控制IIS_IUSR读取运行/列出文件夹目录/读取该文件夹，子文件夹及文件该文件夹，子文件夹及文件不是继承的不是继承的SYSTEM完全控制Users读取运行/列出文件夹目录/读取该文件夹，子文件夹及文件该文件夹，子文件夹及文件不是继承的不是继承的硬盘或文件夹:C:Inetpub/主要权限部分：其他权限部分：Administrators完全控制Users读取该文件夹，子文件夹及文件该文件夹，子文件夹及文件不是继承的不是继承的SYSTEM完全控制该文件夹，子文件夹及文件不是继承的硬盘或文件夹:C:Users主要权限部分：其他权限部分：Administrators完全控制Users读取，读取和执行该文件夹，子文件夹及文件该文件夹，子文件夹及文件不是继承的不是继承的SYSTEM完全控制该文件夹，子文件夹及文件不是继承的主要权限部分：其他权限部分：Administrators完全控制Users读取和运行(包括列出文件夹内容，读取权限)，USERS组的权限仅仅限制于读取和运行，绝对不能加上写入权限该文件夹，子文件夹及文件该文件夹，子文件夹及文件不是继承的不是继承的SYSTEM完全控制该文件夹，子文件夹及文件不是继承的硬盘或文件夹:C:Users/Administrator主要权限部分：其他权限部分：Administrators完全控制Administrator完全控制该文件夹，子文件夹及文件该文件夹，子文件夹及文件不是继承的不是继承的SYSTEM完全控制该文件夹，子文件夹及文件不是继承的硬盘或文件夹:C:Users/DefaultC:\Users\Default\AppData\Roaming主要权限部分：其他权限部分：Administrators完全控制Users读取和运行该文件夹，子文件夹及文件该文件夹，子文件夹及文件不是继承的继承上一级文件夹SYSTEM完全控制USERS组的权限仅仅限制于读取和运行，绝对不能加上写入权限该文件夹，子文件夹及文件不是继承的硬盘或文件夹:C:\Users\Default\AppData\Roaming\Microsoft\Windows\「开始」菜单主要权限部分：其他权限部分：Administrators完全控制Users读取和运行该文件夹，子文件夹及文件该文件夹，子文件夹及文件不是继承的不是继承的SYSTEM完全控制隐藏，只读该文件夹，子文件夹及文件不是继承的硬盘或文件夹:C:\Users\Administrator\AppData主要权限部分：其他权限部分：Administrators完全控制Users读取和运行该文件夹，子文件夹及文件该文件夹，子文件夹及文件不是继承的不是继承的SYSTEM完全控制该文件夹，子文件夹及文件不是继承的硬盘或文件夹:C:\Users\Default\AppData主要权限部分：其他权限部分：Administrators完全控制Users读取和运行该文件夹，子文件夹及文件该文件夹，子文件夹及文件不是继承的不是继承的SYSTEM完全控制隐藏，只读该文件夹，子文件夹及文件不是继承的硬盘或文件夹:C:\Users\Default\DownloadsC:\Users\Default\Documents主要权限部分：其他权限部分：Administrators完全控制Users读取和运行该文件夹，子文件夹及文件该文件夹，子文件夹及文件继承于上一级文件夹继承上一级目录SYSTEM完全控制只读该文件夹，子文件夹及文件继承于上一级文件夹硬盘或文件夹:C:\Users\Administrator\AppData\RoamingC:\Users\Administrator\AppData\Local主要权限部分：其他权限部分：Administrators完全控制该文件夹，子文件夹及文件继承于上一级文件夹Administrator完全控制该文件夹，子文件夹及文件继承于上一级文件夹SYSTEM完全控制该文件夹，子文件夹及文件继承于上一级文件夹硬盘或文件夹:C:\Users\Default\AppData\Local\Temp主要权限部分：其他权限部分：Administrators完全控制Users读取和运行该文件夹，子文件夹及文件该文件夹，子