"Windows2003服务器的安全配置是一个关键环节,主要目的是增强系统的安全性,防止非法访问,尤其是asp网马等恶意代码的浏览。在本次配置中,将确保事件查看器无错误,并保证所有程序的正常运行。该配置演示会保留系统默认的权限组,避免不必要的错误。操作系统为雨林木风的Ghost镜像,已打上截至11月2日的最新补丁。"
Windows2003服务器安全配置主要涉及以下几个关键目录的权限设置:
1. **C:\WINDOWS\ApplicationCompatibilityScripts**: 不对这个目录进行任何修改,包括其所有子目录。通常,这个目录包含应用程序兼容性脚本,保持默认权限可以避免影响系统功能。
2. **C:\WINDOWS\AppPatch\AcWebSvc.dll**: 已经赋予了users组权限,其他文件同样需要加上users组权限,以保证常规用户能执行必要的操作。
3. **C:\WINDOWS\ConnectionWizard**: 需要取消users组的权限,以限制非管理员用户对连接向导的访问。
4. **C:\WINDOWS\Debug**: 对于users组的默认权限不作更改,但对`UserMode`目录,需要取消users组的写入权限,并给予特定用户权限。对于`WPD`目录,保留`AuthenticatedUsers`组的写入和创建目录权限。
5. **C:\WINDOWS\DriverCache**: 取消users组权限,但对`i386`文件夹下的所有文件加上users组权限,确保驱动缓存的安全。
6. **C:\WINDOWS\Help**: 取消users组权限,提高帮助文件的安全性。
7. **C:\WINDOWS\Help\iisHelp\common**: 同样取消users组权限,防止非授权访问IIS相关的帮助文件。
8. **C:\WINDOWS\IISTemporaryCompressedFiles**: 默认权限不变,通常这个目录用于存储IIS压缩的网页文件,保持默认可确保IIS正常运行。
9. **C:\WINDOWS\ime**: 无需修改,包括所有子目录,因为这些目录通常包含输入法相关文件,改动可能影响输入功能。
10. **C:\WINDOWS\inf**: 不做任何修改,包括子目录,因为INF文件是系统安装信息,需要保留默认权限。
11. **C:\WINDOWS\Installer**: 删除everyone组权限,只给目录下的文件添加everyone组的读取和运行权限,以保护安装程序的安全。
12. **C:\WINDOWS\java**: 取消users组权限,但给子目录下的所有文件加上users组权限,保证Java环境的安全。
13. **C:\WINDOWS\MAGICSET** 和 **C:\WINDOWS\Media**: 这些目录的权限保持不变。
14. **C:\WINDOWS\Mshtml**: Mshtml目录通常包含与Internet Explorer相关的文件,为了安全,可能需要进一步调整权限。
通过上述步骤,服务器的系统盘权限被精细化管理,以阻止asp网马等恶意代码的浏览,同时确保事件查看器没有错误,并保证所有程序正常运行。请注意,虽然这些配置提供了基础的安全增强,但服务器安全是一个持续的过程,还需要定期更新补丁,监控系统日志,以及应用防火墙和其他安全措施。