Windows Server 2003硬盘与IIS安全设置实战

"这篇文档详细介绍了如何对运行Windows Server 2003并搭载IIS 6.0、ASP、.NET、PHP、PERL、MSSQL和MYSQL的服务器进行安全设置，以防范木马、提权攻击和跨站攻击。通过调整硬盘和文件夹的权限，以及针对不同应用程序环境配置相应的访问权限，可以显著提高服务器的安全性。" 在Windows Server 2003环境中，服务器安全是至关重要的。以下是一些关键的安全设置技巧： 1. **硬盘和文件夹权限设置**： - 对于C:\、D:\、E:\、F:\等主要驱动器，应确保管理员（Administrators）拥有完全控制权限，同时阻止所有不必要的用户访问。例如，可以通过拒绝“Users”组的读取权限来防止未授权的访问。 - 对于安装了PHP的环境，应仅给予安装目录的“Users”组读取和执行权限，如C:\php。如果需要写入数据的文件夹（如tmp），则需为“Users”添加写入和删除权限，但不包括执行权限。对于特定的Web应用，如winwebmail，建议使用独立的应用程序池和IIS用户，并为其分配适当的读/运行/写权限。 2. **C:\Inetpub\** 文件夹的安全设置： - 这个文件夹通常包含IIS的主要文件，保持默认的权限继承，允许 CREATOROWNER 和 SYSTEM 具有完全控制权限，以确保IIS的正常运行。 3. **C:\Inetpub\AdminScripts**： - 对于此敏感目录，同样仅保留管理员（Administrators）和SYSTEM的完全控制权限，以防止未经授权的管理操作。 4. **C:\Inetpub\wwwroot**： - IIS的默认网站根目录，需要管理员（Administrators）的完全控制权限，同时授予IIS_WPG组读取和执行权限，以便IIS服务能够正确处理HTTP请求。列出文件的权限允许IIS列出目录内容。 5. **使用独立用户运行服务**： - 对于MySQL，使用单独的用户账户运行服务可以增加安全性，因为这样即使数据库被攻击，攻击者也无法轻易获得服务器的其他权限。 - 对于winwebmail，创建独立的应用程序池和IIS用户可以限制潜在的损害范围，避免其他IIS站点受到影响。 通过对关键文件夹和系统组件实施严格的权限控制，以及根据应用程序需求定制权限，可以极大地增强Windows Server 2003服务器的安全性。此外，定期更新补丁、监控日志和采用防火墙等额外措施也是保持服务器安全的重要手段。