服务器的权限设置技巧_服务器

转载请注明出自落伍im286.com,本贴地址:http://www.im286.com/viewthread.php?tid=1815922
硬盘权限篇 系统服务篇 组件安全设置篇 IIS用户设置篇 服务器安全和性能配置 IP安全策略 本地安全策略 

1、服务器安全设置之--硬盘权限篇 

这里着重谈需要的权限,也就是最终文件夹或硬盘需要的权限,可以防御各种木马入侵,提权攻击,跨站攻击等。本实例经过多次试验,安全性能很好,服务器基本没有被木马威胁的担忧了。 

硬盘或文件夹: C:\ D:\ E:\ F:\ 类推 
主要权限部分: 其他权限部分: 
Administrators 完全控制 无 
如果安装了其他运行环境,比如PHP等,则根据PHP的环境功能要求来设置硬盘权限,一般是安装目录加上users读取运行权限就足够了,比如c:\php的话,就在根目录权限继承的情况下加上users读取运行权限,需要写入数据的比如tmp文件夹,则把user的写删权限加上,运行权限不要,然后把虚拟主机用户的读权限拒绝即可。如果是mysql的话,可以把mysql安装目录只要同硬盘根目录权限就可以了。如果是winwebmail,则最好建立独立的应用程序池和独立IIS用户,然后整个安装目录有user用户的读/运行/写/权限,IIS用户则相同,这个IIS用户就只用在winwebmail的WEB访问中,其他IIS站点切勿使用,安装了winwebmail的服务器硬盘权限设置后面举例 
该文件夹,子文件夹及文件 
<不是继承的> 
CREATOR OWNER 完全控制 
只有子文件夹及文件 
<不是继承的> 
SYSTEM 完全控制 
该文件夹,子文件夹及文件 
<不是继承的> 

硬盘或文件夹: C:\Inetpub\ 
主要权限部分: 其他权限部分: 
Administrators 完全控制 无 
该文件夹,子文件夹及文件 
<继承于c:\> 
CREATOR OWNER 完全控制 
只有子文件夹及文件 
<继承于c:\> 
SYSTEM 完全控制 
该文件夹,子文件夹及文件 
<继承于c:\> 

硬盘或文件夹: C:\Inetpub\AdminScripts 
主要权限部分: 其他权限部分: 
Administrators 完全控制 无 
该文件夹,子文件夹及文件 
<不是继承的> 
SYSTEM 完全控制 
该文件夹,子文件夹及文件 
<不是继承的> 

硬盘或文件夹: C:\Inetpub\wwwroot 
主要权限部分: 其他权限部分: 
Administrators 完全控制 IIS_WPG 读取运行/列出文件夹目录/读取 
该文件夹,子文件夹及文件 该文件夹,子文件夹及文件 
<不是继承的> <不是继承的> 
SYSTEM 完全控制 Users 读取运行/列出文件夹目录/读取 
该文件夹,子文件夹及文件 该文件夹,子文件夹及文件 
<不是继承的> <不是继承的> 
这里可以把虚拟主机用户组加上 
同Internet 来宾帐户一样的权限 
拒绝权限 Internet 来宾帐户 创建文件/写入数据/:拒绝 
创建文件夹/附加数据/:拒绝 
写入属性/:拒绝 
写入扩展属性/:拒绝 
删除子文件夹及文件/:拒绝 
删除/:拒绝 
该文件夹,子文件夹及文件 
<不是继承的> 

硬盘或文件夹: C:\Inetpub\wwwroot\aspnet_client 
主要权限部分: 其他权限部分: 
Administrators 完全控制 Users 读取 
该文件夹,子文件夹及文件 该文件夹,子文件夹及文件 
<不是继承的> <不是继承的> 
SYSTEM 完全控制 
该文件夹,子文件夹及文件 
<不是继承的> 

硬盘或文件夹: C:\Documents and Settings 
主要权限部分: 其他权限部分: 
Administrators 完全控制 无 
该文件夹,子文件夹及文件 
<不是继承的> 
SYSTEM 完全控制 
该文件夹,子文件夹及文件 
<不是继承的> 

硬盘或文件夹: C:\Documents and Settings\All Users 
主要权限部分: 其他权限部分: 
Administrators 完全控制 Users 读取和运行 
该文件夹,子文件夹及文件 该文件夹,子文件夹及文件 
<不是继承的> <不是继承的> 
SYSTEM 完全控制 USERS组的权限仅仅限制于读取和运行, 
绝对不能加上写入权限 
该文件夹,子文件夹及文件 
<不是继承的> 

硬盘或文件夹: C:\Documents and Settings\All Users\「开始」菜单 
主要权限部分: 其他权限部分: 
Administrators 完全控制 无 
该文件夹,子文件夹及文件 
<不是继承的> 
SYSTEM 完全控制 
该文件夹,子文件夹及文件 
<不是继承的> 

硬盘或文件夹: C:\Documents and Settings\All Users\Application Data 
主要权限部分: 其他权限部分: 
Administrators 完全控制 Users 读取和运行 
该文件夹,子文件夹及文件 该文件夹,子文件夹及文件 
<不是继承的> <不是继承的> 
CREATOR OWNER 完全控制 Users 写入 
只有子文件夹及文件 该文件夹,子文件夹 
<不是继承的> <不是继承的> 
SYSTEM 完全控制 两个并列权限同用户组需要分开列权限 
该文件夹,子文件夹及文件 
<不是继承的> 

硬盘或文件夹: C:\Documents and Settings\All Users\Application Data\Microsoft 
主要权限部分: 其他权限部分: 
Administrators 完全控制 Users 读取和运行 
该文件夹,子文件夹及文件 该文件夹,子文件夹及文件 
<不是继承的> <不是继承的> 
SYSTEM 完全控制 此文件夹包含 Microsoft 应用程序状态数据 
该文件夹,子文件夹及文件 
<不是继承的> 

硬盘或文件夹: C:\Documents and Settings\All Users\Application Data\Microsoft\Crypto\RSA\MachineKeys 
主要权限部分: 其他权限部分: 
Administrators 完全控制 Everyone 列出文件夹、读取属性、读取扩展属性、创建文件、创建文件夹、写入属性、写入扩展属性、读取权限 

只有该文件夹 Everyone这里只有读写权限,不能加运行和删除权限,仅限该文件夹 只有该文件夹 
<不是继承的> <不是继承的> 

硬盘或文件夹: C:\Documents and Settings\All Users\Application Data\Microsoft\Crypto\DSS\MachineKeys 
主要权限部分: 其他权限部分: 
Administrators 完全控制 Everyone 列出文件夹、读取属性、读取扩展属性、创建文件、创建文件夹、写入属性、写入扩展属性、读取权限 

只有该文件夹 Everyone这里只有读写权限,不能加运行和删除权限,仅限该文件夹 只有该文件夹 
<不是继承的> <不是继承的> 

硬盘或文件夹: C:\Documents and Settings\All Users\Application Data\Microsoft\HTML Help 
主要权限部分: 其他权限部分: 
Administrators 完全控制 Users 读取和运行 
该文件夹,子文件夹及文件 该文件夹,子文件夹及文件 
<不是继承的> <不是继承的> 
SYSTEM 完全控制 
该文件夹,子文件夹及文件 
<不是继承的> 

硬盘或文件夹: C:\Documents and Settings\All Users\Application Data\Microsoft\Network\Connections\Cm 
主要权限部分: 其他权限部分: 
Administrators 完全控制 Everyone 读取和运行 
该文件夹,子文件夹及文件 该文件夹,子文件夹及文件 
<不是继承的> <不是继承的> 
SYSTEM 完全控制 Everyone这里只有读和运行权限 
该文件夹,子文件夹及文件 
<不是继承的> 

硬盘或文件夹: C:\Documents and Settings\All Users\Application Data\Microsoft\Network\Downloader 
主要权限部分: 其他权限部分: 
Administrators 完全控制 无 
该文件夹,子文件夹及文件 
<不是继承的> 
SYSTEM 完全控制 
该文件夹,子文件夹及文件 
<不是继承的> 

硬盘或文件夹: C:\Documents and Settings\All Users\Application Data\Microsoft\Media Index 
主要权限部分: 其他权限部分: 
Administrators 完全控制 Users 读取和运行 
该文件夹,子文件夹及文件 该文件夹,子文件夹及文件 
<不是继承的> <继承于上一级文件夹> 
SYSTEM 完全控制 Users 创建文件/写入数据 
创建文件夹/附加数据 
写入属性 
写入扩展属性 
读取权限 
该文件夹,子文件夹及文件 只有该文件夹 
<不是继承的> <不是继承的> 
Users 创建文件/写入数据 
创建文件夹/附加数据 
写入属性 
写入扩展属性 
只有该子文件夹和文件 
<不是继承的> 

硬盘或文件夹: C:\Documents and Settings\All Users\DRM 
主要权限部分: 其他权限部分: 
这里需要把GUEST用户组和IIS访问用户组全部禁止 
Everyone的权限比较特殊,默认安装后已经带了 
主要是要把IIS访问的用户组加上所有权限都禁止 Users 读取和运行 
该文件夹,子文件夹及文件 
<不是继承的> 
Guests 拒绝所有 
该文件夹,子文件夹及文件 
<不是继承的> 
Guest 拒绝所有 
该文件夹,子文件夹及文件 
<不是继承的> 
IUSR_XXX 
或某个虚拟主机用户组 拒绝所有 
该文件夹,子文件夹及文件 
<不是继承的> 

硬盘或文件夹: C:\Documents and Settings\All Users\Documents (共享文档) 
主要权限部分: 其他权限部分: 
Administrators 完全控制 无 
该文件夹,子文件夹及文件 
<不是继承的> 
CREATOR OWNER 完全控制 
只有子文件夹及文件 
<不是继承的> 
SYSTEM 完全控制 
该文件夹,子文件夹及文件 
<不是继承的> 

硬盘或文件夹: C:\Program Files 
主要权限部分: 其他权限部分: 
Administrators 完全控制 Users 读取和运行 
该文件夹,子文件夹及文件 该文件夹,子文件夹及文件 
<不是继承的> <不是继承的> 
CREATOR OWNER 完全控制 
只有子文件夹及文件 
<不是继承的> 
SYSTEM 完全控制 
该文件夹,子文件夹及文件 
<不是继承的> 

硬盘或文件夹: C:\Program Files\Common Files\Microsoft Shared\web server extensions 
主要权限部分: 其他权限部分: 
Administrators 完全控制 无 
该文件夹,子文件夹及文件 
<不是继承的> 
CREATOR OWNER 完全控制 
只有子文件夹及文件 
<不是继承的> 
SYSTEM 完全控制 
该文件夹,子文件夹及文件 
<不是继承的> 

硬盘或文件夹: C:\Program Files\Microsoft SQL Server\MSSQL (程序部分默认装在C:盘) 
主要权限部分: 其他权限部分: 
Administrators 完全控制 无 
该文件夹,子文件夹及文件 
<不是继承的> 

硬盘或文件夹: E:\Program Files\Microsoft SQL Server (数据库部分装在E:盘的情况) 
主要权限部分: 其他权限部分: 
Administrators 完全控制 无 
该文件夹,子文件夹及文件 
<不是继承的> 
CREATOR OWNER 完全控制 
只有子文件夹及文件 
<不是继承的> 
SYSTEM 完全控制 
该文件夹,子文件夹及文件 
<不是继承的> 

硬盘或文件夹: E:\Program Files\Microsoft SQL Server\MSSQL (数据库部分装在E:盘的情况) 
主要权限部分: 其他权限部分: 
Administrators 完全控制 无 
该文件夹,子文件夹及文件 
<不是继承的> 

硬盘或文件夹: C:\Program Files\Internet Explorer\iexplore.exe 
主要权限部分: 其他权限部分: 
Administrators 完全控制 无 
该文件夹,子文件夹及文件 
<不是继承的> 

硬盘或文件夹: C:\Program Files\Outlook Express 
主要权限部分: 其他权限部分: 
Administrators 完全控制 无 
该文件夹,子文件夹及文件 
<不是继承的> 
CREATOR OWNER 完全控制 
只有子文件夹及文件 
<不是继承的> 
SYSTEM 完全控制 
该文件夹,子文件夹及文件 
<不是继承的> 

硬盘或文件夹: C:\Program Files\PowerEasy5 (如果装了动易组件的话) 
主要权限部分: 其他权限部分: 
Administrators 完全控制 无 
该文件夹,子文件夹及文件 
<不是继承的> 
CREATOR OWNER 完全控制 
只有子文件夹及文件 
<不是继承的> 
SYSTEM 完全控制 
该文件夹,子文件夹及文件 
<不是继承的> 

硬盘或文件夹: C:\Program Files\Radmin (如果装了Radmin远程控制的话) 
主要权限部分: 其他权限部分: 
Administrators 完全控制 无 
对应的c:\windows\system32里面有两个文件 
r_server.exe和AdmDll.dll 
要把Users读取运行权限去掉 
默认权限只要administrators和system全部权限 
该文件夹,子文件夹及文件 
<不是继承的> 
CREATOR OWNER 完全控制 
只有子文件夹及文件 
<不是继承的> 
SYSTEM 完全控制 
该文件夹,子文件夹及文件 
<不是继承的> 

硬盘或文件夹: C:\Program Files\Serv-U (如果装了Serv-U服务器的话) 
主要权限部分: 其他权限部分: 
Administrators 完全控制 无 
这里常是提权入侵的一个比较大的漏洞点 
一定要按这个方法设置 
目录名字根据Serv-U版本也可能是 
C:\Program Files\RhinoSoft.com\Serv-U 

该文件夹,子文件夹及文件 
<不是继承的> 
CREATOR OWNER 完全控制 
只有子文件夹及文件 
<不是继承的> 
SYSTEM 完全控制 
该文件夹,子文件夹及文件 
<不是继承的> 

硬盘或文件夹: C:\Program Files\Windows Media Player 
主要权限部分: 其他权限部分: 
Administrators 完全控制 无 

该文件夹,子文件夹及文件 
<不是继承的> 
CREATOR OWNER 完全控制 
只有子文件夹及文件 
<不是继承的> 
SYSTEM 完全控制 
该文件夹,子文件夹及文件 
<不是继承的> 

硬盘或文件夹: C:\Program Files\Windows NT\Accessories 
主要权限部分: 其他权限部分: 
Administrators 完全控制 无 

该文件夹,子文件夹及文件 
<不是继承的> 
CREATOR OWNER 完全控制 
只有子文件夹及文件 
<不是继承的> 
SYSTEM 完全控制 
该文件夹,子文件夹及文件 
<不是继承的> 

硬盘或文件夹: C:\Program Files\WindowsUpdate 
主要权限部分: 其他权限部分: 
Administrators 完全控制 无 

该文件夹,子文件夹及文件 
<不是继承的> 
CREATOR OWNER 完全控制 
只有子文件夹及文件 
<不是继承的> 
SYSTEM 完全控制 
该文件夹,子文件夹及文件 
<不是继承的> 

硬盘或文件夹: C:\WINDOWS 
主要权限部分: 其他权限部分: 
Administrators 完全控制 Users 读取和运行 
该文件夹,子文件夹及文件 该文件夹,子文件夹及文件 
<不是继承的> <不是继承的> 
CREATOR OWNER 完全控制 
只有子文件夹及文件 
<不是继承的> 
SYSTEM 完全控制 
该文件夹,子文件夹及文件 
<不是继承的> 

硬盘或文件夹: C:\WINDOWS\system32 
主要权限部分: 其他权限部分: 
Administrators 完全控制 Users 读取和运行 
该文件夹,子文件夹及文件 该文件夹,子文件夹及文件 
<不是继承的> <不是继承的> 
CREATOR OWNER 完全控制 IUSR_XXX 
或某个虚拟主机用户组 列出文件夹/读取数据 :拒绝 
读取权限 :拒绝 
只有子文件夹及文件 只有该文件夹 
<不是继承的> <不是继承的> 
SYSTEM 完全控制 虚拟主机用户访问组拒绝读取,有助于保护系统数据 
该文件夹,子文件夹及文件 
<不是继承的> 

硬盘或文件夹: C:\WINDOWS\system32\config 
主要权限部分: 其他权限部分: 
Administrators 完全控制 Users 读取和运行 
该文件夹,子文件夹及文件 该文件夹,子文件夹及文件 
<不是继承的> <不是继承的> 
CREATOR OWNER 完全控制 IUSR_XXX 
或某个虚拟主机用户组 列出文件夹/读取数据 :拒绝 
读取权限 :拒绝 
只有子文件夹及文件 只有该文件夹 
<不是继承的> <不是继承的> 
SYSTEM 完全控制 虚拟主机用户访问组拒绝读取,有助于保护系统数据 
该文件夹,子文件夹及文件 
<不是继承的> 

硬盘或文件夹: C:\WINDOWS\system32\inetsrv\ 
主要权限部分: 其他权限部分: 
Administrators 完全控制 Users 读取和运行 
该文件夹,子文件夹及文件 该文件夹,子文件夹及文件 
<不是继承的> <不是继承的> 
CREATOR OWNER 完全控制 IUSR_XXX 
或某个虚拟主机用户组 读取 :拒绝 
只有子文件夹及文件 只有该文件夹 
<不是继承的> <不是继承的> 
SYSTEM 完全控制 虚拟主机用户访问组拒绝读取,有助于保护系统数据 
该文件夹,子文件夹及文件 
<不是继承的> 

硬盘或文件夹: C:\WINDOWS\system32\inetsrv\ASP Compiled Templates 
主要权限部分: 其他权限部分: 
Administrators 完全控制 IIS_WPG 完全控制 
该文件夹,子文件夹及文件 该文件夹,子文件夹及文件 
<不是继承的> <不是继承的> 
IUSR_XXX 
或某个虚拟主机用户组 读取 :拒绝 
该文件夹,子文件夹及文件 
<不是继承的> 
虚拟主机用户访问组拒绝读取,有助于保护系统数据 

硬盘或文件夹: C:\WINDOWS\system32\inetsrv\iisadmpwd 
主要权限部分: 其他权限部分: 
Administrators 完全控制 无 
该文件夹,子文件夹及文件 
<不是继承的> 
CREATOR OWNER 完全控制 
只有子文件夹及文件 
<不是继承的> 
SYSTEM 完全控制 
该文件夹,子文件夹及文件 
<不是继承的> 

硬盘或文件夹: C:\WINDOWS\system32\inetsrv\MetaBack 
主要权限部分: 其他权限部分: 
Administrators 完全控制 Users 读取和运行 
该文件夹,子文件夹及文件 该文件夹,子文件夹及文件 
<不是继承的> <不是继承的> 
CREATOR OWNER 完全控制 IUSR_XXX 
或某个虚拟主机用户组 读取 :拒绝 
只有子文件夹及文件 只有该文件夹 
<不是继承的> <不是继承的> 
SYSTEM 完全控制 虚拟主机用户访问组拒绝读取,有助于保护系统数据 
该文件夹,子文件夹及文件 
<不是继承的> 

Winwebmail 电子邮局安装后权限举例:目录E:\ 
主要权限部分: 其他权限部分: 
Administrators 完全控制 IUSR_XXXXXX 
这个用户是WINWEBMAIL访问WEB站点专用帐户 读取和运行 
该文件夹,子文件夹及文件 该文件夹,子文件夹及文件 
<不是继承的> <不是继承的> 
CREATOR OWNER 完全控制 
只有子文件夹及文件 
<不是继承的> 
SYSTEM 完全控制 
该文件夹,子文件夹及文件 
<不是继承的> 

Winwebmail 电子邮局安装后权限举例:目录E:\WinWebMail 
主要权限部分: 其他权限部分: 
Administrators 完全控制 IUSR_XXXXXX 
WINWEBMAIL访问WEB站点专用帐户 读取和运行 
该文件夹,子文件夹及文件 该文件夹,子文件夹及文件 
<继承于E:\> <继承于E:\> 
CREATOR OWNER 完全控制 Users 修改/读取运行/列出文件目录/读取/写入 
只有子文件夹及文件 该文件夹,子文件夹及文件 
<继承于E:\> <不是继承的> 
SYSTEM 完全控制 IUSR_XXXXXX 
WINWEBMAIL访问WEB站点专用帐户 修改/读取运行/列出文件目录/读取/写入 
该文件夹,子文件夹及文件 该文件夹,子文件夹及文件 
<继承于E:\> <不是继承的> 
IUSR_XXXXXX和IWAM_XXXXXX 
是winwebmail专用的IIS用户和应用程序池用户 
单独使用,安全性能高 IWAM_XXXXXX 
WINWEBMAIL应用程序池专用帐户 修改/读取运行/列出文件目录/读取/写入 
该文件夹,子文件夹及文件 
<不是继承的> 

如果有问题请联系QQ: 4615825 

-------------------------------------------------------------------------------- 

2、服务器安全设置之--系统服务篇(设置完毕需要重新启动) 

*除非特殊情况非开不可,下列系统服务要停止并禁用: 

Alerter 
服务名称: Alerter 
显示名称: Alerter 
服务描述: 通知选定的用户和计算机管理警报。如果服务停止,使用管理警报的程序将不会收到它们。如果此服务被禁用,任何直接依赖它的服务都将不能启动。 
可执行文件路径: E:\WINDOWS\system32\svchost.exe -k LocalService 
其他补充: 
Application Layer Gateway Service 
服务名称: ALG 
显示名称: Application Layer Gateway Service 
服务描述: 为应用程序级协议插件提供支持并启用网络/协议连接。如果此服务被禁用,任何依赖它的服务将无法启动。 
可执行文件路径: E:\WINDOWS\System32\alg.exe 
其他补充: 
Background Intelligent Transfer Service 
服务名称: BITS 
显示名称: Background Intelligent Transfer Service 
服务描述: 服务描述:利用空闲的网络带宽在后台传输文件。如果服务被停用,例如 Windows Update 和 MSN Explorer 的功能将无法自动下载程序和其他信息。如果此服务被禁用,任何依赖它的服务如果没有容错技术以直接通过 IE 传输文件,一旦 BITS 被禁用,就可能无法传输文件。 
可执行文件路径: E:\WINDOWS\system32\svchost.exe -k netsvcs 
其他补充: 
Computer Browser 
服务名称: 服务名称:Browser 
显示名称: 显示名称:Computer Browser 
服务描述: 服务描述:维护网络上计算机的更新列表,并将列表提供给计算机指定浏览。如果服务停止,列表不会被更新或维护。如果服务被禁用,任何直接依赖于此服务的服务将无法启动。 
可执行文件路径: 可执行文件路径: E:\WINDOWS\system32\svchost.exe -k netsvcs 
其他补充: 
Distributed File System 
服务名称: Dfs 
显示名称: Distributed File System 
服务描述: 将分散的文件共享合并成一个逻辑名称空间并在局域网或广域网上管理这些逻辑卷。如果这个服务被停止,用户则无法访问文件共享。如果这个服务被禁用,任何依赖它的服务将无法启动。 
可执行文件路径: E:\WINDOWS\system32\Dfssvc.exe 
其他补充: 
Help and Support 
服务名称: helpsvc 
显示名称: Help and Support 
服务描述: 启用在此计算机上运行帮助和支持中心。如果停止服务,帮助和支持中心将不可用。如果禁用服务,任何直接依赖于此服务的服务将无法启动。 
可执行文件路径: E:\WINDOWS\System32\svchost.exe -k netsvcs 
其他补充: 
Messenger 
服务名称: Messenger 
显示名称: Messenger 
服务描述: 传输客户端和服务器之间的 NET SEND 和 警报器服务消息。此服务与 Windows Messenger 无关。如果服务停止,警报器消息不会被传输。如果服务被禁用,任何直接依赖于此服务的服务将无法启动。 
可执行文件路径: E:\WINDOWS\system32\svchost.exe -k netsvcs 
其他补充: 
NetMeeting Remote Desktop Sharing 
服务名称: mnmsrvc 
显示名称: NetMeeting Remote Desktop Sharing 
服务描述: 允许经过授权的用户用 NetMeeting 在公司 intranet 上远程访问这台计算机。如果服务被停止,远程桌面共享将不可用。如果服务被禁用,依赖这个服务的任何服务都会无法启动。 
可执行文件路径: E:\WINDOWS\system32\mnmsrvc.exe 
其他补充: 
Print Spooler 
服务名称: Spooler 
显示名称: Print Spooler 
服务描述: 管理所有本地和网络打印队列及控制所有打印工作。如果此服务被停用,本地计算机上的打印将不可用。如果此服务被禁用,任何依赖于它的服务将无法启用。 
可执行文件路径: E:\WINDOWS\system32\spoolsv.exe 
其他补充: 
Remote Registry 
服务名称: RemoteRegistry 
显示名称: Remote Registry 
服务描述: 使远程用户能修改此计算机上的注册表设置。如果此服务被终止,只有此计算机上的用户才能修改注册表。如果此服务被禁用,任何依赖它的服务将无法启动。 
可执行文件路径: E:\WINDOWS\system32\svchost.exe -k regsvc 
其他补充: 
Task Scheduler 
服务名称: Schedule 
显示名称: Task Scheduler 
服务描述: 使用户能在此计算机上配置和计划自动任务。如果此服务被终止,这些任务将无法在计划时间里运行。如果此服务被禁用,任何依赖它的服务将无法启动。 
可执行文件路径: E:\WINDOWS\System32\svchost.exe -k netsvcs 
其他补充: 
TCP/IP NetBIOS Helper 
服务名称: LmHosts 
显示名称: TCP/IP NetBIOS Helper 
服务描述: 提供 TCP/IP (NetBT) 服务上的 NetBIOS 和网络上客户端的 NetBIOS 名称解析的支持,从而使用户能够共享文件、打印和登录到网络。如果此服务被停用,这些功能可能不可用。如果此服务被禁用,任何依赖它的服务将无法启动。 
可执行文件路径: E:\WINDOWS\system32\svchost.exe -k LocalService 
其他补充: 
Telnet 
服务名称: TlntSvr 
显示名称: Telnet 
服务描述: 允许远程用户登录到此计算机并运行程序,并支持多种 TCP/IP Telnet 客户端,包括基于 UNIX 和 Windows 的计算机。如果此服务停止,远程用户就不能访问程序,任何直接依赖于它的服务将会启动失败。 
可执行文件路径: E:\WINDOWS\system32\tlntsvr.exe 
其他补充: 
Workstation 
服务名称: lanmanworkstation 
显示名称: Workstation 
服务描述: 创建和维护到远程服务的客户端网络连接。如果服务停止,这些连接将不可用。如果服务被禁用,任何直接依赖于此服务的服务将无法启动。 
可执行文件路径: E:\WINDOWS\system32\svchost.exe -k netsvcs 
其他补充: 

以上是windows2003server标准服务当中需要停止的服务,作为IIS网络服务器,以上服务务必要停 

时间: 2024-10-27 22:31:18

服务器的权限设置技巧_服务器的相关文章

Win2008 R2 WEB 服务器安全设置指南之文件夹权限设置技巧_win服务器

通过控制文件夹权限来提高站点的安全性. 这一篇权限设置包括二个方面,一个是系统目录.盘符的权限,一个是应用程序的上传文件夹权限设置. 系统目录 确保所有盘符都是NTFS格式,如果不是,可以用命令 convert d:/fs:ntfs 转换为NTFS格式. 所有磁盘根目录只给system和administrators权限,其它删除. 其中系统盘符会有几个提示,直接确定就可以了.在做这步操作之前,你的运行环境软件必须都安装好以后才能做.不然可能会导致软件安装错误,记住一点所有安全性的操作设置都必须在

Windows2003开启自带防火墙和Serv-U Ftp服务器的防火墙设置技巧_FTP服务器

SERV-U 防火墙设置 今天朋友问了一个问题,防火墙已经设置了21端口开放,但防火墙一打开,FTP服务器就连接不上.使用的是serv-u ftp服务器软件搭建的. 我记得以前也碰到过同样的问题,再查一下资料,终于翻到了解决方案,分享解决方法如下: 将已经配置的站点的允许被动模式,然后在serv-u服务器管理的高级选项中的PASV端口范围设置: 3000-3010 这样,在防火墙设置里,再把3000~3010端口开放就可以了. 在防火墙中允许这一共11个端口,还有FTP的20和21端口,一共是1

Win2003服务器系统文件权限设置小结_win服务器

不多说了,下面将说明需要设置权限的系统文件,设置为只有Administrators组可以访问,并且拒绝Guests组访问.    "%SystemDrive%/boot.ini" Windows主要依赖Boot.ini文件来确定计算机在重启(引导)过程中显示的可供选取的操作系统类别 "%SystemDrive%/AUTOEXEC.BAT" 装有DOS或 Windows操作系统的计算机在启动的 时候,都要自动执行 AUTOEXEC.BAT 批处理文件  "%

保护(IIS)web服务器安全的15个技巧_服务器

通常地,大多数Web站点的设计目标都是:以最易接受的方式,为访问者提供即时的信息访问.在过去的几年中,越来越多的黑客.病毒和蠕虫带来的安全问题严重影响了网站的可访问性,尽管Apache服务器也常常是攻击者的目标,然而微软的Internet信息服务(IIS) Web服务器才是真正意义上的众矢之的.  高级教育机构往往无法在构建充满活力.界面友好的网站还是构建高安全性的网站之间找到平衡点.另外,它们现在必须致力于提高网站安全性以面对缩减中的技术预算 (其实许多它们的私有部门也面临着相似的局面). 

安全虚拟主机配置技巧_服务器

注入漏洞.上传漏洞.弱口令漏洞等问题随处可见.跨站攻击,远程控制等等是再老套不过了的话题.有些虚拟主机管理员不知是为了方便还是不熟悉配置,干脆就将所有的网站都放在同一个目录中,然后将上级目录设置为站点根目录.有些呢,则将所有的站点的目录都设置为可执行.可写入.可修改.有些则为了方便,在服务器上挂起了QQ,也装上了BT.更有甚者,竟然把Internet来宾帐号加入到Administrators组中!汗--!普通的用户将自己的密码设置为生日之类的6位纯数字,这种情况还可以原谅,毕竟他们大部分都不是专

IIS 服务器 防范攻击3条安全设置技巧_win服务器

什么?你觉得安全设置很复杂?没关系,通过我们介绍的IIS服务器安全设置的三个方法,就能很好地防范攻击. 基本设置 打好补丁删除共享 个人站长通常使用Windows服务器,但是我们通过租用或托管的服务器往往不会有专门的技术人员来进行安全设置,所以就导致了一些常见的基本漏洞仍然存在.其实,只要通过简单的安装服务器补丁,就能防止大部分的漏洞入侵攻击. 在服务器安装好操作系统后,正式启用之前,就应该完成各种补丁的安装.服务器的补丁安装方法与我们使用的XP系统类似,这里就不再赘述. 做好了基本的补丁安装,

Windows2003 Server 设置大全_服务器

查有无被激活:开始 -->运行--> oobe/msoobe /a-->回车,稍等一会儿,就会看到提示.如果没有激活,说明你安装的是未破解的系统,抓紧想想办法吧!如用Reset5.02激活补丁进入安全模式激活等. 一.windows server 2003 3790版本识别 RTM=release to manufacture (公开发行批量生产)是给硬件制造商的版本!是送去压盘的,不是拿去卖的.OEM=Original Equipment Manufacturer只能全新安装, 和RT

webshell权限提升技巧_漏洞研究

WEBSHELL权限提升技巧 c: d: e:.....  C:\Documents and Settings\All Users\「开始」菜单\程序\  看这里能不能跳转,我们从这里可以获取好多有用的信息比如Serv-U的路径,  C:\Documents and Settings\All Users\Application Data\Symantec\pcAnywhere\  看能否跳转到这个目录,如果行那就最好了,直接下它的CIF文件,破解得到pcAnywhere密码,登陆  c:\Pro

详解Windows下的权限设置方法_安全设置

随着动网论坛的广泛应用和动网上传漏洞的被发现以及SQL注入式攻击越来越多的被使用,WEBSHELL让防火墙形同虚设,一台即使打了所有微软补丁.只让80端口对外开放的WEB服务器也逃不过被黑的命运.难道我们真的无能为力了吗?其实,只要你弄明白了NTFS系统下的权限设置问题,我们可以对crackers们说:NO! 要打造一台安全的WEB服务器,那么这台服务器就一定要使用NTFS和Windows NT/2000/2003.众所周知,Windows是一个支持多用户.多任务的操作系统,这是权限设置的基础,