当前位置：首页 > 范文大全 > 实用文>Windows服务器安全设置之组件安全设置篇

Windows服务器安全设置之组件安全设置篇

2025-01-22 09:59:00 收藏本文下载本文

“雄霸2010”通过精心收集，向本站投稿了5篇Windows服务器安全设置之组件安全设置篇，下面是小编为大家整理后的Windows服务器安全设置之组件安全设置篇，欢迎阅读与收藏。

篇1：Windows服务器安全设置之组件安全设置篇

A、卸载WScript.Shell 和 Shell.application 组件，将下面的代码保存为一个.BAT文件执行（分和系统）

windows2000.bat

regsvr32/u C:\WINNT\System32\wshom.ocx

del C:\WINNT\System32\wshom.ocx

regsvr32/u C:\WINNT\system32\shell32.dll

del C:\WINNT\system32\shell32.dll

windows2003.bat

regsvr32/u C:\WINDOWS\System32\wshom.ocx

del C:\WINDOWS\System32\wshom.ocx

regsvr32/u C:\WINDOWS\system32\shell32.dll

del C:\WINDOWS\system32\shell32.dll

B、改名不安全组件，需要注意的是组件的名称和Clsid都要改，并且要改彻底了，不要照抄，要自己改

【开始→运行→regedit→回车】打开注册表编辑器

然后【编辑→查找→填写Shell.application→查找下一个】

用这个方法能找到两个注册表项：

{13709620-C279-11CE-A49E-444553540000} 和 Shell.application ，

第一步：为了确保万无一失，把这两个注册表项导出来，保存为xxxx.reg 文件。

第二步：比如我们想做这样的更改

13709620-C279-11CE-A49E-444553540000 改名为 13709620-C279-11CE-A49E-444553540001

Shell.application 改名为 Shell.application_nohack

第三步：那么，就把刚才导出的.reg文件里的内容按上面的对应关系替换掉，然后把修改好的.reg文件导入到注册表中（双击即可），导入了改名后的注册表项之后，别忘记了删除原有的那两个项目。这里需要注意一点，Clsid中只能是十个数字和ABCDEF六个字母。

其实，只要把对应注册表项导出来备份，然后直接改键名就可以了，

改好的例子

建议自己改

应该可一次成功

Windows Registry Editor Version 5.00

[HKEY_CLASSES_ROOT\CLSID\{13709620-C279-11CE-A49E-444553540001}]

@=“Shell Automation Service”

[HKEY_CLASSES_ROOT\CLSID\{13709620-C279-11CE-A49E-444553540001}\InProcServer32]

@=“C:\\WINNT\\system32\\shell32.dll”

“ThreadingModel”=“Apartment”

[HKEY_CLASSES_ROOT\CLSID\{13709620-C279-11CE-A49E-444553540001}\ProgID]

@=“Shell.Application_nohack.1”

[HKEY_CLASSES_ROOT\CLSID\{13709620-C279-11CE-A49E-444553540001}\TypeLib]

@=“{50a7e9b0-70ef-11d1-b75a-00a0c90564fe}”

[HKEY_CLASSES_ROOT\CLSID\{13709620-C279-11CE-A49E-444553540001}\Version]

@=“1.1”

[HKEY_CLASSES_ROOT\CLSID\{13709620-C279-11CE-A49E-444553540001}\VersionIndependentProgID]

@=“Shell.Application_nohack”

[HKEY_CLASSES_ROOT\Shell.Application_nohack]

@=“Shell Automation Service”

[HKEY_CLASSES_ROOT\Shell.Application_nohack\CLSID]

@=“{13709620-C279-11CE-A49E-444553540001}”

[HKEY_CLASSES_ROOT\Shell.Application_nohack\CurVer]

@=“Shell.Application_nohack.1”

老杜评论：

WScript.Shell 和 Shell.application 组件是脚本入侵过程中，提升权限的重要环节，这两个组件的卸载和修改对应注册键名，可以很大程度的提高虚拟主机的脚本安全性能，一般来说，ASP和php类脚本提升权限的功能是无法实现了，再加上一些系统服务、硬盘访问权限、端口过滤、本地安全策略的设置，虚拟主机因该说，安全性能有非常大的提高，入侵的可能性是非常低了，

注销了Shell组件之后，侵入者运行提升工具的可能性就很小了，但是prel等别的脚本语言也有shell能力，为防万一，还是设置一下为好。下面是另外一种设置，大同小异。

一、禁止使用FileSystemObject组件

FileSystemObject可以对文件进行常规操作,可以通过修改注册表，将此组件改名，来防止此类木马的危害。

HKEY_CLASSES_ROOT\Scripting.FileSystemObject\

改名为其它的名字，如：改为 FileSystemObject_ChangeName

自己以后调用的时候使用这个就可以正常调用此组件了

也要将clsid值也改一下

HKEY_CLASSES_ROOT\Scripting.FileSystemObject\CLSID\项目的值

也可以将其删除，来防止此类木马的危害。

2000注销此组件命令：RegSrv32 /u C:\WINNT\SYSTEM\scrrun.dll

2003注销此组件命令：RegSrv32 /u C:\WINDOWS\SYSTEM\scrrun.dll

如何禁止Guest用户使用scrrun.dll来防止调用此组件？

使用这个命令：cacls C:\WINNT\system32\scrrun.dll /e /d guests

二、禁止使用WScript.Shell组件

WScript.Shell可以调用系统内核运行DOS基本命令

可以通过修改注册表，将此组件改名，来防止此类木马的危害。

HKEY_CLASSES_ROOT\WScript.Shell\及HKEY_CLASSES_ROOT\WScript.Shell.1\

改名为其它的名字，如：改为WScript.Shell_ChangeName 或 WScript.Shell.1_ChangeName

自己以后调用的时候使用这个就可以正常调用此组件了

也要将clsid值也改一下

HKEY_CLASSES_ROOT\WScript.Shell\CLSID\项目的值

HKEY_CLASSES_ROOT\WScript.Shell.1\CLSID\项目的值

也可以将其删除，来防止此类木马的危害。

三、禁止使用Shell.Application组件

Shell.Application可以调用系统内核运行DOS基本命令

可以通过修改注册表，将此组件改名，来防止此类木马的危害。

HKEY_CLASSES_ROOT\Shell.Application\

及

HKEY_CLASSES_ROOT\Shell.Application.1\

改名为其它的名字，如：改为Shell.Application_ChangeName 或 Shell.Application.1_ChangeName

自己以后调用的时候使用这个就可以正常调用此组件了

也要将clsid值也改一下

HKEY_CLASSES_ROOT\Shell.Application\CLSID\项目的值

也可以将其删除，来防止此类木马的危害。

禁止Guest用户使用shell32.dll来防止调用此组件。

2000使用命令：cacls C:\WINNT\system32\shell32.dll /e /d guests

2003使用命令：cacls C:\WINDOWS\system32\shell32.dll /e /d guests

注：操作均需要重新启动WEB服务后才会生效。

四、调用Cmd.exe

禁用Guests组用户调用cmd.exe

2000使用命令：cacls C:\WINNT\system32\Cmd.exe /e /d guests

2003使用命令：cacls C:\WINDOWS\system32\Cmd.exe /e /d guests

通过以上四步的设置基本可以防范目前比较流行的几种木马，但最有效的办法还是通过综合安全设置，将服务器、程序安全都达到一定标准，才可能将安全等级设置较高，防范更多非法入侵。

C、防止Serv-U权限提升 (适用于 Serv-U6.0 以前版本，之后可以直接设置密码)

先停掉Serv-U服务

用Ultraedit打开ServUDaemon.exe

查找 Ascii：LocalAdministrator 和 #l@$ak#.lk;0@P

修改成等长度的其它字符就可以了，ServUAdmin.exe也一样处理。

另外注意设置Serv-U所在的文件夹的权限，不要让IIS匿名用户有读取的权限，否则人家下走你修改过的文件，照样可以分析出你的管理员名和密码。

篇2：windows服务器安全设置之提权篇WEB安全

服务器的安全很重要，特别是被提权，这里指的是用web进行提权，web提权一般会用到 NETWORK SERVICE 帐号，和注册表的改动，于是我们把注册表的部分改为只读即可，请看下图：

把注册表位置

HKEY_USERS\S-1-5-20

HKEY_USERS\S-1-5-20_Classes

NETWORK SERVICE 帐号的完全权限，改为读取权限，就可以防范了

补充：为了安全考虑我们一般包括虚拟主机设置软件，都是各个网站都是独立用户的，这样才能更好的防止提取，而且有效的保护了各个网站之间安全问题，一个出问题，其它网站不会受到影响，

windows服务器安全设置之提权篇WEB安全

，

如果有虚拟主机管理软件更好

篇3：服务器安全设置之 MSSQL安全设置WEB安全

MSSQL安全设置,将有安全问题的SQL过程删除.比较全面.一切为了安全!

删除了调用shell，注册表，COM组件的破坏权限

代码如下:

use master

EXEC sp_dropextendedproc 'xp_cmdshell'

EXEC sp_dropextendedproc 'Sp_OACreate'

EXEC sp_dropextendedproc 'Sp_OADestroy'

EXEC sp_dropextendedproc 'Sp_OAGetErrorInfo'

EXEC sp_dropextendedproc 'Sp_OAGetProperty'

EXEC sp_dropextendedproc 'Sp_OAMethod'

EXEC sp_dropextendedproc 'Sp_OASetProperty'

EXEC sp_dropextendedproc 'Sp_OAStop'

EXEC sp_dropextendedproc 'Xp_regaddmultistring'

EXEC sp_dropextendedproc 'Xp_regdeletekey'

EXEC sp_dropextendedproc 'Xp_regdeletevalue'

EXEC sp_dropextendedproc 'Xp_regenumvalues'

EXEC sp_dropextendedproc 'Xp_regread'

EXEC sp_dropextendedproc 'Xp_regremovemultistring'

EXEC sp_dropextendedproc 'Xp_regwrite'

drop procedure sp_makewebtask

全部复制到“SQL查询分析器”

点击菜单上的--“查询”--“执行”，就会将有安全问题的SQL过程删除(以上是7i24的正版用户的技术支持)

更改默认SA空密码.数据库链接不要使用SA帐户.单数据库单独设使用帐户.只给public和db_owner权限.

数据库不要放在默认的位置.

SQL不要安装在PROGRAM FILE目录下面.

最近的SQL补丁是SP4

篇4：服务器安全之iis权限设置篇服务器教程

IIS Web 服务器的权限设置有两个地方，一个是 NTFS 文件系统本身的权限设置，另一个是 IIS 下网站->站点->属性->主目录（或站点下目录->属性->目录）面板上，

服务器安全之iis权限设置篇服务器教程

。这两个地方是密切相关的。下面以实例的方式来讲解如何设置权限。

IIS 下网站->站点->属性->主目录（或站点下目录->属性->目录）面板上有：

脚本资源访问

读取

写入

浏览

记录访问

索引资源

6 个选项。这 6 个选项中，“记录访问”和“索引资源”跟安全性关系不大，一般都设置。但是如果前面四个权限都没有设置的话，这两个权限也没有必要设置。在设置权限时，记住这个规则即可，后面的例子中不再特别说明这两个权限的设置。

另外在这 6 个选项下面的执行权限下拉列表中还有：

无

纯脚本

纯脚本和可执行程序

3 个选项。

而网站目录如果在 NTFS 分区（推荐用这种）的话，还需要对 NTFS 分区上的这个目录设置相应权限，许多地方都介绍设置 everyone 的权限，实际上这是不好的，其实只要设置好 Internet 来宾帐号（IUSR_xxxxxxx）或 IIS_WPG 组的帐号权限就可以了。如果是设置 ASP、PHP 程序的目录权限，那么设置 Internet 来宾帐号的权限，而对于 ASP.NET 程序，则需要设置 IIS_WPG 组的帐号权限。在后面提到 NTFS 权限设置时会明确指出，没有明确指出的都是指设置 IIS 属性面板上的权限。

例1 ―― ASP、PHP、ASP.NET 程序所在目录的权限设置：

如果这些程序是要执行的，那么需要设置“读取”权限，并且设置执行权限为“纯脚本”。不要设置“写入”和“脚本资源访问”，更不要设置执行权限为“纯脚本和可执行程序”。NTFS 权限中不要给 IIS_WPG 用户组和 Internet 来宾帐号设置写和修改权限。如果有一些特殊的配置文件（而且配置文件本身也是 ASP、PHP 程序），则需要给这些特定的文件配置 NTFS 权限中的 Internet 来宾帐号（ASP.NET 程序是 IIS_WPG 组）的写权限，而不要配置 IIS 属性面板中的“写入”权限。

IIS 面板中的“写入”权限实际上是对 HTTP PUT 指令的处理，对于普通网站，一般情况下这个权限是不打开的。

IIS 面板中的“脚本资源访问”不是指可以执行脚本的权限，而是指可以访问源代码的权限，如果同时又打开“写入”权限的话，那么就非常危险了。

执行权限中“纯脚本和可执行程序”权限可以执行任意程序，包括 exe 可执行程序，如果目录同时有“写入”权限的话，那么就很容易被人上传并执行木马程序了。

对于 ASP.NET 程序的目录，许多人喜欢在文件系统中设置成 Web 共享，实际上这是没有必要的，

只需要在 IIS 中保证该目录为一个应用程序即可。如果所在目录在 IIS 中不是一个应用程序目录，只需要在其属性->目录面板中应用程序设置部分点创建就可以了。Web 共享会给其更多权限，可能会造成不安全因素。

总结:也就是说一般不要打开-主目录-(写入),(脚本资源访问) 这两项以及不要选上(纯脚本和可执行程序),选(纯脚本)就可以了.需要asp.net的应用程序的如果应用程序目录不止应用程序一个程序的可以在应用程序文件夹上(属性)-目录-点创建就可以了.不要在文件夹上选web共享.

例2 ―― 上传目录的权限设置：

用户的网站上可能会设置一个或几个目录允许上传文件，上传的方式一般是通过 ASP、PHP、ASP.NET 等程序来完成。这时需要注意，一定要将上传目录的执行权限设为“无”，这样即使上传了 ASP、PHP 等脚本程序或者 exe 程序，也不会在用户浏览器里就触发执行。

同样，如果不需要用户用 PUT 指令上传，那么不要打开该上传目录的“写入”权限。而应该设置 NTFS 权限中的 Internet 来宾帐号（ASP.NET 程序的上传目录是 IIS_WPG 组）的写权限。

如果下载时，是通过程序读取文件内容然后再转发给用户的话，那么连“读取”权限也不要设置。这样可以保证用户上传的文件只能被程序中已授权的用户所下载。而不是知道文件存放目录的用户所下载。“浏览”权限也不要打开，除非你就是希望用户可以浏览你的上传目录，并可以选择自己想要下载的东西。

总结:一般的一些asp.php等程序都有一个上传目录.比如论坛.他们继承了上面的属性可以运行脚本的.我们应该将这些目录从新设置一下属性.将(纯脚本)改成(无).

例3 ―― Access 数据库所在目录的权限设置：

许多 IIS 用户常常采用将 Access 数据库改名（改为 asp 或者 aspx 后缀等）或者放在发布目录之外的方法来避免浏览者下载它们的 Access 数据库。而实际上，这是不必要的。其实只需要将 Access 所在目录（或者该文件）的“读取”、“写入”权限都去掉就可以防止被人下载或篡改了。你不必担心这样你的程序会无法读取和写入你的 Access 数据库。你的程序需要的是 NTFS 上 Internet 来宾帐号或 IIS_WPG 组帐号的权限，你只要将这些用户的权限设置为可读可写就完全可以保证你的程序能够正确运行了。

总结:Internet 来宾帐号或 IIS_WPG 组帐号的权限可读可写.那么Access所在目录（或者该文件）的“读取”、“写入”权限都去掉就可以防止被人下载或篡改了

例4 ―― 其它目录的权限设置：

你的网站下可能还有纯图片目录、纯 html 模版目录、纯客户端 js 文件目录或者样式表目录等，这些目录只需要设置“读取”权限即可，执行权限设成“无”即可。其它权限一概不需要设置。

上面的几个例子已经包含了大部分情况下的权限设置，只要掌握了设置的基本原理，也就很容易地完成能其它情况下的权限设置。

篇5：Windows网站服务器安全设置

有很多人都认为微软的东西漏洞太多，微软的系统安全性太差，网站服务器通常都不建议用微软的系统，不过，如果网站维护人员很少，通过在Windows Server里进行一些安全配置，也可以让系统的安全性有所提高，对于网站的备份、恢复等一系列复杂操作，也可以通过一些较为简单的方式来实现，下面是我总结的一些Windows Server安全配置和备份恢复的一些经验和技巧，供各位参考，

Windows服务器安全配置技巧 - Windows服务器安装、网络安全配置、安全模板设置等。

防止服务器网卡被误停用 - 服务器一般放在IDC机房，如果我们远程控制Windows服务器的时候，不小心禁用了网卡，后果不堪设想。

ASP博客安全技巧 - 以Z-Blog博客系统为例介绍在独立主机可配置的条件下（托管、租用或者合租主机）的系统安全设置。

海量文件复制和备份的技巧 - 海量文件服务技巧，带权限文件复制(单个文件的权限)技巧。

修改远程登录3389端口 - 众所周知，远程终端服务基于端口3389，

入侵者一般先扫描主机开放端口，一旦发现其开放了3389端口，就会进行下一步的入侵，所以我们只需要修改该务默认端口就可以避开大多数入侵者的耳目。

五个远程管理Windows服务器的技巧 - 一些有效管理服务器的小技巧。

IIS 的备份恢复 - Windows的IIS有一个非常“ ”的备份还原功能，和大部分备份还原不同的是，这个服务默认不支持不同电脑之间的备份还原，如果用户重装Windows的话，即使备份了IIS的相关文件，还原的时候还是提示“无效签名”，导致这个IIS无法恢复。

Windows IIS日志文件分析程序 - Windows Server具有事件日志记录的功能，其IIS日志文件里记录了包括下列信息：谁访问了您的站点，访问者查看了哪些内容等等。通过定期检查这些日志文件，网站管理员可以检测到服务器或站点的哪些方面易受攻击或存在其他安全隐患。

Google KMZ/MKL文件设置 - Google Earth的KML文件的MIME类型是application/vnd.google-earth.kml+xml，KMZ文件的MIME类型是application/vnd.google-earth.kmz。

【Windows服务器安全设置之组件安全设置篇】相关文章：

1.Windows Server Web服务器的十五项安全设置