Windows虚拟主机安全配置与优化

证控制-编辑-匿名访问使用帐号的对话框中选中自己站点相对应的用户帐户.我们在D盘各个站点文件夹的属性-安全选项卡去掉父系继承来的权限，把这个文件夹的访问权限设成redblood(这个用户是我改名后的管理员，我会在后面提到的)完全控制(FC)、SYSTEM(FC)、和Web站点对应用户的修改、读取及运行、列出文件夹目录、读取、写入权限。这样当其中的一个WEB站点被上传ASP木马，就不会危害其它的站点，因为他只有这个Web站点的权限而没有其它站点权限。

　　把各个分区的权限设成只有redblood和system完全控制.但是要注意一点，如果你的页面文件通过设置而放到其它的分区中，比如我放到了E盘中，你除了给这个分区redblood、system的完全控制权限外还必须给这个分区everyone的读权限,否则重启的时候会报错!

　　在C:\Program Files\Common Files文件夹属性对话框安全选项卡中，取消"允许将来自父系的可继承权限传播给该对象"，访问权限设成redblood、system完全控制，everyone读取及运行、列出文件夹目录、读取。因为ASP连接数据库的时候会用到这个目录。然后把WINNT目录也按照同样的方法来设置成和Common Files文件夹同样的权限。

　　我们还要特殊设置一个目录那就是C:\WINNT\Temp，这个目录的访问权限是everyone修改、读取及运行、列出文件夹目录、读取、写入。

　　把如下文件设置成只有redblood完全控制权限，取消父系继承来的权限。这些文件有:C:\winnt\sytem32文件夹和C:\winnt\sytem32\dllcache文件夹的net.exe、net1.exe、netstat、netsh、cacls、cmd.exe、ftp.exe、tftp.exe、at.exe、format.com、xcopy.exe.

　　把装应用程序的目录我这里是f:\soft目录的访问权限设成redblood、system完全控制和everyone读取、读取和运行、列出文件夹目录的权限。禁用一些不安全的组件,如:Scripting.FileSystemObject、WScript.Shell、Shell.Application组件。

　　Scripting.FileSystemObject组件:

　　我们可以修改对应项在注册表里面的名称和值:
　　HKEY_CLASSES_ROOT\Scripting.FileSystemObject\
　　HKEY_CLASSES_ROOT\Scripting.FileSystemObject\CLSID\项目的值

　　WScript.Shell组件:　　
　　HKEY_CLASSES_ROOT\WScript.Shell\
　　HKEY_CLASSES_ROOT\WScript.Shell.1\
　　HKEY_CLASSES_ROOT\WScript.Shell\CLSID\项目的值
　　HKEY_CLASSES_ROOT\WScript.Shell.1\CLSID\项目的值

　　Shell.Application组件:
　　HKEY_CLASSES_ROOT\Shell.Application\
　　HKEY_CLASSES_ROOT\Shell.Application.1\
　　HKEY_CLASSES_ROOT\Shell.Application\CLSID\项目的值
　　HKEY_CLASSES_ROOT\Shell.Application.1\CLSID\项目的值

　　因为在前里我们已经单独的设置相应的Web站点，所以不必修改Scripting.FileSystemObject(fso)组件。

　　在这里我直接注销下面两个组件:
　　regsvr32 /u C:\WINNT\System32\wshom.ocx对应于WScript.Shell组件。
　　regsvr32/u C:\WINNT\System32\shell32.dll对应于Shell.Application组件。

　　禁止guests组的用户调用它:
　　cacls C:\WINNT\system32\scrrun.dll /e /d guests
　　cacls C:\WINNT\system32\shell32.dll /e /d guests

　　前面在服务设置的时候我把Workstation服务禁用了，因为ASP木马运行候可以通过它来列出系统的用户和进程。所以为了安全考虑我们禁用它。

　　6.修改注册表提高系统安全和性能

　　下面我使用注册表和组策略一起来设置系统。

　　开始-运行-gpeidt.msc打开组策略，计算机配置-Windows配置-安全设置-帐户策略-密码策略.

　　下面是我的策略设置:
　　密码策略
　　密码必须符合复杂性要求:启用
　　密码长度最小值:8个字符
　　密码最长存留期:30天
　　密码最短存留期:3天
　　强制密码历史:5个记住的密码

　　帐户锁定策略设置
　　复位帐户锁定计数器:20分钟之后
　　帐户销定时间:20分钟
　　帐户锁定阀值:5次无效登录

　　计算机配置-Windows配置-安全设置-本地策略，审核策略设置:
　　审核策略更改:成功、失败
　　审核登录事件:成功、失败
　　审核对象访问:失败
　　审核过程追踪:无审核
　　审核目录服务访问:无审核
　　审核特权使用:失败
　　审核系统事件:失败
　　审核帐户登录事件:成功、失败
　　审核帐户管理:成功、失败

　　计算机配置-Windows配置-安全设置-本地策略-用户权限指派
　　更改系统时间:administrators
　　关闭系统:administrators
　　管理审核和安全日志:administrators
　　计算机配置-Windows配置-安全设置-本地策略-安全选项
　　登录屏幕上不要显示上次登录的用户名:已启用
　　对匿名连接的额个限制:不允许枚举 SAM 帐号和共享
　　故障恢复控制台:允许对所以驱动器和文件夹进行软盘复制和访问:已启用
　　在关机时清理虚拟内存页面交换文件:已启用
　　重命名来宾帐户:命名成administrator。
　　重命名系统管理员帐户:redblood

　　在本地用户和组中把来宾用户和系统管理员的描述互换一下，这样可以起一个迷惑的作用。算是一个很无聊的小把戏吧。我们再添加一个系统管理员帐户，这样可以防止如果忘记了口令可以及时的恢复系统，如果骇客进入系统改了密码,我们可以很快的取得系统的控制权。大家一定要给系统管理员设置一个强壮的密码，最少也得8位以上，由大小字母+数字组成。

　　通过修改系统注册表的自启动项目把一些无用的启动项删除掉，以下是常见的各启动项:
　　HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
　　HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce
　　HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnceEx
　　HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
　　HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Runonce

　　以上这几个启动项是木马出现很频繁的地方，大家以后维护的时候多注意一些。

　　7.FTP服务器配置

　　FTP服务器除了对所在的文件夹设置权限之外，还可以修改一下Banner，这种方法可以迷惑一些骇客，让他在表面上认为我们的FTP的服务器不是Serv-u,下