Windows2003下的IIS权限设置

前提：仅针对windows 2003 server SP1 Internet(IIS) 服务器

系统安装在C:\盘

系统用户情况为：

administrators 超级管理员(组)

system 系统用户(内置安全主体)

guests 来宾帐号(组)

iusr\_服务器名 匿名访问web用户

iwam\_服务器名 启动iis进程用户

www\_cnnsc\_org 自己添加的用户、添加后删除Users(组)、删除后添加到guests来宾帐号(组)

为加强系统安全、(guest)用户及(iusr\_服务器名)用户均被禁用

将访问web目录的全部账户设为guests组、去除其他的组

■盘符 安全访问权限

△C:\盘 administrators(组) 完全控制权限、system(内置安全主体) 完全控制权限

△D:\盘 (如果用户网站内容放置在这个分区中)、administrators(组) 完全控制权限

△E:\盘 administrators(组) 完全控制权限、system(内置安全主体) 完全控制权限

△f:\盘 administrators(组) 完全控制权限、system(内置安全主体) 完全控制权限

△如有其他盘符类推下去.

■禁止系统盘下的EXE文件：

net.exe、cmd.exe、tftp.exe、netstat.exe、regedit.exe、regedt32.exe、at.exe、attrib.exe、cacls.exe

△些文件都设置成 administrators 完全控制权限

■禁止下载Access数据库

△Internet 信息服务(IIS)管理器→网站→属性→主目录→配置→添加

△可执行文件：C:\WINDOWS\twain\_32.dll

△扩展名：.mdb

▲如果你还想禁止下载其它的东东

△Internet 信息服务(IIS)管理器→网站→属性→主目录→配置→添加

△可执行文件：C:\WINDOWS\twain\_32.dll

△扩展名：.(改成你要禁止的文件名)

▲然后删除扩展名：shtml stm shtm cdx idc cer

■防止列出用户组和系统进程:

△开始→程序→管理工具→服务

△找到 Workstation 停止它、禁用它

■卸载最不安全的组件：

△开始→运行→cmd→回车键

▲cmd里输入：

△regsvr32/u C:\WINDOWS\system32\wshom.ocx

△del C:\WINDOWS\system32\wshom.ocx

△regsvr32/u C:\WINDOWS\system32\shell32.dll

△del C:\WINDOWS\system32\shell32.dll

△也可以设置为禁止guests用户组访问

■解除FSO上传程序小于200k限制：

△在服务里关闭IIS admin service服务

△打开 C:\WINDOWS\system32\inetsrv\MetaBase.xml

△找到ASPMaxRequestEntityAllowed

△将其修改为需要的值、默认为204800、即200K、把它修改为51200000(50M)、然后重启

IIS admin service服务

■禁用IPC连接

△开始→运行→regedit

△找到如下组建(HKEY\_LOCAL\_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa)中的

(restrictanonymous)子键

△将其值改为1即

■清空远程可访问的注册表路径：

△开始→运行→gpedit.msc

△依次展开“计算机配置→Windows 设置→安全设置→本地策略→安全选项”

△在右侧窗口中找到“网络访问：可远程访问的注册表路径”

△然后在打开的窗口中、将可远程访问的注册表路径和子路径内容全部设置为空即

■关闭不必要的服务

△开始→程序→管理工具→服务

△Telnet、TCP\IP NetBIOS Helper

■解决终端服务许可证过期的办法

△如果你服务器上已经开着终端服务、那就在添加删除程序里删除终端服务和终端授权

服务

△我的电脑--右键属性--远程---远程桌面、打勾、应用

△重启服务器、OK了、再也不会提示过期了

■取消关机原因提示

△开始→运行→gpedit.msc

△打开组策略编辑器、依次展开

△计算机配置→管理模板→系统

△双击右侧窗口出现的(显示“关闭事件跟踪程序”)

△将(未配置)改为(已禁用)即可

--------------节选自：lcmy365--------------