Windows Internet服务器安全配置实践篇

2. 用户帐号

A. 将administrator改名，例子中改为root

B. 取消所有除管理员root外所有用户属性中的

远程控制->启用远程控制 以及

终端服务配置文件->允许登陆到终端服务器

C. 将guest改名为administrator并且修改密码

D. 除了管理员root、IUSER以及IWAM以及ASPNET用户外，禁用其他一切用户，包括SQL DEBUG以及TERMINAL USER等等

3. 目录权限

将所有盘符的权限，全部改为只有

administrators组 全部权限

ystem 全部权限

将C盘的所有子目录和子文件继承C盘的administrator(组或用户)和SYSTEM所有权限的两个权限

然后做如下修改

C:\Program Files\Common Files 开放Everyone默认的读取及运行 列出文件目录 读取三个权限

C:\WINDOWS\ 开放Everyone默认的读取及运行 列出文件目录 读取三个权限

C:\WINDOWS\Temp 开放Everyone 修改、读取及运行、列出文件目录、读取、写入权限

现在WebShell就无法在系统目录内写入文件了。当然也可以使用更严格的权限，在WINDOWS下分别目录设置权限。可是比较复杂，效果也并不明显。

4. IIS

在IIS 6下，应用程序扩展内的文件类型对应ISAPI的类型已经去掉了IDQ、PRINT等等危险的脚本类型，

在IIS 5下我们需要把除了ASP以及ASA以外所有类型删除。