[重要通告]如您遇疑難雜癥,本站支持知識付費業務,掃右邊二維碼加博主微信,可節省您寶貴時間哦!

Windows2003下IIS6結合ServU的安全設置

最近因為IIS和SERV-U以至服務器安全出現問題。上網看了很多文章，對這方面比以前了解更加深！授人以魚不如授人以漁，希望能讓大家熟悉操作步驟同時，也知道為什么要這樣。更渴望和各位朋友交流經驗~，修補不足之處！Thanks
軟件環境 :
Windows Server 2003 Enterprise Edition Service Pack 1 簡體中文版 (NTFS分區)
Serv-U 6.3 英文版
MCAfee 8.0
1，首先安裝Serv-U6.3，路徑隨便，不要安裝在C盤！
路徑盡量復雜的，以減少入侵者猜到安裝路徑，如D:\5155kdh\5126554dad485\
2，運行Serv-U，注冊域，把密碼保存設置為 “加密在注冊表里(Domain type:Store in computer registry)”。把帳戶密碼保存在注冊表比保存在ServUDaemon.ini安全。
3，Serv-U安裝完成后。打開“計算機管理”，“本地用戶和組”。新建一個用戶，如Asion，密碼要長，要復雜，抄下，一會還要用上！ 把用戶不能更改密碼和密碼永不過期勾上3， 打開新建用戶(Asion)的屬性，在“隸屬于”中把Users刪除掉，即不屬于任何組
在“終端服務配置文件”，把“拒絕這個上用戶登錄到任何終端服務器”打上勾在“撥入”中，"遠程訪問權限"為“拒絕訪問”
4，打開Serv-U安裝目錄“屬性”“安全”“高級”，取消“允許父項的繼承權限傳播到該對象和所有子對象”，然后點“復制”把System/Creator owner/Users 刪除掉，只留下”Administrator”.然后“添加”“高級”“立刻查找”，把新的建的用戶“Asion”進去，權限除完全控制其它都給予！ (即Serv-U安裝目錄只有兩個用戶權限，Admin/asion完全控制)

5，，運行注冊表程序Regedt32，打開分支\HKEY_LOCAL_MACHINE\SOFTWARE\Cat Soft，右擊CatSoft打開權限，取消“允許父項的繼續權限傳播到該對象和所有子對象”，然后點刪除，再應用。當彈出警告對話框“你拒絕了所有用戶訪問CatSoft。沒有人能訪問Catsoft。而且只有所有者才能更改權限。你要繼續嗎” 選擇“是”。然后添加Administrator和新建的用戶Asion所有權限（完全控制
6，打開計算機管理，“服務和應用程序”“服務”，找到”Serv-U Ftp服務器”，打開“屬性”“登錄”，將登陸身份設置為“此帳戶”，并將新建的帳戶asion添加上去，然后填上密碼，再應用)接著重新啟動一次Serv-U 服務。如果出現“錯誤5：拒絕訪問” 那就要檢查以上的操作有沒漏做一步！這種現象一般都是權限設置錯誤！

7，運行Serv-U Admin，在“Settings”“Advanced” 下，添加PASV port range 3000-3030
在域的Advanced中。添加被動端口IP “Allow passive mode data transfers,use IP xxx.xxx.xxx.xxx”
Serv-U安裝路徑盡量復雜，刪除所有快捷圖標，包括Documents and Settings 下每個用戶目錄的快捷方式，目的是盡量減少入侵者猜中。建立新帳戶為為Serv-U的服務啟動是為安全， Serv-U默認是System啟動，而Serv-U有一個默認的管理用戶（用戶名：localadministrator，密碼：#|@$ak#.|k;0@p），任何人只要通過一個能訪問本地端口43958的賬號就可以隨意增刪賬號和執行任意內部和外部命令。 而注冊表中設置只允許Admin和Serv-U服務帳戶全權，也是防止入侵IIS后而讀取Serv-U的Ftp 帳號密碼。指定PASV（被動端口）很有必要，一是減少服務器端口開放，越少越安全；二是使于管理。如果不開放PASV，那么客戶用IE登陸FTP就會出錯！ 另外FTP最好是開啟記錄日志，要是被入侵，還有點痕跡可查。
IIS設置
1， 新建站點，(運行IIS.msc)，新建一個站點。如FTP，目錄指向d:\ftp (名稱和目錄自己定)，設置主頁文檔等等。瀏覽一下，看能不能正常顯示，行，就繼續下一步
2， 打開計算機管理，“本地用戶和組”，“新建一個用戶”，如IIS_FTP，密碼盡量長，并且記下！打開該用戶屬性，在“隸屬于”中刪除USERS組，即不屬于任何組。在“終端服務配置文件”中，勾上“拒絕這個用戶登陸到任何終端服務器”，然后應用
3， 打開IIS管理器，新建站點（FTP）的屬性，“目錄安全性”“身份驗證和訪問控制”“編輯”，點“瀏覽”選取新建的用戶IIS_FTP，并填上密碼， 再應用確定！
4， 打開站點的文件目錄（D:\ftp）“屬性”，“安全”“高級”，取消“允許父項的繼承權限傳播到該對象和所有子對象。”，在彈出的對話框中，選“刪除”。 然后添加Administrator 完全控制，添加IIS_FTP用戶除了“完全控制“所以權限，也可以根椐網站的要求對應分配權限。我是這樣設置的。然后，在IIS管理器中測試該站點，正常繼續下文。如果沒法顯示或者出錯，檢查以上操作，注意一下權限設置。
原理和上面Serv-U的設置一樣，只要理解了權限設置就行。的確，權限很復雜，現在我都很迷茫，還希望高人指點一二。Thanks ^o^
MCAfee 8.0
在殺毒軟件設置中，發現病毒時自動清除；清除失敗時自動刪除（別設置在提示并讓用戶選擇）。多數站點入侵都是ASP木馬。讓Antivirus 發現一個清一個！

IIS結合Serv-U
1， 剛才Serv-U和IIS都已經完，現在要讓Serv-U配合IIS了。打開站點目錄，打開“安全”，添加Serv-U的運行帳戶“Asion”，權限分配為除“完全控制”/“運行文件”/“更改權限”/“取得所有權”之外的所有權限。
2， 因為站點文件在d:\ftp下，所以還需要設置Serv-U運行帳戶（Asion）對d:\盤的特殊訪問，只付予“運行文件”/“讀取屬性”/“讀取擴展屬性”/“讀取權限”，切記：應用到“只有該文件夾”。 如果站點文件在X:\abc\efg\目錄，那同理還需要對X: 和 X:\abc\ 操作這一步
這里要注意的， 如果站點路徑沒有設置好權限(上面第2步)，剛開始登陸FTP是正常，但一段時間后，就會提示 “530 Not logged in, homedirectory does not exist” 或者帳戶密碼正確也不無登
加固IIS和SERV-U
1， 打開本地連接， “Internet 協議(TCP/IP)” “屬性” “高級” “選項”
打開Tcp/ip篩選 “啟用 TCP/IP篩選”，只允許TCP20、21、80、3389和SERV-U的被動端口3000~3015，允許所有UDP和IP協議。
2， 打開IIS信息服務管理器，“應用程序池”“Default AppPool屬性”中，取消“空閑超時”和“啟用快速保護失敗”
3， 每個盤符根目錄(如c:\ 、d:\、e:\....)都不要給予Everyone權限，并把盤符下所有目錄取消“允許父項的繼承權限傳播到該對象和所有子對象”
4， 刪除Documents and Settings、Documents and Settings\All Users和D:\Documents and Settings\Default User的Evryone權限
上文提到的asion和IIS_FTP用戶，可以隨便改，只是設置時沒寫錯就行！建議大家更改，不要用相對容易記憶的用戶名。另外，有些文章說更改登陸Serv-U的提示符，我覺得完全沒有必要，用FTP軟件一連接，返回信息220，那肯定是Serv-U了!而IIS和Serv-U都不需要System用戶運行，所以就把相關目錄的system權限刪除，無非是怕溢出得到system權限（這個比Admin還高級）。 補充一點：IIS中文件分類設置權限，為不同的類型文件建立不同目錄，然后給予適應的權限。如靜態文件：允許 R，拒絕W ；ASP文件： 允許E，拒絕W和R ；EXE目錄：允許E，拒絕W和R 做為網管，安全工作永沒完善，或多或少都有漏洞，唯有最大能力減少被入侵的機率，事后迅速補救。
我每次遠程登陸服務器，首先做的都必打三個命令。
tasklist ：顯示系統所有進程，雖然不少木馬把名字改為svchost.exe 等等系統服務來隱藏，但明顯的進程還是要查殺。
Taskkill /pid ：能終止大部份進程，確定是可疑進程就殺。還不能殺的只好進安全模式了…..
Netstat –an ： 以數字形式顯示所有本機的連接端口。這樣可以看清楚那些端口被使用。

問題未解決？付費解決問題加Q或微信 2589053300 (即Q號又微信號)右上方掃一掃可加博主微信

所寫所說，是心之所感，思之所悟，行之所得；文當無敷衍，落筆求簡潔。 以所舍，求所獲；有所依，方所成！