最近帮助一些公司在做服务器的安全加固和数据迁移,虽然难度不大,但是很费力。所以就想到做个一键处理的脚本来加固服务器的安全环境。
本脚本只适用于windows操作系统的服务器,请勿在其他机器上乱用,以免造成不必要的麻烦。
脚本下载地址:服务器安全加固批处理(文件大小:3.65K 下载次数:18)
本脚本暂时未添加对服务器文件及文件夹权限的管理,大家请在使用脚本加固之后按照下文去设置服务器各个文件夹的权限,以避免权限提升、跨站攻击等。
- 更改系统盘所有者为Administrators
- 所有盘根目录只保留Administrators和SYSTEM权限。
- 系统盘加上Users“读取权限”,仅当前目录
- C:\WINDOWS、C:\WINDOWS\system32、C:\Windows\SysWOW64 只保留Administrators和SYSTEM,以及User读和执行
- C:\Program Files 、C:\Program Files (x86) 只保留Administrators和SYSTEM
- C:\Program Files\Common Files 、C:\Program Files (x86)\Common Files 只保留Administrators和SYSTEM,以及User读和执行
- C:\ProgramData 只保留Administrators和SYSTEM,以及User读和执行
- C:\Users 只保留Administrators和SYSTEM
- C:\inetpub 只保留Administrators和SYSTEM
- C:\inetpub\custerr 只保留Administrators和SYSTEM,以及User读
- C:\inetpub\temp 只保留Administrators和SYSTEM,以及User读写删除和IIS_IUSRS读写删除
- C:\Windows\Temp 只保留Administrators和SYSTEM,以及User读写删除和IIS_IUSRS读写删除
- C:\Windows\tracing 只保留Administrators和SYSTEM,以及User读和network service读
- C:\Windows\Vss 只保留Administrators和SYSTEM,以及User读和network service读写删除
- C:\ProgramData\Microsoft\DeviceSync 只保留Administrators和SYSTEM,以及User读
- C:\WINDOWS\下的部分exe软件只保留Administrators和SYSTEM,如regedit.exe、regedt32.exe、cmd.exe、net.exe、net1.exe、netstat.exe、at.exe、attrib.exe、cacls.exe、format.com、activeds.tlb、shell32.dll、wshom.ocx
- 注意:如果您安装了SQL Server软件,还需要给系统盘上SQL Server相关目录加上NT SERVICE\MSSQLSERVER的权限。
- 如果设置后网站无法访问,给网站目录加上Users的读写删除权限试试。
对于系统内有些文件可能会被系统隐藏掉,在设置之前,请先把隐藏的文件显现出来,待设置完成之后再重新隐藏。
以上内容就是菠菜园今天的分享,敬请关注菠菜园其他精彩内容。