win2003 服务器 安全设置 技术实例(比较安全的方法)
1、服务器安全设置之--硬盘权限篇
这里着重谈需要的权限,也就是最终文件夹或硬盘需要的权限,可以防御各种木马入侵,提权攻击,跨站攻击等。本实例经过多次试验,安全性能很好,服务器基本没有被木马威胁的担忧了。
硬盘或文件夹: c:\ d:\ e:\ f:\ 类推 | |||
主要权限部分: | 其他权限部分: | ||
administrators
|
完全控制 |
无
如果安装了其他运行环境,比如php等,则根据php的环境功能要求来设置硬盘权限,一般是安装目录加上users读取运行权限就足够了,比如c:\php的话,就在根目录权限继承的情况下加上users读取运行权限,需要写入数据的比如tmp文件夹,则把users的写删权限加上,运行权限不要,然后把虚拟主机用户的读权限拒绝即可。如果是mysql的话,用一个独立用户运行mysql会更安全,下面会有介绍。如果是winwebmail,则最好建立独立的应用程序池和独立iis用户,然后整个安装目录有users用户的读/运行/写/权限,iis用户则相同,这个iis用户就只用在winwebmail的web访问中,其他iis站点切勿使用,安装了winwebmail的服务器硬盘权限设置后面举例 |
|
该文件夹,子文件夹及文件 | |||
<不是继承的> | |||
creator owner
|
完全控制 | ||
只有子文件夹及文件 | |||
<不是继承的> | |||
system
|
完全控制 | ||
该文件夹,子文件夹及文件 | |||
<不是继承的> |
硬盘或文件夹: c:\inetpub\ | |||
主要权限部分: | 其他权限部分: | ||
administrators
|
完全控制 |
无
|
|
该文件夹,子文件夹及文件 | |||
<继承于c:\> | |||
creator owner
|
完全控制 | ||
只有子文件夹及文件 | |||
<继承于c:\> | |||
system
|
完全控制 | ||
该文件夹,子文件夹及文件 | |||
<继承于c:\> |
硬盘或文件夹: c:\inetpub\adminscripts | |||
主要权限部分: | 其他权限部分: | ||
administrators
|
完全控制 |
无
|
|
该文件夹,子文件夹及文件 | |||
<不是继承的> | |||
system
|
完全控制 | ||
该文件夹,子文件夹及文件 | |||
<不是继承的> |
硬盘或文件夹: c:\inetpub\wwwroot | |||
主要权限部分: | 其他权限部分: | ||
administrators
|
完全控制 |
iis_wpg
|
读取运行/列出文件夹目录/读取
|
该文件夹,子文件夹及文件 |
该文件夹,子文件夹及文件
|
||
<不是继承的> | <不是继承的> | ||
system
|
完全控制 |
users
|
读取运行/列出文件夹目录/读取 |
该文件夹,子文件夹及文件 | 该文件夹,子文件夹及文件 | ||
<不是继承的> | <不是继承的> | ||
这里可以把虚拟主机用户组加上
同internet 来宾帐户一样的权限 拒绝权限 |
internet 来宾帐户
|
创建文件/写入数据/:拒绝 创建文件夹/附加数据/:拒绝 写入属性/:拒绝 写入扩展属性/:拒绝 删除子文件夹及文件/:拒绝 删除/:拒绝 |
|
该文件夹,子文件夹及文件 | |||
<不是继承的> |
硬盘或文件夹: c:\inetpub\wwwroot\aspnet_client | |||
主要权限部分: | 其他权限部分: | ||
administrators
|
完全控制 |
users
|
读取 |
该文件夹,子文件夹及文件 | 该文件夹,子文件夹及文件 | ||
<不是继承的> | <不是继承的> | ||
system
|
完全控制 | ||
该文件夹,子文件夹及文件 | |||
<不是继承的> |
硬盘或文件夹: c:\documents and settings | |||
主要权限部分: | 其他权限部分: | ||
administrators
|
完全控制 |
无
|
|
该文件夹,子文件夹及文件 | |||
<不是继承的> | |||
system
|
完全控制 | ||
该文件夹,子文件夹及文件 | |||
<不是继承的> |
硬盘或文件夹: c:\documents and settings\all users | |||
主要权限部分: | 其他权限部分: | ||
administrators
|
完全控制 |
users
|
读取和运行 |
该文件夹,子文件夹及文件 | 该文件夹,子文件夹及文件 | ||
<不是继承的> | <不是继承的> | ||
system
|
完全控制 |
users组的权限仅仅限制于读取和运行,
绝对不能加上写入权限 |
|
该文件夹,子文件夹及文件 | |||
<不是继承的> |
硬盘或文件夹: c:\documents and settings\all users\「开始」菜单 | |||
主要权限部分: | 其他权限部分: | ||
administrators
|
完全控制 |
无
|
|
该文件夹,子文件夹及文件 | |||
<不是继承的> | |||
system
|
完全控制 | ||
该文件夹,子文件夹及文件 | |||
<不是继承的> |
硬盘或文件夹: c:\documents and settings\all users\application data | |||
主要权限部分: | 其他权限部分: | ||
administrators
|
完全控制 |
users
|
读取和运行 |
该文件夹,子文件夹及文件 | 该文件夹,子文件夹及文件 | ||
<不是继承的> | <不是继承的> | ||
creator owner
|
完全控制 |
users
|
写入 |
只有子文件夹及文件 | 该文件夹,子文件夹 | ||
<不是继承的> | <不是继承的> | ||
system
|
完全控制 |
两个并列权限同用户组需要分开列权限
|
|
该文件夹,子文件夹及文件 | |||
<不是继承的> |
硬盘或文件夹: c:\documents and settings\all users\application data\microsoft | |||
主要权限部分: | 其他权限部分: | ||
administrators
|
完全控制 |
users
|
读取和运行 |
该文件夹,子文件夹及文件 | 该文件夹,子文件夹及文件 | ||
<不是继承的> | <不是继承的> | ||
system
|
完全控制 |
此文件夹包含 microsoft 应用程序状态数据
|
|
该文件夹,子文件夹及文件 | |||
<不是继承的> |
硬盘或文件夹: c:\documents and settings\all users\application data\microsoft\crypto\rsa\machinekeys | |||
主要权限部分: | 其他权限部分: | ||
administrators
|
完全控制 |
everyone
|
列出文件夹、读取属性、读取扩展属性、创建文件、创建文件夹、写入属性、写入扩展属性、读取权限 |
只有该文件夹 |
everyone这里只有读写权限,不能加运行和删除权限,仅限该文件夹
|
只有该文件夹 | |
<不是继承的> | <不是继承的> |
硬盘或文件夹: c:\documents and settings\all users\application data\microsoft\crypto\dss\machinekeys | |||
主要权限部分: | 其他权限部分: | ||
administrators
|
完全控制 |
everyone
|
列出文件夹、读取属性、读取扩展属性、创建文件、创建文件夹、写入属性、写入扩展属性、读取权限 |
只有该文件夹 | everyone这里只有读写权限,不能加运行和删除权限,仅限该文件夹 | 只有该文件夹 | |
<不是继承的> | <不是继承的> |
硬盘或文件夹: c:\documents and settings\all users\application data\microsoft\html help | |||
主要权限部分: | 其他权限部分: | ||
administrators
|
完全控制 |
users
|
读取和运行 |
该文件夹,子文件夹及文件 | 该文件夹,子文件夹及文件 | ||
<不是继承的> | <不是继承的> | ||
system
|
完全控制 | ||
该文件夹,子文件夹及文件 | |||
<不是继承的> |
硬盘或文件夹: c:\documents and settings\all users\application data\microsoft\network\connections\cm | |||
主要权限部分: | 其他权限部分: | ||
administrators
|
完全控制 |
everyone
|
读取和运行 |
该文件夹,子文件夹及文件 | 该文件夹,子文件夹及文件 | ||
<不是继承的> | <不是继承的> | ||
system
|
完全控制 |
everyone这里只有读和运行权限
|
|
该文件夹,子文件夹及文件 | |||
<不是继承的> |
硬盘或文件夹: c:\documents and settings\all users\application data\microsoft\network\downloader | |||
主要权限部分: | 其他权限部分: | ||
administrators
|
完全控制 |
无
|
|
该文件夹,子文件夹及文件 | |||
<不是继承的> | |||
system
|
完全控制 | ||
该文件夹,子文件夹及文件 | |||
<不是继承的> |
硬盘或文件夹: c:\documents and settings\all users\application data\microsoft\media index | |||
主要权限部分: | 其他权限部分: | ||
administrators
|
完全控制 |
users
|
读取和运行 |
该文件夹,子文件夹及文件 | 该文件夹,子文件夹及文件 | ||
<不是继承的> | <继承于上一级文件夹> | ||
system
|
完全控制 |
users
|
创建文件/写入数据 创建文件夹/附加数据 写入属性 写入扩展属性 读取权限 |
该文件夹,子文件夹及文件 | 只有该文件夹 | ||
<不是继承的> | <不是继承的> | ||
users
|
创建文件/写入数据 创建文件夹/附加数据 写入属性 写入扩展属性 |
||
只有该子文件夹和文件 | |||
<不是继承的> |
硬盘或文件夹: c:\documents and settings\all users\drm | |||
主要权限部分: | 其他权限部分: | ||
这里需要把guest用户组和iis访问用户组全部禁止
everyone的权限比较特殊,默认安装后已经带了 主要是要把iis访问的用户组加上所有权限都禁止 |
users
|
读取和运行 | |
该文件夹,子文件夹及文件 | |||
<不是继承的> | |||
guests
|
拒绝所有 | ||
该文件夹,子文件夹及文件 | |||
<不是继承的> | |||
guest
|
拒绝所有 | ||
该文件夹,子文件夹及文件 | |||
<不是继承的> | |||
iusr_xxx
或某个虚拟主机用户组 |
拒绝所有 | ||
该文件夹,子文件夹及文件 | |||
<不是继承的> |
硬盘或文件夹: c:\documents and settings\all users\documents (共享文档) | |||
主要权限部分: | 其他权限部分: | ||
administrators
|
完全控制 |
无
|
|
该文件夹,子文件夹及文件 | |||
<不是继承的> | |||
creator owner
|
完全控制 | ||
只有子文件夹及文件 | |||
<不是继承的> | |||
system
|
完全控制 | ||
该文件夹,子文件夹及文件 | |||
<不是继承的> |
硬盘或文件夹: c:\program files | |||
主要权限部分: | 其他权限部分: | ||
administrators
|
完全控制 |
iis_wpg
|
读取和运行 |
该文件夹,子文件夹及文件 | 该文件夹,子文件夹及文件 | ||
<不是继承的> | <不是继承的> | ||
creator owner
|
完全控制 |
iusr_xxx
或某个虚拟主机用户组 |
列出文件夹/读取数据 :拒绝 |
只有子文件夹及文件 | 该文件夹,子文件夹及文件 | ||
<不是继承的> | <不是继承的> | ||
system
|
完全控制 |
iis虚拟主机用户组禁止列目录,可有效防止fso类木马
如果安装了aspjepg和aspupload |
|
该文件夹,子文件夹及文件 | |||
<不是继承的> |
硬盘或文件夹: c:\program files\common files | |||
主要权限部分: | 其他权限部分: | ||
administrators
|
完全控制 |
iis_wpg
|
读取和运行 |
该文件夹,子文件夹及文件 | 该文件夹,子文件夹及文件 | ||
<不是继承的> | <继承于上级目录> | ||
creator owner
|
完全控制 |
users
|
读取和运行 |
只有子文件夹及文件 | 该文件夹,子文件夹及文件 | ||
<不是继承的> | <不是继承的> | ||
system
|
完全控制 |
复合权限,为iis提供快速安全的运行环境
|
|
该文件夹,子文件夹及文件 | |||
<不是继承的> |
硬盘或文件夹: c:\program files\common files\microsoft shared\web server extensions | |||
主要权限部分: | 其他权限部分: | ||
administrators
|
完全控制 |
无
|
|
该文件夹,子文件夹及文件 | |||
<不是继承的> | |||
creator owner
|
完全控制 | ||
只有子文件夹及文件 | |||
<不是继承的> | |||
system
|
完全控制 | ||
该文件夹,子文件夹及文件 | |||
<不是继承的> |
硬盘或文件夹: c:\program files\microsoft sql server\mssql (程序部分默认装在c:盘) | |||
主要权限部分: | 其他权限部分: | ||
administrators
|
完全控制 |
无
|
|
该文件夹,子文件夹及文件 | |||
<不是继承的> |
硬盘或文件夹: e:\program files\microsoft sql server (数据库部分装在e:盘的情况) | |||
主要权限部分: | 其他权限部分: | ||
administrators
|
完全控制 |
无
|
|
该文件夹,子文件夹及文件 | |||
<不是继承的> | |||
creator owner
|
完全控制 | ||
只有子文件夹及文件 | |||
<不是继承的> | |||
system
|
完全控制 | ||
该文件夹,子文件夹及文件 | |||
<不是继承的> |
硬盘或文件夹: e:\program files\microsoft sql server\mssql (数据库部分装在e:盘的情况) | |||
主要权限部分: | 其他权限部分: | ||
administrators
|
完全控制 |
无
|
|
该文件夹,子文件夹及文件 | |||
<不是继承的> |
硬盘或文件夹: c:\program files\internet explorer\iexplore.exe | |||
主要权限部分: | 其他权限部分: | ||
administrators
|
完全控制 |
无
|
|
该文件夹,子文件夹及文件 | |||
<不是继承的> |
硬盘或文件夹: c:\program files\outlook express | |||
主要权限部分: | 其他权限部分: | ||
administrators
|
完全控制 |
无
|
|
该文件夹,子文件夹及文件 | |||
<不是继承的> | |||
creator owner
|
完全控制 | ||
只有子文件夹及文件 | |||
<不是继承的> | |||
system
|
完全控制 | ||
该文件夹,子文件夹及文件 | |||
<不是继承的> |
硬盘或文件夹: c:\program files\powereasy5 (如果装了动易组件的话) | |||
主要权限部分: | 其他权限部分: | ||
administrators
|
完全控制 |
无
|
|
该文件夹,子文件夹及文件 | |||
<不是继承的> | |||
creator owner
|
完全控制 | ||
只有子文件夹及文件 | |||
<不是继承的> | |||
system
|
完全控制 | ||
该文件夹,子文件夹及文件 | |||
<不是继承的> |
硬盘或文件夹: c:\program files\radmin (如果装了radmin远程控制的话) | |||
主要权限部分: | 其他权限部分: | ||
administrators
|
完全控制 |
无
对应的c:\windows\system32里面有两个文件 r_server.exe和admdll.dll 要把users读取运行权限去掉 默认权限只要administrators和system全部权限 |
|
该文件夹,子文件夹及文件 | |||
<不是继承的> | |||
creator owner
|
完全控制 | ||
只有子文件夹及文件 | |||
<不是继承的> | |||
system
|
完全控制 | ||
该文件夹,子文件夹及文件 | |||
<不是继承的> |
硬盘或文件夹: c:\program files\serv-u (如果装了serv-u服务器的话) | |||
主要权限部分: | 其他权限部分: | ||
administrators
|
完全控制 |
无
这里常是提权入侵的一个比较大的漏洞点 一定要按这个方法设置 目录名字根据serv-u版本也可能是 c:\program files\rhinosoft.com\serv-u |
|
|
该文件夹,子文件夹及文件 | ||
<不是继承的> | |||
creator owner
|
完全控制 | ||
只有子文件夹及文件 | |||
<不是继承的> | |||
system
|
完全控制 | ||
该文件夹,子文件夹及文件 | |||
<不是继承的> |
硬盘或文件夹: c:\program files\windows media player | |||
主要权限部分: | 其他权限部分: | ||
administrators
|
完全控制 |
无
|
|
该文件夹,子文件夹及文件 | |||
<不是继承的> | |||
creator owner
|
完全控制 | ||
只有子文件夹及文件 | |||
<不是继承的> | |||
system
|
完全控制 | ||
该文件夹,子文件夹及文件 | |||
<不是继承的> |
硬盘或文件夹: c:\program files\windows nt\accessories | |||
主要权限部分: | 其他权限部分: | ||
administrators
|
完全控制 |
无
|
|
该文件夹,子文件夹及文件 | |||
<不是继承的> | |||
creator owner
|
完全控制 | ||
只有子文件夹及文件 | |||
<不是继承的> | |||
system
|
完全控制 | ||
该文件夹,子文件夹及文件 | |||
<不是继承的> |
硬盘或文件夹: c:\program files\windowsupdate | |||
主要权限部分: | 其他权限部分: | ||
administrators
|
完全控制 |
无
|
|
该文件夹,子文件夹及文件 | |||
<不是继承的> | |||
creator owner
|
完全控制 | ||
只有子文件夹及文件 | |||
<不是继承的> | |||
system
|
完全控制 | ||
该文件夹,子文件夹及文件 | |||
<不是继承的> |
硬盘或文件夹: c:\windows | |||
主要权限部分: | 其他权限部分: | ||
administrators
|
完全控制 |
users
|
读取和运行 |
该文件夹,子文件夹及文件 | 该文件夹,子文件夹及文件 | ||
<不是继承的> | <不是继承的> | ||
creator owner
|
完全控制 | ||
只有子文件夹及文件 | |||
<不是继承的> | |||
system
|
完全控制 | ||
该文件夹,子文件夹及文件 | |||
<不是继承的> |
硬盘或文件夹: c:\windows\repair | |||
主要权限部分: | 其他权限部分: | ||
administrators
|
完全控制 |
iusr_xxx
或某个虚拟主机用户组 |
列出文件夹/读取数据 :拒绝 |
该文件夹,子文件夹及文件 | 该文件夹,子文件夹及文件 | ||
<不是继承的> | <不是继承的> | ||
creator owner
|
完全控制 |
虚拟主机用户访问组拒绝读取,有助于保护系统数据
这里保护的是系统级数据sam |
|
|
只有子文件夹及文件 | ||
<不是继承的> | |||
system
|
完全控制 | ||
该文件夹,子文件夹及文件 | |||
<不是继承的> |
硬盘或文件夹: c:\windows\system32 | |||
主要权限部分: | 其他权限部分: | ||
administrators
|
完全控制 |
users
|
读取和运行 |
该文件夹,子文件夹及文件 | 该文件夹,子文件夹及文件 | ||
<不是继承的> | <不是继承的> | ||
creator owner
|
完全控制 |
iusr_xxx
或某个虚拟主机用户组 |
列出文件夹/读取数据 :拒绝 |
只有子文件夹及文件 | 该文件夹,子文件夹及文件 | ||
<不是继承的> | <不是继承的> | ||
system
|
完全控制 |
虚拟主机用户访问组拒绝读取,有助于保护系统数据
|
|
该文件夹,子文件夹及文件 | |||
<不是继承的> |
硬盘或文件夹: c:\windows\system32\config | |||
主要权限部分: | 其他权限部分: | ||
administrators
|
完全控制 |
users
|
读取和运行 |
该文件夹,子文件夹及文件 | 该文件夹,子文件夹及文件 | ||
<不是继承的> | <不是继承的> | ||
creator owner
|
完全控制 |
iusr_xxx
或某个虚拟主机用户组 |
列出文件夹/读取数据 :拒绝 |
只有子文件夹及文件 | 该文件夹,子文件夹及文件 | ||
<不是继承的> | <继承于上一级目录> | ||
system
|
完全控制 |
虚拟主机用户访问组拒绝读取,有助于保护系统数据
|
|
该文件夹,子文件夹及文件 | |||
<不是继承的> |
硬盘或文件夹: c:\windows\system32\inetsrv\ | |||
主要权限部分: | 其他权限部分: | ||
administrators
|
完全控制 |
users
|
读取和运行 |
该文件夹,子文件夹及文件 | 该文件夹,子文件夹及文件 | ||
<不是继承的> | <不是继承的> | ||
creator owner
|
完全控制 |
iusr_xxx
或某个虚拟主机用户组 |
列出文件夹/读取数据 :拒绝 |
只有子文件夹及文件 | 只有该文件夹 | ||
<不是继承的> | <继承于上一级目录> | ||
system
|
完全控制 |
虚拟主机用户访问组拒绝读取,有助于保护系统数据
|
|
该文件夹,子文件夹及文件 | |||
<不是继承的> |
硬盘或文件夹: c:\windows\system32\inetsrv\asp compiled templates | |||
主要权限部分: | 其他权限部分: | ||
administrators
|
完全控制 |
iis_wpg
|
完全控制 |
该文件夹,子文件夹及文件 | 该文件夹,子文件夹及文件 | ||
<不是继承的> | <不是继承的> | ||
iusr_xxx
或某个虚拟主机用户组 |
列出文件夹/读取数据 :拒绝 | ||
该文件夹,子文件夹及文件 | |||
<继承于上一级目录> | |||
虚拟主机用户访问组拒绝读取,有助于保护系统数据
|
硬盘或文件夹: c:\windows\system32\inetsrv\iisadmpwd | |||
主要权限部分: | 其他权限部分: | ||
administrators
|
完全控制 |
无
|
|
该文件夹,子文件夹及文件 | |||
<不是继承的> | |||
creator owner
|
完全控制 | ||
只有子文件夹及文件 | |||
<不是继承的> | |||
system
|
完全控制 | ||
该文件夹,子文件夹及文件 | |||
<不是继承的> |
硬盘或文件夹: c:\windows\system32\inetsrv\metaback | |||
主要权限部分: | 其他权限部分: | ||
administrators
|
完全控制 |
users
|
读取和运行 |
该文件夹,子文件夹及文件 | 该文件夹,子文件夹及文件 | ||
<不是继承的> | <不是继承的> | ||
creator owner
|
完全控制 |
iusr_xxx
或某个虚拟主机用户组 |
列出文件夹/读取数据 :拒绝 |
只有子文件夹及文件 | 该文件夹,子文件夹及文件 | ||
<不是继承的> | <继承于上一级目录> | ||
system
|
完全控制 |
虚拟主机用户访问组拒绝读取,有助于保护系统数据
|
|
该文件夹,子文件夹及文件 | |||
<不是继承的> |
winwebmail 电子邮局安装后权限举例:目录e:\ | |||
主要权限部分: | 其他权限部分: | ||
administrators
|
完全控制 |
iusr_xxxxxx
这个用户是winwebmail访问web站点专用帐户 |
读取和运行 |
该文件夹,子文件夹及文件 | 该文件夹,子文件夹及文件 | ||
<不是继承的> | <不是继承的> | ||
creator owner
|
完全控制 | ||
只有子文件夹及文件 | |||
<不是继承的> | |||
system
|
完全控制 | ||
该文件夹,子文件夹及文件 | |||
<不是继承的> |
winwebmail 电子邮局安装后权限举例:目录e:\winwebmail | |||
主要权限部分: | 其他权限部分: | ||
administrators
|
完全控制 |
iusr_xxxxxx
winwebmail访问web站点专用帐户 |
读取和运行 |
该文件夹,子文件夹及文件 | 该文件夹,子文件夹及文件 | ||
<继承于e:\> | <继承于e:\> | ||
creator owner
|
完全控制 |
users
|
修改/读取运行/列出文件目录/读取/写入 |
只有子文件夹及文件 | 该文件夹,子文件夹及文件 | ||
<继承于e:\> | <不是继承的> | ||
system
|
完全控制 |
iusr_xxxxxx
winwebmail访问web站点专用帐户 |
修改/读取运行/列出文件目录/读取/写入 |
该文件夹,子文件夹及文件 | 该文件夹,子文件夹及文件 | ||
<继承于e:\> | <不是继承的> | ||
iusr_xxxxxx和iwam_xxxxxx
是winwebmail专用的iis用户和应用程序池用户 单独使用,安全性能高 |
iwam_xxxxxx
winwebmail应用程序池专用帐户 |
修改/读取运行/列出文件目录/读取/写入 | |
该文件夹,子文件夹及文件 | |||
<不是继承的> |
2、服务器安全设置之--系统服务篇(设置完毕需要重新启动)
*除非特殊情况非开不可,下列系统服务要■停止并禁用■:
alerter | |
服务名称:
|
alerter |
显示名称:
|
alerter |
服务描述:
|
通知选定的用户和计算机管理警报。如果服务停止,使用管理警报的程序将不会收到它们。如果此服务被禁用,任何直接依赖它的服务都将不能启动。 |
可执行文件路径:
|
e:\windows\system32\svchost.exe -k localservice |
其他补充:
|
application layer gateway service | |
服务名称:
|
alg |
显示名称:
|
application layer gateway service |
服务描述:
|
为应用程序级协议插件提供支持并启用网络/协议连接。如果此服务被禁用,任何依赖它的服务将无法启动。 |
可执行文件路径:
|
e:\windows\system32\alg.exe |
其他补充:
|
background intelligent transfer service | |
服务名称:
|
bits |
显示名称:
|
background intelligent transfer service |
服务描述:
|
服务描述:利用空闲的网络带宽在后台传输文件。如果服务被停用,例如 windows update 和 msn explorer 的功能将无法自动下载程序和其他信息。如果此服务被禁用,任何依赖它的服务如果没有容错技术以直接通过 ie 传输文件,一旦 bits 被禁用,就可能无法传输文件。 |
可执行文件路径:
|
e:\windows\system32\svchost.exe -k netsvcs |
其他补充:
|
computer browser | |
服务名称:
|
服务名称:browser |
显示名称:
|
显示名称:computer browser |
服务描述:
|
服务描述:维护网络上计算机的更新列表,并将列表提供给计算机指定浏览。如果服务停止,列表不会被更新或维护。如果服务被禁用,任何直接依赖于此服务的服务将无法启动。 |
可执行文件路径:
|
可执行文件路径: e:\windows\system32\svchost.exe -k netsvcs |
其他补充:
|
distributed file system | |
服务名称:
|
dfs |
显示名称:
|
distributed file system |
服务描述:
|
将分散的文件共享合并成一个逻辑名称空间并在局域网或广域网上管理这些逻辑卷。如果这个服务被停止,用户则无法访问文件共享。如果这个服务被禁用,任何依赖它的服务将无法启动。 |
可执行文件路径:
|
e:\windows\system32\dfssvc.exe |
其他补充:
|
help and support | |
服务名称:
|
helpsvc |
显示名称:
|
help and support |
服务描述:
|
启用在此计算机上运行帮助和支持中心。如果停止服务,帮助和支持中心将不可用。如果禁用服务,任何直接依赖于此服务的服务将无法启动。 |
可执行文件路径:
|
e:\windows\system32\svchost.exe -k netsvcs |
其他补充:
|
messenger | |
服务名称:
|
messenger |
显示名称:
|
messenger |
服务描述:
|
传输客户端和服务器之间的 net send 和 警报器服务消息。此服务与 windows messenger 无关。如果服务停止,警报器消息不会被传输。如果服务被禁用,任何直接依赖于此服务的服务将无法启动。 |
可执行文件路径:
|
e:\windows\system32\svchost.exe -k netsvcs |
其他补充:
|
netmeeting remote desktop sharing | |
服务名称:
|
mnmsrvc |
显示名称:
|
netmeeting remote desktop sharing |
服务描述:
|
允许经过授权的用户用 netmeeting 在公司 intranet 上远程访问这台计算机。如果服务被停止,远程桌面共享将不可用。如果服务被禁用,依赖这个服务的任何服务都会无法启动。 |
可执行文件路径:
|
e:\windows\system32\mnmsrvc.exe |
其他补充:
|
print spooler | |
服务名称:
|
spooler |
显示名称:
|
print spooler |
服务描述:
|
管理所有本地和网络打印队列及控制所有打印工作。如果此服务被停用,本地计算机上的打印将不可用。如果此服务被禁用,任何依赖于它的服务将无法启用。 |
可执行文件路径:
|
e:\windows\system32\spoolsv.exe |
其他补充:
|
remote registry | |
服务名称:
|
remoteregistry |
显示名称:
|
remote registry |
服务描述:
|
使远程用户能修改此计算机上的注册表设置。如果此服务被终止,只有此计算机上的用户才能修改注册表。如果此服务被禁用,任何依赖它的服务将无法启动。 |
可执行文件路径:
|
e:\windows\system32\svchost.exe -k regsvc |
其他补充:
|
task scheduler | |
服务名称:
|
schedule |
显示名称:
|
task scheduler |
服务描述:
|
使用户能在此计算机上配置和计划自动任务。如果此服务被终止,这些任务将无法在计划时间里运行。如果此服务被禁用,任何依赖它的服务将无法启动。 |
可执行文件路径:
|
e:\windows\system32\svchost.exe -k netsvcs |
其他补充:
|
tcp/ip netbios helper | |
服务名称:
|
lmhosts |
显示名称:
|
tcp/ip netbios helper |
服务描述:
|
提供 tcp/ip (netbt) 服务上的 netbios 和网络上客户端的 netbios 名称解析的支持,从而使用户能够共享文件、打印和登录到网络。如果此服务被停用,这些功能可能不可用。如果此服务被禁用,任何依赖它的服务将无法启动。 |
可执行文件路径:
|
e:\windows\system32\svchost.exe -k localservice |
其他补充:
|
telnet | |
服务名称:
|
tlntsvr |
显示名称:
|
telnet |
服务描述:
|
允许远程用户登录到此计算机并运行程序,并支持多种 tcp/ip telnet 客户端,包括基于 unix 和 windows 的计算机。如果此服务停止,远程用户就不能访问程序,任何直接依赖于它的服务将会启动失败。 |
可执行文件路径:
|
e:\windows\system32\tlntsvr.exe |
其他补充:
|
workstation | |
服务名称:
|
lanmanworkstation |
显示名称:
|
workstation |
服务描述:
|
创建和维护到远程服务的客户端网络连接。如果服务停止,这些连接将不可用。如果服务被禁用,任何直接依赖于此服务的服务将无法启动。 |
可执行文件路径:
|
e:\windows\system32\svchost.exe -k netsvcs |
其他补充:
|
以上是windows2003server标准服务当中需要停止的服务,作为iis网络服务器,以上服务务必要停止,如果需要ssl证书服务,则设置方法不同
3、服务器安全设置之--组件安全设置篇 (非常重要!!!)
a、卸载wscript.shell 和 shell.application 组件,将下面的代码保存为一个.bat文件执行(分2000和2003系统) | |
windows2000.bat | |
windows2003.bat | |
b、改名不安全组件,需要注意的是组件的名称和clsid都要改,并且要改彻底了,不要照抄,要自己改 | |
【开始→运行→regedit→回车】打开注册表编辑器 然后【编辑→查找→填写shell.application→查找下一个】 用这个方法能找到两个注册表项: {13709620-c279-11ce-a49e-444553540000} 和 shell.application 。 第一步:为了确保万无一失,把这两个注册表项导出来,保存为xxxx.reg 文件。 第二步:比如我们想做这样的更改 13709620-c279-11ce-a49e-444553540000 改名为 13709620-c279-11ce-a49e-444553540001 shell.application 改名为 shell.application_nohack 第三步:那么,就把刚才导出的.reg文件里的内容按上面的对应关系替换掉,然后把修改好的.reg文件导入到注册表中(双击即可),导入了改名后的注册表项之后,别忘记了删除原有的那两个项目。这里需要注意一点,clsid中只能是十个数字和abcdef六个字母。 其实,只要把对应注册表项导出来备份,然后直接改键名就可以了, |
|
改好的例子
建议自己改 应该可一次成功 |
|
老杜评论:
|
wscript.shell 和 shell.application 组件是 脚本入侵过程中,提升权限的重要环节,这两个组件的卸载和修改对应注册键名,可以很大程度的提高虚拟主机的脚本安全性能,一般来说,asp和php类脚本提升权限的功能是无法实现了,再加上一些系统服务、硬盘访问权限、端口过滤、本地安全策略的设置,虚拟主机因该说,安全性能有非常大的提高,黑客入侵的可能性是非常低了。注销了shell组件之后,侵入者运行提升工具的可能性就很小了,但是prel等别的脚本语言也有shell能力,为防万一,还是设置一下为好。下面是另外一种设置,大同小异。 |
一、禁止使用filesystemobject组件
filesystemobject可以对文件进行常规操作,可以通过修改注册表,将此组件改名,来防止此类木马的危害。 也可以将其删除,来防止此类木马的危害。 2000注销此组件命令:regsrv32 /u c:\winnt\system\scrrun.dll 2003注销此组件命令:regsrv32 /u c:\windows\system\scrrun.dll 如何禁止guest用户使用scrrun.dll来防止调用此组件? 使用这个命令:cacls c:\winnt\system32\scrrun.dll /e /d guests 二、禁止使用wscript.shell组件 wscript.shell可以调用系统内核运行dos基本命令 可以通过修改注册表,将此组件改名,来防止此类木马的危害。 hkey_classes_root\wscript.shell\及hkey_classes_root\wscript.shell.1\ 改名为其它的名字,如:改为wscript.shell_changename 或 wscript.shell.1_changename 自己以后调用的时候使用这个就可以正常调用此组件了 也要将clsid值也改一下 hkey_classes_root\wscript.shell\clsid\项目的值 hkey_classes_root\wscript.shell.1\clsid\项目的值 也可以将其删除,来防止此类木马的危害。 三、禁止使用shell.application组件 shell.application可以调用系统内核运行dos基本命令 可以通过修改注册表,将此组件改名,来防止此类木马的危害。 hkey_classes_root\shell.application\ 自己以后调用的时候使用这个就可以正常调用此组件了 也要将clsid值也改一下 hkey_classes_root\shell.application\clsid\项目的值 也可以将其删除,来防止此类木马的危害。 禁止guest用户使用shell32.dll来防止调用此组件。 2000使用命令:cacls c:\winnt\system32\shell32.dll /e /d guests 四、调用cmd.exe 禁用guests组用户调用cmd.exe 通过以上四步的设置基本可以防范目前比较流行的几种木马,但最有效的办法还是通过综合安全设置,将服务器、程序安全都达到一定标准,才可能将安全等级设置较高,防范更多非法入侵。 | |
c、防止serv-u权限提升 (适用于 serv-u6.0 以前版本,之后可以直接设置密码) | |
先停掉serv-u服务 另外注意设置serv-u所在的文件夹的权限,不要让iis匿名用户有读取的权限,否则人家下走你修改过的文件,照样可以分析出你的管理员名和密码。 |
|
(可以测试组件安全性) |
4、服务器安全设置之--iis用户设置方法
iis安全访问的例子
iis基本设置 | |
这里举例4个不同类型脚本的虚拟主机 权限设置例子
主机头
|
主机脚本
|
硬盘目录
|
iis用户名
|
硬盘权限
|
应用程序池
|
主目录
|
应用程序配置
|
www.1.com
|
htm
|
d:\www.1.com\
|
iusr_1.com
|
administrators(完全控制)
iusr_1.com(读) |
可共用
|
读取/纯脚本
|
启用父路径
|
www.2.com
|
asp
|
d:\www.2.com\
|
iusr_1.com
|
administrators(完全控制)
iusr_2.com(读/写) |
可共用
|
读取/纯脚本
|
启用父路径
|
www.3.com
|
net
|
d:\www.3.com\
|
iusr_1.com
|
administrators(完全控制)
iwam_3.com(读/写) iusr_3.com(读/写) |
独立池
|
读取/纯脚本
|
启用父路径
|
www.4.com
|
php
|
d:\www.4.com\
|
iusr_1.com
|
administrators(完全控制)
iwam_4.com(读/写) iusr_4.com(读/写) |
独立池
|
读取/纯脚本
|
启用父路径
|
其中 iwam_3.com 和 iwam_4.com 分别是各自独立应用程序池标识中的启动帐户
|
主机脚本类型
|
应用程序扩展名 (就是文件后缀名)对应主机脚本,只需要加载以下的应用程序扩展 |
htm
|
stm | shtm | shtml | mdb |
asp
|
asp | asa | mdb |
net
|
aspx | asax | ascx| ashx | asmx | axd | vsdisco | rem | soap | config | cs |csproj | vb | vbproj | webinfo | licx | resx | resources | mdb |
php
|
php | php3 | php4 |
mdb是共用映射,下面用红色表示
应用程序扩展
|
映射文件 | 执行动作 |
stm=.stm
|
c:\windows\system32\inetsrv\ssinc.dll | get,post |
shtm=.shtm
|
c:\windows\system32\inetsrv\ssinc.dll | get,post |
shtml=.shtml
|
c:\windows\system32\inetsrv\ssinc.dll | get,post |
asp=.asp
|
c:\windows\system32\inetsrv\asp.dll | get,head,post,trace |
asa=.asa
|
c:\windows\system32\inetsrv\asp.dll | get,head,post,trace |
aspx=.aspx
|
c:\windows\microsoft.net\framework\v1.1.4322\aspnet_isapi.dll | get,head,post,debug |
asax=.asax
|
c:\windows\microsoft.net\framework\v1.1.4322\aspnet_isapi.dll | get,head,post,debug |
ascx=.ascx
|
c:\windows\microsoft.net\framework\v1.1.4322\aspnet_isapi.dll | get,head,post,debug |
ashx=.ashx
|
c:\windows\microsoft.net\framework\v1.1.4322\aspnet_isapi.dll | get,head,post,debug |
asmx=.asmx
|
c:\windows\microsoft.net\framework\v1.1.4322\aspnet_isapi.dll | get,head,post,debug |
axd=.axd
|
c:\windows\microsoft.net\framework\v1.1.4322\aspnet_isapi.dll | get,head,post,debug |
vsdisco=.vsdisco
|
c:\windows\microsoft.net\framework\v1.1.4322\aspnet_isapi.dll | get,head,post,debug |
rem=.rem
|
c:\windows\microsoft.net\framework\v1.1.4322\aspnet_isapi.dll | get,head,post,debug |
soap=.soap
|
c:\windows\microsoft.net\framework\v1.1.4322\aspnet_isapi.dll | get,head,post,debug |
config=.config
|
c:\windows\microsoft.net\framework\v1.1.4322\aspnet_isapi.dll | get,head,post,debug |
cs=.cs
|
c:\windows\microsoft.net\framework\v1.1.4322\aspnet_isapi.dll | get,head,post,debug |
csproj=.csproj
|
c:\windows\microsoft.net\framework\v1.1.4322\aspnet_isapi.dll | get,head,post,debug |
vb=.vb
|
c:\windows\microsoft.net\framework\v1.1.4322\aspnet_isapi.dll | get,head,post,debug |
vbproj=.vbproj
|
c:\windows\microsoft.net\framework\v1.1.4322\aspnet_isapi.dll | get,head,post,debug |
webinfo=.webinfo
|
c:\windows\microsoft.net\framework\v1.1.4322\aspnet_isapi.dll | get,head,post,debug |
licx=.licx
|
c:\windows\microsoft.net\framework\v1.1.4322\aspnet_isapi.dll | get,head,post,debug |
resx=.resx
|
c:\windows\microsoft.net\framework\v1.1.4322\aspnet_isapi.dll | get,head,post,debug |
resources=.resources
|
c:\windows\microsoft.net\framework\v1.1.4322\aspnet_isapi.dll | get,head,post,debug |
php=.php
|
c:\php5\php5isapi.dll | get,head,post |
php3=.php3
|
c:\php5\php5isapi.dll | get,head,post |
php4=.php4
|
c:\php5\php5isapi.dll | get,head,post |
mdb=.mdb
|
c:\windows\system32\inetsrv\ssinc.dll | get,post |
asp.net 进程帐户所需的 ntfs 权限
目录 | 所需权限 |
temporary asp.net files%windir%\microsoft.net\framework\{版本}temporary asp.net files |
进程帐户和模拟标识: |
临时目录 (%temp%) |
进程帐户 |
.net framework 目录%windir%\microsoft.net\framework\{版本} |
进程帐户和模拟标识: |
.net framework 配置目录%windir%\microsoft.net\framework\{版本}\config |
进程帐户和模拟标识: |
网站根目录 |
进程帐户: |
系统根目录 |
进程帐户: |
全局程序集高速缓存 |
进程帐户和模拟标识: |
内容目录 |
进程帐户: |
5、 服务器安全设置之--服务器安全和性能配置
把下面文本保存为: windows2000-2003服务器安全和性能注册表自动配置文件.reg 运行即可。
|
功能:可抵御ddos攻击2-3万包,提高服务器tcp-ip整体安全性能(效果等于软件防火墙,节约了系统资源)
|
6、服务器安全设置之--ip安全策略 (仅仅列出需要屏蔽或阻止的端口或协议)
协议
|
ip协议端口
|
源地址
|
目标地址
|
描述
|
方式
|
icmp | -- | -- | -- |
icmp
|
阻止
|
udp
|
135
|
任何ip地址
|
我的ip地址
|
135-udp
|
阻止
|
udp
|
136
|
任何ip地址
|
我的ip地址
|
136-udp
|
阻止
|
udp
|
137
|
任何ip地址
|
我的ip地址
|
137-udp
|
阻止
|
udp
|
138
|
任何ip地址
|
我的ip地址
|
138-udp
|
阻止
|
udp
|
139
|
任何ip地址
|
我的ip地址
|
139-udp
|
阻止
|
tcp
|
445
|
任何ip地址-从任意端口
|
我的ip地址-445
|
445-tcp
|
阻止
|
udp
|
445 |
任何ip地址-从任意端口
|
我的ip地址-445
|
445-udp
|
阻止
|
udp | 69 | 任何ip地址-从任意端口 | 我的ip地址-69 |
69-入
|
阻止
|
udp | 69 | 我的ip地址-69 | 任何ip地址-任意端口 | 69-出 |
阻止
|
tcp | 4444 | 任何ip地址-从任意端口 | 我的ip地址-4444 | 4444-tcp |
阻止
|
tcp | 1026 | 我的ip地址-1026 | 任何ip地址-任意端口 | 灰鸽子-1026 |
阻止
|
tcp | 1027 | 我的ip地址-1027 | 任何ip地址-任意端口 | 灰鸽子-1027 |
阻止
|
tcp | 1028 | 我的ip地址-1028 | 任何ip地址-任意端口 | 灰鸽子-1028 |
阻止
|
udp
|
1026 | 我的ip地址-1026 | 任何ip地址-任意端口 | 灰鸽子-1026 |
阻止
|
udp | 1027 | 我的ip地址-1027 | 任何ip地址-任意端口 | 灰鸽子-1027 |
阻止
|
udp | 1028 | 我的ip地址-1028 | 任何ip地址-任意端口 | 灰鸽子-1028 |
阻止
|
tcp | 21 | 我的ip地址-从任意端口 | 任何ip地址-到21端口 | 阻止tftp出站 |
阻止
|
tcp | 99 | 我的ip地址-99 | 任何ip地址-任意端口 | 阻止99shell |
阻止
|
以上是ip安全策略里的设置,可以根据实际情况,增加或删除端口
7、服务器安全设置之--本地安全策略设置
安全策略自动更新命令:gpupdate /force (应用组策略自动生效不需重新启动)
开始菜单—>管理工具—>本地安全策略
a、本地策略——>审核策略
审核策略更改 成功 失败
审核登录事件 成功 失败
审核对象访问 失败
审核过程跟踪 无审核
审核目录服务访问 失败
审核特权使用 失败
审核系统事件 成功 失败
审核账户登录事件 成功 失败
审核账户管理 成功 失败
b、本地策略——>用户权限分配
关闭系统:只有administrators组、其它全部删除。
通过终端服务拒绝登陆:加入guests、user组
通过终端服务允许登陆:只加入administrators组,其他全部删除
c、本地策略——>安全选项
交互式登陆:不显示上次的用户名 启用
网络访问:不允许sam帐户和共享的匿名枚举 启用
网络访问:不允许为网络身份验证储存凭证 启用
网络访问:可匿名访问的共享 全部删除
网络访问:可匿名访问的命 全部删除
网络访问:可远程访问的注册表路径 全部删除
网络访问:可远程访问的注册表路径和子路径 全部删除
帐户:重命名来宾帐户 重命名一个帐户
帐户:重命名系统管理员帐户 重命名一个帐户
ui 中的设置名称 | 企业客户端台式计算机 | 企业客户端便携式计算机 | 高安全级台式计算机 | 高安全级便携式计算机 |
帐户: 使用空白密码的本地帐户只允许进行控制台登录 |
已启用 |
已启用 |
已启用 |
已启用 |
帐户: 重命名系统管理员帐户 |
推荐 |
推荐 |
推荐 |
推荐 |
帐户: 重命名来宾帐户 |
推荐 |
推荐 |
推荐 |
推荐 |
设备: 允许不登录移除 |
已禁用 |
已启用 |
已禁用 |
已禁用 |
设备: 允许格式化和弹出可移动媒体 |
administrators, interactive users |
administrators, interactive users |
administrators |
administrators |
设备: 防止用户安装打印机驱动程序 |
已启用 |
已禁用 |
已启用 |
已禁用 |
设备: 只有本地登录的用户才能访问 cd-rom |
已禁用 |
已禁用 |
已启用 |
已启用 |
设备: 只有本地登录的用户才能访问软盘 |
已启用 |
已启用 |
已启用 |
已启用 |
设备: 未签名驱动程序的安装操作 |
允许安装但发出警告 |
允许安装但发出警告 |
禁止安装 |
禁止安装 |
域成员: 需要强 (windows 2000 或以上版本) 会话密钥 |
已启用 |
已启用 |
已启用 |
已启用 |
交互式登录: 不显示上次的用户名 |
已启用 |
已启用 |
已启用 |
已启用 |
交互式登录: 不需要按 ctrl+alt+del |
已禁用 |
已禁用 |
已禁用 |
已禁用 |
交互式登录: 用户试图登录时消息文字 |
此系统限制为仅授权用户。尝试进行未经授权访问的个人将受到起诉。 |
此系统限制为仅授权用户。尝试进行未经授权访问的个人将受到起诉。 |
此系统限制为仅授权用户。尝试进行未经授权访问的个人将受到起诉。 |
此系统限制为仅授权用户。尝试进行未经授权访问的个人将受到起诉。 |
交互式登录: 用户试图登录时消息标题 |
继续在没有适当授权的情况下使用是违法行为。 |
继续在没有适当授权的情况下使用是违法行为。 |
继续在没有适当授权的情况下使用是违法行为。 |
继续在没有适当授权的情况下使用是违法行为。 |
交互式登录: 可被缓存的前次登录个数 (在域控制器不可用的情况下) |
2 |
2 |
0 |
1 |
交互式登录: 在密码到期前提示用户更改密码 |
14 天 |
14 天 |
14 天 |
14 天 |
交互式登录: 要求域控制器身份验证以解锁工作站 |
已禁用 |
已禁用 |
已启用 |
已禁用 |
交互式登录: 智能卡移除操作 |
锁定工作站 |
锁定工作站 |
锁定工作站 |
锁定工作站 |
microsoft 网络客户: 数字签名的通信(若服务器同意) |
已启用 |
已启用 |
已启用 |
已启用 |
microsoft 网络客户: 发送未加密的密码到第三方 smb 服务器。 |
已禁用 |
已禁用 |
已禁用 |
已禁用 |
microsoft 网络服务器: 在挂起会话之前所需的空闲时间 |
15 分钟 |
15 分钟 |
15 分钟 |
15 分钟 |
microsoft 网络服务器: 数字签名的通信(总是) |
已启用 |
已启用 |
已启用 |
已启用 |
microsoft 网络服务器: 数字签名的通信(若客户同意) |
已启用 |
已启用 |
已启用 |
已启用 |
microsoft 网络服务器: 当登录时间用完时自动注销用户 |
已启用 |
已禁用 |
已启用 |
已禁用 |
网络访问: 允许匿名 sid/名称 转换 |
已禁用 |
已禁用 |
已禁用 |
已禁用 |
网络访问: 不允许 sam 帐户和共享的匿名枚举 |
已启用 |
已启用 |
已启用 |
已启用 |
网络访问: 不允许 sam 帐户和共享的匿名枚举 |
已启用 |
已启用 |
已启用 |
已启用 |
网络访问: 不允许为网络身份验证储存凭据或 .net passports |
已启用 |
已启用 |
已启用 |
已启用 |
网络访问: 限制匿名访问命名管道和共享 |
已启用 |
已启用 |
已启用 |
已启用 |
网络访问: 本地帐户的共享和安全模式 |
经典 - 本地用户以自己的身份验证 |
经典 - 本地用户以自己的身份验证 |
经典 - 本地用户以自己的身份验证 |
经典 - 本地用户以自己的身份验证 |
网络安全: 不要在下次更改密码时存储 lan manager 的哈希值 |
已启用 |
已启用 |
已启用 |
已启用 |
网络安全: 在超过登录时间后强制注销 |
已启用 |
已禁用 |
已启用 |
已禁用 |
网络安全: lan manager 身份验证级别 |
仅发送 ntlmv2 响应 |
仅发送 ntlmv2 响应 |
仅发送 ntlmv2 响应\拒绝 lm & ntlm |
仅发送 ntlmv2 响应\拒绝 lm & ntlm |
网络安全: 基于 ntlm ssp(包括安全 rpc)客户的最小会话安全 |
没有最小 |
没有最小 |
要求 ntlmv2 会话安全 要求 128-位加密 |
要求 ntlmv2 会话安全 要求 128-位加密 |
网络安全: 基于 ntlm ssp(包括安全 rpc)服务器的最小会话安全 |
没有最小 |
没有最小 |
要求 ntlmv2 会话安全 要求 128-位加密 |
要求 ntlmv2 会话安全 要求 128-位加密 |
故障恢复控制台: 允许自动系统管理级登录 |
已禁用 |
已禁用 |
已禁用 |
已禁用 |
故障恢复控制台: 允许对所有驱动器和文件夹进行软盘复制和访问 |
已启用 |
已启用 |
已禁用 |
已禁用 |
关机: 允许在未登录前关机 |
已禁用 |
已禁用 |
已禁用 |
已禁用 |
关机: 清理虚拟内存页面文件 |
已禁用 |
已禁用 |
已启用 |
已启用 |
系统加密: 使用 fips 兼容的算法来加密,哈希和签名 |
已禁用 |
已禁用 |
已禁用 |
已禁用 |
系统对象: 由管理员 (administrators) 组成员所创建的对象默认所有者 |
对象创建者 |
对象创建者 |
对象创建者 |
对象创建者 |
系统设置: 为软件限制策略对 windows 可执行文件使用证书规则 |
已禁用 |
已禁用 |
已禁用 |
已禁用 |
8、防御php木马攻击的技巧
php本身再老版本有一些问题,比如在 php4.3.10和php5.0.3以前有一些比较严重的bug,所以推荐使用新版。另外,目前闹的轰轰烈烈的sql injection也是在php上有很多利用方式,所以要保证 (1) 打开php的安全模式 (2) 用户组安全 (3) 安全模式下执行程序主目录 (4) 安全模式下包含文件 (5) 控制php脚本能访问的目录 (6) 关闭危险函数 (7) 关闭php版本信息在http头中的泄漏 (8) 关闭注册全局变量 (9) 打开magic_quotes_gpc来防止sql注入 (10) 错误信息控制 (11) 错误日志
新建立一个用户比如mysqlstart net user mysqlstart ****microsoft /add net localgroup users mysqlstart /del 不属于任何组 如果mysql装在d:\mysql ,那么,给 mysqlstart 完全控制 的权限 然后在系统服务中设置,mysql的服务属性,在登录属性当中,选择此用户 mysqlstart 然后输入密码,确定。 重新启动 mysql服务,然后mysql就运行在低权限下了。 如果是在windos平台下搭建的apache我们还需要注意一点,apache默认运行是system权限, net user apache ****microsoft /add net localgroup users apache /del ok.我们建立了一个不属于任何组的用户apche。 我们打开计算机管理器,选服务,点apache服务的属性,我们选择log on,选择this account,我们填入上面所建立的账户和密码, 实际上我们还可以通过设置各个文件夹的权限,来让apache用户只能执行我们想让它能干的事情,给每一个目录建立一个单独能读写的用户。 |
|
9、mssql安全设置
sql2000安全很重要
|
删除了调用shell,注册表,com组件的破坏权限 use master 全部复制到"sql查询分析器" 点击菜单上的--"查询"--"执行",就会将有安全问题的sql过程删除(以上是7i24的正版用户的技术支持) 更改默认sa空密码.数据库链接不要使用sa帐户.单数据库单独设使用帐户.只给public和db_owner权限. 数据库不要放在默认的位置. sql不要安装在program file目录下面. 最近的sql2000补丁是sp4 |
|
10、启用windows自带的防火墙
启用win防火墙
|
桌面—>网上邻居—>(右键)属性—>本地连接—>(右键)属性—>高级—> 一般需要打开的端口有:21、 25、 80、 110、 443、 3389、 等,根据需要开放需要的端口。 |
11、用户安全设置
用户安全设置
|
用户安全设置 1、禁用guest账号 在计算机管理的用户里面把guest账号禁用。为了保险起见,最好给guest加一个复杂的密码。你可以打开记事本,在里面输入一串包含特殊字符、数字、字母的长字符串,然后把它作为guest用户的密码拷进去。 2、限制不必要的用户 去掉所有的duplicate user用户、测试用户、共享用户等等。用户组策略设置相应权限,并且经常检查系统的用户,删除已经不再使用的用户。这些用户很多时候都是黑客们入侵系统的突破口。 3、创建两个管理员账号 创建一个一般权限用户用来收信以及处理一些日常事物,另一个拥有administrators 权限的用户只在需要的时候使用。 4、把系统administrator账号改名 大家都知道,windows 2000 的administrator用户是不能被停用的,这意味着别人可以一遍又一遍地尝试这个用户的密码。尽量把它伪装成普通用户,比如改成guesycludx。 5、创建一个陷阱用户 什么是陷阱用户?即创建一个名为“administrator”的本地用户,把它的权限设置成最低,什么事也干不了的那种,并且加上一个超过10位的超级复杂密码。这样可以让那些 hacker们忙上一段时间,借此发现它们的入侵企图。 6、把共享文件的权限从everyone组改成授权用户 任何时候都不要把共享文件的用户设置成“everyone”组,包括打印共享,默认的属性就是“everyone”组的,一定不要忘了改。 7、开启用户策略 使用用户策略,分别设置复位用户锁定计数器时间为20分钟,用户锁定时间为20分钟,用户锁定阈值为3次。 8、不让系统显示上次登录的用户名 默认情况下,登录对话框中会显示上次登录的用户名。这使得别人可以很容易地得到系统的一些用户名,进而做密码猜测。修改注册表可以不让对话框里显示上次登录的用户名。方法为:打开注册表编辑器并找到注册表项“hklmsoftwaremicrosoftwindows tcurrentversionwinlogondont-displaylastusername”,把reg_sz的键值改成1。 密码安全设置 1、使用安全密码 一些公司的管理员创建账号的时候往往用公司名、计算机名做用户名,然后又把这些用户的密码设置得太简单,比如“welcome”等等。因此,要注意密码的复杂性,还要记住经常改密码。 2、设置屏幕保护密码 这是一个很简单也很有必要的操作。设置屏幕保护密码也是防止内部人员破坏服务器的一个屏障。 3、开启密码策略 注意应用密码策略,如启用密码复杂性要求,设置密码长度最小值为6位 ,设置强制密码历史为5次,时间为42天。 4、考虑使用智能卡来代替密码 对于密码,总是使安全管理员进退两难,密码设置简单容易受到黑客的攻击,密码设置复杂又容易忘记。如果条件允许,用智能卡来代替复杂的密码是一个很好的解决方法。 |
12、windows2003 下安装 winwebmail 3.6.3.1 完全攻略手册
这段时间论坛上有朋友提及无法在windows2003+iis6下面建立winwebmail邮件,遇到不一些问题,特意将这篇旧文重新发一次给大家 1)查看硬盘:两块9.1g scsi 硬盘(实容量8.46*2) 2)分区 3)安装windows server 2003 4)打基本补丁(防毒)...在这之前一定不要接网线! 5)在线打补丁 6)卸载或禁用微软的smtp服务(simple mail transpor protocol),否则会发生端口冲突 7)安装winwebmail,然后重启服务器使winwebmail完成安装.并注册.然后恢复winwebmail数据. 8)安装norton 8.0并按winwebmail帮助内容设定,使norton与winwebmail联合起到邮件杀毒作用(将norton更新到最新的病毒库) 9)将winwebmail的dns设置为win2k3中网络设置的dns,切记,要想发的出去最好设置一个不同的备用dns地址,对外发信的就全靠这些dns地址了 10)给予安装 winwebmail 的盘符以及父目录以 internet 来宾帐户 (iusr_*) 允许 [读取\运行\列出文件夹目录] 的权限. 11)防止外发垃圾邮件: 12)打开iis 6.0, 确认启用支持 asp 功能, 然后在默认站点下建一个虚拟目录(如: mail), 然后指向安装 winwebmail 目录下的 \web 子目录, 打开浏览器就可以按下面的地址访问webmail了: 13)web基本设置: 13.3.解决server 2003不能上传大附件的问题: 13.4.解决server 2003无法下载超过4m的附件的问题 13.5.解决大附件上传容易超时失败的问题. 13.6.解决windows 2003的iis 6.0中,web登录时经常出现"[超时,请重试]"的提示. 13.7.解决通过webmail写信时间较长后,按下发信按钮就会回到系统登录界面的问题. 13.8.安装后查看winwebmail的安装目录下有没有 \temp 目录,如没有,手工建立一个. 14)做邮件收发及10m附件测试(内对外,内对内,外对内). 15)打开2003自带防火墙,并打开pop3.smtp.web.远程桌面.充许此4项服务, ok, 如果想用imap4或ssl的smtp.pop3.imap4也需要打开相应的端口. 16)再次做邮件收发测试(内对外,内对内,外对内). 17)改名、加强壮口令,并禁用guest帐号。 18)改名超级用户、建立假administrator、建立第二个超级用户。 都搞定了!忙了半天, 现在终于可以来享受一把 winwebmail 的超强 webmail 功能了, let's go! |
13、iis+php+mysql+zend optimizer+gd库+phpmyadmin安装配置[完整修正实用版] 转来的,非原创
iis+php+mysql+zend optimizer+gd库+phpmyadmin安装配置[完整修正实用版]
|
iis+php+mysql+zend optimizer+gd库+phpmyadmin安装配置[完整修正实用版] [补充]关于参照本贴配置这使用中使用的相关问题请参考 一、软件准备:以下均为截止2006-1-20的最新正式版本,下载地址也均长期有效 1.php,推荐php4.4.0的zip解压版本: 2.mysql,配合php4推荐mysql4.0.26的win系统安装版本: 3.zend optimizer,当然选择当前最新版本拉: 4.phpmyadmin 假设 c:\ 为你现在所使用操作系统的系统盘,如果你目前操作系统不是安装在 c:\ ,请自行对应修改相应路径。同时由于c盘经常会因为各种原因重装系统,数据放在该盘不易备份和转移 选择安装目录,故本文将所有php相关软件均安装到d:\php目录下,这个路径你可以自行设定,如果你安装到不同目录涉及到路径的请对应修改以下的对应路径即可 二、安装 php :本文php安装路径取为d:\php\php4\(为避混淆,php5.1.x版本安装路径取为d:\php\php5\) (1)、下载后得到 php-4.4.0-win32.zip ,解压至d:\php目录,将得到二级目录php-4.4.0-win32,改名为 php4, (2)、再将d:\php\php4目录和d:\php\php4\dlls目录 (3)、将php.ini-dist用记事本打开,利用记事本的查找功能搜索并修改: 搜索 register_globals = off 将 off 改成 on ,即得到 register_globals = on 注:这个对应php的全局变量功能,考虑有很多php程序需要全局变量功能故打开,打开后请注意-php程序的严谨性,如果不需要推荐不修改保持默认off状态 搜索 extension_dir = 这个是php扩展功能目录 并将其路径指到你的 php 目录下的 extensions 目录,比如: 修改 extension_dir = "./" 为 extension_dir = "d:/php/php4/extensions/" [php5对应修改为 extension_dir = "d:/php/php5/ext/" ] 在d:\php 下建立文件夹并命名为 tmp 查找 upload_tmp_dir = 将 ;upload_tmp_dir 该行的注释符,即前面的分号" ;”去掉, 使该行在php.ini文档中起作用。upload_tmp_dir是用来定义上传文件存放的临时路径,在这里你还可以修改并给其定义一个绝对路径,这里设置的目录必须有读写权限。 这里我设置为 upload_tmp_dir = d:/php/tmp (即前面建立的这个文件夹呵) 搜索 ; windows extensions 将下面一些常用的项前面的 ; 去掉 ,红色的必须,蓝色的供选择 ;extension=php_mbstring.dll ;extension=php_curl.dll ;extension=php_dbase.dll ;extension=php_gd2.dll ;extension=php_zip.dll 查找 ;session.save_path = 去掉前面 ; 号,本文这里将其设置置为 session.save_path = d:/php/tmp 其他的你可以选择需要的去掉前面的; 一些朋友经常反映无法上传较大的文件或者运行某些程序经常超时,那么可以找到c:\windows ( windows 2000 下为 c:\winnt)目录下的php.ini以下内容修改: max_execution_time = 30 ; 这个是每个脚本运行的最长时间,可以自己修改加长,单位秒 (4)、配置 iis 使其支持 php : 首先必须确定系统中已经正确安装 iis ,如果没有安装,需要先安装 iis ,安装步骤如下: 用 administrator 帐号登陆系统,将 windows 2000 安装光盘插入光盘驱动器,进入“控制面板”点击“添加/删除程序”,再点击左侧的“添加/删除 windows 组件”,在弹出的窗口中选择“internet 信息服务(iis)”,点下面的“详细信息”按钮,选择组件,以下组件是必须的:“internet 服务管理器”、“world wide web 服务器”和“公用文件”,确定安装。 安装完毕后,在“控制面板”的“管理工具”里打开“服务”,检查“iis admin service”和“world wide web publishing service”两项服务,如果没有启动,将其启动即可。 windows 2003 下的 iis 安装: 由于 windows 2003 的 iis 6.0 集成在应用程序服务器中,因此安装应用程序服务器就会默认安装 iis 6.0 ,在“开始”菜单中点击“配置您的服务器”,在打开的“配置您的服务器向导”里左侧选择“应用程序服务器(iis,asp.net)”,单击“下一步”出现“应用程序服务器选项”,你可以选择和应用程序服务器一起安装的组件,默认全选即可,单击“下一步”,出现“选择总结界面”,提示了本次安装中的选项,配置程序将自动按照“选择总结”中的选项进行安装和配置。 打开浏览器,输入:,看到成功页面后进行下面的操作: php 支持 cgi 和 isapi 两种安装模式,cgi 更消耗资源,容易因为超时而没有反映,但是实际上比较安全,负载能力强,节省资源,但是安全性略差于cgi,本人推荐使用 isapi 模式。故这里只解介绍 isapi 模式安装方法:(以下的截图因各个系统不同,窗口界面可能不同,但对应选项卡栏目是相同的,只需找到提到的对应选项卡即可) 在“控制面板”的“管理工具”中选择“internet 服务管理器”,打开 iis 后停止服务,对于win2000系统在”internet 服务管理器“的下级树一般为你的”计算机名“上单击右键选择“属性”,再在属性页面选择主属性”www 服务“右边的”编辑“ 对于xp/2003系统展开”internet 服务管理器“的下级树一般为你的”计算机名“选择”网站“并单击右键选择“属性” 在弹出的属性窗口上选择“isapi 筛选器”选项卡找到并点击“添加”按钮,在弹出的“筛选器属性”窗口中的“筛选器名称”栏中输入: php ,再将浏览可执行文件使路径指向 php4isapi.dll 所在路径, 打开“站点属性”窗口的“主目录”选项卡,找到并点击“配置”按钮 在弹出的“应用程序配置”窗口中的”应用程序映射“选项卡找到并点击“添加”按钮新增一个扩展名映射,在弹出的窗口中单击“浏览”将可执行文件指向 php4isapi.dll 所在路径,如本文中为:d:\php\php4\sapi\php4isapi.dll[php5对应路径为d:\php\php5\php5isapi.dll],扩展名为 .php ,动作限于”get,head,post,trace“,将“脚本引擎”“确认文件是否存在”选中,然后一路确定即可。如果还想支持诸如 .php3 ,.phtml 等扩展名的 php 文件,可以重复“添加”步骤,对应扩展名设置为需要的即可如.phpx。 此步操作将使你服务器iis下的所有站点都支持你所添加的php扩展文件,当然如果你只需要部分站点支持php,只需要在“你需要支持php的web站点”比如“默认web站点”上单击右键选择“属性”,在打开的“ web 站点属性”“主目录”选项卡,编辑或者添加php的扩展名映射即可或者将你步需要支持php的站点中的php扩展映射删除即可 再打开“站点属性”窗口的“文档”选项卡,找到并点击“添加”按钮,向默认的 web 站点启动文档列表中添加 index.php 项。您可以将 index.php 升到最高优先级,这样,访问站点时就会首先自动寻找并打开 index.php 文档。 确定 web 目录的应用程序设置和执行许可中选择为纯脚本,然后关闭 internet 信息服务管理器 完成所有操作后,重新启动iis服务。 net stop w3svc 到此,php的基本安装已经完成,我们已经使网站支持php脚本。 <?php
或者利用php探针检测下载后解压到你的站点根目录下并访问即可 三、安装 mysql : 对于mysql4.0.26下载得到的是mysql-4.0.26-win32.zip,解压到mysql-4.0.26-win32目录双击执行 setup.exe 一路next下一步,选择安装目录为d:\php\mysql和安装方式为custom自定义安装,再一路next下一步即可。 安装完毕后,在cmd命令行中输入并运行: d:\php\mysql\bin\mysqld-nt -install [myisamchk] [winmysqladmin] 如果你下载的是 mysql5.x或者mysql4.1.x,例mysql-5.0.18-win32:解压后双击执行 setup.exe ,next下一步后选择custom自定义安装,再next下一步选择安装路径这里我们选择d:\php\mysql,继续next下一步跳过sign up完成安装。 安装完成后会提示你是不是立即进行配置,选择是即可进行配置。当然一般安装后菜单里面也有配置向导mysql server instance config wizar,运行后按下面步骤配置并设置root密码即可 next下一步,钩选include .. path next下一步,设置root密码,建议社设置复杂点,确保服务器安全! apply完成后将在d:\php\mysql目录下生成my.ini配置文件,添加并启动mysql服务 如果你的mysql安装出错,并且卸载重装仍无法解决,这里提供一个小工具系统服务管理器,用于卸载后删除存在的mysql服务,重起后再按上述说明进行安装一般即可成功安装 四、安装 zend optimizer : 下载后得到 zendoptimizer-2.6.2-windows-i386.exe ,直接双击安装即可,安装过程要你选择 web server 时,选择 iis ,然后提示你是否 restart web server,选择是,完成安装之前提示是否备份 php.ini ,点确定后安装完成。我这里安装到d:\php\zend 以下两步的目录根据你自己的默认web站点目录来选,当然也可以选择到d:\php\zend目录 zend optimizer 的安装向导会自动根据你的选择来修改 php.ini 帮助你启动这个引擎。下面简单介绍一下 zend optimizer 的配置选项。以下为本人安装完成后 php.ini 里的默认配置代码(分号后面的内容为注释): 调用phpinfo()函数后显示: 五.安装gd库 这一步在前面php.ini配置中去掉“;extension=php_gd2.dll”前面的;实际上已经安装好了~ 六、安装 phpmyadmin 下载得到 phpmyadmin-2.7.0.zip (如果需要这个版本可以找我qq:4615825 3300073), 并在iis中建立新站点或者虚拟目录指向该目录以便通过web地址访问, 这里建立默认站点的phpmyadmin虚拟目录指向d:\php\phpmyadmin目录通过访问 找到并打开d:\php\phpmyadmin目录下的 config.default.php ,做以下修改: 查找 $cfg['pmaabsoluteuri'] 查找 $cfg['blowfish_secret'] = 设置cookies加密密匙,如xqin.com则设置为$cfg['blowfish_secret'] = 'xqin.com'; 查找 $cfg['servers'][$i]['auth_type'] = , 打开浏览器,输入: ,若 iis 和 mysql 均已启动,输入用户root密码xqin.com(如没有设置密码则密码留空)即可进入phpmyadmin数据库管理。 六、目录结构以及mtfs格式下安全的目录权限设置: d:\php d:\php 设置为 administrators和system完全权限 即可,其他用户均无权限 七、优化: 参见 |
14、一般故障解决
一般网站最容易发生的故障的解决方法
1.出现提示网页无法显示,500错误的时候,又没有详细的提示信息 以下是解决500错误的方法。请复制以下信息并保存为: 解决iis6.0的(asp不能访问)请求的资源在使用中的办法.bat 然后在服务器上执行一下,你的asp就又可以正常运行了。
|
下一篇: Linux关机时执行指定脚本功能实现