WindowsServer2003+IIS6+ASP+NET+PHP+MSSQL+MYSQL配置说明 |备份于waw.cnblogs.com
2012-04-16 17:57 狼人:-) 阅读(1412) 评论(0) 编辑 收藏 举报Win2003+IIS6+ASP+NET+PHP+PERL+MSSQL+MYSQL最新服务器安全设置技术实例
1、服务器安全设置之--硬盘权限篇
这里着重谈需要的权限,也就是最终文件夹或硬盘需要的权限,可以防御各种木马入侵,提权攻击,跨站攻击等。本实例经过多次试验,安全性能很好,服务器基本没有被木马威胁的担忧了。
详细配置说明下载: Win2003.rar |备份于waw.cnblogs.com
|
硬盘或文件夹: C:\ D:\ E:\ F:\ 类推 |
||
|
主要权限部分: |
其他权限部分: |
|
|
Administrators |
完全控制 |
无 如果安装了其他运行环境,比如PHP等,则根据PHP的环境功能要求来设置硬盘权限,一般是安装目录加上users读取运行权限就足够了,比如c:\php的话,就在根目录权限继承的情况下加上users读取运行权限,需要写入数据的比如tmp文件夹,则把users的写删权限加上,运行权限不要,然后把虚拟主机用户的读权限拒绝即可。如果是mysql的话,用一个独立用户运行MYSQL会更安全,下面会有介绍。如果是winwebmail,则最好建立独立的应用程序池和独立IIS用户,然后整个安装目录有winwebmail进程用户的读/运行/写/权限,IIS用户则相同,这个IIS用户就只用在winwebmail的WEB访问中,其他IIS站点切勿使用,安装了winwebmail的服务器硬盘权限设置后面举例 |
|
|
该文件夹,子文件夹及文件 |
|
|
|
<不是继承的> |
|
|
CREATOR OWNER |
完全控制 |
|
|
|
只有子文件夹及文件 |
|
|
|
<不是继承的> |
|
|
SYSTEM |
完全控制 |
|
|
|
该文件夹,子文件夹及文件 |
|
|
|
<不是继承的> |
|
|
硬盘或文件夹: C:\Inetpub\ |
||
|
主要权限部分: |
其他权限部分: |
|
|
Administrators |
完全控制 |
无 |
|
|
该文件夹,子文件夹及文件 |
|
|
|
<继承于c:\> |
|
|
CREATOR OWNER |
完全控制 |
|
|
|
只有子文件夹及文件 |
|
|
|
<继承于c:\> |
|
|
SYSTEM |
完全控制 |
|
|
|
该文件夹,子文件夹及文件 |
|
|
|
<继承于c:\> |
|
|
硬盘或文件夹: C:\Inetpub\AdminScripts |
||
|
主要权限部分: |
其他权限部分: |
|
|
Administrators |
完全控制 |
无 |
|
|
该文件夹,子文件夹及文件 |
|
|
|
<不是继承的> |
|
|
SYSTEM |
完全控制 |
|
|
|
该文件夹,子文件夹及文件 |
|
|
|
<不是继承的> |
|
|
硬盘或文件夹: C:\Inetpub\wwwroot |
|||
|
主要权限部分: |
其他权限部分: |
||
|
Administrators |
完全控制 |
IIS_WPG |
读取运行/列出文件夹目录/读取 |
|
|
该文件夹,子文件夹及文件 |
|
该文件夹,子文件夹及文件 |
|
|
<不是继承的> |
|
<不是继承的> |
|
SYSTEM |
完全控制 |
Users |
读取运行/列出文件夹目录/读取 |
|
|
该文件夹,子文件夹及文件 |
|
该文件夹,子文件夹及文件 |
|
|
<不是继承的> |
|
<不是继承的> |
|
这里可以把虚拟主机用户组加上 同Internet 来宾帐户一样的权限 拒绝权限 |
Internet 来宾帐户 |
创建文件/写入数据/:拒绝 创建文件夹/附加数据/:拒绝 写入属性/:拒绝 写入扩展属性/:拒绝 删除子文件夹及文件/:拒绝 删除/:拒绝 |
|
|
|
该文件夹,子文件夹及文件 |
||
|
|
<不是继承的> |
||
|
硬盘或文件夹: C:\Inetpub\wwwroot\aspnet_client |
|||
|
主要权限部分: |
其他权限部分: |
||
|
Administrators |
完全控制 |
Users |
读取 |
|
|
该文件夹,子文件夹及文件 |
|
该文件夹,子文件夹及文件 |
|
|
<不是继承的> |
|
<不是继承的> |
|
SYSTEM |
完全控制 |
|
|
|
|
该文件夹,子文件夹及文件 |
||
|
|
<不是继承的> |
||
|
硬盘或文件夹: C:\Documents and Settings |
||
|
主要权限部分: |
其他权限部分: |
|
|
Administrators |
完全控制 |
无 |
|
|
该文件夹,子文件夹及文件 |
|
|
|
<不是继承的> |
|
|
SYSTEM |
完全控制 |
|
|
|
该文件夹,子文件夹及文件 |
|
|
|
<不是继承的> |
|
|
硬盘或文件夹: C:\Documents and Settings\All Users |
|||
|
主要权限部分: |
其他权限部分: |
||
|
Administrators |
完全控制 |
Users |
读取和运行 |
|
|
该文件夹,子文件夹及文件 |
|
该文件夹,子文件夹及文件 |
|
|
<不是继承的> |
|
<不是继承的> |
|
SYSTEM |
完全控制 |
USERS组的权限仅仅限制于读取和运行, 绝对不能加上写入权限 |
|
|
|
该文件夹,子文件夹及文件 |
||
|
|
<不是继承的> |
||
|
硬盘或文件夹: C:\Documents and Settings\All Users\「开始」菜单 |
||
|
主要权限部分: |
其他权限部分: |
|
|
Administrators |
完全控制 |
无 |
|
|
该文件夹,子文件夹及文件 |
|
|
|
<不是继承的> |
|
|
SYSTEM |
完全控制 |
|
|
|
该文件夹,子文件夹及文件 |
|
|
|
<不是继承的> |
|
|
硬盘或文件夹: C:\Documents and Settings\All Users\Application Data |
|||
|
主要权限部分: |
其他权限部分: |
||
|
Administrators |
完全控制 |
Users |
读取和运行 |
|
|
该文件夹,子文件夹及文件 |
|
该文件夹,子文件夹及文件 |
|
|
<不是继承的> |
|
<不是继承的> |
|
CREATOR OWNER |
完全控制 |
Users |
写入 |
|
|
只有子文件夹及文件 |
|
该文件夹,子文件夹 |
|
|
<不是继承的> |
|
<不是继承的> |
|
SYSTEM |
完全控制 |
两个并列权限同用户组需要分开列权限 |
|
|
|
该文件夹,子文件夹及文件 |
||
|
|
<不是继承的> |
||
|
硬盘或文件夹: C:\Documents and Settings\All Users\Application Data\Microsoft |
|||
|
主要权限部分: |
其他权限部分: |
||
|
Administrators |
完全控制 |
Users |
读取和运行 |
|
|
该文件夹,子文件夹及文件 |
|
该文件夹,子文件夹及文件 |
|
|
<不是继承的> |
|
<不是继承的> |
|
SYSTEM |
完全控制 |
此文件夹包含 Microsoft 应用程序状态数据 |
|
|
|
该文件夹,子文件夹及文件 |
||
|
|
<不是继承的> |
||
|
硬盘或文件夹: C:\Documents and Settings\All Users\Application Data\Microsoft\Crypto\RSA\MachineKeys |
|||
|
主要权限部分: |
其他权限部分: |
||
|
Administrators |
完全控制 |
Everyone |
列出文件夹、读取属性、读取扩展属性、创建文件、创建文件夹、写入属性、写入扩展属性、读取权限 |
|
|
只有该文件夹 |
Everyone这里只有读写权限,不能加运行和删除权限,仅限该文件夹 |
只有该文件夹 |
|
|
<不是继承的> |
<不是继承的> |
|
|
硬盘或文件夹: C:\Documents and Settings\All Users\Application Data\Microsoft\Crypto\DSS\MachineKeys |
|||
|
主要权限部分: |
其他权限部分: |
||
|
Administrators |
完全控制 |
Everyone |
列出文件夹、读取属性、读取扩展属性、创建文件、创建文件夹、写入属性、写入扩展属性、读取权限 |
|
|
只有该文件夹 |
Everyone这里只有读写权限,不能加运行和删除权限,仅限该文件夹 |
只有该文件夹 |
|
|
<不是继承的> |
<不是继承的> |
|
|
硬盘或文件夹: C:\Documents and Settings\All Users\Application Data\Microsoft\HTML Help |
|||
|
主要权限部分: |
其他权限部分: |
||
|
Administrators |
完全控制 |
Users |
读取和运行 |
|
|
该文件夹,子文件夹及文件 |
|
该文件夹,子文件夹及文件 |
|
|
<不是继承的> |
|
<不是继承的> |
|
SYSTEM |
完全控制 |
|
|
|
|
该文件夹,子文件夹及文件 |
||
|
|
<不是继承的> |
||
|
硬盘或文件夹: C:\Documents and Settings\All Users\Application Data\Microsoft\Network\Connections\Cm |
|||
|
主要权限部分: |
其他权限部分: |
||
|
Administrators |
完全控制 |
Everyone |
读取和运行 |
|
|
该文件夹,子文件夹及文件 |
|
该文件夹,子文件夹及文件 |
|
|
<不是继承的> |
|
<不是继承的> |
|
SYSTEM |
完全控制 |
Everyone这里只有读和运行权限 |
|
|
|
该文件夹,子文件夹及文件 |
||
|
|
<不是继承的> |
||
|
硬盘或文件夹: C:\Documents and Settings\All Users\Application Data\Microsoft\Network\Downloader |
||
|
主要权限部分: |
其他权限部分: |
|
|
Administrators |
完全控制 |
无 |
|
|
该文件夹,子文件夹及文件 |
|
|
|
<不是继承的> |
|
|
SYSTEM |
完全控制 |
|
|
|
该文件夹,子文件夹及文件 |
|
|
|
<不是继承的> |
|
|
硬盘或文件夹: C:\Documents and Settings\All Users\Application Data\Microsoft\Media Index |
|||
|
主要权限部分: |
其他权限部分: |
||
|
Administrators |
完全控制 |
Users |
读取和运行 |
|
|
该文件夹,子文件夹及文件 |
|
该文件夹,子文件夹及文件 |
|
|
<不是继承的> |
|
<继承于上一级文件夹> |
|
SYSTEM |
完全控制 |
Users |
创建文件/写入数据 创建文件夹/附加数据 写入属性 写入扩展属性 读取权限 |
|
|
该文件夹,子文件夹及文件 |
|
只有该文件夹 |
|
|
<不是继承的> |
|
<不是继承的> |
|
|
Users |
创建文件/写入数据 创建文件夹/附加数据 写入属性 写入扩展属性 |
|
|
|
只有该子文件夹和文件 |
||
|
|
<不是继承的> |
||
|
硬盘或文件夹: C:\Documents and Settings\All Users\DRM |
||
|
主要权限部分: |
其他权限部分: |
|
|
这里需要把GUEST用户组和IIS访问用户组全部禁止 Everyone的权限比较特殊,默认安装后已经带了 主要是要把IIS访问的用户组加上所有权限都禁止 |
Users |
读取和运行 |
|
|
该文件夹,子文件夹及文件 |
|
|
|
<不是继承的> |
|
|
Guests |
拒绝所有 |
|
|
|
该文件夹,子文件夹及文件 |
|
|
|
<不是继承的> |
|
|
Guest |
拒绝所有 |
|
|
|
该文件夹,子文件夹及文件 |
|
|
|
<不是继承的> |
|
|
IUSR_XXX 或某个虚拟主机用户组 |
拒绝所有 |
|
|
该文件夹,子文件夹及文件 |
||
|
<不是继承的> |
||
|
硬盘或文件夹: C:\Documents and Settings\All Users\Documents (共享文档) |
||
|
主要权限部分: |
其他权限部分: |
|
|
Administrators |
完全控制 |
无 |
|
|
该文件夹,子文件夹及文件 |
|
|
|
<不是继承的> |
|
|
CREATOR OWNER |
完全控制 |
|
|
|
只有子文件夹及文件 |
|
|
|
<不是继承的> |
|
|
SYSTEM |
完全控制 |
|
|
|
该文件夹,子文件夹及文件 |
|
|
|
<不是继承的> |
|
|
硬盘或文件夹: C:\Program Files |
|||
|
主要权限部分: |
其他权限部分: |
||
|
Administrators |
完全控制 |
IIS_WPG |
读取和运行 |
|
|
该文件夹,子文件夹及文件 |
|
该文件夹,子文件夹及文件 |
|
|
<不是继承的> |
|
<不是继承的> |
|
CREATOR OWNER |
完全控制 |
IUSR_XXX 或某个虚拟主机用户组 |
列出文件夹/读取数据 :拒绝 |
|
|
只有子文件夹及文件 |
该文件夹,子文件夹及文件 |
|
|
|
<不是继承的> |
<不是继承的> |
|
|
SYSTEM |
完全控制 |
IIS虚拟主机用户组禁止列目录,可有效防止FSO类木马 如果安装了aspjepg和aspupload |
|
|
|
该文件夹,子文件夹及文件 |
||
|
|
<不是继承的> |
||
|
硬盘或文件夹: C:\Program Files\Common Files |
|||
|
主要权限部分: |
其他权限部分: |
||
|
Administrators |
完全控制 |
IIS_WPG |
读取和运行 |
|
|
该文件夹,子文件夹及文件 |
|
该文件夹,子文件夹及文件 |
|
|
<不是继承的> |
|
<继承于上级目录> |
|
CREATOR OWNER |
完全控制 |
Users |
读取和运行 |
|
|
只有子文件夹及文件 |
该文件夹,子文件夹及文件 |
|
|
|
<不是继承的> |
<不是继承的> |
|
|
SYSTEM |
完全控制 |
复合权限,为IIS提供快速安全的运行环境 |
|
|
|
该文件夹,子文件夹及文件 |
||
|
|
<不是继承的> |
||
|
硬盘或文件夹: C:\Program Files\Common Files\Microsoft Shared\web server extensions |
||
|
主要权限部分: |
其他权限部分: |
|
|
Administrators |
完全控制 |
无 |
|
|
该文件夹,子文件夹及文件 |
|
|
|
<不是继承的> |
|
|
CREATOR OWNER |
完全控制 |
|
|
|
只有子文件夹及文件 |
|
|
|
<不是继承的> |
|
|
SYSTEM |
完全控制 |
|
|
|
该文件夹,子文件夹及文件 |
|
|
|
<不是继承的> |
|
|
硬盘或文件夹: C:\Program Files\Microsoft SQL Server\MSSQL (程序部分默认装在C:盘) |
||
|
主要权限部分: |
其他权限部分: |
|
|
Administrators |
完全控制 |
无 |
|
|
该文件夹,子文件夹及文件 |
|
|
|
<不是继承的> |
|
|
硬盘或文件夹: E:\Program Files\Microsoft SQL Server (数据库部分装在E:盘的情况) |
||
|
主要权限部分: |
其他权限部分: |
|
|
Administrators |
完全控制 |
无 |
|
|
该文件夹,子文件夹及文件 |
|
|
|
<不是继承的> |
|
|
CREATOR OWNER |
完全控制 |
|
|
|
只有子文件夹及文件 |
|
|
|
<不是继承的> |
|
|
SYSTEM |
完全控制 |
|
|
|
该文件夹,子文件夹及文件 |
|
|
|
<不是继承的> |
|
|
硬盘或文件夹: E:\Program Files\Microsoft SQL Server\MSSQL (数据库部分装在E:盘的情况) |
||
|
主要权限部分: |
其他权限部分: |
|
|
Administrators |
完全控制 |
无 |
|
|
该文件夹,子文件夹及文件 |
|
|
|
<不是继承的> |
|
|
硬盘或文件夹: C:\Program Files\Internet Explorer\iexplore.exe |
||
|
主要权限部分: |
其他权限部分: |
|
|
Administrators |
完全控制 |
无 |
|
|
该文件夹,子文件夹及文件 |
|
|
|
<不是继承的> |
|
|
硬盘或文件夹: C:\Program Files\Outlook Express |
||
|
主要权限部分: |
其他权限部分: |
|
|
Administrators |
完全控制 |
无 |
|
|
该文件夹,子文件夹及文件 |
|
|
|
<不是继承的> |
|
|
CREATOR OWNER |
完全控制 |
|
|
|
只有子文件夹及文件 |
|
|
|
<不是继承的> |
|
|
SYSTEM |
完全控制 |
|
|
|
该文件夹,子文件夹及文件 |
|
|
|
<不是继承的> |
|
|
硬盘或文件夹: C:\Program Files\PowerEasy5 (如果装了动易组件的话) |
||
|
主要权限部分: |
其他权限部分: |
|
|
Administrators |
完全控制 |
无 |
|
|
该文件夹,子文件夹及文件 |
|
|
|
<不是继承的> |
|
|
CREATOR OWNER |
完全控制 |
|
|
|
只有子文件夹及文件 |
|
|
|
<不是继承的> |
|
|
SYSTEM |
完全控制 |
|
|
|
该文件夹,子文件夹及文件 |
|
|
|
<不是继承的> |
|
|
硬盘或文件夹: C:\Program Files\Radmin (如果装了Radmin远程控制的话) |
||
|
主要权限部分: |
其他权限部分: |
|
|
Administrators |
完全控制 |
无 对应的c:\windows\system32里面有两个文件 r_server.exe和AdmDll.dll 要把Users读取运行权限去掉 默认权限只要administrators和system全部权限 |
|
|
该文件夹,子文件夹及文件 |
|
|
|
<不是继承的> |
|
|
CREATOR OWNER |
完全控制 |
|
|
|
只有子文件夹及文件 |
|
|
|
<不是继承的> |
|
|
SYSTEM |
完全控制 |
|
|
|
该文件夹,子文件夹及文件 |
|
|
|
<不是继承的> |
|
|
硬盘或文件夹: C:\Program Files\Serv-U (如果装了Serv-U服务器的话) |
||
|
主要权限部分: |
其他权限部分: |
|
|
Administrators |
完全控制 |
无 这里常是提权入侵的一个比较大的漏洞点 一定要按这个方法设置 目录名字根据Serv-U版本也可能是 C:\Program Files\RhinoSoft.com\Serv-U |
|
|
该文件夹,子文件夹及文件 |
|
|
|
<不是继承的> |
|
|
CREATOR OWNER |
完全控制 |
|
|
|
只有子文件夹及文件 |
|
|
|
<不是继承的> |
|
|
SYSTEM |
完全控制 |
|
|
|
该文件夹,子文件夹及文件 |
|
|
|
<不是继承的> |
|
|
硬盘或文件夹: C:\Program Files\Windows Media Player |
||
|
主要权限部分: |
其他权限部分: |
|
|
Administrators |
完全控制 |
无 |
|
|
该文件夹,子文件夹及文件 |
|
|
|
<不是继承的> |
|
|
CREATOR OWNER |
完全控制 |
|
|
|
只有子文件夹及文件 |
|
|
|
<不是继承的> |
|
|
SYSTEM |
完全控制 |
|
|
|
该文件夹,子文件夹及文件 |
|
|
|
<不是继承的> |
|
|
硬盘或文件夹: C:\Program Files\Windows NT\Accessories |
||
|
主要权限部分: |
其他权限部分: |
|
|
Administrators |
完全控制 |
无 |
|
|
该文件夹,子文件夹及文件 |
|
|
|
<不是继承的> |
|
|
CREATOR OWNER |
完全控制 |
|
|
|
只有子文件夹及文件 |
|
|
|
<不是继承的> |
|
|
SYSTEM |
完全控制 |
|
|
|
该文件夹,子文件夹及文件 |
|
|
|
<不是继承的> |
|
|
硬盘或文件夹: C:\Program Files\WindowsUpdate |
||
|
主要权限部分: |
其他权限部分: |
|
|
Administrators |
完全控制 |
无 |
|
|
该文件夹,子文件夹及文件 |
|
|
|
<不是继承的> |
|
|
CREATOR OWNER |
完全控制 |
|
|
|
只有子文件夹及文件 |
|
|
|
<不是继承的> |
|
|
SYSTEM |
完全控制 |
|
|
|
该文件夹,子文件夹及文件 |
|
|
|
<不是继承的> |
|
|
硬盘或文件夹: C:\WINDOWS |
|||
|
主要权限部分: |
其他权限部分: |
||
|
Administrators |
完全控制 |
Users |
读取和运行 |
|
|
该文件夹,子文件夹及文件 |
|
该文件夹,子文件夹及文件 |
|
|
<不是继承的> |
|
<不是继承的> |
|
CREATOR OWNER |
完全控制 |
|
|
|
|
只有子文件夹及文件 |
|
|
|
|
<不是继承的> |
|
|
|
SYSTEM |
完全控制 |
|
|
|
|
该文件夹,子文件夹及文件 |
||
|
|
<不是继承的> |
||
|
硬盘或文件夹: C:\WINDOWS\repair |
|||
|
主要权限部分: |
其他权限部分: |
||
|
Administrators |
完全控制 |
IUSR_XXX 或某个虚拟主机用户组 |
列出文件夹/读取数据 :拒绝 |
|
|
该文件夹,子文件夹及文件 |
该文件夹,子文件夹及文件 |
|
|
|
<不是继承的> |
<不是继承的> |
|
|
CREATOR OWNER |
完全控制 |
虚拟主机用户访问组拒绝读取,有助于保护系统数据 这里保护的是系统级数据SAM |
|
|
|
只有子文件夹及文件 |
||
|
|
<不是继承的> |
||
|
SYSTEM |
完全控制 |
||
|
|
该文件夹,子文件夹及文件 |
||
|
|
<不是继承的> |
||
|
硬盘或文件夹: C:\WINDOWS\IIS Temporary Compressed Files |
|||
|
主要权限部分: |
其他权限部分: |
||
|
Administrators |
完全控制 |
USERS |
读取和写入/删除 |
|
|
该文件夹,子文件夹及文件 |
该文件夹,子文件夹及文件 |
|
|
|
<继承于C:\windows> |
<不是继承的> |
|
|
CREATOR OWNER |
完全控制 |
IIS_WPG |
读取和写入/删除 |
|
|
只有子文件夹及文件 |
该文件夹,子文件夹及文件 |
|
|
|
<继承于C:\windows> |
<不是继承的> |
|
|
SYSTEM |
完全控制 |
建议装了MCAFEE或NOD的用户把此文件夹,禁止写入一些文件类型比如*.EXE和*.com等可执行文件或vbs类脚本 |
|
|
|
该文件夹,子文件夹及文件 |
||
|
|
<继承于C:\windows> |
||
|
IUSR_XXX 或某个虚拟主机用户组 |
列出文件夹/读取数据 :拒绝 |
||
|
该文件夹,子文件夹及文件 |
|||
|
<不是继承的> |
|||
|
Guests |
列出文件夹/读取数据 :拒绝 |
||
|
该文件夹,子文件夹及文件 |
|||
|
<不是继承的> |
|||
|
|
|||
|
硬盘或文件夹: C:\WINDOWS\Microsoft.NET\Framework\版本\Temporary ASP.NET Files |
|||
|
主要权限部分: |
其他权限部分: |
||
|
Administrators |
完全控制 |
ASP.NET 计算机帐户 |
读取和运行 |
|
|
该文件夹,子文件夹及文件 |
该文件夹,子文件夹及文件 |
|
|
|
<继承于C:\windows> |
<继承于C:\windows> |
|
|
CREATOR OWNER |
完全控制 |
ASP.NET 计算机帐户 |
写入/删除 |
|
|
只有子文件夹及文件 |
该文件夹,子文件夹及文件 |
|
|
|
<继承于C:\windows> |
<不是继承的> |
|
|
SYSTEM |
完全控制 |
IIS_WPG |
读取和运行 |
|
|
该文件夹,子文件夹及文件 |
该文件夹,子文件夹及文件 |
|
|
|
<继承于C:\windows> |
<继承于C:\windows> |
|
|
IUSR_XXX 或某个虚拟主机用户组 |
列出文件夹/读取数据 :拒绝 |
IIS_WPG |
写入(原来有删除权限要去掉) |
|
该文件夹,子文件夹及文件 |
该文件夹,子文件夹及文件 |
||
|
<不是继承的> |
<不是继承的> |
||
|
Guests |
列出文件夹/读取数据 :拒绝 |
LOCAL SERVICE |
读取和运行 |
|
该文件夹,子文件夹及文件 |
该文件夹,子文件夹及文件 |
||
|
<不是继承的> |
<继承于C:\windows> |
||
|
USERS |
读取和运行 |
LOCAL SERVICE |
写入/删除 |
|
该文件夹,子文件夹及文件 |
该文件夹,子文件夹及文件 |
||
|
<继承于C:\windows> |
<不是继承的> |
||
|
|
|
NETWORK SERVICE |
读取和运行 |
|
|
|
该文件夹,子文件夹及文件 |
|
|
|
|
<继承于C:\windows> |
|
|
建议装了MCAFEE或NOD的用户把此文件夹,禁止写入一些文件类型,比如*.EXE和*.com等可执行文件或vbs类脚本 |
NETWORK SERVICE |
写入/删除 |
|
|
该文件夹,子文件夹及文件 |
|||
|
<不是继承的> |
|||
|
硬盘或文件夹: C:\WINDOWS\system32 |
|||
|
主要权限部分: |
其他权限部分: |
||
|
Administrators |
完全控制 |
Users |
读取和运行 |
|
|
该文件夹,子文件夹及文件 |
|
该文件夹,子文件夹及文件 |
|
|
<不是继承的> |
|
<不是继承的> |
|
CREATOR OWNER |
完全控制 |
IUSR_XXX 或某个虚拟主机用户组 |
列出文件夹/读取数据 :拒绝 |
|
|
只有子文件夹及文件 |
该文件夹,子文件夹及文件 |
|
|
|
<不是继承的> |
<不是继承的> |
|
|
SYSTEM |
完全控制 |
虚拟主机用户访问组拒绝读取,有助于保护系统数据 |
|
|
|
该文件夹,子文件夹及文件 |
||
|
|
<不是继承的> |
||
|
硬盘或文件夹: C:\WINDOWS\system32\config |
|||
|
主要权限部分: |
其他权限部分: |
||
|
Administrators |
完全控制 |
Users |
读取和运行 |
|
|
该文件夹,子文件夹及文件 |
|
该文件夹,子文件夹及文件 |
|
|
<不是继承的> |
|
<不是继承的> |
|
CREATOR OWNER |
完全控制 |
IUSR_XXX 或某个虚拟主机用户组 |
列出文件夹/读取数据 :拒绝 |
|
|
只有子文件夹及文件 |
该文件夹,子文件夹及文件 |
|
|
|
<不是继承的> |
<继承于上一级目录> |
|
|
SYSTEM |
完全控制 |
虚拟主机用户访问组拒绝读取,有助于保护系统数据 |
|
|
|
该文件夹,子文件夹及文件 |
||
|
|
<不是继承的> |
||
|
硬盘或文件夹: C:\WINDOWS\system32\inetsrv\ |
|||
|
主要权限部分: |
其他权限部分: |
||
|
Administrators |
完全控制 |
Users |
读取和运行 |
|
|
该文件夹,子文件夹及文件 |
|
该文件夹,子文件夹及文件 |
|
|
<不是继承的> |
|
<不是继承的> |
|
CREATOR OWNER |
完全控制 |
IUSR_XXX 或某个虚拟主机用户组 |
列出文件夹/读取数据 :拒绝 |
|
|
只有子文件夹及文件 |
只有该文件夹 |
|
|
|
<不是继承的> |
<继承于上一级目录> |
|
|
SYSTEM |
完全控制 |
虚拟主机用户访问组拒绝读取,有助于保护系统数据 |
|
|
|
该文件夹,子文件夹及文件 |
||
|
|
<不是继承的> |
||
|
硬盘或文件夹: C:\WINDOWS\system32\inetsrv\ASP Compiled Templates |
|||
|
主要权限部分: |
其他权限部分: |
||
|
Administrators |
完全控制 |
IIS_WPG |
完全控制 |
|
|
该文件夹,子文件夹及文件 |
|
该文件夹,子文件夹及文件 |
|
|
<不是继承的> |
|
<不是继承的> |
|
|
IUSR_XXX 或某个虚拟主机用户组 |
列出文件夹/读取数据 :拒绝 |
|
|
该文件夹,子文件夹及文件 |
|||
|
<继承于上一级目录> |
|||
|
虚拟主机用户访问组拒绝读取,有助于保护系统数据 |
|||
|
硬盘或文件夹: C:\WINDOWS\system32\inetsrv\iisadmpwd |
||
|
主要权限部分: |
其他权限部分: |
|
|
Administrators |
完全控制 |
无 |
|
|
该文件夹,子文件夹及文件 |
|
|
|
<不是继承的> |
|
|
CREATOR OWNER |
完全控制 |
|
|
|
只有子文件夹及文件 |
|
|
|
<不是继承的> |
|
|
SYSTEM |
完全控制 |
|
|
|
该文件夹,子文件夹及文件 |
|
|
|
<不是继承的> |
|
|
硬盘或文件夹: C:\WINDOWS\system32\inetsrv\MetaBack |
|||
|
主要权限部分: |
其他权限部分: |
||
|
Administrators |
完全控制 |
Users |
读取和运行 |
|
|
该文件夹,子文件夹及文件 |
|
该文件夹,子文件夹及文件 |
|
|
<不是继承的> |
|
<不是继承的> |
|
CREATOR OWNER |
完全控制 |
IUSR_XXX 或某个虚拟主机用户组 |
列出文件夹/读取数据 :拒绝 |
|
|
只有子文件夹及文件 |
该文件夹,子文件夹及文件 |
|
|
|
<不是继承的> |
<继承于上一级目录> |
|
|
SYSTEM |
完全控制 |
虚拟主机用户访问组拒绝读取,有助于保护系统数据 |
|
|
|
该文件夹,子文件夹及文件 |
||
|
|
<不是继承的> |
||
|
Winwebmail 电子邮局安装后权限举例:目录E:\ |
|||
|
主要权限部分: |
其他权限部分: |
||
|
Administrators |
完全控制 |
IUSR_XXXXXX 这个用户是WINWEBMAIL访问WEB站点专用帐户 |
读取和运行 |
|
|
该文件夹,子文件夹及文件 |
该文件夹,子文件夹及文件 |
|
|
|
<不是继承的> |
<不是继承的> |
|
|
CREATOR OWNER |
完全控制 |
|
|
|
|
只有子文件夹及文件 |
||
|
|
<不是继承的> |
||
|
SYSTEM |
完全控制 |
||
|
|
该文件夹,子文件夹及文件 |
||
|
|
<不是继承的> |
||
|
Winwebmail 电子邮局安装后权限举例:目录E:\WinWebMail |
|||
|
主要权限部分: |
其他权限部分: |
||
|
Administrators |
完全控制 |
IUSR_XXXXXX WINWEBMAIL访问WEB站点专用帐户 |
读取和运行 |
|
|
该文件夹,子文件夹及文件 |
该文件夹,子文件夹及文件 |
|
|
|
<继承于E:\> |
<继承于E:\> |
|
|
CREATOR OWNER |
完全控制 |
Users |
修改/读取运行/列出文件目录/读取/写入 |
|
|
只有子文件夹及文件 |
该文件夹,子文件夹及文件 |
|
|
|
<继承于E:\> |
<不是继承的> |
|
|
SYSTEM |
完全控制 |
IUSR_XXXXXX WINWEBMAIL访问WEB站点专用帐户 |
修改/读取运行/列出文件目录/读取/写入 |
|
|
该文件夹,子文件夹及文件 |
该文件夹,子文件夹及文件 |
|
|
|
<继承于E:\> |
<不是继承的> |
|
|
IUSR_XXXXXX和IWAM_XXXXXX 是winwebmail专用的IIS用户和应用程序池用户 单独使用,安全性能高 |
IWAM_XXXXXX WINWEBMAIL应用程序池专用帐户 |
修改/读取运行/列出文件目录/读取/写入 |
|
|
该文件夹,子文件夹及文件 |
|||
|
<不是继承的> |
|||
2、服务器安全设置之--系统服务篇(设置完毕需要重新启动)
*除非特殊情况非开不可,下列系统服务要■停止并禁用■:
|
|
Alerter |
|
服务名称: |
Alerter |
|
显示名称: |
Alerter |
|
服务描述: |
通知选定的用户和计算机管理警报。如果服务停止,使用管理警报的程序将不会收到它们。如果此服务被禁用,任何直接依赖它的服务都将不能启动。 |
|
可执行文件路径: |
E:\WINDOWS\system32\svchost.exe -k LocalService |
|
其他补充: |
|
|
|
Application Layer Gateway Service |
|
服务名称: |
ALG |
|
显示名称: |
Application Layer Gateway Service |
|
服务描述: |
为应用程序级协议插件提供支持并启用网络/协议连接。如果此服务被禁用,任何依赖它的服务将无法启动。 |
|
可执行文件路径: |
E:\WINDOWS\System32\alg.exe |
|
其他补充: |
|
|
|
Background Intelligent Transfer Service |
|
服务名称: |
BITS |
|
显示名称: |
Background Intelligent Transfer Service |
|
服务描述: |
服务描述:利用空闲的网络带宽在后台传输文件。如果服务被停用,例如 Windows Update 和 MSN Explorer 的功能将无法自动下载程序和其他信息。如果此服务被禁用,任何依赖它的服务如果没有容错技术以直接通过 IE 传输文件,一旦 BITS 被禁用,就可能无法传输文件。 |
|
可执行文件路径: |
E:\WINDOWS\system32\svchost.exe -k netsvcs |
|
其他补充: |
|
|
|
Computer Browser |
|
服务名称: |
服务名称:Browser |
|
显示名称: |
显示名称:Computer Browser |
|
服务描述: |
服务描述:维护网络上计算机的更新列表,并将列表提供给计算机指定浏览。如果服务停止,列表不会被更新或维护。如果服务被禁用,任何直接依赖于此服务的服务将无法启动。 |
|
可执行文件路径: |
可执行文件路径: E:\WINDOWS\system32\svchost.exe -k netsvcs |
|
其他补充: |
|
|
|
Distributed File System |
|
服务名称: |
Dfs |
|
显示名称: |
Distributed File System |
|
服务描述: |
将分散的文件共享合并成一个逻辑名称空间并在局域网或广域网上管理这些逻辑卷。如果这个服务被停止,用户则无法访问文件共享。如果这个服务被禁用,任何依赖它的服务将无法启动。 |
|
可执行文件路径: |
E:\WINDOWS\system32\Dfssvc.exe |
|
其他补充: |
|
|
|
Help and Support |
|
服务名称: |
helpsvc |
|
显示名称: |
Help and Support |
|
服务描述: |
启用在此计算机上运行帮助和支持中心。如果停止服务,帮助和支持中心将不可用。如果禁用服务,任何直接依赖于此服务的服务将无法启动。 |
|
可执行文件路径: |
E:\WINDOWS\System32\svchost.exe -k netsvcs |
|
其他补充: |
|
|
|
Messenger |
|
服务名称: |
Messenger |
|
显示名称: |
Messenger |
|
服务描述: |
传输客户端和服务器之间的 NET SEND 和 警报器服务消息。此服务与 Windows Messenger 无关。如果服务停止,警报器消息不会被传输。如果服务被禁用,任何直接依赖于此服务的服务将无法启动。 |
|
可执行文件路径: |
E:\WINDOWS\system32\svchost.exe -k netsvcs |
|
其他补充: |
|
|
|
NetMeeting Remote Desktop Sharing |
|
服务名称: |
mnmsrvc |
|
显示名称: |
NetMeeting Remote Desktop Sharing |
|
服务描述: |
允许经过授权的用户用 NetMeeting 在公司 intranet 上远程访问这台计算机。如果服务被停止,远程桌面共享将不可用。如果服务被禁用,依赖这个服务的任何服务都会无法启动。 |
|
可执行文件路径: |
E:\WINDOWS\system32\mnmsrvc.exe |
|
其他补充: |
|
|
|
Print Spooler |
|
服务名称: |
Spooler |
|
显示名称: |
Print Spooler |
|
服务描述: |
管理所有本地和网络打印队列及控制所有打印工作。如果此服务被停用,本地计算机上的打印将不可用。如果此服务被禁用,任何依赖于它的服务将无法启用。 |
|
可执行文件路径: |
E:\WINDOWS\system32\spoolsv.exe |
|
其他补充: |
|
|
|
Remote Registry |
|
服务名称: |
RemoteRegistry |
|
显示名称: |
Remote Registry |
|
服务描述: |
使远程用户能修改此计算机上的注册表设置。如果此服务被终止,只有此计算机上的用户才能修改注册表。如果此服务被禁用,任何依赖它的服务将无法启动。 |
|
可执行文件路径: |
E:\WINDOWS\system32\svchost.exe -k regsvc |
|
其他补充: |
|
|
|
Task Scheduler |
|
服务名称: |
Schedule |
|
显示名称: |
Task Scheduler |
|
服务描述: |
使用户能在此计算机上配置和计划自动任务。如果此服务被终止,这些任务将无法在计划时间里运行。如果此服务被禁用,任何依赖它的服务将无法启动。 |
|
可执行文件路径: |
E:\WINDOWS\System32\svchost.exe -k netsvcs |
|
其他补充: |
|
|
|
TCP/IP NetBIOS Helper |
|
服务名称: |
LmHosts |
|
显示名称: |
TCP/IP NetBIOS Helper |
|
服务描述: |
提供 TCP/IP (NetBT) 服务上的 NetBIOS 和网络上客户端的 NetBIOS 名称解析的支持,从而使用户能够共享文件、打印和登录到网络。如果此服务被停用,这些功能可能不可用。如果此服务被禁用,任何依赖它的服务将无法启动。 |
|
可执行文件路径: |
E:\WINDOWS\system32\svchost.exe -k LocalService |
|
其他补充: |
|
|
|
Telnet |
|
服务名称: |
TlntSvr |
|
显示名称: |
Telnet |
|
服务描述: |
允许远程用户登录到此计算机并运行程序,并支持多种 TCP/IP Telnet 客户端,包括基于 UNIX 和 Windows 的计算机。如果此服务停止,远程用户就不能访问程序,任何直接依赖于它的服务将会启动失败。 |
|
可执行文件路径: |
E:\WINDOWS\system32\tlntsvr.exe |
|
其他补充: |
|
|
|
Workstation |
|
服务名称: |
lanmanworkstation |
|
显示名称: |
Workstation |
|
服务描述: |
创建和维护到远程服务的客户端网络连接。如果服务停止,这些连接将不可用。如果服务被禁用,任何直接依赖于此服务的服务将无法启动。 |
|
可执行文件路径: |
E:\WINDOWS\system32\svchost.exe -k netsvcs |
|
其他补充: |
|
以上是windows2003server标准服务当中需要停止的服务,作为IIS网络服务器,以上服务务必要停止,如果需要SSL证书服务,则设置方法不同
3、服务器安全设置之--组件安全设置篇 (非常重要!!!)
|
A、卸载WScript.Shell 和 Shell.application 组件,将下面的代码保存为一个.BAT文件执行(分2000和2003系统) |
|
|
windows2000.bat |
regsvr32/u C:\WINNT\System32\wshom.ocxdel C:\WINNT\System32\wshom.ocxregsvr32/u C:\WINNT\system32\shell32.dlldel C:\WINNT\system32\shell32.dll |
|
windows2003.bat |
regsvr32/u C:\WINDOWS\System32\wshom.ocxdel C:\WINDOWS\System32\wshom.ocxregsvr32/u C:\WINDOWS\system32\shell32.dlldel C:\WINDOWS\system32\shell32.dll |
|
B、改名不安全组件,需要注意的是组件的名称和Clsid都要改,并且要改彻底了,不要照抄,要自己改 |
|
|
|
【开始→运行→regedit→回车】打开注册表编辑器 然后【编辑→查找→填写Shell.application→查找下一个】 用这个方法能找到两个注册表项: {13709620-C279-11CE-A49E-444553540000} 和 Shell.application 。 第一步:为了确保万无一失,把这两个注册表项导出来,保存为xxxx.reg 文件。 第二步:比如我们想做这样的更改 13709620-C279-11CE-A49E-444553540000 改名为 13709620-C279-11CE-A49E-444553540001 Shell.application 改名为 Shell.application_nohack 第三步:那么,就把刚才导出的.reg文件里的内容按上面的对应关系替换掉,然后把修改好的.reg文件导入到注册表中(双击即可),导入了改名后的注册表项之后,别忘记了删除原有的那两个项目。这里需要注意一点,Clsid中只能是十个数字和ABCDEF六个字母。 其实,只要把对应注册表项导出来备份,然后直接改键名就可以了, |
|
改好的例子 建议自己改 应该可一次成功 |
Windows Registry Editor Version 5.00[HKEY_CLASSES_ROOT\CLSID\{13709620-C279-11CE-A49E-444553540001}]@="Shell Automation Service"[HKEY_CLASSES_ROOT\CLSID\{13709620-C279-11CE-A49E-444553540001}\InProcServer32]@="C:\\WINNT\\system32\\shell32.dll""ThreadingModel"="Apartment"[HKEY_CLASSES_ROOT\CLSID\{13709620-C279-11CE-A49E-444553540001}\ProgID]@="Shell.Application_nohack.1"[HKEY_CLASSES_ROOT\CLSID\{13709620-C279-11CE-A49E-444553540001}\TypeLib]@="{50a7e9b0-70ef-11d1-b75a-00a0c90564fe}"[HKEY_CLASSES_ROOT\CLSID\{13709620-C279-11CE-A49E-444553540001}\Version]@="1.1"[HKEY_CLASSES_ROOT\CLSID\{13709620-C279-11CE-A49E-444553540001}\VersionIndependentProgID]@="Shell.Application_nohack"[HKEY_CLASSES_ROOT\Shell.Application_nohack]@="Shell Automation Service"[HKEY_CLASSES_ROOT\Shell.Application_nohack\CLSID]@="{13709620-C279-11CE-A49E-444553540001}"[HKEY_CLASSES_ROOT\Shell.Application_nohack\CurVer]@="Shell.Application_nohack.1" |
|
老杜评论: |
WScript.Shell 和 Shell.application 组件是 脚本入侵过程中,提升权限的重要环节,这两个组件的卸载和修改对应注册键名,可以很大程度的提高虚拟主机的脚本安全性能,一般来说,ASP和php类脚本提升权限的功能是无法实现了,再加上一些系统服务、硬盘访问权限、端口过滤、本地安全策略的设置,虚拟主机因该说,安全性能有非常大的提高,黑客入侵的可能性是非常低了。注销了Shell组件之后,侵入者运行提升工具的可能性就很小了,但是prel等别的脚本语言也有shell能力,为防万一,还是设置一下为好。下面是另外一种设置,大同小异。 |
|
一、禁止使用FileSystemObject组件 FileSystemObject可以对文件进行常规操作,可以通过修改注册表,将此组件改名,来防止此类木马的危害。 HKEY_CLASSES_ROOT\Scripting.FileSystemObject\ 改名为其它的名字,如:改为 FileSystemObject_ChangeName 自己以后调用的时候使用这个就可以正常调用此组件了 也要将clsid值也改一下 HKEY_CLASSES_ROOT\Scripting.FileSystemObject\CLSID\项目的值 也可以将其删除,来防止此类木马的危害。 2000注销此组件命令:RegSrv32 /u C:\WINNT\SYSTEM\scrrun.dll 2003注销此组件命令:RegSrv32 /u C:\WINDOWS\SYSTEM\scrrun.dll 如何禁止Guest用户使用scrrun.dll来防止调用此组件? 使用这个命令:cacls C:\WINNT\system32\scrrun.dll /e /d guests 二、禁止使用WScript.Shell组件 WScript.Shell可以调用系统内核运行DOS基本命令 可以通过修改注册表,将此组件改名,来防止此类木马的危害。 HKEY_CLASSES_ROOT\WScript.Shell\及HKEY_CLASSES_ROOT\WScript.Shell.1\ 改名为其它的名字,如:改为WScript.Shell_ChangeName 或 WScript.Shell.1_ChangeName 自己以后调用的时候使用这个就可以正常调用此组件了 也要将clsid值也改一下 HKEY_CLASSES_ROOT\WScript.Shell\CLSID\项目的值 HKEY_CLASSES_ROOT\WScript.Shell.1\CLSID\项目的值 也可以将其删除,来防止此类木马的危害。 三、禁止使用Shell.Application组件 Shell.Application可以调用系统内核运行DOS基本命令 可以通过修改注册表,将此组件改名,来防止此类木马的危害。 HKEY_CLASSES_ROOT\Shell.Application\ 及 HKEY_CLASSES_ROOT\Shell.Application.1\ 改名为其它的名字,如:改为Shell.Application_ChangeName 或 Shell.Application.1_ChangeName 自己以后调用的时候使用这个就可以正常调用此组件了 也要将clsid值也改一下 HKEY_CLASSES_ROOT\Shell.Application\CLSID\项目的值 HKEY_CLASSES_ROOT\Shell.Application\CLSID\项目的值 也可以将其删除,来防止此类木马的危害。 禁止Guest用户使用shell32.dll来防止调用此组件。 2000使用命令:cacls C:\WINNT\system32\shell32.dll /e /d guests 2003使用命令:cacls C:\WINDOWS\system32\shell32.dll /e /d guests 注:操作均需要重新启动WEB服务后才会生效。 四、调用Cmd.exe 禁用Guests组用户调用cmd.exe 2000使用命令:cacls C:\WINNT\system32\Cmd.exe /e /d guests 2003使用命令:cacls C:\WINDOWS\system32\Cmd.exe /e /d guests 通过以上四步的设置基本可以防范目前比较流行的几种木马,但最有效的办法还是通过综合安全设置,将服务器、程序安全都达到一定标准,才可能将安全等级设置较高,防范更多非法入侵。
|
|
|
C、防止Serv-U权限提升 (适用于 Serv-U6.0 以前版本,之后可以直接设置密码) |
|
|
|
先停掉Serv-U服务 用Ultraedit打开ServUDaemon.exe 查找 Ascii:LocalAdministrator 和 #l@$ak#.lk;0@P 修改成等长度的其它字符就可以了,ServUAdmin.exe也一样处理。 另外注意设置Serv-U所在的文件夹的权限,不要让IIS匿名用户有读取的权限,否则人家下走你修改过的文件,照样可以分析出你的管理员名和密码。 |
|
http://www.xinnethz.net/viewthread.php?tid=929 (可以测试组件安全性) |
|
4、服务器安全设置之--IIS用户设置方法
IIS安全访问的例子
|
IIS基本设置 |
|
这里举例4个不同类型脚本的虚拟主机权限设置例子
|
主机头 |
主机脚本 |
硬盘目录 |
IIS用户名 |
硬盘权限 |
应用程序池 |
主目录 |
应用程序配置 |
|
www.1.com |
HTM |
D:\www.1.com\ |
IUSR_1.com |
Administrators(完全控制) IUSR_1.com(读) |
可共用 |
读取/纯脚本 |
启用父路径 |
|
www.2.com |
ASP |
D:\www.2.com\ |
IUSR_1.com |
Administrators(完全控制) IUSR_2.com(读/写) |
可共用 |
读取/纯脚本 |
启用父路径 |
|
www.3.com |
NET |
D:\www.3.com\ |
IUSR_1.com |
Administrators(完全控制) IWAM_3.com(读/写) IUSR_3.com(读/写) |
独立池 |
读取/纯脚本 |
启用父路径 |
|
www.4.com |
PHP |
D:\www.4.com\ |
IUSR_1.com |
Administrators(完全控制) IWAM_4.com(读/写) IUSR_4.com(读/写) |
独立池 |
读取/纯脚本 |
启用父路径 |
|
其中 IWAM_3.com 和 IWAM_4.com 分别是各自独立应用程序池标识中的启动帐户 |
|||||||
|
主机脚本类型 |
应用程序扩展名 (就是文件后缀名)对应主机脚本,只需要加载以下的应用程序扩展 |
|
HTM |
STM | SHTM | SHTML | MDB |
|
ASP |
ASP | ASA | MDB |
|
NET |
ASPX | ASAX | ASCX| ASHX | ASMX | AXD | VSDISCO | REM | SOAP | CONFIG | CS |CSPROJ | VB | VBPROJ | WEBINFO | LICX | RESX | RESOURCES | MDB |
|
PHP |
PHP | PHP3 | PHP4 |
MDB是共用映射,下面用红色表示
|
应用程序扩展 |
映射文件 |
执行动作 |
|
STM=.stm |
C:\WINDOWS\system32\inetsrv\ssinc.dll |
GET,POST |
|
SHTM=.shtm |
C:\WINDOWS\system32\inetsrv\ssinc.dll |
GET,POST |
|
SHTML=.shtml |
C:\WINDOWS\system32\inetsrv\ssinc.dll |
GET,POST |
|
ASP=.asp |
C:\WINDOWS\system32\inetsrv\asp.dll |
GET,HEAD,POST,TRACE |
|
ASA=.asa |
C:\WINDOWS\system32\inetsrv\asp.dll |
GET,HEAD,POST,TRACE |
|
ASPX=.aspx |
C:\WINDOWS\Microsoft.NET\Framework\v1.1.4322\aspnet_isapi.dll |
GET,HEAD,POST,DEBUG |
|
ASAX=.asax |
C:\WINDOWS\Microsoft.NET\Framework\v1.1.4322\aspnet_isapi.dll |
GET,HEAD,POST,DEBUG |
|
ASCX=.ascx |
C:\WINDOWS\Microsoft.NET\Framework\v1.1.4322\aspnet_isapi.dll |
GET,HEAD,POST,DEBUG |
|
ASHX=.ashx |
C:\WINDOWS\Microsoft.NET\Framework\v1.1.4322\aspnet_isapi.dll |
GET,HEAD,POST,DEBUG |
|
ASMX=.asmx |
C:\WINDOWS\Microsoft.NET\Framework\v1.1.4322\aspnet_isapi.dll |
GET,HEAD,POST,DEBUG |
|
AXD=.axd |
C:\WINDOWS\Microsoft.NET\Framework\v1.1.4322\aspnet_isapi.dll |
GET,HEAD,POST,DEBUG |
|
VSDISCO=.vsdisco |
C:\WINDOWS\Microsoft.NET\Framework\v1.1.4322\aspnet_isapi.dll |
GET,HEAD,POST,DEBUG |
|
REM=.rem |
C:\WINDOWS\Microsoft.NET\Framework\v1.1.4322\aspnet_isapi.dll |
GET,HEAD,POST,DEBUG |
|
SOAP=.soap |
C:\WINDOWS\Microsoft.NET\Framework\v1.1.4322\aspnet_isapi.dll |
GET,HEAD,POST,DEBUG |
|
CONFIG=.config |
C:\WINDOWS\Microsoft.NET\Framework\v1.1.4322\aspnet_isapi.dll |
GET,HEAD,POST,DEBUG |
|
CS=.cs |
C:\WINDOWS\Microsoft.NET\Framework\v1.1.4322\aspnet_isapi.dll |
GET,HEAD,POST,DEBUG |
|
CSPROJ=.csproj |
C:\WINDOWS\Microsoft.NET\Framework\v1.1.4322\aspnet_isapi.dll |
GET,HEAD,POST,DEBUG |
|
VB=.vb |
C:\WINDOWS\Microsoft.NET\Framework\v1.1.4322\aspnet_isapi.dll |
GET,HEAD,POST,DEBUG |
|
VBPROJ=.vbproj |
C:\WINDOWS\Microsoft.NET\Framework\v1.1.4322\aspnet_isapi.dll |
GET,HEAD,POST,DEBUG |
|
WEBINFO=.webinfo |
C:\WINDOWS\Microsoft.NET\Framework\v1.1.4322\aspnet_isapi.dll |
GET,HEAD,POST,DEBUG |
|
LICX=.licx |
C:\WINDOWS\Microsoft.NET\Framework\v1.1.4322\aspnet_isapi.dll |
GET,HEAD,POST,DEBUG |
|
RESX=.resx |
C:\WINDOWS\Microsoft.NET\Framework\v1.1.4322\aspnet_isapi.dll |
GET,HEAD,POST,DEBUG |
|
RESOURCES=.resources |
C:\WINDOWS\Microsoft.NET\Framework\v1.1.4322\aspnet_isapi.dll |
GET,HEAD,POST,DEBUG |
|
PHP=.php |
C:\php5\php5isapi.dll |
GET,HEAD,POST |
|
PHP3=.php3 |
C:\php5\php5isapi.dll |
GET,HEAD,POST |
|
PHP4=.php4 |
C:\php5\php5isapi.dll |
GET,HEAD,POST |
|
MDB=.mdb |
C:\WINDOWS\system32\inetsrv\ssinc.dll |
GET,POST |
ASP.NET 进程帐户所需的 NTFS 权限
|
目录 |
所需权限 |
|
Temporary ASP.NET Files%windir%\Microsoft.NET\Framework\{版本}Temporary ASP.NET Files |
进程帐户和模拟标识: 看下面详细权限 |
|
临时目录 (%temp%) |
进程帐户 完全控制 |
|
.NET Framework 目录%windir%\Microsoft.NET\Framework\{版本} |
进程帐户和模拟标识: 读取和执行 列出文件夹内容 读取 |
|
.NET Framework 配置目录%windir%\Microsoft.NET\Framework\{版本}\CONFIG |
进程帐户和模拟标识: 读取和执行 列出文件夹内容 读取 |
|
网站根目录 C:\inetpub\wwwroot 或默认网站指向的路径 |
进程帐户: 读取 |
|
系统根目录 %windir%\system32 |
进程帐户: 读取 |
|
全局程序集高速缓存 %windir%\assembly |
进程帐户和模拟标识: 读取 |
|
内容目录 C:\inetpub\wwwroot\YourWebApp (一般来说不用默认目录,管理员可根据实际情况调整比如D:\wwwroot) |
进程帐户: 读取 列出文件夹内容 读取 注意对于 .NET Framework 1.0,直到文件系统根目录的所有父目录也都需要上述权限。父目录包括: C:\ C:\inetpub\ C:\inetpub\wwwroot\ |
|
硬盘或文件夹: C:\WINDOWS\Microsoft.NET\Framework\版本\Temporary ASP.NET Files |
|||
|
主要权限部分: |
其他权限部分: |
||
|
Administrators |
完全控制 |
ASP.NET 计算机帐户 |
读取和运行 |
|
|
该文件夹,子文件夹及文件 |
该文件夹,子文件夹及文件 |
|
|
|
<继承于E:\> |
<继承于C:\windows> |
|
|
CREATOR OWNER |
完全控制 |
ASP.NET 计算机帐户 |
写入/删除 |
|
|
只有子文件夹及文件 |
该文件夹,子文件夹及文件 |
|
|
|
<继承于E:\> |
<不是继承的> |
|
|
SYSTEM |
完全控制 |
IIS_WPG |
读取和运行 |
|
|
该文件夹,子文件夹及文件 |
该文件夹,子文件夹及文件 |
|
|
|
<继承于E:\> |
<继承于C:\windows> |
|
|
IUSR_XXX 或某个虚拟主机用户组 |
列出文件夹/读取数据 :拒绝 |
IIS_WPG |
写入/删除 |
|
该文件夹,子文件夹及文件 |
该文件夹,子文件夹及文件 |
||
|
<不是继承的> |
<不是继承的> |
||
|
Guests |
列出文件夹/读取数据 :拒绝 |
LOCAL SERVICE |
读取和运行 |
|
该文件夹,子文件夹及文件 |
该文件夹,子文件夹及文件 |
||
|
<不是继承的> |
<继承于C:\windows> |
||
|
USERS |
读取和运行 |
LOCAL SERVICE |
写入/删除 |
|
该文件夹,子文件夹及文件 |
该文件夹,子文件夹及文件 |
||
|
<继承于C:\windows> |
<不是继承的> |
||
|
|
|
NETWORK SERVICE |
读取和运行 |
|
|
|
该文件夹,子文件夹及文件 |
|
|
|
|
<继承于C:\windows> |
|
|
|
|
NETWORK SERVICE |
写入/删除 |
|
|
|
该文件夹,子文件夹及文件 |
|
|
|
|
<不是继承的> |
|
5、服务器安全设置之--服务器安全和性能配置
|
把下面文本保存为: windows2000-2003服务器安全和性能注册表自动配置文件.reg 运行即可。 |
|
Windows Registry Editor Version 5.00[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]"NoRecentDocsMenu"=hex:01,00,00,00"NoRecentDocsHistory"=hex:01,00,00,00[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]"DontDisplayLastUserName"="1"[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa]"restrictanonymous"=dword:00000001[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\Parameters]"AutoShareServer"=dword:00000000"AutoShareWks"=dword:00000000[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters]"EnableICMPRedirect"=dword:00000000"KeepAliveTime"=dword:000927c0"SynAttackProtect"=dword:00000002"TcpMaxHalfOpen"=dword:000001f4"TcpMaxHalfOpenRetried"=dword:00000190"TcpMaxConnectResponseRetransmissions"=dword:00000001"TcpMaxDataRetransmissions"=dword:00000003"TCPMaxPortsExhausted"=dword:00000005"DisableIPSourceRouting"=dword:00000002"TcpTimedWaitDelay"=dword:0000001e"TcpNumConnections"=dword:00004e20"EnablePMTUDiscovery"=dword:00000000"NoNameReleaseOnDemand"=dword:00000001"EnableDeadGWDetect"=dword:00000000"PerformRouterDiscovery"=dword:00000000"EnableICMPRedirects"=dword:00000000[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NetBT\Parameters]"BacklogIncrement"=dword:00000005"MaxConnBackLog"=dword:000007d0[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\AFD\Parameters]"EnableDynamicBacklog"=dword:00000001"MinimumDynamicBacklog"=dword:00000014"MaximumDynamicBacklog"=dword:00007530"DynamicBacklogGrowthDelta"=dword:0000000a |
|
功能:可抵御DDOS攻击2-3万包,提高服务器TCP-IP整体安全性能(效果等于软件防火墙,节约了系统资源) |
6、服务器安全设置之--IP安全策略 (仅仅列出需要屏蔽或阻止的端口或协议)
|
协议 |
IP协议端口 |
源地址 |
目标地址 |
描述 |
方式 |
|
ICMP |
-- |
-- |
-- |
ICMP |
阻止 |
|
UDP |
135 |
任何IP地址 |
我的IP地址 |
135-UDP |
阻止 |
|
UDP |
136 |
任何IP地址 |
我的IP地址 |
136-UDP |
阻止 |
|
UDP |
137 |
任何IP地址 |
我的IP地址 |
137-UDP |
阻止 |
|
UDP |
138 |
任何IP地址 |
我的IP地址 |
138-UDP |
阻止 |
|
UDP |
139 |
任何IP地址 |
我的IP地址 |
139-UDP |
阻止 |
|
TCP |
445 |
任何IP地址-从任意端口 |
我的IP地址-445 |
445-TCP |
阻止 |
|
UDP |
445 |
任何IP地址-从任意端口 |
我的IP地址-445 |
445-UDP |
阻止 |
|
UDP |
69 |
任何IP地址-从任意端口 |
我的IP地址-69 |
69-入 |
阻止 |
|
UDP |
69 |
我的IP地址-69 |
任何IP地址-任意端口 |
69-出 |
阻止 |
|
TCP |
4444 |
任何IP地址-从任意端口 |
我的IP地址-4444 |
4444-TCP |
阻止 |
|
TCP |
1026 |
我的IP地址-1026 |
任何IP地址-任意端口 |
灰鸽子-1026 |
阻止 |
|
TCP |
1027 |
我的IP地址-1027 |
任何IP地址-任意端口 |
灰鸽子-1027 |
阻止 |
|
TCP |
1028 |
我的IP地址-1028 |
任何IP地址-任意端口 |
灰鸽子-1028 |
阻止 |
|
UDP |
1026 |
我的IP地址-1026 |
任何IP地址-任意端口 |
灰鸽子-1026 |
阻止 |
|
UDP |
1027 |
我的IP地址-1027 |
任何IP地址-任意端口 |
灰鸽子-1027 |
阻止 |
|
UDP |
1028 |
我的IP地址-1028 |
任何IP地址-任意端口 |
灰鸽子-1028 |
阻止 |
|
TCP |
21 |
我的IP地址-从任意端口 |
任何IP地址-到21端口 |
阻止tftp出站 |
阻止 |
|
TCP |
99 |
我的IP地址-99 |
任何IP地址-任意端口 |
阻止99shell |
阻止 |
以上是IP安全策略里的设置,可以根据实际情况,增加或删除端口。
7、服务器安全设置之--本地安全策略设置
安全策略自动更新命令:GPUpdate /force (应用组策略自动生效不需重新启动)
开始菜单—>管理工具—>本地安全策略
A、本地策略——>审核策略
审核策略更改 成功 失败
审核登录事件 成功 失败
审核对象访问 失败
审核过程跟踪 无审核
审核目录服务访问 失败
审核特权使用 失败
审核系统事件 成功 失败
审核账户登录事件 成功 失败
审核账户管理 成功 失败 B、本地策略——>用户权限分配
关闭系统:只有Administrators组、其它全部删除。
通过终端服务拒绝登陆:加入Guests、User组
通过终端服务允许登陆:只加入Administrators组,其他全部删除
C、本地策略——>安全选项
交互式登陆:不显示上次的用户名 启用
网络访问:不允许SAM帐户和共享的匿名枚举 启用
网络访问:不允许为网络身份验证储存凭证 启用
网络访问:可匿名访问的共享 全部删除
网络访问:可匿名访问的命 全部删除
网络访问:可远程访问的注册表路径 全部删除
网络访问:可远程访问的注册表路径和子路径 全部删除
帐户:重命名来宾帐户 重命名一个帐户
帐户:重命名系统管理员帐户 重命名一个帐户
|
UI 中的设置名称 |
企业客户端台式计算机 |
企业客户端便携式计算机 |
高安全级台式计算机 |
高安全级便携式计算机 |
|
帐户: 使用空白密码的本地帐户只允许进行控制台登录 |
已启用 |
已启用 |
已启用 |
已启用 |
|
帐户: 重命名系统管理员帐户 |
推荐 |
推荐 |
推荐 |
推荐 |
|
帐户: 重命名来宾帐户 |
推荐 |
推荐 |
推荐 |
推荐 |
|
设备: 允许不登录移除 |
已禁用 |
已启用 |
已禁用 |
已禁用 |
|
设备: 允许格式化和弹出可移动媒体 |
Administrators, Interactive Users |
Administrators, Interactive Users |
Administrators |
Administrators |
|
设备: 防止用户安装打印机驱动程序 |
已启用 |
已禁用 |
已启用 |
已禁用 |
|
设备: 只有本地登录的用户才能访问 CD-ROM |
已禁用 |
已禁用 |
已启用 |
已启用 |
|
设备: 只有本地登录的用户才能访问软盘 |
已启用 |
已启用 |
已启用 |
已启用 |
|
设备: 未签名驱动程序的安装操作 |
允许安装但发出警告 |
允许安装但发出警告 |
禁止安装 |
禁止安装 |
|
域成员: 需要强 (Windows 2000 或以上版本) 会话密钥 |
已启用 |
已启用 |
已启用 |
已启用 |
|
交互式登录: 不显示上次的用户名 |
已启用 |
已启用 |
已启用 |
已启用 |
|
交互式登录: 不需要按 CTRL+ALT+DEL |
已禁用 |
已禁用 |
已禁用 |
已禁用 |
|
交互式登录: 用户试图登录时消息文字 |
此系统限制为仅授权用户。尝试进行未经授权访问的个人将受到起诉。 |
此系统限制为仅授权用户。尝试进行未经授权访问的个人将受到起诉。 |
此系统限制为仅授权用户。尝试进行未经授权访问的个人将受到起诉。 |
此系统限制为仅授权用户。尝试进行未经授权访问的个人将受到起诉。 |
|
交互式登录: 用户试图登录时消息标题 |
继续在没有适当授权的情况下使用是违法行为。 |
继续在没有适当授权的情况下使用是违法行为。 |
继续在没有适当授权的情况下使用是违法行为。 |
继续在没有适当授权的情况下使用是违法行为。 |
|
交互式登录: 可被缓存的前次登录个数 (在域控制器不可用的情况下) |
2 |
2 |
0 |
1 |
|
交互式登录: 在密码到期前提示用户更改密码 |
14 天 |
14 天 |
14 天 |
14 天 |
|
交互式登录: 要求域控制器身份验证以解锁工作站 |
已禁用 |
已禁用 |
已启用 |
已禁用 |
|
交互式登录: 智能卡移除操作 |
锁定工作站 |
锁定工作站 |
锁定工作站 |
锁定工作站 |
|
Microsoft 网络客户: 数字签名的通信(若服务器同意) |
已启用 |
已启用 |
已启用 |
已启用 |
|
Microsoft 网络客户: 发送未加密的密码到第三方 SMB 服务器。 |
已禁用 |
已禁用 |
已禁用 |
已禁用 |
|
Microsoft 网络服务器: 在挂起会话之前所需的空闲时间 |
15 分钟 |
15 分钟 |
15 分钟 |
15 分钟 |
|
Microsoft 网络服务器: 数字签名的通信(总是) |
已启用 |
已启用 |
已启用 |
已启用 |
|
Microsoft 网络服务器: 数字签名的通信(若客户同意) |
已启用 |
已启用 |
已启用 |
已启用 |
|
Microsoft 网络服务器: 当登录时间用完时自动注销用户 |
已启用 |
已禁用 |
已启用 |
已禁用 |
|
网络访问: 允许匿名 SID/名称 转换 |
已禁用 |
已禁用 |
已禁用 |
已禁用 |
|
网络访问: 不允许 SAM 帐户和共享的匿名枚举 |
已启用 |
已启用 |
已启用 |
已启用 |
|
网络访问: 不允许 SAM 帐户和共享的匿名枚举 |
已启用 |
已启用 |
已启用 |
已启用 |
|
网络访问: 不允许为网络身份验证储存凭据或 .NET Passports |
已启用 |
已启用 |
已启用 |
已启用 |
|
网络访问: 限制匿名访问命名管道和共享 |
已启用 |
已启用 |
已启用 |
已启用 |
|
网络访问: 本地帐户的共享和安全模式 |
经典 - 本地用户以自己的身份验证 |
经典 - 本地用户以自己的身份验证 |
经典 - 本地用户以自己的身份验证 |
经典 - 本地用户以自己的身份验证 |
|
网络安全: 不要在下次更改密码时存储 LAN Manager 的哈希值 |
已启用 |
已启用 |
已启用 |
已启用 |
|
网络安全: 在超过登录时间后强制注销 |
已启用 |
已禁用 |
已启用 |
已禁用 |
|
网络安全: LAN Manager 身份验证级别 |
仅发送 NTLMv2 响应 |
仅发送 NTLMv2 响应 |
仅发送 NTLMv2 响应\拒绝 LM & NTLM |
仅发送 NTLMv2 响应\拒绝 LM & NTLM |
|
网络安全: 基于 NTLM SSP(包括安全 RPC)客户的最小会话安全 |
没有最小 |
没有最小 |
要求 NTLMv2 会话安全 要求 128-位加密 |
要求 NTLMv2 会话安全 要求 128-位加密 |
|
网络安全: 基于 NTLM SSP(包括安全 RPC)服务器的最小会话安全 |
没有最小 |
没有最小 |
要求 NTLMv2 会话安全 要求 128-位加密 |
要求 NTLMv2 会话安全 要求 128-位加密 |
|
故障恢复控制台: 允许自动系统管理级登录 |
已禁用 |
已禁用 |
已禁用 |
已禁用 |
|
故障恢复控制台: 允许对所有驱动器和文件夹进行软盘复制和访问 |
已启用 |
已启用 |
已禁用 |
已禁用 |
|
关机: 允许在未登录前关机 |
已禁用 |
已禁用 |
已禁用 |
已禁用 |
|
关机: 清理虚拟内存页面文件 |
已禁用 |
已禁用 |
已启用 |
已启用 |
|
系统加密: 使用 FIPS 兼容的算法来加密,哈希和签名 |
已禁用 |
已禁用 |
已禁用 |
已禁用 |
|
系统对象: 由管理员 (Administrators) 组成员所创建的对象默认所有者 |
对象创建者 |
对象创建者 |
对象创建者 |
对象创建者 |
|
系统设置: 为软件限制策略对 Windows 可执行文件使用证书规则 |
已禁用 |
已禁用 |
已禁用 |
已禁用 |
8、防御PHP木马攻击的技巧
|
|
|
PHP本身再老版本有一些问题,比如在 php4.3.10和php5.0.3以前有一些比较严重的bug,所以推荐使用新版。另外,目前闹的轰轰烈烈的SQL Injection也是在PHP上有很多利用方式,所以要保证 安全,PHP代码编写是一方面,PHP的配置更是非常关键。 我们php手手工安装的,php的默认配置文件在 /usr/local/apache2/conf/php.ini,我们最主要就是要配置php.ini中的内容,让我们执行 php能够更安全。整个PHP中的安全设置主要是为了防止phpshell和SQL Injection的攻击,一下我们慢慢探讨。我们先使用任何编辑工具打开 /etc/local/apache2/conf/php.ini,如果你是采用其他方式安装,配置文件可能不在该目录。 (1) 打开php的安全模式 php的安全模式是个非常重要的内嵌的安全机制,能够控制一些php中的函数,比如system(), 同时把很多文件操作函数进行了权限控制,也不允许对某些关键文件的文件,比如/etc/passwd, 但是默认的php.ini是没有打开安全模式的,我们把它打开: safe_mode = on (2) 用户组安全 当safe_mode打开时,safe_mode_gid被关闭,那么php脚本能够对文件进行访问,而且相同 组的用户也能够对文件进行访问。 建议设置为: safe_mode_gid = off 如果不进行设置,可能我们无法对我们服务器网站目录下的文件进行操作了,比如我们需要 对文件进行操作的时候。 (3) 安全模式下执行程序主目录 如果安全模式打开了,但是却是要执行某些程序的时候,可以指定要执行程序的主目录: safe_mode_exec_dir = D:/usr/bin 一般情况下是不需要执行什么程序的,所以推荐不要执行系统程序目录,可以指向一个目录, 然后把需要执行的程序拷贝过去,比如: safe_mode_exec_dir = D:/tmp/cmd 但是,我更推荐不要执行任何程序,那么就可以指向我们网页目录: safe_mode_exec_dir = D:/usr/www (4) 安全模式下包含文件 如果要在安全模式下包含某些公共文件,那么就修改一下选项: safe_mode_include_dir = D:/usr/www/include/ 其实一般php脚本中包含文件都是在程序自己已经写好了,这个可以根据具体需要设置。 (5) 控制php脚本能访问的目录 使用open_basedir选项能够控制PHP脚本只能访问指定的目录,这样能够避免PHP脚本访问 不应该访问的文件,一定程度上限制了phpshell的危害,我们一般可以设置为只能访问网站目录: open_basedir = D:/usr/www (6) 关闭危险函数 如果打开了安全模式,那么函数禁止是可以不需要的,但是我们为了安全还是考虑进去。比如, 我们觉得不希望执行包括system()等在那的能够执行命令的php函数,或者能够查看php信息的 phpinfo()等函数,那么我们就可以禁止它们: disable_functions = system,passthru,exec,shell_exec,popen,phpinfo 如果你要禁止任何文件和目录的操作,那么可以关闭很多文件操作 disable_functions = chdir,chroot,dir,getcwd,opendir,readdir,scandir,fopen,unlink,delete,copy,mkdir, rmdir,rename,file,file_get_contents,fputs,fwrite,chgrp,chmod,chown 以上只是列了部分不叫常用的文件处理函数,你也可以把上面执行命令函数和这个函数结合, 就能够抵制大部分的phpshell了。 (7) 关闭PHP版本信息在http头中的泄漏 我们为了防止黑客获取服务器中php版本的信息,可以关闭该信息斜路在http头中: expose_php = Off 比如黑客在 telnet www.12345.com 80 的时候,那么将无法看到PHP的信息。 (8) 关闭注册全局变量 在PHP中提交的变量,包括使用POST或者GET提交的变量,都将自动注册为全局变量,能够直接访问, 这是对服务器非常不安全的,所以我们不能让它注册为全局变量,就把注册全局变量选项关闭: register_globals = Off 当然,如果这样设置了,那么获取对应变量的时候就要采用合理方式,比如获取GET提交的变量var, 那么就要用$_GET['var']来进行获取,这个php程序员要注意。 (9) 打开magic_quotes_gpc来防止SQL注入 SQL注入是非常危险的问题,小则网站后台被入侵,重则整个服务器沦陷, 所以一定要小心。php.ini中有一个设置: magic_quotes_gpc = Off 这个默认是关闭的,如果它打开后将自动把用户提交对sql的查询进行转换, 比如把 ' 转为 \'等,这对防止sql注射有重大作用。所以我们推荐设置为: magic_quotes_gpc = On (10) 错误信息控制 一般php在没有连接到数据库或者其他情况下会有提示错误,一般错误信息中会包含php脚本当 前的路径信息或者查询的SQL语句等信息,这类信息提供给黑客后,是不安全的,所以一般服务器建议禁止错误提示: display_errors = Off 如果你却是是要显示错误信息,一定要设置显示错误的级别,比如只显示警告以上的信息: error_reporting = E_WARNING & E_ERROR 当然,我还是建议关闭错误提示。 (11) 错误日志 建议在关闭display_errors后能够把错误信息记录下来,便于查找服务器运行的原因: log_errors = On 同时也要设置错误日志存放的目录,建议根apache的日志存在一起: error_log = D:/usr/local/apache2/logs/php_error.log 注意:给文件必须允许apache用户的和组具有写的权限。 MYSQL的降权运行 新建立一个用户比如mysqlstart net user mysqlstart fuckmicrosoft /add net localgroup users mysqlstart /del 不属于任何组 如果MYSQL装在d:\mysql ,那么,给 mysqlstart 完全控制 的权限 然后在系统服务中设置,MYSQL的服务属性,在登录属性当中,选择此用户 mysqlstart 然后输入密码,确定。 重新启动 MYSQL服务,然后MYSQL就运行在低权限下了。 如果是在windos平台下搭建的apache我们还需要注意一点,apache默认运行是system权限, 这很恐怖,这让人感觉很不爽.那我们就给apache降降权限吧。 net user apache fuckmicrosoft /add net localgroup users apache /del ok.我们建立了一个不属于任何组的用户apche。 我们打开计算机管理器,选服务,点apache服务的属性,我们选择log on,选择this account,我们填入上面所建立的账户和密码, 重启apache服务,ok,apache运行在低权限下了。 实际上我们还可以通过设置各个文件夹的权限,来让apache用户只能执行我们想让它能干的事情,给每一个目录建立一个单独能读写的用户。 这也是当前很多虚拟主机提供商的流行配置方法哦,不过这种方法用于防止这里就显的有点大材小用了。 |
9、MSSQL安全设置
|
sql2000安全很重要 |
|
将有安全问题的SQL过程删除.比较全面.一切为了安全! 删除了调用shell,注册表,COM组件的破坏权限 use master EXEC sp_dropextendedproc 'xp_cmdshell' EXEC sp_dropextendedproc 'Sp_OACreate' EXEC sp_dropextendedproc 'Sp_OADestroy' EXEC sp_dropextendedproc 'Sp_OAGetErrorInfo' EXEC sp_dropextendedproc 'Sp_OAGetProperty' EXEC sp_dropextendedproc 'Sp_OAMethod' EXEC sp_dropextendedproc 'Sp_OASetProperty' EXEC sp_dropextendedproc 'Sp_OAStop' EXEC sp_dropextendedproc 'Xp_regaddmultistring' EXEC sp_dropextendedproc 'Xp_regdeletekey' EXEC sp_dropextendedproc 'Xp_regdeletevalue' EXEC sp_dropextendedproc 'Xp_regenumvalues' EXEC sp_dropextendedproc 'Xp_regread' EXEC sp_dropextendedproc 'Xp_regremovemultistring' EXEC sp_dropextendedproc 'Xp_regwrite' drop procedure sp_makewebtask 全部复制到"SQL查询分析器" 点击菜单上的--"查询"--"执行",就会将有安全问题的SQL过程删除(以上是7i24的正版用户的技术支持) 更改默认SA空密码.数据库链接不要使用SA帐户.单数据库单独设使用帐户.只给public和db_owner权限. 数据库不要放在默认的位置. SQL不要安装在PROGRAM FILE目录下面. 最近的SQL2000补丁是SP4 |
10、启用WINDOWS自带的防火墙
|
启用win防火墙 |
|
桌面—>网上邻居—>(右键)属性—>本地连接—>(右键)属性—>高级—> (选中)Internet 连接防火墙—>设置 把服务器上面要用到的服务端口选中 例如:一台WEB服务器,要提供WEB(80)、FTP(21)服务及远程桌面管理(3389) 在“FTP 服务器”、“WEB服务器(HTTP)”、“远程桌面”、“安全WEB服务器”前面打上对号 如果你要提供服务的端口不在里面,你也可以点击“添加”铵钮来添加,SMTP和POP3根据需要打开 具体参数可以参照系统里面原有的参数。 然后点击确定。注意:如果是远程管理这台服务器,请先确定远程管理的端口是否选中或添加。 一般需要打开的端口有:21、 25、 80、 110、 443、 3389、 等,根据需要开放需要的端口。 |
11、用户安全设置
|
用户安全设置 |
|
用户安全设置 1、禁用Guest账号 在计算机管理的用户里面把Guest账号禁用。为了保险起见,最好给Guest加一个复杂的密码。你可以打开记事本,在里面输入一串包含特殊字符、数字、字母的长字符串,然后把它作为Guest用户的密码拷进去。 2、限制不必要的用户 去掉所有的Duplicate User用户、测试用户、共享用户等等。用户组策略设置相应权限,并且经常检查系统的用户,删除已经不再使用的用户。这些用户很多时候都是黑客们入侵系统的突破口。 3、创建两个管理员账号 创建一个一般权限用户用来收信以及处理一些日常事物,另一个拥有Administrators 权限的用户只在需要的时候使用。 4、把系统Administrator账号改名 大家都知道,Windows 2000 的Administrator用户是不能被停用的,这意味着别人可以一遍又一遍地尝试这个用户的密码。尽量把它伪装成普通用户,比如改成Guesycludx。 5、创建一个陷阱用户 什么是陷阱用户?即创建一个名为“Administrator”的本地用户,把它的权限设置成最低,什么事也干不了的那种,并且加上一个超过10位的超级复杂密码。这样可以让那些 Hacker们忙上一段时间,借此发现它们的入侵企图。 6、把共享文件的权限从Everyone组改成授权用户 任何时候都不要把共享文件的用户设置成“Everyone”组,包括打印共享,默认的属性就是“Everyone”组的,一定不要忘了改。 7、开启用户策略 使用用户策略,分别设置复位用户锁定计数器时间为20分钟,用户锁定时间为20分钟,用户锁定阈值为3次。 8、不让系统显示上次登录的用户名 默认情况下,登录对话框中会显示上次登录的用户名。这使得别人可以很容易地得到系统的一些用户名,进而做密码猜测。修改注册表可以不让对话框里显示上次登录的用户名。方法为:打开注册表编辑器并找到注册表项“HKLMSoftwareMicrosoftWindows TCurrentVersionWinlogonDont-DisplayLastUserName”,把REG_SZ的键值改成1。 密码安全设置 1、使用安全密码 一些公司的管理员创建账号的时候往往用公司名、计算机名做用户名,然后又把这些用户的密码设置得太简单,比如“welcome”等等。因此,要注意密码的复杂性,还要记住经常改密码。 2、设置屏幕保护密码 这是一个很简单也很有必要的操作。设置屏幕保护密码也是防止内部人员破坏服务器的一个屏障。 3、开启密码策略 注意应用密码策略,如启用密码复杂性要求,设置密码长度最小值为6位 ,设置强制密码历史为5次,时间为42天。 4、考虑使用智能卡来代替密码 对于密码,总是使安全管理员进退两难,密码设置简单容易受到黑客的攻击,密码设置复杂又容易忘记。如果条件允许,用智能卡来代替复杂的密码是一个很好的解决方法。 |
12、Windows2003 下安装 WinWebMail 3.6.3.1 完全攻略手册
|
这段时间论坛上有朋友提及无法在WINDOWS2003+IIS6下面建立WINWEBMAIL邮件,遇到不一些问题,特意将这篇旧文重新发一次给大家 1)查看硬盘:两块9.1G SCSI 硬盘(实容量8.46*2) 2)分区 系统分区X盘7.49G WEB 分区X盘1.0G 邮件分区X盘8.46G(带1000个100M的邮箱足够了) 3)安装WINDOWS SERVER 2003 4)打基本补丁(防毒)...在这之前一定不要接网线! 5)在线打补丁 6)卸载或禁用微软的SMTP服务(Simple Mail Transpor Protocol),否则会发生端口冲突 7)安装WinWebMail,然后重启服务器使WinWebMail完成安装.并注册.然后恢复WinWebMail数据. 8)安装Norton 8.0并按WinWebMail帮助内容设定,使Norton与WinWebMail联合起到邮件杀毒作用(将Norton更新到最新的病毒库) 8.1 启用Norton的实时防护功能 8.2 必须要设置对于宏病毒和非宏病毒的第1步操作都必须是删除被感染文件,并且必须关闭警告提示!! 8.3 必须要在查毒设置中排除掉安装目录下的 \mail 及其所有子目录,只针对WinWebMail安装文件夹下的 \temp 文件夹进行实时查毒。注意:如果没有 \temp 文件夹时,先手工创建此 \temp 文件夹,然后再进行此项设置。 9)将WinWebMail的DNS设置为win2k3中网络设置的DNS,切记,要想发的出去最好设置一个不同的备用DNS地址,对外发信的就全靠这些DNS地址了 10)给予安装 WinWebMail 的盘符以及父目录以 Internet 来宾帐户 (IUSR_*) 允许 [读取\运行\列出文件夹目录] 的权限. WinWebMail的安装目录,INTERNET访问帐号完全控制 给予[超级用户/SYSTEM]在安装盘和目录中[完全控制]权限,重启IIS以保证设定生效. 11)防止外发垃圾邮件: 11.1 在服务器上点击右下角图标,然后在弹出菜单的“系统设置”-->“收发规则”中选中“启用SMTP发信认证功能”项,有效的防范外发垃圾邮件。 11.2 在“系统设置”-->“收发规则”中选中“只允许系统内用户对外发信”项。 11.3 在服务器上点击右下角图标,然后在弹出菜单的“系统设置”-->“防护”页选中“启用外发垃圾邮件自动过滤功能”项,然后再启用其设置中的“允许自动调整”项。 11.4 “系统设置”-->“收发规则”中设置“最大收件人数”-----> 10. 11.5 “系统设置”-->“防护”页选中“启用连接攻击保护功能”项,然后再设置“启用自动保护功能”. 11.6 用户级防付垃圾邮件,需登录WebMail,在“选项 | 防垃圾邮件”中进行设置。 12)打开IIS 6.0, 确认启用支持 asp 功能, 然后在默认站点下建一个虚拟目录(如: mail), 然后指向安装 WinWebMail 目录下的 \Web 子目录, 打开浏览器就可以按下面的地址访问webmail了: http://<;;你的IP或域名>/mail/什么? 嫌麻烦不想建? 那可要错过WinWebMail强大的webmail功能了, 3分钟的设置保证物超所值 :) 13)Web基本设置: 13.1 确认“系统设置”-->“资源使用设置”内没有选中“公开申请的是含域名帐号” 13.2 “系统设置”-->“收发规则”中设置Helo为您域名的MX记录 13.3.解决SERVER 2003不能上传大附件的问题: 13.3.1 在服务里关闭 iis admin service 服务。 13.3.2 找到 windows\system32\inetsrv\ 下的 metabase.xml 文件。 13.3.3 用纯文本方式打开,找到 ASPMaxRequestEntityAllowed 把它修改为需要的值(可修改为10M即:10240000),默认为:204800,即:200K。 13.3.4 存盘,然后重启 iis admin service 服务。 13.4.解决SERVER 2003无法下载超过4M的附件的问题 13.4.1 先在服务里关闭 iis admin service 服务。 13.4.2 找到 windows\system32\inetsrv\ 下的 metabase.xml 文件。 13.4.3 用纯文本方式打开,找到 AspBufferingLimit 把它修改为需要的值(可修改为20M即:20480000)。 13.4.4 存盘,然后重启 iis admin service 服务。 13.5.解决大附件上传容易超时失败的问题. 在IIS中调大一些脚本超时时间,操作方法是: 在IIS的“站点或(虚拟目录)”的“主目录”下点击“配置”按钮,设置脚本超时间为:300秒(注意:不是Session超时时间)。 13.6.解决Windows 2003的IIS 6.0中,Web登录时经常出现"[超时,请重试]"的提示. 将WebMail所使用的应用程序池“属性-->回收”中的“回收工作进程”以及"属性-->性能"中的“在空闲此段时间后关闭工作进程”这两个选项前的勾号去掉,然后重启一下IIS即可解决. 13.7.解决通过WebMail写信时间较长后,按下发信按钮就会回到系统登录界面的问题. 适当增加会话时间(Session)为 60分钟。在IIS站点或虚拟目录属性的“主目录”下点击[配置---选项],就可以进行设置了(SERVER 2003默认为20分钟). 13.8.安装后查看WinWebMail的安装目录下有没有 \temp 目录,如没有,手工建立一个. 14)做邮件收发及10M附件测试(内对外,内对内,外对内). 15)打开2003自带防火墙,并打开POP3.SMTP.WEB.远程桌面.充许此4项服务, OK, 如果想用IMAP4或SSL的SMTP.POP3.IMAP4也需要打开相应的端口. 16)再次做邮件收发测试(内对外,内对内,外对内). 17)改名、加强壮口令,并禁用GUEST帐号。 18)改名超级用户、建立假administrator、建立第二个超级用户。 都搞定了!忙了半天, 现在终于可以来享受一把 WinWebMail 的超强 webmail 功能了, let's go! |
13、IIS+PHP+MySQL+Zend Optimizer+GD库+phpMyAdmin安装配置[完整修正实用版]
|
最新mysql5.0.45+php5.2.5+zend3.3.0a+phpmyadmin2.11.x+php环境搭建教程下载 http://www.xinnethz.net/thread-936-1-1.html |
14、一般故障解决
一般网站最容易发生的故障的解决方法
|
1.出现提示网页无法显示,500错误的时候,又没有详细的提示信息 可以进行下面的操作显示详细的提示信息:IE-工具-internet选项-高级-友好的http错误信息提示,将这选项前面不打勾,则可以看到详细的提示信息了 以下是解决500错误的方法。请复制以下信息并保存为: 解决IIS6.0的(asp不能访问)请求的资源在使用中的办法.bat 然后在服务器上执行一下,你的ASP就又可以正常运行了。 @ECHO OFFCLSECHO.echo 文件说明:解决IIS6.0的: [请求的资源在使用中] 之最佳解决方法echo 正在恢复IIS的500错误,请稍等......ECHO.ECHO 正在停止IIS服务....net stop iisadmin /yECHO.ECHO 正在注册组件....ECHO 注册组件文件:jscript.dllregsvr32 /s %windir%\system32\jscript.dllECHO 正在注册组件....ECHO 注册组件文件:PE_CRM6.dllregsvr32 /s %windir%\system32\vbscript.dllECHO.ECHO 正在启动IIS服务....net start w3svcECHO.ECHO 恭喜你!500错误解决成功!ECHO.pauseexit 2.系统在安装的时候提示数据库连接错误 一是检查const文件的设置关于数据库的路径设置是否正确 二是检查服务器上面的数据库的路径和用户名、密码等是否正确 3.IIS不支持ASP解决办法: IIS的默认解析语言是否正确设定?将默认改为VBSCRIPT,进入IIS,右键单击默认Web站点,选择属性,在目录安全性选项卡的匿名访问和身份验证控制中,单击编辑,在身份验证方法属性页中,去掉匿名访问的选择试试. 4.FSO没有权限 FSO的权限问题,可以在后台测试是否能删除文件,解决FSO组件是否开启的方法如下: 首先在系统盘中查找scrrun.dll,如果存在这个文件,请跳到第三步,如果没有,请执行第二步。 在安装文件目录i386中找到scrrun.dl_,用winrar解压缩,得scrrun.dll,然后复制到(你的系统盘)C:\windows\system32\目录中。 运行regsvr32 scrrun.dll即可。 如果想关闭FSO组件,请运行regsvr32/u scrrun.dll即可 5.Microsoft JET Database Engine 错误 '80040e09' 不能更新。数据库或对象为只读 原因分析: 未打开数据库目录的读写权限 解决方法: ( 1 )检查是否在 IIS 中对整个网站打开了 “ 写入 ” 权限,而不仅仅是数据库文件。 ( 2 )检查是否在 WIN2000 的资源管理器中,将网站所在目录对 EveryOne 用户打开所有权限。具体方法是: 打开 “ 我的电脑 ”---- 找到网站所在文件夹 ---- 在其上点右键 ---- 选 “ 属性 ”----- 切换到 “ 安全性 ” 选项卡,在这里给 EveryOne 用户所有权限。 注意: 如果你的系统是 XP ,请先点 “ 工具 ”----“ 文件夹选项 ”----“ 查看 ”----- 去掉 “ 使用简单文件共享 ” 前的勾,确定后,文件夹 “ 属性 ” 对话框中才会有 “ 安全性 ” 这一个选项卡。 6.验证码不能显示 原因分析: 造成该问题的原因是 Service Pack 2 为了提高系统的稳定性,默认状态下是屏蔽了对 XBM,也即是 x-bitmap 格式的图片的显示,而这些验证码恰恰是 XBM 格式的,所以显示不出来了。 解决办法: 解决的方法其实也很简单,只需在系统注册表中添加键值 "BlockXBM"=dword:00000000 就可以了,具体操作如下: 1》打开系统注册表; 2》依次点开HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Internet Explorer\\Security; 3》在屏幕右边空白处点击鼠标右键,选择新建一个名为“BlockXBM”为的 DWORD 键,其值为默认的0。 4》退出注册表编辑器。 如果操作系统是2003系统则看是否开启了父路径 7.windows 2003配置IIS支持.shtml 要使用 Shtml 的文件,则系统必须支持SSI,SSI必须是管理员通过Web 服务扩展启用的 windows 2003安装好IIS之后默认是支持.shtml的,只要在“WEB服务扩展”允许“在服务器前端的包含文件”即可 8.如何去掉“处理 URL 时服务器出错。请与系统管理员联系。” 如果是本地服务器的话,请右键点IIS默认网站,选属性,在主目录里点配置,选调试。 选中向客户端发送详细的ASP错误消息。 然后再调试程序,此时就可以显示出正确的错误代码。 如果你是租用的空间的话,请和你的空间商联系. |
