正如安全的秘诀,LAND2常规安全设置及宗旨安全攻略

一、系统的装置

1、服务器安全设置之–硬盘权限篇

SQL     Server服务器      

用的腾讯云最早选购的时候悲催的唯有Windows Server 二〇一〇LAND2的种类,原本一直用的Windows Server
2000对二〇一〇用起来还不是可怜纯熟,对于部分中央设置及主旨安全战略,在网络搜了一下,整理大概有以下拾八个地方,若是有没聊到的盼望大家踊跃建议哈!

1、依照Windows二〇〇三装置光盘的晋升安装,私下认可意况下二零零零向来不把IIS6.0安装在系统之中。

此间首要谈必要的权能,也正是终极文件夹或硬盘须求的权位,能够防卫种种木马侵略,提权攻击,跨站攻击等。本实例经过数次检查实验,安全质量很好,服务器基本没有被木马胁迫的忧虑了。

                        –开始      

比较重大的几部

2、IIS6.0的安装
开头菜单—>调控面板—>增多或删除程序—>增添/删除Windows组件
应用程序 ———ASP.NET(可选)
|——启用网络 COM+ 访问(必选)
|——Internet 消息服务(IIS)———Internet 音信服务管理器(必选)
|——公用文件(必选)
|——万维网服务———Active Server pages(必选)
|——Internet 数据连接器(可选)
|——WebDAV 发布(可选)
|——万维网服务(必选)
|——在劳动器端的包罗文件(可选)
下一场点击明确—>下一步安装。

硬盘或文件夹: C:\ D:\ E:\ F:\ 类推

                        –程序      

1.更动暗许administrator用户名,复杂密码
2.敞开防火墙
3.安装杀毒软件

3、系统补丁的翻新
点击伊始菜单—>全部程序—>Windows Update
循规蹈矩提醒实行补丁的设置。

根本权力部分:

                        –Microsoft     SQL     Server      

1)新做系统必须要先打上补丁
2)安装须要的杀毒软件
3)删除系统暗中认可分享

4、备份系统
用GHOST备份系统。

任何权限部分:

                        –服务器互联网实用工具      

4)修改本地攻略——>安全选项
交互式登陆:不彰显最后的用户名 启用
网络访问:不允许SAM 帐户和分享的佚名枚举 启用
网络访谈: 不容许存款和储蓄网络身份验证的凭证或 .NET Passports 启用
网络访谈:可长途采访的注册表路线和子路线 全体去除
5)禁止使用不必要的劳务
TCP/IP NetBIOS Helper、Server、 Distributed Link Tracking Client 、Print
Spooler、Remote Registry、Workstation
6)禁用IPV6

5、安装常用的软件
诸如:杀毒软件、解压缩软件等;安装之后用GHOST再次备份系统。

Administrators

                        –启用的情商中”TCP/IP”      

server 二〇〇九 r2交互式登入: 不突显最后的用户名

二、系统权限的设置
1、磁盘权限
系统盘及全体磁盘只给 Administrators 组和 SYSTEM 的一心调整权限
系统盘\Documents and Settings 目录只给 Administrators 组和 SYSTEM
的一丝一毫调节权限
系统盘\Documents and Settings\All Users 目录只给 Administrators 组和
SYSTEM 的通通调整权限
系统盘\Inetpub 目录及下边全体目录、文件只给 Administrators 组和 SYSTEM
的通通调整权限
系统盘\Windows\System32\cacls.exe、cmd.exe、net.exe、net1.exe
文本只给 Administrators 组和 SYSTEM 的通通调控权限

一心调节

                        –属性      

骨子里最珍视的就是开启防火墙+服务器安全狗(安全狗自带的部分效果与利益基本上都安装的几近了)+mysql(sqlserver)低权限运行基本上就相当多了。3389长距离登入,绝对要限制ip登入。

2、本地安全计谋设置
开端菜单—>管理工科具—>本地安全攻略
A、本地战术——>审查战略
审结攻略退换   成功 失利
审查批准登入事件   成功 败北
核查查象访谈      失利
审查管理进程追踪   无审批
核准目录服务会见    失利
核实特权选用      战败
核查系统事件   成功 失利
审买下账单户登入事件 成功 战败
考察账户管理   成功 战败


如果设置了别的运营条件,比方PHP等,则基于PHP的处境效果与利益要求来安装硬盘权限,一般是设置目录加上users读取运维权限就足足了,例如c:\php的话,就在根目录权限承接的事态下增进users读取运营权限,须要写入数据的譬喻tmp文件夹,则把users的写删权限加上,运维权限不要,然后把虚构主机用户的读权限拒绝就可以。如若是mysql的话,用三个独门用户运营MYSQL会更安全,下边会有介绍。假设是winwebmail,则最佳建设构造单独的采纳程序池和独立IIS用户,然后全体安装目录有users用户的读/运营/写/权限,IIS用户则没有差异于,那些IIS用户就只用在winwebmail的WEB访谈中,别的IIS站点切勿使用,安装了winwebmail的服务器硬盘权限设置前边例如

                        –私下认可端口,输入二个自已定义的端口,举例2433    
 

一、系统及顺序

B、 本地计策——>用户权限分配
关闭系统:唯有Administrators组、另外一切刨除。
通过极端服务拒绝登陆:加入Guests、User组
由此极端服务允许登录:只参预Administrators组,别的全数去除

该公文夹,子文件夹及文件

                        –勾选遮掩服务器   

1、显示器珍视与电源

C、本地攻略——>安全选项
交互式登入:不显得上次的用户名       启用
互连网访谈:区别意SAM帐户和分享的佚名枚举   启用
网络访问:不一样意为互连网身份验证积攒凭证   启用
互连网访谈:可无名氏访谈的分享         全体删减
互联网访谈:可无名氏访谈的命          全体刨除
互连网访谈:可长途访谈的注册表路线      全体刨除
互联网访谈:可长途访谈的注册表路径和子路径  全部去除
帐户:重命名吕梁帐户            重命名叁个帐户
帐户:重命名系统管理员帐户         重命名一个帐户

 

宗旨一:关闭windows2004不供给的劳务

桌面右键–〉本性化–〉荧屏爱抚程序,荧屏保护程序 接纳无,改变电源设置
选取高质量,选取关闭显示屏的光阴 关闭显示器 选 从不 保存修改

3、禁止使用不要求的劳动
开始菜单—>管理工科具—>服务
Print Spooler
Remote Registry
TCP/IP NetBIOS Helper
Server

<不是再三再四的>

  ·Computer Browser 维护网络上Computer的新颖列表以及提供那几个列表

2、配置IIS7组件、FTP7、php 5.5.7、mysql 5.6.15、phpMyAdmin
4.1.8、phpwind
9.0、ISAPI_Rewrite碰着。在这里小编给大家能够引入下阿里云的服务器一键情状布署,全自动安装设置很不错的。点击查看地址

以上是在Windows Server 二〇〇三系统方面暗中同意运转的服务中禁止使用的,暗许禁用的服务如没特意需求的话不要运转。

CREATOR OWNER

  ·Task scheduler 允许程序在钦定时期运作

二、系统安全配置

4、启用防火墙
桌面—>网络邻居—>(右键)属性—>本地连接—>(右键)属性—>高等—>(选中)Internet
连接防火墙—>设置
把服务器下面要用到的劳动端口选中
举例:一台WEB服务器,要提供WEB(80)、FTP(21)服务及远程桌面管理(3389)
在“FTP 服务器”、“WEB服务器(HTTP)”、“远程桌面”前面打上对号
只要你要提供劳动的端口不在里面,你也能够点击“增添”铵钮来充足,具体参数能够参照他事他说加以考察种类里面原本的参数。
然后点击分明。注意:假若是远程管理那台服务器,请先明确远程管理的端口是或不是选中或抬高。
ASP设想主机安全检查测量检验探针V1.5

统统调整

  ·Routing and Remote Access
在局域网以及广域网境遇中为集团提供路由服务

1、目录权限

走出Windows权限迷魂阵
在Computer使用中时常会看出”权限”这些词,极其是Windows
三千/XP被越多的爱人装进Computer后,日常会有读者问,什么是权力呢?它到底有如何用?上边大家将用几个卓绝实例为大家批注windows中的权限制行驶使,令你不光能够在不设置任何软件的图景下,限制人家庭访问问你的文件夹、钦点用户无法应用的次第,而且还大概有来自微软之中的升高系统安全的妙招。
——————————————————————————–

独有子文件夹及文件

  ·Removable storage 管理可活动媒体、驱动程序和库

除系统所在分区之外的全部分区都予以Administrators和SYSTEM有一起调控权,之后再对其下的子目录作单独的目录权限

初识Windows的权限
先是,要完全使用windows权限的有所机能,请确定保障在应用权限的分区为NTFS文件系统。本文将以windowsXP简体中文专门的学问版+SP2作为表率讲授。
1.怎样是权力?
举个形象的例子,windows就如三个实验室,在这之中有导师A、导师B;学生A、学生B.我们都能在实验室里面完结实验。但在这里又是分等级的.两位老师能够钦点学生能利用什么的尝试工具,不可能碰什么工具,从而使得实验室不会因为学生乱用试验工具.而出现难题。同一时候.两位名师又能互相限制对方对实验工具的行使。因而.windows中的权限便是对有个别用户或同品级的用户张开权力分配和限制的法子。就是有了它的面世,windows中的用户要奉公守法这种”不雷同”的制度,而就是这些制度,才使得windows能够越来越好地为八个用户的施用创建了神奇,稳固的运行条件。
2.权限都包括有哪些?
在以NT内核为根基的Windows
3000/XP中,权限首要分为七大类完全调整、修改,读取和平运动转、列出文件夹目录、读取、写入、极其的权能(见图1)。

<不是后续的>

  ·Remote Registry Service 允许远程注册表操作

2、远程连接

其间完全调控包蕴了另外六大权限.只要拥有它,就同样具有了其他六大权力,别的复选框会被自动选中.属于”最高阶段”的权位。
而任何权限的级差高低分别是:特别的权能>读取和平运动转>修改>写入>读取。
暗中认可情状下,Windows
XP将启用”轻便文件分享”,那表示安全性选项卡和针对权限的高端选项都不可用.也就不可能开始展览本文所述的那多少个权限制行驶使操作了。请今后就右击任意文件或文件夹.选拔”属性”,若无观看”安全”选项卡,你能够通过如下方法展开它。
开荒”作者的Computer”,点击”工具→文件夹选项→查看”,接着在接下来单击撤除”使用轻松文件分享(推荐)”复选框就可以。
实战权限”正面”应用
以下应用的前提,是被限定的用户不在Administrators组,不然将或许产生超越权限访谈,后边”反面应用”会讲到。实施权限设置的用户至少须要为Power
Users组的分子,才有丰盛权限实行安装。
实例1:小编的文书档案你别看-尊敬你的文本或文件夹
要是A电脑中有多个用户,用户名分别为User1、User2、User3。Userl不想让User2和User3查看和操作本身的”test”文件夹。
先是步:右击”test”文件夹并选拔”属性”,走入”安全”选项卡,你将拜访到”组或用户名称”栏里有Administrators(A\Administrators)、CREATOR
OWNER、SYSTEM Users(A\Users)、User1(A\
User1)。他们分别表示名叫AComputer的总指挥组,成立、全数者组,系统组,用户组以及用户User1对此文件夹的权能设置。当然,差别的管理器安装和软件设置意况,此栏里的用户或用户组音讯不自然正是和本身陈诉的同样.但平常意况下最大校包括3项之一:Administrators、SYSTEM、Users或Everyone(见图2)。

SYSTEM

  ·Print Spooler 将文件加载到内部存储器中以便现在打字与印刷。

自己的微管理器属性–〉远程设置–〉远程–〉只允许运行带网络一流身份验证的远程桌面包车型客车Computer连接,选择允许运转任意版本远程桌面包车型地铁计算机连接(较不安全)。备注:方便多种本子Windows远程管理服务器。windows
server
2009的远程桌面连接,与二零零零比照,引进了互联网级身份验证(NLA,network level
authentication),XP
SP3不援救这种网络级的身份验证,vista跟win7协理。可是在XP系统中期维修改一投注册表,就能够让XP
SP3协助互联网级身份验证。HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa在右窗口中双击Security
Pakeages,加多一项“tspkg”。HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders,在右窗口中双击SecurityProviders,增加credssp.dll;请小心,在丰盛那项值时,一定要在原始的值后增添逗号后,别忘了要空一格(越南语状态)。然后将XP系统重启一下就可以。再查看一下,即可开采XP系统现已支撑网络级身份验证

其次步:依次选中并删除Administrators、CREATOR
OWNE瑞虎、SYSTEM、Users,仅保留本身行使的Userl账户。在操作中可能会赶过如图3的提醒框。

统统调节

·IPSEC Policy Agent
处理IP安全计谋及运行ISAKMP/OakleyIKE)和IP安全驱动程序

3、修改远程访问服务端口

实则只要单击”高等”按键,在”权限”选项卡中,撤除”从父项承接那多少个能够接纳到子对象的权柄项目,满含这么些在此生硬定义的品种”的复选框,在弹出对话框中单击”删除”就能够。该操作使此文件夹清除了从上顶级目录承袭来的权杖设置,仪保留了你使用的User1账户。
就这么轻巧,你就兑现了其余用户,乃至系统权限都不可能访问”test”文件夹的指标。
★必要留神的是,如若那个文件夹中必要安装软件,那么就不要删除”SYSTEM”,不然也许引起系统访谈出错
★Administrator并非参天指挥员:你只怕会问,为啥那边会有一个”SYSTEM”账户呢?同一时候广大朋友以为windows三千/XP中的Administrator是负有权力最高的用户,其实否则,那个”SYSTEM”技术有系统最高权力,因为它是”作为操作系统的一有的专门的工作”,任何用户通过某种方式获得了此权限,就能够数一数二。

该文件夹,子文件夹及文件

  ·Distributed Link Tracking Client
当文件在互联网域的NTFS卷中活动时发送公告

更动远程连接端口方法,可用windows自带的总结器将10进制转为16进制。改换3389端口为8208,重启生效!

——————————————————————————–
实例2:上班时间别聊天-禁止用户选择某先后
率先步:找到聊天程序的主程序,如QQ,其主程序正是安装目录下的QQ.exe,张开它的性质对话框,走入”安全”选项卡,选中或加多你要限制的用户,如User3。
第二步:接着选择”完全调整”为”拒绝”,”读取和平运动作”也为”拒绝”。
其三步:单击”高端”开关步向高等权限没置,选中User3,点”编辑”开关,步向权限项目。在此间的”拒绝”栏中选中”改变权限”和”猎取全部权”的复选框。
也足以运用组计谋编辑器来贯彻此效用,但安全性未有地点方法高。点击”开头→运转”,输入”gpedit.msc”,回车的后边展开组战术编辑器,步向”Computer设置→windows设置→安全设置→软件限制计划→其余法规”,右击,选拔”全数职务→新路径法规”,接着依据提醒设置想要限制的软件的主程序路线,然后设定想要的安全等第,是”不容许的”依然”受限制的”。

<不是承继的>

  ·Com+ Event System 提供事件的活动发表到订阅COM组件

Windows Registry Editor Version 5.00

——————————————————————————–
实例3:来者是客--微软内部抓牢系统安全的法门
本实战内容将供给管理员权限。所谓侵略,无非便是运用某种格局获得到管理员级其余权杖或系统级的权杖,以便举行下一步操作,如加多自身的用户。尽管想要使侵略者”进来”之后无法张开任何操作呢?永久只好是旁人权限或比这么些权力更低,即使本地登陆,连关机都不可以。那么,他将不能够执行任何破坏活动。
小心:此法有较高的生死之间性.提议完全不晓得以下顺序用途的读者不要尝试.防止误操作引起系统无法跻身或出现过多荒唐。
率先步:鲜明要安装的次序
招来系统目录下的义务险程序,它们能够用来创设用户夺取及升级低权限用户的权能,格式化硬盘,引起Computer崩溃等恶意操作:cmd.exe、regedit.exe、regsvr32.exe、regedt32.exe、gpedit.msc、format.com、compmgmt.msc、mmc.exe、telnet.exe、tftp.exe、ftp.exe、XCOPY.EXE、at.exe、cacls.exe、edlin.exe、rsh.exe、finger.exe、runas.exe、net.exe、tracert.exe、netsh.exe、tskill.exe、poledit.exe、regini.exe、cscript.exe、netstat.exe、issync.exe、runonce.exe、debug.exe、rexec.exe、wscript.exe、command.com、comsdupd.exe
其次步:按系统调用的只怕分组织设立置
服从下边分组.设置这么些程序权限。完结一组后,提议重启计算机确认系统运作是不是一切正常,查看”事件查看器”,是还是不是有错误音讯(”调整面板→管理工具→事件查看器”)。
(1)cmd.exe、net.exe gpedit.msc telnet.exe command.com
(仅保留你协和的用户,SYSTEM也删除)
(2)mmc.exe、tftp.exe、ftp.exe、XCOPY.EXE、comsdupd.exe
(仅保留你自身的用户,SYSTEM也删除)
(3)regedit.exe、regedt32.exe、format.com、compmgmt.msc、at.exe、cacls.exe、edlin.exe、rsh.exe、finger.exe、runas.exe、debug.exe、wscript.exe、cscript.exe、rexec.exe
(保留你和睦的用户和SYSTEM)
(4)tracert.exe、netsh.exe、tskill.exe、poledit.exe、regini.exe、netstat.exe、issync.exe、runonce.exe、regsvr32.exe
(保留你和睦的用户和SYSTEM)
其三步:用户名诈欺
以此艺术骗不了经验丰盛的入侵者,但却得以让非常矮明的伪黑客们弄个一头雾水。
打开”调整面板一管理工科具一Computer管理”,找到”用户”,将暗许的Administrator和Guest的名称调换,包涵描述消息也换掉。完结后,双击假的”Administrator”用户,也正是在此以前的Guest用户.在其”属性”窗口中把隶属于列表里的Guests组删除.那样.那一个假的”管理员”账号就成了”无党派职员”,不属于任何组,也就不会三番六遍其权力。此用户的权杖大概等于0,连关机都不可能,对计算机的操作差非常少都会被拒绝。假使有哪个人处心积虑地赢得了这么些用户的权杖,那么他必然失眠。
第四步:集权调整,升高安全性
开采了组战术编辑器,找到”Computer设置→windows设置→安全设置→当地攻略→用户义务指派”(见图4),接着依照上面包车型地铁提醒进行安装。

硬盘或文件夹: C:\Inetpub\

  ·Alerter 公告选定的用户和计算机管理警报

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal
Server\Wds\rdpwd\Tds\tcp]
“PortNumber”=dword:0002010

(1)裁减可访谈此Computer的用户数,收缩被攻击机缘
找到并双击”从网络访谈此Computer”,删除账户列表中用户组,只剩下”Administrators”;
找到并双击”拒绝本地登陆”,删除列表中的”Guest”用户,增加用户组”Guests”。
(2)明确不想要从互连网访谈的用户,出席到此”黑名单”内
找到并双击”拒绝从刚络访谈那台计算机”,删除账户列表中的”Guest”用户,加多用户组”Guests”;
找到并双击”获得文件或其余对象的全部权”,增多你常用的账户和上述修改过名为”Guest”的管理人账户,再删除列表中”Administrators”。
正如安全的秘诀,LAND2常规安全设置及宗旨安全攻略。(3)幸免跨文件夹操作
找到并双击”跳过遍历检查”,加多你所采用的账户和上述修改过名称叫”Guest”的管理员账户,再删除账户列表中的”Administrators”、”Everyone”和”Users”用户组。
(4)幸免通过终点服务开始展览的密码猜解尝试
找到并双击”通过终端服务拒绝登陆”,增加假的领队账户”Administrator”;找到”通过极端服务允许登陆”,双击,加多你常用的账户和上述修改过名字为”Guest”的指挥者账户,再删除账户列表中的”Administrators”,”Remote
Desktop
User”和”HelpAssistant”(假如您不要远程协理成效的话才可去除此用户)。
(5)制止拒绝服务攻击
找到并双击”调度进度的内部存储器分配的定额”,加多你常用的账户,再删除账户列表中的”Administrators”

关键权力部分:

  ·Error Reporting Service 收罗、存款和储蓄和向 Microsoft 报告非常应用程序

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal
Server\WinStations\RDP-Tcp]
“PortNumber”=dword:00002010

——————————————————————————–
实例4:”你的文书档案”别独享——突破文件夹”私有”的限量
windows
XP安装到位并跻身系统时,会理解是否将”笔者的文书档案”设为私有(专用),借使选拔了”是”,那将使该用户下的”笔者的文书档案”文件夹无法被其他用户访谈,删除,修改。其实那正是选取权力设置将此文件夹的访谈调控列表中的用户和用户组删除到了只剩余系统和您的用户,全体者也设置成了那多少个用户具备,Administrators组的用户也不能够一贯访谈。倘让你把那些文件夹曾经安装为专项使用,但又在该盘重装了系统,此文件夹不能够被去除或涂改。可比照上面步骤消除那些主题材料,让您对这几个文件夹的拜见,畅行无碍。
第一步:登入管理员权限的账户,如系统暗中同意的Administrator,找到被设为专项使用的”小编的文书档案”,进入其”属性”的”安全”选项卡,你将会看出您的用户不在里面,但也爱莫能助增添和删除。
第二步:单击”高端”开关,步入高级权限设置,选择”全体者”选项卡,在”将全体者更换为”下面包车型大巴列表中选中你将来采纳的用户,如”Userl(A\Userl)”,然后再选中”替换子容器及对象的持有者”的复选框,然后单击”应用”,等待操作实现。
其三步:再步向那几个文件夹看看,是否不会有别的权力的指示了?能够随心所欲访问了?查看里面包车型地铁公文,复制、删除试试看.是或不是漫天都和”自身的”同样了?嘿嘿。要是您想要删除全体文件夹,也不会有如何阻挡你了。

任何权限部分:

  ·Messenger 传输客户端和服务器之间的 NET SEND 和 警报器服务新闻

(1)在始发–运维菜单里,输入regedit,步入注册表编辑,按下边包车型客车门路步入修改端口的地方
(2)HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Terminal
Server\WinStations\RDP-Tcp
(3)找到动手的
“PortNumber”,用十进制情势体现,默感到3389,改为(举例)6666端口
(4)HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal
Server\Wds\rdpwd\Tds\tcp
(5)找到出手的
“PortNumber”,用十进制格局展示,默以为3389,改为同上的端口
(6)在调控面板–Windows 防火墙–高等设置–入站法规–新建准绳
(7)选用端口–谈判和端口–TCP/特定地点端口:同上的端口
(8)下一步,采纳允许连接
(9)下一步,选取公用
(10)下一步,名称:远程桌面-新(TCP-In),描述:用于远程桌面服务的入站准则,以允许中华VDP通讯。[TCP
同上的端口]
(11)删除远程桌面(TCP-In)准绳
(12)重新起动Computer

SYSTEM\CurrentControlSet\Control\Terminal
Server\WinStations\RDP-Tcp 改3389 的

Administrators

  ·Telnet 允许远程用户登陆到此计算机并运营程序

4、配置本地连接

Windows二零零一为主的web服务器安全设置
栏目: | 我:青鳥南飛 | 点击:164 | 回复:0 | 二零零六-6-26 14:40:39
主干的服务器安全设置
1、安装补丁

一起调控

  战略二:磁盘权限设置

互连网–〉属性–〉管理网络连接–〉本地连接,张开“本地连接”分界面,选拔“属性”,左键点击“Microsoft互联网客户端”,再点击“卸载”,在弹出的对话框中“是”确认卸载。点击“Microsoft网络的公文和打字与印刷机共享”,再点击“卸载”,在弹出的对话框中挑选“是”确认卸载。

安装好操作系统之后,最佳能(CANON)在托管从前就完事补丁的设置,配置好网络后,若是是2000则确定安装上了SP4,借使是二零零零,则最佳安装上SP1,然后点击开始→Windows
Update,安装具备的重大立异。

  C盘只给administrators和system权限,别的的权杖不给,别的的盘也能够那样设置,这里给的system权限也不自然供给给,只是由于一些第三方应用程序是以劳动格局运营的,需求丰裕那些用户,

免去Netbios和TCP/IP协议的绑定139端口:展开“本地连接”界面,选择“属性”,在弹出的“属性”框中双击“Internet协议版本(TCP/IPV4)”,点击“属性”,再点击“高等”—“WINS”,选取“禁止使用TCP/IP上的NETBIOS”,点击“确认”并关闭本地连接属性。

2、安装杀毒软件

该文件夹,子文件夹及文件

不然变成运维不了。

禁止暗中同意分享:点击“开头”—“运行”,输入“Regedit”,张开注册表编辑器,展开注册表项“HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters”,在左边的窗口中新建Dword值,名称设为AutoShareServer,值设为“0”。

关于杀毒软件近日自个儿使用有四款,一款是瑞星,一款是Norton,瑞星杀木马的成效比Norton要强,我测量试验过病毒包,瑞星要多杀出相当多,然而装瑞星的话会有二个标题正是会现出ASP动态无法访谈,那时候必要再行修复一下,具体操作步骤是:

 

  Windows目录要丰裕给users的默许权限,不然ASP和ASPX等应用程序就无法运营。

关闭
445端口:HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NetBT\Parameters,新建
Dword(三十一位)名称设为SMBDeviceEnabled 值设为“0”

闭馆杀毒软件的富有的实时监察和控制,脚本监察和控制。

<继承于c:\>

  计策三:禁止 Windows 系统开始展览空连接

5、共享和意识

╭═══════════════╮╭═══════════════╮

CREATOR OWNER

  在注册表中找到相应的键值HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Control/LSA,

右键“网络” 属性 互连网和分享宗旨  分享和开采
关门,网络分享,文件共享,公用文件共享,打字与印刷机分享,突显自个儿正在分享的有着文件和文书夹,呈现这台计算机上装有分享的互联网文件夹

在Dos命令行状态下独家输入下列命令并按回车(Enter)键:

一同调节

将DWOLacrosseD值RestrictAnonymous的键值改为1

6、用防火墙限制Ping

regsvr32 jscript.dll (命令功用:修复Java动态链接库)

独有子文件夹及文件

  计谋四:关闭无需的端口

互联网协调查吗,ping如故时常索要利用的

regsvr32 vbscript.dll (命令作用:修复VB动态链接库)

<继承于c:\>

  本地连接–属性–Internet协议(TCP/IP)–高端–选项–TCP/IP筛选–属性–把勾打上,然后增添你须要的端口就可以。(如:3389、21、1433、3306、80)

7、防火墙的设置

╰═══════════════╯╰═══════════════╯

SYSTEM

  改变远程连接端口方法

调整面板→Windows防火墙设置→改换设置→例外,勾选FTP、HTTP、远程桌面服务
核心网络

无须指望杀毒软件杀掉全部的木马,因为ASP木马的风味是能够透过自然手腕来躲避杀毒软件的查杀。

统统调整

  开始–>运行–>输入regedit

HTTPS用不到能够不勾

3、设置端口爱惜和防火

该文件夹,子文件夹及文件

  查找3389:

3306:Mysql
1433:Mssql

贰零零贰的端口屏蔽能够通过自己防火墙来解决,那样相比好,比筛选更有浑圆,桌面—>英特网邻居—>(右键)属性—>当地连接—>(右键)属性—>高端—>(选中)Internet
连接防火墙—>设置

<继承于c:\>

  请按以下步骤查找:

8、禁止使用无需的和惊恐的劳务,以下列出服务都亟需禁止使用。

把服务器下面要用到的劳务端口选中

硬盘或文件夹: C:\Inetpub\AdminScripts

  1、HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal
Server\Wds\rdpwd\Tds\tcp下的PortNumber=3389改为自宝义的端口号

调控面板 管理工科具 服务

比方:一台WEB服务器,要提供WEB(80)、FTP(21)服务及远程桌面管理(3389)

最首要权力部分:

  2、HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal
Server\WinStations\EvoqueDP-Tcp下的PortNumber=3389改为自宝义的端口号

Distributed linktracking client   用于局域网更新连接新闻
PrintSpooler  打字与印刷服务
Remote Registry  远程修改注册表
Server Computer通过互联网的公文、打字与印刷、和命名管道分享
TCP/IP NetBIOS Helper  提供
TCP/IP (NetBT) 服务上的
NetBIOS 和互连网上客户端的
NetBIOS 名称分析的支撑
Workstation   泄漏系统用户名列表 与Terminal Services Configuration
关联
Computer Browser 维护网络计算机更新 暗许已经禁用
Net 图标n   域调控器通道管理 默许已经手动
Remote Procedure Call (RPC) Locator   RpcNs*长途进程调用 (RPC)
暗许已经手动
除去服务sc delete MySql

在“FTP 服务器”、“WEB服务器(HTTP)”、“远程桌面”后面打上对号

别的权限部分:

  修改3389为您想要的数字(在十进制下)—-再点16进制(系统会自行转变)—-最终分明!这样就ok了。

9、安全设置–>本地战略–>安全选项

设若你要提供劳动的端口不在里面,你也得以点击“加多”铵钮来丰富,具体参数能够参照他事他说加以考察种类里头原本的参数。

Administrators

  那样3389端口已经修改了,但还要再度起动主机,那样3389端口才算修改成功!如果不重复起动3389还

在运营中输入gpedit.msc回车,张开组计策编辑器,采用计算机配置–>Windows设置–>安全设置–>本地计策–>安全选项

接下来点击明显。注意:尽管是远程管理那台服务器,请先鲜明远程管理的端口是不是选中或增添。

一心调控

是修改不了的!重起后后一次就足以用新端口走入了!

交互式登录:不显示最终的用户名       启用
网络访谈:不允许SAM帐户的佚名枚举       启用 已经启用
互联网访谈:不允许SAM帐户和共享的佚名枚举   启用
网络访谈:不允许积存网络身份验证的凭证   启用
互联网访问:可无名访谈的分享         内容全方位去除
互联网访谈:可佚名访谈的命名管道       内容全方位去除
网络访谈:可长途访谈的注册表路线      内容总体剔除
网络访谈:可长途访谈的注册表路线和子路线  内容总体剔除
帐户:重命名平凉帐户            这里能够变动guest帐号
帐户:重命名系统管理员帐户         这里能够改动Administrator帐号

权力设置

  禁用TCP/IP上的NETBIOS

10、安全设置–>账户攻略–>账户锁定攻略

权力设置的法规

该公文夹,子文件夹及文件

  本地连接–属性–Internet协议(TCP/IP)–高端—WINS–禁止使用TCP/IP上的NETBIOS

在运作中输入gpedit.msc回车,展开组计策编辑器,选择计算机配置–>Windows设置–>安全设置–>账户计谋–>账户锁定计谋,将账户锁定阈值设为“三遍登入无效”,“锁定期期为30分钟”,“复位锁定计数设为30分钟”。

?WINDOWS用户,在WINNT系统中非常多时候把权限按用户(組)来划分。在【开端→程序→管理工科具→计算机管理→本地用户和组】管理种类用户和用户组。

 

  计策五:关闭私下认可分享的空连接

11、本地安全设置

?NTFS权限设置,请记住分区的时候把具有的硬盘都分为NTFS分区,然后我们能够规定种种分区对种种用户开放的权杖。【文件(夹)上右键→属性→安全】在此地管理NTFS文件(夹)权限。

<不是承继的>

  首先编写如下内容的批管理文件:

分选Computer配置–>Windows设置–>安全设置–>本地战略–>用户权限分配
关闭系统:唯有Administrators组、其余任何刨除。
通过终点服务拒绝登录:参与Guests组、IUS哈弗_*****、IWAM_*****、NETWORK
SERVICE、SQLDebugger  
由此终点服务允许登录:插手Administrators、Remote Desktop
Users组,别的一切刨除

?IIS无名氏用户,每一个IIS站点或许设想目录,都能够安装一个无名氏访问用户(现在权且把它叫“IIS无名氏用户”),当用户访谈你的网址的.ASP文件的时候,那几个.ASP文件所怀有的权力,就是其一“IIS无名氏用户”所具备的权能。

SYSTEM

  @echo off

12、改动Administrator,guest账户,新建一无别的权力的假Administrator账户

权力设置

统统调整

  net share C$ /delete

处理工科具→Computer管理→系统工具→本地用户和组→用户
新建二个Administrator帐户作为陷阱帐户,设置超长密码,并去掉全数用户组
转移描述:管理计算机(域)的内置帐户

磁盘权限

该公文夹,子文件夹及文件

  net share D$ /delete

13、密码攻略

系统盘及全体磁盘只给 Administrators 组和 SYSTEM 的一心调控权限

<不是持续的>

  net share E$ /delete

选择Computer配置–>Windows设置–>安全设置–>密码战略
开发银行 密码必须符合复杂性需要
最短密码长度

系统盘\Documents and Settings 目录只给 Administrators 组和 SYSTEM
的一丝一毫调整权限

硬盘或文件夹: C:\Inetpub\wwwroot

  net share F$ /delete

14、禁用DCOM (”冲击波”病毒 RPC/DCOM 漏洞)

系统盘\Documents and Settings\All Users 目录只给 Administrators 组和
SYSTEM 的一心调整权限

根本权力部分:

  net share admin$ /delete
    
  1、不选拔暗中认可的Web站点,假诺运用也要将IIS目录与系统磁盘分开。

运作Dcomcnfg.exe。调控台根节点→组件服务→Computer→右键单击“笔者的Computer”→属性”→暗中认可属性”选项卡→清除“在那台Computer上启用布满式
COM”复选框。

系统盘\Inetpub 目录及下边全数目录、文件只给 Administrators 组和 SYSTEM
的完全调控权限

其他权限部分:

  2、删除IIS暗中同意创造的Inetpub目录(在安装系统的盘上)。

15、ASP漏洞

系统盘\Windows\System32\cacls.exe、cmd.exe、net.exe、net1.exe
文件只给 Administrators 组和 SYSTEM 的完全调控权限

Administrators

  3、删除系统盘下的设想目录,如:_vti_bin、IISSamples、Scripts、IIShelp、IISAdmin、IIShelp、MSADC。

重假诺卸载WScript.Shell 和 Shell.application 组件,是不是删除看是或不是要求。

4、禁止使用不须求的服务

一起调整

  4、删除不须求的IIS增加名映射。

regsvr32/u C:\WINDOWS\System32\wshom.ocx
regsvr32/u C:\WINDOWS\system32\shell32.dll

初叶菜单—>管理工科具—>服务

IIS_WPG

  右键单击“默许Web站点→属性→主目录→配置”,展开应用程序窗口,去掉不须要的应用程序映射。首要为.shtml、shtm、stm。

剔除大概权限相当不够

Print Spooler

读取运转/列出文件夹目录/读取

  5、退换IIS日志的门道

del C:\WINDOWS\System32\wshom.ocx
del C:\WINDOWS\system32\shell32.dll

Remote Registry

该公文夹,子文件夹及文件

  右键单击“暗许Web站点→属性-网址-在启用日志记录下点击属性

假使的确要使用,恐怕也得以给它们改个名字。

TCP/IP NetBIOS Helper

该公文夹,子文件夹及文件

政策六:注册表相关安全设置

WScript.Shell能够调用系统基本运营DOS基本命令

Server

 

  1、掩饰主要文件/目录

能够经过改造注册表,将此组件改名,来严防此类木马的伤害。

如上是在Windows Server 二零零四系统方面暗中同意运营的劳务中禁止使用的,默许禁止使用的服务如没极其供给的话不要运维。

<不是持续的>

  HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Current-Version\Explorer\Advanced\Folder\Hidden\SHOWALL”

HKEY_CLASSES_ROOT\WScript.Shell\及HKEY_CLASSES_ROOT\WScript.Shell.1\

更名或卸载不安全组件

<不是后续的>

  鼠标右击 “CheckedValue”,采用修改,把数值由1改为0。

更名叫别的的名字,如:改为WScript.Shell_ChangeName 或
WScript.Shell.1_ChangeName

不安全组件不惊人

SYSTEM

  2、幸免SYN泥石流攻击

温馨从此调用的时候利用这么些就可以寻常调用此组件了

在阿江探针1.9里投入了不安全组件质量评定成效(其实那是参照7i24的代码写的,只是把分界面改的融洽了一点,检验方法和她是焦点一样的),那几个职能让无数站长吃惊相当的大,因为他意识她的服务器帮忙广大不安全组件。

全然调节

  HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters

也要将clsid值也改一下

实质上,只要做好了上面包车型客车权柄设置,那么FSO、XML、strem都不再是不安全组件了,因为她们都未曾跨出本身的文本夹只怕站点的权杖。那多少个喜欢时光更毫不怕,有杀毒软件在还怕什么时光啊。

Users

  新建DWORD值,名为SynAttackProtect,值为2

HKEY_CLASSES_ROOT\WScript.Shell\CLSID\品类的值

最凶险的零件是WSH和Shell,因为它能够运作你硬盘里的EXE等次第,举个例子它能够运作升高程序来提高SEOdysseyV-U权限以至用SE奇骏VU来运营越来越高权力的系统程序。

读取运维/列出文件夹目录/读取

  3、禁止响应ICMP路由布告报文

HKEY_CLASSES_ROOT\WScript.Shell.1\CLSID\品种的值

稳重决定是还是不是卸载贰个零部件

该公文夹,子文件夹及文件

  HKEY_LOCAL_MACHINE\SYSTEM \ CurrentControlSet\
Services\Tcpip\Parameters\Interfaces\interface

也得以将其删除,来幸免此类木马的妨害。

零件是为了接纳而现身的,并非为着不安全而产出的,所有的机件都有它的用途,所以在卸载多少个零部件在此之前,你无法不认可那么些组件是你的网站先后无需的,或然固然去掉也不关概略的。不然,你不得不留着这几个组件并在您的ASP程序自身上下本事,幸免外人进来,实际不是防范别人进来后SHELL。

该公文夹,子文件夹及文件

  新建DWORD值,名为PerformRouterDiscovery 值为0。

Shell.Application可以调用系统基本运营DOS基本命令

举例,FSO和XML是可怜常用的零部件之一,比很多程序会用到他们。WSH组件会被某个主机管理程序用到,也可能有的包裹程序也会用到。

<不是后续的>

  4、防止ICMP重定向报文的攻击

能够经过修改注册表,将此组件改名,来严防此类木马的有剧毒。

5、卸载最不安全的零件

<不是继续的>

  HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters

HKEY_CLASSES_ROOT\Shell.Application\及HKEY_CLASSES_ROOT\Shell.Application.1\化名称为别的的名字,如:改为Shell.Application_ChangeName
或 Shell.Application.1_ChangeName

最简单易行的点子是直接卸载后去除相应的次第文件。将上边包车型大巴代码保存为多个.BAT文件,(
以下均以 WIN三千 为例,假设接纳2002,则系统文件夹应该是 C:\WINDOWS\
)

这里可以把设想主机用户组加上
同Internet 辽源帐户同样的权位
驳回权限

  将EnableICMPRedirects 值设为0

温馨随后调用的时候利用那些就足以不荒谬调用此组件了

regsvr32/u C:\WINNT\System32\wshom.ocx

Internet 辽源帐户

5、不支持IGMP协议

也要将clsid值也改一下

del C:\WINNT\System32\wshom.ocx

始建文件/写入数据/:拒绝
创办理文件件夹/附加数据/:拒绝
写入属性/:拒绝
写入扩充属性/:拒绝
删除子文件夹及文件/:拒绝
删除/:拒绝

  HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters

HKEY_CLASSES_ROOT\Shell.Application\CLSID\类别的值
HKEY_CLASSES_ROOT\Shell.Application\CLSID\项指标值

regsvr32/u C:\WINNT\system32\shell32.dll

该公文夹,子文件夹及文件

  新建DWORD值,名为IGMPLevel 值为0。

也足以将其除去,来防止此类木马的风险。

del C:\WINNT\system32\shell32.dll

<不是后续的>

  计策七:组件安全设置篇

明确命令禁止Guest用户选拔shell32.dll来防止调用此组件。

下一场运维一下,WScript.Shell, Shell.application,
WScript.Network就能够被卸载了。只怕会唤起不可能删除文件,不用管它,重启一下服务器,你会意识那多个都唤醒“×安全”了。

硬盘或文件夹: C:\Inetpub\wwwroot\aspnet_client

  A、 卸载WScript.Shell 和 Shell.application
组件,将上面包车型客车代码保存为一个.BAT文件施行(分三千和二零零一种类)

两千行职责令:cacls C:\WINNT\system32\shell32.dll /e /d guests
贰零零贰使用命令:cacls C:\WINDOWS\system32\shell32.dll /e /d guests

更名不安全组件

主要权力部分:

  windows2000.bat

禁绝选择FileSystemObject组件,FSO是使用率非常高的零件,要小心鲜明是还是不是卸载。改名后调用将在改程序了,Set
FSO = Server.CreateObject(“Scripting.FileSystemObject”)。

亟待小心的是组件的名目和Clsid都要改,况兼要改深透了。上边以Shell.application为例来介绍方法。

别的权限部分:

  regsvr32/u C:\WINNT\System32\wshom.ocx

FileSystemObject能够对文本进行健康操作,能够通过修改注册表,将此组件改名,来严防此类木马的残害。
HKEY_CLASSES_ROOT\Scripting.FileSystemObject\
更名称为任何的名字,如:改为 FileSystemObject_ChangeName
团结从此调用的时候利用那些就能够正常调用此组件了
也要将clsid值也改一下HKEY_CLASSES_ROOT\Scripting.FileSystemObject\CLSID\体系的值
也得以将其删除,来严防此类木马的祸害。
两千撤回此组件命令:RegSrv32 /u C:\WINNT\SYSTEM\scrrun.dll
2001注销此组件命令:RegSrv32 /u C:\WINDOWS\SYSTEM\scrrun.dll
怎么着禁止Guest用户选用scrrun.dll来防守调用此组件?
行使那么些命令:cacls C:\WINNT\system32\scrrun.dll /e /d guests

开垦注册表编辑器【初叶→运维→regedit回车】,然后【编辑→查找→填写Shell.application→查找下一个】,用这一个法子能找到三个注册表项:“{13709620-C279-11CE-凌派9E-444553550000}”和“Shell.application”。为了保险百不失一,把那多个注册表项导出来,保存为
.reg 文件。

Administrators

  del C:\WINNT\System32\wshom.ocx

15、打开UAC

譬喻说我们想做如此的转移

全盘调节

  regsvr32/u C:\WINNT\system32\shell32.dll

调整面板 用户账户 张开或关闭用户账户调控

13709620-C279-11CE-A49E-444553540000 改名为
13709620-C279-11CE-A49E-444553540001

Users

  del C:\WINNT\system32\shell32.dll

16、程序权限

Shell.application 改名为 Shell.application_ajiang

读取

  windows2003.bat

“net.exe”,”net1.exe”,”cmd.exe”,”tftp.exe”,”netstat.exe”,”regedit.exe”,”at.exe”,”attrib.exe”,”cacls.exe”,”format.com”,”c.exe”
或完全禁绝上述命令的实施
gpedit.msc-〉用户配置-〉管理模板-〉系统
启用 阻止访谈命令提醒符 同期 也停用命令提醒符脚本甩卖
启用 阻止访谈注册表编辑工具
启用 不要运营钦赐的windows应用程序,加多上边包车型客车
at.exe attrib.exe c.exe cacls.exe cmd.exe format.com net.exe net1.exe
netstat.exe regedit.exe tftp.exe

那正是说,就把刚刚导出的.reg文件里的源委按下面的应和关系替换掉,然后把修改好的.reg文件导入到注册表中(双击就可以),导入了化名后的注册表项之后,别忘记了除去原有的这八个体系。这里须要小心一点,Clsid中只可以是11个数字和ABCDEF七个假名。

该公文夹,子文件夹及文件

  regsvr32/u C:\WINDOWS\System32\wshom.ocx

17、Serv-u安全主题素材(个人提议不是专程高的须要没要求用serv_U能够动用FTP服务器
FileZilla Server

上面是本人修改后的代码(四个公文小编合到一同了):

该文件夹,子文件夹及文件

  del C:\WINDOWS\System32\wshom.ocx

安装程序尽量采用新式版本,幸免采纳暗许安装目录,设置好serv-u目录所在的权力,设置多少个眼花缭乱的总指挥密码。修改serv-u的banner新闻,设置被动情势端口范围(4001—4003)在地头服务器中装置中盘活有关安全设置:包含检查佚名密码,禁止使用反超时调节,拦截“FTP
bounce”攻击和FXP,对于在30秒内接连超越3次的用户拦截10分钟。域中的设置为:须要复杂密码,目录只使用小写字母,高端中装置撤废允许选取MDTM命令更动文件的日期。

Windows Registry Editor Version 5.00

 

regsvr32/u C:\WINDOWS\system32\shell32.dll

改换serv-u的开发银行用户:在系统中新建八个用户,设置多个复杂点的密码,不属于任何组。将servu的装置目录给予该用户完全调控权限。构建一个FTP根目录,需求给予这几个用户该目录完全调节权限,因为具备的ftp用户上传,删除,更换文件都是三番四遍了该用户的权位,否则不能操作文件。别的部必要要给该目录以上的上司目录给该用户的读取权限,否则会在连接的时候现身530
Not logged in, home directory does not
exist。比方在测验的时候ftp根目录为d:soft,必须给d盘该用户的读取权限,为了安全撤除d盘其余文件夹的接轨权限。而一般的行使私下认可的system运转就从未这个标题,因为system一般都享有这一个权限的。要是FTP不是必须每日都用,比不上就关了吧,要用再张开。

[HKEY_CLASSES_ROOT\CLSID\{13709620-C279-11CE-A49E-444553540001}]

<不是继续的>

  del C:\WINDOWS\system32\shell32.dll

上边是任何网上好友的补偿:大家能够参照他事他说加以考察下

@=”Shell Automation Service”

<不是承袭的>

  B、改名不安全组件,须求小心的是组件的称谓和Clsid都要改,並且要改深透了,不要照抄,要和睦改

Windows Web Server 2009 奔驰M级2服务器轻易安全设置

[HKEY_CLASSES_ROOT\CLSID\{13709620-C279-11CE-A49E-444553540001}\InProcServer32]

SYSTEM

  【起头→运转→regedit→回车】张开注册表编辑器

1、新做系统必须要先打三月知补丁,今后也要立即关怀微软的狐狸尾巴报告。略。
2、全数盘符根目录只给system和Administrator的权柄,其余的删减。
3、将全体磁盘格式转换为NTFS格式。
一声令下:convert c:/fs:ntfs c:代表C盘,别的盘类推。WIN08 r2
C盘一定是ntfs格式的,不然不能够设置系统
4、开启Windows Web Server 二零一零 Wrangler2自带的高等防火墙。
暗许已经张开。
5、安装要求的杀毒软件如mcafee,安装一款ARP防火墙,安天ARP好像不错。略。
6、设置显示屏屏爱惜。
7、关闭光盘和磁盘的自动播放成效。
8、删除系统暗许共享。
指令:net share c$ /del
这种办法下一次运行后要么晤面世,不干净。也能够做成一个批管理文件,然后设置开机自动执动那个批管理。不过依然引入上边包车型大巴章程,直修改注册表的措施。
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Lanmanserver\parameters上面新建AutoShareServer
,值为0 。。重启一下,测量试验。已经恒久生效了。
9、重命Administrator和Guest帐户,密码必须复杂。GUEST用户大家得以复制一段文本作为密码,你说那些密码什么人能破。。。。也唯有团结了。…
重命名管理员用户组Administrators。
10、创制叁个陷阱用户Administrator,权限最低。

@=”C:\\WINNT\\system32\\shell32.dll”

一心调整

  然后【编辑→查找→填写Shell.application→查找下二个】

上边二步重命名最棒放在安装IIS和SQL从前做好,那笔者那边就不演示了。

“ThreadingModel”=”Apartment”

 

  用那些点子能找到多少个注册表项:

11、本地攻略——>核查攻略
核查计谋改换 成功 失利
审查批准登入事件 成功 失败
核对对象访谈 战败
查验进度追踪 无审查批准
复核目录服务拜候 战败
核准特权采纳 失败
复核系统事件 成功 失利
核查账户登陆事件 成功 失利
复核账户管理 成功 退步

[HKEY_CLASSES_ROOT\CLSID\{13709620-C279-11CE-A49E-444553540001}\ProgID]

该文件夹,子文件夹及文件

  {13709620-C279-11CE-A49E-444553540000} 和 Shell.application 。

12、本地计策——>用户权限分配
关闭系统:唯有Administrators 组、另外的任何剔除。

@=”Shell.Application_ajiang.1″

<不是三回九转的>

  第一步:为了有限支撑安若泰山,把那三个注册表项导出来,保存为xxxx.reg
文件。

管制模板 > 系统
显示“关闭事件追踪程序”更动为已禁止使用。这些看大家喜悦。

[HKEY_CLASSES_ROOT\CLSID\{13709620-C279-11CE-A49E-444553540001}\TypeLib]

硬盘或文件夹: C:\Documents and Settings

  第二步:比方我们想做那样的改观

13、本地攻略——>安全选项
交互式登录:不展现最终的用户名 启用
网络访谈:分歧意SAM 帐户和分享的无名氏枚举 启用
互连网访谈: 不一样意存款和储蓄互连网身份验证的证据或 .NET Passports 启用
互联网访谈:可长途访谈的挂号表路线 全体剔除
互连网访谈:可长途访谈的注册表路线和子路线 全体去除
14、禁止dump file 的产生。
系统特性>高等>运行和故障恢复生机把 写入调节和测量检验音信 改成“无”
15、禁止使用不必要的劳务。
TCP/IP NetBIOS Helper
Server
Distributed Link Tracking Client
Print Spooler
Remote Registry
Workstation

@=”{50a7e9b0-70ef-11d1-b75a-00a0c90564fe}”

首要权力部分:

  13709620-C279-11CE-A49E-444553540000 改名为
13709620-C279-11CE-A49E-444553540001

16、站点方件夹安全品质设置
删除C:\ inetpub
目录。删不了,不研讨了。把权力最低。。。禁止使用或删除暗许站点。我这里不删除了。甘休就可以。一般给站点目录权限为:
System 完全调节
Administrator 完全调节
Users 读
IIS_Iusrs 读、写
在IIS7 中去除有的时候用的映射
建构站点试一下。一定要选到程序所在的目录,这里是www.postcha.com目录,假设只采用到wwwroot目录的话,站点就形成子目录或设想目录安装了,相比艰苦。所以不容争辩要采取站点文件所在的目录,填上主机头。因为大家是在设想机上测量试验,所以对hosts文件修改一下,模拟用域名访谈。真实景况中,不需求修改hosts文件,直接说明域名到主机就行。目录权限远远不够,那一个下个科目继续注明。至少,大家的页面已经不足为奇了。

[HKEY_CLASSES_ROOT\CLSID\{13709620-C279-11CE-A49E-444553540001}\Version]

另外权限部分:

  Shell.application 改名为 Shell.application_nohack

17、禁用IPV6。看操作。

@=”1.1″

Administrators

  第三步:那么,就把刚刚导出的.reg文件里的内容按上边包车型客车对应关系替换掉,然后把修改好

在windows server 2009 本田CR-V2操作系统下安插weblogic web
application,布署变成后举办测量检验,发掘测量检验页的地址使用的是隧道适配器的地点,而不是静态的ip地址,并且所在的互联网并不曾ipv6接入,因而决定将ipv6和隧道适配器禁止使用,操作如下:
亚洲必赢官网,禁止使用ipv6很简短,步入 调控面板\网络和 Internet\网络和共享中心单击面板侧边“更动适配器设置”步向互连网连接分界面,选取要设置的连年,右键选用属性,打消Internet
协议版本 6 (TCP/IPv6) 后面包车型大巴精选框显明就能够。
亚洲必赢官网 1
要禁止使用隧道适配器要求更动注册表音讯,操作如下:
起来 -> 运营 – > 输入 Regedit 踏入注册表编辑器
定位到:
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip6\Parameters]
右键点击 Parameters,采纳新建 -> DWOGL450D (32-位)值
命名值为 DisabledComponents,然后修改值为 ffffffff (16进制)
重启后生效
DisableComponents 值定义:
0, 启用全部 IPv 6 组件,暗许设置
0xffffffff,禁止使用全体 IPv 6 组件, 除 IPv 6 环回接口
0x20, 此前缀计谋中央银行使 IPv 4 实际不是 IPv 6
0x10, 禁止使用本机 IPv 6 接口
0x01, 禁用具备隧道 IPv 6 接口
0x11, 禁止使用除用于 IPv 6 环回接口全数 IPv 6 接口

[HKEY_CLASSES_ROOT\CLSID\{13709620-C279-11CE-A49E-444553540001}\VersionIndependentProgID]

一同调控

的.reg文件导入到注册表中(双击就可以),导入了化名后的登记表项之后,别忘记了去除原有的那七个品类。这里需求专注一点,Clsid中只可以是10个数字和ABCDEF七个字母。

OVER ! 重启下服务器吧

@=”Shell.Application_ajiang”

  其实,只要把对应注册表项导出来备份,然后径直改键名就足以了,

您恐怕感兴趣的篇章:

  • windows server 二〇一〇服务器安全设置初级配置
  • Win二零一零 RAV42 WEB
    服务器安全设置指南之禁止使用不供给的劳务和关闭端口
  • Win二〇〇八 PRADO2 WEB
    服务器安全设置指南之文件夹权限设置才具
  • win二零零六 Wrangler2 WEB
    服务器安全设置指南之组战术与用户设置
  • Win2009 兰德奥德赛2 WEB
    服务器安全设置指南之修改3389端口与立异补丁
  • Win二零零六远程序调节制安全设置技能
  • win二〇一〇 r2
    服务器安全设置之安全狗设置图像和文字化教育程

[HKEY_CLASSES_ROOT\Shell.Application_ajiang]

该公文夹,子文件夹及文件

  改好的事例

@=”Shell Automation Service”

 

  提议和谐改

[HKEY_CLASSES_ROOT\Shell.Application_ajiang\CLSID]

<不是持续的>

  应该可贰次中标

@=”{13709620-C279-11CE-A49E-444553540001}”

SYSTEM

  Windows Registry Editor Version 5.00

[HKEY_CLASSES_ROOT\Shell.Application_ajiang\CurVer]

一心调节

  [HKEY_CLASSES_ROOT\CLSID\{13709620-C279-11CE-A49E-444553540001}]

@=”Shell.Application_ajiang.1″

该公文夹,子文件夹及文件

  @=”Shell Automation Service”

您能够把那一个保存为贰个.reg文件运维试一下,不过可别就此了事,因为若是骇客也看了自家的这篇文章,他会考试作者改出来的这么些名字的。

<不是承接的>

  [HKEY_CLASSES_ROOT\CLSID\{13709620-C279-11CE-A49E-444553540001}\InProcServer32]

6、防止列出用户组和种类经过

硬盘或文件夹: C:\Documents and Settings\All Users

  @=”C:\\WINNT\\system32\\shell32.dll”

在阿江ASP探针1.9中组成7i24的章程应用getobject(”WINNT”)得到了系统用户和系统经过的列表,那么些列表恐怕会被骇客利用,我们应有掩盖起来,方法是:

重在权力部分:

  ”ThreadingModel”=”Apartment”

【开头→程序→管理工科具→服务】,找到Workstation,甘休它,禁止使用它。

其余权限部分:

  [HKEY_CLASSES_ROOT\CLSID\{13709620-C279-11CE-A49E-444553540001}\ProgID]

防止Serv-U权限进步

Administrators

@=”Shell.Application_nohack.1″

实质上,注销了Shell组件之后,侵入者运营进步工具的恐怕就一点都不大了,然则prel等其余脚本语言也会有shell技术,为防万一,仍然设置一下为好。

全盘调整

  [HKEY_CLASSES_ROOT\CLSID\{13709620-C279-11CE-A49E-444553540001}\TypeLib]

用Ultraedit打开ServUDaemon.exe查找Ascii:LocalAdministrator,和#l@$ak#.lk;0@P,修改成等长短的其他字符就可以了,ServUAdmin.exe也一致管理。

Users

  @=”{50a7e9b0-70ef-11d1-b75a-00a0c90564fe}”

别的注意设置Serv-U所在的文书夹的权杖,不要让IIS无名用户有读取的权柄,不然人家下走你改改过的文件,照样能够分析出你的管理员名和密码。

读取和周转

  [HKEY_CLASSES_ROOT\CLSID\{13709620-C279-11CE-A49E-444553540001}\Version]

选用ASP漏洞攻击的科学普及方法及防备

该文件夹,子文件夹及文件

  @=”1.1″

貌似情况下,黑客总是瞄准论坛等主次,因为这么些程序都有上传功效,他们很轻易的就足以上传ASP木马,尽管设置了权力,木马也能够决定当前站点的享有文件了。其它,有了木马就然后用木立时传进步工具来获得更高的权柄,我们关闭shell组件的指标相当大程度上便是为了以免攻击者运维进步工具。

该文件夹,子文件夹及文件

  [HKEY_CLASSES_ROOT\CLSID\{13709620-C279-11CE-A49E-444553540001}\VersionIndependentProgID]

一旦论坛管理员关闭了上传功用,则黑客会想艺术获得超管密码,举例,假如你用动网论坛同临时间数据库忘记了化名,人家就能够一贯下载你的数据库了,然后离开找到论坛助理馆员密码就不远了。

 

  @=”Shell.Application_nohack”

作为管理员,大家率先要反省大家的ASP程序,做好须要的安装,防止网址被黑客步入。别的就是卫戍攻击者使用贰个被黑的网站来支配总体服务器,因为只要您的服务器上还为朋友开了站点,你或者不可能显著你的敌人会把他上传的论坛做好安全设置。那就用到了前边所说的那一大堆东西,做了这些权限设置和防提高之后,红客就到底走入了叁个站点,也无力回天破坏那个网址以外的事物。

<不是承袭的>

  [HKEY_CLASSES_ROOT\Shell.Application_nohack]

QUOTE:
c:\
administrators 全部
system 全部
iis_wpg 唯有该公文夹
列出文件夹/读数据
读属性
读扩张属性
读取权限

<不是延续的>

  @=”Shell Automation Service”

c:\inetpub\mailroot
administrators 全部
system 全部
service 全部

SYSTEM

  [HKEY_CLASSES_ROOT\Shell.Application_nohack\CLSID]

c:\inetpub\ftproot
everyone 只读和周转

全然调整

  @=”{13709620-C279-11CE-A49E-444553540001}”

c:\windows
administrators 全部
Creator owner
不是后续的
唯有子文件夹及文件
完全
Power Users
修改,读取和平运动作,列出文件夹目录,读取,写入
system 全部
IIS_WPG 读取和平运动转,列出文件夹目录,读取
Users 读取和周转(此权限最后调节成功后方可收回)

USEWranglerS组的权位仅仅限制于读取和平运动作,
绝对不可能加上写入权限

  [HKEY_CLASSES_ROOT\Shell.Application_nohack\CurVer]

C:\WINDOWS\Microsoft.Net
administrators 全部
Creator owner
不是继续的
独有子文件夹及文件
完全
Power Users
修改,读取和平运动作,列出文件夹目录,读取,写入
system 全部
Users 读取和平运动转,列出文件夹目录,读取

该文件夹,子文件夹及文件

  @=”Shell.Application_nohack.1″

C:\WINDOWS\Microsoft.Net
administrators 全部
Creator owner
不是持续的
独有子文件夹及文件
完全
Power Users
修改,读取和平运动转,列出文件夹目录,读取,写入
system 全部
Users 读取和平运动作,列出文件夹目录,读取

<不是后续的>

评论:

C:\WINDOWS\Microsoft.Net\temporary ASP.NET Files
administrators 全部
Creator owner
不是三番三回的
唯有子文件夹及文件
完全
Power Users
修改,读取和周转,列出文件夹目录,读取,写入
system 全部
Users 全部

硬盘或文件夹: C:\Documents and Settings\All Users\「开始」菜单

  WScript.Shell 和 Shell.application
组件是脚本入侵过程中,提高权限的主要环节,那四个零件的卸载和改变对应注册键名,可以不小程度的增高设想主机的脚本安全品质,一般的话,ASP和php

c:\Program Files
Everyone 唯有该文件夹
不是一连的
列出文件夹/读数据
administrators 全部
iis_wpg 只有该文件夹
列出文件/读数据
读属性
读扩充属性
读取权限

重中之重权力部分:

类脚本升高权限的功能是十分小概实现了,再加上一些系列服务、硬盘访谈权限、端口过滤、本地安全攻略的装置,设想主机因该说,安全质量有不行大的加强,黑客凌犯的大概是非常的低了。注销了Shell

c:\windows\temp
Administrator 全部权力
System 全体权力
users 全部权力

别的权限部分:

组件之后,侵入者运营升高工具的或者就一点都不大了,可是prel等其他脚本语言也可能有shell才具,为防万一,依然设置一下为好。下边是另外一种设置,大同小异。

c:\Program Files\Common Files
administrators 全部
Creator owner
不是后续的
唯有子文件夹及文件
完全
Power Users
修改,读取和周转,列出文件夹目录,读取,写入
system 全部
TERMINAL SE普拉多VECR-V Users(如果有其一用户)
修改,读取和平运动作,列出文件夹目录,读取,写入
Users 读取和周转,列出文件夹目录,读取

Administrators

  C、禁止行使FileSystemObject组件

一经设置了笔者们的软件:
c:\Program Files\LIWEIWENSOFT
Everyone 读取和周转,列出文件夹目录,读取
administrators 全部
system 全部
IIS_WPG 读取和平运动转,列出文件夹目录,读取

完全调控

  FileSystemObject可以对文件实行常规操作,能够因此改换注册表,将此组件改名,来堤防此类木马的摧残。

c:\Program Files\Dimac(假使有那几个目录)
Everyone 读取和周转,列出文件夹目录,读取
administrators 全部

  HKEY_CLASSES_ROOT\Scripting.FileSystemObject\

c:\Program Files\ComPlus Applications (如果有)
administrators 全部

该文件夹,子文件夹及文件

  改名称叫别的的名字,如:改为 FileSystemObject_ChangeName

c:\Program Files\GflSDK (如果有)
administrators 全部
Creator owner
不是承接的
只有子文件夹及文件
完全
Power Users
修改,读取和运营,列出文件夹目录,读取,写入
system 全部
TERMINAL SERVER Users
修改,读取和周转,列出文件夹目录,读取,写入
Users 读取和平运动转,列出文件夹目录,读取
伊芙ryone 读取和平运动作,列出文件夹目录,读取

 

  本身今后调用的时候使用这几个就足以健康调用此组件了

c:\Program Files\InstallShield Installation Information (如果有)
c:\Program Files\Internet Explorer (如果有)
c:\Program Files\NetMeeting (如果有)
administrators 全部

<不是持续的>

  也要将clsid值也改一下

c:\Program Files\WindowsUpdate
Creator owner
不是后续的
只有子文件夹及文件
完全
administrators 全部
Power Users
修改,读取和平运动行,列出文件夹目录,读取,写入
system 全部

SYSTEM

HKEY_CLASSES_ROOT\Scripting.FileSystemObject\CLSID\花色的值

c:\Program Files\Microsoft SQL(假如SQL安装在这一个目录)
administrators 全部
Service 全部
system 全部

全然调节

  也足以将其除去,来严防此类木马的危机。

c:\Main (假诺主要调控端网址放在这一个目录)
administrators 全部
system 全部
IUSR_*,默许的Internet贵港帐户(或专项使用的运营用户)
读取和平运动行

该公文夹,子文件夹及文件

  三千裁撤此组件命令:RegSrv32 /u C:\WINNT\SYSTEM\scrrun.dll

d:\ (即便用户网址内容放置在那一个分区中)
administrators 全体权力

<不是一而再的>

  2000打消此组件命令:RegSrv32 /u C:\WINDOWS\SYSTEM\scrrun.dll

d:\FreeHost (假若此目录用来放置用户网址内容)
administrators 全部权力
SETucsonVICE 读取与运维
system 读取与运营(全体权力,借使设置了超级消息监察和控制)

硬盘或文件夹: C:\Documents and Settings\All Users\Application
Data

  怎么着禁止Guest用户选取scrrun.dll来防止调用此组件?

F:\ (要是此分区用来放置SQL三千用户数据库)
administrators 全体权力
System 全体权力
SQL两千的运行用
独有该公文夹
列出文件夹/读数据
读属性
读增加属性
读取权限

重大权力部分:

  使用这么些命令:cacls C:\WINNT\system32\scrrun.dll /e /d guests

F:\SQLDATA (要是此目录用来放置SQL三千用户数据库)
administrators 全部权力
System 全部权力
SQL三千的周转用户全部权力

任何权限部分:

  D、禁止接纳WScript.Shell组件

从平安角度,大家提议WebEasyMail(WinWebMail)安装在单独的盘中,比方E:
E:\(借使webeasymail安装在那个盘中)
administrators 全体权力
system 全体权力
IUSR_*,默许的Internet固原帐户(或专项使用的运营用户)
唯有该公文夹
列出文件夹/读数据
读属性
读扩大属性
读取权限
E:\WebEasyMail (如果webeasymail安装在那些目录中)
administrators 全部
system 全体权力
SERVICE 全部
IUSR_*,暗中同意的Internet云浮帐户 (或专项使用的运功能户)
全方位权力

Administrators

  WScript.Shell能够调用系统基本运转DOS基本命令

C:\php\uploadtemp
C:\php\sessiondata
everyone
全部

一同调整

  能够透过改变注册表,将此组件改名,来防卫此类木马的侵蚀。

C:\php\
administrators 全部
system 全体权力
SERVICE 全部
Users 只读和运行

Users

  HKEY_CLASSES_ROOT\WScript.Shell\及HKEY_CLASSES_ROOT\WScript.Shell.1\

c:\windows\php.ini
administrators 全部
system 全体权力
SERVICE 全部
Users 只读和平运动作

读取和平运动行

  改名称为其余的名字,如:改为WScript.Shell_ChangeName 或
WScript.Shell.1_ChangeName

您或然感兴趣的文章:

  • Windows server 2004 服务器意况铺春不老鸟简明版
  • Windows Server 二〇〇〇 Enterprise Edition SP1 VOL 简体中文集团版
    下载地址
  • 没有错的windows server 2001工具能源命令集
  • 汤姆cat6.0与windows 2002 server
    的IIS服务器集成
  • Windows Server
    二零零四服务器无法下载.exe文件的缓慢解决办法
  • Windows二零零三 Server 设置大全
  • Windows Server 二〇〇一 Service Pack 2 for x86 & x64
    正式版宣布
  • Windows Server 二零零二模拟IP-SAN图像和文字化教育程
  • Windows server
    二零零一证明服务器配置方式(图像和文字)
  • Windows Server 二零零二运行中常见错误的化解格局

该公文夹,子文件夹及文件

  本人未来调用的时候利用这些就能够平常调用此组件了

该公文夹,子文件夹及文件

  也要将clsid值也改一下

 

HKEY_CLASSES_ROOT\WScript.Shell\CLSID\品类的值

<不是持续的>

  HKEY_CLASSES_ROOT\WScript.Shell.1\CLSID\类型的值

<不是后续的>

  也能够将其删除,来制止此类木马的加害。

CREATOR OWNER

  E、禁止采纳Shell.Application组件

完全调节

  Shell.Application能够调用系统基本运行DOS基本命令

Users

  能够通过退换注册表,将此组件改名,来制止此类木马的风险。

写入

  HKEY_CLASSES_ROOT\Shell.Application\及

独有子文件夹及文件

  HKEY_CLASSES_ROOT\Shell.Application.1\

该公文夹,子文件夹

  改名叫任何的名字,如:改为Shell.Application_ChangeName 或
Shell.Application.1_ChangeName

<不是继续的>

  本人随后调用的时候利用那么些就能够平常调用此组件了

<不是后续的>

  也要将clsid值也改一下

SYSTEM

HKEY_CLASSES_ROOT\Shell.Application\CLSID\种类的值

统统调控

  HKEY_CLASSES_ROOT\Shell.Application\CLSID\类别的值

七个并列权限同用户组必要分开列权限

  也足以将其删除,来防范此类木马的迫害。

 

  禁止Guest用户使用shell32.dll来防护调用此组件。

该公文夹,子文件夹及文件

  两千用到命令:cacls C:\WINNT\system32\shell32.dll /e /d guests

 

  2002选用命令:cacls C:\WINDOWS\system32\shell32.dll /e /d
guests

<不是接二连三的>

  注:操作均要求再度起动WEB服务后才会卓有效用。

硬盘或文件夹: C:\Documents and Settings\All Users\Application
Data\Microsoft

  F、调用Cmd.exe

要害权力部分:

  禁止使用Guests组用户调用cmd.exe

别的权限部分:

  3000施用命令:cacls C:\WINNT\system32\Cmd.exe /e /d guests

Administrators

  二〇〇二用到命令:cacls C:\WINDOWS\system32\Cmd.exe /e /d guests

全盘调整

经过上述四步的安装基本可防止守前段时间可比盛行的两种木马,但最管用的方法仍旧经过汇总安全设置,将服务器、程序安全都到达自然标准,才或许将安全等级设置较高,防备越来越多违规干扰。

Users

一、操作系统配置

读取和运营

1.安装操作系统(NTFS分区)后,装杀毒软件,小编接纳的是卡巴。

该公文夹,子文件夹及文件

2.设置系统补丁。扫描漏洞周密杀毒

该公文夹,子文件夹及文件

3.去除Windows Server 二零零四暗中认可分享
率先编写如下内容的批管理文件:
@echo off
net share C$ /del
net share D$ /del
net share E$ /del
net share F$ /del
net share admin$ /del
文件名称叫delshare.bat,放到运维项中,每回开机时会自动删除分享。

 

4.禁用IPC连接
开发CMD后输入如下命令就能够实行连接:net use\\ip\ipc$ “password”
/user:”usernqme”。大家得以经过退换注册表来禁止使用IPC连接。打开注册表编辑器。找到如下创设

<不是后续的>

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa中的
restrictanonymous子键,将其值改为1就可以禁止使用IPC连接。

<不是承接的>

5.剔除”网络连接”里的说道和劳务
在”网络连接”里,把不要求的合计和劳动都删掉,这里只设置了着力的Internet协议(TCP/IP),同一时间在高等tcp/ip设置里–“NetBIOS”设置”禁止使用tcp/IP上的NetBIOS(S)”。

SYSTEM

6.启用windows连接防火墙,只开花web服务(80端口)。
注:在2002体系里,不推荐用TCP/IP筛选里的端口过滤效果,例如在接纳FTP服务器的时候,假诺单独只开花21端口,由于FTP协议的特殊性,在展开FTP传输的时候,由于FTP 特有的Port格局和Passive

完全调控

形式,在开始展览多少传输的时候,须求动态的展开高级口,所以在选拔TCP/IP过滤的情形下,日常会现出延续上后不恐怕列出目录和数码传输的标题。所以在二零零二系统上增添的windows连接防火墙能很好的解

此文件夹包括 Microsoft 应用程序状态数据

决那几个主题素材,所以都不推荐使用网卡的TCP/IP过滤效果。

该公文夹,子文件夹及文件

7.磁盘权限
系统盘只给 Administrators 和 SYSTEM 权限
系统盘\Documents and Settings 目录只给 Administrators 和 SYSTEM
权限;
系统盘\Documents and Settings\All Users 目录只给 Administrators 和
SYSTEM 权限;
系统盘\Documents and Settings\All Users\Application Data目录只给
Administrators 和 SYSTEM 权限;
系统盘\Windows 目录只给 Administrators 、 SYSTEM 和 users 权限;
系统盘\Windows\System32
\net.exe,net1.exe,cmd.exe,command.exe,ftp.exe,netstat.exe,regedit.exe,at.exe,attrib.exe,cacls.exe
文件只给 Administrators 权限(若是感到没用就删

<不是后续的>

了它,譬喻小编删了cmd.exe,command.exe,嘿嘿。);
另外盘,有安装程序运维的(笔者的sql server 三千 在D盘)给 Administrators 和
SYSTEM 权限,无只给 Administrators 权限。

硬盘或文件夹: C:\Documents and Settings\All Users\Application
Data\Microsoft\Crypto\RSA\MachineKeys

8.本土安全战略设置
开头菜单—>管理工科具—>本地安全战术
A、本地战术——>调查战术 (可选拔)
核准战略改变 成功 战败
复核登陆事件 成功 退步
核实对象访谈 战败
复核进程追踪 无审查批准
核实目录服务拜访 失败
复核特权选用 退步
审结系统事件 成功 败北
检查核对账户登入事件 成功 退步
审结算户处理 成功 败北

第一权力部分:

B、本地攻略——>用户权限分配
关闭系统:独有Administrators组、另外任何删减。
透过极端服务拒绝登入:到场Guests、Users组
通过终端服务允许登录:只参与Administrators组,别的全体刨除

其它权限部分:

C、本地攻略——>安全选项
交互式登录:不显得上次的用户名 启用
互连网访谈:可佚名访问的分享 全体删减
网络访问:可无名氏访谈的命名管道 全体去除
**互连网访谈:可长途访谈的挂号表路线 全体删减
**互联网访问:可长途访谈的注册表路线和子路线 全部剔除
帐户:重命名雅安帐户 重命名贰个帐户
(上边一项改成或然变成sqlserver无法动用)
帐户:重命名系统一管理理员帐户 重命名二个帐户

Administrators

二、iis配置(满含网址所在目录)

完全调节

1.新建自个儿的网址(*只顾:在应用程序设置中实行权限设为无,在必要的目录里再转移),目录不在系统盘
注:为支撑asp.net,将系统盘\Inetpub\wwwroot中的aspnet_client文件夹复制到web根目录下,并给web根目录加上users权限。

Everyone

2.删掉系统盘\inetpub目录

列出文件夹、读取属性、读取扩张属性、制造文件、创设文件夹、写入属性、写入扩大属性、读取权限

3.删减不用的映射
在”应用程序配置”里,只给供给的台本施行权限:ASP、ASPX。

唯有该文件夹

4.为网站创制系统用户
A.
比如:网址为yushan43436.net,新建用户yushan43436.net权力为guests。然后在web站点属性里”目录安全性”—“身份验证和访谈调控”里设置佚名访谈使用下列Windows
用户帐户”的用户名和密码

伊芙ryone这里独有读写权限,不可能加运作和删除权限,只限该文件夹

都使用yushan43436.net以此用户的消息。(用户名:主机名\yushan43436.net)
B.给网址所在的磁盘目录增添用户yushan43436.net,只给读取和写入的权力。

唯有该文件夹

5.装置使用程及子目录的施行权限
A.主应用程序目录中的”属性–应用程序设置–实践权限”设为纯脚本
B.在无需实行asp、asp.net的子目录中,比方上传文件目录,实行权限设为无

 

6.采取程序池设置
自身的网址采纳的是暗中认可使用程序池。设置”内部存储器回收”:这里的最大设想内部存款和储蓄器为:一千M,最大应用的大意内部存款和储蓄器为256M,那样的安装大约是没限制这一个站点的脾气的。
回收职业进程(分钟):1440
在下列时间回收专业经过:06:00

<不是后续的>

三、sql server 2000 配置

<不是接二连三的>

1.密码设置
自己编的主次用了sa用户,密码设置超复杂(自个儿记不住,保存在小叔子大里,嘿嘿)。

硬盘或文件夹: C:\Documents and Settings\All Users\Application
Data\Microsoft\Crypto\DSS\MachineKeys

2.去除惊险的增添存款和储蓄进度和相关.dll。
Xp_cmdshell(那一个一定最先受到冲击,不用说了)、Xp_regaddmultistring、Xp_regdeletekey、Xp_regdeletevalue、
Xp_regenumvalues、Xp_regread、Xp_regwrite、Xp_regremovemultistring

器重权力部分:

四、别的设置(可选择,本身同意担当)

任何权限部分:

1.其余用户密码都要复杂,没有要求的用户—删。

Administrators

2.卫戍SYN湿害攻击
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters
新建DWORD值,名为SynAttackProtect,值为2

一同调控

3.禁止响应ICMP路由文告报文
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\interface
新建DWORD值,名为PerformRouterDiscovery 值为0

Everyone

4.防止ICMP重定向报文的攻击
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters
将EnableICMPRedirects 值设为0

列出文件夹、读取属性、读取扩张属性、创设文件、创造文件夹、写入属性、写入增加属性、读取权限

5.不支持IGMP协议
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters
新建DWORD值,名为IGMPLevel 值为0

独有该公文夹

6.禁用DCOM:
运行中输入
Dcomcnfg.exe。回车,单击“调控台根节点”下的“组件服务”。展开“计算机”子文件夹。
对此本地Computer,请以右键单击“笔者的微型计算机”,然后选择“属性”。选取“默许属性”选项卡。
免去“在那台微型Computer上启用布满式 COM”复选框。

伊夫ryone这里独有读写权限,不可能加运作和删除权限,只限该文件夹

防DDOS内涝攻击管理
reg add
“HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer”
/v NoRecentDocsMenu /t REG_BINARY /d “01 00 00 00” /f
reg add
“HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer”
/v NoRecentDocsHistory /t REG_BINARY /d “01 00 00 00” /f
reg add “HKEY_LOCAL_MACHINE\Software\Microsoft\Windows
NT\CurrentVersion\Winlogon” /v DontDisplayLastUserName /t REG_SZ /d 1
/f
reg add “HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa”
/v restrictanonymous /t REG_DWORD /d “00000001” /f
reg add
“HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\Parameters”
/v AutoShareServer /t REG_DWORD /d “00000000” /f
reg add
“HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\Parameters”
/v AutoShareWks /t REG_DWORD /d “00000000” /f
reg add
“HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters”
/v EnableICMPRedirect /t REG_DWORD /d “00000000” /f
reg add
“HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters”
/v KeepAliveTime /t REG_DWORD /d “0x000927c0” /f
reg add
“HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters”
/v SynAttackPRotect /t REG_DWORD /d “00000002” /f
reg add
“HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters”
/v TcpMaxHalfOpen /t REG_DWORD /d “0x000001f4” /f
reg add
“HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters”
/v TcpMaxHalfOpenRetried /t REG_DWORD /d “00000190” /f
reg add
“HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters”
/v TcpMaxConnectResponseRetransmissions /t REG_DWORD /d “00000001” /f
reg add
“HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters”
/v TcpMaxDataRetransmissions /t REG_DWORD /d “00000003” /f
reg add
“HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters”
/v TCPMaxPortsExhausted /t REG_DWORD /d “00000005” /f
reg add
“HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters”
/v DisableIPSourceRouting /t REG_DWORD /d “00000002” /f
reg add
“HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters”
/v TcpTimedWaitDelay /t REG_DWORD /d “0x0000001e” /f
reg add
“HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters”
/v TcpNumConnections /t REG_DWORD /d “0x00004e20” /f
reg add
“HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters”
/v EnablePMTUDiscovery /t REG_DWORD /d “00000000” /f
reg add
“HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters”
/v NoNameReleaSEOnDemand /t REG_DWORD /d “00000001” /f
reg add
“HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters”
/v EnableDeadGWDetect /t REG_DWORD /d “00000000” /f
reg add
“HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters”
/v PerformRouterDiscovery /t REG_DWORD /d “00000000” /f
reg add
“HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters”
/v EnableICMPRedirects /t REG_DWORD /d “00000000” /f
reg add
“HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NetBT\Parameters”
/v BacklogIncrement /t REG_DWORD /d “00000005” /f
reg add
“HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NetBT\Parameters”
/v MaxConnBackLog /t REG_DWORD /d “0x000007d0” /f
reg add
“HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\AFD\Parameters”
/v EnableDynamicBacklog /t REG_DWORD /d “00000001” /f
reg add
“HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\AFD\Parameters”
/v MinimumDynamicBacklog /t REG_DWORD /d “00000014” /f
reg add
“HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\AFD\Parameters”
/v MaximumDynamicBacklog /t REG_DWORD /d “00007530” /f
reg add
“HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\AFD\Parameters”
/v DynamicBacklogGrowthDelta /t REG_DWORD /d “0x0000000a” /f
以免 Windows 运行您在这一个装置中内定的主次
REG ADD
“HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer”
/v DisallowRun /t REG_DWORD /d “00000001” /f
REG ADD
“HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\DisallowRun”
/v login.scr /t REG_SZ /d login.scr /f
REG ADD
“HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\DisallowRun”
/v xsiff.exe /t REG_SZ /d xsiff.exe /f
REG ADD
“HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\DisallowRun”
/v xsniff.exe /t REG_SZ /d xsniff.exe /f
REG ADD
“HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\DisallowRun”
/v sethc.exe /t REG_SZ /d sethc.exe /f
REG ADD
“HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\DisallowRun”
/v WinPcap.exe /t REG_SZ /d WinPcap.exe /f
REG ADD
“HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\DisallowRun”
/v nc.exe /t REG_SZ /d nc.exe /f
REG ADD
“HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\DisallowRun”
/v sql.exe /t REG_SZ /d sql.exe /f
REG ADD
“HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\DisallowRun”
/v su.exe /t REG_SZ /d su.exe /f

独有该公文夹

关闭445端口
reg add
“HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NetBT\Parameters”
/v SMBDeviceEnabled /t REG_DWORD /d “00000000” /f
关闭135端口
reg add “HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Ole” /v EnableDCOM
/t REG_SZ /d “N” /f
reg add “HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Rpc” /v “DCOM
PRotocols” /t REG_MULTI_SZ /d “” /f

 

取缔dump
file的产生和删除现成MEMO福特ExplorerY.DMP文件(dump文件在系统崩溃和蓝屏的时候是一份很有用的查找难题的材质。但是,它也能够给骇客提供一些机智消息例如有的应用程序的密码等。)
reg add
“HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\CrashControl”
/v CrashDumpEnabled /t REG_DWORD /d 00000000 /f
attrib %SystemRoot%\MEMORY.DMP -s -r -h
del %SystemRoot%\MEMORY.DMP /s /q /f

<不是持续的>

删去HappyTime(欢娱时光)威逼
reg delete HKCR\CLSID\{06290BD5-48AA-11D2-8432-006008C3FBFC} /f
reg delete HKCR\Scriptlet.TypeLib /f
剥夺通过重启重命有名的模特式加载运营项
重启重命名的推行优先级比守旧的自运行(一般指HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\
CurrentVersion\Run)要高, 运转完毕后又将团结删除或改名回去.
这种措施自运营极为遮掩,现

<不是一而再的>

部分安全工具都无法检验的出来。病毒通过重启重命名方式加载,位于注册表HKEY_LOCAL_MACHINE\SYSTEM
\ControlSet001\Control\ BackuPRestore\KeysNotToRestore下的Pending
Rename Operations

硬盘或文件夹: C:\Documents and Settings\All Users\Application
Data\Microsoft\HTML Help

字串。
reg delete
“HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session
Manager” /v PendingFileRenameOperations /f
关门事件跟踪程序
REG ADD “HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows
NT\Reliability” /v ShutdownReasonOn /t REG_DWORD /d “00000000” /f

根本权力部分:

        
windows 2002 服务器安全权限方案
2009年03月20日 星期五 09:11

其余权限部分:

原著:作者在电信局做网管,原本管理过三十多台服务器,从多年积存的阅历,写出以下详细的Windows二〇〇二劳动种类的平安方案,小编动用以下方案,安全运会转了二年,无红客有成功入侵的笔录,也许有红客入

Administrators

侵成功的在案,但结尾依旧尚未得到肉鸡的万丈管理员身份,只是能够浏览跳转到服务器上有所客户的网址。
服务器安全设置
>> IIS6.0的安装
   起头菜单—>调节面板—>加多或删除程序—>增添/删除Windows组件
   应用程序 ———ASP.NET(可选)
        |——启用网络 COM+ 访谈(必选)
        |——Internet 音讯服务(IIS)———Internet
消息服务管理器(必选) 
                      |——公用文件(必选)
                      |——万维网服务———Active Server
pages(必选)
                               |——Internet
数据连接器(可选)
                              |——WebDAV
发布(可选)
                             
|——万维网服务(必选)
                             
|——在劳务器端的包蕴文件(可选)
>>
在”互连网连接”里,把无需的协商谈劳动都删掉,这里只设置了主导的Internet协议(TCP/IP)和Microsoft互连网客户端。在高等tcp/ip设置里–“NetBIOS”设置”禁止使用tcp/IP上的NetBIOS(S)”。
>>在“本地连接”打开Windows 二零零三自带的防火墙,能够遮挡端口,基本完毕三个IPSec的功能,只保留有用的端口,比方远程(3389)和
Web(80),Ftp(21),邮件服务器(25,110),https(443),SQL(1433)

统统调整

>> IIS (Internet消息服务器管理器) 在”主目录”选项设置以下
读 允许
写 不允许
脚本源访谈 不容许
目录浏览 提议关闭
笔录拜候 提出关闭
索引进资金源 提议关闭
施行权限 推荐采取 “纯脚本”

Users

>>
建议选择W3C扩大日志文件格式,每日记录客户IP地址,用户名,服务器端口,方法,U揽胜极光I字根,HTTP状态,用户代理,何况每一日均要查处日志。
(最棒不用采用缺省的目录,提议更换七个记日志的路线,同时安装日志的拜望权限,只同意管理员和system为Full
Control)。
>> 在IIS6.0 -本地Computer – 属性- 允许直接编辑配置数据库在IIS中
属性->主目录->配置->选项中。

读取和周转

>> 在网址把”启用父路线“后面打上勾

该公文夹,子文件夹及文件

>> 在IIS中的Web服务扩充中选中Active Server Pages,点击“允许”

该文件夹,子文件夹及文件

>> 优化IIS6应用程序池
   1、撤除“在清闲此段时间后关门工作进度(分钟)”
   2、勾选“回收职业历程(央求数目)”
   3、撤废“飞快战败爱惜”
>> 消除SE奇骏VE奥迪Q5 二〇〇二不可能上传大附属类小部件的难点
   在“服务”里关闭 iis admin service 服务。
   找到 windows\system32\inetsrv\ 下的 metabase.xml 文件。
   找到 ASP马克斯RequestEntityAllowed
把它修改为急需的值(可修改为20M即:204九千0)
   存盘,然后重启 iis admin service 服务。

 

>> 消除SERubiconVE大切诺基 2000不可能下载当先4M的附属类小部件难题
   在“服务”里关闭 iis admin service 服务。
   找到 windows\system32\inetsrv\ 下的 metabase.xml 文件。
   找到 AspBufferingLimit
把它修改为索要的值(可修改为20M即:204七千0)
   存盘,然后重启 iis admin service 服务。

<不是再而三的>

>> 超时难题
   化解大附属类小部件上传轻巧超时失败的标题
   在IIS中调大学一年级些剧本超时时间,操作方法是:
在IIS的“站点或虚构目录”的“主目录”下点击“配置”按键,
   设置脚本超时时间为:300秒 (注意:不是Session超时时间)
  
化解因而WebMail写信时间较长后,按下发信开关就能回来系统登录分界面的题目
   适当扩大会话时间(Session)为
60分钟。在IIS站点或设想目录属性的“主目录”下点击“配置–>选项”,
   就能够实行设置了(Windows 二〇〇四默以为20分钟)
>> 修改3389长距离连接端口
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal
Server\Wds\rdpwd\Tds\tcp]
“portNumber”=dword:0000端口号
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal
Server\WinStations\RDP-Tcp]
“portNumber”=dword:0000端口号
安装那八个注册表的权杖, 增添“IUSEnclave”的完全回绝 禁止呈现端口号

<不是后续的>

>> 本地计谋—>用户权限分配
   关闭系统:唯有Administrators组、其余任何刨除。
   通过终端服务允许登入:只出席Administrators,Remote Desktop
Users组,其余全体剔除

SYSTEM

>> 在平安设置里 本地战略-用户职责分配,通过极端服务拒绝登入 加入
ASPNET
IUSR_
IWAM_
NETWORK SERVICE
(注意不要加多进user组和administrators组
加多进去现在就不曾艺术远程登录了)

一心调整

>> 在安全设置里 本地战术-安全选项
互联网访谈:可无名访谈的分享;
互连网访问:可佚名访问的命名管道;
网络访谈:可长途访谈的注册表路线;
网络访问:可长途访谈的注册表路线和子路线;
将上述四项全体剔除
>> 差别意 SAM 账户的佚名枚举 更动为”已启用”
>> 不允许 SAM 账户和分享的佚名枚举 改动为”已启用” ;
>> 互联网访谈: 区别意存款和储蓄互联网身份验证的证据或 .NET Passports
改换为”已启用” ;
>> 网络访谈.限制佚名访谈命名管道和分享,改变为”已启用” ;
将以上四项通通设为“已启用”

该公文夹,子文件夹及文件

>> Computer管理的本地用户和组
禁用极端服务(TsInternetUser), SQL服务(SQLDebugger), SUPPORT_388945a0

<不是三回九转的>

>> 禁止使用不须要的劳动
sc config AeLookupSvc start= AUTO
sc config Alerter start= DISABLED
sc config ALG start= DISABLED
sc config AppMgmt start= DEMAND
sc config aspnet_state start= DEMAND
sc config AudioSrv start= DISABLED
sc config BITS start= DEMAND
sc config Browser start= DEMAND
sc config CiSvc start= DISABLED
sc config ClipSrv start= DISABLED
sc config clr_optimization_v2.0.50727_32 start= DEMAND
sc config COMSysApp start= DEMAND
sc config CryptSvc start= AUTO
sc config DcomLaunch start= AUTO
sc config Dfs start= DEMAND
sc config Dhcp start= AUTO
sc config dmadmin start= DEMAND
sc config dmserver start= AUTO
sc config Dnscache start= AUTO
sc config ERSvc start= DISABLED
sc config Eventlog start= AUTO
sc config EventSystem start= AUTO
sc config helpsvc start= DISABLED
sc config HidServ start= AUTO
sc config HTTPFilter start= DEMAND
sc config IISADMIN start= AUTO
sc config ImapiService start= DISABLED
sc config IsmServ start= DISABLED
sc config kdc start= DISABLED
sc config lanmanworkstation start= DISABLED
sc config LicenseService start= DISABLED
sc config LmHosts start= DISABLED
sc config Messenger start= DISABLED
sc config mnmsrvc start= DISABLED
sc config MSDTC start= AUTO
sc config MSIServer start= DEMAND
sc config MSSEARCH start= AUTO
sc config MSSQLSERVER start= AUTO
sc config MSSQLServerADHelper start= DEMAND
sc config NetDDE start= DISABLED
sc config NetDDEdsdm start= DISABLED
sc config Netlogon start= DEMAND
sc config Netman start= DEMAND
sc config Nla start= DEMAND
sc config NtFrs start= DEMAND
sc config NtLmSsp start= DEMAND
sc config NtmsSvc start= DEMAND
sc config PlugPlay start= AUTO
sc config PolicyAgent start= AUTO
sc config ProtectedStorage start= AUTO
sc config RasAuto start= DEMAND
sc config RasMan start= DEMAND
sc config RDSessMgr start= DEMAND
sc config RemoteAccess start= DISABLED
sc config RemoteRegistry start= DISABLED
sc config RpcLocator start= DEMAND
sc config RpcSs start= AUTO
sc config RSoPProv start= DEMAND
sc config sacsvr start= DEMAND
sc config SamSs start= AUTO
sc config SCardSvr start= DEMAND
sc config Schedule start= AUTO
sc config seclogon start= AUTO
sc config SENS start= AUTO
sc config SharedAccess start= DISABLED
sc config ShellHWDetection start= AUTO
sc config SMTPSVC start= AUTO
sc config Spooler start= DISABLED
sc config SQLSERVERAGENT start= AUTO
sc config stisvc start= DISABLED
sc config swprv start= DEMAND
sc config SysmonLog start= AUTO
sc config TapiSrv start= DEMAND
sc config TermService start= AUTO
sc config Themes start= DISABLED
sc config TlntSvr start= DISABLED
sc config TrkSvr start= DISABLED
sc config TrkWks start= AUTO
sc config Tssdis start= DISABLED
sc config UMWdf start= DEMAND
sc config UPS start= DEMAND
sc config vds start= DEMAND
sc config VSS start= DEMAND
sc config W32Time start= AUTO
sc config W3SVC start= AUTO
sc config WebClient start= DISABLED
sc config WinHttpAutoProxySvc start= DEMAND
sc config winmgmt start= AUTO
sc config WmdmPmSN start= DEMAND
sc config Wmi start= DEMAND
sc config WmiApSrv start= DEMAND
sc config wuauserv start= DISABLED
sc config WZCSVC start= DISABLED
sc config xmlprov start= DEMAND

硬盘或文件夹: C:\Documents and Settings\All Users\Application
Data\Microsoft\Network\Connections\Cm

>> 删除暗中认可分享

关键权力部分:

@echo off
::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::
::
:: 先列举存在的分区,然后再每一个删除以分区名命名的分享;
:: 通过改造注册表防止admin$分享在下次开机时再度加载;
:: IPC$分享须要administritor权限能力学有所成删除
::
::
::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::
title 私下认可分享删除器
color 1f
echo.
echo ——————————————————
echo.
echo 开始删除每一个分区下的暗中同意分享.
echo.
for %%a in (C D E F G H I J K L M N O P Q R S T U V W X Y Z) do @(
if exist %%a:\nul (
net share %%a$ /delete>nul 2>nul && echo 成功删除名称为 %%a$
的默许分享 || echo 名称为 %%a$ 的暗中认可分享不真实
)
)
net share admin$ /delete>nul 2>nul && echo 成功删除名叫 admin$
的暗许分享 || echo 名叫 admin$ 的默许分享空中楼阁
echo.
echo ——————————————————
echo.
net stop Server /y>nul 2>nul && echo Server服务已截至.
net start Server>nul 2>nul && echo Server服务已运行.
echo.
echo ——————————————————
echo.
echo 修改注册表以改动系统暗中同意设置.
echo.
echo 正在创建注册表文件.
echo Windows Registry Editor Version 5.00> c:\delshare.reg
:: 通过注册表禁止Admin$共享,避防重启后再也加载
echo
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters]>>
c:\delshare.reg
echo “AutoShareWks”=dword:00000000>> c:\delshare.reg
echo “AutoShareServer”=dword:00000000>> c:\delshare.reg
:: 删除IPC$分享,本功效须要administritor权限才干不负义务删除
echo
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa]>>
c:\delshare.reg
echo “restrictanonymous”=dword:00000001>> c:\delshare.reg
echo 正在导入注册表文件以转移系统默许设置.
regedit /s c:\delshare.reg
del c:\delshare.reg && echo 偶然文件已经删除.
echo.
echo ——————————————————
echo.
echo 程序已经成功删除全数的暗中认可分享.
echo.
echo 按肆意键退出…
pause>nul

其它权限部分:

>> 打开C:\Windows目录 搜索以下DOS命令文件
NET.EXE,NET1.EXE,CMD.EXE,FTP.EXE,ATTRIB.EXE,CACLS.EXE,AT.EXE,FORMAT.COM,
TELNET.EXE,COMMAND.COM,NETSTAT.EXE,REGEDIT.EXE,ARP.EXE,NBTSTAT.EXE
把上述命令文件通通只给Administrators 和SYSTEM为完全调控权限

Administrators

>> 卸载删除全数CMD命令效率的高危组件
WSHOM.OCX对应于WScript.Shell组件
HKEY_CLASSES_ROOT\WScript.Shell\

HKEY_CLASSES_ROOT\WScript.Shell.1\
加多IUS途达用户完全回绝权限

一同调控

Shell32.dll对应于Shell.Application组件
HKEY_CLASSES_ROOT\Shell.Application\

HKEY_CLASSES_ROOT\Shell.Application.1\
增添IUSRubicon用户完全拒绝权限

Everyone

regsvr32/u C:\Windows\System32\wshom.ocx
regsvr32/u C:\Windows\System32\shell32.dll
WSHOM.OCXx和Shell32.dl那四个文件只给Administrator完全权限

读取和平运动行

>>> SQL权限设置
1、五个数据库,二个帐号和密码,比如创设了一个数据库,只给PUBLIC和DB_OWNE中华V权限,SA帐号基本是不利用的,因为SA实在是太惊险了.

该文件夹,子文件夹及文件

2、改动 sa 密码为你都不亮堂的超长密码,在别的情状下都毫不用 sa
这些帐户.
3、Web登陆时常常出现”[超时,请重试]”的问题
  假使设置了 SQL Server
时,必定要启用“服务器互连网实用工具”中的“多协议”项。

该文件夹,子文件夹及文件

4、将有平安主题素材的SQL扩张存储进程删除.
将以下代码全体复制到”SQL查询分析器”

 

use master
EXEC sp_dropextendedproc ‘xp_cmdshell’
EXEC sp_dropextendedproc ‘Sp_OACreate’
EXEC sp_dropextendedproc ‘Sp_OADestroy’
EXEC sp_dropextendedproc ‘Sp_OAGetErrorInfo’
EXEC sp_dropextendedproc ‘Sp_OAGetProperty’
EXEC sp_dropextendedproc ‘Sp_OAMethod’
EXEC sp_dropextendedproc ‘Sp_OASetProperty’
EXEC sp_dropextendedproc ‘Sp_OAStop’
EXEC sp_dropextendedproc ‘Xp_regaddmultistring’
EXEC sp_dropextendedproc ‘Xp_regdeletekey’
EXEC sp_dropextendedproc ‘Xp_regdeletevalue’
EXEC sp_dropextendedproc ‘Xp_regenumvalues’
EXEC sp_dropextendedproc ‘Xp_regread’
EXEC sp_dropextendedproc ‘Xp_regremovemultistring’
EXEC sp_dropextendedproc ‘Xp_regwrite’
drop procedure sp_makewebtask

<不是一而再的>

过来的下令是
EXEC sp_addextendedproc 存款和储蓄进程的称呼,@dllname =’存款和储蓄进程的dll’
譬喻:恢复生机存款和储蓄进程xp_cmdshell
EXEC sp_addextendedproc xp_cmdshell,@dllname =’xplog70.dll’
在意,恢复生机时只要xplog70.dll已删除必要copy二个。

<不是继续的>

>> WEB目录权限设置
Everyone:看名就会猜到其意义,全体的用户,那么些Computer上的装有用户都属于那一个组。
最棒在C盘以外(如D,E,F…..)的根目录创建到三级目录,一流目录只给Administrator权限,二级目录给Administrator
完全调整权限和Everyone除了一心调控,更换,获得,另外任何打勾的权位和IUSPAJERO

SYSTEM

独有该公文夹的完全拒绝权限,三级目录是各样客户的设想主机网站,给Administrator完全调控权限和伊芙ryone除了一心调节,更动,获得,别的任何打勾的权杖就可以.
C盘的目录权限以表格的章程来注解,老妪能解。

一起调整

硬盘或文件夹: C:\ D:\ E:\ F:\ 类推
根本权力部分: 别的权限部分:
Administrators
统统调控 无
要是设置了别样运营情状,比方PHP等,则基于PHP的条件意义需要来安装硬盘权限,一般是设置目录加上users读取运维权限就丰盛了,举例c:\php的话,就在根目录权限继承的意况下拉长users读取运

伊夫ryone这里唯有读和周转权限

行权限,须求写入数据的比方tmp文件夹,则把users的写删权限加上,运维权限不要,然后把设想主机用户的读权限拒绝就可以。假诺是mysql的话,用二个单身用户运维MYSQL会更安全,上边会有介绍。

该文件夹,子文件夹及文件

只假若winwebmail,则最佳创设单独的运用程序池和独立IIS用户,然后一切安装目录有winwebmail进度用户的读/运转/写/权限,IIS用户则无差距于,那个IIS用户就只用在winwebmail的WEB访问中,其

<不是三翻五次的>

她IIS站点切勿使用,安装了winwebmail的服务器硬盘权限设置后边例如

硬盘或文件夹: C:\Documents and Settings\All Users\Application
Data\Microsoft\Network\Downloader

该公文夹,子文件夹及文件
<不是三番五次的>
CREATOR OWNER
一心调节

主要权力部分:

独有子文件夹及文件

别的权限部分:

<不是接二连三的>
SYSTEM
一起调控

Administrators

该文件夹,子文件夹及文件

完全调整

<不是持续的>

硬盘或文件夹: C:\Inetpub\
根本权力部分: 别的权限部分:
Administrators
一起调整

该公文夹,子文件夹及文件

 

该文件夹,子文件夹及文件
<继承于c:\>
CREATOR OWNER
统统调节

<不是一连的>

唯有子文件夹及文件

SYSTEM

<继承于c:\>
SYSTEM
全盘调控

一心调整

该文件夹,子文件夹及文件

该公文夹,子文件夹及文件

<继承于c:\>

<不是继续的>

硬盘或文件夹: C:\Inetpub\AdminScripts
首要权力部分: 别的权限部分:
Administrators
一心调控

硬盘或文件夹: C:\Documents and Settings\All Users\Application
Data\Microsoft\Media Index

重视权力部分:

该公文夹,子文件夹及文件
<不是延续的>
SYSTEM
一心调整

其它权限部分:

该文件夹,子文件夹及文件

Administrators

<不是持续的>

全然调节

硬盘或文件夹: C:\Inetpub\wwwroot
首要权力部分: 其余权限部分:
Administrators
完全调整 IIS_WPG
读取运营/列出文件夹目录/读取

Users

该文件夹,子文件夹及文件
该公文夹,子文件夹及文件

读取和周转

<不是一连的>
<不是继续的>
SYSTEM
统统调整 Users
读取运行/列出文件夹目录/读取

该公文夹,子文件夹及文件

该公文夹,子文件夹及文件
该公文夹,子文件夹及文件

该文件夹,子文件夹及文件

<不是持续的>
<不是三翻五次的>

 

这里能够把虚构主机用户组加上
同Internet 张家界帐户同样的权杖
驳回权限
Internet 防城港帐户
创办文件/写入数据/:拒绝
成立文件夹/附加数据/:拒绝
写入属性/:拒绝
写入增加属性/:拒绝
删除子文件夹及文件/:拒绝
删除/:拒绝

<不是持续的>

该公文夹,子文件夹及文件

<承袭于上一流文件夹>

<不是持续的>

SYSTEM

硬盘或文件夹: C:\Inetpub\wwwroot\aspnet_client
根本权力部分: 别的权限部分:
Administrators
统统调整 Users
读取

全然调控

该文件夹,子文件夹及文件
该文件夹,子文件夹及文件
<不是接二连三的>
<不是持续的>
SYSTEM
全然调控

Users

该公文夹,子文件夹及文件

始建文件/写入数据
创办理文件件夹/附加数据
写入属性
写入扩大属性
读取权限

<不是接二连三的>

该公文夹,子文件夹及文件

硬盘或文件夹: C:\Documents and Settings
非常重要权力部分: 其余权限部分:
Administrators
一心调整

独有该公文夹

<不是三回九转的>

该文件夹,子文件夹及文件
<不是承袭的>
SYSTEM
完全调节

<不是持续的>

该公文夹,子文件夹及文件

 

<不是继续的>

Users

硬盘或文件夹: C:\Documents and Settings\All Users
至关重要权力部分: 其余权限部分:
Administrators
一心调节 Users
读取和周转

创办理文件件/写入数据
成立文件夹/附加数据
写入属性
写入增添属性

该公文夹,子文件夹及文件
该文件夹,子文件夹及文件
<不是持续的>
<不是延续的>
SYSTEM
完全调节 USETiggoS组的权柄仅只限制于读取和平运动作,
相对无法加上写入权限

唯有该子文件夹和文书

该文件夹,子文件夹及文件

<不是三回九转的>

<不是后续的>

硬盘或文件夹: C:\Documents and Settings\All Users\DRM

硬盘或文件夹: C:\Documents and Settings\All Users\「开始」菜单
要害权力部分: 别的权限部分:
Administrators
全盘调控 无

器重权力部分:

该公文夹,子文件夹及文件
<不是一而再的>
SYSTEM
一心调节

任何权限部分:

该文件夹,子文件夹及文件

此间须求把GUEST用户组和IIS访谈用户组全体不准
伊夫ryone的权杖相比新鲜,默许安装后已经带了
要害是要把IIS访谈的用户组加上富有权力都禁止

<不是持续的>

Users

硬盘或文件夹: C:\Documents and Settings\All Users\Application Data
第一权力部分: 别的权限部分:
Administrators
统统调节 Users
读取和平运动转

读取和平运动转

该公文夹,子文件夹及文件
该公文夹,子文件夹及文件
<不是持续的>
<不是接二连三的>
CREATOR OWNER
一起调节 Users
写入

该文件夹,子文件夹及文件

唯有子文件夹及文件
该文件夹,子文件夹

<不是继承的>

<不是一而再的>
<不是持续的>
SYSTEM
全盘调整 多个并列权限同用户组要求分开列权限

Guests

该文件夹,子文件夹及文件
<不是延续的>

拒绝全部

硬盘或文件夹: C:\Documents and Settings\All Users\Application
Data\Microsoft
珍视权力部分: 其余权限部分:
Administrators
统统调整 Users
读取和周转

该文件夹,子文件夹及文件

该公文夹,子文件夹及文件
该公文夹,子文件夹及文件
<不是继续的>
<不是持续的>
SYSTEM
全盘调节 此文件夹饱含 Microsoft 应用程序状态数据

<不是再三再四的>

该公文夹,子文件夹及文件

Guest

<不是持续的>

不容全部

硬盘或文件夹: C:\Documents and Settings\All Users\Application
Data\Microsoft\Crypto\RSA\MachineKeys
一言九鼎权力部分: 其余权限部分:
Administrators
一起调控 Everyone
列出文件夹、读取属性、读取扩张属性、创造文件、创制文件夹、写入属性、写入扩充属性、读取权限

该公文夹,子文件夹及文件

唯有该公文夹

<不是后续的>

伊芙ryone这里唯有读写权限,不可能加运作和删除权限,只限该文件夹
独有该公文夹
<不是一而再的> <不是接二连三的>

IUSR_XXX
或有些设想主机用户组

硬盘或文件夹: C:\Documents and Settings\All Users\Application
Data\Microsoft\Crypto\DSS\MachineKeys
尤为重要权力部分: 其余权限部分:
Administrators
一心调节 Everyone
列出文件夹、读取属性、读取扩充属性、成立文件、创设文件夹、写入属性、写入扩大属性、读取权限

不容全数

独有该公文夹
伊夫ryone这里唯有读写权限,不可能加运作和删除权限,只限该文件夹
只有该文件夹
<不是承继的> <不是持续的>

该文件夹,子文件夹及文件

硬盘或文件夹: C:\Documents and Settings\All Users\Application
Data\Microsoft\HTML Help
首要权力部分: 其余权限部分:
Administrators
全盘调整 Users
读取和平运动作

<不是继承的>

该公文夹,子文件夹及文件
该公文夹,子文件夹及文件
<不是持续的>
<不是延续的>
SYSTEM
一起调节

硬盘或文件夹: C:\Documents and Settings\All Users\Documents
(共享文档)

该公文夹,子文件夹及文件

重大权力部分:

<不是后续的>

别的权限部分:

硬盘或文件夹: C:\Documents and Settings\All Users\Application
Data\Microsoft\Network\Connections\Cm
重大权力部分: 其余权限部分:
Administrators
统统调节 伊芙ryone
读取和平运动作

Administrators

该公文夹,子文件夹及文件
该文件夹,子文件夹及文件
<不是继续的>
<不是持续的>
SYSTEM
全盘调整 Everyone这里唯有读和周转权限

完全调节

该文件夹,子文件夹及文件

<不是承接的>

该文件夹,子文件夹及文件

硬盘或文件夹: C:\Documents and Settings\All Users\Application
Data\Microsoft\Network\Downloader
重要权力部分: 其余权限部分:
Administrators
完全调控 无

 

该文件夹,子文件夹及文件
<不是延续的>
SYSTEM
一心调控

<不是承接的>

该公文夹,子文件夹及文件

CREATOR OWNER

<不是继续的>

统统调整

硬盘或文件夹: C:\Documents and Settings\All Users\Application
Data\Microsoft\Media Index
最主要权力部分: 别的权限部分:
Administrators
全盘调节 Users
读取和周转

唯有子文件夹及文件

该文件夹,子文件夹及文件
该文件夹,子文件夹及文件
<不是承继的>
<承接于上一级文件夹>
SYSTEM
一起调整 Users
创造文件/写入数据
创造文件夹/附加数据
写入属性
写入扩充属性
读取权限

<不是继续的>

该文件夹,子文件夹及文件
独有该文件夹

SYSTEM

<不是继续的>
<不是持续的>
Users
创立文件/写入数据
创建文件夹/附加数据
写入属性
写入扩大属性

全盘调节

独有该子文件夹和文件

 

<不是持续的>

该公文夹,子文件夹及文件

硬盘或文件夹: C:\Documents and Settings\All Users\DRM
重要权力部分: 别的权限部分:
那边须要把GUEST用户组和IIS访谈用户组全体明确命令禁止
Everyone的权柄相比奇特,默许安装后一度带了
第一是要把IIS访谈的用户组加上富有权力都不准
Users
读取和平运动作

 

该文件夹,子文件夹及文件

<不是延续的>

<不是继续的>
Guests
不容全部

硬盘或文件夹: C:\Program Files

该文件夹,子文件夹及文件

器重权力部分:

<不是继续的>
Guest
闭门羹全部

别的权限部分:

该文件夹,子文件夹及文件

Administrators

<不是三番陆次的>
IUSR_XXX
或某些虚构主机用户组

统统调节

不容全体
该文件夹,子文件夹及文件
<不是承继的>

IIS_WPG

硬盘或文件夹: C:\Documents and Settings\All Users\Documents
(分享文书档案)
珍视权力部分: 其余权限部分:
Administrators
一心调整 无

读取和周转

该文件夹,子文件夹及文件
<不是后续的>
CREATOR OWNER
全盘调节

该公文夹,子文件夹及文件

唯有子文件夹及文件

该公文夹,子文件夹及文件

<不是继续的>
SYSTEM
统统调节
该文件夹,子文件夹及文件
<不是后续的>

 

硬盘或文件夹: C:\Program Files
关键权力部分: 别的权限部分:
Administrators
一同调节 IIS_WPG
读取和平运动转

<不是后续的>

该公文夹,子文件夹及文件
该公文夹,子文件夹及文件
<不是继续的>
<不是承继的>
CREATOR OWNER
完全调节 IUS奥迪Q7_XXX
或有些虚构主机用户组
列出文件夹/读取数据 :拒绝

<不是继续的>

独有子文件夹及文件 该公文夹,子文件夹及文件

CREATOR OWNER

<不是持续的> <不是后续的>
SYSTEM
统统调节 IIS虚拟主机用户组禁止列目录,可有效防止FSO类木马
假若设置了aspjepg和aspupload

全然调节

该文件夹,子文件夹及文件
<不是连续的>

IUSR_XXX
或有些设想主机用户组

硬盘或文件夹: C:\Program Files\Common Files
第一权力部分: 其余权限部分:
Administrators
统统调节 IIS_WPG
读取和周转

列出文件夹/读取数据 :拒绝

该文件夹,子文件夹及文件
该文件夹,子文件夹及文件
<不是承接的>
<承袭于上级目录>
CREATOR OWNER
全然调控 Users
读取和周转

独有子文件夹及文件

独有子文件夹及文件 该公文夹,子文件夹及文件

该文件夹,子文件夹及文件

<不是延续的> <不是一连的>
SYSTEM
一起调整 复合权限,为IIS提供高速安全的运营条件

<不是一而再的>

该公文夹,子文件夹及文件
<不是继续的>

<不是延续的>

硬盘或文件夹: C:\Program Files\Common Files\Microsoft Shared\web
server extensions
关键权力部分: 其余权限部分:
Administrators
全盘调控 无

SYSTEM

该公文夹,子文件夹及文件
<不是一连的>
CREATOR OWNER
统统调控

一同调控

唯有子文件夹及文件

IIS设想主机用户组禁止列目录,可使得卫戍FSO类木马
尽管设置了aspjepg和aspupload

<不是延续的>
SYSTEM
一起控制
该文件夹,子文件夹及文件
<不是三翻五次的>

 

硬盘或文件夹: C:\Program Files\Microsoft SQL Server\MSSQL
(程序部分暗中认可装在C:盘)
至关重大权力部分: 别的权限部分:
Administrators
完全调控 无

该文件夹,子文件夹及文件

该文件夹,子文件夹及文件
<不是一连的>

 

硬盘或文件夹: E:\Program Files\Microsoft SQL Server\MSSQL
(数据库部分装在E:盘的图景)
重要权力部分: 其余权限部分:
Administrators
一同调节 无

<不是继续的>

该文件夹,子文件夹及文件
<不是后续的>

硬盘或文件夹: C:\Program Files\Common Files

硬盘或文件夹: C:\Program Files\Internet Explorer\iexplore.exe
重要权力部分: 别的权限部分:
Administrators
全然调节 无

根本权力部分:

该公文夹,子文件夹及文件
<不是一连的>

任何权限部分:

硬盘或文件夹: C:\Program Files\Outlook Express
第一权力部分: 别的权限部分:
Administrators
一同调节 无

Administrators

该文件夹,子文件夹及文件
<不是一连的>
CREATOR OWNER
一起调控

完全调节

独有子文件夹及文件

IIS_WPG

<不是持续的>
SYSTEM
完全调节
该文件夹,子文件夹及文件
<不是后续的>

读取和平运动行

硬盘或文件夹: C:\Program Files\PowerEasy\ (假如装了动易组件的话)
重大权力部分: 其他权限部分:
Administrators
一同调节 无

该文件夹,子文件夹及文件

该文件夹,子文件夹及文件
<不是后续的>
CREATOR OWNER
全然调整

该公文夹,子文件夹及文件

唯有子文件夹及文件

 

<不是三番五次的>
SYSTEM
统统调控
该公文夹,子文件夹及文件
<不是延续的>

<不是持续的>

硬盘或文件夹: C:\Program Files\Radmin (借使装了Radmin远程调控的话)
重在权力部分: 别的权限部分:
Administrators
完全调节 无
对应的c:\windows\system32里边有多少个文件
r_server.exe和AdmDll.dll
要把Users读取运营权限去掉
私下认可权限只要administrators和system全部权力

<承接于上级目录>

该文件夹,子文件夹及文件
<不是承袭的>
CREATOR OWNER
一心调控

CREATOR OWNER

唯有子文件夹及文件

全盘调节

<不是持续的>
SYSTEM
完全调控
该文件夹,子文件夹及文件
<不是持续的>

Users

硬盘或文件夹: C:\Program Files\Serv-U (假设装了Serv-U服务器的话)
重大权力部分: 其余权限部分:
Administrators
全然调节 无
此间常是提权侵袭的贰个非常的大的漏洞点
必然要按这几个法子设置
目录名字依据Serv-U版本也大概是
C:\Program Files\RhinoSoft.com\Serv-U

读取和平运动行

该公文夹,子文件夹及文件
<不是持续的>
CREATOR OWNER
完全调控

唯有子文件夹及文件

只有子文件夹及文件

该文件夹,子文件夹及文件

<不是再而三的>
SYSTEM
一起调控
该文件夹,子文件夹及文件
<不是承接的>

<不是后续的>

硬盘或文件夹: C:\Program Files\Windows Media Player
第一权力部分: 别的权限部分:
Administrators
完全调控 无

<不是两次三番的>

该文件夹,子文件夹及文件
<不是一而再的>
CREATOR OWNER
全盘调整

SYSTEM

唯有子文件, 夹及文件

完全调节

<不是三番伍回的>
SYSTEM
一同调整
该文件夹,子文件夹及文件
<不是承袭的>

复合权限,为IIS提供飞速安全的运行情形

硬盘或文件夹: C:\Program Files\Windows, NT\Accessories
珍视权力部分: 其余权限部分:
Administrators
完全调节 无

 

该公文夹,子文件夹及文件
<不是后续的>
CREATOR OWNER
全盘调整

该文件夹,子文件夹及文件

唯有子文件夹及文件

 

<不是一连的>
SYSTEM
一起调控
该文件夹,子文件夹及文件
<不是承接的>

<不是后续的>

硬盘或文件夹: C:\Program Files\WindowsUpdate
根本权力部分: 其他权限部分:
Administrators
一心调节 无

硬盘或文件夹: C:\Program Files\Common Files\Microsoft Shared\web
server extensions

该文件夹,子文件夹及文件
<不是一连的>
CREATOR OWNER
统统调控

根本权力部分:

独有子文件夹及文件

其余权限部分:

<不是后续的>
SYSTEM
全然调节
该公文夹,子文件夹及文件
<不是后续的>

Administrators

硬盘或文件夹: C:\WINDOWS
驷不如舌权力部分: 别的权限部分:
Administrators
完全调控 Users
读取和平运动转

统统调整

该公文夹,子文件夹及文件
该文件夹,子文件夹及文件
<不是持续的>
<不是继续的>
CREATOR OWNER
全盘调节  

唯有子文件夹及文件

该文件夹,子文件夹及文件

<不是承接的>
SYSTEM
一心调节

 

该公文夹,子文件夹及文件
<不是承袭的>

<不是继续的>

硬盘或文件夹: C:\WINDOWS\repair
要害权力部分: 其余权限部分:
Administrators
完全调节 IUS奥迪Q5_XXX
或有些设想主机用户组

CREATOR OWNER

列出文件夹/读取数据 :拒绝

完全调节

该公文夹,子文件夹及文件 该公文夹,子文件夹及文件
<不是继续的> <不是接二连三的>
CREATOR OWNER
统统调节

独有子文件夹及文件

设想主机用户采访组拒绝读取,有助于爱戴系统数据
此处爱抚的是系统级数据SAM

<不是继续的>

唯有子文件夹及文件

SYSTEM

<不是后续的>
SYSTEM
完全调整
该文件夹,子文件夹及文件
<不是后续的>

全然调控

硬盘或文件夹: C:\WINDOWS\IIS Temporary Compressed Files
要害权力部分: 别的权限部分:
Administrators
全然调整

 

USERS
读取和写入/删除

该公文夹,子文件夹及文件

该文件夹,子文件夹及文件 该公文夹,子文件夹及文件
<继承于C:\windows> <不是一而再的>
CREATOR OWNER
统统调节 IIS_WPG
读取和写入/删除

 

独有子文件夹及文件 该文件夹,子文件夹及文件

<不是持续的>

<继承于C:\windows> <不是延续的>
SYSTEM
统统调控建议装了MCAFEE或NOD的用户把此文件夹,禁止写入一些文件类型举例*.EXE和*.com等可奉行文件或vbs类脚本

硬盘或文件夹: C:\Program Files\Microsoft SQL Server\MSSQL
(程序部分暗中同意装在C:盘)

该文件夹,子文件夹及文件
<继承于C:\windows>
IUSR_XXX
或有些设想主机用户组

根本权力部分:

列出文件夹/读取数据 :拒绝
该公文夹,子文件夹及文件
<不是接二连三的>
Guests
列出文件夹/读取数据 :拒绝
该文件夹,子文件夹及文件
<不是继承的>

任何权限部分:

硬盘或文件夹: C:\WINDOWS\Microsoft.NET\Framework\版本\Temporary
ASP.NET Files
要害权力部分: 别的权限部分:
Administrators
完全调整

Administrators

ASP.NET Computer帐户

完全调控

读取和平运动行

该文件夹,子文件夹及文件 该公文夹,子文件夹及文件
<继承于C:\windows> <继承于C:\windows>
CREATOR OWNER
全然调整 ASP.NET 计算机帐户
写入/删除

该文件夹,子文件夹及文件

唯有子文件夹及文件 该公文夹,子文件夹及文件

 

<继承于C:\windows> <不是后续的>
SYSTEM
全盘调节

<不是继续的>

IIS_WPG

硬盘或文件夹: E:\Program Files\Microsoft SQL Server
(数据库部分装在E:盘的情况)

读取和平运动转
该文件夹,子文件夹及文件 该文件夹,子文件夹及文件
<继承于C:\windows> <继承于C:\windows>
IUSR_XXX
或有些虚构主机用户组

第一权力部分:

列出文件夹/读取数据 :拒绝

任何权限部分:

IIS_WPG

Administrators

写入(原来有删除权限要去掉)
该文件夹,子文件夹及文件 该公文夹,子文件夹及文件
<不是后续的> <不是继续的>
Guests
列出文件夹/读取数据 :拒绝 LOCAL SEHighlanderVICE
读取和平运动作
该文件夹,子文件夹及文件 该公文夹,子文件夹及文件
<不是继续的> <承接于C:\windows>
USERS
读取和平运动转 LOCAL SE酷威VICE
写入/删除
该公文夹,子文件夹及文件 该文件夹,子文件夹及文件
<继承于C:\windows> <不是持续的>
NETWORK SERVICE
读取和周转
该文件夹,子文件夹及文件
<继承于C:\windows>
提出装了MCAFEE或NOD的用户把此文件夹,禁止写入一些文件类型,比方*.EXE和*.com等可实践文件或vbs类脚本
NETWORK SERVICE
写入/删除
该文件夹,子文件夹及文件
<不是后续的>

全盘调控

硬盘或文件夹: C:\WINDOWS\system32
尤为重要权力部分: 其余权限部分:
Administrators
全然调控 Users
读取和周转

该文件夹,子文件夹及文件
该文件夹,子文件夹及文件
<不是后续的>
<不是再三再四的>
CREATOR OWNER
一心调节 IUS奥迪Q3_XXX
或某些虚构主机用户组

该公文夹,子文件夹及文件

列出文件夹/读取数据 :拒绝

 

唯有子文件夹及文件 该公文夹,子文件夹及文件

<不是持续的>

<不是三翻五次的> <不是承接的>
SYSTEM
全然调整 设想主机用户访谈组拒绝读取,有利于维护种类数据

CREATOR OWNER

该公文夹,子文件夹及文件
<不是继续的>

统统调控

硬盘或文件夹: C:\WINDOWS\system32\config
关键权力部分: 别的权限部分:
Administrators
全盘调控 Users
读取和平运动行

独有子文件夹及文件

该文件夹,子文件夹及文件
该文件夹,子文件夹及文件
<不是承继的>
<不是接二连三的>
CREATOR OWNER
一起控制 IUSRAV4_XXX
或某些虚构主机用户组

<不是后续的>

列出文件夹/读取数据 :拒绝

SYSTEM

独有子文件夹及文件 该公文夹,子文件夹及文件

全然调控

<不是后续的> <承继于上一流目录>
SYSTEM
一同调控 设想主机用户访谈组拒绝读取,有利于保护体周密据

 

该公文夹,子文件夹及文件
<不是持续的>

该公文夹,子文件夹及文件

硬盘或文件夹: C:\WINDOWS\system32\inetsrv\
根本权力部分: 其余权限部分:
Administrators
全然调整 Users
读取和平运动转

 

该文件夹,子文件夹及文件
该文件夹,子文件夹及文件
<不是后续的>
<不是一连的>
CREATOR OWNER
一心调节 IUSEnclave_XXX
或有个别虚构主机用户组

<不是三番五次的>

列出文件夹/读取数据 :拒绝

硬盘或文件夹: E:\Program Files\Microsoft SQL Server\MSSQL
(数据库部分装在E:盘的气象)

独有子文件夹及文件 独有该文件夹

重大权力部分:

<不是三回九转的> <承接于上拔尖目录>
SYSTEM
全盘调节 设想主机用户访谈组拒绝读取,有利于拥戴系统数据

其它权限部分:

该公文夹,子文件夹及文件
<不是持续的>

Administrators

硬盘或文件夹: C:\WINDOWS\system32\inetsrv\ASP Compiled Templates
驷不及舌权力部分: 其余权限部分:
Administrators
统统调节 IIS_WPG
完全调整

统统调控

该公文夹,子文件夹及文件 该公文夹,子文件夹及文件
<不是三番两次的> <不是继承的>
IUSR_XXX
或有个别虚构主机用户组

列出文件夹/读取数据 :拒绝
该公文夹,子文件夹及文件
<承接于上一级目录>
虚构主机用户访问组拒绝读取,有利于维护类别数据

该公文夹,子文件夹及文件

硬盘或文件夹: C:\WINDOWS\system32\inetsrv\iisadmpwd
关键权力部分: 其余权限部分:
Administrators
一心调节 无

 

该公文夹,子文件夹及文件
<不是三回九转的>
CREATOR OWNER
一同调整

<不是延续的>

唯有子文件夹及文件

硬盘或文件夹: C:\Program Files\Internet Explorer\iexplore.exe

<不是接二连三的>
SYSTEM
一同调控
该公文夹,子文件夹及文件
<不是继续的>

器重权力部分:

硬盘或文件夹: C:\WINDOWS\system32\inetsrv\MetaBack
要害权力部分: 别的权限部分:
Administrators
全盘调控 Users
读取和平运动作

其余权限部分:

该文件夹,子文件夹及文件
该公文夹,子文件夹及文件
<不是承袭的>
<不是连续的>
CREATOR OWNER
一同调控 IUS奥迪Q5_XXX
或有些虚构主机用户组

Administrators

列出文件夹/读取数据 :拒绝

统统调节

唯有子文件夹及文件 该文件夹,子文件夹及文件

<不是一而再的> <承袭于上一流目录>
SYSTEM
全然调控 虚构主机用户访谈组拒绝读取,有助于维护种类数据

该公文夹,子文件夹及文件

该公文夹,子文件夹及文件
<不是持续的>

 

 法三:限制已断开链接的对话存在时间
    
一般意况下,我们在维护远程服务器时,不容许长日子在线,可是系统暗中同意的却是只要登入就不再断开。由此,大家得以修改这一暗中同意设置,给它内定贰个自行断开的小运就可以。
能够在Windows 二零零四服务器上经过组计谋中安装一下来化解难题:单击”开首→运营”,输入”gpedit.msc”,回车后张开组攻略窗口,然后逐个定位到”Computer配置→管理模板→Windows
组件→终端服务

<不是承继的>

→会话”,然后在右边手窗口中双击”为断开的对话设置时限”,在开荒的窗口元帅”甘休断开连接的对话”时间设置为5分钟,也许设置为空闲就断开。

在长途服务器上开垦“运营”窗口,输入“tscc.msc”连接装置窗口。然后双击“连接”项左侧的“WranglerDP-Tcp”,切换来“会话”标签,选中“替代用户设置”选项,再给“甘休已断开的对话”设置贰个

硬盘或文件夹: C:\Program Files\Outlook Express

适中的时日就可以。

重大权力部分:

     法四:扩展连接数量,即设置可连日来的多少多些
    
私下认可情状下同意远程终端连接的多少是2个用户,我们得以依附要求少量扩大远程连接同期在线的用户数。
单击“初阶→运转”,输入“gpedit.msc”张开组计策编辑器窗口,依次定位到“Computer配置→管理模板→Windows
组件→终端服务”,再双击侧面的“限制连接数量”,将其TS允许的最加纳Ake拉接数设置

任何权限部分:

大学一年级些就可以。

Administrators

全盘调整

该公文夹,子文件夹及文件

 

<不是持续的>

CREATOR OWNER

全然调整

独有子文件夹及文件

<不是一而再的>

SYSTEM

一心调整

 

该公文夹,子文件夹及文件

 

<不是连续的>

硬盘或文件夹: C:\Program Files\PowerEasy5 (假使装了动易组件的话)

首要权力部分:

任何权限部分:

Administrators

完全调整

该公文夹,子文件夹及文件

 

<不是接二连三的>

CREATOR OWNER

一心调控

独有子文件夹及文件

<不是一连的>

SYSTEM

一同调整

 

该公文夹,子文件夹及文件

 

<不是继续的>

硬盘或文件夹: C:\Program Files\Radmin (如若装了Radmin远程序调节制的话)

根本权力部分:

其余权限部分:

Administrators

一心调整


对应的c:\windows\system32里面有三个文本
r_server.exe和AdmDll.dll
要把Users读取运行权限去掉
默许权限只要administrators和system全体权力

该公文夹,子文件夹及文件

 

<不是一而再的>

CREATOR OWNER

一心调控

独有子文件夹及文件

<不是继续的>

SYSTEM

统统调控

 

该公文夹,子文件夹及文件

 

<不是后续的>

硬盘或文件夹: C:\Program Files\Serv-U (要是装了Serv-U服务器的话)

重在权力部分:

别的权限部分:

Administrators

一心调控


此地常是提权凌犯的一个一点都一点都不小的漏洞点
肯定要按那个主意设置
目录名字依照Serv-U版本也只怕是
C:\Program Files\RhinoSoft.com\Serv-U

该文件夹,子文件夹及文件

 

<不是承袭的>

CREATOR OWNER

完全调整

唯有子文件夹及文件

<不是一而再的>

SYSTEM

一同调整

 

该文件夹,子文件夹及文件

 

<不是继续的>

硬盘或文件夹: C:\Program Files\Windows Media Player

重视权力部分:

别的权限部分:

Administrators

全然调控

该公文夹,子文件夹及文件

 

<不是承继的>

CREATOR OWNER

完全调控

独有子文件夹及文件

<不是连续的>

SYSTEM

一心调整

 

该文件夹,子文件夹及文件

 

<不是接二连三的>

硬盘或文件夹: C:\Program Files\Windows NT\Accessories

珍视权力部分:

任何权限部分:

Administrators

全盘调节

该公文夹,子文件夹及文件

 

<不是持续的>

CREATOR OWNER

全然调整

独有子文件夹及文件

<不是一而再的>

SYSTEM

一心调整

 

该文件夹,子文件夹及文件

 

<不是三番五次的>

硬盘或文件夹: C:\Program Files\WindowsUpdate

最主要权力部分:

别的权限部分:

Administrators

全盘调控

该公文夹,子文件夹及文件

 

<不是持续的>

CREATOR OWNER

全然调节

独有子文件夹及文件

<不是三番五次的>

SYSTEM

一心调节

 

该文件夹,子文件夹及文件

 

<不是延续的>

硬盘或文件夹: C:\WINDOWS

器重权力部分:

其它权限部分:

Administrators

全然调控

Users

读取和平运动转

该文件夹,子文件夹及文件

该文件夹,子文件夹及文件

 

<不是持续的>

<不是一连的>

CREATOR OWNER

一心调整

 

 

只有子文件夹及文件

 

<不是一而再的>

 

SYSTEM

统统调整

 

该公文夹,子文件夹及文件

 

<不是后续的>

硬盘或文件夹: C:\WINDOWS\repair

根本权力部分:

别的权限部分:

Administrators

一同调整

IUSR_XXX
或有些虚构主机用户组

列出文件夹/读取数据 :拒绝

该公文夹,子文件夹及文件

该文件夹,子文件夹及文件

 

<不是后续的>

<不是三番五次的>

CREATOR OWNER

全然调节

设想主机用户访问组拒绝读取,有利于爱抚系统数据
此处爱护的是系统级数据SAM

只有子文件夹及文件

<不是继续的>

SYSTEM

统统调整

 

该公文夹,子文件夹及文件

 

<不是继续的>

硬盘或文件夹: C:\WINDOWS\system32

重大权力部分:

任何权限部分:

Administrators

全盘调整

Users

读取和平运动作

该公文夹,子文件夹及文件

该公文夹,子文件夹及文件

 

<不是继续的>

<不是持续的>

CREATOR OWNER

全然调整

IUSR_XXX
或某些虚构主机用户组

列出文件夹/读取数据 :拒绝

唯有子文件夹及文件

该公文夹,子文件夹及文件

<不是再三再四的>

<不是继续的>

SYSTEM

一起调整

虚构主机用户访谈组拒绝读取,有利于维护连串数据

 

该公文夹,子文件夹及文件

 

<不是继续的>

硬盘或文件夹: C:\WINDOWS\system32\config

重在权力部分:

其他权限部分:

Administrators

全然调整

Users

读取和平运动作

该公文夹,子文件夹及文件

该公文夹,子文件夹及文件

 

<不是持续的>

<不是三翻五次的>

CREATOR OWNER

一心调节

IUSR_XXX
或有个别设想主机用户组

列出文件夹/读取数据 :拒绝

独有子文件夹及文件

该文件夹,子文件夹及文件

<不是继续的>

<继承于上一流目录>

SYSTEM

全盘调控

虚构主机用户访问组拒绝读取,有利于尊敬种类数据

 

该公文夹,子文件夹及文件

 

<不是持续的>

硬盘或文件夹: C:\WINDOWS\system32\inetsrv\

器重权力部分:

其余权限部分:

Administrators

全然调节

Users

读取和周转

该文件夹,子文件夹及文件

该文件夹,子文件夹及文件

 

<不是后续的>

<不是承继的>

CREATOR OWNER

完全调控

IUSR_XXX
或有些设想主机用户组

列出文件夹/读取数据 :拒绝

独有子文件夹及文件

独有该文件夹

<不是继续的>

<承继于上一流目录>

SYSTEM

全然调控

设想主机用户访谈组拒绝读取,有利于珍贵连串数据

 

该文件夹,子文件夹及文件

 

<不是继续的>

硬盘或文件夹: C:\WINDOWS\system32\inetsrv\ASP Compiled Templates

重在权力部分:

别的权限部分:

Administrators

全然调节

IIS_WPG

一同调整

该公文夹,子文件夹及文件

 

该公文夹,子文件夹及文件

 

<不是三回九转的>

 

<不是后续的>

 

IUSR_XXX
或有些虚构主机用户组

列出文件夹/读取数据 :拒绝

该公文夹,子文件夹及文件

<承接于上超级目录>

设想主机用户访谈组拒绝读取,有利于爱护种类数据

硬盘或文件夹: C:\WINDOWS\system32\inetsrv\iisadmpwd

最重要权力部分:

别的权限部分:

Administrators

一同调整

该文件夹,子文件夹及文件

 

<不是一连的>

CREATOR OWNER

一同调控

独有子文件夹及文件

<不是后续的>

SYSTEM

全盘调控

 

该公文夹,子文件夹及文件

 

<不是继续的>

硬盘或文件夹: C:\WINDOWS\system32\inetsrv\MetaBack

注重权力部分:

别的权限部分:

Administrators

统统调整

Users

读取和平运动转

该公文夹,子文件夹及文件

该文件夹,子文件夹及文件

 

<不是持续的>

<不是继承的>

CREATOR OWNER

完全调控

IUSR_XXX
或有些设想主机用户组

列出文件夹/读取数据 :拒绝

唯有子文件夹及文件

该文件夹,子文件夹及文件

<不是继续的>

<承继于上拔尖目录>

SYSTEM

全然调控

虚构主机用户访问组拒绝读取,有利于珍惜系统数据

 

该文件夹,子文件夹及文件

 

<不是再三再四的>

Winwebmail 电子邮局安装后权限举例:目录E:\

首要权力部分:

其它权限部分:

Administrators

一同调控

IUSR_XXXXXX 以此用户是WINWEBMAIL访问WEB站点专项使用帐户

读取和平运动作

该公文夹,子文件夹及文件

该公文夹,子文件夹及文件

 

<不是继续的>

<不是持续的>

CREATOR OWNER

完全调整

独有子文件夹及文件

<不是持续的>

SYSTEM

全然调控

 

该文件夹,子文件夹及文件

 

<不是持续的>

Winwebmail 电子邮局安装后权限比如:目录E:\WinWebMail

首要权力部分:

其余权限部分:

Administrators

统统调整

IUSR_XXXXXX WINWEBMAIL访谈WEB站点专项使用帐户

读取和运维

该文件夹,子文件夹及文件

该公文夹,子文件夹及文件

 

<继承于E:\>

<继承于E:\>

CREATOR OWNER

全然调整

Users

修改/读取运行/列出文件目录/读取/写入

唯有子文件夹及文件

该文件夹,子文件夹及文件

<继承于E:\>

<不是后续的>

SYSTEM

一起调控

IUSR_XXXXXX WINWEBMAIL访问WEB站点专项使用帐户

修改/读取运营/列出文件目录/读取/写入

 

该文件夹,子文件夹及文件

该文件夹,子文件夹及文件

 

<继承于E:\>

<不是后续的>

IUSR_XXXXXXIWAM_XXXXXX 是winwebmail专项使用的IIS用户和平运动用程序池用户
单身行使,安全性能高

IWAM_XXXXXX WINWEBMAIL应用程序池专项使用帐户

修改/读取运营/列出文件目录/读取/写入

该文件夹,子文件夹及文件

<不是一而再的>


2、服务器安全设置之–系统服务篇(设置停止需求重新起动)

   *除非特别意况非开不可,下列系统服务要■甘休并禁止使用■:

Alerter
服务名称:
Alerter
显示名称:
Alerter
服务描述:
通知选定的用户和计算机管理警报。如果服务停止,使用管理警报的程序将不会收到它们。如果此服务被禁用,任何直接依赖它的服务都将不能启动。
可执行文件路径:
E:\WINDOWS\system32\svchost.exe -k LocalService
其他补充:
 
Application Layer Gateway Service
服务名称:
ALG
显示名称:
Application Layer Gateway Service
服务描述:
为应用程序级协议插件提供支持并启用网络/协议连接。如果此服务被禁用,任何依赖它的服务将无法启动。
可执行文件路径:
E:\WINDOWS\System32\alg.exe
其他补充:
 
Background Intelligent Transfer Service
服务名称:
BITS
显示名称:
Background Intelligent Transfer Service
服务描述:
服务描述:利用空闲的网络带宽在后台传输文件。如果服务被停用,例如 Windows Update 和 MSN Explorer 的功能将无法自动下载程序和其他信息。如果此服务被禁用,任何依赖它的服务如果没有容错技术以直接通过 IE 传输文件,一旦 BITS 被禁用,就可能无法传输文件。
可执行文件路径:
E:\WINDOWS\system32\svchost.exe -k netsvcs
其他补充:
 
Computer Browser
服务名称:
服务名称:Browser
显示名称:
显示名称:Computer Browser
服务描述:
服务描述:维护网络上计算机的更新列表,并将列表提供给计算机指定浏览。如果服务停止,列表不会被更新或维护。如果服务被禁用,任何直接依赖于此服务的服务将无法启动。
可执行文件路径:
可执行文件路径: E:\WINDOWS\system32\svchost.exe -k netsvcs
其他补充:
 
Distributed File System
服务名称:
Dfs
显示名称:
Distributed File System
服务描述:
将分散的文件共享合并成一个逻辑名称空间并在局域网或广域网上管理这些逻辑卷。如果这个服务被停止,用户则无法访问文件共享。如果这个服务被禁用,任何依赖它的服务将无法启动。
可执行文件路径:
E:\WINDOWS\system32\Dfssvc.exe
其他补充:
 
Help and Support
服务名称:
helpsvc
显示名称:
Help and Support
服务描述:
启用在此计算机上运行帮助和支持中心。如果停止服务,帮助和支持中心将不可用。如果禁用服务,任何直接依赖于此服务的服务将无法启动。
可执行文件路径:
E:\WINDOWS\System32\svchost.exe -k netsvcs
其他补充:
 
Messenger
服务名称:
Messenger
显示名称:
Messenger
服务描述:
传输客户端和服务器之间的 NET SEND 和 警报器服务消息。此服务与 Windows Messenger 无关。如果服务停止,警报器消息不会被传输。如果服务被禁用,任何直接依赖于此服务的服务将无法启动。
可执行文件路径:
E:\WINDOWS\system32\svchost.exe -k netsvcs
其他补充:
 
NetMeeting Remote Desktop Sharing
服务名称:
mnmsrvc
显示名称:
NetMeeting Remote Desktop Sharing
服务描述:
允许经过授权的用户用 NetMeeting 在公司 intranet 上远程访问这台计算机。如果服务被停止,远程桌面共享将不可用。如果服务被禁用,依赖这个服务的任何服务都会无法启动。
可执行文件路径:
E:\WINDOWS\system32\mnmsrvc.exe
其他补充:
 
Print Spooler
服务名称:
Spooler
显示名称:
Print Spooler
服务描述:
管理所有本地和网络打印队列及控制所有打印工作。如果此服务被停用,本地计算机上的打印将不可用。如果此服务被禁用,任何依赖于它的服务将无法启用。
可执行文件路径:
E:\WINDOWS\system32\spoolsv.exe
其他补充:
 
Remote Registry
服务名称:
RemoteRegistry
显示名称:
Remote Registry
服务描述:
使远程用户能修改此计算机上的注册表设置。如果此服务被终止,只有此计算机上的用户才能修改注册表。如果此服务被禁用,任何依赖它的服务将无法启动。
可执行文件路径:
E:\WINDOWS\system32\svchost.exe -k regsvc
其他补充:
 
Task Scheduler
服务名称:
Schedule
显示名称:
Task Scheduler
服务描述:
使用户能在此计算机上配置和计划自动任务。如果此服务被终止,这些任务将无法在计划时间里运行。如果此服务被禁用,任何依赖它的服务将无法启动。
可执行文件路径:
E:\WINDOWS\System32\svchost.exe -k netsvcs
其他补充:
 
TCP/IP NetBIOS Helper
服务名称:
LmHosts
显示名称:
TCP/IP NetBIOS Helper
服务描述:
提供 TCP/IP (NetBT) 服务上的 NetBIOS 和网络上客户端的 NetBIOS 名称解析的支持,从而使用户能够共享文件、打印和登录到网络。如果此服务被停用,这些功能可能不可用。如果此服务被禁用,任何依赖它的服务将无法启动。
可执行文件路径:
E:\WINDOWS\system32\svchost.exe -k LocalService
其他补充:
 
Telnet
服务名称:
TlntSvr
显示名称:
Telnet
服务描述:
允许远程用户登录到此计算机并运行程序,并支持多种 TCP/IP Telnet 客户端,包括基于 UNIX 和 Windows 的计算机。如果此服务停止,远程用户就不能访问程序,任何直接依赖于它的服务将会启动失败。
可执行文件路径:
E:\WINDOWS\system32\tlntsvr.exe
其他补充:
 
Workstation
服务名称:
lanmanworkstation
显示名称:
Workstation
服务描述:
创建和维护到远程服务的客户端网络连接。如果服务停止,这些连接将不可用。如果服务被禁用,任何直接依赖于此服务的服务将无法启动。
可执行文件路径:
E:\WINDOWS\system32\svchost.exe -k netsvcs
其他补充:
 

    以上是windows贰零零肆server专门的工作服务中间要求截至的劳动,作为IIS网络服务器,以上劳动必需要停下,假设急需SSL证书服务,则设置格局分裂


3、服务器安全设置之–零件安全设置篇 (特别重要!!!)

A、卸载WScript.Shell 和 Shell.application
组件,将上边包车型客车代码保存为一个.BAT文件进行(分2000和二零零四种类)

windows2000.bat

regsvr32/u C:\WINNT\System32\wshom.ocx del
C:\WINNT\System32\wshom.ocx regsvr32/u
C:\WINNT\system32\shell32.dll del C:\WINNT\system32\shell32.dll

windows2003.bat

regsvr32/u C:\WINDOWS\System32\wshom.ocx del
C:\WINDOWS\System32\wshom.ocx regsvr32/u
C:\WINDOWS\system32\shell32.dll del
C:\WINDOWS\system32\shell32.dll

B、改名不安全组件,供给专注的是组件的名号和Clsid都要改,何况要改深透了,不要照抄,要和睦改

 

【开始→运行→regedit→回车】展开注册表编辑器

然后【编辑→查找→填写Shell.application→查找下二个】

用那一个情势能找到多个注册表项:

{13709620-C279-11CE-A49E-444553540000}Shell.application

第一步:为了保险万无一失,把那多个注册表项导出来,保存为xxxx.reg
文件。

第二步:诸如大家想做这么的改变

13709620-C279-11CE-A49E-444553540000 改名为
13709620-C279-11CE-A49E-444553540001

Shell.application 改名为 Shell.application_nohack

第三步:那正是说,就把刚刚导出的.reg文件里的内容按上边的相应关系替换掉,然后把修改好的.reg文件导入到注册表中(双击就能够),导入了化名后的挂号表项之后,别忘记了删减原有的那八个等级次序。这里供给注意一点,Clsid中只可以是12个数字和ABCDEF五个假名

实际,只要把对应注册表项导出来备份,然后径直改键名就足以了,

改好的例子
提商谈睦改
有道是可贰次得逞

Windows Registry Editor Version 5.00
[HKEY_CLASSES_ROOT\CLSID\{13709620-C279-11CE-A49E-444553540001}]
@=”Shell Automation Service”
[HKEY_CLASSES_ROOT\CLSID\{13709620-C279-11CE-A49E-444553540001}\InProcServer32]
@=”C:\\WINNT\\system32\\shell32.dll” “ThreadingModel”=”Apartment”
[HKEY_CLASSES_ROOT\CLSID\{13709620-C279-11CE-A49E-444553540001}\ProgID]
@=”Shell.Application_nohack.1″
[HKEY_CLASSES_ROOT\CLSID\{13709620-C279-11CE-A49E-444553540001}\TypeLib]
@=”{50a7e9b0-70ef-11d1-b75a-00a0c90564fe}”
[HKEY_CLASSES_ROOT\CLSID\{13709620-C279-11CE-A49E-444553540001}\Version]
@=”1.1″
[HKEY_CLASSES_ROOT\CLSID\{13709620-C279-11CE-A49E-444553540001}\VersionIndependentProgID]
@=”Shell.Application_nohack”
[HKEY_CLASSES_ROOT\Shell.Application_nohack] @=”Shell Automation
Service” [HKEY_CLASSES_ROOT\Shell.Application_nohack\CLSID]
@=”{13709620-C279-11CE-A49E-444553540001}”
[HKEY_CLASSES_ROOT\Shell.Application_nohack\CurVer]
@=”Shell.Application_nohack.1″

老杜议论:

WScript.Shell 和 Shell.application 组件是
脚本入侵进度中,提高权限的主要环节,那多少个零部件的卸载和修改对应注册键名,能够相当大程度的增进虚构主机的剧本安全品质,一般的话,ASP和php类脚本升高权限的功用是无能为力兑现了,再添加部分类别服务、硬盘访谈权限、端口过滤、本地安全计策的设置,虚构主机因该说,安全质量有相当大的加强,黑客凌犯的恐怕性是十分的低了。注销了Shell组件之后,侵入者运转进步工具的或许性就异常的小了,然则prel等别的脚本语言也会有shell本领,为防万一,依旧设置一下为好。上面是别的一种设置,一模一样。

  一、禁止选用FileSystemObject组件

  FileSystemObject能够对文本进行例行操作,能够透过更换注册表,将此组件改名,来防备此类木马的损害。

HKEY_CLASSES_ROOT\Scripting.FileSystemObject\

更名字为其它的名字,如:改为 FileSystemObject_ChangeName

和谐随后调用的时候使用那么些就足以健康调用此组件了

也要将clsid值也改一下

HKEY_CLASSES_ROOT\Scripting.FileSystemObject\CLSID\品类的值

  也得以将其除去,来防守此类木马的迫害。

  贰仟收回此组件命令:RegSrv32 /u C:\WINNT\SYSTEM\scrrun.dll

  二零零一撤回此组件命令:RegSrv32 /u C:\WINDOWS\SYSTEM\scrrun.dll

  如何禁止Guest用户使用scrrun.dll来防止调用此组件?

  使用那个命令:cacls C:\WINNT\system32\scrrun.dll /e /d guests

  二、禁止行使WScript.Shell组件

  WScript.Shell可以调用系统基本运营DOS基本命令

  能够透过修改注册表,将此组件改名,来防护此类木马的重伤。

  HKEY_CLASSES_ROOT\WScript.Shell\及HKEY_CLASSES_ROOT\WScript.Shell.1\

  改名字为其余的名字,如:改为WScript.Shell_ChangeName 或
WScript.Shell.1_ChangeName

  本人随后调用的时候利用那一个就能够符合规律调用此组件了

  也要将clsid值也改一下

  HKEY_CLASSES_ROOT\WScript.Shell\CLSID\类别的值

  HKEY_CLASSES_ROOT\WScript.Shell.1\CLSID\项目标值

  也能够将其除去,来严防此类木马的迫害。

  三、禁用Shell.Application组件

  Shell.Application能够调用系统基本运维DOS基本命令

  能够透过改换注册表,将此组件改名,来防御此类木马的损害。

  HKEY_CLASSES_ROOT\Shell.Application\

HKEY_CLASSES_ROOT\Shell.Application.1\

更名字为其余的名字,如:改为Shell.Application_ChangeName 或
Shell.Application.1_ChangeName

  本身随后调用的时候利用那一个就能够寻常调用此组件了

  也要将clsid值也改一下

  HKEY_CLASSES_ROOT\Shell.Application\CLSID\类型的值

HKEY_CLASSES_ROOT\Shell.Application\CLSID\花色的值

  也足以将其除去,来防御此类木马的有剧毒。

  禁止Guest用户接纳shell32.dll来严防调用此组件。

  三千施用命令:cacls C:\WINNT\system32\shell32.dll /e /d guests
二〇〇四用到命令:cacls C:\WINDOWS\system32\shell32.dll /e /d guests

注:操作均供给再度开动WEB服务后才会收效。

  四、调用Cmd.exe

  禁止使用Guests组用户调用cmd.exe

两千运用命令:cacls C:\WINNT\system32\Cmd.exe /e /d guests
二〇〇四使用命令:cacls C:\WINDOWS\system32\Cmd.exe /e /d guests

  通过以上四步的安装基本得以制止方今比较流行的二种木马,但最管用的主意依旧经过汇总安全设置,将服务器、程序安全都达到一定职业,才大概将安全等第设置较高,卫戍越来越多非法侵入。

C、防止Serv-U权限进步 (适用于 Serv-U6.0 以前版本,之后方可直接设置密码)

 

先停掉Serv-U服务

用Ultraedit打开**ServUDaemon.exe

**查找 Ascii:LocalAdministrator 和 #l@$ak#.lk;0@P

修改成等长短的别的字符就足以了,ServUAdmin.exe也同样管理。

另外注意设置Serv-U所在的文件夹的权杖,不要让IIS无名用户有读取的权位,不然人家下走你改改过的公文,照样能够解析出你的管理员名和密码。

阿江ASP探针

(能够测量试验组件安全性)

 


4、服务器安全设置之–IIS用户设置方式

IIS安全访问的例证

IIS基本设置  
   
   

**这里比如4个差别连串脚本的设想主机 权限设置例子

**

主机头

主机脚本

硬盘目录

IIS用户名

硬盘权限

使用程序池

主目录

应用程序配置

www.1.com

HTM

D:\www.1.com\

IUSR_1.com

Administrators(完全调节)
IUSR_1.com(读)

可共用

读取/纯脚本

启用父路线

www.2.com

ASP

D:\www.2.com\

IUSR_1.com

Administrators(完全调节)
IUSR_2.com(读/写)

可共用

读取/纯脚本

启用父路线

www.3.com

NET

D:\www.3.com\

IUSR_1.com

Administrators(完全调控)
IWAM_3.com(读/写)
IUSR_3.com(读/写)

独立池

读取/纯脚本

启用父路线

www.4.com

PHP

D:\www.4.com\

IUSR_1.com

Administrators(完全调控)
IWAM_4.com(读/写)
IUSR_4.com(读/写)

独立池

读取/纯脚本

启用父路线

其中 IWAM_3.com 和 IWAM_4.com
分别是各自单独运用程序池标记中的运转帐户

主机脚本类型
应用程序扩展名 (就是文件后缀名)对应主机脚本,只需要加载以下的应用程序扩展
HTM
STM | SHTM | SHTML | MDB
ASP
ASP | ASA | MDB
NET
ASPX | ASAX | ASCX| ASHX | ASMX | AXD | VSDISCO | REM | SOAP | CONFIG |
CS |CSPROJ | VB | VBPROJ | WEBINFO | LICX | RESX | RESOURCES | MDB
PHP
PHP | PHP3 | PHP4

MDB是国有映射,下边用青黄代表

应用程序扩展
映射文件 执行动作
STM=.stm
C:\WINDOWS\system32\inetsrv\ssinc.dll GET,POST
SHTM=.shtm
C:\WINDOWS\system32\inetsrv\ssinc.dll GET,POST
SHTML=.shtml
C:\WINDOWS\system32\inetsrv\ssinc.dll GET,POST
ASP=.asp
C:\WINDOWS\system32\inetsrv\asp.dll GET,HEAD,POST,TRACE
ASA=.asa
C:\WINDOWS\system32\inetsrv\asp.dll GET,HEAD,POST,TRACE
ASPX=.aspx
C:\WINDOWS\Microsoft.NET\Framework\v1.1.4322\aspnet_isapi.dll GET,HEAD,POST,DEBUG
ASAX=.asax
C:\WINDOWS\Microsoft.NET\Framework\v1.1.4322\aspnet_isapi.dll GET,HEAD,POST,DEBUG
ASCX=.ascx
C:\WINDOWS\Microsoft.NET\Framework\v1.1.4322\aspnet_isapi.dll GET,HEAD,POST,DEBUG
ASHX=.ashx
C:\WINDOWS\Microsoft.NET\Framework\v1.1.4322\aspnet_isapi.dll GET,HEAD,POST,DEBUG
ASMX=.asmx
C:\WINDOWS\Microsoft.NET\Framework\v1.1.4322\aspnet_isapi.dll GET,HEAD,POST,DEBUG
AXD=.axd
C:\WINDOWS\Microsoft.NET\Framework\v1.1.4322\aspnet_isapi.dll GET,HEAD,POST,DEBUG
VSDISCO=.vsdisco
C:\WINDOWS\Microsoft.NET\Framework\v1.1.4322\aspnet_isapi.dll GET,HEAD,POST,DEBUG
REM=.rem
C:\WINDOWS\Microsoft.NET\Framework\v1.1.4322\aspnet_isapi.dll GET,HEAD,POST,DEBUG
SOAP=.soap
C:\WINDOWS\Microsoft.NET\Framework\v1.1.4322\aspnet_isapi.dll GET,HEAD,POST,DEBUG
CONFIG=.config
C:\WINDOWS\Microsoft.NET\Framework\v1.1.4322\aspnet_isapi.dll GET,HEAD,POST,DEBUG
CS=.cs
C:\WINDOWS\Microsoft.NET\Framework\v1.1.4322\aspnet_isapi.dll GET,HEAD,POST,DEBUG
CSPROJ=.csproj
C:\WINDOWS\Microsoft.NET\Framework\v1.1.4322\aspnet_isapi.dll GET,HEAD,POST,DEBUG
VB=.vb
C:\WINDOWS\Microsoft.NET\Framework\v1.1.4322\aspnet_isapi.dll GET,HEAD,POST,DEBUG
VBPROJ=.vbproj
C:\WINDOWS\Microsoft.NET\Framework\v1.1.4322\aspnet_isapi.dll GET,HEAD,POST,DEBUG
WEBINFO=.webinfo
C:\WINDOWS\Microsoft.NET\Framework\v1.1.4322\aspnet_isapi.dll GET,HEAD,POST,DEBUG
LICX=.licx
C:\WINDOWS\Microsoft.NET\Framework\v1.1.4322\aspnet_isapi.dll GET,HEAD,POST,DEBUG
RESX=.resx
C:\WINDOWS\Microsoft.NET\Framework\v1.1.4322\aspnet_isapi.dll GET,HEAD,POST,DEBUG
RESOURCES=.resources
C:\WINDOWS\Microsoft.NET\Framework\v1.1.4322\aspnet_isapi.dll GET,HEAD,POST,DEBUG
PHP=.php
C:\php5\php5isapi.dll GET,HEAD,POST
PHP3=.php3
C:\php5\php5isapi.dll GET,HEAD,POST
PHP4=.php4
C:\php5\php5isapi.dll GET,HEAD,POST
MDB=.mdb
C:\WINDOWS\system32\inetsrv\ssinc.dll GET,POST

ASP.NET 进程帐户所需的 NTFS 权限

目录 所需权限

Temporary ASP.NET Files%windir%\Microsoft.NET\Framework\{版本}Temporary ASP.NET Files

进程帐户和模拟标识:
完全控制

临时目录 (%temp%)

进程帐户
完全控制

.NET Framework 目录%windir%\Microsoft.NET\Framework\{版本}

进程帐户和模拟标识:
读取和执行
列出文件夹内容
读取

.NET Framework 配置目录%windir%\Microsoft.NET\Framework\{版本}\CONFIG

进程帐户和模拟标识:
读取和执行
列出文件夹内容
读取

网站根目录
C:\inetpub\wwwroot
或默认网站指向的路径

进程帐户:
读取

系统根目录
%windir%\system32

进程帐户:
读取

全局程序集高速缓存
%windir%\assembly

进程帐户和模拟标识:
读取

内容目录
C:\inetpub\wwwroot\YourWebApp
(一般来说不用默认目录,管理员可根据实际情况调整比如D:\wwwroot)

进程帐户:
读取和执行
列出文件夹内容
读取
注意 对于 .NET Framework 1.0,直到文件系统根目录的所有父目录也都需要上述权限。父目录包括:
C:\
C:\inetpub\
C:\inetpub\wwwroot\


5、 服务器安全设置之–服务器安全和性质配置

把下面文本保存为: windows2000-2003服务器安全和性能注册表自动配置文件.reg 运行即可。
Windows Registry Editor Version 5.00 [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer] "NoRecentDocsMenu"=hex:01,00,00,00 "NoRecentDocsHistory"=hex:01,00,00,00 [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon] "DontDisplayLastUserName"="1" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa] "restrictanonymous"=dword:00000001 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\Parameters] "AutoShareServer"=dword:00000000 "AutoShareWks"=dword:00000000 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters] "EnableICMPRedirect"=dword:00000000 "KeepAliveTime"=dword:000927c0 "SynAttackProtect"=dword:00000002 "TcpMaxHalfOpen"=dword:000001f4 "TcpMaxHalfOpenRetried"=dword:00000190 "TcpMaxConnectResponseRetransmissions"=dword:00000001 "TcpMaxDataRetransmissions"=dword:00000003 "TCPMaxPortsExhausted"=dword:00000005 "DisableIPSourceRouting"=dword:00000002 "TcpTimedWaitDelay"=dword:0000001e "TcpNumConnections"=dword:00004e20 "EnablePMTUDiscovery"=dword:00000000 "NoNameReleaseOnDemand"=dword:00000001 "EnableDeadGWDetect"=dword:00000000 "PerformRouterDiscovery"=dword:00000000 "EnableICMPRedirects"=dword:00000000 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NetBT\Parameters] "BacklogIncrement"=dword:00000005 "MaxConnBackLog"=dword:000007d0 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\AFD\Parameters] "EnableDynamicBacklog"=dword:00000001 "MinimumDynamicBacklog"=dword:00000014 "MaximumDynamicBacklog"=dword:00007530 "DynamicBacklogGrowthDelta"=dword:0000000a
功能:可抵御DDOS攻击2-3万包,提高服务器TCP-IP整体安全性能(效果等于软件防火墙,节约了系统资源)

6、服务器安全设置之–IP安全计谋
(仅仅列出须要遮掩或堵住的端口或协商)

协议
IP协议端口
源地址
目标地址
描述
方式
ICMP
ICMP
阻止
UDP
135
任何IP地址
我的IP地址
135-UDP
阻止
UDP
136
任何IP地址
我的IP地址
136-UDP
阻止
UDP
137
任何IP地址
我的IP地址
137-UDP
阻止
UDP
138
任何IP地址
我的IP地址
138-UDP
阻止
UDP
139
任何IP地址
我的IP地址
139-UDP
阻止
TCP
445
任何IP地址-从任意端口
我的IP地址-445
445-TCP
阻止
UDP
445
任何IP地址-从任意端口
我的IP地址-445
445-UDP
阻止
UDP 69 任何IP地址-从任意端口 我的IP地址-69
69-入
阻止
UDP 69 我的IP地址-69 任何IP地址-任意端口 69-出
阻止
TCP 4444 任何IP地址-从任意端口 我的IP地址-4444 4444-TCP
阻止
TCP 1026 我的IP地址-1026 任何IP地址-任意端口 灰鸽子-1026
阻止
TCP 1027 我的IP地址-1027 任何IP地址-任意端口 灰鸽子-1027
阻止
TCP 1028 我的IP地址-1028 任何IP地址-任意端口 灰鸽子-1028
阻止
UDP
1026 我的IP地址-1026 任何IP地址-任意端口 灰鸽子-1026
阻止
UDP 1027 我的IP地址-1027 任何IP地址-任意端口 灰鸽子-1027
阻止
UDP 1028 我的IP地址-1028 任何IP地址-任意端口 灰鸽子-1028
阻止
TCP 21 我的IP地址-从任意端口 任何IP地址-到21端口 阻止tftp出站
阻止
TCP 99 我的IP地址-99 任何IP地址-任意端口 阻止99shell
阻止

如上是IP安全计策里的设置,可以依靠实际境况,扩充或删除端口


7、服务器安全设置之–当地安全攻略设置

安全战术自动更新命令:GPUpdate /force
(应用组攻略自动生效不需重新起动)

   **开头菜单—>管理工科具—>本地安全计策

   A、本地计策——>检查核对计谋

  ** 考察计策改换   成功 失利  
   调查登入事件   成功 退步
   审阅核对对象访谈      退步
   审查进程追踪   无审查批准
   调查目录服务拜访    失败
   核查特权选拔      失利
   核实系统事件   成功 失利
   核查账户登陆事件 成功 战败
   核查账户管理   成功 失利

  B、本地战略——>用户权限分配

关闭系统:唯有Administrators组、别的任何去除。
经过终点服务拒绝登入:参与Guests、User组
透过极端服务允许登入:只参与Administrators组,其余任何剔除

  C、本地计策——>安全选项

交互式登录:不出示上次的用户名       启用
互联网访谈:不容许SAM帐户和分享的无名氏枚举   启用
互连网访问:不容许为互联网身份验证累积凭证   启用
互联网访问:可佚名访谈的分享         全体刨除
网络访谈:可佚名访问的命          全部剔除
网络访谈:可长途访谈的注册表路线      全部去除
网络访谈:可长途访谈的注册表路线和子路线  全部删减
帐户:重命名雅安帐户            重命名三个帐户
帐户:重命名系统助理馆员帐户         重命名贰个帐户

UI 中的设置名称 企业客户端台式计算机 企业客户端便携式计算机 高安全级台式计算机 高安全级便携式计算机

帐户: 使用空白密码的本地帐户只允许进行控制台登录

已启用

已启用

已启用

已启用

帐户: 重命名系统管理员帐户

推荐

推荐

推荐

推荐

帐户: 重命名来宾帐户

推荐

推荐

推荐

推荐

设备: 允许不登录移除

已禁用

已启用

已禁用

已禁用

设备: 允许格式化和弹出可移动媒体

Administrators, Interactive Users

Administrators, Interactive Users

Administrators

Administrators

设备: 防止用户安装打印机驱动程序

已启用

已禁用

已启用

已禁用

设备: 只有本地登录的用户才能访问 CD-ROM

已禁用

已禁用

已启用

已启用

设备: 只有本地登录的用户才能访问软盘

已启用

已启用

已启用

已启用

设备: 未签名驱动程序的安装操作

允许安装但发出警告

允许安装但发出警告

禁止安装

禁止安装

域成员: 需要强 (Windows 2000 或以上版本) 会话密钥

已启用

已启用

已启用

已启用

交互式登录: 不显示上次的用户名

已启用

已启用

已启用

已启用

交互式登录: 不需要按 CTRL+ALT+DEL

已禁用

已禁用

已禁用

已禁用

交互式登录: 用户试图登录时消息文字

此系统限制为仅授权用户。尝试进行未经授权访问的个人将受到起诉。

此系统限制为仅授权用户。尝试进行未经授权访问的个人将受到起诉。

此系统限制为仅授权用户。尝试进行未经授权访问的个人将受到起诉。

此系统限制为仅授权用户。尝试进行未经授权访问的个人将受到起诉。

交互式登录: 用户试图登录时消息标题

继续在没有适当授权的情况下使用是违法行为。

继续在没有适当授权的情况下使用是违法行为。

继续在没有适当授权的情况下使用是违法行为。

继续在没有适当授权的情况下使用是违法行为。

交互式登录: 可被缓存的前次登录个数 (在域控制器不可用的情况下)

2

2

0

1

交互式登录: 在密码到期前提示用户更改密码

14 天

14 天

14 天

14 天

交互式登录: 要求域控制器身份验证以解锁工作站

已禁用

已禁用

已启用

已禁用

交互式登录: 智能卡移除操作

锁定工作站

锁定工作站

锁定工作站

锁定工作站

Microsoft 网络客户: 数字签名的通信(若服务器同意)

已启用

已启用

已启用

已启用

Microsoft 网络客户: 发送未加密的密码到第三方 SMB 服务器。

已禁用

已禁用

已禁用

已禁用

Microsoft 网络服务器: 在挂起会话之前所需的空闲时间

15 分钟

15 分钟

15 分钟

15 分钟

Microsoft 网络服务器: 数字签名的通信(总是)

已启用

已启用

已启用

已启用

Microsoft 网络服务器: 数字签名的通信(若客户同意)

已启用

已启用

已启用

已启用

Microsoft 网络服务器: 当登录时间用完时自动注销用户

已启用

已禁用

已启用

已禁用

网络访问: 允许匿名 SID/名称 转换

已禁用

已禁用

已禁用

已禁用

网络访问: 不允许 SAM 帐户和共享的匿名枚举

已启用

已启用

已启用

已启用

网络访问: 不允许 SAM 帐户和共享的匿名枚举

已启用

已启用

已启用

已启用

网络访问: 不允许为网络身份验证储存凭据或 .NET Passports

已启用

已启用

已启用

已启用

网络访问: 限制匿名访问命名管道和共享

已启用

已启用

已启用

已启用

网络访问: 本地帐户的共享和安全模式

经典 – 本地用户以自己的身份验证

经典 – 本地用户以自己的身份验证

经典 – 本地用户以自己的身份验证

经典 – 本地用户以自己的身份验证

网络安全: 不要在下次更改密码时存储 LAN Manager 的哈希值

已启用

已启用

已启用

已启用

网络安全: 在超过登录时间后强制注销

已启用

已禁用

已启用

已禁用

网络安全: LAN Manager 身份验证级别

仅发送 NTLMv2 响应

仅发送 NTLMv2 响应

仅发送 NTLMv2 响应\拒绝 LM & NTLM

仅发送 NTLMv2 响应\拒绝 LM & NTLM

网络安全: 基于 NTLM SSP(包括安全 RPC)客户的最小会话安全

没有最小

没有最小

要求 NTLMv2 会话安全 要求 128-位加密

要求 NTLMv2 会话安全 要求 128-位加密

网络安全: 基于 NTLM SSP(包括安全 RPC)服务器的最小会话安全

没有最小

没有最小

要求 NTLMv2 会话安全 要求 128-位加密

要求 NTLMv2 会话安全 要求 128-位加密

故障恢复控制台: 允许自动系统管理级登录

已禁用

已禁用

已禁用

已禁用

故障恢复控制台: 允许对所有驱动器和文件夹进行软盘复制和访问

已启用

已启用

已禁用

已禁用

关机: 允许在未登录前关机

已禁用

已禁用

已禁用

已禁用

关机: 清理虚拟内存页面文件

已禁用

已禁用

已启用

已启用

系统加密: 使用 FIPS 兼容的算法来加密,哈希和签名

已禁用

已禁用

已禁用

已禁用

系统对象: 由管理员 (Administrators) 组成员所创建的对象默认所有者

对象创建者

对象创建者

对象创建者

对象创建者

系统设置: 为软件限制策略对 Windows 可执行文件使用证书规则

已禁用

已禁用

已禁用

已禁用


8、防守PHP木马攻击的本领

  PHP本身再老版本有一些问题,比如在 php4.3.10和php5.0.3以前有一些比较严重的bug,所以推荐使用新版。另外,目前闹的轰轰烈烈的SQL   Injection也是在PHP上有很多利用方式,所以要保证
安全,PHP代码编写是一方面,PHP的配置更是非常关键。
我们php手手工安装的,php的默认配置文件在 /usr/local/apache2/conf/php.ini,我们最主要就是要配置php.ini中的内容,让我们执行  php能够更安全。整个PHP中的安全设置主要是为了防止phpshell和SQL Injection的攻击,一下我们慢慢探讨。我们先使用任何编辑工具打开  /etc/local/apache2/conf/php.ini,如果你是采用其他方式安装,配置文件可能不在该目录。

  (1) 打开php的安全模式

  php的安全模式是个非常重要的内嵌的安全机制,能够控制一些php中的函数,比如system(),
同时把很多文件操作函数进行了权限控制,也不允许对某些关键文件的文件,比如/etc/passwd,
但是默认的php.ini是没有打开安全模式的,我们把它打开:
safe_mode = on

  (2) 用户组安全

当safe_mode打开时,safe_mode_gid被关闭,那么php脚本能够对文件进行访问,而且相同
组的用户也能够对文件进行访问。
建议设置为:

safe_mode_gid = off

  如果不进行设置,可能我们无法对我们服务器网站目录下的文件进行操作了,比如我们需要
对文件进行操作的时候。

  (3) 安全模式下执行程序主目录

如果安全模式打开了,但是却是要执行某些程序的时候,可以指定要执行程序的主目录:

safe_mode_exec_dir = D:/usr/bin

一般情况下是不需要执行什么程序的,所以推荐不要执行系统程序目录,可以指向一个目录,
然后把需要执行的程序拷贝过去,比如:

safe_mode_exec_dir = D:/tmp/cmd

但是,我更推荐不要执行任何程序,那么就可以指向我们网页目录:

safe_mode_exec_dir = D:/usr/www

  (4) 安全模式下包含文件

如果要在安全模式下包含某些公共文件,那么就修改一下选项:

safe_mode_include_dir = D:/usr/www/include/

  其实一般php脚本中包含文件都是在程序自己已经写好了,这个可以根据具体需要设置。

  (5) 控制php脚本能访问的目录

使用open_basedir选项能够控制PHP脚本只能访问指定的目录,这样能够避免PHP脚本访问
不应该访问的文件,一定程度上限制了phpshell的危害,我们一般可以设置为只能访问网站目录:

open_basedir = D:/usr/www

  (6) 关闭危险函数

如果打开了安全模式,那么函数禁止是可以不需要的,但是我们为了安全还是考虑进去。比如,
我们觉得不希望执行包括system()等在那的能够执行命令的php函数,或者能够查看php信息的
phpinfo()等函数,那么我们就可以禁止它们:

disable_functions = system,passthru,exec,shell_exec,popen,phpinfo

  如果你要禁止任何文件和目录的操作,那么可以关闭很多文件操作

disable_functions = chdir,chroot,dir,getcwd,opendir,readdir,scandir,fopen,unlink,delete,copy,mkdir,   rmdir,rename,file,file_get_contents,fputs,fwrite,chgrp,chmod,chown

以上只是列了部分不叫常用的文件处理函数,你也可以把上面执行命令函数和这个函数结合,
就能够抵制大部分的phpshell了。

  (7) 关闭PHP版本信息在http头中的泄漏

我们为了防止黑客获取服务器中php版本的信息,可以关闭该信息斜路在http头中:

expose_php = Off

  比如黑客在 telnet www.12345.com 80 的时候,那么将无法看到PHP的信息。

  (8) 关闭注册全局变量

在PHP中提交的变量,包括使用POST或者GET提交的变量,都将自动注册为全局变量,能够直接访问,
这是对服务器非常不安全的,所以我们不能让它注册为全局变量,就把注册全局变量选项关闭:
register_globals = Off
当然,如果这样设置了,那么获取对应变量的时候就要采用合理方式,比如获取GET提交的变量var,
那么就要用$_GET[‘var’]来进行获取,这个php程序员要注意。

  (9) 打开magic_quotes_gpc来防止SQL注入

SQL注入是非常危险的问题,小则网站后台被入侵,重则整个服务器沦陷,

所以一定要小心。php.ini中有一个设置:

magic_quotes_gpc = Off

这个默认是关闭的,如果它打开后将自动把用户提交对sql的查询进行转换,
比如把 ‘ 转为 \’等,这对防止sql注射有重大作用。所以我们推荐设置为:

magic_quotes_gpc = On

  (10) 错误信息控制

一般php在没有连接到数据库或者其他情况下会有提示错误,一般错误信息中会包含php脚本当
前的路径信息或者查询的SQL语句等信息,这类信息提供给黑客后,是不安全的,所以一般服务器建议禁止错误提示:

display_errors = Off

  如果你却是是要显示错误信息,一定要设置显示错误的级别,比如只显示警告以上的信息:

error_reporting = E_WARNING & E_ERROR

  当然,我还是建议关闭错误提示。

  (11) 错误日志

建议在关闭display_errors后能够把错误信息记录下来,便于查找服务器运行的原因:

log_errors = On

  同时也要设置错误日志存放的目录,建议根apache的日志存在一起:

error_log = D:/usr/local/apache2/logs/php_error.log

  注意:给文件必须允许apache用户的和组具有写的权限。

MYSQL的降权运行

  新建立一个用户比如mysqlstart

  net user mysqlstart ****microsoft /add

  net localgroup users mysqlstart /del

  不属于任何组

  如果MYSQL装在d:\mysql ,那么,给 mysqlstart 完全控制 的权限

  然后在系统服务中设置,MYSQL的服务属性,在登录属性当中,选择此用户 mysqlstart 然后输入密码,确定。

  重新启动 MYSQL服务,然后MYSQL就运行在低权限下了。

  如果是在windos平台下搭建的apache我们还需要注意一点,apache默认运行是system权限,
这很恐怖,这让人感觉很不爽.那我们就给apache降降权限吧。

  net user apache ****microsoft /add

  net localgroup users apache /del

  ok.我们建立了一个不属于任何组的用户apche。

  我们打开计算机管理器,选服务,点apache服务的属性,我们选择log on,选择this account,我们填入上面所建立的账户和密码,
重启apache服务,ok,apache运行在低权限下了。

  实际上我们还可以通过设置各个文件夹的权限,来让apache用户只能执行我们想让它能干的事情,给每一个目录建立一个单独能读写的用户。
这也是当前很多虚拟主机提供商的流行配置方法哦,不过这种方法用于防止这里就显的有点大材小用了。

 

9、MSSQL安全设置

sql2000安全很重要

将有安全问题的SQL过程删除.比较全面.一切为了安全!

删除了调用shell,注册表,COM组件的破坏权限

use master
EXEC sp_dropextendedproc ‘xp_cmdshell’
EXEC sp_dropextendedproc ‘Sp_OACreate’
EXEC sp_dropextendedproc ‘Sp_OADestroy’
EXEC sp_dropextendedproc ‘Sp_OAGetErrorInfo’
EXEC sp_dropextendedproc ‘Sp_OAGetProperty’
EXEC sp_dropextendedproc ‘Sp_OAMethod’
EXEC sp_dropextendedproc ‘Sp_OASetProperty’
EXEC sp_dropextendedproc ‘Sp_OAStop’
EXEC sp_dropextendedproc ‘Xp_regaddmultistring’
EXEC sp_dropextendedproc ‘Xp_regdeletekey’
EXEC sp_dropextendedproc ‘Xp_regdeletevalue’
EXEC sp_dropextendedproc ‘Xp_regenumvalues’
EXEC sp_dropextendedproc ‘Xp_regread’
EXEC sp_dropextendedproc ‘Xp_regremovemultistring’
EXEC sp_dropextendedproc ‘Xp_regwrite’
drop procedure sp_makewebtask

全部复制到"SQL查询分析器"

点击菜单上的–"查询"–"执行",就会将有安全问题的SQL过程删除(以上是7i24的正版用户的技术支持)

更改默认SA空密码.数据库链接不要使用SA帐户.单数据库单独设使用帐户.只给public和db_owner权限.

数据库不要放在默认的位置.

SQL不要安装在PROGRAM FILE目录下面.

最近的SQL2000补丁是SP4

 

10、启用WINDOWS自带的防火墙
  

启用win防火墙

   桌面—>网上邻居—>(右键)属性—>本地连接—>(右键)属性—>高级—>

(选中)Internet 连接防火墙—>设置

把服务器上面要用到的服务端口选中

例如:一台WEB服务器,要提供WEB(80)、FTP(21)服务及远程桌面管理(3389)

在“FTP 服务器”、“WEB服务器(HTTP)”、“远程桌面”、“安全WEB服务器”前面打上对号

如果你要提供服务的端口不在里面,你也可以点击“添加”铵钮来添加,SMTP和POP3根据需要打开

具体参数可以参照系统里面原有的参数。

然后点击确定。注意:如果是远程管理这台服务器,请先确定远程管理的端口是否选中或添加。

   一般需要打开的端口有:21、 25、 80、 110、 443、 3389、 等,根据需要开放需要的端口。

  

 

11、用户安全设置
  

用户安全设置

用户安全设置

1、禁用Guest账号

在计算机管理的用户里面把Guest账号禁用。为了保险起见,最好给Guest加一个复杂的密码。你可以打开记事本,在里面输入一串包含特殊字符、数字、字母的长字符串,然后把它作为Guest用户的密码拷进去。

2、限制不必要的用户

去掉所有的Duplicate User用户、测试用户、共享用户等等。用户组策略设置相应权限,并且经常检查系统的用户,删除已经不再使用的用户。这些用户很多时候都是黑客们入侵系统的突破口。

3、创建两个管理员账号

创建一个一般权限用户用来收信以及处理一些日常事物,另一个拥有Administrators 权限的用户只在需要的时候使用。

4、把系统Administrator账号改名

大家都知道,Windows 2000 的Administrator用户是不能被停用的,这意味着别人可以一遍又一遍地尝试这个用户的密码。尽量把它伪装成普通用户,比如改成Guesycludx。

5、创建一个陷阱用户

什么是陷阱用户?即创建一个名为“Administrator”的本地用户,把它的权限设置成最低,什么事也干不了的那种,并且加上一个超过10位的超级复杂密码。这样可以让那些 Hacker们忙上一段时间,借此发现它们的入侵企图。

6、把共享文件的权限从Everyone组改成授权用户

任何时候都不要把共享文件的用户设置成“Everyone”组,包括打印共享,默认的属性就是“Everyone”组的,一定不要忘了改。

7、开启用户策略

使用用户策略,分别设置复位用户锁定计数器时间为20分钟,用户锁定时间为20分钟,用户锁定阈值为3次。

8、不让系统显示上次登录的用户名

默认情况下,登录对话框中会显示上次登录的用户名。这使得别人可以很容易地得到系统的一些用户名,进而做密码猜测。修改注册表可以不让对话框里显示上次登录的用户名。方法为:打开注册表编辑器并找到注册表项“HKLMSoftwareMicrosoftWindows TCurrentVersionWinlogonDont-DisplayLastUserName”,把REG_SZ的键值改成1。

密码安全设置

1、使用安全密码

一些公司的管理员创建账号的时候往往用公司名、计算机名做用户名,然后又把这些用户的密码设置得太简单,比如“welcome”等等。因此,要注意密码的复杂性,还要记住经常改密码。

2、设置屏幕保护密码

这是一个很简单也很有必要的操作。设置屏幕保护密码也是防止内部人员破坏服务器的一个屏障。

3、开启密码策略

注意应用密码策略,如启用密码复杂性要求,设置密码长度最小值为6位 ,设置强制密码历史为5次,时间为42天。

4、考虑使用智能卡来代替密码

对于密码,总是使安全管理员进退两难,密码设置简单容易受到黑客的攻击,密码设置复杂又容易忘记。如果条件允许,用智能卡来代替复杂的密码是一个很好的解决方法。

 

12、Windows二零零零 下安装 WinWebMail 3.6.3.1 完全战略手册

这段时间论坛上有朋友提及无法在WINDOWS2003+IIS6下面建立WINWEBMAIL邮件,遇到不一些问题,特意将这篇旧文重新发一次给大家

1)查看硬盘:两块9.1G SCSI 硬盘(实容量8.46*2)

2)分区
系统分区X盘7.49G
WEB 分区X盘1.0G
邮件分区X盘8.46G(带1000个100M的邮箱足够了)

3)安装WINDOWS SERVER 2003

4)打基本补丁(防毒)...在这之前一定不要接网线!

5)在线打补丁

6)卸载或禁用微软的SMTP服务(Simple Mail Transpor Protocol),否则会发生端口冲突

7)安装WinWebMail,然后重启服务器使WinWebMail完成安装.并注册.然后恢复WinWebMail数据.

8)安装Norton 8.0并按WinWebMail帮助内容设定,使Norton与WinWebMail联合起到邮件杀毒作用(将Norton更新到最新的病毒库)
8.1 启用Norton的实时防护功能
8.2 必须要设置对于宏病毒和非宏病毒的第1步操作都必须是删除被感染文件,并且必须关闭警告提示!!
8.3 必须要在查毒设置中排除掉安装目录下的 \mail 及其所有子目录,只针对WinWebMail安装文件夹下的 \temp 文件夹进行实时查毒。注意:如果没有 \temp 文件夹时,先手工创建此 \temp 文件夹,然后再进行此项设置。

9)将WinWebMail的DNS设置为win2k3中网络设置的DNS,切记,要想发的出去最好设置一个不同的备用DNS地址,对外发信的就全靠这些DNS地址了

10)给予安装 WinWebMail 的盘符以及父目录以 Internet 来宾帐户 (IUSR_*) 允许 [读取\运行\列出文件夹目录] 的权限.
WinWebMail的安装目录,INTERNET访问帐号完全控制
给予[超级用户/SYSTEM]在安装盘和目录中[完全控制]权限,重启IIS以保证设定生效.

11)防止外发垃圾邮件:
11.1 在服务器上点击右下角图标,然后在弹出菜单的“系统设置”–>“收发规则”中选中“启用SMTP发信认证功能”项,有效的防范外发垃圾邮件。
11.2 在“系统设置”–>“收发规则”中选中“只允许系统内用户对外发信”项。
11.3 在服务器上点击右下角图标,然后在弹出菜单的“系统设置”–>“防护”页选中“启用外发垃圾邮件自动过滤功能”项,然后再启用其设置中的“允许自动调整”项。
11.4 “系统设置”–>“收发规则”中设置“最大收件人数”—–> 10.
11.5 “系统设置”–>“防护”页选中“启用连接攻击保护功能”项,然后再设置“启用自动保护功能”.
11.6 用户级防付垃圾邮件,需登录WebMail,在“选项 | 防垃圾邮件”中进行设置。

12)打开IIS 6.0, 确认启用支持 asp 功能, 然后在默认站点下建一个虚拟目录(如: mail), 然后指向安装 WinWebMail 目录下的 \Web 子目录, 打开浏览器就可以按下面的地址访问webmail了:
http://<;;你的IP或域名>/mail/什么? 嫌麻烦不想建? 那可要错过WinWebMail强大的webmail功能了, 3分钟的设置保证物超所值 🙂

13)Web基本设置:
13.1 确认“系统设置”–>“资源使用设置”内没有选中“公开申请的是含域名帐号”
13.2 “系统设置”–>“收发规则”中设置Helo为您域名的MX记录

13.3.解决SERVER 2003不能上传大附件的问题:
13.3.1 在服务里关闭 iis admin service 服务。
13.3.2 找到 windows\system32\inetsrv\ 下的 metabase.xml 文件。
13.3.3 用纯文本方式打开,找到 ASPMaxRequestEntityAllowed 把它修改为需要的值(可修改为10M即:10240000),默认为:204800,即:200K。
13.3.4 存盘,然后重启 iis admin service 服务。

13.4.解决SERVER 2003无法下载超过4M的附件的问题
13.4.1 先在服务里关闭 iis admin service 服务。
13.4.2 找到 windows\system32\inetsrv\ 下的 metabase.xml 文件。
13.4.3 用纯文本方式打开,找到 AspBufferingLimit 把它修改为需要的值(可修改为20M即:20480000)。
13.4.4 存盘,然后重启 iis admin service 服务。

13.5.解决大附件上传容易超时失败的问题.
在IIS中调大一些脚本超时时间,操作方法是: 在IIS的“站点或(虚拟目录)”的“主目录”下点击“配置”按钮,设置脚本超时间为:300秒(注意:不是Session超时时间)。

13.6.解决Windows 2003的IIS 6.0中,Web登录时经常出现"[超时,请重试]"的提示.
将WebMail所使用的应用程序池“属性–>回收”中的“回收工作进程”以及"属性–>性能"中的“在空闲此段时间后关闭工作进程”这两个选项前的勾号去掉,然后重启一下IIS即可解决.

13.7.解决通过WebMail写信时间较长后,按下发信按钮就会回到系统登录界面的问题.
适当增加会话时间(Session)为 60分钟。在IIS站点或虚拟目录属性的“主目录”下点击[配置—选项],就可以进行设置了(SERVER 2003默认为20分钟).

13.8.安装后查看WinWebMail的安装目录下有没有 \temp 目录,如没有,手工建立一个.

14)做邮件收发及10M附件测试(内对外,内对内,外对内).

15)打开2003自带防火墙,并打开POP3.SMTP.WEB.远程桌面.充许此4项服务, OK, 如果想用IMAP4或SSL的SMTP.POP3.IMAP4也需要打开相应的端口.

16)再次做邮件收发测试(内对外,内对内,外对内).

17)改名、加强壮口令,并禁用GUEST帐号。

18)改名超级用户、建立假administrator、建立第二个超级用户。

都搞定了!忙了半天, 现在终于可以来享受一把 WinWebMail 的超强 webmail 功能了, let’s go!


13、IIS+PHP+MySQL+Zend
Optimizer+GD库+phpMyAdmin安装配置[全体育学改良实用版]
转来的,非原创


IIS+PHP+MySQL+Zend Optimizer+GD库+phpMyAdmin安装配置[完整修正实用版]

IIS+PHP+MySQL+Zend Optimizer+GD库+phpMyAdmin安装配置[完整修正实用版]

[补充]关于参照本贴配置这使用中使用的相关问题请参考
关于WIN主机下配置PHP的若干问题解决方案总结这个帖子尽量自行解决,谢谢
http://bbs.xqin.com/viewthread.php?tid=86

一、软件准备:以下均为截止2006-1-20的最新正式版本,下载地址也均长期有效

1.PHP,推荐PHP4.4.0的ZIP解压版本:

PHP(4.4.0):http://cn.php.net/get/php-4.4.0-Win32.zip/from/a/mirror

PHP(5.1.2):http://cn.php.net/get/php-5.1.2-Win32.zip/from/a/mirror

2.MySQL,配合PHP4推荐MySQL4.0.26的WIN系统安装版本:

MySQL(4.0.26):http://download.discuz.net/mysql-4.0.26-win32.zip

MySQL(4.1.16):http://www.skycn.com/soft/24418.html

MySQL(5.0.18):http://download.discuz.net/mysql-4.0.26-win32.zip

3.Zend Optimizer,当然选择当前最新版本拉:

Zend Optimizer(2.6.2):http://www.zend.com/store/free_download.php?pid=13

(Zend软件虽然免费下载,但需要注册用户,这里提供注册好的帐户名:xqincom和密码:xqin.com,方便大家使用,请不要修改本帐号或将本帐户用于其他费正当途径,谢谢!)

登陆后选择Windows x86的Platform版本,如最新版本2.6.2 https://www.zend.com/store/getfreefile.php?pid=13&zbid=995

4.phpMyAdmin

当然同样选择当前最新版本拉,注意选择for Windows 的版本哦:

phpMyAdmin(2.8.0.3):http://www.crsky.com/soft/4190.html

假设 C:\ 为你现在所使用操作系统的系统盘,如果你目前操作系统不是安装在 C:\ ,请自行对应修改相应路径。同时由于C盘经常会因为各种原因重装系统,数据放在该盘不易备份和转移 选择安装目录,故本文将所有PHP相关软件均安装到D:\php目录下,这个路径你可以自行设定,如果你安装到不同目录涉及到路径的请对应修改以下的对应路径即可

二、安装 PHP :本文PHP安装路径取为D:\php\php4\(为避混淆,PHP5.1.x版本安装路径取为D:\php\php5\)


(1)、下载后得到 php-4.4.0-Win32.zip ,解压至D:\php目录,将得到二级目录php-4.4.0-Win32,改名为 php4,
也即得到PHP文件存放目录D:\php\php4\

[如果是PHP5.1.2,得到的文件是php-5.1.2-Win32.zip,直接全部接压至D:\php\php5目录即可得PHP文件存放目录D:\php\php5\];


(2)、再将D:\php\php4目录和D:\php\php4\dlls目录

[PHP5为D:\php\php5\]下的所有dll文件 copy 到 c:\Windows\system32 (win2000系统为 c:/winnt/system32/)下,覆盖已有的dll文件;


(3)、将php.ini-dist用记事本打开,利用记事本的查找功能搜索并修改:


搜索 register_globals = Off

将 Off 改成 On ,即得到 register_globals = On

注:这个对应PHP的全局变量功能,考虑有很多PHP程序需要全局变量功能故打开,打开后请注意-PHP程序的严谨性,如果不需要推荐不修改保持默认Off状态


搜索 extension_dir =

这个是PHP扩展功能目录 并将其路径指到你的 PHP 目录下的 extensions 目录,比如:

修改 extension_dir = "./" 为 extension_dir = "D:/php/php4/extensions/"

[PHP5对应修改为 extension_dir = "D:/php/php5/ext/" ]


在D:\php 下建立文件夹并命名为 tmp

查找 upload_tmp_dir =

将 ;upload_tmp_dir 该行的注释符,即前面的分号" ”去掉,

使该行在php.ini文档中起作用。upload_tmp_dir是用来定义上传文件存放的临时路径,在这里你还可以修改并给其定义一个绝对路径,这里设置的目录必须有读写权限。

这里我设置为 upload_tmp_dir = D:/php/tmp (即前面建立的这个文件夹呵)


搜索 ; Windows Extensions

将下面一些常用的项前面的 ; 去掉 ,红色的必须,蓝色的供选择

;extension=php_mbstring.dll

这个必须要

;extension=php_curl.dll

;extension=php_dbase.dll

;extension=php_gd2.dll
这个是用来支持GD库的,一般需要,必选

;extension=php_ldap.dll

;extension=php_zip.dll

对于PHP5的版本还需要查找

;extension=php_mysql.dll

并同样去掉前面的";"

这个是用来支持MYSQL的,由于PHP5将MySQL作为一个独立的模块来加载运行的,故要支持MYSQL必选


查找 ;session.save_path =

去掉前面 ; 号,本文这里将其设置置为

session.save_path = D:/php/tmp


其他的你可以选择需要的去掉前面的;

然后将该文件另存为为 php.ini 到 C:\Windows ( Windows 2000 下为 C:\WINNT)目录下,注意更改文件后缀名为ini,

得到 C:\Windows\php.ini ( Windows 2000 下为 C:\WINNT\php.ini)

若路径等和本文相同可直接保存到C:\Windows ( Windows 2000 下为 C:\WINNT) 目录下 使用



一些朋友经常反映无法上传较大的文件或者运行某些程序经常超时,那么可以找到C:\Windows ( Windows 2000 下为 C:\WINNT)目录下的PHP.INI以下内容修改:

max_execution_time = 30 ; 这个是每个脚本运行的最长时间,可以自己修改加长,单位秒
max_input_time = 60 ; 这是每个脚本可以消耗的时间,单位也是秒
memory_limit = 8M ; 这个是脚本运行最大消耗的内存,也可以自己加大
upload_max_filesize = 2M ; 上载文件的最大许可大小 ,自己改吧,一些图片论坛需要这个更大的值


(4)、配置 IIS 使其支持 PHP :

首先必须确定系统中已经正确安装 IIS ,如果没有安装,需要先安装 IIS ,安装步骤如下:
Windows 2000/XP 下的 IIS 安装:

用 Administrator 帐号登陆系统,将 Windows 2000 安装光盘插入光盘驱动器,进入“控制面板”点击“添加/删除程序”,再点击左侧的“添加/删除 Windows 组件”,在弹出的窗口中选择“Internet 信息服务(IIS)”,点下面的“详细信息”按钮,选择组件,以下组件是必须的:“Internet 服务管理器”、“World Wide Web 服务器”和“公用文件”,确定安装。

安装完毕后,在“控制面板”的“管理工具”里打开“服务”,检查“IIS Admin Service”和“World Wide Web Publishing Service”两项服务,如果没有启动,将其启动即可。

Windows 2003 下的 IIS 安装:

由于 Windows 2003 的 IIS 6.0 集成在应用程序服务器中,因此安装应用程序服务器就会默认安装 IIS 6.0 ,在“开始”菜单中点击“配置您的服务器”,在打开的“配置您的服务器向导”里左侧选择“应用程序服务器(IIS,ASP.NET)”,单击“下一步”出现“应用程序服务器选项”,你可以选择和应用程序服务器一起安装的组件,默认全选即可,单击“下一步”,出现“选择总结界面”,提示了本次安装中的选项,配置程序将自动按照“选择总结”中的选项进行安装和配置。

打开浏览器,输入:http://localhost/,看到成功页面后进行下面的操作:

PHP 支持 CGI 和 ISAPI 两种安装模式,CGI 更消耗资源,容易因为超时而没有反映,但是实际上比较安全,负载能力强,节省资源,但是安全性略差于CGI,本人推荐使用 ISAPI 模式。故这里只解介绍 ISAPI 模式安装方法:(以下的截图因各个系统不同,窗口界面可能不同,但对应选项卡栏目是相同的,只需找到提到的对应选项卡即可)

在“控制面板”的“管理工具”中选择“Internet 服务管理器”,打开 IIS 后停止服务,对于WIN2000系统在”Internet 服务管理器“的下级树一般为你的”计算机名“上单击右键选择“属性”,再在属性页面选择主属性”WWW 服务“右边的”编辑“

对于XP/2003系统展开”Internet 服务管理器“的下级树一般为你的”计算机名“选择”网站“并单击右键选择“属性”

在弹出的属性窗口上选择“ISAPI 筛选器”选项卡找到并点击“添加”按钮,在弹出的“筛选器属性”窗口中的“筛选器名称”栏中输入:

PHP ,再将浏览可执行文件使路径指向 php4isapi.dll 所在路径,

如本文中为:D:\php\php4\sapi\php4isapi.dll

[PHP5对应路径为 D:\php\php5\php5isapi.dll]

打开“站点属性”窗口的“主目录”选项卡,找到并点击“配置”按钮

在弹出的“应用程序配置”窗口中的”应用程序映射“选项卡找到并点击“添加”按钮新增一个扩展名映射,在弹出的窗口中单击“浏览”将可执行文件指向 php4isapi.dll 所在路径,如本文中为:D:\php\php4\sapi\php4isapi.dll[PHP5对应路径为D:\php\php5\php5isapi.dll],扩展名为 .php ,动作限于”GET,HEAD,POST,TRACE“,将“脚本引擎”“确认文件是否存在”选中,然后一路确定即可。如果还想支持诸如 .php3 ,.phtml 等扩展名的 PHP 文件,可以重复“添加”步骤,对应扩展名设置为需要的即可如.PHPX。

此步操作将使你服务器IIS下的所有站点都支持你所添加的PHP扩展文件,当然如果你只需要部分站点支持PHP,只需要在“你需要支持PHP的Web站点”比如“默认Web站点”上单击右键选择“属性”,在打开的“ Web 站点属性”“主目录”选项卡,编辑或者添加PHP的扩展名映射即可或者将你步需要支持PHP的站点中的PHP扩展映射删除即可

再打开“站点属性”窗口的“文档”选项卡,找到并点击“添加”按钮,向默认的 Web 站点启动文档列表中添加 index.php 项。您可以将 index.php 升到最高优先级,这样,访问站点时就会首先自动寻找并打开 index.php 文档。

确定 Web 目录的应用程序设置和执行许可中选择为纯脚本,然后关闭 Internet 信息服务管理器
对于2003系统还需要在“Internet 服务管理器”左边的“WEB服务扩展”中设置ISAPI 扩展允许,Active Server Pages 允许

完成所有操作后,重新启动IIS服务。
在CMD命令提示符中执行如下命令:

net stop w3svc
net stop iisadmin
net start w3svc

到此,PHP的基本安装已经完成,我们已经使网站支持PHP脚本。
检查方法是,在 IIS 根目录下新建一个文本文件存为 php.php ,内容如下:

<?php
phpinfo();
?>

打开浏览器,输入:http://localhost/php.php,将显示当前服务器所支持 PHP 的全部信息,可以看到 Server API的模式为:ISAPI 。

或者利用PHP探针检测http://xqin.com/index.rar下载后解压到你的站点根目录下并访问即可


三、安装 MySQL :

对于MySQL4.0.26下载得到的是mysql-4.0.26-win32.zip,解压到mysql-4.0.26-win32目录双击执行 Setup.exe 一路Next下一步,选择安装目录为D:\php\MySQL和安装方式为Custom自定义安装,再一路Next下一步即可。

安装完毕后,在CMD命令行中输入并运行:

D:\php\MySQL\bin\mysqld-nt -install

如果返回Service successfully installed.则说明系统服务成功安装

新建一文本文件存为MY.INI,编辑配置MY.INI,这里给出一个参考的配置

[mysqld]
basedir=D:/php/MySQL
#MySQL所在目录
datadir=D:/php/MySQL/data
#MySQL数据库所在目录,可以更改为其他你存放数据库的目录
#language=D:/php/MySQL/share/your language directory
#port=3306
set-variable = max_connections=800
skip-locking
set-variable = key_buffer=512M
set-variable = max_allowed_packet=4M
set-variable = table_cache=1024
set-variable = sort_buffer=2M
set-variable = thread_cache=64
set-variable = join_buffer_size=32M
set-variable = record_buffer=32M
set-variable = thread_concurrency=8
set-variable = myisam_sort_buffer_size=64M
set-variable = connect_timeout=10
set-variable = wait_timeout=10
server-id = 1
[isamchk]
set-variable = key_buffer=128M
set-variable = sort_buffer=128M
set-variable = read_buffer=2M
set-variable = write_buffer=2M

[myisamchk]
set-variable = key_buffer=128M
set-variable = sort_buffer=128M
set-variable = read_buffer=2M
set-variable = write_buffer=2M

[WinMySQLadmin]
Server=D:/php/MySQL/bin/mysqld-nt.exe

保存后复制此MY.INI文件到C:\Windows ( Windows 2000 下为 C:\WINNT)目录下
回到CMD命令行中输入并运行:

net start mysql

MySQL 服务正在启动 .
MySQL 服务已经启动成功。

将启动 MySQL 服务;

DOS下修改ROOT密码:当然后面安装PHPMYADMIN后修改密码也可以通过PHPMYADMIN修改

格式:mysqladmin -u用户名 -p旧密码 password 新密码

例:给root加个密码xqin.com

首先在进入CMD命令行,转到MYSQL目录下的bin目录,然后键入以下命令

mysqladmin -uroot password 你的密码

注:因为开始时root没有密码,所以-p旧密码一项就可以省略了。

D:\php\MySQL\bin>mysqladmin -uroot password 你的密码

回车后ROOT密码就设置为你的密码了

如果你下载的是 MySQL5.x或者MySQL4.1.x,例mysql-5.0.18-win32:解压后双击执行 Setup.exe ,Next下一步后选择Custom自定义安装,再Next下一步选择安装路径这里我们选择D:\php\MySQL,继续Next下一步跳过Sign UP完成安装。


安装完成后会提示你是不是立即进行配置,选择是即可进行配置。当然一般安装后菜单里面也有配置向导MySQL Server Instance Config Wizar,运行后按下面步骤配置并设置ROOT密码即可

Next下一步后选择Standard Configuration

Next下一步,钩选Include .. PATH

Next下一步,设置ROOT密码,建议社设置复杂点,确保服务器安全!

Apply完成后将在D:\php\MySQL目录下生成MY.INI配置文件,添加并启动MySQL服务

如果你的MySQL安装出错,并且卸载重装仍无法解决,这里提供一个小工具系统服务管理器http://xqin.com/iis/ser.rar,用于卸载后删除存在的MYSQL服务,重起后再按上述说明进行安装一般即可成功安装


四、安装 Zend Optimizer :

下载后得到 ZendOptimizer-2.6.2-Windows-i386.exe ,直接双击安装即可,安装过程要你选择 Web Server 时,选择 IIS ,然后提示你是否 Restart Web Server,选择是,完成安装之前提示是否备份 php.ini ,点确定后安装完成。我这里安装到D:\php\Zend

以下两步的目录根据你自己的默认WEB站点目录来选,当然也可以选择到D:\php\Zend目录

Zend Optimizer 的安装向导会自动根据你的选择来修改 php.ini 帮助你启动这个引擎。下面简单介绍一下 Zend Optimizer 的配置选项。以下为本人安装完成后 php.ini 里的默认配置代码(分号后面的内容为注释):

[zend]
zend_extension_ts="D:\php\Zend\lib\ZendExtensionManager.dll"
;Zend Optimizer 模块在硬盘上的安装路径。
zend_extension_manager.optimizer_ts="D:\php\Zend\lib\Optimizer-2.6.2"
;优化器所在目录,默认无须修改。
zend_optimizer.optimization_level=1023
;优化程度,这里定义启动多少个优化过程,默认值是 15 ,表示同时开启 10 个优化过程中的 1-4 ,我们可以将这个值改为 1023 ,表示开启全部10个优化过程。

调用phpinfo()函数后显示:

Zend Engine v1.3.0, Copyright (c) 1998-2004 Zend Technologies with Zend Extension Manager v1.0.9, Copyright (c) 2003-2006, by Zend Technologies with Zend Optimizer v2.6.2, Copyright (c) 1998-2006, by Zend Technologies

则表示安装成功。


五.安装GD库

这一步在前面PHP.INI配置中去掉“;extension=php_gd2.dll”前面的;实际上已经安装好了~

[在php.ini里找到"extension=php_gd2.dll"这一行,并且去掉前面的分号,gd库安装完成,用 echophpinfo() ;测试是否成功! ]


六、安装 phpMyAdmin

下载得到 phpMyAdmin-2.7.0.zip (如果需要这个版本可以找我QQ:4615825 3300073),

将其解压到D:\php\或者 IIS 根目录,改名phpMyAdmin-2.7.0为phpMyAdmin,


并在IIS中建立新站点或者虚拟目录指向该目录以便通过WEB地址访问,

这里建立默认站点的phpMyAdmin虚拟目录指向D:\php\phpMyAdmin目录通过http://localhost/phpmyadmin/访问

找到并打开D:\php\phpMyAdmin目录下的 config.default.php ,做以下修改:


查找 $cfg[‘PmaAbsoluteUri’]

设置你的phpmyadmin的WEB访问URL,比如本文中:$cfg[‘PmaAbsoluteUri’] = ‘http://localhost/phpmyadmin/’; 注意这里假设phpmyadmin在默认站点的根目录下


查找 $cfg[‘blowfish_secret’] =

设置COOKIES加密密匙,如xqin.com则设置为$cfg[‘blowfish_secret’] = ‘xqin.com’;


查找 $cfg[‘Servers’][$i][‘auth_type’] = ,

默认为config,是不安全的,不推荐,推荐使用cookie,将其设置为 $cfg[‘Servers’][$i][‘auth_type’] = ‘cookie’;

注意这里如果设置为config请在下面设置用户名和密码!例如:

$cfg[‘Servers’][$i][‘user’] = ‘root’; // MySQL user—–MySQL连接用户

$cfg[‘Servers’][$i][‘password’] = ‘xqin.com’;


搜索$cfg[‘DefaultLang’] ,将其设置为 zh-gb2312 ;

搜索$cfg[‘DefaultCharset’] ,将其设置为 gb2312 ;


打开浏览器,输入:http://localhost/phpMyAdmin/ ,若 IIS 和 MySQL 均已启动,输入用户ROOT密码xqin.com(如没有设置密码则密码留空)即可进入phpMyAdmin数据库管理。

首先点击权限进入用户管理,删除除ROOT和主机不为localhost的用户并重新读取用户权限表,这里同样可以修改和设置ROOT的密码,添加其他用户等

phpMyAdmin 的具体功能,请慢慢熟悉,这里不再赘述。
至此所有安装完毕。

六、目录结构以及MTFS格式下安全的目录权限设置:
当前目录结构为

               D:\php

+—————+——————+———————+———————+
php4(php5) tmp     MySQL       Zend    phpMyAdmin

D:\php 设置为 Administrators和SYSTEM完全权限 即可,其他用户均无权限

对于其下的二级目录

D:\php\php4(或者D:\php\php5) 设置为 USERS 读取/运行 权限

D:\php\tmp 设置为 USERS 读/写/删 权限

D:\php\MySQL 、D:\php\Zend 设置为 Administrators和SYSTEM完全权限

phpMyAdmin WEB匿名用户读取权限

七、优化:

参见 http://bbs.xqin.com/viewthread.php?tid=3831
PHP 优化配置——加速你的VBB,phpwind,Discuz,IPB,MolyX…..  


14、一般故障化解


相似网址最轻松发生的故障的缓和措施


1.出现提示网页无法显示,500错误的时候,又没有详细的提示信息

可以进行下面的操作显示详细的提示信息:IE-工具-internet选项-高级-友好的http错误信息提示,将这选项前面不打勾,则可以看到详细的提示信息了

以下是解决500错误的方法。请复制以下信息并保存为: 解决IIS6.0的(asp不能访问)请求的资源在使用中的办法.bat

然后在服务器上执行一下,你的ASP就又可以正常运行了。

echo off echo 文件说明:解决IIS6.0的: 请求的资源在使用中的最佳解决方法 echo 正在恢复IIS的500错误,请稍等…… net stop iisadmin /y regsvr32 %windir%\system32\j******.dll regsvr32 %windir%\system32\vb******.dll net start w3svc ECHO. ECHO 恭喜你!500错误解决成功! ECHO. pause exit

2.系统在安装的时候提示数据库连接错误

一是检查const文件的设置关于数据库的路径设置是否正确

二是检查服务器上面的数据库的路径和用户名、密码等是否正确

3.IIS不支持ASP解决办法:

IIS的默认解析语言是否正确设定?将默认改为VBSCRIPT,进入IIS,右键单击默认Web站点,选择属性,在目录安全性选项卡的匿名访问和身份验证控制中,单击编辑,在身份验证方法属性页中,去掉匿名访问的选择试试.

4.FSO没有权限

FSO的权限问题,可以在后台测试是否能删除文件,解决FSO组件是否开启的方法如下:

首先在系统盘中查找scrrun.dll,如果存在这个文件,请跳到第三步,如果没有,请执行第二步。

在安装文件目录i386中找到scrrun.dl_,用winrar解压缩,得scrrun.dll,然后复制到(你的系统盘)C:\windows\system32\目录中。 运行regsvr32 scrrun.dll即可。

如果想关闭FSO组件,请运行regsvr32/u scrrun.dll即可

关于服务器FSO权限设置的方法,给大家一个地址可以看看详细的操作:http://www.upsdn.net/html/2005-01/314.html

5.Microsoft JET Database Engine 错误 ‘80040e09’ 不能更新。数据库或对象为只读

原因分析:
未打开数据库目录的读写权限

解决方法:

( 1 )检查是否在 IIS 中对整个网站打开了 “ 写入 ” 权限,而不仅仅是数据库文件。
( 2 )检查是否在 WIN2000 的资源管理器中,将网站所在目录对 EveryOne 用户打开所有权限。具体方法是:
打开 “ 我的电脑 ”—- 找到网站所在文件夹 —- 在其上点右键 —- 选 “ 属性 ”—– 切换到 “ 安全性 ” 选项卡,在这里给 EveryOne 用户所有权限。

注意: 如果你的系统是 XP ,请先点 “ 工具 ”—-“ 文件夹选项 ”—-“ 查看 ”—– 去掉 “ 使用简单文件共享 ” 前的勾,确定后,文件夹 “ 属性 ” 对话框中才会有 “ 安全性 ” 这一个选项卡。

6.验证码不能显示

原因分析:
造成该问题的原因是 Service Pack 2 为了提高系统的稳定性,默认状态下是屏蔽了对 XBM,也即是 x-bitmap 格式的图片的显示,而这些验证码恰恰是 XBM 格式的,所以显示不出来了。

解决办法:
解决的方法其实也很简单,只需在系统注册表中添加键值 "BlockXBM"=dword:00000000 就可以了,具体操作如下:

1》打开系统注册表;

2》依次点开HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Internet Explorer\\Security;

3》在屏幕右边空白处点击鼠标右键,选择新建一个名为“BlockXBM”为的 DWORD 键,其值为默认的0。

4》退出注册表编辑器。

如果操作系统是2003系统则看是否开启了父路径

7.windows 2003配置IIS支持.shtml

要使用 Shtml 的文件,则系统必须支持SSI,SSI必须是管理员通过Web 服务扩展启用的
windows 2003安装好IIS之后默认是支持.shtml的,只要在“WEB服务扩展”允许“在服务器前端的包含文件”即可

8.如何去掉“处理 URL 时服务器出错。请与系统管理员联系。”

如果是本地服务器的话,请右键点IIS默认网站,选属性,在主目录里点配置,选调试。 选中向客户端发送详细的ASP错误消息。 然后再调试程序,此时就可以显示出正确的错误代码。

如果你是租用的空间的话,请和你的空间商联系

您恐怕感兴趣的篇章:

  • win二零零零服务器安全设置教程图像和文字(系统+数据库)
  • win2001服务器安全设置教程(权限与地点战术)
  • Win2003服务器安装及安装教程
    MySQL安全设置图像和文字教程
  • win2002服务器磁盘权限安全设置批管理
  • win2002服务器安全设置图像和文字化教育程
  • 总得要懂的win二〇〇〇服务器上的asp站点安全设置
  • win2001服务器安全设置教程(权限+防火墙)
  • 又一篇不错的win二〇〇一服务器安全设置图像和文字化教育程
  • Windows 二零零一服务器安全设置图像和文字化教育程
  • win二零零二服务器安全设置完全版(脚本之家补充)
网站地图xml地图