pzg's blog

下面我用的例子.将是一台标准的虚拟主机.
系统:windows2003
服务:[IIS] [SERV-U] [IMAIL] [SQL SERVER 2000] [PHP] [MYSQL]
描述:为了演示,绑定了最多的服务.大家可以根据实际情况做筛减

1.WINDOWS本地安全策略 端口限制
A.对于我们的例子来说.需要开通以下端口
外->本地 80
外->本地 20
外->本地 21
外->本地 PASV所用到的一些端口
外->本地 25
外->本地 110
外->本地 3389
然后按照具体情况.打开SQL SERVER和MYSQL的端口
外->本地 1433
外->本地 3306
B.接着是开放从内部往外需要开放的端口
按照实际情况,如果无需邮件服务,则不要打开以下两条规则
本地->外 53 TCP,UDP
本地->外 25
按照具体情况.如果无需在服务器上访问网页.尽量不要开以下端口
本地->外 80
C.除了明确允许的一律阻止.这个是安全规则的关键.
外->本地 所有协议 阻止

2.用户帐号
a.将administrator改名,例子中改为root
b.取消所有除管理员root外所有用户属性中的
远程控制->启用远程控制 以及
终端服务配置文件->允许登陆到终端服务器
c.将guest改名为administrator并且修改密码
d.除了管理员root,IUSER以及IWAM以及ASPNET用户外.禁用其他一切用户.包括SQL DEBUG以及TERMINAL USER等等

3.目录权限
将所有盘符的权限,全部改为只有
administrators组  全部权限
system  全部权限
将C盘的所有子目录和子文件继承C盘的administrator(组或用户)和SYSTEM所有权限的两个权限
然后做如下修改
C:\Program Files\Common Files 开放Everyone　默认的读取及运行 列出文件目录 读取三个权限
C:\WINDOWS\ 开放Everyone　默认的读取及运行 列出文件目录 读取三个权限
C:\WINDOWS\Temp 开放Everyone 修改,读取及运行,列出文件目录,读取,写入权限
现在WebShell就无法在系统目录内写入文件了.
当然也可以使用更严格的权限.
在WINDOWS下分别目录设置权限.
可是比较复杂.效果也并不明显.

4.IIS
在IIS 6下.应用程序扩展内的文件类型对应ISAPI的类型已经去掉了IDQ,PRINT等等危险的脚本类型,
在IIS 5下我们需要把除了ASP以及ASA以外所有类型删除.
安装URLSCAN
在[DenyExtensions]中
一般加入以下内容
.cer
.cdx
.mdb
.bat
.cmd
.com
.htw
.ida
.idq
.htr
.idc
.shtm
.shtml
.stm
.printer
这样入侵者就无法下载.mdb数据库.这种方法比外面一些在文件头加入特殊字符的方法更加彻底.
因为即便文件头加入特殊字符.还是可以通过编码构造出来的

5.WEB目录权限
作为虚拟主机.会有许多独立客户
比较保险的做法就是为每个客户,建立一个windows用户
然后在IIS的响应的站点项内
把IIS执行的匿名用户.绑定成这个用户
并且把他指向的目录
权限变更为
administrators  全部权限
system  全部权限
单独建立的用户(或者IUSER)  选择高级->打开除 完全控制,遍历文件夹/运行程序,取得所有权 3个外的其他权限.

如果服务器上站点不多.并且有论坛
我们可以把每个论坛的上传目录
去掉此用户的执行权限.
只有读写权限
这样入侵者即便绕过论坛文件类型检测上传了webshell
也是无法运行的.

6.MS SQL SERVER2000
使用系统帐户登陆查询分析器
运行以下脚本
use master
exec sp_dropextendedproc 'xp_cmdshell'
exec sp_dropextendedproc 'xp_dirtree'
exec sp_dropextendedproc 'xp_enumgroups'
exec sp_dropextendedproc 'xp_fixeddrives'
exec sp_dropextendedproc 'xp_loginconfig'
exec sp_dropextendedproc 'xp_enumerrorlogs'
exec sp_dropextendedproc 'xp_getfiledetails'
exec sp_dropextendedproc 'Sp_OACreate'
exec sp_dropextendedproc 'Sp_OADestroy'
exec sp_dropextendedproc 'Sp_OAGetErrorInfo'
exec sp_dropextendedproc 'Sp_OAGetProperty'
exec sp_dropextendedproc 'Sp_OAMethod'
exec sp_dropextendedproc 'Sp_OASetProperty'
exec sp_dropextendedproc 'Sp_OAStop'
exec sp_dropextendedproc 'Xp_regaddmultistring'
exec sp_dropextendedproc 'Xp_regdeletekey'
exec sp_dropextendedproc 'Xp_regdeletevalue'
exec sp_dropextendedproc 'Xp_regenumvalues'
exec sp_dropextendedproc 'Xp_regread'
exec sp_dropextendedproc 'Xp_regremovemultistring'
exec sp_dropextendedproc 'Xp_regwrite'
drop procedure sp_makewebtask
go
删除所有危险的扩展.

7.修改CMD.EXE以及NET.EXE权限
将两个文件的权限.修改到特定管理员才能访问,比如本例中.我们如下修改
cmd.exe   root用户   所有权限
net.exe   root用户   所有权现
这样就能防止非法访问.
还可以使用例子中提供的comlog程序
将com.exe改名_com.exe,然后替换com文件.这样可以记录所有执行的命令行指令

8.备份
使用ntbackup软件.备份系统状态.
使用reg.exe 备份系统关键数据
如reg export HKLM\SOFTWARE\ODBC e:\backup\system\odbc.reg /y
来备份系统的ODBC

9.杀毒
这里介绍MCAFEE 8i 中文企业版
因为这个版本对于国内的许多恶意代码和木马都能够及时的更新.
比如已经能够检测到海阳顶端2006
而且能够杀除IMAIL等SMTP软件使用的队列中MIME编码的病毒文件
而很多人喜欢安装诺顿企业版.而诺顿企业版,对于WEBSHELL.基本都是没有反应的.
而且无法对于MIME编码的文件进行杀毒.
在MCAFEE中.
我们还能够加入规则.阻止在windows目录建立和修改EXE.DLL文件等
我们在软件中加入对WEB目录的杀毒计划.
每天执行一次
并且打开实时监控.

10.关闭无用的服务
我们一般关闭如下服务
Computer Browser
Help and Support
Messenger
Print Spooler
Remote Registry
TCP/IP NetBIOS Helper
如果服务器不用作域控,我们也可以禁用
Workstation

11.取消危险组件
如果服务器不需要FSO
regsvr32 /u c:\windows\system32\scrrun.dll
注销组件
使用regedit
将/HKEY_CLASSES_ROOT下的
WScript.Network
WScript.Network.1
WScript.Shell
WScript.Shell.1
Shell.Application
Shell.Application.1
键值改名或删除
将这些键值下CLSID中包含的字串
如{72C24DD5-D70A-438B-8A42-98424B88AFB8}
到/HKEY_CLASSES_ROOT/CLSID下找到以这些字串命名的键值
全部删除

12.审计
本地安全策略->本地策略->审核策略
打开以下内容
审核策略更改    成功,失败
审核系统事件    成功,失败
审核帐户登陆事件    成功,失败
审核帐户管理    成功,失败

分类: 电脑技巧 标签:windows 日期:2012-02-10

据国外媒体报道，目前，Windows操作系统与IE浏览器的集成已经逐渐形成了传统，Windows 8和IE10的结合也已经是意料之中的事情了。近日，有可靠消息指出，2011年秋天，微软将会对外公布下一代Windows和IE的详细细节，具体时间和地点是9月13日至16日在加州举行的BUILD会议中。

IE软件构架师Ted Johnson 在IE博客中指出，BUILD是微软首次对外深入展示下一代Windows和IE的会议，同时展示的还有以HTML5和JavaScript为基础的新的应用程序模型。
之前，微软曾经证实，IE10将会做为Windows 8的默认浏览器。在上周的D9和Computex会议中，微软对外展示了Windows 8平台的相关信息，并允许开发者使用HTML5、CSS和JavaScript语言去创建基于Windows 8的应用程序。
Johnson表示，在BUILD大会中，开发者将会学习如何创建全新的以触摸为中心的用户体验，为用户带来快速、流畅、动态的应用程序，从而提升Windows核心的灵活性和功能性。

分类: 网络感想 标签:IE, windows 日期:2011-04-21

拒绝服务器重新启动

一般情况下，在Windows 2003 Server系统中安装完补丁程序后，系统总会提示要重新启动一下服务器。可是许多朋友往往无法容忍Windows 2003 Server服务器“慢吞吞”的启动操作，于是希望打完安全补丁之后服务器不再重新启动。其实，Windows 2003 Server服务器是否会重新启动，跟当前的系统补丁特性有一定的关系。对于那些强制需要系统启动的安全补丁，一般是无法让服务器拒绝的；但对于那些没有强制要求系统启动特性的补丁来说，可以采取如下办法：

1.在Windows 2003 Server服务器系统桌面中，依次单击“开始”/“运行”命令，在随后打开的系统运行对话框中，输入字符串命令“cmd”，单击“确定”按钮之后，将系统工作模式切换到MS-DOS状态下；

2.在DOS命令行中，通过“cd”命令将当前目录切换到补丁程序所在的目录，然后执行“aaa /？”字符串命令（其中aaa就是当前需要安装的系统补丁名称），在其后出现的提示界面中，检查一下当前补丁是否带有“-z”参数，要是带有该参数的话，就表明当前补丁在安装完毕后可以不强制要求系统进行重新启动；

3.接着在DOS命令行中，再输入字符串命令“aaa -z”，单击回车键后，该补丁程序就会自动安装到系统中，并且不会要求服务器系统进行重新启动。

取消对服务器的限制访问

为了提高员工的工作效率，单位最近打算把Windows 2003终端服务器的访问权限向每一个员工进行开放，但考虑到安全性，网络管理人员仅为所有员工提供了相同的一个帐号来登录Windows 2003终端服务器。可是员工们在用该帐号登录终端服务器时，发现同一时间内服务器只能允许一个人登录进服务器，而且后来的员工一登录进服务器后，前一个员工就会“被迫”退出终端服务器的登录。出现这种现象到底是怎么回事呢，那有没有办法让所有员工在同一时间内，使用同一帐号都能顺利登录进行服务器呢？

其实上述这种现象，主要是由于Windows 2003终端服务器在默认状态下，启用了“限制每一个用户只能使用一个会话”功能造成的，取消其就能解决问题。

1.“开始”菜单，依次执行其中的“设置”/“控制面板”命令，然后双击其中的“管理工具”图标，进入到终端服务配置窗口；

2.在该配置窗口中，用鼠标双击一下“服务器设置”处的“限制每一个用户只能使用一个会话”选项，在其后出现的选项设置对话框中，将其的复选框取消选中，“确定”。并重新启动一下服务器系统，这样员工们日后使用相同的帐号，就能同时登录进Windows 2003终端服务器系统中了。

远程查看服务器日志文件

 网管完全可以利用服务器的日志文件，来实现保护服务器安全的目的。不过，服务器的日志文件通常只能在服务器本地查看到，可是万一网络管理人员出远门，该如何保证远程察看？Windows 2003服务器提供了远程维护功能，不过默认状态下并没有开通，需要手工启动。

分类: 电脑技巧 标签:windows 日期:2011-03-11

这个并不是什么难事，不过这里介绍几种方法，原因是因为一台电脑的声卡驱动over了，但是这台电脑没有光驱，C盘式ntfs格式的。所以直接安装的话没有办法格式化c盘。

那么ISO的镜像文件在没有光驱的情况下如何安装呢？之前都是使用win pe安装，进入到win pe 然后在格式化c盘，使用虚拟光驱然后加载ISO安装系统，这个方法并不是很好，没有光驱，平时我也不留着PE所以到用的时候还要去下在。

另外一个方法是，网上有一款叫做 超级dos硬盘安装器 这款软件可以让ISO引导启动，在D盘放入D:\winiso。可以实现无光驱启动。不过值得说一下的是他不能支持ntfs如果你D盘也是ntfs那么很遗憾这个是不能读取的。

还有就是最简单的ghost，这个不是用iso了，使用gho文件，ghost8.3以后都是支持ntfs，这个是简单易用的。

分类: 电脑技巧 标签:windows 日期:2010-02-12

在Windows XP下，大家一般如果想看某软件或系统组件所占的内存，基本上就是从任务管理器查看系统进程中查看。但如果想看看某软件或系统组件所占的虚拟内存，那就不容易查看了，必须要借助软件才能查看。

如果你用的是windows 7系统，那么有一个很简单的办法，不用借助软件就可以方便查看软件或系统组件所占的虚拟内存。

首先我们按下Ctrl+Shift+Esc组合键，进入到任务管理器→进程→查看→选择列,我们将内存-提交大小打上勾。点击确定。

再次查看任务管理器的时候，发现多了一行“提交大小”，这一行就是软件所占的虚拟内存大小了，一目了然。

分类: 电脑技巧 标签:windows, 内存 日期:2010-02-08

嗨，您好

　　 欢迎您进行“Windows 7 Party”组织者资质申请，和所有正在试用并喜欢Windows 7的爱好者一样，赶快召集您身边的亲朋好友一起Party，分享Windows 7的新鲜体验及使用经验。

　　 成功申请“Windows 7 Party”，首先需要您具备一定的Party组织及分享能力，特别是熟悉使用个人空间（例如主页，博客，网络社区服务，网络图片，在线日历等）。若您被选中作为“Windows 7 Party”的组织者，同时在2009年10月23日召开Party，并上传您的体会至活动指定网站，即有机会获得印有微软CEO鲍尔默亲笔签名的Windows 7中文旗舰版一张（全国仅有4500名）。

　　 而您所邀请的来宾只需在聚会后，通过填写简单的在线问卷，即可参加上网本抽奖（共50名）。

　　 微软将为组织者提供如下支持和帮助（可能略有改动，以最终通知为准）：

• “Windows 7 Party”活动网站
• “Windows 7 Party”主题课件、演示文件下载
• “Windows 7 Party”锦囊
  • - Windows 7特性介绍光盘
  • - Party扑克牌
  • - Party横幅

　　 在您开始填写注册内容前，请仔细阅读以下内容并确定：

• 您已经明确了解“Windows 7 Party”的形式及意义
• 您愿意申请成为“Windows 7 Party”组织者并实施聚会组织工作
• 您将如实填写本资质申请
• 每位被邀请者只可进行一次资质申请，不可重复申请
• 申请截止至2009年9月18日，名额有限，请尽快申请

分类: 网络感想 标签:party, windows 日期:2009-09-09

不久之前微软否认Windows 7 RTM已经完成的传言并且声称会在第一时间告诉大家什么时候可以获得RTM版，今天微软Windows官方博客解答了这个众人期盼已久的问题，微软表示Windows 7 RTM版本的获取日期取决于你的身份。

1、微软合作伙伴和OEM厂商：

微软ISV（独立软件供应商）和IHV（独立硬件供应商）合作伙伴自8月6日起可以从Microsoft Connect或MSDN网站上下载Windows 7 RTM版本。

微软合作伙伴项目黄金/认证会员（Microsoft Partner Program Gold/Certified Members）自8月16日起可以通过Microsoft Partn Network（MPN）入口下载Windows 7 RTM的英文版本，其他语言版本要等到10月1日。

微软Action Pack订阅用户自8月23日起可以下载Windows 7 RTM英文版本，其他语言版本要等到10月1日。

OEM厂商将在微软正式宣布RTM的约两天后获得Windows 7 RTM软件镜像，因为向厂商们发送镜像需要一点时间。

2、企业用户：

如果你是拥有SA（Software Assurance）授权的VL（批量授权）客户，那么从8月7日起就可以通过Volume License Service Center（VLSC）下载Windows 7 RTM英文版，其他语言版本将在几周后提供。

没有获得SA授权的VL客户自9月1日起可以通过Volume Licensing购买Windows 7。

3、IT专业人士：

订阅TechNet的IT专业人士自8月6日起就可以下载英文版Windows RTM，其他语言版本要到10月1日。

4、开发人员：

订阅MSDN的开发人员8月6日起就可以下载英文版Windows RTM，其他语言版本要到10月1日。

5、普通消费者：

Windows 7普通消费者自10月22日起可以到零售商店购买Windows 7或是购买预装Windows 7的PC机，如果你预定了Windows 7，那么根据零售商的计划你可以在10月22日之前一段时间获得Windows 7。

分类: 网络感想 标签:windows, 微软 日期:2009-07-22

在过去一段时间内Windows 7 RTM的传言随处可见，今天微软Windows官方博客就一系列大家关心的问题进行了解答，并且明确表示Windows 7还尚未完成RTM，如果Windows 7 RTM版最终确定了下来微软会第一时刻告知广大消费者，微软再次重申，按照原定计划Windows 7 RTM最终版会在7月下半月完成。

微软表示，Windows 7将会面向全球在10月22日同步发售，届时会提供36种语言版本，RTM的“完成”意味着所有语言版本都已完成，而且也要确保合作伙伴“一切准备就绪”，对于RTM版来说合作伙伴所做的准备工作时至关重要的。

正如Windows部门总裁Steven Sinofsky在5月份所述，RTM并不是一个时间点而是一个时间段，它代表着Windows 7的又一个“进程”，在这个阶段微软合作伙伴着手为Windows 7做最后的准备，RTM可以说是Windows 7全面发售（GA）之前的最后一个技术阶段。

另外，Windows 7的每一个内部版本都是微软为了保证Windows 7的质量而进行的大量的按部就班的确认过程，这一过程需要大量时间，不要仅仅因为某个版本的“泄露”就认为这是RTM阶段结束的标志，不要将网上的信息照单全收。

以下是微软就一些问题进行的回答：

1、Windows 7完成后，我要怎样获得？

这取决于你的身份：

如果你是MSDN或TechNet订阅用户，你可以在微软宣布RTM之后的几周内下载Windows 7最终版本；

如果你是VL（批量授权）客户，你可以在9月1日获得Windows 7；

普通消费者则只能在10月22日到商店购买，如果你是预定用户，你可以在10月22日左右获得Windows 7，这取决于零售商；

对于新机购买者，OEM厂商也将在10月22日左右销售预装Windows 7的新PC机。

2、我可以在RTM完成后继续使用Windows 7 RC版本吗？

可以，你可以继续使用Windows 7 RC直到2010年6月1日，从2010年3月2日起，Windows 7 RC会每两小时自动重启一次并到6月1日完全无法使用，而且提醒大家，Windows 7 RC无法“就地升级”（in-place）或是直接升级至RTM版，你需要全新安装。

3、如果我是TechNet或MSDN订阅用户，那么什么时候可以获得产品密匙？

MSDN和TechNet订阅用户和批量授权客户都可以在能够获得Windows 7的时候（见第一问）获得产品密匙（PIDs），Windows 7 RTM产品密匙将和Beta、RC版本的都不相同，Windows 7 Beta和RC版本的产品密匙无法在RTM版本中使用。

4、如何获得64位的Windows 7？

升级版和完整版Windows 7 Home Premium、Professional、Ultimate零售包都包括32位和64位版本DVD，在Windows Vista中，64位版本仅提供给Windows Vista Ultimate，由于64位在现在的广泛采用，微软决定为用户提供更多对64位版本的选择，所有在发达国家销售的Windows 7版本都包括32位和64位的DVD。

分类: 网络感想 标签:RTM, windows 日期:2009-07-14

7600.16384.win7_rtm.090710-1945最终确定为RTM正式版
真正最终RTM生成的准确代号：7600.16384.win7_rtm.090710-1945
镜像文件名：7600.16384.090710-1945_x64fre_client_en-us_Retail_Ultimate-GRMCULXFRER_EN_DVD.iso
ISO卷标：GRMCULXFRER_EN_DVD

分类: 网络感想 标签:windows, 操作系统 日期:2009-07-13

金山软件（HK，3888）今日消息称，旗下的办公软件品牌WPS Office刚刚获得微软Windows 7兼容性认证。这表 明，WPS Office将支持并与兼容Windows 7，WPS Office也将在Windows 7下为用户提供更好的兼容性、可靠性和卓越表现。

据悉，此前微软Windows 7共四种兼容性认证徽标，为让用户和合作伙伴容易测试和分辨，微软决定将它的四种兼容性认证徽标减少为一种（如上图），并授权给通过兼容性测试的产品使用。

参与此次兼容性测试的金山软件有关人员称，要获得Windows7的兼容性认证徽标，产品必须兼容32位和64位版本。金山WPS Office通过了32位和64位两个版本的测试，并且是第一家获得微软Windows 7兼容性认证的国产办公软件。

金山表示，将有可能在WPS Office盒装版本外包装上，贴上Compatible with Windows 7 徽标。用户可籍此标识，迅速判断产品是否100%兼容Windows 7，作为采购的依据。

分类: 网络感想 标签:windows, wps, 金山 日期:2009-07-11