在运行里打: control userpasswords2
然后把 登陆系统必须输入密码的复选框去掉就行了.然后
系统会让选择一个默认的登陆用户
如果计算机已经加入到域,则不能使用上述方法,这时候需要编辑注册表来实现
(1)运行“regedit”打开注册表编辑器,依次单击展开“HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows NT/Current Version/Winlogon”键值
(2)检查下列键值是否存在,如果不存在,创建相应的键值,相应的键值属性为“字符串值”
需要的键值包括:
AutoAdminLogon,设置键值为“1”时允许自动登录;
DefaultUserName,对应名称为要自动登录的用户名,例如Administrator,也可以加入域的名称,例如msftadministrator;
Defaultpassword,键值对应要自动登录的用户名的密码;
DefaultDomainName,键值为域名,例如msft等。
@echo windows server 2003 服务项优化配置
@pause
sc config AeLookupSvc start= AUTO
sc config Alerter start= DISABLED
sc config ALG start= DISABLED
sc config AppMgmt start= DEMAND
sc config aspnet_state start= DEMAND
sc config AudioSrv start= DISABLED
sc config BITS start= DISABLED
sc config Browser start= DISABLED
sc config CiSvc start= DISABLED
sc config ClipSrv start= DISABLED
sc config COMSysApp start= DEMAND
sc config CryptSvc start= DEMAND
sc config DcomLaunch start= AUTO
sc config Dfs start= DEMAND
sc config Dhcp start= AUTO
sc config dmadmin start= DEMAND
sc config dmserver start= DEMAND
sc config Dnscache start= AUTO
sc config ERSvc start= DISABLED
sc config Eventlog start= AUTO
sc config EventSystem start= DEMAND
sc config helpsvc start= DISABLED
sc config HidServ start= DISABLED
sc config HTTPFilter start= DEMAND
sc config IISADMIN start= AUTO
sc config ImapiService start= DISABLED
sc config IsmServ start= DISABLED
sc config kdc start= DISABLED
sc config lanmanserver start= DISABLED
sc config lanmanworkstation start= DISABLED
sc config LicenseService start= DISABLED
sc config LmHosts start= DISABLED
sc config Messenger start= DISABLED
sc config mnmsrvc start= DISABLED
sc config MSDTC start= DISABLED
sc config MSFtpsvc start= DISABLED
sc config MSIServer start= DEMAND
sc config MySQL start= AUTO
sc config NetDDE start= DISABLED
sc config NetDDEdsdm start= DISABLED
sc config Netlogon start= DISABLED
sc config Netman start= DEMAND
sc config Nla start= DISABLED
sc config NtFrs start= DEMAND
sc config NtLmSsp start= DISABLED
sc config NtmsSvc start= DEMAND
sc config PlugPlay start= AUTO
sc config PolicyAgent start= DEMAND
sc config ProtectedStorage start= DISABLED
sc config RasAuto start= DEMAND
sc config RasMan start= DEMAND
sc config RDSessMgr start= DISABLED
sc config RemoteAccess start= DISABLED
sc config RemoteRegistry start= DISABLED
sc config RpcLocator start= DISABLED
sc config RpcSs start= AUTO
sc config RSoPProv start= DEMAND
sc config sacsvr start= DISABLED
sc config SamSs start= AUTO
sc config SCardSvr start= DISABLED
sc config Schedule start= DISABLED
sc config seclogon start= DISABLED
sc config SENS start= AUTO
sc config Serv-U start= AUTO
sc config SharedAccess start= DEMAND
sc config ShellHWDetection start= AUTO
sc config Spooler start= DISABLED
sc config stisvc start= DISABLED
sc config swprv start= DISABLED
sc config SysmonLog start= DISABLED
sc config TapiSrv start= DEMAND
sc config TermService start= AUTO
sc config Themes start= DISABLED
sc config TrkSvr start= DISABLED
sc config TrkWks start= DISABLED
sc config Tssdis start= DISABLED
sc config UMWdf start= DEMAND
sc config UPS start= DISABLED
sc config vds start= DEMAND
sc config VSS start= DISABLED
sc config W32Time start= DISABLED
sc config W3SVC start= AUTO
sc config WebClient start= DISABLED
sc config WinHttpAutoProxySvc start= DEMAND
sc config winmgmt start= AUTO
sc config WmdmPmSN start= DISABLED
sc config Wmi start= DEMAND
sc config WmiApSrv start= DISABLED
sc config wuauserv start= DISABLED
sc config WZCSVC start= DISABLED
sc config xmlprov start= DEMAND
@pause
平台: windows 2003
安装过程: 默认安装(2003系统自身默认不安装任何服务)
对象:
多人共同利用终端服务登陆,可视化浏览自己的文件目录.无权浏览其他用户信息以及更改系统设置.
具体方向:
一.系统环境设置->目的:防止对系统不熟悉的用户,例如:利用gpedit.msc删除”开始”中多余菜单;禁用一些桌面操作以及其他设置;注册表中系统优化以及安全设置;
二.系统服务安全->包括WEB服务;FTP服务;数据库服务;游戏服务
三.系统权限设置
四.系统组件调试->利用探针逐步测试主机环境,提供全面的服务
五.端口过滤设置->windows2003放火墙设置;BlackIce设置
六.安全测试
目录:
一.系统环境设置
1.删除”开始”菜单中多余的选项;
“开始”->”运行” 输入: gpedit.msc
<1>”计算机配置”
->”Windows设置”
->”安全设置”
->”帐户策略”
[密码策略]
[帐户锁定策略]
->”本地策略”
[审核策略]
[用户权限分配]->”从网络访问此计算机”
->”安全选项”
“允许系统在未登陆前关机”
“不显示上次登陆名”
“不需要按crtl…”
“不允许SAM帐户的匿名枚举”
“不允许SAM帐户和共享的匿名枚举”
“网络访问:可远程访问注册表路径” 例如:将此处添写为olylinux
“网络访问:可远程访问的注册表路径和子路径 例如:将此处添写为olylinux
->”管理模板”
->”windows组件”
->”Internet Explorer”
“安全区域:仅使用计算机设置”
“安全区域:禁止用户更改策略”
“安全区域:禁止用户添加或删除站点”
->”终端服务” :
“强制删除远程桌面墙纸”
“从[开始]菜单删除”windows安全性”项”
[客户端]
“不允许保存密码”
->”windows install”
“日志记录”
->”系统”
“在登陆时不显示”管理您的服务器”页”
“显示”关闭事件跟踪程序”(禁用)
->磁盘配额”
“启用磁盘配额”
“强制磁盘配额限制”
“超出磁盘配额限制时将事件记录到日志中”
<2>”用户配置”
->”管理面板”
->”Windows 资源管理器”
“从”工具”菜单删除”文件夹选项”菜单”
“从windows资源管理器中删除”文件菜单”
“删除”映射网络驱动器”和”断开网络驱动器”
“从window资源管理器上删除搜索按钮”
“删除”硬件”选项卡”
“”网上邻居”中没有”我附近的计算机”
“网上邻居”中不含”整个网络”
“不要将已删除的文件移到”回收站””
“从”我的电脑”删除共享文档”
“关闭windows+x热键”
->”终端服务”
[客户端]
“不允许保存密码”
->”任务栏和[开始]菜单”
“从[开始]菜单删除用户文件夹”
“从[开始]菜单删除公用程序组”
“从「开始」菜单中删除“我的文档”图标”
“从「开始」菜单中删除“文档”菜单”
“从设置菜单删除程序” (如果要使用”控制面板”可设置为”未配置”)
“从[开始]菜单删除”网络连接”
“从[开始]菜单中删除“收藏夹”菜单”
“从[开始]菜单中删除”搜索”菜单”
“从[开始]菜单删除”帮助”命令”
“从[开始]菜单中删除”运行”菜单”
“从「开始」菜单中删除“图片收藏”图标”
“从「开始」菜单中删除“我的音乐”图标”
“阻止更改”任务栏和[开始]菜单”设置”
“禁止访问任务栏的上下文菜单”
“不要保留最近打开文档的记录”
“退出时清除最近打开的文档的记录”
“关闭个性化菜单”
“关闭用户跟踪”
“阻止在人物栏上对项目分组”
“锁定任务栏”
“删除[开始]菜单项目上的”气球提示””
“从[开始]菜单中删除附加的程序列表”
“从[开始]菜单中删除常用程序列表”
“从[开始]菜单中删除所有程序列表”
“不在任务栏显示任何自定义工具栏”
“从”开始”菜单中删除”设置程序访问和默认””
->”桌面”
“从桌面删除回收站”
“禁止添加,拖.放和关闭任务栏的工具栏”
“禁止调整桌面工具栏”
->”控制面板”
“禁用控制面板” (禁止后,也可以防止终端用户从开始菜单进入控制面板)
2.注册表设置
<1>.WebShell
入侵者上传文件后.需要利用WebShell来执行可执行程序.或者利用WebShell进行更加方便的文件操作.
对应措施:取消相应服务和功能
一般WebShell用到以下组件
WScript.Network
WScript.Network.1
WScript.Shell
WScript.Shell.1
Shell.Application
Shell.Application.1
在注册表中将以上键值改名
将这些键值下CLSID中包含的字串
如{72C24DD5-D70A-438B-8A42-98424B88AFB8}
到/HKEY_CLASSES_ROOT/CLSID下找到以这些字串命名的键值全部删除
<2>.隐藏重要文件/目录,可修改注册表实现完全隐藏
HKEY_LOCAL_MACHINE \ SOFTWARE\Microsoft \ Windows \ Current-Version \ Explorer \ Advanced \ Folder \ Hi-dden \ SHOWALL”
鼠标右击 “CheckedValue”,选择修改,把数值由1改为0
<3>.防止SYN洪水攻击
HKEY_LOCAL_MACHINE\SYSTEM \ CurrentControlSet \ Services \ Tcpip \ Parameters
新建DWORD值,名为SynAttackProtect,值为2
EnablePMTUDiscovery REG_DWORD 0
NoNameReleaseOnDemand REG_DWORD 1
EnableDeadGWDetect REG_DWORD 0
KeepAliveTime REG_DWORD 300,000
PerformRouterDiscovery REG_DWORD 0
EnableICMPRedirects REG_DWORD 0
<3>.禁止响应ICMP路由通告报文
HKEY_LOCAL_MACHINE\SYSTEM \ CurrentControlSet \ Services \ Tcpip \ Parameters \ Interfaces \ interface
新建DWORD值,名为PerformRouterDiscovery 值为0
<4>.防止ICMP重定向报文的攻击
HKEY_LOCAL_MACHINE\SYSTEM \ CurrentControlSet \ Services \ Tcpip \ Parameters
将EnableICMPRedirects 值设为0
<5>.不支持IGMP协议
HKEY_LOCAL_MACHINE\SYSTEM \ CurrentControlSet \ Services \ Tcpip \ Parameters
新建DWORD值,名为IGMPLevel 值为0
<6>.修改终端服务端口
HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Control \ Terminal Server \ Wds \ rdpwd \ Tds \ tcp 找 PortNumber
HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Control \ Terminal Server \ WinStations \ RDP-Tcp 找 PortNumber
<7>.禁止IPC空连接
可以利用net use命令建立空连接,进而入侵,还有net view,nbtstat这些都是基于空连接的,禁止空连接就好了.打开注册表,
找到 Local_Machine \ System \ CurrentControlSet \ Control \ LSA-RestrictAnonymous 把这个值改成”1”即可.
<8>.更改TTL值
可以根据ping回的TTL值来大致判断你的操作系统,如:
TTL=107(WINNT);
TTL=108(win2000);
TTL=127或128(win9x);
TTL=240或241(linux);
TTL=252(solaris);
TTL=240(Irix);
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters:DefaultTTL REG_DWORD 0-0xff(0-255
十进制,默认值128) .改成一个莫名其妙的数字如258.
<9>.更改终端端口
3.系统设置
<1>.帐号
“将administrator改名,例子中改为olylinux$”
“取消所有除管理员olylinux$外所有用户属性中的 [远程控制->启用远程控制]/[拒绝拨入]
“设置”终端服务妻配置,只允许 administrators和remote desktop Users”
“将guest改名为administrator并且修改复杂密码”
“除了管理员 olylinux$ 和 网站来宾帐号 , IUSER 以及 IWAM 以及 ASPNET 用户外,禁用其他一切用户.包括 SQL DEBUG 以及 TERMINAL USER 等等”
“除了管理员 olylinux$ 外其他用户都属于 guests 组”
“终端用户都属于remote desktop Users组
<2>.服务
Computer Browser 维护网络计算机更新,禁用;
Distributed File System 局域网管理共享文件,禁用;
Distributed linktracking client 用于局域网更新连接信息,禁用;
Error reporting service 禁止发送错误报告,禁用;
Microsoft Serch 提供快速的单词搜索,禁用;
NTLMSecuritysupportprovide,telnet服务和Microsoft Serch用的,禁用;
PrintSpooler 如果没有打印机可禁用;
Remote Registry 禁止远程修改注册表;
Remote Desktop Help Session Manager 禁止远程协助;
Task scheduler 允许程序在指定时间运行,禁用;
Routing and Remote Access 在局域网以及广域网环境中为企业提供路由服务,禁用;
Removable storage 管理可移动媒体,驱动程序和库,禁用;
Com+ Event System 提供事件的自动发布到订阅COM组件,禁用;
Alerter 通知选定的用户和计算机管理警报,禁用;
Messenger 传输客户端和服务器之间的 NET SEND 和 警报器服务消息,禁用;
Telnet 允许远程用户登录到此计算机并运行程序,禁用;
TCP/IP NetBIOS Helper 禁用;
Workstation 如果服务器不用作域控,我们也可以禁用;(建议 先给所有帐号设置 拒绝远程拨入)
<3>系统
1.关闭137、138、139、445端口
这几个端口都是为共享而开的,是NetBios协议的应用,一般上网用户是不需要别人来共享你的内容的,而且也是漏洞最多的端口。关闭的方法很多,最近从网上学了一 招非常好用,一次全部关闭上述端口。
开始-> 控制面板-> 系统-> 硬件-> 设备管理器-> 查看-> 显示隐藏的设备-> 非即插即用驱动程序-> Netbios over Tcpip。
二.系统服务安全
1.WEB服务
<1>.删除 c:/inetpub
<2>.删除IIS不必要的映射
<3>.每个网站建立各自的访问帐号,并对其WEB目录设置权限,如果是asp.net,还必须给web目录设置aspnet用户权限
<4>.在应用程序配置里,设置调试为向客户端发送自定义的文本信息,这样能对于有ASP注入漏洞的站点,可以不反馈程序报错的信息,能够避免一定程度的攻击.
[当排除问题时,可以先暂时设置默认,便于查找问题;不推举设置]
<5>.自定义HTTP错误选项里,有必要定义下譬如404,500等错误,不过有有时候为了调试程序,好知道程序出错在什么地方,建议只设置404就可以了.
[不推举设置]
<6>.一个应用池最好放十个网站,在应用程序池可以适当设置下“内存回收”:这里的最大虚拟内存为:1000M,最大使用的物理内存为256M,
这样的设置几乎是没限制这个站点的性能.
<7>.在网站或论坛中往往存在类似 uploadfiles/ 或其他需要存在上传文件的目录额外给写的权限,并且在IIS里给这个目录无脚本运行权限,这样即使网站程序出现漏洞.
<8>.防止ACCESS数据库被下载:所在目录在IIS里不给执行脚本权限.然后在IIS里加设置一个映射规律,这里用任意一个dll文件来解析.mdb后缀名的映射,
只要不用asp.dll来解析就可以了.
<9>.IIS6.0要注意的一个问题.”网站” 主目录->配置->选项 “启用父路径”
<10>.为IIS安装 IISSCAN 防护软件,本文最后有其配置文件简要说明,可剩<1>~<8>大多设置,很好的工具.
2.ftp服务
server-u 6.0.2 中文破解版
<1>.不要设置为服务启动即可
<2>.如果非要设置成服务启动(方便): 安装到非系统盘;设置独立服务帐号;安装以及信息目录权限除去”完全控制””取得所有权”外全部给予;
安全设置:
选中“Block “FTP bounce”attack and FXP ” :
当使用FTP协议进行文件传输时,客户端首先向FTP服务器发出一个“PORT”命令,
该命令中包含此用户的IP地址和将被用来进行数据传输的端口号,服务器收到后,利用命令所提供的用户地址信息建立与用户的连接.
大多数情况下,上述过程不会出现任何问题,但当客户端是一名恶意用户时,可能会通过在PORT命令中加入特定的地址信息,
使FTP服务器与其它非客户端的机器建立连接.虽然这名恶意用户可能本身无权直接访问某一特定机器,但是如果FTP服务器有
权访问该机器的话,那么恶意用户就可以通过FTP服务器作为中介,仍然能够最终实现与目标服务,器的连接。这就是FXP,
也称跨服务器攻击,选中后就可以防止发生此种情况.
选中”禁用反超时调度”
选中”高级”->”启用安全”
防止Serv_U6.0.0.2权限提升的方法:(此处为转载)
[在网上看到有不少用Serv_U6.0.0.2提升权限的文章,原来默认的管理帐号密码为l@$ak#.lk;0@P,端口为43958
在ServUDaemon.ini中加上LocalSetupPortNo=12315,可改变默认的管理端口,同时在gpedit.msc中做好IP安全策略,即增加12315端口的阻止,如果不改默认端口,就增加43958端口的阻止,如果”使用设置更改密码”的按钮,即在ServUDaemon.ini中加上LocalSetupPassword=ah6A0ED50ADD0A516DA36992DB43F3AA39
之类的MD5密码,如果对方用ASP木马得到你的ServUDaemon.ini文件,基本上你的系统就完了,解决方案有几个,一是把Serv_U的安装目录权限设为只有ADMIN用户可完全控制,并对GUSETS用户组的拒绝,这样IIS帐号就无法得到ServUDaemon.ini文件,二是用UD之类的十六进制工具修改SU.EXE文件,找到l@$ak#.lk;0@P这个,修改成强密码”这是谁设的密码,什么版本都一样,我晕”,如果不设置LocalSetupPassword的话,默认的空密码就是程序中的l@$ak#.lk;0@P,三是阻止43958端口的访问,方法还有好多,要结合整个系 统来设定]-(测试机端口改为40623,并且在BlackIce中做了端口阻止)
3.MSSQL/MYSQL数据库
MSSQL数据库
操作特例:
<1>如何利用远程来导入备份的数据库(恢复数据库):
环境:
A 为需要恢复的SQL数据库 DATA
B 为预备要恢复到A的SQL数据库 DATA
1.首先在B中将 DATA 生成 SQL脚本
利用查询分析器远程以A 中SQL数据库DATA的所有者登陆
打开B机中DATA生成的SQL脚本,保存,点击”对号”
2.在B中利用导出功能,按照提示默认将数据库导入到A中即可.
安全:
删除有安全隐患的扩展:
exec sp_dropextendedproc ‘xp_cmdshell’ [删除此项扩展后,将无法远程连接数据库]
exec sp_dropextendedproc ‘xp_dirtree’ [删除此项扩展后,将无法新建或附加数据库]
exec sp_dropextendedproc ‘xp_enumgroups’
exec sp_dropextendedproc ‘xp_fixeddrives’ [删除此项扩展后,将无法还原数据库]
exec sp_dropextendedproc ‘xp_loginconfig’
exec sp_dropextendedproc ‘xp_regaddmultistring’
exec sp_dropextendedproc ‘xp_regdeletekey’
exec sp_dropextendedproc ‘xp_regdeletevalue’
exec sp_dropextendedproc ‘xp_regread’ [删除此项扩展后, 还原数据库辅助]
exec sp_dropextendedproc ‘xp_regremovemultistring’
exec sp_dropextendedproc ‘xp_regwrite’
exec sp_dropextendedproc ‘xp_enumerrorlogs’
exec sp_dropextendedproc ‘xp_getfiledetails’
exec sp_dropextendedproc ‘xp_regenumvalues’
恢复扩展
exec sp_addextendedproc ‘xp_cmdshell’, ‘xplog70.dll’
exec sp_addextendedproc ‘xp_dirtree’, ‘xpstar.dll’
exec sp_addextendedproc ‘xp_enumgroups’, ‘xplog70.dll’
exec sp_addextendedproc ‘xp_fixeddrives’, ‘xpstar.dll’
exec sp_addextendedproc ‘xp_loginconfig’, ‘xplog70.dll’
exec sp_addextendedproc ‘xp_regaddmultistring’, ‘xpstar.dll’
exec sp_addextendedproc ‘xp_regdeletekey’, ‘xpstar.dll’
exec sp_addextendedproc ‘xp_regdeletevalue’, ‘xpstar.dll’
exec sp_addextendedproc ‘xp_regread’, ‘xpstar.dll’
exec sp_addextendedproc ‘xp_regremovemultistring’, ‘xpstar.dll’
exec sp_addextendedproc ‘xp_regwrite’, ‘xpstar.dll’
exec sp_addextendedproc ‘xp_enumerrorlogs’, ‘xpstar.dll’
exec sp_addextendedproc ‘xp_getfiledetails’, ‘xpstar.dll’
exec sp_addextendedproc ‘xp_regenumvalues’, ‘xpstar.dll’
mysql数据库
为其建立独立服务帐户,属于GUESTS组,服务中进行设置;在其安装目录添加此用户,并设置[修改]读取和运行][列出文件夹目录][读取][写入],去掉高级中”允许父项的….”对钩,选择”用在此显示的…”对钩,应用.启动MYSQL,此时便以此帐户运行.
三.系统权限设置
1.系统分区 (以下所有针对目录权限操作后,都是去掉高级中”允许父项的….”对钩,选择”用在此显示的…”对钩,应用.)
支持环境:asp;asp.net;php
/ (根权限)
administrators 应用到:该文件夹,子文件夹及文件
权限:完全控制;
CREATOR OWNER 应用到:只有子文件夹及文件
权限:完全控制 (此操作在”高级”中设置)
SYSTEM 应用到:该文件夹,子文件夹及文件
权限:完全控制
设置: 用在此显示的可以应用到子对象的项目替代所有子对象的权限项目
/Program Files\Common Files
添加
everyone 读取和运行
列出文件夹目录
读取
/windows
添加
Users 读取和运行
列出文件夹目录
读取
/windows/temp
去掉users 遍历文件夹/运行文件
创建文件/写入数据
创建文件夹/附加数据
[然后进入高级将“遍历文件夹/运行文件”去掉”]
/windows/Microsoft.NET [如果你要运行aspx网站]
给users组加 遍历文件夹/运行文件
创建文件/写入数据
创建文件夹/附加数据
/php [假如在C:\下有此目录”支持PHP”]安装PHP时注意要将DLL文件全部COPY到SYSTEM32下.
添加
IIS匿名用户所属组 读取和运行
列出文件夹目录
读取
设置终端帐户
例如,
1.C:\Documents and Settings 目录权限为:
administrator 权限为: 完全控制
systen 权限为:完全控制
Remote Desktop Users 权限为: 高级->
应用于:只有该文件夹
权限:列出文件夹/读取数据
读取属性
读取扩展属性
读取权限
选择 用在此显示。。。。。 应用
2.设置完1后,开始 利用建立的 合租帐户登陆。会在 C:\Documents and Settings 下自动生成 用户目录
这是我们查看权限 其中包括 administrators组 system组 合租帐户
3.细化 合租用户 目录权限
adminisrators组 权限: 完全控制
删除sysrem组
合租用户 权限: 高级->
应用于:只有该文件夹
权限:列出文件夹/读取数据
读取属性
读取扩展属性
读取权限
选择 用在此显示。。。。。 应用
4.进入 合租用户 目录中 , 给 桌面 添加 合租用户 权限 为 应用于:该文件夹,子文件夹及文件
权限:列出文件夹/读取数据
读取属性
读取扩展属性
读取权限
用户文件目录权限及上层权限设置:[假设e为用户文件目录]
例如:E:\wwwroot\合租用户文件 这里给 E:\ 管理员用户 应用到:该文件夹,子文件夹及文件
权限:完全控制
Remote Desktop Users 应用到:该文件夹,子文件夹及文件
权限:列出文件夹/读取数据
读取属性
读取扩展属性
读取权限
作用:可以让终端用户删除建立自己的文件,根权限作用.
E:\wwwroot\合租用户文件 这里给 管理员用户 应用到:该文件夹,子文件夹及文件
权限:完全控制
合租用户文件 :应用到:该文件夹,子文件夹及文件
列出文件夹/读取数据
读取属性
读取扩展属性
读取权限
说明:这里将终端组权限去掉了,其他user-?目录都去掉,防止彼此间互相访问
E:\wwwroot\合租用户文件\www 这里给 管理员用户 应用到:该文件夹,子文件夹及文件
权限:完全控制
iis-user-1 应用到:该文件夹,子文件夹及文件
权限:给予除去”完全控制””遍历文件夹/运行文件””删除子文件夹及文件””取得所有权”的所有权限
合租用户 应用到:只有子文件夹及文件
权限:给予除去”完全控制””遍历文件夹/运行文件””取得所有权”的所有权限
合租用户 应用到:只有该文件夹
权限:给予除去”完全控制””遍历文件夹/运行文件””删除子文件夹及文件””删除””更改权限””取得所有权”的所有权限
ASP.NET 应用到:该文件夹,子文件夹及文件
权限:给予除去”遍历文件夹/运行文件””删除子文件夹及文件””取得所有权”的所有权限
IIS_WPG 同上
2.其他分区
都以administrators 设置: 用在此显示的可以应用到子对象的项目替代所有子对象的权限项目 设置 / 目录
网站所在目录赋予来宾帐号权限
3.特别工具权限设置(设置完以上权限后,此脚本必须运行,安全性会更有提高)
写一个批处理文件如下
Cacls.exe %SystemRoot%\System32\cmd.exe /e /R system users
Cacls.exe %SystemRoot%\System32\net.exe /e /R system users
Cacls.exe %SystemRoot%\System32\net1.exe /e /R system users
Cacls.exe %SystemRoot%\System32\tftp.exe /e /R system users
Cacls.exe %SystemRoot%\System32\at.exe /e /R system users
Cacls.exe %SystemRoot%\System32\telnet.exe /e /R system users
cacls.exe %SystemRoot%\System32\shell32.dll /e /R users
cacls.exe %SystemRoot%\System32\netstat.exe /e /R system users
cacls.exe %SystemRoot%\System32\nbtstat.exe /e /R system users
cacls.exe %SystemRoot%\System32\reged32t.exe /e /R system users
cacls.exe %SystemRoot%\regedit.exe /e /R system users
cacls.exe %SystemRoot%\System32\attrib.exe /e /R system users
cacls.exe %SystemRoot%\System32\ftp.exe /e /R system users
cacls.exe %SystemRoot%\System32\cscript.exe /e /R system users
cacls.exe %SystemRoot%\System32\ddeshare.exe /e /R system users
cacls.exe %SystemRoot%\System32\debug.exe /e /R users
cacls.exe %SystemRoot%\System32\ddeshare.exe /e /R users
cacls.exe %SystemRoot%\System32\hostname.exe /e /R system users
cacls.exe %SystemRoot%\System32\msppcnfg.exe /e /R system users
cacls.exe %SystemRoot%\System32\mstsc.exe /e /R system users
cacls.exe %SystemRoot%\System32\netsh.exe /e /R system users
cacls.exe %SystemRoot%\System32\nslookup.exe /e /R system users
cacls.exe %SystemRoot%\System32\regedt32.exe /e /R system users
cacls.exe %SystemRoot%\System32\regsvr32.exe /e /R system users
cacls.exe %SystemRoot%\System32\sc.exe /e /R users
cacls.exe %SystemRoot%\System32\shadow.exe /e /R users
cacls.exe %SystemRoot%\System32\share.exe /e /R system users
cacls.exe %SystemRoot%\System32\cacls.exe /e /R system users
(这里有users的原因是因为/windows有此组权限,如果不去掉的话,终端用户依然可以进入cmd)
让终端用户登陆后,看吧,很好的效果哦,呵呵
四.系统组件调试
利用阿讲最新探针,测试环境.常用组件:
FSO组件:
安装与删除方法:
windows98系统
在DOS命令行状态输入以下命令:
关闭命令:RegSvr32 /u C:\WINDOWS\SYSTEM\scrrun.dll
打开命令:RegSvr32 C:\WINDOWS\SYSTEM\scrrun.dll
win2000系统:
在CMD命令行状态输入以下命令:
关闭命令:RegSvr32 /u C:\WINNT\SYSTEM32\scrrun.dll
打开命令:RegSvr32 C:\WINNT\SYSTEM32\scrrun.dll
win2003:
运行regsvr32 scrrun.dll即可。
如果想关闭FSO组件,请运行 regsvr32 /u scrrun.dll即可。
Aspjpeg1.5组件:
说明:支持 JPEG, GIF, BMP, TIFF , PNG 格式. 输出格式为 JPEG.
输入来源可以是磁盘,内存或者记录集(recordset).
图片可以输出到磁盘,内存或者http流.
支持三种更改大小方式: nearest-neighbor, bilinear, and bicubic.
可以在图片之上添加图片或者文字.
支持图中图.
支持复制,反转,旋转,锐化,灰度调节.
可以调节压缩比率,以得到最佳输出效果和大小.
从jpeg图片中抽取EXIF 和 IPTC数据.
安装与删除方法:
1.有EXE安装程序,直接安装即可.
2.通过DLL安装方法:(转载)
如果以前装过其他版本的aspjpeg,需要先停止iis(net stop iisadmin /y),卸载原来的组件(regsvr32 /u c:/windows/system32/aspjpeg.dll),然后重起iis (net start w3svc)
从aspjpeg1.4的安装目录复制aspjpeg.dll到系统文件加的system32目录
运行regsvr32 c:/windows/system32/aspjpeg.dll (根据你的系统改你的目录)
aspjpeg的文档中说需要官方提供的序列号才能正常使用,如果安装过程中有输入序列号
在asp中运行下面的命令更改序列号(如果没有输入过,需要在注册表中添加如下项:HKEY_LOCAL_MACHINE\Software\Persits Software\AspJpeg\RegKey)
程序代码: [ 复制代码 ] [ 运行代码 ]
Set Jpeg = Server.CreateObject(“Persits.Jpeg”)
Jpeg.RegKey = “你的序列号”
可以用下面的方式查看是否注册成功:
程序代码: [ 复制代码 ] [ 运行代码 ]
Set Jpeg = Server.CreateObject(“Persits.Jpeg”)
Response.Write Jpeg.Expires
我没有注册,运行了这则代码,得到的结果是2005-1-19 19:15:49。意思好像是可以使用到1月19日。
如果注册成功得到的应该是9/9/9999。我用48958-77556-02411注册以后得到了9999-9-9这个结果:)操作系统时间显示方式有所不同。
以下是aspjpeg1.4的安装文件,dll文件和序列号
直接安装只要在aspjpeg1.4.exe安装过程中输入序列号即可,但是可能会出现ntfs目录访问权限的问题,需要手动设置安装目录对Everyone有访问权限。(olylinux:我这里是最底users组权限,正常)
ADODB.Stream组件
说明:无组件上传
安装与删除方法:
regsvr32 “C:\Program Files\Common Files\System\ado\msado15.dll”
regsvr32 /u “C:\Program Files\Common Files\System\ado\msado15.dll”
JMail.SmtpMail组件
说明:Dimac JMail 邮件收发
安装方法:利用阿江探针->组件 就有其相关信息,下载安装即可.
CDONTS组件
说明:感觉是辅助JMAIL的,具体我也不清楚
安装删除方法:
2003也能用的,只不过,得找个cdonts.dll(组件文件,可以复制2000里的)
将该文件拷贝至 C:\WINDOWS\system32 下;开始 -> 运行 -> Regsvr32 cdonts.dll; 确认
删除 Regsvr32 /u cdonts.dll
杀毒软件问题
MACFEE 杀毒软件造成IIS站点‘请求的资源在使用中’运行regsvr32 jscript.dll和 regsvr32 vbscript.dll重新注册JAVA脚本和VB脚本的动态链接库后一切正常
以下为urlscan配置
[options]
UseAllowVerbs=1 ; If 1, use [AllowVerbs] section, else use the
; [DenyVerbs] section.
UseAllowExtensions=0 ; If 1, use [AllowExtensions] section, else use
; the [DenyExtensions] section.
NormalizeUrlBeforeScan=1 ; If 1, canonicalize URL before processing.
VerifyNormalization=1 ; If 1, canonicalize URL twice and reject request
; if a change occurs.
AllowHighBitCharacters=0 ; If 1, allow high bit (ie. UTF8 or MBCS)
; characters in URL.
AllowDotInPath=0 ; If 1, allow dots that are not file extensions.
RemoveServerHeader=0 ; If 1, remove the ‘Server’ header from response.
EnableLogging=1 ; If 1, log UrlScan activity.
PerProcessLogging=1 ; If 1, the UrlScan.log filename will contain a PID
; (ie. UrlScan.123.log).
AllowLateScanning=0 ; If 1, then UrlScan will load as a low priority
; filter.
PerDayLogging=1 ; If 1, UrlScan will produce a new log each day with
; activity in the form ‘UrlScan.010101.log’. [这里已经改为1,返回IIS默认错误页]
UseFastPathReject=1 ; If 1, then UrlScan will not use the
; RejectResponseUrl or allow IIS to log the request.
LogLongUrls=0 ; If 1, then up to 128K per request can be logged.
; If 0, then only 1k is allowed.
;
; If UseFastPathReject is 0, then UrlScan will send
; rejected requests to the URL specified by RejectResponseUrl.
; If not specified, ‘/<Rejected-by-UrlScan>’ will be used.
;
RejectResponseUrl=
;
; LoggingDirectory can be used to specify the directory where the
; log file will be created. This value should be the absolute path
; (ie. c:\some\path). If not specified, then UrlScan will create
; the log in the same directory where the UrlScan.dll file is located.
;
LoggingDirectory=C:\WINDOWS\system32\inetsrv\urlscan\logs
;
; If RemoveServerHeader is 0, then AlternateServerName can be
; used to specify a replacement for IIS’s built in ‘Server’ header
;
AlternateServerName=
[RequestLimits]
;
; The entries in this section impose limits on the length
; of allowed parts of requests reaching the server.
;
; It is possible to impose a limit on the length of the
; value of a specific request header by prepending “Max-” to the
; name of the header. For example, the following entry would
; impose a limit of 100 bytes to the value of the
; ‘Content-Type’ header:
;
; Max-Content-Type=100
;
; To list a header and not specify a maximum value, use 0
; (ie. ‘Max-User-Agent=0’). Also, any headers not listed
; in this section will not be checked for length limits.
;
; There are 3 special case limits:
;
; – MaxAllowedContentLength specifies the maximum allowed
; numeric value of the Content-Length request header. For
; example, setting this to 1000 would cause any request
; with a content length that exceeds 1000 to be rejected.
; The default is 30000000.
;
; – MaxUrl specifies the maximum length of the request URL,
; not including the query string. The default is 260 (which
; is equivalent to MAX_PATH).
;
; – MaxQueryString specifies the maximum length of the query
; string. The default is 2048.
;
MaxAllowedContentLength=30000000
MaxUrl=260
MaxQueryString=2048
[AllowVerbs]
;以下为网站中表单或注册功能的提交方式(允许的)如果有其他提交方式,可以在[DenyVerbs]下多余的提交方式前加分号,然后在补充到下面
; The verbs (aka HTTP methods) listed here are those commonly
; processed by a typical IIS server.
;
; Note that these entries are effective if “UseAllowVerbs=1”
; is set in the [Options] section above.
;
GET
HEAD
POST
[DenyVerbs]
;
; The verbs (aka HTTP methods) listed here are used for publishing
; content to an IIS server via WebDAV.
;
; Note that these entries are effective if “UseAllowVerbs=0”
; is set in the [Options] section above.
;
PROPFIND
PROPPATCH
MKCOL
DELETE
PUT
COPY
MOVE
LOCK
UNLOCK
OPTIONS
SEARCH
[DenyHeaders]
;
; The following request headers alter processing of a
; request by causing the server to process the request
; as if it were intended to be a WebDAV request, instead
; of a request to retrieve a resource.
;
Translate:
If:
Lock-Token:
Transfer-Encoding:
[AllowExtensions]
;此下为允许的扩展名,但必须建立在[DenyExtensions]中扩展名加“;”的前提下,即忽略的前提下]
; Extensions listed here are commonly used on a typical IIS server.
;
; Note that these entries are effective if “UseAllowExtensions=1”
; is set in the [Options] section above.
;
.htm
.html
.txt
.jpg
.jpeg
.gif
.asp
.php
.aspx
[DenyExtensions]
;此下全部为不允许的扩展名
; Extensions listed here either run code directly on the server,
; are processed as scripts, or are static files that are
; generally not intended to be served out.
;
; Note that these entries are effective if “UseAllowExtensions=0”
; is set in the [Options] section above.
;
; Also note that ASP scripts are denied with the below
; settings. If you wish to enable ASP, remove the
; following extensions from this list:
; .asp
; .cer
; .cdx
; .asa
;
; Deny ASP requests [这里是不允许访问的扩展名,可以加“;”号去掉,然后[AllowExtensions]下添加允许]
;.asp
.cer
.cdx
;.asa
; Deny executables that could run on the server
.exe
.bat
.cmd
.com
; Deny infrequently used scripts
.htw ; Maps to webhits.dll, part of Index Server
.ida ; Maps to idq.dll, part of Index Server
.idq ; Maps to idq.dll, part of Index Server
.htr ; Maps to ism.dll, a legacy administrative tool
.idc ; Maps to httpodbc.dll, a legacy database access tool
.shtm ; Maps to ssinc.dll, for Server Side Includes
.shtml ; Maps to ssinc.dll, for Server Side Includes
.stm ; Maps to ssinc.dll, for Server Side Includes
.printer ; Maps to msw3prt.dll, for Internet Printing Services
.cer
.cdx
.mdb
; Deny various static files
.ini ; Configuration files
.log ; Log files
.pol ; Policy files
.dat ; Configuration files
[DenyUrlSequences]
.. ; Don’t allow directory traversals
./ ; Don’t allow trailing dot on a directory name
\ ; Don’t allow backslashes in URL
: ; Don’t allow alternate stream access
% ; Don’t allow escaping after normalization
& ; Don’t allow multiple CGI processes to run on a single request