分类： 电脑技巧

平台:  windows 2003
安装过程: 默认安装(2003系统自身默认不安装任何服务)

对象:
多人共同利用终端服务登陆,可视化浏览自己的文件目录.无权浏览其他用户信息以及更改系统设置.

具体方向:
一.系统环境设置->目的:防止对系统不熟悉的用户,例如:利用gpedit.msc删除”开始”中多余菜单;禁用一些桌面操作以及其他设置;注册表中系统优化以及安全设置;
二.系统服务安全->包括WEB服务;FTP服务;数据库服务;游戏服务
三.系统权限设置
四.系统组件调试->利用探针逐步测试主机环境,提供全面的服务
五.端口过滤设置->windows2003放火墙设置;BlackIce设置
六.安全测试

目录:
一.系统环境设置
1.删除”开始”菜单中多余的选项;
  “开始”->”运行” 输入: gpedit.msc
  <1>”计算机配置”
      ->”Windows设置”
        ->”安全设置”  
          ->”帐户策略”
            [密码策略]
           [帐户锁定策略]
          ->”本地策略”
            [审核策略]
            [用户权限分配]->”从网络访问此计算机”
          ->”安全选项”
            “允许系统在未登陆前关机”
            “不显示上次登陆名”
            “不需要按crtl…”
            “不允许SAM帐户的匿名枚举”
            “不允许SAM帐户和共享的匿名枚举”
            “网络访问:可远程访问注册表路径” 例如:将此处添写为olylinux
     “网络访问:可远程访问的注册表路径和子路径 例如:将此处添写为olylinux
  ->”管理模板”
     ->”windows组件”
        ->”Internet Explorer”
           “安全区域:仅使用计算机设置”
           “安全区域:禁止用户更改策略”
           “安全区域:禁止用户添加或删除站点”
        ->”终端服务” :
            “强制删除远程桌面墙纸”
     “从[开始]菜单删除”windows安全性”项”
     [客户端]
     “不允许保存密码”
    ->”windows install”
      “日志记录”
  ->”系统”
    “在登陆时不显示”管理您的服务器”页”
    “显示”关闭事件跟踪程序”(禁用)
    ->磁盘配额”
      “启用磁盘配额”
      “强制磁盘配额限制”
      “超出磁盘配额限制时将事件记录到日志中”
  <2>”用户配置”
      ->”管理面板”
        ->”Windows 资源管理器”
            “从”工具”菜单删除”文件夹选项”菜单”
     “从windows资源管理器中删除”文件菜单”
     “删除”映射网络驱动器”和”断开网络驱动器”
     “从window资源管理器上删除搜索按钮”
     “删除”硬件”选项卡”
     “”网上邻居”中没有”我附近的计算机”
     “网上邻居”中不含”整个网络”
     “不要将已删除的文件移到”回收站””
     “从”我的电脑”删除共享文档”
     “关闭windows+x热键”
    ->”终端服务”
      [客户端]
      “不允许保存密码”
       ->”任务栏和[开始]菜单”
     “从[开始]菜单删除用户文件夹”
     “从[开始]菜单删除公用程序组”
     “从「开始」菜单中删除“我的文档”图标”
     “从「开始」菜单中删除“文档”菜单”
     “从设置菜单删除程序” (如果要使用”控制面板”可设置为”未配置”)
     “从[开始]菜单删除”网络连接”
     “从[开始]菜单中删除“收藏夹”菜单”
     “从[开始]菜单中删除”搜索”菜单”
     “从[开始]菜单删除”帮助”命令”
     “从[开始]菜单中删除”运行”菜单”
     “从「开始」菜单中删除“图片收藏”图标”
     “从「开始」菜单中删除“我的音乐”图标”
     “阻止更改”任务栏和[开始]菜单”设置”
     “禁止访问任务栏的上下文菜单”
     “不要保留最近打开文档的记录”
     “退出时清除最近打开的文档的记录”
     “关闭个性化菜单”
     “关闭用户跟踪”
     “阻止在人物栏上对项目分组”
     “锁定任务栏”
     “删除[开始]菜单项目上的”气球提示””
     “从[开始]菜单中删除附加的程序列表”
     “从[开始]菜单中删除常用程序列表”
     “从[开始]菜单中删除所有程序列表”
     “不在任务栏显示任何自定义工具栏”
     “从”开始”菜单中删除”设置程序访问和默认””
   ->”桌面”
     “从桌面删除回收站”
     “禁止添加,拖.放和关闭任务栏的工具栏”
     “禁止调整桌面工具栏”
   ->”控制面板”
     “禁用控制面板” (禁止后,也可以防止终端用户从开始菜单进入控制面板)

2.注册表设置
  <1>.WebShell
     入侵者上传文件后.需要利用WebShell来执行可执行程序.或者利用WebShell进行更加方便的文件操作.
     对应措施:取消相应服务和功能
     一般WebShell用到以下组件
        WScript.Network
        WScript.Network.1
        WScript.Shell
        WScript.Shell.1
        Shell.Application
        Shell.Application.1
      在注册表中将以上键值改名
     将这些键值下CLSID中包含的字串
     如{72C24DD5-D70A-438B-8A42-98424B88AFB8}
     到/HKEY_CLASSES_ROOT/CLSID下找到以这些字串命名的键值全部删除
 <2>.隐藏重要文件/目录,可修改注册表实现完全隐藏
    HKEY_LOCAL_MACHINE \ SOFTWARE\Microsoft \ Windows \ Current-Version \ Explorer \ Advanced \ Folder \ Hi-dden \ SHOWALL”
    鼠标右击 “CheckedValue”,选择修改,把数值由1改为0
  <3>.防止SYN洪水攻击
         HKEY_LOCAL_MACHINE\SYSTEM \ CurrentControlSet \ Services \ Tcpip \ Parameters
         新建DWORD值,名为SynAttackProtect,值为2
         EnablePMTUDiscovery REG_DWORD 0
       NoNameReleaseOnDemand REG_DWORD 1
       EnableDeadGWDetect REG_DWORD 0
       KeepAliveTime REG_DWORD 300,000
       PerformRouterDiscovery REG_DWORD 0
       EnableICMPRedirects REG_DWORD 0
<3>.禁止响应ICMP路由通告报文
       HKEY_LOCAL_MACHINE\SYSTEM \ CurrentControlSet \ Services \ Tcpip \ Parameters \ Interfaces \ interface
         新建DWORD值,名为PerformRouterDiscovery 值为0
<4>.防止ICMP重定向报文的攻击
    HKEY_LOCAL_MACHINE\SYSTEM \ CurrentControlSet \ Services \ Tcpip \ Parameters
        将EnableICMPRedirects 值设为0
<5>.不支持IGMP协议
     HKEY_LOCAL_MACHINE\SYSTEM \ CurrentControlSet \ Services \ Tcpip \ Parameters
         新建DWORD值,名为IGMPLevel 值为0
<6>.修改终端服务端口
     HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Control \ Terminal Server \ Wds \ rdpwd \ Tds \ tcp 找 PortNumber
           HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Control \ Terminal Server \ WinStations \ RDP-Tcp  找 PortNumber
<7>.禁止IPC空连接
    可以利用net use命令建立空连接,进而入侵,还有net view,nbtstat这些都是基于空连接的,禁止空连接就好了.打开注册表,
    找到 Local_Machine \ System \ CurrentControlSet \ Control \ LSA-RestrictAnonymous 把这个值改成”1”即可.
<8>.更改TTL值
       可以根据ping回的TTL值来大致判断你的操作系统,如:
         TTL=107(WINNT);
         TTL=108(win2000);
         TTL=127或128(win9x);
         TTL=240或241(linux);
         TTL=252(solaris);
         TTL=240(Irix);
         HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters：DefaultTTL REG_DWORD 0-0xff(0-255
        十进制,默认值128) .改成一个莫名其妙的数字如258.
<9>.更改终端端口
 3.系统设置
  <1>.帐号
     “将administrator改名,例子中改为olylinux$”
     “取消所有除管理员olylinux$外所有用户属性中的 [远程控制->启用远程控制]/[拒绝拨入]
            “设置”终端服务妻配置,只允许 administrators和remote desktop Users”
     “将guest改名为administrator并且修改复杂密码”
     “除了管理员 olylinux$ 和 网站来宾帐号 , IUSER 以及 IWAM 以及 ASPNET 用户外,禁用其他一切用户.包括 SQL DEBUG 以及 TERMINAL USER 等等”
     “除了管理员 olylinux$ 外其他用户都属于 guests 组”
     “终端用户都属于remote desktop Users组
  <2>.服务
     Computer Browser 维护网络计算机更新,禁用;
         Distributed File System 局域网管理共享文件,禁用;
     Distributed linktracking client 用于局域网更新连接信息,禁用;
         Error reporting service 禁止发送错误报告,禁用;
         Microsoft Serch 提供快速的单词搜索,禁用;
     NTLMSecuritysupportprovide,telnet服务和Microsoft Serch用的,禁用;
         PrintSpooler 如果没有打印机可禁用;
     Remote Registry 禁止远程修改注册表;
     Remote Desktop Help Session Manager 禁止远程协助;
     Task scheduler 允许程序在指定时间运行,禁用;
     Routing and Remote Access 在局域网以及广域网环境中为企业提供路由服务,禁用;
     Removable storage 管理可移动媒体,驱动程序和库,禁用;
     Com+ Event System 提供事件的自动发布到订阅COM组件,禁用;
     Alerter 通知选定的用户和计算机管理警报,禁用;
     Messenger 传输客户端和服务器之间的 NET SEND 和 警报器服务消息,禁用;
     Telnet 允许远程用户登录到此计算机并运行程序,禁用;
         TCP/IP NetBIOS Helper 禁用;
     Workstation 如果服务器不用作域控,我们也可以禁用;(建议 先给所有帐号设置 拒绝远程拨入)
  <3>系统
    1.关闭137、138、139、445端口
　　这几个端口都是为共享而开的，是NetBios协议的应用，一般上网用户是不需要别人来共享你的内容的，而且也是漏洞最多的端口。关闭的方法很多，最近从网上学了一    招非常好用，一次全部关闭上述端口。
　　开始-> 控制面板-> 系统-> 硬件-> 设备管理器-> 查看-> 显示隐藏的设备-> 非即插即用驱动程序-> Netbios over Tcpip。
二.系统服务安全
  1.WEB服务
    <1>.删除 c:/inetpub
          <2>.删除IIS不必要的映射
    <3>.每个网站建立各自的访问帐号,并对其WEB目录设置权限,如果是asp.net,还必须给web目录设置aspnet用户权限
    <4>.在应用程序配置里,设置调试为向客户端发送自定义的文本信息,这样能对于有ASP注入漏洞的站点,可以不反馈程序报错的信息,能够避免一定程度的攻击.
        [当排除问题时,可以先暂时设置默认,便于查找问题;不推举设置]
    <5>.自定义HTTP错误选项里,有必要定义下譬如404,500等错误,不过有有时候为了调试程序,好知道程序出错在什么地方,建议只设置404就可以了.
         [不推举设置]
    <6>.一个应用池最好放十个网站,在应用程序池可以适当设置下“内存回收”:这里的最大虚拟内存为:1000M,最大使用的物理内存为256M,
         这样的设置几乎是没限制这个站点的性能.
    <7>.在网站或论坛中往往存在类似 uploadfiles/ 或其他需要存在上传文件的目录额外给写的权限,并且在IIS里给这个目录无脚本运行权限,这样即使网站程序出现漏洞.
    <8>.防止ACCESS数据库被下载:所在目录在IIS里不给执行脚本权限.然后在IIS里加设置一个映射规律,这里用任意一个dll文件来解析.mdb后缀名的映射,
         只要不用asp.dll来解析就可以了.
    <9>.IIS6.0要注意的一个问题.”网站” 主目录->配置->选项 “启用父路径”
    <10>.为IIS安装 IISSCAN 防护软件,本文最后有其配置文件简要说明,可剩<1>~<8>大多设置,很好的工具.
  2.ftp服务
    server-u 6.0.2 中文破解版
    <1>.不要设置为服务启动即可
    <2>.如果非要设置成服务启动(方便): 安装到非系统盘;设置独立服务帐号;安装以及信息目录权限除去”完全控制””取得所有权”外全部给予;
    安全设置:
    选中“Block “FTP bounce”attack and FXP ” :
          当使用FTP协议进行文件传输时,客户端首先向FTP服务器发出一个“PORT”命令,
    该命令中包含此用户的IP地址和将被用来进行数据传输的端口号,服务器收到后,利用命令所提供的用户地址信息建立与用户的连接.
    大多数情况下,上述过程不会出现任何问题,但当客户端是一名恶意用户时,可能会通过在PORT命令中加入特定的地址信息,
    使FTP服务器与其它非客户端的机器建立连接.虽然这名恶意用户可能本身无权直接访问某一特定机器,但是如果FTP服务器有
    权访问该机器的话,那么恶意用户就可以通过FTP服务器作为中介,仍然能够最终实现与目标服务,器的连接。这就是FXP,
    也称跨服务器攻击,选中后就可以防止发生此种情况.
    选中”禁用反超时调度”
    选中”高级”->”启用安全”
  防止Serv_U6.0.0.2权限提升的方法:(此处为转载)
  [在网上看到有不少用Serv_U6.0.0.2提升权限的文章,原来默认的管理帐号密码为l@$ak#.lk;0@P,端口为43958
在ServUDaemon.ini中加上LocalSetupPortNo=12315,可改变默认的管理端口,同时在gpedit.msc中做好IP安全策略,即增加12315端口的阻止,如果不改默认端口,就增加43958端口的阻止,如果”使用设置更改密码”的按钮,即在ServUDaemon.ini中加上LocalSetupPassword=ah6A0ED50ADD0A516DA36992DB43F3AA39
之类的MD5密码,如果对方用ASP木马得到你的ServUDaemon.ini文件,基本上你的系统就完了,解决方案有几个,一是把Serv_U的安装目录权限设为只有ADMIN用户可完全控制,并对GUSETS用户组的拒绝,这样IIS帐号就无法得到ServUDaemon.ini文件,二是用UD之类的十六进制工具修改SU.EXE文件,找到l@$ak#.lk;0@P这个,修改成强密码”这是谁设的密码,什么版本都一样,我晕”,如果不设置LocalSetupPassword的话,默认的空密码就是程序中的l@$ak#.lk;0@P,三是阻止43958端口的访问,方法还有好多,要结合整个系  统来设定]-(测试机端口改为40623,并且在BlackIce中做了端口阻止)
  3.MSSQL/MYSQL数据库
    MSSQL数据库
    操作特例:
    <1>如何利用远程来导入备份的数据库(恢复数据库):
       环境：
       A 为需要恢复的SQL数据库 DATA
       B 为预备要恢复到A的SQL数据库 DATA
       1.首先在B中将 DATA 生成 SQL脚本
       利用查询分析器远程以A 中SQL数据库DATA的所有者登陆
       打开B机中DATA生成的SQL脚本,保存,点击”对号”
       2.在B中利用导出功能,按照提示默认将数据库导入到A中即可.
    安全:
    删除有安全隐患的扩展:
    exec sp_dropextendedproc ‘xp_cmdshell’   [删除此项扩展后,将无法远程连接数据库]
    exec sp_dropextendedproc ‘xp_dirtree’    [删除此项扩展后,将无法新建或附加数据库]
    exec sp_dropextendedproc ‘xp_enumgroups’
    exec sp_dropextendedproc ‘xp_fixeddrives’ [删除此项扩展后,将无法还原数据库]
    exec sp_dropextendedproc ‘xp_loginconfig’
    exec sp_dropextendedproc ‘xp_regaddmultistring’
    exec sp_dropextendedproc ‘xp_regdeletekey’
    exec sp_dropextendedproc ‘xp_regdeletevalue’
    exec sp_dropextendedproc ‘xp_regread’ [删除此项扩展后, 还原数据库辅助]
    exec sp_dropextendedproc ‘xp_regremovemultistring’
    exec sp_dropextendedproc ‘xp_regwrite’
    exec sp_dropextendedproc ‘xp_enumerrorlogs’
    exec sp_dropextendedproc ‘xp_getfiledetails’
    exec sp_dropextendedproc ‘xp_regenumvalues’
    恢复扩展
    exec sp_addextendedproc ‘xp_cmdshell’, ‘xplog70.dll’
    exec sp_addextendedproc ‘xp_dirtree’, ‘xpstar.dll’
    exec sp_addextendedproc ‘xp_enumgroups’, ‘xplog70.dll’
    exec sp_addextendedproc ‘xp_fixeddrives’, ‘xpstar.dll’
    exec sp_addextendedproc ‘xp_loginconfig’, ‘xplog70.dll’
    exec sp_addextendedproc ‘xp_regaddmultistring’, ‘xpstar.dll’
    exec sp_addextendedproc ‘xp_regdeletekey’, ‘xpstar.dll’
    exec sp_addextendedproc ‘xp_regdeletevalue’, ‘xpstar.dll’
    exec sp_addextendedproc ‘xp_regread’, ‘xpstar.dll’
    exec sp_addextendedproc ‘xp_regremovemultistring’, ‘xpstar.dll’
    exec sp_addextendedproc ‘xp_regwrite’, ‘xpstar.dll’
    exec sp_addextendedproc ‘xp_enumerrorlogs’, ‘xpstar.dll’
    exec sp_addextendedproc ‘xp_getfiledetails’, ‘xpstar.dll’
    exec sp_addextendedproc ‘xp_regenumvalues’, ‘xpstar.dll’

 mysql数据库
  为其建立独立服务帐户,属于GUESTS组,服务中进行设置;在其安装目录添加此用户,并设置[修改]读取和运行][列出文件夹目录][读取][写入],去掉高级中”允许父项的….”对钩,选择”用在此显示的…”对钩,应用.启动MYSQL,此时便以此帐户运行.

三.系统权限设置
  1.系统分区 (以下所有针对目录权限操作后,都是去掉高级中”允许父项的….”对钩,选择”用在此显示的…”对钩,应用.)
    支持环境:asp;asp.net;php
    / (根权限)  
    administrators  应用到:该文件夹,子文件夹及文件
                    权限:完全控制;
    CREATOR OWNER 应用到:只有子文件夹及文件
                  权限:完全控制 (此操作在”高级”中设置)
    SYSTEM 应用到:该文件夹,子文件夹及文件
           权限:完全控制
    设置: 用在此显示的可以应用到子对象的项目替代所有子对象的权限项目
    /Program Files\Common Files
    添加
    everyone 读取和运行
             列出文件夹目录
             读取
    /windows
    添加
    Users 读取和运行
          列出文件夹目录
          读取
    /windows/temp
    去掉users 遍历文件夹/运行文件
              创建文件/写入数据
              创建文件夹/附加数据
     [然后进入高级将“遍历文件夹/运行文件”去掉”]
    /windows/Microsoft.NET [如果你要运行aspx网站]
    给users组加 遍历文件夹/运行文件
                创建文件/写入数据
                创建文件夹/附加数据
    /php [假如在C:\下有此目录”支持PHP”]安装PHP时注意要将DLL文件全部COPY到SYSTEM32下.
    添加
    IIS匿名用户所属组 读取和运行
                     列出文件夹目录
                     读取
    设置终端帐户    
    例如,
    1.C:\Documents and Settings 目录权限为:
                              administrator 权限为： 完全控制
                               systen 权限为：完全控制
                               Remote Desktop Users 权限为: 高级->
                                                    应用于：只有该文件夹
                                                    权限：列出文件夹/读取数据
                                                          读取属性
                                                          读取扩展属性
                                                          读取权限
    选择 用在此显示。。。。。  应用
   2.设置完1后，开始 利用建立的 合租帐户登陆。会在 C:\Documents and Settings 下自动生成 用户目录
     这是我们查看权限 其中包括  administrators组 system组 合租帐户
   3.细化 合租用户 目录权限
       adminisrators组 权限： 完全控制
       删除sysrem组
       合租用户 权限: 高级->
                     应用于：只有该文件夹                                                  
                     权限：列出文件夹/读取数据
                           读取属性
                           读取扩展属性
                           读取权限
    选择 用在此显示。。。。。  应用
   4.进入 合租用户 目录中 ,  给 桌面 添加 合租用户 权限 为 应用于：该文件夹,子文件夹及文件
                                                    权限：列出文件夹/读取数据
                                                          读取属性
                                                          读取扩展属性
                                                          读取权限
  

   用户文件目录权限及上层权限设置：[假设e为用户文件目录]
   例如：E:\wwwroot\合租用户文件 这里给 E:\ 管理员用户 应用到:该文件夹，子文件夹及文件
                                             权限:完全控制
                      Remote Desktop Users 应用到:该文件夹，子文件夹及文件
                                             权限：列出文件夹/读取数据
                                                  读取属性
                                                  读取扩展属性
                                                  读取权限
   作用:可以让终端用户删除建立自己的文件,根权限作用.
        E:\wwwroot\合租用户文件 这里给 管理员用户 应用到:该文件夹，子文件夹及文件
                                             权限:完全控制
                                合租用户文件 ：应用到:该文件夹，子文件夹及文件
                                        列出文件夹/读取数据
                                        读取属性
                                       读取扩展属性
                                       读取权限
    说明:这里将终端组权限去掉了，其他user-?目录都去掉,防止彼此间互相访问
        E:\wwwroot\合租用户文件\www 这里给 管理员用户 应用到:该文件夹，子文件夹及文件
                                             权限:完全控制
                                iis-user-1 应用到:该文件夹，子文件夹及文件
                                             权限:给予除去”完全控制””遍历文件夹/运行文件””删除子文件夹及文件””取得所有权”的所有权限
                                    合租用户 应用到:只有子文件夹及文件
                                            权限:给予除去”完全控制””遍历文件夹/运行文件””取得所有权”的所有权限
                                    合租用户 应用到:只有该文件夹
                                            权限:给予除去”完全控制””遍历文件夹/运行文件””删除子文件夹及文件””删除””更改权限””取得所有权”的所有权限
                                   ASP.NET 应用到：该文件夹，子文件夹及文件
                                             权限:给予除去”遍历文件夹/运行文件””删除子文件夹及文件””取得所有权”的所有权限
                                   IIS_WPG 同上
   2.其他分区
    都以administrators 设置: 用在此显示的可以应用到子对象的项目替代所有子对象的权限项目 设置 / 目录
    网站所在目录赋予来宾帐号权限
   3.特别工具权限设置(设置完以上权限后,此脚本必须运行,安全性会更有提高)
     写一个批处理文件如下
     Cacls.exe %SystemRoot%\System32\cmd.exe  /e /R system users
     Cacls.exe %SystemRoot%\System32\net.exe  /e /R system users
     Cacls.exe %SystemRoot%\System32\net1.exe  /e /R system users
     Cacls.exe %SystemRoot%\System32\tftp.exe  /e /R system users
     Cacls.exe %SystemRoot%\System32\at.exe  /e /R system users
     Cacls.exe %SystemRoot%\System32\telnet.exe  /e /R system users
     cacls.exe %SystemRoot%\System32\shell32.dll /e /R users
     cacls.exe %SystemRoot%\System32\netstat.exe /e /R system users
     cacls.exe %SystemRoot%\System32\nbtstat.exe /e /R system users
     cacls.exe %SystemRoot%\System32\reged32t.exe /e /R system users
     cacls.exe %SystemRoot%\regedit.exe /e /R system users
     cacls.exe %SystemRoot%\System32\attrib.exe /e /R system users
 cacls.exe %SystemRoot%\System32\ftp.exe /e /R system users
 cacls.exe %SystemRoot%\System32\cscript.exe /e /R system users
 cacls.exe %SystemRoot%\System32\ddeshare.exe /e /R system users
 cacls.exe %SystemRoot%\System32\debug.exe /e /R users
 cacls.exe %SystemRoot%\System32\ddeshare.exe /e /R users
 cacls.exe %SystemRoot%\System32\hostname.exe /e /R system users
 cacls.exe %SystemRoot%\System32\msppcnfg.exe /e /R system users
 cacls.exe %SystemRoot%\System32\mstsc.exe /e /R system users
 cacls.exe %SystemRoot%\System32\netsh.exe /e /R system users
 cacls.exe %SystemRoot%\System32\nslookup.exe /e /R system users
 cacls.exe %SystemRoot%\System32\regedt32.exe /e /R system users
 cacls.exe %SystemRoot%\System32\regsvr32.exe /e /R system users
 cacls.exe %SystemRoot%\System32\sc.exe /e /R users
 cacls.exe %SystemRoot%\System32\shadow.exe /e /R users
 cacls.exe %SystemRoot%\System32\share.exe /e /R system users
     cacls.exe %SystemRoot%\System32\cacls.exe /e /R system users

 

 
     (这里有users的原因是因为/windows有此组权限,如果不去掉的话,终端用户依然可以进入cmd)
     让终端用户登陆后,看吧,很好的效果哦,呵呵

四.系统组件调试
  利用阿讲最新探针,测试环境.常用组件:
  FSO组件:
  安装与删除方法:
  windows98系统
  在DOS命令行状态输入以下命令：
  关闭命令：RegSvr32 /u C:\WINDOWS\SYSTEM\scrrun.dll
  打开命令：RegSvr32 C:\WINDOWS\SYSTEM\scrrun.dll
  win2000系统：
  在CMD命令行状态输入以下命令：
  关闭命令：RegSvr32 /u C:\WINNT\SYSTEM32\scrrun.dll
  打开命令：RegSvr32 C:\WINNT\SYSTEM32\scrrun.dll 
  win2003：
  运行regsvr32 scrrun.dll即可。
  如果想关闭FSO组件，请运行 regsvr32 /u scrrun.dll即可。
  Aspjpeg1.5组件:
  说明:支持 JPEG, GIF, BMP, TIFF , PNG 格式. 输出格式为 JPEG.
       输入来源可以是磁盘，内存或者记录集(recordset).
       图片可以输出到磁盘，内存或者http流.
       支持三种更改大小方式: nearest-neighbor, bilinear, and bicubic.
       可以在图片之上添加图片或者文字.
       支持图中图.
       支持复制，反转，旋转，锐化，灰度调节.
       可以调节压缩比率，以得到最佳输出效果和大小.
       从jpeg图片中抽取EXIF 和 IPTC数据.
安装与删除方法:
 1.有EXE安装程序,直接安装即可.
 2.通过DLL安装方法:(转载)
   如果以前装过其他版本的aspjpeg，需要先停止iis(net stop iisadmin /y)，卸载原来的组件(regsvr32 /u c:/windows/system32/aspjpeg.dll)，然后重起iis   (net start w3svc)
从aspjpeg1.4的安装目录复制aspjpeg.dll到系统文件加的system32目录
运行regsvr32 c:/windows/system32/aspjpeg.dll （根据你的系统改你的目录）
aspjpeg的文档中说需要官方提供的序列号才能正常使用，如果安装过程中有输入序列号
在asp中运行下面的命令更改序列号（如果没有输入过，需要在注册表中添加如下项：HKEY_LOCAL_MACHINE\Software\Persits Software\AspJpeg\RegKey）
程序代码： [ 复制代码 ] [ 运行代码 ]　
Set Jpeg = Server.CreateObject(“Persits.Jpeg”)
Jpeg.RegKey = “你的序列号”
可以用下面的方式查看是否注册成功：
程序代码： [ 复制代码 ] [ 运行代码 ]　
Set Jpeg = Server.CreateObject(“Persits.Jpeg”)
Response.Write Jpeg.Expires
我没有注册，运行了这则代码，得到的结果是2005-1-19 19:15:49。意思好像是可以使用到1月19日。
如果注册成功得到的应该是9/9/9999。我用48958-77556-02411注册以后得到了9999-9-9这个结果:)操作系统时间显示方式有所不同。
以下是aspjpeg1.4的安装文件，dll文件和序列号
直接安装只要在aspjpeg1.4.exe安装过程中输入序列号即可，但是可能会出现ntfs目录访问权限的问题，需要手动设置安装目录对Everyone有访问权限。(olylinux:我这里是最底users组权限,正常)
  ADODB.Stream组件
  说明:无组件上传
  安装与删除方法:
  regsvr32 “C:\Program Files\Common Files\System\ado\msado15.dll”
  regsvr32 /u “C:\Program Files\Common Files\System\ado\msado15.dll”
  JMail.SmtpMail组件
  说明:Dimac JMail 邮件收发
  安装方法:利用阿江探针->组件 就有其相关信息,下载安装即可.
  CDONTS组件
  说明:感觉是辅助JMAIL的,具体我也不清楚
  安装删除方法:
  2003也能用的，只不过，得找个cdonts.dll（组件文件，可以复制2000里的）
  将该文件拷贝至 C:\WINDOWS\system32 下;开始 -> 运行 -> Regsvr32 cdonts.dll; 确认
  删除 Regsvr32 /u cdonts.dll

杀毒软件问题
MACFEE 杀毒软件造成IIS站点‘请求的资源在使用中’运行regsvr32 jscript.dll和 regsvr32 vbscript.dll重新注册JAVA脚本和VB脚本的动态链接库后一切正常

 

以下为urlscan配置

[options]

UseAllowVerbs=1                ; If 1, use [AllowVerbs] section, else use the
                               ; [DenyVerbs] section.

UseAllowExtensions=0           ; If 1, use [AllowExtensions] section, else use
                               ; the [DenyExtensions] section.

NormalizeUrlBeforeScan=1       ; If 1, canonicalize URL before processing.

VerifyNormalization=1          ; If 1, canonicalize URL twice and reject request
                               ; if a change occurs.

AllowHighBitCharacters=0       ; If 1, allow high bit (ie. UTF8 or MBCS)
                               ; characters in URL.

AllowDotInPath=0               ; If 1, allow dots that are not file extensions.

RemoveServerHeader=0           ; If 1, remove the ‘Server’ header from response.

EnableLogging=1                ; If 1, log UrlScan activity.

PerProcessLogging=1            ; If 1, the UrlScan.log filename will contain a PID
                               ; (ie. UrlScan.123.log).

AllowLateScanning=0            ; If 1, then UrlScan will load as a low priority
                               ; filter.

PerDayLogging=1                ; If 1, UrlScan will produce a new log each day with
                               ; activity in the form ‘UrlScan.010101.log’. [这里已经改为1，返回IIS默认错误页]

UseFastPathReject=1            ; If 1, then UrlScan will not use the
                               ; RejectResponseUrl or allow IIS to log the request.

LogLongUrls=0                  ; If 1, then up to 128K per request can be logged.
                               ; If 0, then only 1k is allowed.

;
; If UseFastPathReject is 0, then UrlScan will send
; rejected requests to the URL specified by RejectResponseUrl.
; If not specified, ‘/<Rejected-by-UrlScan>’ will be used.
;

RejectResponseUrl=

;
; LoggingDirectory can be used to specify the directory where the
; log file will be created.  This value should be the absolute path
; (ie. c:\some\path).  If not specified, then UrlScan will create
; the log in the same directory where the UrlScan.dll file is located.
;

LoggingDirectory=C:\WINDOWS\system32\inetsrv\urlscan\logs

;
; If RemoveServerHeader is 0, then AlternateServerName can be
; used to specify a replacement for IIS’s built in ‘Server’ header
;

AlternateServerName=

[RequestLimits]

;
; The entries in this section impose limits on the length
; of allowed parts of requests reaching the server.
;
; It is possible to impose a limit on the length of the
; value of a specific request header by prepending “Max-” to the
; name of the header.  For example, the following entry would
; impose a limit of 100 bytes to the value of the
; ‘Content-Type’ header:
;
;   Max-Content-Type=100
;
; To list a header and not specify a maximum value, use 0
; (ie. ‘Max-User-Agent=0’).  Also, any headers not listed
; in this section will not be checked for length limits.
;
; There are 3 special case limits:
;
;   – MaxAllowedContentLength specifies the maximum allowed
;     numeric value of the Content-Length request header.  For
;     example, setting this to 1000 would cause any request
;     with a content length that exceeds 1000 to be rejected.
;     The default is 30000000.
;
;   – MaxUrl specifies the maximum length of the request URL,
;     not including the query string. The default is 260 (which
;     is equivalent to MAX_PATH).
;
;   – MaxQueryString specifies the maximum length of the query
;     string.  The default is 2048.
;

MaxAllowedContentLength=30000000
MaxUrl=260
MaxQueryString=2048

[AllowVerbs]

;以下为网站中表单或注册功能的提交方式（允许的）如果有其他提交方式，可以在[DenyVerbs]下多余的提交方式前加分号，然后在补充到下面
; The verbs (aka HTTP methods) listed here are those commonly
; processed by a typical IIS server.
;
; Note that these entries are effective if “UseAllowVerbs=1”
; is set in the [Options] section above.
;

GET
HEAD
POST

[DenyVerbs]

;
; The verbs (aka HTTP methods) listed here are used for publishing
; content to an IIS server via WebDAV.
;
; Note that these entries are effective if “UseAllowVerbs=0”
; is set in the [Options] section above.
;

PROPFIND
PROPPATCH
MKCOL
DELETE
PUT
COPY
MOVE
LOCK
UNLOCK
OPTIONS
SEARCH

[DenyHeaders]

;
; The following request headers alter processing of a
; request by causing the server to process the request
; as if it were intended to be a WebDAV request, instead
; of a request to retrieve a resource.
;

Translate:
If:
Lock-Token:
Transfer-Encoding:

[AllowExtensions]
;此下为允许的扩展名，但必须建立在[DenyExtensions]中扩展名加“；”的前提下，即忽略的前提下]
; Extensions listed here are commonly used on a typical IIS server.
;
; Note that these entries are effective if “UseAllowExtensions=1”
; is set in the [Options] section above.
;

.htm
.html
.txt
.jpg
.jpeg
.gif
.asp
.php
.aspx

[DenyExtensions]
;此下全部为不允许的扩展名
; Extensions listed here either run code directly on the server,
; are processed as scripts, or are static files that are
; generally not intended to be served out.
;
; Note that these entries are effective if “UseAllowExtensions=0”
; is set in the [Options] section above.
;
; Also note that ASP scripts are denied with the below
; settings.  If you wish to enable ASP, remove the
; following extensions from this list:
;    .asp
;    .cer
;    .cdx
;    .asa
;

; Deny ASP requests [这里是不允许访问的扩展名，可以加“；”号去掉，然后[AllowExtensions]下添加允许]
;.asp
.cer
.cdx
;.asa

; Deny executables that could run on the server
.exe
.bat
.cmd
.com

; Deny infrequently used scripts
.htw     ; Maps to webhits.dll, part of Index Server
.ida     ; Maps to idq.dll, part of Index Server
.idq     ; Maps to idq.dll, part of Index Server
.htr     ; Maps to ism.dll, a legacy administrative tool
.idc     ; Maps to httpodbc.dll, a legacy database access tool
.shtm    ; Maps to ssinc.dll, for Server Side Includes
.shtml   ; Maps to ssinc.dll, for Server Side Includes
.stm     ; Maps to ssinc.dll, for Server Side Includes
.printer ; Maps to msw3prt.dll, for Internet Printing Services
.cer
.cdx
.mdb

; Deny various static files
.ini     ; Configuration files
.log     ; Log files
.pol     ; Policy files
.dat     ; Configuration files

[DenyUrlSequences]
..  ; Don’t allow directory traversals
./  ; Don’t allow trailing dot on a directory name
\   ; Don’t allow backslashes in URL
:   ; Don’t allow alternate stream access
%   ; Don’t allow escaping after normalization
&   ; Don’t allow multiple CGI processes to run on a single request