菜鸟完整配置服务器流程及权限设置

 时间:2010-11-28 07:46:31 贡献者:zzcyxp

导读:倘资料库小编为大家带来关于菜鸟完整配置服务器流程及权限设置,菜鸟裹裹上门取件流程,菜鸟裹裹寄件流程,怎么建立单位网站,如何连接到内部服务器上,本人菜鸟的内容希望大家喜欢。

怎么建立单位网站,如何连接到内部服务器上,本人菜鸟
怎么建立单位网站,如何连接到内部服务器上,本人菜鸟

菜鸟完整配置服务器 流程及权限 权限设置 菜鸟完整配置服务器 流程及权限设置来源:原创+引用 作者:我为人民服务 时间:2007-06-25 12:06 字体:[大 中 小] 收藏 我要投稿 本人是一菜鸟,虽然刚刚接触网络,但是有点痴迷。

最近因为网络环境允许 自己搞台服务器 服务器,就选了 WIN2003 搭建服务器 服务器。

服务器 服务器 原以为网上教程还有落伍者的教程多的是,以为简单的很!哎,谁知道教程 虽多,不是缺这个就是缺那个,有几个貌似很详细的(确实很详细),竟然就漏 拉那么一点点 (比如 PHP 的一个文件) 到头来还是配置的出错, , 不知道是作者。

还是其他原因,反正我在这上边耽误了很长时间,对咱们菜鸟们的成长造成了很 坏的影响,呵呵,咱们可是未来胡联网的太阳呀!(有点远,不好意思)结果到 今天整整 7 天了,才搞出点眉目,也许小弟过于愚笨,大家表笑话偶。

再就是本人写的虽然都是个人的肺腑之言,肯定也会引用一些高手的东东, 请不要固执的以为有转贴或者是抄袭,因为已经有了的好东西咱们就得利用,咱 们的目的是更完善,也希望斑竹给小的落个伍,小的敢有胆量发出来还不嘉奖下? 不胜感激。

言归正传:本人以为,服务器 服务器的配置主要分两大块:1:底层环境的配置安 服务器 装;2:组件安全、硬盘权限 权限的分配、服务的处理等安全问题处理。

权限 一、先来底层环境的安装吧: 注意事项: 1、大家一定注意下 php 配置的时候一定要将 php4ts.dll 文件复制到 windows 文件夹内,否则会出现 seaver ..的故障(本人耽误了好长时间,真郁闷)下面 教程内没写这点,估计是漏了 对了,底层环境安装,小勤哥哥刚教的我,我就不再码字了咱们直接看他说的吧 (非常全面,但大家要注意我上边提到的注意事项啊,找到的唯一缺点,叫咱们 菜鸟不转都没理由): http://www.im286.com/viewthread.php?tid=878768&extra=page%3D2 引用一 下(先谢谢小勤哥哥) 二、是安全设置 设置,这是最重要的: 设置 先分一下(1)、组件和服务安全(2)、硬盘权限 权限(3)、IIS 权限 权限(4)、PHP、 权限 MYSQL、ZEND 的安全和权限 ASP 的防马 权限 (一)、组件和服务安全:本地安全策略设置 设置 开始菜单—>管理工具—>本地安全策略 A、本地策略——>审核策略 审核策略更改 成功 失败 审核登录事件 成功 失败 审核对象访问 失败 审核过程跟踪 无审核 审核目录服务访问 失败 审核特权使用 失败 审核系统事件 成功 失败

审核账户登录事件 审核账户管理成功 成功失败 失败B、本地策略——>用户权限 权限分配 权限 关闭系统:只有 Administrators 组、其它全部删除。

通过终端服务允许登陆:只加入 Administrators,Remote Desktop Users 组,其他全部删除 C、本地策略——>安全选项 交互式登陆:不显示上次的用户名 启用 网络访问:不允许 SAM 帐户和共享的匿名枚举 启用 网络访问:不允许为网络身份验证储存凭证 启用 网络访问:可匿名访问的共享 全部删除 网络访问:可匿名访问的命 全部删除 网络访问:可远程访问的注册表路径 全部删除 网络访问:可远程访问的注册表路径和子路径 全部删除 帐户:重命名来宾帐户 重命名一个帐户 (可以 停掉他) 帐户:重命名系统管理员帐户 重命名一个帐户 (再建 一个假的,无权限 权限的,搞个超级密码,嘿嘿) 权限 D、禁用不必要的服务 开始-运行-services.msc TCP/IPNetBIOS Helper 提供 TCP/IP 服务上的 NetBIOS 和网络上客户端的 NetBIOS 名称解析的支持而使用户能够共享 文件、打印和登录到网络 Server 支持此计算机通过网络的文件、打印、和命名管道共享 Computer Browser 维护网络上计算机的最新列表以及提供这个列表 Task scheduler 允许程序在指定时间运行 Messenger 传输客户端和服务器 服务器之间的 NET SEND 和 警报器服务消息 服务器 Distributed File System: 局域网管理共享文件,不需要可禁用(我是不 需要啊,呵呵禁了) Distributed linktracking client:用于局域网更新连接信息,不需要可 禁用 (我是不需要啊,呵呵禁了) Error reporting service:禁止发送错误报告 Microsoft Serch:提供快速的单词搜索,不需要可禁用 (我是不需要啊, 呵呵禁了) NTLMSecuritysupportprovide:telnet 服务和 Microsoft Serch 用的,不 需要可禁用 (我是不需要啊,呵呵禁了) PrintSpooler:如果没有打印机可禁用 Remote Registry:禁止远程修改注册表 Remote Desktop Help Session Manager:禁止远程协助 Workstation 关闭的话远程 NET 命令列不出用户组 以上是在 Windows Server 2003 系统上面默认启动的服务中禁用的,默认 禁用的服务如没特别需要的话不要启动。

E:组件安全

卸载不安全阻件 ,要不万一中了马儿,就。

在 cmd 窗口运行以下命令:regsvr32/u d:\WINNT\System32\wshom.ocxren d:\WINNT\System32\wshom.ocxfu.ocxregsvr32/u d:\WINNT\system32\shell32.dllren d:\WINNT\system32\shell32.dll fu.dll即可将 WScript.Shell, Shell.application, WScript.Network 组件卸载,可有 效防止 asp 木马通过 wscript 或 shell.application 执行命令以及使用木马查看 一些系统敏感信息。

F、其他 1、Serv-u 安全问题:Serv-U 安全配置 A、首先请保持合用 Serv-U 的最新版本。

然后在安装 Serv-U 的时候尽量不要选 择默认的安装目录,比如俺将 Serv-U 安装在 D:\Pro_LeeBolin^_^\Serv-U#$2008$\...(因为这样复杂的目录名可防止 Hacker 的猜解) B、 然后将 Serv-U 取消 MDTM 命令的执行, 修改 Serv-U FTP Banner 并开启好 Serv-U 的 FTP 日志保存到非系统盘, 日志选择记录好 Serv-U 命名用了那些命令与 DLL, 并为 Serv-U 设置 设置一个强壮的本地管理密码(因提权多是因为 Serv-U 的默认管理 员:LocalAdministrator,默认密码:#l@$ak#.lk;0@P 所造成的,呵呵 $_$), 你还可以选择将 Serv-U 的 FTP 账户信息保存到注册表, 不要存在 Serv-U 目录下 的 ini 文中,这样更加安全。

C、我们再开启"计算机管理"新建一个用户 Serv-UAdmin,设置 设置好密码。

将用户退 设置 出 Users 组,不加入任何组。

并在用户的“终端服务配置文件”选项里取消“允 许登录到终端服务器 并且禁止 Serv-UAdmin 用户的本地登陆。

服务器。

进入控制面板 -> 服务器 管理工具 -> 本地安全策略 -> 本地策略 -> 用户权利指派 -> 拒绝本地登陆。

(备注:这个用户我们将它来作为俺们 Serv-U 的服务运行账号,嘿嘿)

D、开始运行"Services.msc"打开 win 的服务管理器,找开 Serv-U Ftp Server 的 Serv-U 服务;打开“登陆”对话框。

当前默认的为“本地系统帐户”。

我们将 其修改为我们在 3 中新建的 Serv-UAdmin 用户,并输入密码。

E、下面的工作就是设置 Serv-U 的运行与 FTP 目录的 ACLs 权限 设置 权限了: ①C:\Documents and Settings\Serv-UAdmin 目录加入 Serv-UAdmin 的权限 权限,允 权限 许读取与写入.. ②D:\Pro_LeeBolin^_^\Serv-U#$2008$\ Serv-U 的安装目录加入 Serv-UAdmin 的权限 权限,允许读取与运行。

(如果选择了账户保存在 ini 文件的话,这里就需要 权限 增加修改与删除权限 权限,因增删 FTP 账户时需要删改权才成,否则不能增删 FTP 权限 账户哟^_^) ③如果 Serv-U 账户选择存在注册表的话。

运行 regedt32.exe,打开注册表编辑 器。

找到[HKEY_LOCAL_MACHINE\ SOFTWARE\Cat Soft]分支。

在上面点右键,选 择权限 权限,然后点高级,取消允许父项的继承权限 权限传播到该对象和所有子对象,删 权限 权限 除除 admins 外的所有的账号。

仅添加 Serv-UAdmin 账号到该子键的权限 权限列表, 权限 并给予完全控制权限 (如果选择了账户信息保存在 ini 文件中的话可略过此步。

权限。

) 权限 ④现在就来设置 WEB 目录的 ACLs 了,比如我的虚拟主机总目录为 设置 E:\Leebolin$(%\wwwroot;那么我们将此 WEB 目录加入 Serv-UAdmin 账号的权限 权限 即可,这样 FTP 就可以访问我们的 WEB 目录进行上传下载了,呵.(由于 Serv-U 并没有以 system 运行, 所以这里只存留 admins 与 serv-uadmin 的权限 OK 了。

权限就 ) 权限 ⑥如果是 asp/php/html 脚本的话,WEB 目录只需要 admins & serv-uadmin & IUSR_XX 即可(这里的 IUSR_XX 是指站点的匿名单用户账号... F、 到目前为止, 我们的 Serv-U 已经简单的做到了防提权, 防溢出了。

为什么呢? 因为能常远程溢出 overflow 的话, 都是通过得一 shell 而进行进一步的 hacking, 而我们现在的 Serv-U 不是以 system 运行,所以即使执行了 overflow 指命,也 并不能得到什么...防提权就不用我解释了:因为我们的 Serv-Uadmin 没有任何 系统级的 ACLs 访问权限 权限.. 权限G、修改 3389 远程连接端口 修改注册表. 开始--运行--regedit 依次展开 HKEY_LOCAL_MACHINE/SYSTEM/CURRENTCONTROLSET/CONTROL/ TERMINAL SERVER/WDS/RDPWD/TDS/TCP 右边键值中 PortNumber 改为你想用的端口号.注意使用十进制(例 10000 ) HKEY_LOCAL_MACHINE/SYSTEM/CURRENTCONTROLSET/CONTROL/TERMINAL SERVER/ WINSTATIONS/RDP-TCP/ 右边键值中 PortNumber 改为你想用的端口号.注意使用十进制(例 10000 )

注意:别忘了在 WINDOWS2003 自带的防火墙给+上修改后端口号 修改完毕.重新启动服务器 设置 服务器.设置 服务器 设置生效. 2、禁止 C$、D$一类的缺省共享 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\par ameters AutoShareServer、REG_DWORD、0x0 3、禁止 ADMIN$缺省共享 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\par ameters AutoShareWks、REG_DWORD、0x0 4、限制 IPC$缺省共享 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa restrictanonymous REG_DWORD 0 缺省 1 匿名用户无法列举本机用户列表 2 匿名用户无法连接本机 IPC$共享 说明:不建议使用 2,否则可能会造成你的一些服务无法启动,如 SQL Server 5、在 Terminal Service Configration(远程服务配置)-权限 权限-高级中配置安 权限 全审核,一般来说只要记录登录、注销事件就可以了。

6、解除 NetBios 与 TCP/IP 协议的绑定 控制面版——网络——绑定——NetBios 接口——禁用 2000:控制面版——网 络和拨号连接——本地网络——属性——TCP/IP——属性——高级 ——WINS——禁用 TCP/IP 上的 NETBIOS 7、在网络连接的协议里启用 TCP/IP 筛选,仅开放必要的端口(如 80) 8、通过更改注册表 Local_Machine\System\CurrentControlSet\Control\LSA-RestrictAnonymous = 1 来禁止 139 空连接 9、修改数据包的生存时间(TTL)值 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters DefaultTTL REG_DWORD 0-0xff(0-255 十进制,默认值 128) 10、防止 SYN 洪水攻击 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters SynAttackProtect REG_DWORD 0x2(默认值为 0x0) 11、禁止响应 ICMP 路由通告报文 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters

\Interfaces\interface PerformRouterDiscovery REG_DWORD 0x0(默认值为 0x2) 12、防止 ICMP 重定向报文的攻击 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters EnableICMPRedirects REG_DWORD 0x0(默认值为 0x1) 13、不支持 IGMP 协议 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters IGMPLevel REG_DWORD 0x0(默认值为 0x2) 14、设置 arp 缓存老化时间设置 设置 设置 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services:\Tcpip\Parameter s ArpCacheLife REG_DWORD 0-0xFFFFFFFF(秒数,默认值为 120 秒) ArpCacheMinReferencedLife REG_DWORD 0-0xFFFFFFFF(秒数,默认值为 600) 15、禁止死网关监测技术 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services:\Tcpip\Parameter s EnableDeadGWDetect REG_DWORD 0x0(默认值为 ox1) 16、不支持路由功能 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services:\Tcpip\Parameter s IPEnableRouter REG_DWORD 0x0(默认值为 0x0) (二)、硬盘权限 权限: 权限 权限说明:权限 权限是具有继承性、累加性、优先性、交叉性的。

权限 权限 继承性是说下级的目录在没有经过重新设置 设置之前, 是拥有上一级目录权限设 权限设 设置 权限 置的。

这里还有一种情况要说明一下,在分区内复制目录或文件的时候,复制过 去的目录和文件将拥有它现在所处位置的上一级目录权限设置 但在分区内移动 权限设置 权限设置。

目录或文件的时候,移动过去的目录和文件将拥有它原先的权限设置 权限设置 权限设置。

累加是说如一个组 GROUP1 中有两个用户 USER1、USER2,他们同时对某文件 或目录的访问权限 权限分别为“读取”和“写入”,那么组 GROUP1 对该文件或目录 权限 的访问权限 权限就为 USER1 和 USER2 的访问权限 权限之和,实际上是取其最大的那个,即 权限 权限 “读取”+“写入”=“写入”。

又如一个用户 USER1 同属于组 GROUP1 和 GROUP2, 而 GROUP1 对某一文件或目录的访问权限 权限为“只读”型的, GROUP2 对这一文件 而 权限 或文件夹的访问权限 权限为“完全控制”型的, 则用户 USER1 对该文件或文件夹的访 权限 问权限 权限为两个组权限 权限累加所得,即:“只读”+“完全控制”=“完全控制”。

权限 权限 优先性,权限 权限的这一特性又包含两种子特性,其一是文件的访问权限 权限优先目 权限 权限 录的权限 权限,也就是说文件权限 权限可以越过目录的权限 权限,不顾上一级文件夹的设置 设置。

权限 权限 权限 设置

另一特性就是“拒绝”权限 权限优先其它权限 也就是说“拒绝”权限 权限, 权限可以越过其它 权限 权限 权限 所有其它权限 权限,一旦选择了“拒绝”权限 权限,则其它权限 权限也就不能取任何作用,相 权限 权限 权限 当于没有设置 设置。

设置 交叉性是指当同一文件夹在为某一用户设置 设置了共享权限 权限的同时又为用户设 设置 权限 设 权限, 权限不一致时, 它的取舍原则是取两个权限 权限的 置了该文件夹的访问权限 且所设权限 权限 权限 权限 交集,也即最严格、最小的那种权限 权限。

如目录 A 为用户 USER1 设置 设置的共享权限 权限为 权限 权限 “只读”,同时目录 A 为用户 USER1 设置 设置的访问权限 权限为“完全控制”,那用户 权限 USER1 的最终访问权限 权限为“只读”。

权限 1、文件类型说明(注意文件的权限 权限优先级别比文件夹的权限 权限高): CGI 文件 权限 权限 (.exe、.dll、.cmd、.pl) 脚本文件 (.asp) 包含文件(.inc、.shtm、.shtml) 静态内容(.txt、.gif、.jpg、.htm、.html) 建议的 NTFS 权限 : Everyone(执行) Administrators(完全控制) System(完全控制) 2、 系统盘及所有磁盘只给 Administrators 组和 SYSTEM 的完全控制权限 权限 系统盘\Documents and Settings 目录只给 Administrators 组和 SYSTEM 的完 全控制权限 权限 系统盘\Documents and Settings\All Users 目录只给 Administrators 组和 SYSTEM 的完全控制权限 权限 系统盘\Windows\System32\cacls.exe、 cmd.exe、 net.exe、 net1.exe、 ftp.exe、 tftp.exe、 telnet.exe 、 netstat.exe、 regedit.exe、 at.exe、 attrib.exe、 format.com、del 文件只给 Administrators 组和 SYSTEM 的完全 控制权限 权限 另将\System32\cmd.exe、format.com、ftp.exe 转移到其他目录 或更名 Documents and Settings 下所有些目录都设置 设置只给 adinistrators 权限 权限。

(要 设置 一个一个目录查看,包括下面的所有子目录。

) 删除 c:\inetpub 目录 (三)、IIS 权限 权限: IIS 的配置是我们的重点, 现在大家跟着我一起来: 首先, C 盘那个什么 Inetpub 把 目 S 录彻底删掉,在 D 盘建一个 Inetpub(要是你不放心用默认目录名也可以改 一个名字, 但是自己要记得) IIS 管理器中将主目录指向 D:\Inetpub; 在 其次, 那个 IIS 安装时默认的什么 scripts 等虚拟目录一概删除, 如果你需要什么权限 权限 的目录可以自己慢慢建,需要什么权限 权限开什么。

(特别注意写权限 权限和执行程序的 权限 权限 权限,没有绝对的必要千万不要给)第三,应用程序配置:在 IIS 管理器中删除 权限 必须之外的任何无用映射, 必须指的是 ASP,ASA 和其他你确实需要用到的文件类 型,例如你用到 stml 等(使用 server side include),实际上 90%的主机有了 上面两个映射就够了, 其余的映射几乎每个都有一个凄惨的故事: htw, htr, idq, ida……想知道这些故事?去查以前的漏洞列表吧。

在 IIS 管理器中右击主机->

属性->WWW 服务 编辑->主目录配置->应用程序映射, 然后就开始一个个删吧 (里 面没有全选的,嘿嘿)。

接着在刚刚那个窗口的应用程序调试书签内将脚本错误 消息改为发送文本 (除非你想 ASP 出错的时候用户知道你的程序/网络/数据库结 构)错误文本写什么?随便你喜欢,自己看着办。

点击确定退出时别忘了让虚拟 站点继承你设定的属性。

安装新的 Service Pack 后,IIS 的应用程序映射应重 新设置 设置。

(说明:安装新的 Service Pack 后,某些应用程序映射又会出现,导 设置 致出现安全漏洞。

这是咱们较易忽视的一点。

) 要为每个独立的要保护的个体(比如一个网站或者一个虚拟目录)创建一个系统 用户,让这个站点在系统中具有惟一的可以设置权限 设置权限 设置权限的身份。

在 IIS 的 【站点属性或者虚拟目录属性→目录安全性→匿名访问和验证控制→编 辑→匿名访问→编辑】填写刚刚创建的那个用户名。

设置所有的分区禁止这个用户访问, (我的经验是建个组专门放这些帐户,其他 设置 的就不多说了) 而刚才这个站点的主目录对应的那个文件夹设置 设置允许这个用户访 设置 问(要去掉继承父权限 权限,并且要加上超管组和 SYSTEM 组)。

权限 删除默认建立的站点的虚拟目录,停止默认 web 站点,删除对应的文件目录 c:inetpub,配置所有站点的公共设置 设置 设置,设置 设置以 设置 设置好相关的连接数限制,带宽设置 设置 及性能设置 设置等其他设置 设置。

对于数据库,尽量采用 mdb 后缀,不需要更改为 asp, 设置 设置 可在 IIS 中设置 设置一个 mdb 的扩展映射,将这个映射使用一个无关的 dll 文件如 设置 C:WINNTsystem32inetsrvssinc.dll 来防止数据库被下载。

设置 IIS 的日志保存 设置 目录,调整日志记录信息。

为隐藏系统信息,防止 telnet 到 80 端口所泄露的系 统版本信息可修改 IIS 的 banner 信息. 对于用户站点所在的目录,在此说明一下,用户的 FTP 根目录下对应三个文 件佳,wwwroot,database,logfiles,分别存放站点文件,数据库备份和该站 点的日志。

如果一旦发生入侵事件可对该用户站点所在目录设置 设置具体的权限 权限,图 设置 权限 片所在的目录只给予列目录的权限 权限,程序所在目录如果不需要生成文件(如生成 权限 html 的程序)不给予写入权限 权限。

权限为了对付日益增多的 cgi 漏洞扫描器,还有一个小技巧可以参考,在 IIS 中将 HTTP404 Object Not Found 出错页面通过 URL 重定向到一个定制 HTM 文件,可 以让目前绝大多数 CGI 漏洞扫描器失灵。

其实原因很简单,大多数 CGI 扫描器在 编写时为了方便,都是通过查看返回页面的 HTTP 代码来判断漏洞是否存在的, 例如,著名的 IDQ 漏洞一般都是通过取 1.idq 来检验,如果返回 HTTP200,就认 为是有这个漏洞, 反之如果返回 HTTP404 就认为没有, 如果你通过 URL 将 HTTP404 出错信息重定向到 HTTP404.htm 文件, 那么所有的扫描无论存不存在漏洞都会返 回 HTTP200,90%的 CGI 扫描器会认为你什么漏洞都有,结果反而掩盖了你真正 的漏洞,让入侵者茫然无处下手,不过从个人角度来说,我还是认为扎扎实实做 好安全设置 设置比这样的小技巧重要的多。

设置 为了保险起见,你可以使用 IIS 的备份功能,将刚刚的设定全部备份下来,这样 就可以随时恢复 IIS 的安全配置。

还有,如果你怕 IIS 负荷过高导致服务器 服务器满负 服务器 荷死机,也可以在性能中打开 CPU 限制,例如将 IIS 的最大 CPU 使用率限制在 70%。

IIS Web 服务器 权限设置 服务器的权限设置有两个地方,一个是 NTFS 文件系统本身的权限设置 权限设置 权限设置 权限设置, 另一个是 IIS 下网站->站点->属性->主目录(或站点下目录->属性->目录)面 板上。

这两个地方是密切相关的。

IIS 下网站->站点->属性->主目录(或站点下目录->属性->目录)面板上有: 脚本资源访问 读取 写入 浏览 记录访问 索引资源 6 个选项。

6 个选项中, 这 “记录访问”和“索引资源”跟安全性关系不大, 一般都设置 但是如果前面四个权限 设置。

权限都没有设置 设置的话, 这两个权限 权限也没有必要设 设置 权限 设置 权限 设 置。

(又是废话呵呵) 另外在这 6 个选项下面的执行权限 权限下拉列表中还有: 权限 无 纯脚本 纯脚本和可执行程序 3 个选项。

IIS 面板中的“写入”权限 权限实际上是对 HTTP PUT 指令的处理,对于普通网站, 权限 一般情况下这个权限 权限是不打开的。

权限 IIS 面板中的“脚本资源访问”不是指可以执行脚本的权限 而是指可以访问 权限, 权限 源代码的权限 权限,如果同时又打开“写入”权限 权限的话,那么就非常危险了。

权限 权限 执行权限 权限中“纯脚本和可执行程序”权限 权限可以执行任意程序,包括 exe 可执 权限 权限 行程序,如果目录同时有“写入”权限 权限的话, 那么就很容易被人上传并执行木马 权限 程序了。

对于 ASP.NET 程序的目录,许多人喜欢在文件系统中设置 Web 共享,实际 设置成 设置 上这是没有必要的。

只需要在 IIS 中保证该目录为一个应用程序即可。

如果所 在目录在 IIS 中不是一个应用程序目录, 只需要在其属性->目录面板中应 用程序设置 设置部分点创建就可以了。

Web 共享会给其更多权限 权限,可能会造成不安全 设置 权限 因素。

经验总结:也就是说一般不要打开-主目录-(写入),(脚本资源访问) 这两项以 及不要选上(纯脚本和可执行程序),选(纯脚本)就可以了.需要 asp.net 的应用 程序的如果应用程序目录不止应用程序一个程序的可以在应用程序文件夹上(属 性)-目录-点创建就可以了.不要在文件夹上选 web 共享. 一般的一些 asp.php 等程序都有一个上传目录.比如论坛.他们继承了上面的属 性可以运行脚本的.我们应该将这些目录从新设置 设置一下属性.将(纯脚本)改成 设置 (无).

Internet 来宾帐号或 IIS_WPG 组帐号的权限 权限可读可写.那么 Access 所在目录 权限 (或者该文件)的“读取”、“写入”权限 权限都去掉就可以防止被人下载或篡改了 权限 你的网站下可能还有纯图片目录、纯 html 模版目录、纯客户端 js 文件目录或 者样式表目录等, 这些目录只需要设置 设置“读取”权限 权限即可, 执行权限 权限设成“无” 设置 权限 权限 即可。

其它权限 权限一概不需要设置 设置。

权限 设置 (四)、PHP、MYSQL、ZEND 的安全和权限 ASP 的防马 权限 1、PHP 的安全设置 设置: 设置默认安装的 php 需要有以下几个注意的问题:C:\winnt\php.ini 只给予 users 读权限 权限即可。

权限 2、MySQL 安全设置 设置: 设置如果服务器 服务器上启用 MySQL 数据库,MySQL 数据库需要注意的安全设置 设置为: 服务器 设置删除 mysql 中的所有默认用户,只保留本地 root 帐户,为 root 用户加上一个复 杂的密码。

赋予普通用户 updatedeletealertcreatedrop 权限 权限的时候,并限定到 特定的数据库,尤其要避免普通客户拥有对 mysql 数据库操作的权限 权限。

检查 权限 mysql.user 表,取消不必要用户的 shutdown_priv,reload_priv,process_priv 和 File_priv 权限 权限,这些权限 权限可能泄漏更多的服务器 服务器信 权限 服务器 息包括非 mysql 的其它信息出去。

可以为 mysql 设置 设置一个启动用户, 该用户只对 mysql 目录有权限 设置 权限。

设置 权限(此目录存放了 mysql 数 权限 设置安装目录的 data 数据库的权限 权限 据库的数据信息)。

对于 mysql 安装目录给 users 加上读取、 列目录和执行权限 权限。

权限 3、对于专用的 MSSQL 数据库服务器 服务器,按照上文所讲的设置 TCP/IP 筛选和 IP 策 服务器 设置 略,对外只开放 1433 和 5631 端口。

对于 MSSQL 首先需要为 sa 设置 设置一个强壮的 密码, 使用混合身份验证,加强数据库日志的记录,审核数据库登陆事件的”成功 和失败”.删除一些不需要的和危险的 OLE 自动存储过程(会造成企业管理器中 部分功能不能使用),这些过程包括如下:Sp_OACreate Sp_OADestroy Sp_OAGetErrorInfo Sp_OAGetPropertySp_OAMethod Sp_OASetProperty Sp_OAStop去掉不需要的注册表访问过程,包括有:

Xp_regaddmultistring Xp_regdeletekey Xp_regdeletevalueXp_regenumvalues Xp_regread Xp_regremovemultistringXp_regwrite去掉其他系统存储过程,如果认为还有威胁,当然要小心 Drop 这些过程,可以 在测试机器上测试,保证正常的系统能完成工作,这些过程包括:xp_cmdshell xp_dirtree xp_dropwebtask sp_addsrvrolememberxp_makewebtask xp_runwebtask xp_subdirs sp_addloginsp_addextendedproc在实例属性中选择 TCP/IP 协议的属性。

选择隐藏 SQL Server 实例可防止对 1434 端口的探测,可修改默认使用的 1433 端口。

除去数据库的 guest 账户把未 经认可的使用者据之在外。

例外情况是 master 和 tempdb 数据库,因为对他们 guest 帐户是必需的。

另外注意设置 设置好各个数据库用户的权限 权限,对于这些用户只 设置 权限 给予所在数据库的一些权限 权限。

在程序中不要用 sa 用户去连接任何数据库。

网络 权限 上有建议大家使用协议加密的,千万不要这么做,否则你只能重装 MSSQL 了。

4、ASP 防马 没有什么其他的办法,你允许人上传就得有马,关键是把硬盘权限 权限作好,SHELL 权限 组件卸掉,叫他们近来看吧,看够了就好了,哈哈最后说的 是杀毒 软件和 WIN2003 的防火墙要开(算了,地球人都知道),在此 提供一个 MCAFEE 8.5 企业版(能升级的,纯净的)供大家下载,自己服务器 服务器方 服务器 便,哈哈,电信的,软件是朋友给的,我不知道哪边能到这样的(自己 BAIDU 过,大多不能升级),只能自己提供下了地址: http://www.20-21.cn/down/mcafee.rar(MCAFEE 本人觉得还是很好用,但是规 则要搞好,可以 BAIDU 一下,这个很多的!

 
 

微信扫一扫 送福利