1、伺服器有哪些安全設置?
1)、系統安全基本設置
1.安裝說明:系統全部NTFS格式化,重新安裝系統(採用原版win2003),安裝殺毒軟體(Mcafee),並將殺毒軟體更新,安裝sp2補釘,安裝IIS(只安裝必須的組件),安裝SQL2000,安裝.net2.0,開啟防火牆。並將伺服器打上最新的補釘。
2)、關閉不需要的服務
Computer Browser:維護網路計算機更新,禁用
Distributed File System: 區域網管理共享文件,不需要禁用
Distributed linktracking client:用於區域網更新連接信息,不需要禁用
Error reporting service:禁止發送錯誤報告
Microsoft Serch:提供快速的單詞搜索,不需要可禁用
NTLMSecuritysupportprovide:telnet服務和Microsoft Serch用的,不需要禁用
PrintSpooler:如果沒有列印機可禁用
Remote Registry:禁止遠程修改注冊表
Remote Desktop Help Session Manager:禁止遠程協助 其他服務有待核查
3)、設置和管理賬戶
1、將Guest賬戶禁用並更改名稱和描述,然後輸入一個復雜的密碼
2、系統管理員賬戶最好少建,更改默認的管理員帳戶名(Administrator)和描述,密碼最好採用數字加大小寫字母加數字的上檔鍵組合,長度最好不少於10位
3、新建一個名為Administrator的陷阱帳號,為其設置最小的許可權,然後隨便輸入組合的最好不低於20位的密碼
4、計算機配置-Windows設置-安全設置-賬戶策略-賬戶鎖定策略,將賬戶設為「三次登陸無效 時間為30分鍾
5、在安全設置-本地策略-安全選項中將「不顯示上次的用戶名」設為啟用
6、 在安全設置-本地策略-用戶權利分配中將「從網路訪問此計算機」中只保留Internet來賓賬戶、啟動IIS進程賬戶,Aspnet賬戶
7、創建一個User賬戶,運行系統,如果要運行特權命令使用Runas命令。
4)、打開相應的審核策略
審核策略更改:成功
審核登錄事件:成功,失敗
審核對象訪問:失敗
審核對象追蹤:成功,失敗
審核目錄服務訪問:失敗
審核特權使用:失敗
審核系統事件:成功,失敗
審核賬戶登錄事件:成功,失敗
審核賬戶管理:成功,失敗
5)、 其它安全相關設置
1、禁止C$、D$、ADMIN$一類的預設共享
HKEY_LOCAL_,在右邊的 窗口中新建Dword值,名稱設為AutoShareServer值設為0
2、解除NetBios與TCP/IP協議的綁定
右擊網上鄰居-屬性-右擊本地連接-屬性-雙擊Internet協議-高級-Wins-禁用TCP/IP上的 NETBIOS
3、隱藏重要文件/目錄
可以修改注冊表實現完全隱藏: 「HKEY_LOCAL_-VersionExplorerAdvancedFol derHi-ddenSHOWALL」,滑鼠右擊「CheckedValue」,選擇修改,把數值由1改為0
4、防止SYN洪水攻擊
HKEY_LOCAL_ 新建DWORD 值,名為SynAttackProtect,值為2
5、 禁止響應ICMP路由通告報文
HKEY_LOCAL_Interfacesinterface 新建DWORD值,名為PerformRouterDiscovery 值為0
6. 防止ICMP重定向報文的攻擊
HKEY_LOCAL_ 將EnableICMPRedirects 值設為0
7、 不支持IGMP協議
HKEY_LOCAL_ 新建DWORD 值,名為IGMPLevel 值為0
8、禁用DCOM:運行中輸入 Dcomcnfg.exe。 回車, 單擊「控制台根節點」下的「組件服務」。 打開「計算機」子 文件夾。
對於本地計算機,請以右鍵單擊「我的電腦」,然後選擇「屬 性」。選擇「默認屬性」選項卡。清除「在這台計算機上啟用分布式 COM」復選框。
9、終端服務的默認埠為3389,可考慮修改為別的埠。
修改方法為: 伺服器端:打開注冊表,在「HKLM\SYSTEM\Current ControlSet\Control\Terminal Server\Win Stations」 處找到類似RDP-TCP的子鍵,修改PortNumber值。 客戶端:按正常步驟建一個客戶端連接,選中這個連接,在「文件」菜單中選擇導出,在指定位置會 生成一個後綴為.cns的文件。打開該文件,修改「Server Port」值為與伺服器端的PortNumber對應的 值。然後再導入該文件(方法:菜單→文件→導入),這樣客戶端就修改了埠。
6)、配置 IIS 服務
1、不使用默認的Web站點,如果使用也要將 將IIS目錄與系統磁碟分開。
2、刪除IIS默認創建的Inetpub目錄(在安裝系統的盤上)。
3、刪除系統盤下的虛擬目錄,如:_vti_bin、IISSamples、Scripts、IIShelp、IISAdmin、IIShelp、 MSADC。
4、刪除不必要的IIS擴展名映射。 右鍵單擊「默認Web站點→屬性→主目錄→配置」,打開應用程序窗口,去掉不必要的應用程序映 射。主要為.shtml, .shtm, .stm
5、更改IIS日誌的路徑 右鍵單擊「默認Web站點→屬性-網站-在啟用日誌記錄下點擊屬性
6、如果使用的是2000可以使用iislockdown來保護IIS,在2003運行的IE6.0的版本不需要。
7、使用UrlScan
UrlScan是一個ISAPI篩選器,它對傳入的HTTP數據包進行分析並可以拒絕任何可疑的通信量。 目前最新的版本是2.5,如果是2000Server需要先安裝1.0或2.0的版本。 如果沒有特殊的要求採用UrlScan默認配置就可以了。 但如果你在伺服器運行ASP.NET程序,並要進行調試你需打開要 %WINDIR%System32InetsrvURLscan,文件夾中的URLScan.ini 文件,然後在UserAllowVerbs節添 加debug謂詞,注意此節是區分大小寫的。 如果你的網頁是.asp網頁你需要在DenyExtensions刪除.asp相關的內容。 如果你的網頁使用了非ASCII代碼,你需要在Option節中將AllowHighBitCharacters的值設為1 在對URLScan.ini 文件做了更改後,你需要重啟IIS服務才能生效,快速方法運行中輸入iisreset 如果你在配置後出現什麼問題,你可以通過添加/刪除程序刪除UrlScan。
8、利用WIS (Web Injection Scanner)工具對整個網站進行SQL Injection 脆弱性掃描.
7)、配置Sql伺服器
1、System Administrators 角色最好不要超過兩個
3、不要使用Sa賬戶,為其配置一個超級復雜的密碼
4、刪除以下的擴展存儲過程格式為:
use master sp_dropextendedproc '擴展存儲過程名'
xp_cmdshell:是進入操作系統的最佳捷徑,刪除 訪問注冊表的存儲過程,
刪除
Xp_regaddmultistring Xp_regdeletekey Xp_regdeletevalue Xp_regenumvalues Xp_regread Xp_regwrite Xp_regremovemultistring
OLE自動存儲過程,不需要刪除
Sp_OACreate Sp_OADestroy Sp_OAGetErrorInfo Sp_OAGetProperty Sp_OAMethod Sp_OASetProperty Sp_OAStop
5、隱藏 SQL Server、更改默認的1433埠
右擊實例選屬性-常規-網路配置中選擇TCP/IP協議的屬性,選擇隱藏 SQL Server 實例,並改原默 認的1433埠。
8)、修改系統日誌保存地址 默認位置為 應用程序日誌、安全日誌、系統日誌、DNS日誌默認位置:%systemroot%\system32\config,默認 文件大小512KB,管理員都會改變這個默認大小。
安全日誌文件:%systemroot%\system32\config\SecEvent.EVT 系統日誌文件:%systemroot%\system32\config\SysEvent.EVT 應用程序日誌文件:%systemroot%\system32\config\AppEvent.EVT Internet信息服務FTP日誌默認位置:%systemroot%\system32\logfiles\msftpsvc1\,默認每天一個日 志 Internet信息服務WWW日誌默認位置:%systemroot%\system32\logfiles\w3svc1\,默認每天一個日 志 Scheler(任務計劃)服務日誌默認位置:%systemroot%\schedlgu.txt 應用程序日誌,安全日誌,系統日誌,DNS伺服器日誌,它們這些LOG文件在注冊表中的: HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Eventlog Schedluler(任務計劃)服務日誌在注冊表中 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SchelingAgent SQL 刪掉或改名xplog70.dll [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters] "AutoShareServer"=dword:00000000 "AutoShareWks"=dword:00000000 // AutoShareWks 對pro版本 // AutoShareServer 對server版本 // 0
禁止管理共享admin$,c$,d$之類默認共享 [HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\LSA] "restrictanonymous"=dword:00000001 //0x1 匿名用戶無法列舉本機用戶列表 //0x2 匿名用戶無法連接本機IPC$共享(可能sql server不能夠啟動
9)、本地安全策略
1.只開放服務需要的埠與協議。 具體方法為:按順序打開「網上鄰居→屬性→本地連接→屬性→Internet 協議→屬性→高級→選項→ TCP/IP篩選→屬性」,添加需要的TCP、UDP埠以及IP協議即可。根據服務開設口,常用的TCP 口有:80口用於Web服務;21用於FTP服務;25口用於SMTP;23口用於Telnet服務;110口 用於POP3。常用的UDP埠有:53口-DNS域名解析服務;161口-snmp簡單的網路管理協議。 8000、4000用於OICQ,伺服器用8000來接收信息,客戶端用4000發送信息。 封TCP埠: 21(FTP,換FTP埠)23(TELNET),53(DNS),135,136,137,138,139,443,445,1028,1433,3389 可封TCP埠:1080,3128,6588,8080(以上為代理埠).25(SMTP),161(SNMP),67(引導) 封UDP埠:1434(這個就不用說了吧) 封所有ICMP,即封PING 以上是最常被掃的埠,有別的同樣也封,當然因為80是做WEB用的
2、禁止建立空連接 默認情況下,任何用戶可通過空連接連上伺服器,枚舉賬號並猜測密碼。空連接用的埠是139, 通過空連接,可以復制文件到遠端伺服器,計劃執行一個任務,這就是一個漏洞。可以通過以下兩 種方法禁止建立空連接:
(1) 修改注冊表中 Local_Machine\System\ CurrentControlSet\Control\LSA-RestrictAnonymous 的值為1。
(2) 修改Windows 2000的本地安全策略。設置「本地安全策略→本地策略→選項」中的 RestrictAnonymous(匿名連接的額外限制)為「不容許枚舉SAM賬號和共享」。 首先,Windows 2000的默認安裝允許任何用戶通過空連接得到系統所有賬號和共享列表,這本來 是為了方便區域網用戶共享資源和文件的,但是,同時任何一個遠程用戶也可以通過同樣的方法得 到您的用戶列表,並可能使用暴力法破解用戶密碼給整個網路帶來破壞。很多人都只知道更改注冊 表Local_Machine\System\CurrentControlSet\Control\LSA-RestrictAnonymous = 1來禁止空用戶連接, 實際上Windows 2000的本地安全策略里(如果是域伺服器就是在域伺服器安全和域安全策略里) 就有RestrictAnonymous選項,其中有三個值:「0」這個值是系統默認的,沒有任何限制,遠程用戶 可以知道您機器上所有的賬號、組信息、共享目錄、網路傳輸列表(NetServerTransportEnum)等;「1」 這個值是只允許非NULL用戶存取SAM賬號信息和共享信息;「2」這個值只有Windows 2000才支 持,需要注意的是,如果使用了這個值,就不能再共享資源了,所以還是推薦把數值設為「1」比較 好。
10)、防止asp木馬
1、基於FileSystemObject組件的asp木馬
cacls %systemroot%\system32\scrrun.dll /e /d guests //禁止guests使用 regsvr32 scrrun.dll /u /s //刪除
2.基於shell.application組件的asp木馬
cacls %systemroot%\system32\shell32.dll /e /d guests //禁止guests使用 regsvr32 shell32.dll /u /s //刪除
3.將圖片文件夾的許可權設置為不允許運行。
4.如果網站中不存在有asp的話,禁用asp
11)、防止SQL注入
1.盡量使用參數化語句
2.無法使用參數化的SQL使用過濾。
3.網站設置為不顯示詳細錯誤信息,頁面出錯時一律跳轉到錯誤頁面。
4.不要使用sa用戶連接資料庫
5、新建一個public許可權資料庫用戶,並用這個用戶訪問資料庫 6、[角色]去掉角色public對sysobjects與syscolumns對象的select訪問許可權
最後強調一下,以上設置可能會影響到有些應用服務,例如導至不能連接上遠程伺服器,
因此強烈建議,以上設置首先在本地機器或虛擬機(VMware Workstation)上做好設置,確定沒事之後然後再在伺服器上做。
2、如何設置伺服器安全?
樓主我和你一樣,以前自己搞了個伺服器,伺服器老被入侵,沒辦法就自己上網找資料看看怎麼做伺服器安全,當時找了一大篇的文章,根據文章講的自己就開始設置了伺服器安全,當時也是糊塗,把伺服器搞得亂七八糟的,到最後伺服器里的網站數據都被黑客搞走了,損失嚴重。現在想想真的太可怕了,網上的文章都是忽悠人的 沒有一個可行的,到最後伺服器實在沒辦法了,我朋友看不下去了告訴我,讓我去找sinesafe他們專業做伺服器安全,找到sinesafe後,做了伺服器安全維護還有網站安全維護,直到現在伺服器和網站都非常安全穩定,真得感謝感謝sinesafe,沒他們我的伺服器早就完蛋,再就是我想跟新手說,千萬不要疼花錢,要找專業做伺服器安全的來給你做安全維護,千萬不要自己看網上的資料自己搞,這樣越搞越壞,到最後吃虧的還是自己 損失很大。!
3、伺服器安全配置
網上到處都是,會用網路,就有文檔,找找
4、伺服器的安全設置
一般都是網站程序存在漏洞或者伺服器存在漏洞而被攻擊了
網站掛馬是每個網站最頭痛的問題,解決辦法:1.在程序中很容易找到掛馬的代碼,直接刪除,或則將你沒有傳伺服器的源程序覆蓋一次但反反復復被掛就得深入解決掉此問題了。但這不是最好的解決辦法。最好的方法還是找專業做安全的來幫你解決掉
聽朋友說 Sinesafe 不錯 你可以去看看。
清馬+修補漏洞=徹底解決
清馬
1、找掛馬的標簽,比如有<script language="javascript" src="網馬地址"></script>或<iframe width=420 height=330 frameborder=0
scrolling=auto src=網馬地址></iframe>,或者是你用360或病殺毒軟體攔截了網馬網址。SQL資料庫被掛馬,一般是JS掛馬。
2、找到了惡意代碼後,接下來就是清馬,如果是網頁被掛馬,可以用手動清,也可以用批量清,網頁清馬比較簡單,這里就不詳細講,現在著重講一下SQL資料庫清馬,用這一句語句「update 表名 set 欄位名=replace(欄位名,'aaa','')」, 解釋一下這一句子的意思:把欄位名里的內容包含aaa的替換成空,這樣子就可以一個表一個表的批量刪除網馬。
在你的網站程序或資料庫沒有備份情況下,可以實行以上兩步驟進行清馬,如果你的網站程序有備份的話,直接覆蓋原來的文件即可。
修補漏洞(修補網站漏洞也就是做一下網站安全。)
1、修改網站後台的用戶名和密碼及後台的默認路徑。
2、更改資料庫名,如果是ACCESS資料庫,那文件的擴展名最好不要用mdb,改成ASP的,文件名也可以多幾個特殊符號。
3、接著檢查一下網站有沒有注入漏洞或跨站漏洞,如果有的話就相當打上防注入或防跨站補丁。
4、檢查一下網站的上傳文件,常見了有欺騙上傳漏洞,就對相應的代碼進行過濾。
5、盡可能不要暴露網站的後台地址,以免被社會工程學猜解出管理用戶和密碼。
6、寫入一些防掛馬代碼,讓框架代碼等掛馬無效。
7、禁用FSO許可權也是一種比較絕的方法。
8、修改網站部分文件夾的讀寫許可權。
9、如果你是自己的伺服器,那就不僅要對你的網站程序做一下安全了,而且要對你的伺服器做一下安全也是很有必要了!
5、伺服器安全設置?如何設置伺服器安全?
如果伺服器(網站)被入侵了,一般都是伺服器或者網站存在漏洞,被黑客利用並提權入侵的,導致伺服器中木馬,網站被掛黑鏈,被篡改,被掛馬。解決辦法:如果程序不是很大,可以自己比對以前程序的備份文件,然後就是修復,或者換個伺服器,最好是獨立伺服器。也可以通過安全公司來解決,國內也就Sinesafe和綠盟等安全公司 比較專業.
我是從事IDC行業的.以上這些也是平時工作中經常遇到的問題.希望我的回答對你有所幫助.
6、為了保證伺服器能夠安全高效的提供服務,應該如何配置伺服器的安全設置。
web伺服器安全關鍵是要看你的web伺服器提供服務的安全需求是什麼,如果是普通的服務公眾的伺服器可以參考一下內容: 刪除默認建立的站點的虛擬目錄,停止默認web站點,刪除對應的文件目錄c:inetpub,配置所有站點的公共設置,設置好相關的連接數限制,帶寬設置以及性能設置等其他設置。配置應用程序映射,刪除所有不必要的應用程序擴展,只保留asp,php,cgi,pl,aspx應用程序擴展。對於php和cgi,推薦使用isapi方式解析,用exe解析對安全和性能有所影響。用戶程序調試設置發送文本錯誤信息給戶。對於資料庫,盡量採用mdb後綴,不需要更改為asp,可在IIS中設置一個mdb的擴展映射,將這個映射使用一個無關的dll文件如C:WINNTsystem32inetsrvssinc.dll來防止資料庫被下載。設置IIS的日誌保存目錄,調整日誌記錄信息。設置為發送文本錯誤信息。修改403錯誤頁面,將其轉向到其他頁,可防止一些掃描器的探測。另外為隱藏系統信息,防止telnet到80埠所泄露的系統版本信息可修改IIS的banner信息,可以使用winhex手工修改或者使用相關軟體如banneredit修改。 對於用戶站點所在的目錄,在此說明一下,用戶的FTP根目錄下對應三個文件佳,wwwroot,database,logfiles,分別存放站點文件,資料庫備份和該站點的日誌。如果一旦發生入侵事件可對該用戶站點所在目錄設置具體的許可權,圖片所在的目錄只給予列目錄的許可權,程序所在目錄如果不需要生成文件(如生成html的程序)不給予寫入許可權。因為是虛擬主機平常對腳本安全沒辦法做到細致入微的地步,更多的只能在方法用戶從腳本提升許可權: ASP的安全設置: 設置過許可權和服務之後,防範asp木馬還需要做以下工作,在cmd窗口運行以下命令: regsvr32/u C:\WINNT\System32\wshom.ocx del C:\WINNT\System32\wshom.ocx regsvr32/u C:\WINNT\system32\shell32.dll del C:\WINNT\system32\shell32.dll 即可將WScript.Shell, Shell.application, WScript.Network組件卸載,可有效防止asp木馬通過wscript或shell.application執行命令以及使用木馬查看一些系統敏感信息。另法:可取消以上文件的users用戶的許可權,重新啟動IIS即可生效。但不推薦該方法。 另外,對於FSO由於用戶程序需要使用,伺服器上可以不注銷掉該組件,這里只提一下FSO的防範,但並不需要在自動開通空間的虛擬商伺服器上使用,只適合於手工開通的站點。可以針對需要FSO和不需要FSO的站點設置兩個組,對於需要FSO的用戶組給予c:winntsystem32scrrun.dll文件的執行許可權,不需要的不給許可權。重新啟動伺服器即可生效。 對於這樣的設置結合上面的許可權設置,你會發現海陽木馬已經在這里失去了作用! PHP的安全設置: 默認安裝的php需要有以下幾個注意的問題: C:\winnt\php.ini只給予users讀許可權即可。在php.ini里需要做如下設置: Safe_mode=on register_globals = Off allow_url_fopen = Off display_errors = Off magic_quotes_gpc = On [默認是on,但需檢查一遍] open_basedir =web目錄 disable_functions =passthru,exec,shell_exec,system,phpinfo,get_cfg_var,popen,chmod 默認設置com.allow_dcom = true修改為false[修改前要取消掉前面的;] MySQL安全設置: 如果伺服器上啟用MySQL資料庫,MySQL資料庫需要注意
7、為了保證伺服器系統安全,應該對伺服器系統進行哪些安全配置,
可以安裝360安全衛士,360殺毒軟體!
8、如何配置網路伺服器安全
伺服器的安全設置很重要,所以相對也會很繁瑣,需要進行的操作有很多:
系統漏洞掃描與修復;管理員賬號、來賓賬號、普通賬號、影子賬號的優化保護系
統不被黑客惡意添加或修改;
對IIS下的ASP、ASPX網站相關的EXE和DLL文件進行保護操作防止網站被惡意上傳和特殊許可權的運行;
對系統文件夾下
的關鍵二進制文件進行保護操作,確保存儲的DLL文件和以及其他用於支持、配置或操作的文件的安全;對系統文件夾下的文件進行保護操作,防止系統文件被修
改,以確保系統的正常運行;
對用戶配置信息的文件夾進行保護操作,以防止用戶當前桌面環境、應用程序設置和個人數據信息的泄露;
對資料庫進行許可權優化以及
安全加固;
停止了類似Remote Registry(遠程修改注冊表服務) Remote Desktop Help Session
Manager(遠程協助服務)
這種不必要的服務,以防被黑客利用,降低安全隱患;
關閉135和445這類用於遠程過程調用,區域網中輕松訪問各種共享文件夾或共享列印機的埠;
禁止掉
ICP空連接功能,以防止連接者與目標主機建立無需用戶名與密碼的空連接造成的風險出現;
配置backlog,提高網路並發性及網路的處理能力;
優化設置
SYN-ACK等待時間,檢查無效網關用以提高網路性能;
檢查TCPIP協議棧IGMP堆棧溢出本地拒絕服務、檢查ICMP重定向報文,並進行優化操作,
防止被用於攻擊;
禁止路由發現功能,用以防止ICMP路由通告報文帶來的增加路由表紀錄的攻擊;
限制處於TIME_WAIT狀態的最長時間,使運行的應用
程序可以更快速地釋放和創建連接;
卸載掉wshom.ocx組件和shell32.dll組件,防止默認允許asp運行、exe可執行文件帶來的安全隱
患;
禁止掉系統自動啟動伺服器共享的功能,用以防止伺服器上的資源被共享功能泄露出去。
在手動配置的同時也可以安裝伺服器安全狗進行相應的設置,能夠更加的完善伺服器的安全設置,並且伺服器安全狗也能給伺服器提供實時防護,一舉兩得,新手和老手同樣適合使用,免費又安全。建議可以去試試
9、剛買的伺服器,請問怎麼樣設置安全!!!
前言
其實,在伺服器的安全設置方面,我雖然有一些經驗,但是還談不上有研究,所以我寫這篇文章的時候心裡很不踏實,總害怕說錯了會誤了別人的事。
本文更側重於防止ASP漏洞攻擊,所以伺服器防黑等方面的講解可能略嫌少了點。
基本的伺服器安全設置
安裝補丁
安裝好操作系統之後,最好能在託管之前就完成補丁的安裝,配置好網路後,如果是2000則確定安裝上了SP4,如果是2003,則最好安裝上SP1,然後點擊開始→Windows Update,安裝所有的關鍵更新。
安裝殺毒軟體
雖然殺毒軟體有時候不能解決問題,但是殺毒軟體避免了很多問題。我一直在用諾頓2004,據說2005可以殺木馬,不過我沒試過。還有人用瑞星,瑞星是確定可以殺木馬的。更多的人說卡巴司機好,不過我沒用過。
不要指望殺毒軟體殺掉所有的木馬,因為ASP木馬的特徵是可以通過一定手段來避開殺毒軟體的查殺。
設置埠保護和防火牆、刪除默認共享
都是伺服器防黑的措施,即使你的伺服器上沒有IIS,這些安全措施都最好做上。這是阿江的盲區,大概知道屏蔽埠用本地安全策略,不過這方面的東西網上攻略很多,大家可以擻出來看看,晚些時候我或者會復制一些到我的網站上。
許可權設置
阿江感覺這是防止ASP漏洞攻擊的關鍵所在,優秀的許可權設置可以將危害減少在一個IIS站點甚至一個虛擬目錄里。我這里講一下原理和設置思路,聰明的朋友應該看完這個就能解決問題了。
許可權設置的原理
WINDOWS用戶,在WINNT系統中大多數時候把許可權按用戶(組)來劃分。在【開始→程序→管理工具→計算機管理→本地用戶和組】管理系統用戶和用戶組。
NTFS許可權設置,請記住分區的時候把所有的硬碟都分為NTFS分區,然後我們可以確定每個分區對每個用戶開放的許可權。【文件(夾)上右鍵→屬性→安全】在這里管理NTFS文件(夾)許可權。
IIS匿名用戶,每個IIS站點或者虛擬目錄,都可以設置一個匿名訪問用戶(現在暫且把它叫「IIS匿名用戶」),當用戶訪問你的網站的.ASP文件的時候,這個.ASP文件所具有的許可權,就是這個「IIS匿名用戶」所具有的許可權。
許可權設置的思路
要為每個獨立的要保護的個體(比如一個網站或者一個虛擬目錄)創建一個系統用戶,讓這個站點在系統中具有惟一的可以設置許可權的身份。
在IIS的【站點屬性或者虛擬目錄屬性→目錄安全性→匿名訪問和驗證控制→編輯→匿名訪問→編輯】填寫剛剛創建的那個用戶名。
設置所有的分區禁止這個用戶訪問,而剛才這個站點的主目錄對應的那個文件夾設置允許這個用戶訪問(要去掉繼承父許可權,並且要加上超管組和SYSTEM組)。
這樣設置了之後,這個站點里的ASP程序就只有當前這個文件夾的許可權了,從探針上看,所有的硬碟都是紅叉叉。
我的設置方法
我是先創建一個用戶組,以後所有的站點的用戶都建在這個組里,然後設置這個組在各個分區沒有許可權或者完全拒絕。然後再設置各個IIS用戶在各在的文件夾里的許可權。
因為比較多,所以我很不想寫,其實知道了上面的原理,大多數人都應該懂了,除非不知道怎麼添加系統用戶和組,不知道怎麼設置文件夾許可權,不知道IIS站點屬性在那裡。真的有那樣的人,你也不要著急,要沉住氣慢慢來,具體的方法其實自己也能摸索出來的,我就是這樣。當然,如果我有空,我會寫我的具體設置方法,很傲能還會配上圖片。
regsvr32/u C:\WINNT\System32\wshom.ocx
del C:\WINNT\System32\wshom.ocx
regsvr32/u C:\WINNT\system32\shell32.dll
del C:\WINNT\system32\shell32.dll
然後運行一下,WScript.Shell, Shell.application, WScript.Network就會被卸載了。可能會提示無法刪除文件,不用管它,重啟一下伺服器,你會發現這三個都提示「×安全」了。
因為這其實只是拋磚引玉的做法,從別人的笑聲中,我和我的讀者們都可以學到更多有用的東西。
10、WEB伺服器的安全配置方案
配置WEB安全
WEB安全是系統提供的最常見的服務之一,WEB安全伺服器主要存在的漏洞包括:
物理路徑泄露
CGI源代碼泄露
目錄遍歷
執行任意命令
緩沖區溢出
拒絕服務
跨站乳酸執行
Windows平台上使用的WEB伺服器軟體是IIS,無論哪種操作系統平台,只要對外提供WEB服務,就會面臨著來自外部的攻擊可能,所以需要對WEB伺服器進行有效的安全防護。
針對WEB伺服器採取的一些有效措施包括:
a. 打補丁
針對IIS存在的系統漏洞,應該定期下載安全補丁,及時發現和堵上漏洞。
b. 只開放WEB服務埠
如果不需要其它的服務,在安裝服務的時候選擇只安裝WEB服務,並使用80埠,禁用其他的不必要的服務,例如FTP和SMTP服務
c. WEB伺服器應該放在一個專門的區域中,利用防火牆保護WEB伺服器。
這個專門的區域使WEB伺服器與外網相對隔%C