一、Windows Server2003的安装
1、最小2个分区,分区格式都采用NTFS格式
2、在断开网络的情况安装好2003系统
3、安装IIS,仅安装必要的 IIS 组件。(禁用不需要的如FTP 和 SMTP 服务)
默认情况下,IIS服务没有安装,在添加/删除Win组件中选择“应用程序服务器”,然后点击“详细信息”,
双击Internet信息服务(iis),勾选以下选项:
Internet 信息服务管理器;公用文件;后台智能传输服务 (BITS) 服务器扩展;万维网服务。
如果你使用 FrontPage 扩展的 Web 站点再勾选:FrontPage 2002 Server Extensions
4、安装MSSQL及其它所需要的软件然后进行Update。
5、使用Microsoft 提供的 MBSA(Microsoft Baseline Security Analyzer) 工具分析计算机的安全配置,
并标识缺少的修补程序和更新。下载地址:见页未的链接
二、设置和管理账户
1、系统管理员账户最好少建,更改默认的管理员帐户名(Administrator)和描述,密码最好采用数字加
大小写字母加数字的上档键组合,长度最好不少于14位。
2、新建一个名为Administrator的陷阱帐号,为其设置最小的权限,然后随便输入组合的最好不低于20位
的密码
3、将Guest账户禁用并更改名称和描述,然后输入一个复杂的密码,当然现在也有一个
DelGuest的工具,也许你也可以利用它来删除Guest账户,但我没有试过
4、在运行中输入gpedit.msc回车,打开组策略编辑器,选择计算机配置-Windows设置-安全设置-账户策略
-账户锁定策略,将账户设为“三次登陆无效”,“锁定时渖栉?0分钟”,“复位锁定计数设为30分钟”。
5、在安全设置-本地策略-安全选项中将“不显示上次的用户名”设为启用
6、在安全设置-本地策略-用户权利分配中将“从网络访问此计算机”中只保留Internet来宾账户、启动IIS
进程账户。如果你使用了Asp.net还要保留Aspnet账户。
7、创建一个User账户,运行系统,如果要运行特权命令使用Runas命令。
三、网络服务安全管理
1、禁止C$、D$、ADMIN$一类的缺省共享
打开注册表,HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters,在右边
的窗口中新建Dword值:名称设为AutoShareServer值设为0
2、 解除NetBios与TCP/IP协议的绑定
右击网上邻居-属性-右击本地连接-属性-双击Internet协议-高级-Wins-禁用TCP/IP上的NETBIOS
3、关闭不需要的服务,以下为建议选项
Computer Browser:维护网络计算机更新,禁用
Distributed File System: 局域网管理共享文件,不需要禁用
Distributed linktracking client:用于局域网更新连接信息,不需要禁用
Error reporting service:禁止发送错误报告
Microsoft Serch:提供快速的单词搜索,不需要可禁用
NTLMSecuritysupportprovide:telnet服务和Microsoft Serch用的,不需要禁用
PrintSpooler:如果没有打印机可禁用
Remote Registry:禁止远程修改注册表
Remote Desktop Help Session Manager:禁止远程协助
四、打开相应的审核策略
在运行中输入gpedit.msc回车,打开组策略编辑器,选择计算机配置-Windows设置-安全设置-审核策略
在创建审核项目时需要注意的是如果审核的项目太多,生成的事件也就越多,那么要想发现严重的事件也越难
当然如果审核的太少也会影响你发现严重的事件,你需要根据情况在这二者之间做出选择
推荐的要审核的项目是:
登录事件 成功 失败
账户登录事件 成功 失败
系统事件 成功 失败
策略更改 成功 失败
对象访问 失败
目录服务访问 失败
特权使用 失败
五、其它安全相关设置
1、隐藏重要文件/目录
可以修改注册表实现完全隐藏:“HKEY_LOCAL_MACHINE\SOFTWARE
\Microsoft\Windows\Current-Version\Explorer\Advanced\Folder\Hi-dden\SHOWALL”,鼠标
右击“CheckedValue”,选择修改,把数值由1改为0
2、启动系统自带的Internet连接防火墙,在设置服务选项中勾选Web服务器。
3、防止SYN洪水攻击
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters
新建DWORD值,名为SynAttackProtect,值为2
4. 禁止响应ICMP路由通告报文
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters
\Interfaces\interface
新建DWORD值,名为PerformRouterDiscovery 值为0
5. 防止ICMP重定向报文的攻击
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters
将EnableICMPRedirects 值设为0
6. 不支持IGMP协议
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters
新建DWORD值,名为IGMPLevel 值为0
7、禁用DCOM:
运行中输入 Dcomcnfg.exe。 回车, 单击“控制台根节点”下的“组件服务”。 打开“计算机”子文件夹。
对于本地计算机,请以右键单击“我的电脑”,然后选择“属性”。选择“默认属性”选项卡。
清除“在这台计算机上启用分布式 COM”复选框。
8、将System32文件夹下的DllCache中的cmd命令重命名,再将System32文件夹下的cmd命令重命名
9、
注:3-6项内容我采用的是Server2000设置,没有测试过对2003是否起作用。但有一点可以肯定我用了一段
的时间没有发现其它副面的影响。
六、配置 IIS 服务:
1、不使用默认的Web站点,如果使用也要将 将IIS目录与系统磁盘分开。
2、删除IIS默认创建的Inetpub目录(在安装系统的盘上)。
3、删除系统盘下的虚拟目录,如:_vti_bin、IISSamples、Scripts、IIShelp、IISAdmin、IIShelp、
MSADC。
4、删除不必要的IIS扩展名映射。
右键单击“默认Web站点→属性→主目录→配置”,打开应用程序窗口,去掉不必要的应用程序映射。主要有
为.shtml, .shtm, .stm
5、更改IIS日志的路径
右键单击“默认Web站点→属性-网站-在启用日志记录下点击属性
6、如果使用的是2000可以使用iislockdown来保护IIS,在2003运行的IE6.0的版本不需要。
7、使用UrlScan
UrlScan是一个ISAPI筛选器,它对传入的HTTP数据包进行分析并可以拒绝任何可疑的通信量。目前最新的版本
是2.5,如果是2000Server需要先安装1.0或2.0的版本。下载地址见页未的链接
如果没有特殊的要求采用UrlScan默认配置就可以了。
但如果你在服务器运行ASP.NET程序,并要进行调试你需打开要%WINDIR%\System32\Inetsrv\URLscan
文件夹中的URLScan.ini 文件,然后在UserAllowVerbs节添加DEBUG谓词,注意此节是区分大小写的。
如果你的网页是.asp网页你需要在DenyExtensions删除.asp相关的内容。
如果你的网页使用了非ASCII代码,你需要在Option节中将AllowHighBitCharacters的值设为1
在对URLScan.ini 文件做了更改后,你需要重启IIS服务才能生效,快速方法运行中输入iisreset
如果你在配置后出现什么问题,你可以通过添加/删除程序删除UrlScan。
8、利用WIS (Web Injection Scanner)工具对整个网站进行SQL Injection 脆弱性扫描.
下载地址见页未的链接
七、配置Sql服务器
1、System Administrators 角色最好不要超过两个
2、如果是在本机最好将身份验证配置为Win登陆
3、不要使用Sa账户,为其配置一个超级复杂的密码
4、删除以下的扩展存储过程
格式为:
use master
sp_dropextendedproc '扩展存储过程名'
xp_cmdshell:是进入操作系统的最佳捷径,删除
访问注册表的存储过程,删除
Xp_regaddmultistring Xp_regdeletekey Xp_regdeletevalue Xp_regenumvalues
Xp_regread Xp_regremovemultistring Xp_regwrite
OLE自动存储过程,不需要删除
Sp_OACreate Sp_OADestroy Sp_OAGetErrorInfo Sp_OAGetProperty
Sp_OAMethod Sp_OASetProperty Sp_OAStop
5、将xplog70.dll更名,这样就无法恢复xp_cmdshell
6、隐藏 SQL Server、更改默认的1433端口
右击实例选属性-常规-网络配置中选择TCP/IP协议的属性。选择隐藏 SQL Server 实例。
并改原默认的1433端口。
八、如果只做服务器,不进行其它操作,使用IPSec
1、管理工具—本地安全策略—右击IP安全策略—管理IP筛选器表和筛选器操作—在管理IP筛选器表选项下点击
添加—名称设为Web筛选器—点击添加—在描述中输入Web服务器—将源地址设为任何IP地址——将目标地址
设为我的IP地址——协议类型设为Tcp——IP协议端口第一项设为从任意端口,第二项到此端口80——点击
完成——点击确定。
2、再在管理IP筛选器表选项下点击
添加—名称设为所有入站筛选器—点击添加—在描述中输入所有入站筛选—将源地址设为任何IP地址——将目标地址
设为我的IP地址——协议类型设为任意——点击下一步——完成——点击确定。
3、在管理筛选器操作选项下点击添加——下一步——名称中输入阻止——下一步——选择阻止——下一步——
完成——关闭管理IP筛选器表和筛选器操作窗口
4、右击IP安全策略——创建IP安全策略——下一步——名称输入数据包筛选器——下一步——取消默认激活
响应原则——下一步——完成
5、在打开的新IP安全策略属性窗口选择添加——下一步——不指定隧道——下一步——所有网络连接——
下一步——在IP筛选器列表中选择新建的Web筛选器——下一步——在筛选器操作中选择许可——下一步——
完成——在IP筛选器列表中选择新建的阻止筛选器——下一步——在筛选器操作中选择阻止——下一步——
完成——确定
6、在IP安全策略的右边窗口中右击新建的数据包筛选器,点击指派,不需要重启,IPSec就可生效.
九、建议
如果你按本文去操作,建议每做一项更改就测试一下服务器,如果有问题可以马上撤消更改。而如果更改的
项数多,才发现出问题,那就很难判断问题是出在哪一步上了。
十、运行服务器记录当前的程序和开放的端口
1、将当前服务器的进程抓图或记录下来,将其保存,方便以后对照查看是否有不明的程序。
2、将当前开放的端口抓图或记录下来,保存,方便以后对照查看是否开放了不明的端口。
当然如果你能分辨每一个进程,和端口这一步可以省略。
当前位置: 操作系统/服务器>linux
本页文章导读:
▪创建安全的个人Web服务器(winserver2003、sql2000)
一、Windows Server2003的安装 1、最小2个分区,分区格式都采用NTFS格式 2、在断开网络的情况安装好2003系统 3、安装IIS,仅安装必要的 IIS 组件。(禁用不需要的如FTP 和 SMTP 服务).........
▪虚拟主机封杀webshell提权!!!!!!!!!!
1.为了打造一个安全的虚拟主机,在asp+SQL环境下,我们要做的是封杀ASP webshell.封杀serv-u提权漏洞和SQL注入的威胁 2.默认安装的win主机上webshell功能十分强大,我们要封杀webshell的哪些功能 也.........
▪虚拟主机安全设置
1、如何让asp脚本以system权限运行? 修改你asp脚本所对应的虚拟目录,把"应用程序保护"修改为"低".... 2.如何防止asp木马? 基于FileSystemObject组件的asp木马 cacls %systemroot%\syste.........
[1]创建安全的个人Web服务器(winserver2003、sql2000)
来源: 互联网 发布时间: 2013-12-24
[2]虚拟主机封杀webshell提权!!!!!!!!!!
来源: 互联网 发布时间: 2013-12-24
1.为了打造一个安全的虚拟主机,在asp+SQL环境下,我们要做的是封杀ASP webshell.封杀serv-u提权漏洞和SQL注入的威胁
2.默认安装的win主机上webshell功能十分强大,我们要封杀webshell的哪些功能 也就是不让webshell查看系统服务信息,执行cmd命令和略览文件目录,我们要实现的功能是每个用户只能访问自己的目录,而且可以用FSO等ASP组件,在这里我以海洋木马和win200为例给大家演示一下.好多资料都是网上收集而来,在这表示感谢.
3.现在我们先设置好win的目录访问权限 设置所有分区为administrator SYSTEM这两个系统用户拥有所有权、删除ERVERYONE
具体*作方式:选择系统盘我们这里为C->按右键选择属性-安全添加一个administrator和SYSTEM所有权限,删除ERVERYONE用户
我已经都设置过了,就不重复了,设置权限的时候很慢,具体的看我下面的说明吧
4.选择重置所有子对象的权限并允许传播可继承权限
具体*作方式:接第3步->选择高级->选择重置所有子对象的权限并允许传播可继承权限打钩选定按应用->提示是否继续选择‘是'继续
如果发现有提示问题就按继续按钮继续
5.设置everyone用户可以读取的目录(使得可以执行PERL ASP JMAIL)
[设置ASP可以使用]具体*作:进入C:\promgram files目录 把common files目录,设置everyone可以读、运行、列目录
C:\Program Files\Common Files 都是一些系统文件,如果你装了一些别的组件,比如maill,php等 也按同样的设置
就是刚才那个目录,系统出了毛病,设置权限的时候十分慢
6.设置取消继承,功能:为了使用户不能越权删除而ASP可以正常使用
具体*作方式:进入winnt\system32\选中所有目录,除了inetsrv certsrv 两个目录不要选择(备注:这两个是ASP要用的dll)
选择属性->安全->高级->权限->把允许来自父系的继承取消打钩->按复制
进入winnt目录->选中所有目录 除web, temp, tasks, system32 ,offine web pages ,
iis temporay compressed file ,help,download promgram 同上取消继承->按复制
选择winnt->设置安全,添加everyone 读取运行 列出文件目录 读取
进入winnt->选择temp属性设置安全 ,everyone完全控制,再点高级,编辑,把运行权限去掉
动画断了,奇怪了
这样2000目录权限基本设置完成,2003的目录设置可以看最下面,我就是这么设置的,没出问题,有问题找我,看来还没设置好,终于好了,累啊
D盘看不见了吧.
7.刚才动画断了,新建一个用户leilei,设置密码,要设置密码永不过期,把他加到guest用户组里去,然后在IIS设置他的虚拟站点,我这用的是默认站点,设置虚拟目录E:\网站资源\BBSXP 5.12 正式版 ]\bbsxp,再点属性-目录安全性-编辑.匿名访问打上勾,然后设置用户名和密码,然后到E:\网站资源\BBSXP 5.12 正式版 ]\bbsxp里设置权限,给leilei访问权.OK,现在告了一段落,leilei这个用户只能访问自己的目录了删掉不用的脚本映射.*.htr这是一个比较厉害的文件,删掉好了。否则,任何人都可以通过你的web来进行非法*作,甚至格式化 掉你的硬盘。 *.hta 删掉吧。 *.idc 所以删掉他。 *.printer这个是打印机文件。去掉他好了 *.htw , *.ida *.idq这些都是索引文件,可以去掉了。 其实只要有用的保留,比如asp,asa,php,cgi,给保留着,其它全部删除就行啦!!!
我们来看一下网站
怎么样,FSO正常使用吧
8. 这里有时候会遇见ASP不能访问,提示The requested resource is in use和The remote procedure call failed and did not execute.
我就遇见了,找了找网上的帖子,有的说御载瑞星2005,再同步iwam帐号,同步同步iwam帐号请看 http://www.gamepa.com/Announce/A ... ID=8000&ID=361.有的说是asp.net没有权限执行,还有的说在2003下,添加IIS_WPG 组,并重启计算机。方正我是同步了一下iwam帐号,然后还是没搞定,又瞎鼓捣了半天,准备从装机器前从起了一下,然后发现,好了~,如果你 遇见了这个问题,而且没搞定的话,可以到我论坛里发个帖说一下,我和你一起研究,反正我是无业游民,电脑前面做了半年了.随时都在,急就 端消息我,有声音提示的.
9.现在我们上个webshell看看,先看我们刚才设置的目录权限的效果,效果不错,现在我们堵上webshell的cmd ,有两种cmdshell WScript.Shell和Shell.Application,关于这两个组件的基础知识可以看看这篇文章
http://www.gamepa.com/Announce/A ... dID=8000&ID=395
这里有两种方法 一种是设置权限把c:\winnt\system32\cmd.exe 的权限设置好,(sorry 我把mdshell WScript.Shell和Shell.Application已经删了,现在注册上),只能administrator和系统用户访问的权限,这个时候cmd是不能用了,不过我们平时都是上传一个cmd在用,看演示看,现在又能用了吧,我在别人的主机上也经常遇见这个现象,不过我们还是有办法.再把E:\网站资源\BBSXP 5.12 正式版 ]\bbsxp的运行权限去掉,拒绝访问。 缺少对象,不影响网站使用fso吧,还有一一种就是彻底删掉WScript.Shell和Shell.application ,命令是regsvr32/u wshom.ocx和regsvr32/u wshext.dll,我们先恢复权限.还是缺少对象吧,两个都行,都是实验通过的,我比较喜欢第二种,反正不影响我使用.再去试下网站,没有问题
10.封杀webshell 查看系统进程的功能,对我的电脑点右键-管理-服务应用程序-服务-workstation,双击点停止,禁用.这个服务在倒数第二个
Workstation”——svchost.exe——是用来管理网络,支持联网和打印/文件共享的,禁用了也没事,参考文章
http://www.gamepa.com/Announce/A ... dID=8000&ID=400
http://www.gamepa.com/Announce/A ... dID=8000&ID=402
http://www.gamepa.com/Announce/A ... dID=8000&ID=403
错误: 错误源: 这好象是因为删除wshom.ocx和wshext.dll的原因,不管他,我们继续,现在是可以看系统进程的还有登陆用户,现在我们禁用服务去,要从起,进程才会没的,算了,我不从起了,反正不会有问题的了,已经什么也看不见了
11.封杀serv-u和SQL,这也是抄来的,因为serv-u和sql都是系统权限,也就是system用户,我们的目的就是把他俩变成user用户,让他俩没权限添加administrator的帐号,这里我用serv-u演示,ftp "net user leilei3 leilei3 /add" 成功添加了leilei2帐号,输入法出问题了,估计大家也都知道,serv-u本地提权漏洞,解决方法,先添加一个user权限的用户,我这就用leilei3这个用户了,然后对对我的电脑点右键-管理-服务应用程序-服务-Serv-U FTP 服务器-登陆-此帐户,把默认的改掉,现在就可以了,来我们再试一下serv-u能不能用.无法启动,晕到,还是权限的问题,有人做过这个动画,没问题的.
动画下载http://www.gamepa.com/Announce/A ... dID=7890&ID=355
权限设一下就OK了,SQL也是这样的设置,不过权限要设置好,因为sql要访问的目录很多,没*作权限就不能用了,建议要改user权限运行SQL的时候别用我上面讲的目录权限分配方法,而是根据最下面的win2003目录权限设置做参考,一点一点的改win的目录权限,或者给user用户多点权限,这个我用不上,也没研究,还那句话,如果有哪位朋友需要,我们一起研究
12.经过这样的设置基本安全了吧,如果高手能提供点意见,指出不安全的地方,不胜感激
2.默认安装的win主机上webshell功能十分强大,我们要封杀webshell的哪些功能 也就是不让webshell查看系统服务信息,执行cmd命令和略览文件目录,我们要实现的功能是每个用户只能访问自己的目录,而且可以用FSO等ASP组件,在这里我以海洋木马和win200为例给大家演示一下.好多资料都是网上收集而来,在这表示感谢.
3.现在我们先设置好win的目录访问权限 设置所有分区为administrator SYSTEM这两个系统用户拥有所有权、删除ERVERYONE
具体*作方式:选择系统盘我们这里为C->按右键选择属性-安全添加一个administrator和SYSTEM所有权限,删除ERVERYONE用户
我已经都设置过了,就不重复了,设置权限的时候很慢,具体的看我下面的说明吧
4.选择重置所有子对象的权限并允许传播可继承权限
具体*作方式:接第3步->选择高级->选择重置所有子对象的权限并允许传播可继承权限打钩选定按应用->提示是否继续选择‘是'继续
如果发现有提示问题就按继续按钮继续
5.设置everyone用户可以读取的目录(使得可以执行PERL ASP JMAIL)
[设置ASP可以使用]具体*作:进入C:\promgram files目录 把common files目录,设置everyone可以读、运行、列目录
C:\Program Files\Common Files 都是一些系统文件,如果你装了一些别的组件,比如maill,php等 也按同样的设置
就是刚才那个目录,系统出了毛病,设置权限的时候十分慢
6.设置取消继承,功能:为了使用户不能越权删除而ASP可以正常使用
具体*作方式:进入winnt\system32\选中所有目录,除了inetsrv certsrv 两个目录不要选择(备注:这两个是ASP要用的dll)
选择属性->安全->高级->权限->把允许来自父系的继承取消打钩->按复制
进入winnt目录->选中所有目录 除web, temp, tasks, system32 ,offine web pages ,
iis temporay compressed file ,help,download promgram 同上取消继承->按复制
选择winnt->设置安全,添加everyone 读取运行 列出文件目录 读取
进入winnt->选择temp属性设置安全 ,everyone完全控制,再点高级,编辑,把运行权限去掉
动画断了,奇怪了
这样2000目录权限基本设置完成,2003的目录设置可以看最下面,我就是这么设置的,没出问题,有问题找我,看来还没设置好,终于好了,累啊
D盘看不见了吧.
7.刚才动画断了,新建一个用户leilei,设置密码,要设置密码永不过期,把他加到guest用户组里去,然后在IIS设置他的虚拟站点,我这用的是默认站点,设置虚拟目录E:\网站资源\BBSXP 5.12 正式版 ]\bbsxp,再点属性-目录安全性-编辑.匿名访问打上勾,然后设置用户名和密码,然后到E:\网站资源\BBSXP 5.12 正式版 ]\bbsxp里设置权限,给leilei访问权.OK,现在告了一段落,leilei这个用户只能访问自己的目录了删掉不用的脚本映射.*.htr这是一个比较厉害的文件,删掉好了。否则,任何人都可以通过你的web来进行非法*作,甚至格式化 掉你的硬盘。 *.hta 删掉吧。 *.idc 所以删掉他。 *.printer这个是打印机文件。去掉他好了 *.htw , *.ida *.idq这些都是索引文件,可以去掉了。 其实只要有用的保留,比如asp,asa,php,cgi,给保留着,其它全部删除就行啦!!!
我们来看一下网站
怎么样,FSO正常使用吧
8. 这里有时候会遇见ASP不能访问,提示The requested resource is in use和The remote procedure call failed and did not execute.
我就遇见了,找了找网上的帖子,有的说御载瑞星2005,再同步iwam帐号,同步同步iwam帐号请看 http://www.gamepa.com/Announce/A ... ID=8000&ID=361.有的说是asp.net没有权限执行,还有的说在2003下,添加IIS_WPG 组,并重启计算机。方正我是同步了一下iwam帐号,然后还是没搞定,又瞎鼓捣了半天,准备从装机器前从起了一下,然后发现,好了~,如果你 遇见了这个问题,而且没搞定的话,可以到我论坛里发个帖说一下,我和你一起研究,反正我是无业游民,电脑前面做了半年了.随时都在,急就 端消息我,有声音提示的.
9.现在我们上个webshell看看,先看我们刚才设置的目录权限的效果,效果不错,现在我们堵上webshell的cmd ,有两种cmdshell WScript.Shell和Shell.Application,关于这两个组件的基础知识可以看看这篇文章
http://www.gamepa.com/Announce/A ... dID=8000&ID=395
这里有两种方法 一种是设置权限把c:\winnt\system32\cmd.exe 的权限设置好,(sorry 我把mdshell WScript.Shell和Shell.Application已经删了,现在注册上),只能administrator和系统用户访问的权限,这个时候cmd是不能用了,不过我们平时都是上传一个cmd在用,看演示看,现在又能用了吧,我在别人的主机上也经常遇见这个现象,不过我们还是有办法.再把E:\网站资源\BBSXP 5.12 正式版 ]\bbsxp的运行权限去掉,拒绝访问。 缺少对象,不影响网站使用fso吧,还有一一种就是彻底删掉WScript.Shell和Shell.application ,命令是regsvr32/u wshom.ocx和regsvr32/u wshext.dll,我们先恢复权限.还是缺少对象吧,两个都行,都是实验通过的,我比较喜欢第二种,反正不影响我使用.再去试下网站,没有问题
10.封杀webshell 查看系统进程的功能,对我的电脑点右键-管理-服务应用程序-服务-workstation,双击点停止,禁用.这个服务在倒数第二个
Workstation”——svchost.exe——是用来管理网络,支持联网和打印/文件共享的,禁用了也没事,参考文章
http://www.gamepa.com/Announce/A ... dID=8000&ID=400
http://www.gamepa.com/Announce/A ... dID=8000&ID=402
http://www.gamepa.com/Announce/A ... dID=8000&ID=403
错误: 错误源: 这好象是因为删除wshom.ocx和wshext.dll的原因,不管他,我们继续,现在是可以看系统进程的还有登陆用户,现在我们禁用服务去,要从起,进程才会没的,算了,我不从起了,反正不会有问题的了,已经什么也看不见了
11.封杀serv-u和SQL,这也是抄来的,因为serv-u和sql都是系统权限,也就是system用户,我们的目的就是把他俩变成user用户,让他俩没权限添加administrator的帐号,这里我用serv-u演示,ftp "net user leilei3 leilei3 /add" 成功添加了leilei2帐号,输入法出问题了,估计大家也都知道,serv-u本地提权漏洞,解决方法,先添加一个user权限的用户,我这就用leilei3这个用户了,然后对对我的电脑点右键-管理-服务应用程序-服务-Serv-U FTP 服务器-登陆-此帐户,把默认的改掉,现在就可以了,来我们再试一下serv-u能不能用.无法启动,晕到,还是权限的问题,有人做过这个动画,没问题的.
动画下载http://www.gamepa.com/Announce/A ... dID=7890&ID=355
权限设一下就OK了,SQL也是这样的设置,不过权限要设置好,因为sql要访问的目录很多,没*作权限就不能用了,建议要改user权限运行SQL的时候别用我上面讲的目录权限分配方法,而是根据最下面的win2003目录权限设置做参考,一点一点的改win的目录权限,或者给user用户多点权限,这个我用不上,也没研究,还那句话,如果有哪位朋友需要,我们一起研究
12.经过这样的设置基本安全了吧,如果高手能提供点意见,指出不安全的地方,不胜感激
[3]虚拟主机安全设置
来源: 互联网 发布时间: 2013-12-24
1、如何让asp脚本以system权限运行?
修改你asp脚本所对应的虚拟目录,把"应用程序保护"修改为"低"....
2.如何防止asp木马?
基于FileSystemObject组件的asp木马
cacls %systemroot%\system32\scrrun.dll /e /d guests //禁止guests使用
regsvr32 scrrun.dll /u /s //删除
注:这样服务器的FSO就不能用了;
在CMD命令行状态输入以下命令:
关闭命令:RegSvr32 /u C:\WINNT\SYSTEM32\scrrun.dll
打开命令:RegSvr32 C:\WINNT\SYSTEM32\scrrun.dll
基于shell.application组件的asp木马
cacls %systemroot%\system32\shell32.dll /e /d guests //禁止guests使用
regsvr32 shell32.dll /u /s //删除
附:cacls.exe的参数用法
/T——更改当前目录及其所有子目录中指定文件的 ACL;
/E—— 编辑 ACL 而不替换;
/C——在出现拒绝访问错误时继续;
/G user:perm——赋予指定用户访问权限。Perm 可以是R(读取)、W(写入)、C(更改,写入)、F (完全控制);
/R user——撤销指定用户的访问权限(仅在与 /E 一起使用);
/P user:perm——替换指定用户的访问权限;
/D user——拒绝指定用户的访问
3.如何加密asp文件?
从微软免费下载到sce10chs.exe 直接运行即可完成安装过程。
安装完毕后,将生成screnc.exe文件,这是一个运行在DOS PROMAPT的命令工具。
运行screnc - l vbscript source.asp destination.asp
生成包含密文ASP脚本的新文件destination.asp
用记事本打开看凡是""之内的,不管是否注解,都变成不可阅读的密文了
但无法加密中文。
4.如何从IISLockdown中提取urlscan?
iislockd.exe /q /c /t:c:\urlscan
5.如何防止Content-Location标头暴露了web服务器的内部IP地址?
执行
cscript c:\inetpub\adminscripts\adsutil.vbs set w3svc/UseHostName True
最后需要重新启动iis
6.如何解决HTTP500内部错误?
iis http500内部错误大部分原因
主要是由于iwam账号的密码不同步造成的。
我们只要同步iwam_myserver账号在com+应用程序中的密码即可解决问题。
执行
cscript c:\inetpub\adminscripts\synciwam.vbs -v
7.如何增强iis防御SYN Flood的能力?
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters]
启动syn攻击保护。缺省项值为0,表示不开启攻击保护,项值为1和2表示启动syn攻击保护,设成2之后
安全级别更高,对何种状况下认为是攻击,则需要根据下面的TcpMaxHalfOpen和TcpMaxHalfOpenRetried值
设定的条件来触发启动了。这里需要注意的是,NT4.0必须设为1,设为2后在某种特殊数据包下会导致系统重启。
"SynAttackProtect"=dword:00000002
同时允许打开的半连接数量。所谓半连接,表示未完整建立的TCP会话,用netstat命令可以看到呈SYN_RCVD状态
的就是。这里使用微软建议值,服务器设为100,高级服务器设为500。建议可以设稍微小一点。
"TcpMaxHalfOpen"=dword:00000064
判断是否存在攻击的触发点。这里使用微软建议值,服务器为80,高级服务器为400。
"TcpMaxHalfOpenRetried"=dword:00000050
设置等待SYN-ACK时间。缺省项值为3,缺省这一过程消耗时间45秒。项值为2,消耗时间为21秒。
项值为1,消耗时间为9秒。最低可以设为0,表示不等待,消耗时间为3秒。这个值可以根据遭受攻击规模修改。
微软站点安全推荐为2。
"TcpMaxConnectResponseRetransmissions"=dword:00000001
设置TCP重传单个数据段的次数。缺省项值为5,缺省这一过程消耗时间240秒。微软站点安全推荐为3。
"TcpMaxDataRetransmissions"=dword:00000003
设置syn攻击保护的临界点。当可用的backlog变为0时,此参数用于控制syn攻击保护的开启,微软站点安全推荐为5。
"TCPMaxPortsExhausted"=dword:00000005
禁止IP源路由。缺省项值为1,表示不转发源路由包,项值设为0,表示全部转发,设置为2,表示丢弃所有接受的
源路由包,微软站点安全推荐为2。
"DisableIPSourceRouting"=dword:0000002
限制处于TIME_WAIT状态的最长时间。缺省为240秒,最低为30秒,最高为300秒。建议设为30秒。
"TcpTimedWaitDelay"=dword:0000001e
8.如何隐藏iis版本?
一个黑客可以可以轻易的telnet到你的web端口,发送get命令来获取很多信息
iis存放IIS BANNER的所对应的dll文件如下:
WEB:C:\WINNT\SYSTEM32\INETSRV\W3SVC.DLL
FTP:C:\WINNT\SYSTEM32\INETSRV\FTPSVC2.DLL
SMTP:C:\WINNT\SYSTEM32\INETSRV\SMTPSVC.DLL
你可以用16进制编辑器去修改那些dll文件的关键字,比如iis的Microsoft-IIS/5.0
具体过程如下:
1.停掉iis iisreset /stop
2.删除%SYSTEMROOT%\system32\dllcache目录下的同名文件
3.修改
修改你asp脚本所对应的虚拟目录,把"应用程序保护"修改为"低"....
2.如何防止asp木马?
基于FileSystemObject组件的asp木马
cacls %systemroot%\system32\scrrun.dll /e /d guests //禁止guests使用
regsvr32 scrrun.dll /u /s //删除
注:这样服务器的FSO就不能用了;
在CMD命令行状态输入以下命令:
关闭命令:RegSvr32 /u C:\WINNT\SYSTEM32\scrrun.dll
打开命令:RegSvr32 C:\WINNT\SYSTEM32\scrrun.dll
基于shell.application组件的asp木马
cacls %systemroot%\system32\shell32.dll /e /d guests //禁止guests使用
regsvr32 shell32.dll /u /s //删除
附:cacls.exe的参数用法
/T——更改当前目录及其所有子目录中指定文件的 ACL;
/E—— 编辑 ACL 而不替换;
/C——在出现拒绝访问错误时继续;
/G user:perm——赋予指定用户访问权限。Perm 可以是R(读取)、W(写入)、C(更改,写入)、F (完全控制);
/R user——撤销指定用户的访问权限(仅在与 /E 一起使用);
/P user:perm——替换指定用户的访问权限;
/D user——拒绝指定用户的访问
3.如何加密asp文件?
从微软免费下载到sce10chs.exe 直接运行即可完成安装过程。
安装完毕后,将生成screnc.exe文件,这是一个运行在DOS PROMAPT的命令工具。
运行screnc - l vbscript source.asp destination.asp
生成包含密文ASP脚本的新文件destination.asp
用记事本打开看凡是""之内的,不管是否注解,都变成不可阅读的密文了
但无法加密中文。
4.如何从IISLockdown中提取urlscan?
iislockd.exe /q /c /t:c:\urlscan
5.如何防止Content-Location标头暴露了web服务器的内部IP地址?
执行
cscript c:\inetpub\adminscripts\adsutil.vbs set w3svc/UseHostName True
最后需要重新启动iis
6.如何解决HTTP500内部错误?
iis http500内部错误大部分原因
主要是由于iwam账号的密码不同步造成的。
我们只要同步iwam_myserver账号在com+应用程序中的密码即可解决问题。
执行
cscript c:\inetpub\adminscripts\synciwam.vbs -v
7.如何增强iis防御SYN Flood的能力?
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters]
启动syn攻击保护。缺省项值为0,表示不开启攻击保护,项值为1和2表示启动syn攻击保护,设成2之后
安全级别更高,对何种状况下认为是攻击,则需要根据下面的TcpMaxHalfOpen和TcpMaxHalfOpenRetried值
设定的条件来触发启动了。这里需要注意的是,NT4.0必须设为1,设为2后在某种特殊数据包下会导致系统重启。
"SynAttackProtect"=dword:00000002
同时允许打开的半连接数量。所谓半连接,表示未完整建立的TCP会话,用netstat命令可以看到呈SYN_RCVD状态
的就是。这里使用微软建议值,服务器设为100,高级服务器设为500。建议可以设稍微小一点。
"TcpMaxHalfOpen"=dword:00000064
判断是否存在攻击的触发点。这里使用微软建议值,服务器为80,高级服务器为400。
"TcpMaxHalfOpenRetried"=dword:00000050
设置等待SYN-ACK时间。缺省项值为3,缺省这一过程消耗时间45秒。项值为2,消耗时间为21秒。
项值为1,消耗时间为9秒。最低可以设为0,表示不等待,消耗时间为3秒。这个值可以根据遭受攻击规模修改。
微软站点安全推荐为2。
"TcpMaxConnectResponseRetransmissions"=dword:00000001
设置TCP重传单个数据段的次数。缺省项值为5,缺省这一过程消耗时间240秒。微软站点安全推荐为3。
"TcpMaxDataRetransmissions"=dword:00000003
设置syn攻击保护的临界点。当可用的backlog变为0时,此参数用于控制syn攻击保护的开启,微软站点安全推荐为5。
"TCPMaxPortsExhausted"=dword:00000005
禁止IP源路由。缺省项值为1,表示不转发源路由包,项值设为0,表示全部转发,设置为2,表示丢弃所有接受的
源路由包,微软站点安全推荐为2。
"DisableIPSourceRouting"=dword:0000002
限制处于TIME_WAIT状态的最长时间。缺省为240秒,最低为30秒,最高为300秒。建议设为30秒。
"TcpTimedWaitDelay"=dword:0000001e
8.如何隐藏iis版本?
一个黑客可以可以轻易的telnet到你的web端口,发送get命令来获取很多信息
iis存放IIS BANNER的所对应的dll文件如下:
WEB:C:\WINNT\SYSTEM32\INETSRV\W3SVC.DLL
FTP:C:\WINNT\SYSTEM32\INETSRV\FTPSVC2.DLL
SMTP:C:\WINNT\SYSTEM32\INETSRV\SMTPSVC.DLL
你可以用16进制编辑器去修改那些dll文件的关键字,比如iis的Microsoft-IIS/5.0
具体过程如下:
1.停掉iis iisreset /stop
2.删除%SYSTEMROOT%\system32\dllcache目录下的同名文件
3.修改
最新技术文章: