http://www.xduba.com/ zh-cn PBlog2 v2.4 http://www.xduba.com/images/logos.gif http://www.xduba.com/ 无为的世界 http://www.xduba.com/article.asp?id=89 lovebzn@163.com(无为) Wed,14 Apr 2010 13:29:02 +0800 http://www.xduba.com/default.asp?id=89
我是这样解决的：在“控制面板”里点“区域和语言选项”再点击“语言”
再勾选“为东亚语言安装文件”前面的复选框。然后再点击“确定”
这个时候系统会提示要你插入xp专业版的安装盘。然后的事就不用说了！]]> http://www.xduba.com/article.asp?id=85 lovebzn@163.com(无为) Sun,24 Jan 2010 01:19:58 +0800 http://www.xduba.com/default.asp?id=85 attrib指令的格式和常用参数为

ATTRIB [+R | -R] [+A | -A ] [+S | -S] [+H | -H] [[drive:] [path] filename] [/S [/D]]

+ 设置属性。
- 清除属性。
R 只读文件属性。
A 存档文件属性。
S 系统文件属性。
H 隐藏文件属性。
[drive:][path][filename]
指定要处理的文件属性。
/S 处理当前文件夹及其子文件夹中的匹配文件。
/D 也处理文件夹。


L:\attrib -s -h *.* /s /d

L: 改为你想要更改的盘符]]> http://www.xduba.com/article.asp?id=81 lovebzn@163.com(无为) Tue,19 Jan 2010 10:44:27 +0800 http://www.xduba.com/default.asp?id=81 在很多情况下比如 登录淘宝输入 密码时就会有“单击激活和使用控件”这个提醒。

我告诉一个简单的解决方法。在我的电脑--控制面板-打开自动更新（有可用下载时通知我）。切记不要下载正版验证的，当然如果您是IE7，IE8的更新也可以不要。

只要下载了这些更新，重启电脑就不会再有提示了]]> http://www.xduba.com/article.asp?id=78 lovebzn@163.com(无为) Tue,05 Jan 2010 22:46:25 +0800 http://www.xduba.com/default.asp?id=78
桌面上多出了两个游览器图标，其中一个是可以删除的，另外一个没有删除按钮。

本人也是做网络安全的。所以超级郁闷，竟然被这次升级玩弄了。

你就郁闷吧。不管你用什么办法都找不到解决方法。

我也是不想安装系统的情况下，反复想尽了办法才搞定，由于解决速度太快，忘记做 截图了

再次我把最终的解决方法告诉你们，自己去解决吧

开始--运行regedit打开注册表HKEY_LOCAL_MACHINE  \  SOFTWARE \ Microsoft\Windows \ CurrentVersion  \  explorer\Desktop \ NameSpace在下面几个选项中找到该图标的键值，直接删除该键值刷新注册表

问题就在于你如何识别哪个才是你要删除的IE图标。 这里我只能给一点点提示了，因为我当时删除太快，没来及截图
我电脑上哪里也就几个，我排除下来直接删除了一个，重启竟然好了
左侧会有几个类似（操作前先备份注册表）
{0F14A9C3-20E4-4B21-8E54-18B2C4D59CB0}  数字串，其中一个就是你桌面上的

你在左侧几个一个个点，在右侧观察一个包含 Internet Explorer 的，大概就是了。 删除后重启电脑，桌面上的图标不见了。 呵呵

  ]]> http://www.xduba.com/article.asp?id=28 lovebzn@163.com(无为) Sat,18 Apr 2009 11:43:34 +0800 http://www.xduba.com/default.asp?id=28
首先是安装mysql服务:

mysql-nt –install
net start  mysql

当然哟在bin目录运行这个命令了

卸载的命令是:

net stop “MySQL”
mysqld-nt.exe –remove “MySQL”

为什么有的朋友卸载不了呢,因为他已经把源文件都删除了 或者运行卸载后服务还在 但是已经变为禁用模式 那么重启一下就好了

]]> http://www.xduba.com/article.asp?id=22 lovebzn@163.com(无为) Mon,13 Apr 2009 17:16:05 +0800 http://www.xduba.com/default.asp?id=22
gpedit.msc   组策略
dcomcnfg     组件服务
msconfig     系统配置使用程序
Ipconfig/flushdns    清楚DNS 缓存

net localgroup administrators   隐藏用户名查询

services.msc   打开服务

netstat -an >c:\1.txt   自己用用就知道了

tsadmin    win2000查看登录用户

net user guest

net localgroup administrators

登录日志：
C:\WINDOWS\System32\GroupPolicy\User\Scripts\Logon
注销日志：
C:\WINDOWS\System32\GroupPolicy\User\Scripts\Logoff

域的安装

dcpromo

停止共享服务

net stop lanmanserver

打开用户与帐号

rundll32 netplwiz.dll,UsersRunDll

无损转换 FAT32转换为 NTFS  。不损害数据

convert c: /fs:ntfs        convert d: /fs:ntfs        等等

重启
shutdown -r

关机
shutdown -s

终止启动
shutdown -a


强制刷新组策略  

gpupdate /force

察看本地共享资源
运行-cmd-输入net share

删除共享(每次输入一个）
net share ipc$ /delete
net share admin$ /delete
net share c$ /delete
net share d$ /delete（如果有e,f,……可以继续删除）


不断整理中]]> http://www.xduba.com/article.asp?id=19 lovebzn@163.com(无为) Fri,10 Apr 2009 17:46:20 +0800 http://www.xduba.com/default.asp?id=19     
    要打造一台安全的WEB服务器，那么这台服务器就一定要使用NTFS和Windows NT/2000/2003。众所周知，Windows是一个支持多用户、多任务的操作系统，这是权限设置的基础，一切权限设置都是基于用户和进程而言的，不同的用户在访问这台计算机时，将会有不同的权限。DOS是个单任务、单用户的操作系统。但是我们能说DOS没有权限吗？不能！当我们打开一台装有DOS操作系统的计算机的时候，我们就拥有了这个操作系统的管理员权限，而且，这个权限无处不在。所以，我们只能说DOS不支持权限的设置，不能说它没有权限。随着人们安全意识的提高，权限设置随着NTFS的发布诞生了。
    
    Windows NT里，用户被分成许多组，组和组之间都有不同的权限，当然，一个组的用户和用户之间也可以有不同的权限。下面我们来谈谈NT中常见的用户组。

    Administrators,管理员组，默认情况下，Administrators中的用户对计算机/域有不受限制的完全访问权。分配给该组的默认权限允许对整个系统进行完全控制。所以，只有受信任的人员才可成为该组的成员。
Power Users，高级用户组，Power Users 可以执行除了为 Administrators 组保留的任务外的其他任何操作系统任务。分配给 Power Users 组的默认权限允许 Power Users 组的成员修改整个计算机的设置。但Power Users 不具有将自己添加到 Administrators 组的权限。在权限设置中，这个组的权限是仅次于Administrators的。

    Users:普通用户组，这个组的用户无法进行有意或无意的改动。因此，用户可以运行经过验证的应用程序，但不可以运行大多数旧版应用程序。Users 组是最安全的组，因为分配给该组的默认权限不允许成员修改操作系统的设置或用户资料。Users 组提供了一个最安全的程序运行环境。在经过 NTFS 格式化的卷上，默认安全设置旨在禁止该组的成员危及操作系统和已安装程序的完整性。用户不能修改系统注册表设置、操作系统文件或程序文件。Users 可以关闭工作站，但不能关闭服务器。Users 可以创建本地组，但只能修改自己创建的本地组。

    Guests:来宾组，按默认值，来宾跟普通Users的成员有同等访问权，但来宾帐户的限制更多。

    Everyone:顾名思义，所有的用户，这个计算机上的所有用户都属于这个组。

    其实还有一个组也很常见，它拥有和Administrators一样、甚至比其还高的权限，但是这个组不允许任何用户的加入，在察看用户组的时候，它也不会被显示出来，它就是SYSTEM组。系统和系统级的服务正常运行所需要的权限都是靠它赋予的。由于该组只有这一个用户SYSTEM，也许把该组归为用户的行列更为贴切。

    权限是有高低之分的，有高权限的用户可以对低权限的用户进行操作，但除了Administrators之外，其他组的用户不能访问 NTFS 卷上的其他用户资料，除非他们获得了这些用户的授权。而低权限的用户无法对高权限的用户进行任何操作。

    我们平常使用计算机的过程当中不会感觉到有权限在阻挠你去做某件事情，这是因为我们在使用计算机的时候都用的是Administrators中的用户登陆的。这样有利也有弊，利当然是你能去做你想做的任何一件事情而不会遇到权限的限制。弊就是以 Administrators 组成员的身份运行计算机将使系统容易受到特洛伊木马、病毒及其他安全风险的威胁。访问 Internet 站点或打开电子邮件附件的简单行动都可能破坏系统。不熟悉的 Internet 站点或电子邮件附件可能有特洛伊木马代码，这些代码可以下载到系统并被执行。如果以本地计算机的管理员身份登录，特洛伊木马可能使用管理访问权重新格式化您的硬盘，造成不可估量的损失，所以在没有必要的情况下，最好不用Administrators中的用户登陆。Administrators中有一个在系统安装时就创建的默认用户----Administrator，Administrator 帐户具有对服务器的完全控制权限，并可以根据需要向用户指派用户权利和访问控制权限。因此强烈建议将此帐户设置为使用强密码。永远也不可以从 Administrators 组删除 Administrator 帐户，但可以重命名或禁用该帐户。由于大家都知道“管理员”存在于许多版本的 Windows 上，所以重命名或禁用此帐户将使恶意用户尝试并访问该帐户变得更为困难。对于一个好的服务器管理员来说，他们通常都会重命名或禁用此帐户。Guests用户组下，也有一个默认用户----Guest,但是在默认情况下，它是被禁用的。如果没有特别必要，无须启用此账户。我们可以通过“控制面板”--“管理工具”--“计算机管理”--“用户和用户组”来查看用户组及该组下的用户。

    我们用鼠标右键单击一个NTFS卷或NTFS卷下的一个目录，选择“属性”--“安全”就可以对一个卷，或者一个卷下面的目录进行权限设置，此时我们会看到以下七种权限：完全控制、修改、读取和运行、列出文件夹目录、读取、写入、和特别的权限。“完全控制”就是对此卷或目录拥有不受限制的完全访问。地位就像Administrators在所有组中的地位一样。选中了“完全控制”，下面的五项属性将被自动被选中。“修改”则像Power users，选中了“修改”，下面的四项属性将被自动被选中。下面的任何一项没有被选中时，“修改”条件将不再成立。“读取和运行”就是允许读取和运行在这个卷或目录下的任何文件，“列出文件夹目录”和“读取”是“读取和运行”的必要条件。“列出文件夹目录”是指只能浏览该卷或目录下的子目录，不能读取，也不能运行。“读取”是能够读取该卷或目录下的数据。“写入”就是能往该卷或目录下写入数据。而“特别”则是对以上的六种权限进行了细分。读者可以自行对“特别”进行更深的研究，鄙人在此就不过多赘述了。

    下面我们对一台刚刚安装好操作系统和服务软件的WEB服务器系统和其权限进行全面的刨析。服务器采用Windows 2000 Server版，安装好了SP4及各种补丁。WEB服务软件则是用了Windows 2000自带的IIS 5.0，删除了一切不必要的映射。整个硬盘分为四个NTFS卷，C盘为系统卷，只安装了系统和驱动程序；D盘为软件卷，该服务器上所有安装的软件都在D盘中；E盘是WEB程序卷，网站程序都在该卷下的WWW目录中；F盘是网站数据卷，网站系统调用的所有数据都存放在该卷的WWWDATABASE目录下。这样的分类还算是比较符合一台安全服务器的标准了。希望各个新手管理员能合理给你的服务器数据进行分类，这样不光是查找起来方便，更重要的是这样大大的增强了服务器的安全性，因为我们可以根据需要给每个卷或者每个目录都设置不同的权限，一旦发生了网络安全事故，也可以把损失降到最低。当然，也可以把网站的数据分布在不同的服务器上，使之成为一个服务器群，每个服务器都拥有不同的用户名和密码并提供不同的服务，这样做的安全性更高。不过愿意这样做的人都有一个特点----有钱:)。好了，言归正传，该服务器的数据库为MS-SQL，MS-SQL的服务软件SQL2000安装在d:\ms-sqlserver2K目录下，给SA账户设置好了足够强度的密码，安装好了SP3补丁。为了方便网页制作员对网页进行管理，该网站还开通了FTP服务，FTP服务软件使用的是SERV-U 5.1.0.0，安装在d:\ftpservice\serv-u目录下。杀毒软件和防火墙用的分别是Norton Antivirus和BlackICE,路径分别为d:\nortonAV和d:\firewall\blackice,病毒库已经升级到最新，防火墙规则库定义只有80端口和21端口对外开放。网站的内容是采用动网7.0的论坛,网站程序在e:\www\bbs下。细心的读者可能已经注意到了，安装这些服务软件的路径我都没有采用默认的路径或者是仅仅更改盘符的默认路径，这也是安全上的需要，因为一个黑客如果通过某些途径进入了你的服务器，但并没有获得管理员权限，他首先做的事情将是查看你开放了哪些服务以及安装了哪些软件，因为他需要通过这些来提升他的权限。一个难以猜解的路径加上好的权限设置将把他阻挡在外。相信经过这样配置的WEB服务器已经足够抵挡大部分学艺不精的黑客了。读者可能又会问了：“这根本没用到权限设置嘛！我把其他都安全工作都做好了，权限设置还有必要吗？”当然有！智者千虑还必有一失呢，就算你现在已经把系统安全做的完美无缺，你也要知道新的安全漏洞总是在被不断的发现。权限将是你的最后一道防线！那我们现在就来对这台没有经过任何权限设置，全部采用Windows默认权限的服务器进行一次模拟攻击，看看其是否真的固若金汤。
    
    假设服务器外网域名为http://www.xduba.com，用扫描软件对其进行扫描后发现开放WWW和FTP服务，并发现其服务软件使用的是IIS 5.0和Serv-u 5.1，用一些针对他们的溢出工具后发现无效，遂放弃直接远程溢出的想法。打开网站页面，发现使用的是动网的论坛系统，于是在其域名后面加个/upfile.asp，发现有文件上传漏洞，便抓包，把修改过的ASP木马用NC提交，提示上传成功，成功得到WEBSHELL，打开刚刚上传的ASP木马，发现有MS-SQL、Norton Antivirus和BlackICE在运行，判断是防火墙上做了限制，把SQL服务端口屏蔽了。通过ASP木马查看到了Norton Antivirus和BlackICE的PID，又通过ASP木马上传了一个能杀掉进程的文件，运行后杀掉了Norton Antivirus和BlackICE。再扫描，发现1433端口开放了，到此，便有很多种途径获得管理员权限了，可以查看网站目录下的conn.asp得到SQL的用户名密码，再登陆进SQL执行添加用户，提管理员权限。也可以抓SERV-U下的ServUDaemon.ini修改后上传，得到系统管理员权限。还可以传本地溢出SERV-U的工具直接添加用户到Administrators等等。大家可以看到，一旦黑客找到了切入点，在没有权限限制的情况下，黑客将一帆风顺的取得管理员权限。
    
    那我们现在就来看看Windows 2000的默认权限设置到底是怎样的。对于各个卷的根目录，默认给了Everyone组完全控制权。这意味着任何进入电脑的用户将不受限制的在这些根目录中为所欲为。系统卷下有三个目录比较特殊，系统默认给了他们有限制的权限，这三个目录是Documents and settings、Program files和Winnt。对于Documents and settings，默认的权限是这样分配的：Administrators拥有完全控制权；Everyone拥有读&运，列和读权限；Power users拥有读&运，列和读权限；SYSTEM同Administrators;Users拥有读&运，列和读权限。对于Program files，Administrators拥有完全控制权；Creator owner拥有特殊权限;Power users有完全控制权;SYSTEM同Administrators;Terminal server users拥有完全控制权，Users有读&运，列和读权限。对于Winnt，Administrators拥有完全控制权；Creator owner拥有特殊权限;Power users有完全控制权;SYSTEM同Administrators;Users有读&运，列和读权限。而非系统卷下的所有目录都将继承其父目录的权限，也就是Everyone组完全控制权！

   现在大家知道为什么我们刚刚在测试的时候能一帆风顺的取得管理员权限了吧？权限设置的太低了！一个人在访问网站的时候，将被自动赋予IUSR用户，它是隶属于Guest组的。本来权限不高，但是系统默认给的Everyone组完全控制权却让它“身价倍增”，到最后能得到Administrators了。那么，怎样设置权限给这台WEB服务器才算是安全的呢？大家要牢记一句话：“最少的服务+最小的权限=最大的安全”对于服务，不必要的话一定不要装，要知道服务的运行是SYSTEM级的哦，对于权限，本着够用就好的原则分配就是了。对于WEB服务器，就拿刚刚那台服务器来说，我是这样设置权限的，大家可以参考一下：各个卷的根目录、Documents and settings以及Program files，只给Administrator完全控制权，或者干脆直接把Program files给删除掉；给系统卷的根目录多加一个Everyone的读、写权；给e:\www目录，也就是网站目录读、写权。最后，还要把cmd.exe这个文件给挖出来，只给Administrator完全控制权。经过这样的设置后，再想通过我刚刚的方法入侵这台服务器就是不可能完成的任务了。可能这时候又有读者会问：“为什么要给系统卷的根目录一个Everyone的读、写权？网站中的ASP文件运行不需要运行权限吗？”问的好，有深度。是这样的，系统卷如果不给Everyone的读、写权的话，启动计算机的时候，计算机会报错，而且会提示虚拟内存不足。当然这也有个前提----虚拟内存是分配在系统盘的，如果把虚拟内存分配在其他卷上，那你就要给那个卷Everyone的读、写权。ASP文件的运行方式是在服务器上执行，只把执行的结果传回最终用户的浏览器，这没错，但ASP文件不是系统意义上的可执行文件，它是由WEB服务的提供者----IIS来解释执行的，所以它的执行并不需要运行的权限。

    经过上面的讲解以后，你一定对权限有了一个初步了了解了吧？想更深入的了解权限，那么权限的一些特性你就不能不知道了，权限是具有继承性、累加性 、优先性、交叉性的。
    
    继承性是说下级的目录在没有经过重新设置之前，是拥有上一级目录权限设置的。这里还有一种情况要说明一下，在分区内复制目录或文件的时候，复制过去的目录和文件将拥有它现在所处位置的上一级目录权限设置。但在分区内移动目录或文件的时候，移动过去的目录和文件将拥有它原先的权限设置。
    
    累加是说如一个组GROUP1中有两个用户USER1、USER2，他们同时对某文件或目录的访问权限分别为“读取”和“写入”，那么组GROUP1对该文件或目录的访问权限就为USER1和USER2的访问权限之和，实际上是取其最大的那个，即“读取”+“写入”=“写入”。 又如一个用户USER1同属于组GROUP1和GROUP2，而GROUP1对某一文件或目录的访问权限为“只读”型的，而GROUP2对这一文件或文件夹的访问权限为“完全控制”型的，则用户USER1对该文件或文件夹的访问权限为两个组权限累加所得，即：“只读”+“完全控制”=“完全控制”。
    
    优先性，权限的这一特性又包含两种子特性，其一是文件的访问权限优先目录的权限，也就是说文件权限可以越过目录的权限，不顾上一级文件夹的设置。另一特性就是“拒绝”权限优先其它权限，也就是说“拒绝”权限可以越过其它所有其它权限，一旦选择了“拒绝”权限，则其它权限也就不能取任何作用，相当于没有设置。
    
    交叉性是指当同一文件夹在为某一用户设置了共享权限的同时又为用户设置了该文件夹的访问权限，且所设权限不一致时，它的取舍原则是取两个权限的交集，也即最严格、最小的那种权限。如目录A为用户USER1设置的共享权限为“只读”，同时目录A为用户USER1设置的访问权限为“完全控制”，那用户USER1的最终访问权限为“只读”。
权限设置的问题我就说到这了，在最后我还想给各位读者提醒一下，权限的设置必须在NTFS分区中才能实现的，FAT32是不支持权限设置的。同时还想给各位管理员们一些建议：

1.养成良好的习惯，给服务器硬盘分区的时候分类明确些，在不使用服务器的时候将服务器锁定，经常更新各种补丁和升级杀毒软件。

2.设置足够强度的密码，这是老生常谈了，但总有管理员设置弱密码甚至空密码。

3.尽量不要把各种软件安装在默认的路径下

4.在英文水平不是问题的情况下，尽量安装英文版操作系统。

5.切忌在服务器上乱装软件或不必要的服务。

6.牢记：没有永远安全的系统，经常更新你的知识。 ]]> http://www.xduba.com/article.asp?id=18 lovebzn@163.com(无为) Fri,10 Apr 2009 17:08:31 +0800 http://www.xduba.com/default.asp?id=18
我们将从入侵者入侵的各个环节来作出对应措施
一步步的加固windows系统.
加固windows系统.一共归于几个方面
1.端口限制
2.设置ACL权限
3.关闭服务或组件
4.包过滤
5.审计

我们现在开始从入侵者的第一步开始.对应的开始加固已有的windows系统.

1.扫描
这是入侵者在刚开始要做的第一步.比如搜索有漏洞的服务.
对应措施:端口限制
以下所有规则.都需要选择镜像,否则会导致无法连接
我们需要作的就是打开服务所需要的端口.而将其他的端口一律屏蔽

2.下载信息
这里主要是通过URL SCAN.来过滤一些非法请求
对应措施:过滤相应包
我们通过安全URL SCAN并且设置urlscan.ini中的DenyExtensions字段
来阻止特定结尾的文件的执行


3.上传文件
入侵者通过这步上传WEBSHELL,提权软件,运行cmd指令等等.
对应措施:取消相应服务和功能,设置ACL权限
如果有条件可以不使用FSO的.
通过 regsvr32 /u c:\windows\system32\scrrun.dll来注销掉相关的DLL.
如果需要使用.
那就为每个站点建立一个user用户
对每个站点相应的目录.只给这个用户读,写,执行权限,给administrators全部权限
安装杀毒软件.实时杀除上传上来的恶意代码.
个人推荐MCAFEE或者卡巴斯基
如果使用MCAFEE.对WINDOWS目录所有添加与修改文件的行为进行阻止.

4.WebShell
入侵者上传文件后.需要利用WebShell来执行可执行程序.或者利用WebShell进行更加方便的文件操作.
对应措施:取消相应服务和功能
一般WebShell用到以下组件
WScript.Network
WScript.Network.1
WScript.Shell
WScript.Shell.1
Shell.Application
Shell.Application.1
我们在注册表中将以上键值改名或删除
同时需要注意按照这些键值下的CLSID键的内容
从/HKEY_CLASSES_ROOT/CLSID下面对应的键值删除

5.执行SHELL
入侵者获得shell来执行更多指令
对应措施:设置ACL权限
windows的命令行控制台位于\WINDOWS\SYSTEM32\CMD.EXE
我们将此文件的ACL修改为
某个特定管理员帐户(比如administrator)拥有全部权限.
其他用户.包括system用户,administrators组等等.一律无权限访问此文件.

6.利用已有用户或添加用户
入侵者通过利用修改已有用户或者添加windows正式用户.向获取管理员权限迈进
对应措施:设置ACL权限.修改用户
将除管理员外所有用户的终端访问权限去掉.
限制CMD.EXE的访问权限.
限制SQL SERVER内的XP_CMDSHELL

7.登陆图形终端
入侵者登陆TERMINAL SERVER或者RADMIN等等图形终端,
获取许多图形程序的运行权限.由于WINDOWS系统下绝大部分应用程序都是GUI的.
所以这步是每个入侵WINDOWS的入侵者都希望获得的
对应措施:端口限制
入侵者可能利用3389或者其他的木马之类的获取对于图形界面的访问.
我们在第一步的端口限制中.对所有从内到外的访问一律屏蔽也就是为了防止反弹木马.
所以在端口限制中.由本地访问外部网络的端口越少越好.
如果不是作为MAIL SERVER.可以不用加任何由内向外的端口.
阻断所有的反弹木马.

8.擦除脚印
入侵者在获得了一台机器的完全管理员权限后
就是擦除脚印来隐藏自身.
对应措施:审计
首先我们要确定在windows日志中打开足够的审计项目.
如果审计项目不足.入侵者甚至都无需去删除windows事件.
其次我们可以用自己的cmd.exe以及net.exe来替换系统自带的.
将运行的指令保存下来.了解入侵者的行动.
对于windows日志
我们可以通过将日志发送到远程日志服务器的方式来保证记录的完整性.
evtsys工具(https://engineering.purdue.edu/ECN/Resources/Documents)
提供将windows日志转换成syslog格式并且发送到远程服务器上的功能.
使用此用具.并且在远程服务器上开放syslogd,如果远程服务器是windows系统.
推荐使用kiwi syslog deamon.

我们要达到的目的就是
不让入侵者扫描到主机弱点
即使扫描到了也不能上传文件
即使上传文件了不能操作其他目录的文件
即使操作了其他目录的文件也不能执行shell
即使执行了shell也不能添加用户
即使添加用户了也不能登陆图形终端
即使登陆了图形终端.拥有系统控制权.他的所作所为还是会被记录下来.

额外措施:
我们可以通过增加一些设备和措施来进一步加强系统安全性.
1.代理型防火墙.如ISA2004
代理型防火墙可以对进出的包进行内容过滤.
设置对HTTP REQUEST内的request string或者form内容进行过滤
将Select.Drop.Delete.Insert等都过滤掉.
因为这些关键词在客户提交的表单或者内容中是不可能出现的.
过滤了以后可以说从根本杜绝了SQL 注入
2.用SNORT建立IDS
用另一台服务器建立个SNORT.
对于所有进出服务器的包都进行分析和记录
特别是FTP上传的指令以及HTTP对ASP文件的请求
可以特别关注一下.

本文提到的部分软件在提供下载的RAR中包含
包括COM命令行执行记录
URLSCAN 2.5以及配置好的配置文件
IPSEC导出的端口规则
evtsys
一些注册表加固的注册表项.

实践篇

下面我用的例子.将是一台标准的虚拟主机.
系统:windows2003
服务:[IIS] [SERV-U] [IMAIL] [SQL SERVER 2000] [PHP] [MYSQL]
描述:为了演示,绑定了最多的服务.大家可以根据实际情况做筛减

1.WINDOWS本地安全策略 端口限制
A.对于我们的例子来说.需要开通以下端口
外->本地 80
外->本地 20
外->本地 21
外->本地 PASV所用到的一些端口
外->本地 25
外->本地 110
外->本地 3389
然后按照具体情况.打开SQL SERVER和MYSQL的端口
外->本地 1433
外->本地 3306
B.接着是开放从内部往外需要开放的端口
按照实际情况,如果无需邮件服务,则不要打开以下两条规则
本地->外 53 TCP,UDP
本地->外 25
按照具体情况.如果无需在服务器上访问网页.尽量不要开以下端口
本地->外 80
C.除了明确允许的一律阻止.这个是安全规则的关键.
外->本地 所有协议 阻止

2.用户帐号
a.将administrator改名,例子中改为root
b.取消所有除管理员root外所有用户属性中的
远程控制->启用远程控制 以及
终端服务配置文件->允许登陆到终端服务器
c.将guest改名为administrator并且修改密码
d.除了管理员root,IUSER以及IWAM以及ASPNET用户外.禁用其他一切用户.包括SQL DEBUG以及TERMINAL USER等等

3.目录权限
将所有盘符的权限,全部改为只有
administrators组  全部权限
system  全部权限
将C盘的所有子目录和子文件继承C盘的administrator(组或用户)和SYSTEM所有权限的两个权限
然后做如下修改
C:\Program Files\Common Files 开放Everyone　默认的读取及运行 列出文件目录 读取三个权限
C:\WINDOWS\ 开放Everyone　默认的读取及运行 列出文件目录 读取三个权限
C:\WINDOWS\Temp 开放Everyone 修改,读取及运行,列出文件目录,读取,写入权限
现在WebShell就无法在系统目录内写入文件了.
当然也可以使用更严格的权限.
在WINDOWS下分别目录设置权限.
可是比较复杂.效果也并不明显.

4.IIS
在IIS 6下.应用程序扩展内的文件类型对应ISAPI的类型已经去掉了IDQ,PRINT等等危险的脚本类型,
在IIS 5下我们需要把除了ASP以及ASA以外所有类型删除.
安装URLSCAN
在[DenyExtensions]中
一般加入以下内容
.cer
.cdx
.mdb
.bat
.cmd
.com
.htw  
.ida  
.idq  
.htr  
.idc  
.shtm
.shtml
.stm  
.printer
这样入侵者就无法下载.mdb数据库.这种方法比外面一些在文件头加入特殊字符的方法更加彻底.
因为即便文件头加入特殊字符.还是可以通过编码构造出来的

5.WEB目录权限
作为虚拟主机.会有许多独立客户
比较保险的做法就是为每个客户,建立一个windows用户
然后在IIS的响应的站点项内
把IIS执行的匿名用户.绑定成这个用户
并且把他指向的目录
权限变更为
administrators  全部权限
system  全部权限
单独建立的用户(或者IUSER)  选择高级->打开除 完全控制,遍历文件夹/运行程序,取得所有权 3个外的其他权限.

如果服务器上站点不多.并且有论坛
我们可以把每个论坛的上传目录
去掉此用户的执行权限.
只有读写权限
这样入侵者即便绕过论坛文件类型检测上传了webshell
也是无法运行的.

6.MS SQL SERVER2000
使用系统帐户登陆查询分析器
运行以下脚本
use master
exec sp_dropextendedproc 'xp_cmdshell'
exec sp_dropextendedproc 'xp_dirtree'
exec sp_dropextendedproc 'xp_enumgroups'
exec sp_dropextendedproc 'xp_fixeddrives'
exec sp_dropextendedproc 'xp_loginconfig'
exec sp_dropextendedproc 'xp_enumerrorlogs'
exec sp_dropextendedproc 'xp_getfiledetails'
exec sp_dropextendedproc 'Sp_OACreate'
exec sp_dropextendedproc 'Sp_OADestroy'
exec sp_dropextendedproc 'Sp_OAGetErrorInfo'
exec sp_dropextendedproc 'Sp_OAGetProperty'
exec sp_dropextendedproc 'Sp_OAMethod'
exec sp_dropextendedproc 'Sp_OASetProperty'
exec sp_dropextendedproc 'Sp_OAStop'
exec sp_dropextendedproc 'Xp_regaddmultistring'
exec sp_dropextendedproc 'Xp_regdeletekey'
exec sp_dropextendedproc 'Xp_regdeletevalue'
exec sp_dropextendedproc 'Xp_regenumvalues'
exec sp_dropextendedproc 'Xp_regread'
exec sp_dropextendedproc 'Xp_regremovemultistring'
exec sp_dropextendedproc 'Xp_regwrite'
drop procedure sp_makewebtask
go
删除所有危险的扩展.

7.修改CMD.EXE以及NET.EXE权限
将两个文件的权限.修改到特定管理员才能访问,比如本例中.我们如下修改
cmd.exe   root用户   所有权限
net.exe   root用户   所有权现
这样就能防止非法访问.
还可以使用例子中提供的comlog程序
将com.exe改名_com.exe,然后替换com文件.这样可以记录所有执行的命令行指令

8.备份
使用ntbackup软件.备份系统状态.
使用reg.exe 备份系统关键数据
如reg export HKLM\SOFTWARE\ODBC e:\backup\system\odbc.reg /y
来备份系统的ODBC

9.杀毒
这里介绍MCAFEE 8i 中文企业版
因为这个版本对于国内的许多恶意代码和木马都能够及时的更新.
比如已经能够检测到海阳顶端2006
而且能够杀除IMAIL等SMTP软件使用的队列中MIME编码的病毒文件
而很多人喜欢安装诺顿企业版.而诺顿企业版,对于WEBSHELL.基本都是没有反应的.
而且无法对于MIME编码的文件进行杀毒.
在MCAFEE中.
我们还能够加入规则.阻止在windows目录建立和修改EXE.DLL文件等
我们在软件中加入对WEB目录的杀毒计划.
每天执行一次
并且打开实时监控.

10.关闭无用的服务
我们一般关闭如下服务
Computer Browser
Help and Support
Messenger
Print Spooler
Remote Registry
TCP/IP NetBIOS Helper
如果服务器不用作域控,我们也可以禁用
Workstation

11.取消危险组件
如果服务器不需要FSO
regsvr32 /u c:\windows\system32\scrrun.dll
注销组件
使用regedit
将/HKEY_CLASSES_ROOT下的
WScript.Network
WScript.Network.1
WScript.Shell
WScript.Shell.1
Shell.Application
Shell.Application.1
键值改名或删除
将这些键值下CLSID中包含的字串
如{72C24DD5-D70A-438B-8A42-98424B88AFB8}
到/HKEY_CLASSES_ROOT/CLSID下找到以这些字串命名的键值
全部删除

12.审计
本地安全策略->本地策略->审核策略
打开以下内容
审核策略更改    成功,失败
审核系统事件    成功,失败
审核帐户登陆事件    成功,失败
审核帐户管理    成功,失败 ]]> http://www.xduba.com/article.asp?id=15 lovebzn@163.com(无为) Thu,09 Apr 2009 15:38:24 +0800 http://www.xduba.com/default.asp?id=15
2.建议最好一次性全部安装成ntfs分区，而不要先安装成fat分区再转化为ntfs分区，这样做在安装了sp5和sp6的情况下会导致转化不成功，甚至系统崩溃。  

3.安装ntfs分区有一个潜在的危险，就是目前大多数反病毒软件没有提供对软盘启动后ntfs分区病毒的查杀，这样一旦系统中了恶性病毒而导致系统不能正常启动，后果就比较严重，因此及建议平时做好防病毒工作。  

4.分区和逻辑盘的分配  
推荐的安全配置是建立三个逻辑驱动器，第一个大于2g，用来装系统和重要的日志文件，第二个放iis，第三个放ftp，这样无论iis或ftp出了安全漏洞都不会直接影响到系统目录和系统文件。要知道，iis和ftp是对外服务的，比较容易出问题。而把iis和ftp分开主要是为了防止入侵者上传程序并从iis中运行。  

5.安装顺序的选择：  
win2000在安装中有几个顺序是一定要注意的：  首先，何时接入网络：win2000在安装时有一个漏洞，在你输入administrator密码后，系统就建立了admin$的共享，但是并没有用你刚刚输入的密码来保护它，这种情况一直持续到你再次启动后，在此期间，任何人都可以通过admin$进入你的机器；同时，只要安装一完成，各种服务就会自动运行，而这时的服务器是满身漏洞，非常容易进入的，因此，在完全安装并配置好win2000  server之前，一定不要把主机接入网络。  其次，补丁的安装：补丁的安装应该在所有应用程序安装完之后，因为补丁程序往往要替换/修改某些系统文件，如果先安装补丁再安装应用程序有可能导致补丁不能起到应有的效果，例如：iis的hotfix就要求每次更改iis的配置都需要安装  

6.端口是计算机和外部网络相连的逻辑接口，也是计算机的第一道屏障，端口配置正确与否直接影响到主机的安全，一般来说，仅打开你需要使用的端口会比较安全，配置的方法是在网卡属性-tcp/ip-高级-选项-tcp/ip筛选中启用tcp/ip筛选，不过对于win2000的端口过滤来说，有一个不好的特性：只能规定开哪些端口，不能规定关闭哪些端口，这样对于需要开大量端口的用户就比较痛苦。  

7.iis是微软的组件中漏洞最多的一个，平均两三个月就要出一个漏洞，而微软的iis默认安装又实在不敢恭维，所以iis的配置是我们的重点，现在大家跟着我一起来：首先，把c盘那个什么inetpub目录彻底删掉，在d盘建一个inetpub（要是你不放心用默认目录名也可以改一个名字，但是自己要记得）在iis管理器中将主目录指向d:\inetpub；其次，那个iis安装时默认的什么scripts等虚拟目录一概删除，如果你需要什么权限的目录可以自己慢慢建，需要什么权限开什么。（特别注意写权限和执行程序的权限，没有绝对的必要千万不要给）第三，应用程序配置：在iis管理器中删除必须之外的任何无用映射，必须指的是asp,asa和其他你确实需要用到的文件类型，例如你用到stml等（使用server  side  include），实际上90%的主机有了上面两个映射就够了，其余的映射几乎每个都有一个凄惨的故事：htw,  htr,  idq,  ida……想知道这些故事？去查以前的漏洞列表吧。在iis管理器中右击主机->属性->www服务  编辑->主目录配置->应用程序映射，然后就开始一个个删吧（里面没有全选的，嘿嘿）。接着在刚刚那个窗口的应用程序调试书签内将脚本错误消息改为发送文本（除非你想asp出错的时候用户知道你的程序/网络/数据库结构）错误文本写什么？随便你喜欢，自己看着办。点击确定退出时别忘了让虚拟站点继承你设定的属性。安装新的service  pack后，iis的应用程序映射应重新设置。（说明：安装新的service  pack后，某些应用程序映射又会出现，导致出现安全漏洞。这是管理员较易忽视的一点。）  

为了对付日益增多的cgi漏洞扫描器，还有一个小技巧可以参考，在iis中将http404  object  not  found出错页面通过url重定向到一个定制htm文件，可以让目前绝大多数cgi漏洞扫描器失灵。其实原因很简单，大多数cgi扫描器在编写时为了方便，都是通过查看返回页面的http代码来判断漏洞是否存在的，例如，著名的idq漏洞一般都是通过取1.idq来检验，如果返回http200，就认为是有这个漏洞，反之如果返回http404就认为没有，如果你通过url将http404出错信息重定向到http404.htm文件，那么所有的扫描无论存不存在漏洞都会返回http200，90%的cgi扫描器会认为你什么漏洞都有，结果反而掩盖了你真正的漏洞，让入侵者茫然无处下手,不过从个人角度来说，我还是认为扎扎实实做好安全设置比这样的小技巧重要的多。  

最后，为了保险起见，你可以使用iis的备份功能，将刚刚的设定全部备份下来，这样就可以随时恢复iis的安全配置。还有，如果你怕iis负荷过高导致服务器满负荷死机，也可以在性能中打开cpu限制，例如将iis的最大cpu使用率限制在70%。  

8.帐号尽可能少，且尽可能少用来登录；  
　　说明：网站帐号一般只用来做系统维护，多余的帐号一个也不要，因为多一个帐号就会多一份被攻破的危险。  
除过administrator外，有必要再增加一个属于管理员组的帐号；  
说明：两个管理员组的帐号，一方面防止管理员一旦忘记一个帐号的口令还  
　  有一个备用帐号；另方面，一旦黑客攻破一个帐号并更改口令，我们还有有机会重新在短期内取得控制权。  
　　  
　　所有帐号权限需严格控制，轻易不要给帐号以特殊权限；  
　　将administrator重命名，改为一个不易猜的名字。其他一般帐号也应尊循这一原则。  
　　说明：这样可以为黑客攻击增加一层障碍。  
　　将guest帐号禁用，同时重命名为一个复杂的名字，增加口令，并将它从  
　　guest组删掉；  
　　说明：有的黑客工具正是利用了guest  的弱点，可以将帐号从一般用户提  
　　升到管理员组。  
　　给所有用户帐号一个复杂的口令（系统帐号出外），长度最少在8位以上，  且必须同时包含字母、数字、特殊字符。同时不要使用大家熟悉的单词（如microsoft）、熟悉的键盘顺序（如qwert）、熟悉的数字（如2000）等。  
　　说明：口令是黑客攻击的重点，口令一旦被突破也就无任何系统安全可言了，而这往往是不少网管所忽视的地方，据我们的测试，仅字母加数字的5位口令在几分钟内就会被攻破，而所推荐的方案则要安全的多。  
　　口令必须定期更改（建议至少两周该一次），且最好记在心里，除此以外不要在任何地方做记录；另外，如果在日志审核中发现某个帐号被连续尝试，则必须立刻更改此帐号（包括用户名和口令）；  
　　在帐号属性中设立锁定次数，比如改帐号失败登录次数超过5次即锁定改帐号。这样可以防止某些大规模的登录尝试，同时也使管理员对该帐号提高警惕。  

9.win2000的默认安装是不开任何安全审核的！  
你到本地安全策略->审核策略中打开相应的审核，推荐的审核是：  
账户管理  成功  失败  
登录事件  成功  失败  
对象访问  失败  
策略更改  成功  失败  
特权使用  失败  
系统事件  成功  失败  
目录服务访问  失败  
账户登录事件  成功  失败  
审核项目少的缺点是万一你想看发现没有记录那就一点都没辙；审核项目太多不仅会占用系统资源而且会导致你根本没空去看，这样就失去了审核的意义。  与之相关的是：  
在账户策略->密码策略中设定：  
密码复杂性要求  启用  
密码长度最小值  6位  
强制密码历史  5次  
最长存留期  30天  
在账户策略->账户锁定策略中设定：  
账户锁定  3次错误登录  
锁定时间  20分钟  
复位锁定计数  20分钟  
同样，terminal  service的安全日志默认也是不开的，我们可以在terminal  service  configration（远程服务配置）-权限-高级中配置安全审核，一般来说只要记录登录、注销事件就可以了。  

10.为了控制好服务器上用户的权限，同时也为了预防以后可能的入侵和溢出，nt的访问权限分为：读取、写入、读取及执行、修改、列目录、完全控制。在默认的情况下，大多数的文件夹对所有用户（everyone这个组）是完全敞开的（full  control），你需要根据应用的需要进行权限重设。  
在进行权限控制时，请记住以下几个原则：  
1>限是累计的：如果一个用户同时属于两个组，那么他就有了这两个组所允许的所有权限；  
2>拒绝的权限要比允许的权限高（拒绝策略会先执行）如果一个用户属于一个被拒绝访问某个资源的组，那么不管其他的权限设置给他开放了多少权限，他也一定不能访问这个资源。所以请非常小心地使用拒绝，任何一个不当的拒绝都有可能造成系统无法正常运行；  
3>文件权限比文件夹权限高  
4>利用用户组来进行权限控制是一个成熟的系统管理员必须具有的优良习惯之一；  
5>仅给用户真正需要的权限，权限的最小化原则是安全的重要保障；  

11.只安装一种操作系统；  
　　说明：安装两种以上操作系统，会给黑客以可乘之机，利用攻击使系统重启到另外一个没有安全设置的操作系统（或者他熟悉的操作系统），进而进行破坏。  

12.安装成独立的域控制器（stand  alone）,选择工作组成员，不选择域；  
　　说明：主域控制器（pdc）是局域网中队多台联网机器管理的一种方式，用于网站服务器包含着安全隐患，使黑客有可能利用域方式的漏洞攻击站点服务器。  
　　  

13.将操作系统文件所在分区与web数据包括其他应用程序所在的分区分开，并在安装时最好不要使用系统默认的目录，如将\winnt改为其他目录；  
　　说明：黑客有可能通过web站点的漏洞得到操作系统对操作系统某些程序的执行权限，从而造成更大的破坏。同时如果采用iis的话你应该在其设置中删除掉所有的无用的映射，同时不要安装索引服务，远程站点管理与服务器扩展最好也不要要，然后删掉默认路径下的www，整个删，不要手软，然后再硬盘的另一个硬盘建立存放你网站的文件夹，同时一定记得打开w3c日志纪录，切记（不过本人建议采用apache  1.3.24）  

系统安装过程中一定本着最小服务原则，无用的服务一概不选择，达到系统的最小安装，多一个服务，多一份风险，呵呵，所以无用组件千万不要安装！  

14.关于补丁：在nt下，如果安装了补丁程序，以后如果要从nt光盘上安装新的windows程序,都要重新安装一次补丁程序，  2000下不需要这样做。  
　　说明：  
　　  
　　最新的补丁程序，表示系统以前有重大漏洞，非补不可了，对于局域网内服务器可以不是最新的，但站点必须安装最新补丁，否则黑客可能会利用低版本补丁的漏洞对系统造成威胁。这是一部分管理员较易忽视的一点；  
　　安装nt的sp5、sp6有一个潜在威胁，就是一旦系统崩溃重装nt时，系统将不会认ntfs分区，原因是微软在这两个补丁中对ntfs做了改进。只能通过windows  2000安装过程中认ntfs，这样会造成很多麻烦，建议同时做好数据备份工作。  
　　安装service  pack前应先在测试机器上安装一次，以防因为例外原因导致机器死机，同时做好数据备份。  
　　  
　　尽量不安装与web站点服务无关的软件；  
　　说明：其他应用软件有可能存在黑客熟知的安全漏洞。  

　　  
15.解除netbios与tcp/ip协议的绑定  

　　说明：netbois在局域网内是不可缺少的功能，在网站服务器上却成了黑客扫描工具的首选目标。方法：nt：控制面版——网络——绑定——netbios接口——禁用  2000：控制面版——网络和拨号连接——本地网络——属性——tcp/ip——属性——高级——wins——禁用tcp/ip上的netbios  
　　  
16.删除所有的网络共享资源，在网络连接的设置中删除文件和打印共享，只留下tcp/ip协议  

　　说明：2000在默认情况下有不少网络共享资源，在局域网内对网络管理和网络通讯有用，在网站服务器上同样是一个特大的安全隐患。（卸载"microsoft  网络的文件和打印机共享"。当查看"网络和拨号连接"中的任何连接属性时，将显示该选项。单击"卸载"按钮删除该组件；清除"microsoft  网络的文件和打印机共享"复选框将不起作用。）  
　　方法：  
1>2000:控制面版——管理工具——计算及管理——共享文件夹———停止共享  
　　但上述方法太麻烦，服务器每重启一次，管理员就必须停止一次  
2>修改注册表：  
　  hkey_local_machine\system\currentcontrolset\services\lanmanserver\parameters下增加一个键  
　　name:  autoshareserver  
　　type:  reg_dword  
　　value:  0  
　　然后重新启动您的服务器，磁盘分区共享去掉，但ipc共享仍存在，需每次重启后手工删除。  
　　  
17.改ntfs的安全权限；  
　　说明：ntfs下所有文件默认情况下对所有人（everyone）为完全控制权限，这使黑客有可能使用一般用户身份对文件做增加、删除、执行等操作，建议对一般用户只给予读取权限，而只给管理员和system以完全控制权限，但这样做有可能使某些正常的脚本程序不能执行，或者某些需要写的操作不能完成，这时需要对这些文件所在的文件夹权限进行更改，建议在做更改前先在测试机器上作测试，然后慎重更改。  
　　  
18.加强数据备份；  
　　说明：这一点非常重要，站点的核心是数据，数据一旦遭到破坏后果不堪设想，而这往往是黑客们真正关心的东西；遗憾的是，不少网管在这一点上作的并不好，不是备份不完全，就是备份不及时。数据备份需要仔细计划，制定出一个策略并作了测试以后才实施，而且随着网站的更新，备份计划也需要不断地调整。  
　　  
19.只保留tcp/ip协议，删除netbeui、ipx/spx协议；  
　　说明：网站需要的通讯协议只有tcp/ip，而netbeui是一个只能用于局域网的协议，ipx/spx是面临淘汰的协议，放在网站上没有任何用处，反而会被某些黑客工具利用。　　  
　　  
20.不要起用ip转发功能，控制面板->网络->协议->tcp/ip协议->属性，使这个选框为空。（nt）  
　　说明：缺省情况下，nt的ip转发功能是禁止的，但注意不要启用，否则它会具有路由作用，被黑客利用来对其他服务器进行攻击。  
　　  
21.安装最新的mdac（http://www.microsoft.com/data/download.htm）  
　　说明：mdac为数据访问部件，通常程序对数据库的访问都通过它，但它也是黑客攻击的目标，为防止以前版本的漏洞可能会被带入升级后的版本，建议卸载后安装最新的版本。注意：在安装最新版本前最好先做一下测试，因为有的数据访问方式或许在新版本中不再被支持，这种情况下可以通过修改注册表来档漏洞，祥见漏洞测试文档。  
　　  
22.设置ip拒绝访问列表  
　　说明：对于www服务，可以拒绝一些对站点有攻击嫌疑的地址；尤其对于ftp服务，如果只是自己公司上传文件，就可以只允许本公司的ip访问改ftp服务，这样，安全性大为提高。  
　　  
23.禁止对ftp服务的匿名访问  
　　说明：如果允许对ftp服务做匿名访问，该匿名帐户就有可能被利用来获取更多的信息，以致对系统造成危害。  
　　  
24.建议使用w3c扩充日志文件格式，每天记录客户ip地址，用户名，服务器端口，方法，uri字根，http状态，用户代理，而且每天均要审查日志。（最好不要使用缺省的目录，建议更换一个记日志的路径，同时设置日志的访问权限，只允许管理员和system为full  control）  
　　说明：作为一个重要措施，既可以发现攻击的迹象，采取预防措施，也可以作为受攻击的一个证据。  
　　  
25.慎重设置web站点目录的访问权限，一般情况下，不要给予目录以写入和允许目录浏览权限。只给予.asp文件目录以脚本的权限，而不要给与执行权限。  
　　说明：目录访问权限必须慎重设置，否则会被黑客利用。  

免。  
　　  
26.涉及用户名与口令的程序最好封装在服务器端，尽量少的在asp文件里出现，涉及到与数据库连接地用户名与口令应给予最小的权限。  
　　说明：用户名与口令，往往是黑客们最感兴趣的东西，如果被通过某种方式看到源代码，后果是严重的。因此要尽量减少它们在asp文件中的出现次数。出现次数多得用户名与口令可以写在一个位置比较隐蔽的包含文件中。如果涉及到与数据库连接，理想状态下只给它以执行存储过程的权限，千万不要直接给予该用户以修改、插入、删除记录的权限。  

27.需要经过验证的asp页面，可跟踪上一个页面的文件名，只有从上一页面转进来的会话才能读取这个页面。  
　　说明：现在的需要经过验证的asp程序多是在页面头部加一个判断语句，但这还不够，有可能被黑客绕过验证直接进入，因此有必要跟踪上一个页面。具体漏洞见所附漏洞文档。  
　　  
28.防止asp主页.inc文件泄露问题  
　　当存在asp  的主页正在制作并没有进行最后调试完成以前，可以被某些搜索引擎机动追加为搜索对象，如果这时候有人利用搜索引擎对这些网页进行查找，会得到有关文件的定位，并能在浏览器中察看到数据库地点和结构的细节揭示完整的源代码。  
　　解决方案：应该在网页发布前对其进行彻底的调试；安全专家需要固定asp  包含文件以便外部的用户不能看他们。  首先对  .inc  文件内容进行加密，其次也可以使用  .asp  文件代替  .inc  文件使用户无法从浏览器直接观看文件的源代码。.inc  文件的文件名不用使用系统默认的或者有特殊含义容易被用户猜测到的，尽量使用无规则的英文字母。  
　　  
29.注意某些asp编辑器会自动备份asp文件，会被下载的漏洞  
　　在有些编辑asp程序的工具，当创建或者修改一个asp文件时，编辑器自动创建一个备份文件，比如：ultraedit就会备份一个..bak文件，如你创建或者修改了some.asp，编辑器自动生成一个叫some.asp.bak文件，如果你没有删除这个  bak文件，攻击有可以直接下载some.asp.bak文件，这样some.asp的源程序就会给下载。  
　　在处理类似留言板、bbs等输入框的asp程序中，最好屏蔽掉html、javascript、vbscript语句，如无特殊要求，可以限定只允许输入字母与数字，屏蔽掉特殊字符。同时对输入字符的长度进行限制。而且不但在客户端进行输入合法性检查，同时要在服务器端程序中进行类似检查。  
　　说明：输入框是黑客利用的一个目标，他们可以通过输入脚本语言等对用户客户端造成损坏；  如果该输入框涉及到数据查询，他们会利用特殊查询输入得到更多的数据库数据，甚至是表的全部。因此必须对输入框进行过滤。但如果为了提高效率仅在客户端进行输入合法性检查，仍有可能被绕过，因此必须在服务器端再做一次检查。

30.防止access  mdb  数据库有可能被下载的漏洞  
　　在用access做后台数据库时，如果有人通过各种方法知道或者猜到了服务器的access数据库的路径和数据库名称，那么他能够下载这个access数据库文件，这是非常危险的。  
　　解决方法：  
　　1>为你的数据库文件名称起个复杂的非常规的名字，并把他放在几目录下。所谓  "非常规"，  打个比方：  比如有个数据库要保存的是有关书籍的信息，  可不要把他起个"book.mdb"的名字，起个怪怪的名称，比如d34ksfslf.mdb，  再把他放在如./kdslf/i44/studi/  的几层目录下，这样黑客要想通过猜的方式得到你的access数据库文件就难上加难了。  
　　2>不要把数据库名写在程序中。有些人喜欢把dsn写在程序中，比如：  
　　dbpath  =  server.mappath("cmddb.mdb")  
　　conn.open  "driver={microsoft  access  driver  (*.mdb)};dbq="  &  dbpath  
　　假如万一给人拿到了源程序，你的access数据库的名字就一览无余。因此建议你在odbc里设置数据源，再在程序中这样写：  
　　conn.open  "shujiyuan"  
　　3>使用access来为数据库文件编码及加密。首先在选取  "工具->安全->加密/解密数据库，选取数据库（如：employer.mdb），然后接确定，接着会出现  "数据库加密后另存为"的窗口，存为：employer1.mdb。  接着employer.mdb就会被编码，然后存为employer1.mdb..  
　　要注意的是，以上的动作并不是对数据库设置密码，而只是对数据库文件加以编码，目的是为了防止他人使用别的工具来查看数据库文件的内容。  
　　接下来我们为数据库加密，首先以打开经过编码了的  employer1.mdb，  在打开时，选择"独占"方式。然后选取功能表的"工具->安全->设置数据库密码"，  接着  输入密码即可。这样即使他人得到了employer1.mdb文件，没有密码他是无法看到  employer1.mdb的。  

31.sql  server是nt平台上用的最多的数据库系统，但是它的安全问题也必须引起重视。数据库中往往存在着最有价值的信息，一旦数据被窃后果不堪设想。  
　　  
　　及时更新补丁程序。  
　　说明：与nt一样，sql  server的许多漏洞会由补丁程序来弥补。建议在安装补丁程序之前先在测试机器上做测试，同时提前做好目标服务器的数据备份。  
　　  
　　给sa一个复杂的口令。  
　　说明：sa具有对sql  server数据库操作的全部权限。遗憾的是，一部分网管对数据库并不熟悉，建立数据库的工作由编程人员完成，而这部分人员往往只注重编写sql  语句本身，对sql  server数据库的管理不熟悉，这样很有可能造成sa口令为空。这对数据库安全是一个严重威胁。目前具有这种隐患的站点不在少数。  
　　  
　　严格控制数据库用户的权限，轻易不要给让用户对表有直接的查询、更改、插入、删除权限，可以通过给用户以访问视图的权限，以及只具有执行存储过程的权限。  
　　说明：用户如果对表有直接的操作权限，就会存在数据被破坏的危险。  
　　  
　　制订完整的数据库备份与恢复策略。  

32.目前，pcanywhere是最流行的基于2000的远程控制工具，同样也需要注意安全问题。  
　　  
　　建议采用单独的用户名与口令，最好采用加密手段。千万不要采用与nt管理员一样的用户名与口令，也不要使用与nt集成的口令。同时在服务器端的设置时务必采用security  options中的强加密方式，拒绝低加密水平的连接，同时采用口令加密与传输过程中的用户名与口令加密，以防止被嗅探到，还要限制连接次数，另外很重要的一点就是一定在protect  item中设置高强度的口令，同时一定限制不能够让别人看到你的host端的任何设置，即便是要察看主机端的相关设置也必须要输入口令！  
　　说明：pcanywhere  口令是远程控制的第一个关口，如果与nt的一样，  就失去了安全屏障。被攻破后就毫无安全可言。而如果采用单独的口令，即使攻破了pcanywhere，nt还有一个口令屏障。  
　　及时安装较新的版本。  

33.实际上，安全和应用在很多时候是矛盾的，因此，你需要在其中找到平衡点，毕竟服务器是给用户用而不是做open  hack的，如果安全原则妨碍了系统应用，那么这个安全原则也不是一个好的原则。  网络安全是一项系统工程，它不仅有空间的跨度，还有时间的跨度。很多朋友（包括部分系统管理员）认为进行了安全配置的主机就是安全的，其实这其中有个误区：我只能说一台主机在一定的情况一定的时间上是安全的随着网络结构的变化、新的漏洞的发现，管理员/用户的操作，主机的安全状况是随时随地变化着的，只有让安全意识和安全制度贯穿整个过程才能做到真正的安全。  

提高iis  5.0网站伺服器的执行效率的八种方法  　  
以下是提高iis  5.0网站伺服器的执行效率的八种方法：  
1.  启用http的持续作用可以改善15~20%的执行效率。  　  
2.  不启用记录可以改善5~8%的执行效率。  　  
3.  使用  [独立]  的处理程序会损失20%的执行效率。  　  
4.  增加快取记忆体的保存档案数量，可提高active  server  pages之效能。  　  
5.  勿使用cgi程式。  　  
6.  增加iis  5.0电脑cpu数量。  　  
7.  勿启用asp侦错功能。  　  
8.  静态网页采用http  压缩，大约可以减少20%的传输量。  　  
　  
34.启用http的持续作用（keep-alive）时，iis与浏览器的连线不会断线，可以改善执行效率，直到浏览器关闭时连线才会断线。因为维持「keep-alive」状态时，於每次用户端请求时都不须重新建立一个新的连接，所以将改善伺服器的效率。此功能为http1.1预设的功能，http  1.0加上keep-alive  header也可以提供http的持续作用功能。  
　  
启用http的持续作用可以改善15~20%的执行效率。  　  
如何启用http的持续作用呢？步骤如下：在  [internet服务管理员]  中，选取整个iis电脑、或web站台，於  [内容]  之  [主目录]  页，勾选  [http的持续作用]  选项。  
　  　  
35.不启用记录可以改善5~8%的执行效率。如何设定不启用记录呢？步骤如下：  　  
在  [internet服务管理员]  中，选取整个iis电脑、或web站台，於  [内容]  之  [主目录]  页，不勾选  [启用记录]  选项。设定非独立的处理程序使用  [独立]  的处理程序会损失20%的执行效率，此处所谓  独立」系指将  [主目录]、[虚拟目录]  页之应用程式保护选项设定为  [高（独立的）]  时。因此  [应用程式保护]  设定为  [低  (iis处理程序)]  时执行效率较高如何设定非「独立」的处理程序呢？步骤如下：  在  [internet服务管理员]  中，选取整个iis电脑、web站台、或应用程式的起始目录。於  [内容]  之  [主目录]、[虚拟目录]  页，设定应用程式保护选项为  [低  (iis处理程序)]  。  　  
　  
36.iis  5.0将静态的网页资料暂存於快取（cache）记忆体当中；iis  4.0则将静态的网页资料暂存於档案当中。调整快取（cache）记忆体的保存档案数量可以改善执行效率。asp指令档案执行过後，会在暂存於快取（cache）记忆体中以提高执行效能。增加快取记忆体的保存档案数量，可提高active  server  pages之效能。可以设定所有在整个iis电脑、「独立」web站台、或「独立」应用程式上执行之应用程式的快取记忆体档案数量。如何设定快取（cache）功能呢？步骤如下：在  [internet服务管理员]  中选取整个iis电脑、「独立」web站台、或「独立」应用程式的起始目录。於  [内容]  之  [主目录]、[虚拟目录]  页，按下  [设定]  按钮时，即可由  [处理程序选项]  页设定[指令档快取记忆体]  。如何设定快取（cache）记忆体档案数量呢？步骤如下：在[internet服务管理员]  中，选取整个iis电脑、或web站台的起始目录。於  [内容]  之[伺服器扩充程式]  页，按下  [设定]  按钮。即可设定快取（cache）记忆体档案数量。  
　  
37.使用cgi程式时，因为处理程序（process）须不断地产生与摧毁，造成执行效率不佳。一般而言，执行效率比较如下：  静态网页（static）：100  isapi：50  asp：10  cgi：1  　换句话说，asp比cgi可能快10倍，因此勿使用cgi程式可以改善iis的执行效率。以弹性（flexibility）而言：asp  >  cgi  >  isapi  >  静态网页（static）。以安全（security）而言：asp（独立）  =  isapi（独立）=  cgi  >  asp（非独立）  =  isapi（非独立）=  静态网页（static）  
　  
38.根据微软的测试报告，增加iis  4.0电脑cpu数量，执行效率并不会改善多少；但是增加iis  5.0电脑cpu数量，执行效率会几乎成正比地提供，换句话说，两颗cpu的iis5.0电脑执行效率几乎是一颗cpu电脑的两倍，四颗cpu的iis  5.0电脑执行效率几乎是一颗cpu电脑的四倍iis  5.0将静态的网页资料暂存於快取（cache）记忆体当中；iis  4.0  则将静态的网页资料暂存於档案当中。调整快取（cache）记忆体的保存档案数量可以改善执行效率。  　  
　  
39.勿启用asp侦错功能可以改善执行效率。如何勿启用asp侦错功能呢？步骤如下：於[internet服务管理员]  中，选取web站台、或应用程式的起始目录，按右键选择[内容]，按  [主目录]、[虚拟目录]  或  [目录]  页，按下  [设定]  按钮，选择  [应用程式侦错]  页，不勾选  [启用asp伺服器端指令侦错]、[启用asp用户端指令侦错]  选项。  


40.静态网页采用http  压缩，大约可以减少20%的传输量。http压缩功能启用或关闭，系针对整台iis伺服器来设定。用户端使用ie  5.0浏览器连线到已经启用http压缩iis5.0之web伺服器，才有http压缩功能。如何启用http压缩功能呢？步骤如下：若要启用http  压缩功能，方法为在  [internet服务管理员]  中，选取电脑之  [内容]，於  [主要内容]  之下选取  [www服务]。然後按一下  [编辑]  按钮，於  [服务]  页上，选取  [压缩静态档案]  可以压缩静态档案，不选取  [压缩应用程式档案]  。  　动态产生的内容档案（压缩应用程式档案）也可以压缩，但是须耗费额外cpu处理时间，若%processor  time已经百分之八十或更多时，建议不要压缩  

以上是对采用iis作为web服务器的一些安全相关的设置与其性能调整的参数设置，可以最大化的优化你的iis，不过个人认为如果不存在障碍，还是采用apache比较好一些，漏洞少，建议采用apache  1.3.24版本，因为最近经测试，apache  1.3.23之前的版本都存在溢出漏洞，不要怕，这种漏洞很少的，呵呵。另外，个人建议不要采用asp安全性总不叫人放心，个人认为还是采用jsp好一些，安全性好，功能强大，绝对超值，呵呵，因为php也存在不少的洞洞  
############################################################  ################################  
附：iis安全工具及其使用说明  

一、iis  lock  tool，快速设置iis安全属性  

　　iis  lock  tool的推出，还要感谢红色代码，因为正是红色代码的大面积传播，致使微软设计发布这款帮助管理员们设置iis安全性的工具。  

（一）、iis  lock  tool具有以下功能和特点  

　　１、最基本功能，帮助管理员设置iis安全性；  

　　２、此工具可以在iis4和iis5上使用；  

　　３、即使系统没有及时安装所有补丁，也能有效防止iis4和iis5的已知漏洞；  

　　４、帮助管理员去掉对本网站不必要的一些服务，使iis在满足本网站需求的情况下运行最少的服务；  

　　５、具有两种使用模式：快捷模式和高级模式。快捷模式直接帮助管理员设置好iis安全性，这种模式只适合于只有html和htm静态网页的网站使用，因为设置完成以后，asp不能运行；高级模式允许管理员自己设置各种属性，设置得当，对iis系统任何功能均没有影响。  

（二）、iis  lock  tool的使用  

　　１、软件下载和安装  

　　iis  lock  tool在微软网站下载，下载地址：  
http://www.microsoft.com/downloads/...releaseid=32362  

　　安装很简单，需要注意的是，安装以后，程序不会在系统的【程序】菜单出现，也不会在【管理工具】出现，需要安装者在安装目录寻找运行该程序。  

　　２、软件的使用  

　　在以下的介绍中，我们将详细介绍每一步设置的意义和推荐设置，之所以详细介绍，是为了我们明白这些设置到底意味着什么，同时，和我们原来的安全设置相对照，避免出现设置完成以后，系统出现.

　　以上界面介绍了iis  lock  tool的一些基本情况和使用时需要注意的地方：1）使用时应该选择针对本网站最少的服务，去掉不必要的服务；2）设置完成以后，建议对网站进行彻底检查，以确定设置对本网站是否合适；  

　　在以上，点击【下一步】按钮  


以上选择快捷模式还是高级模式来运行软件，在这里，软件介绍了两者模式的区别：  

　快捷模式：此设置模式关闭了iis的一些高级服务属性，其中包括动态网页属性（asp）；所以，我们需要再重复一遍，选择快捷模式只适合提供静态页面的网站，当然，这种模式是相对最安全的。  

　　高级模式：此模式运行安装者自定义各种属性，同时允许高级属性的运行。  

　　快捷模式设置我们不必介绍，点击【下一步】按钮就可以设置完成。我们选择【advanced  lockdown】（高级设置），点击【下一步】按钮  


　　以上帮助管理员设置各种脚本映射，我们来看每一种映射应该怎样设置：  

　　1）disable  support  active  server  pages(asp)，选择这种设置将使iis不支持asp功能；可以根据网站具体情况选择，一般不选择此项，因为网站一般要求运行asp程序；  

　　2）disable  support  index  server  web  interface(.idq,.htw,.ida)，选择这一项将不支持索引服务，具体就是不支持.idq,.htw,.ida这些文件。我们先来看看到底什么是索引服务，然后来决定取舍。索引服务是iis4中包含的内容索引引擎。你可以对它进行ado调用并搜索你的站点，它为你提供了一个很好的web  搜索引擎。如果你的网站没有利用索引服务对网站进行全文检索，也就可以取消网站的这个功能，取消的好处是：1）减轻系统负担；2）有效防止利用索引服务漏洞的病毒和黑客，因为索引服务器漏洞可能使攻击者控制网站服务器，同时，暴露网页文件在服务器上的物理位置（利用.ida、.idq）。因此，我们一般建议在这一项前面打勾，也就是取消索引服务；  

　3）disable  support  for  server  side  includes（.shtml,.shtm,.stm），取消服务器端包含；先来看看什么叫服务器端包含，ssi就是html文件中，可以通过注释行调用的命令或指针。ssi  具有强大的功能，只要使用一条简单的ssi  命令就可以实现整个网站的内容更新，动态显示时间和日期，以及执行shell和cgi脚本程序等复杂的功能。一般而言，我们没有用到这个功能，所以，建议取消；取消可以防止一些iis潜在地漏洞；  

　　4）disable  for  internet  data  connector(.idc)，取消internet数据库连接；先看internet数据库连接的作用，它允许html页面和后台数据库建立连接，实现动态页面。需要注意的是，iis4和iis5中基本已经不使用idc，所以，建议在此项打勾，取消idc；  

　　5）disable  support  for  internet  printing  (.printer)，取消internet打印；这一功能我们一般没有使用，建议取消；取消的好处是可以避免.printer远程缓存溢出漏洞，这个漏洞使攻击者可以利用这个漏洞远程入侵iis  服务器，并以系统管理员(system)身份执行任意命令；  

　　6）disable  support  for  .htr  scripting（.htr），取消htr映射；攻击者通过htr构造特殊的url请求，可能导致网站部分文件源代码暴露（包括asp），建议在此项前面打勾，取消映射；  

　　理解以上各项设置以后，我们可以根据本网站情况来决定取舍，一般网站除了asp要求保留以外，其他均可以取消，也就是全消第一项前面的勾，其他全部打勾，按【下一步】按钮  

以上设置可以让管理员选择一些iis默认安装文件的保留与否，我们来看怎样选择：  

　　1）remove  sample  web  files，删除web例子文件；建议删除，因为一般我们不需要在服务器上阅读这些文件，而且，这些文件可能让攻击者利用来阅读部分网页源程序代码（包括asp）；  

　　2）remove  the  scripts  vitual  directory，删除脚本虚拟目录；建议删除；  

　　3）remove  the  msdac  virtual  directory，删除msdac虚拟目录，建议删除；  

　　4）disable  distribauted  authoring  and  versioning(webdav)，删除webdav，webdav主要允许管理者远程编写和修改页面，一般我们不会用到，建议删除，删除的好处是可以避免iis5的一个webdav漏洞，该漏洞可能导致服务器停止。  

　　5）set  file  permissions  to  prevent  the  iis  anouymous  user  from  executing  system  utilities(such  as  cmd.exe,tftp.exe)，防止匿名用户运行可执行文件，比如cmd.exe和tftp.exe；建议选择此项，因为红色代码和尼姆达均利用了以上所说的匿名执行可执行文件的功能；  

　　6）set  file  permissions  to  prevent  the  iis  anouymous  user  from  writing  to  content  directories，防止匿名用户对目录具有写权限，这个不要解释，建议选择；  

　　设置以上选项以后，按【下一步】按钮  

　　要求确认是否接受以上设置，选择【是】，开始对系统执行设置：  

　　在以上中，我们可以看到对iis的详细设置情况。设置完成以后，建议重新启动iis。  
############################################################  ################################  
41.仔细观察iis的漏洞，我们几乎可以得出这样一个结论，所有利用这些漏洞实现对网站攻击的手段均是构造特殊的url来访问网站，一般有以下几种类型的url可以利用漏洞：  

　　１、特别长的url，比如红色代码攻击网站的url就是这样：  

get/default.idaxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx  xxxxxx  
xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx  xxxxxx  
xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx  xxxxxx  
xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx%u9090%u6858%ucbd3%u  7801%u  
9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%u7801%u9090%u9090%u  8190%u  
00c3%u0003%u8b00%u531b%u53ff%u0078%u0000%u00=a  200；  

　２、特殊字符或者字符串的url，比如在url后面加::$data可以看到网页（asp）源代码；  

　　３、url中含有可执行文件名，最常见的就是有cmd.exe；  

　　既然这些攻击利用特殊的url来实现，所以，微软提供了这款专门过滤非法url的安全工具，可以达到御敌于国门之外的效果，这款工具有以下特点和功能：  

　　１、基本功能：过滤非法url请求；  

　　２、设定规则，辨别那些url请求是合法的；这样，就可以针对本网站来制定专门的url请求规则；同时，当有新的漏洞出现时，可以更改这个规则，达到防御新漏洞的效果；  

　　３、程序提供一套url请求规则，这个规则包含已经发现的漏洞利用特征，帮助管理员设置规则；  

42.urlscan可以在微软的网站上下载，地址如下：  

http://download.microsoft.com/downl...-us/urlscan.exe  

　　和一般软件一样安装，但是，此软件不能选择安装路径，安装完成以后，我们可以在system32/inetsvr/urlscan目录下找到以下文件：  

　　urlscan.dll：动态连接库文件；  
　　urlscan.inf：安装信息文件；  
　　urlscan.txt：软件说明文件；  
　　urlscan.ini：软件配置文件，这个文件很只要，因为对urlscan的所有配置，均有这个文件来完成。  

43.软件的配置由urlscan.ini文件来完成，在配置此文件以前，我们需要了解一些基本知识。  

　１、urlscan配置文件的构造形式  

　　urlscan配置文件必须遵从以下规则：  

　　（1）此文件名必须为urlscan.ini；  

　　（2）配置文件必须和urlscan.dll在同一目录；  

　　（3）配置文件必须是标准ini文件结构，也就是由节，串和值组成；  

　　（4）配置文件修改以后，必须重新启动iis，使配置生效；  

　　（5）配置文件由以下各节组成：  

　　[option]节，主要设置节；  
　　[allowverbs]节，配置认定为合法url规则设定，此设定与option节有关；  
　　[denyverbs]节，配置认定为非法url规则设定，此设定与option节有关；  
　　[denyheaders]节，配置认定为非法的header在设立设置；  
　　[allowextensions]节，配置认定为合法的文件扩展名在这里设置，此设定与option节有关；  
　　[denyextensions]节，配置认定为非法的文件扩展名在这里设置，此设定与option节有关；  

　　２、具体配置  

　　（1）option节的配置，因为option节的设置直接影响到以后的配置，因此，这一节的设置特别重要。此节主要进行以下属性的设置：  

　　useallowverbs：使用允许模式检查url请求，如果设置为1,所有没有在[allowverbs]节设置的请求都被拒绝；如果设置为0，所有没有在[denyverbs]设置的url请求都认为合法；默认为1;  

　　useallowextensions：使用允许模式检测文件扩展名；如果设置为  1,所有没在[allowextensions]节设置的文件扩展名均认为是非法请求；如果设置为0,所有没在[denyextensions]节设置的扩展名均被认为是合法请求；默认为0;  

　　enablelogging：是否允许使用log文件，如果为1,将在urlscan.dll的相同目录设置名为urlscan.log的文件记录所有过滤；  

　　allowlatescanning：允许其他url过滤在urlscan过滤之前进行，系统默认为不允许0;  

　　alternateservername：使用服务名代替；如果此节存在而且[removeserverheader]节设置为0,iis将在这里设置的服务器名代替默认的"server"；  

　　normalizeurlbeforescan：在检测url之前规格化url；如果为1，urlscan将在iis编码url之前url进行检测；需要提醒的是，只有管理员对url解析非常熟悉的情况下才可以将其设置为0；默认为1；  

　　verifynormalization：如果设置为1，urlscan将校验url规则，默认为1；此节设定与normalizeurlbeforescan有关；  

　　allowhighbitcharacters：如果设置为1,将允许url中存在所有字节，如果为0，含有非ascii字符的url将拒绝；默认为1；  

　　allowdotinpath：如果设置为1，将拒绝所有含有多个"."的url请求，由于url检测在iis解析url之前，所以，对这一检测的准确性不能保证，默认为0；  

　　removeserverheader：如果设置为1，将把所有应答的服务头清除，默认为0;  

　　（2）[allowverbs]节配置  

　　如果useallowverbs设置为1,此节设置的所有请求将被允许，一般设置以下请求：  

　　get、head、post  

　　（3）[denyverbs]节配置  

　　如果useallowverbs设置为0，此节设置的所有请求将拒绝，一般设置以下请求：  

　　propfind、proppatch、mkcol、delete、put、copy、move、lock、unlock  

　　（4）[allowextensions]节设置  

　　在这一节设置的所有扩展名文件将被允许请求，一般设置以下请求：  

　　.asp、.htm、.html、.txt、.jpg、.jpeg、.gif，如果需要提供文件下载服务，需要增加.rar、.zip  

　　（5）[denyextensions]节设置  

　　在这一节设置的所有扩展名文件请求将被拒绝，根据已经发现的漏洞，我们可以在这一节增加内容，一般为以下设置：  
.asa、可执行文件、批处理文件、日志文件、罕见扩展如：shtml、.printer等。  


44.以上两个工具功能强大，可以真正实现对iis的保护。iis  lock  tool简单，相对而言，只是被动的防卫；urlscan设置比较难，建议对iis非常熟悉的管理员使用，只要设置得当，urlscan的功能更加强大。在使用urlscan的时候，切记不要设置一次万事大吉，需要不停跟踪新出现的漏洞，随时修改urlscan的配置文件。

45.win2000的默认安装允许任何用户通过空用户得到系统所有账号/共享列表，这个本来是为了方便局域网用户共享文件的，但是一个远程用户也可以得到你的用户列表并使用暴力法破解用户密码。很多朋友都知道可以通过更改注册表local_machine\system\currentcontrolset\control\lsa-restrictanonymous  =  1来禁止139空连接，实际上win2000的本地安全策略（如果是域服务器就是在域服务器安全和域安全策略中）就有这样的选项restrictanonymous（匿名连接的额外限制），这个选项有三个值：  0：none.  rely  on  default  permissions（无，取决于默认的权限  1  ：do  not  allow  enumeration  of  sam  accounts  and  shares（不允许枚举sam帐号和共享）  2：no  access  without  explicit  anonymous  permissions（没有显式匿名权限就不允许访问）  0这个值是系统默认的，什么限制都没有，远程用户可以知道你机器上所有的账号、组信息、共享目录、网络传输列表(netservertransportenum等等，对服务器来说这样的设置非常危险。  1这个值是只允许非null用户存取sam账号信息和共享信息。  2这个值是在win2000中才支持的，需要注意的是，如果你一旦使用了这个值，你的共享估计就全部完蛋了，所以我推荐你还是设为1比较好。  好了，入侵者现在没有办法拿到我们的用户列表，我们的账户安全了  

46.禁止显示上次登陆的用户名hkey_local_machine\software\microsoft\windowsnt\currentversion\winlogon项中的don““t  display  last  user  name串数据改成1，这样系统不会自动显示上次的登录用户名。将服务器注册表hkey_local_  machine\software\microsoft\  
windowsnt\currentversion\winlogon项中的dont  display  last  user  name串数据修改为1，隐藏上次登陆控制台的用户名。其实，在2000的本地安全策略中也存在该选项  
winnt4.0修改注册表：  
　　hkey_local_machine\software\microsoft\windows  nt\current  version\winlogon  中增加dontdisplaylastusername，将其值设为1。  

47.在注册表hklm\system\currentcontrolset\services\tcpip\parameters中更改以下值可以帮助你防御一定强度的dos攻击  synattackprotect  reg_dword  2  
enablepmtudiscovery  reg_dword  0  nonamereleaseondemand  reg_dword  1  
enabledeadgwdetect  reg_dword  0  keepalivetime  reg_dword  300,000  
performrouterdiscovery  reg_dword  0  enableicmpredirects  reg_dword  0  

48.打开本地安全策略，选择ip安全策略，在这里我们可以定义自己的ip安全策略。一个ip安全过滤器由两个部分组成：过滤策略和过滤操作，过滤策略决定哪些报文应当引起过滤器的关注，过滤操作决定过滤器是"允许"还是"拒绝"报文的通过。要新建ip安全过滤器，必须新建自己的过滤策略和过滤操作：右击本机的ip安全策略，选择管理ip过滤器，在ip过滤器管理列表中建立一个新的过滤规则：icmp_any_in，源地址选任意ip，目标地址选本机，协议类型是icmp，切换到管理过滤器操作，增加一个名为deny的操作，操作类型为"阻止"（block）。这样我们就有了一个关注所有进入icmp报文的过滤策略和丢弃所有报文的过滤操作了。需要注意的是，在地址选项中有一个镜像选择，如果选中镜像，那么将会建立一个对称的过滤策略，也就是说当你关注any  ip->my  ip的时候，由于镜像的作用，实际上你也同时关注了my  ip->any  ip，你可以根据自己的需要选择或者放弃镜像。再次右击本机的ip安全策略，选择新建ip过滤策略，建立一个名称为icmp  filter的过滤器，通过增加过滤规则向导，我们把刚刚定义的icmp_any_in过滤策略指定给icmp  filter，然后在操作选框中选择我们刚刚定义的deny操作，退出向导窗口，右击icmp  filter并启用它，现在任何地址进入的icmp报文都会被丢弃了。  
　　虽然用ip  sec能够对icmp报文进行过滤，不过操作起来太麻烦，而且如果你只需要过滤特定的icmp报文，还要保留一些常用报文（如主机不可达、网络不可达等），ip  sec策略就力不从心了，我们可以利用win2000的另一个强大工具路由与远程访问控制（routing  &  remote  access）来完成这些复杂的过滤操作。  

　　路由与远程访问控制是win2000用来管理路由表、配置vpn、控制远程访问、进行ip报文过滤的工具，默认情况下并没有安装，所以首先你需要启用它，打开"管理工具"->"路由与远程访问"，右击服务器（如果没有则需要添加本机）选择"配置并启用路由及远程访问"，这时配置向导会让你选择是什么样的服务器，一般来说，如果你不需要配置vpn服务器，那么选择"手动配置"就可以了，配置完成后，主机下将出现一个ip路由的选项，在"常规"中选择你想配置的网卡（如果你有多块网卡，你可以选择关闭某一块的icmp），在网卡属性中点击"输入筛选器"，添加一条过滤策略"from:any　to:any　协议:icmp　类型:8  :编码　丢弃"就可以了（类型8编码0就是ping使用的icmp_echo报文，如果要过滤所有的icmp报文只需要将类型和编码都设置为255）  

49.改变windows系统的一些默认值（例如：数据包的生存时间(ttl)值，不同系统有不同的值，有经验的人可以根据ttl的不同的值判断对方使用的是何种操作系统（例如windows  2000默认值128)

hkey_local_machine\system\currentcontrolset\services\tcpip\p  arameters  

defaultttl  reg_dword  0-0xff(0-255  十进制,默认值128)  

说明:指定传出ip数据包中设置的默认生存时间(ttl)值.ttl决定了ip数据包在到达  
目标前在网络中生存的最大时间.它实际上限定了ip数据包在丢弃前允许通过的路由  
器数量.有时利用此数值来探测远程主机操作系统.  

50.防止icmp重定向报文的攻击  
hkey_local_machine\system\currentcontrolset\services\tcpip\p  arameters  

enableicmpredirects  reg_dword  0x0(默认值为0x1)  

说明:该参数控制windows  2000是否会改变其路由表以响应网络设备(如路由器)发送给它的icmp重定向消息,有时会被利用来干坏事.win2000中默认值为1,表示响应icmp重定向报文.  

51.禁止响应icmp路由通告报文  
hkey_local_machine\system\currentcontrolset\services\tcpip\p  arameters\interfaces\interface  
performrouterdiscovery  reg_dword  0x0(默认值为0x2)  

说明:"icmp路由公告"功能可造成他人计算机的网络连接异常,数据被窃听,计算机被用于流量攻击等严重后果.此问题曾导致校园网某些局域网大面积,长时间的网络异常.因此建议关闭响应icmp路由通告报文.win2000中默认值为2,表示当dhcp发送路由器发现选项时启用  

52.防止syn洪水攻击  
hkey_local_machine\system\currentcontrolset\services\tcpip\p  arameters  

synattackprotect  reg_dword  0x2(默认值为0x0)  

说明:syn攻击保护包括减少syn-ack重新传输次数,以减少分配资源所保留的时  
间.路由缓存项资源分配延迟,直到建立连接为止.如果synattackprotect=2,  
则afd的连接指示一直延迟到三路握手完成为止.注意,仅在tcpmaxhalfopen和  
tcpmaxhalfopenretried设置超出范围时,保护机制才会采取措施.  

53.禁止c$、d$一类的缺省共享  
hkey_local_machine\system\currentcontrolset\services\lanmans  erver\parameters  
autoshareserver、reg_dword、0x0  

54.禁止admin$缺省共享  
hkey_local_machine\system\currentcontrolset\services\lanmans  erver\parameters  
autosharewks、reg_dword、0x0  
10.限制ipc$缺省共享  
hkey_local_machine\system\currentcontrolset\control\lsa  

restrictanonymous  reg_dword  0x0  缺省  
0x1  匿名用户无法列举本机用户列表  
0x2  匿名用户无法连接本机ipc$共享  
说明:不建议使用2，否则可能会造成你的一些服务无法启动，如sql  server  

55.不支持igmp协议  
hkey_local_machine\system\currentcontrolset\services\tcpip\p  arameters  

igmplevel  reg_dword  0x0(默认值为0x2)  

说明:记得win9x下有个bug,就是用可以用igmp使别人蓝屏,修改注册表可以修正这个  
bug.win2000虽然没这个bug了,但igmp并不是必要的,因此照样可以去掉.改成0后用  
route  print将看不到那个讨厌的224.0.0.0项了.  

56.设置arp缓存老化时间设置  
hkey_local_machine\system\currentcontrolset\services:\tcpip\  parameters  

arpcachelife  reg_dword  0-0xffffffff(秒数,默认值为120秒)  
arpcacheminreferencedlife  reg_dword  0-0xffffffff(秒数,默认值为600)  

说明:如果arpcachelife大于或等于arpcacheminreferencedlife,则引用或未引用的arp缓存项在arpcachelife秒后到期.如果arpcachelife小于阿arpcacheminreferencedlife,未引用项在arpcachelife秒后到期,而引用项在arpcacheminreferencedlife秒后到期.每次将出站数据包发送到项的ip地址时,就会引用arp缓存中的项。  

57.禁止死网关监测技术  
hkey_local_machine\system\currentcontrolset\services:\tcpip\  parameters  

enabledeadgwdetect  reg_dword  0x0(默认值为ox1)  

说明:如果你设置了多个网关,那么你的机器在处理多个连接有困难时,就会自动改用备份网关.有时候这并不是一项好主意,建议禁止死网关监测.  

58.不支持路由功能  
hkey_local_machine\system\currentcontrolset\services:\tcpip\  parameters  

ipenablerouter  reg_dword  0x0(默认值为0x0)  

说明:把值设置为0x1可以使win2000具备路由功能,由此带来不必要的问题.  

59.做nat时放大转换的对外端口最大值  
hkey_local_machine\system\currentcontrolset\services:\tcpip\  parameters  

maxuserport  reg_dword  5000-65534(十进制)(默认值0x1388--十进制为5000)  

说明:当应用程序从系统请求可用的用户端口数时,该参数控制所使用的最大端口数.正常情况下,短期端口的分配数量为1024-5000.将该参数设置到有效范围以外时,就会使用最接近的有效数值(5000或65534).使用nat时建议把值放大点.  

60.修改mac地址  
hkey_local_machine\system\currentcontrolset\control\class\  

找到右窗口的说明为"网卡"的目录,  
比如说是{4d36e972-e325-11ce-bfc1-08002be10318}  

展开之,在其下的0000,0001,0002...的分支中找到"driverdesc"的键值为你网卡的说明,比如说"driverdesc"的值为"intel?  82559  fast  ethernet  lan  on  motherboard"然后在右窗口新建一字符串值,名字为"networkaddress",内容为你想要的mac值，比如说是"004040404040"然后重启动计算机，ipconfig  /all看看.  

61.防止密码被dump，你只需在服务里面关掉remote  regisitery  servicess
\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\  \\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\  
看看吧!希望你能有收获

----------------
他的第四部  我认为不可行，4.分区和逻辑盘的分配  
推荐的安全配置是建立三个逻辑驱动器，第一个大于2g，用来装系统和重要的日志文件
我个人一般采用   C系统   除了必须安装在C的其他都不装C， 数据库和网站程序，也都分开存放不同的盘符。条件好的可以多加两块硬盘。一块做备份，正在使用的和备份的不在同一快硬盘，一般应该损坏也不可能都坏了。如果都坏了，你运气也太背了。  有条件还可以做磁盘阵列。
------------------
第二招：正确设置磁盘的安全性,具体如下(虚拟机的安全设置，我们以asp程序为例子)重点：

　　1、系统盘权限设置

　　C:分区部分：

　　c:\

　　administrators 全部(该文件夹，子文件夹及文件)

　　CREATOR OWNER　全部(只有子文件来及文件)

　　system 全部(该文件夹，子文件夹及文件)

　　IIS_WPG 创建文件/写入数据(只有该文件夹)

　　IIS_WPG(该文件夹，子文件夹及文件)

　　遍历文件夹/运行文件

　　列出文件夹/读取数据

　　读取属性

　　创建文件夹/附加数据

　　读取权限

　　

　　c:\Documents and Settings

　　administrators 全部(该文件夹，子文件夹及文件)

　　Power Users (该文件夹，子文件夹及文件)

　　读取和运行

　　列出文件夹目录

　　读取

　　SYSTEM全部(该文件夹，子文件夹及文件)

　　

　　C:\Program Files

　　administrators 全部(该文件夹，子文件夹及文件)

　　CREATOR OWNER全部(只有子文件来及文件)

　　IIS_WPG (该文件夹，子文件夹及文件)

　　读取和运行

　　列出文件夹目录

　　读取

　　Power Users(该文件夹，子文件夹及文件)

　　修改权限

　　SYSTEM全部(该文件夹，子文件夹及文件)

　　TERMINAL SERVER USER (该文件夹，子文件夹及文件)

　　修改权限
第三招：禁用不必要的服务，提高安全性和系统效率

　　Computer Browser 维护网络上计算机的最新列表以及提供这个列表

　　　　Task scheduler 允许程序在指定时间运行

　　　　Routing and Remote Access 在局域网以及广域网环境中为企业提供路由服务

　　　　Removable storage 管理可移动媒体、驱动程序和库

　　　　Remote Registry Service 允许远程注册表操作

　　　　Print Spooler 将文件加载到内存中以便以后打印。要用打印机的朋友不能禁用这项

　　　　IPSEC Policy Agent 管理IP安全策略以及启动ISAKMP/OakleyIKE)和IP安全驱动程序

　　　　Distributed Link Tracking Client 当文件在网络域的NTFS卷中移动时发送通知

　　　　Com+ Event System 提供事件的自动发布到订阅COM组件

　　Alerter 通知选定的用户和计算机管理警报

　　Error Reporting Service 收集、存储和向 Microsoft 报告异常应用程序

　　　Messenger 传输客户端和服务器之间的 NET SEND 和 警报器服务消息

　　Telnet 允许远程用户登录到此计算机并运行程序

第四招:修改注册表，让系统更强壮

　　1、隐藏重要文件/目录可以修改注册表实现完全隐藏：HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\ Windows\ Current-Version\Explorer\Advanced\Folder\Hi-dden\SHOWALL”，鼠标右击 “CheckedValue”，选择修改，把数值由1改为0

　　　　2、启动系统自带的Internet连接_blank">防火墙，在设置服务选项中勾选Web服务器。

　　　　3、防止SYN洪水攻击

　　　　HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters

　　新建DWORD值，名为SynAttackProtect，值为2

　　EnablePMTUDiscovery REG_DWORD 0

　　NoNameReleaseOnDemand REG_DWORD 1

　　EnableDeadGWDetect REG_DWORD 0

　　KeepAliveTime REG_DWORD 300,000

　　PerformRouterDiscovery REG_DWORD 0

　　EnableICMPRedirects REG_DWORD 0

　　　　4. 禁止响应ICMP路由通告报文

　　　　HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\interface

　　　　新建DWORD值，名为PerformRouterDiscovery 值为0

　　　　5. 防止ICMP重定向报文的攻击

　　　　HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters

　　　　将EnableICMPRedirects 值设为0

　　　　6. 不支持IGMP协议

　　　　HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters

　　新建DWORD值，名为IGMPLevel 值为0

　　7.修改终端服务端口

　　运行regedit，找到[HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Control \ Terminal Server \ Wds \ rdpwd \ Tds \ tcp]，看到右边的PortNumber了吗？在十进制状态下改成你想要的端口号吧，比如7126之类的，只要不与其它冲突即可。

　　　　2、第二处HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Control \ Terminal Server \ WinStations \ RDP-Tcp，方法同上，记得改的端口号和上面改的一样就行了。

　　8、禁止IPC空连接：

　　　cracker可以利用net use命令建立空连接，进而入侵，还有net view，nbtstat这些都是基于空连接的，禁止空连接就好了。打开注册表，找到Local_Machine\System\ CurrentControlSet\Control\LSA-RestrictAnonymous 把这个值改成”1”即可。

　　9、更改TTL值

　　　 cracker可以根据ping回的TTL值来大致判断你的操作系统，如：

　　TTL=107(WINNT);

　　TTL=108(win2000);

　　TTL=127或128(win9x);

　　TTL=240或241(linux);

　　TTL=252(solaris);

　　TTL=240(Irix);

　　实际上你可以自己更改的：HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ Tcpip\Parameters：DefaultTTL REG_DWORD 0-0xff(0-255 十进制,默认值128)改成一个莫名其妙的数字如258，起码让那些小菜鸟晕上半天，就此放弃入侵你也不一定哦

　　10. 删除默认共享

　　　有人问过我一开机就共享所有盘，改回来以后，重启又变成了共享是怎么回事，这是2K为管理而设置的默认共享，必须通过修改注册表的方式取消它： HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters： AutoShareServer类型是REG_DWORD把值改为0即可

　　11. 禁止建立空连接

　　默认情况下，任何用户通过通过空连接连上服务器，进而枚举出帐号，猜测密码。我们可以通过修改注册表来禁止建立空连接：

　　Local_Machine\System\CurrentControlSet\Control\LSA-RestrictAnonymous 的值改成”1”即可。
]]> http://www.xduba.com/article.asp?id=14 lovebzn@163.com(无为) Thu,09 Apr 2009 15:27:22 +0800 http://www.xduba.com/default.asp?id=14
　　1． 用户口令设置　　

　　设置一个键的密码，在很大程度上可以避免口令攻击。密码设置的字符长度应当在8个以上，最好是字母、数字、特殊字符的组合，如“psp53,@pq”、“skdfksadf10@”等，可以有效地防止暴力破解。最好不要用自己的生日、手机号码、电话号码等做口令。　　

　　2． 删除默认共享　　

　　单击“开始→运行”，输入“gpedit.msc”后回车，打开组策略编辑器。依次展开“用户配置→Windows 设置→脚本(登录/注销)”，双击登录项，然后添加“delshare.bat”（参数不需要添加），从而删除Windows 2003默认的共享。　　

　　接下来再禁用IPC连接：打开注册表编辑器，依次展开[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa ]分支，在右侧窗口中找到“restrictanonymous”子键，将其值改为“1”即可。　　

　　3． 关闭自动播放功能　　

　　自动播放功能不仅对光驱起作用，而且对其它驱动器也起作用，这样很容易被黑客利用来执行黑客程序。　　

　　打开组策略编辑器，依次展开“计算机配置→管理模板→系统”，在右侧窗口中找到“关闭自动播放”选项并双击，在打开的对话框中选择“已启用”，然后在“关闭自动播放”后面的下拉菜单中选择“所有驱动器”，按“确定”即可生效。　　

　　4． 清空远程可访问的注册表路径　　

　 将远程可访问的注册表路径设置为空，这样可以有效防止黑客利用扫描器通过远程注册表读取计算机的系统信息及其它信息。 　　

　　打开组策略编辑器，依次展开“计算机配置→Windows 设置→安全设置→安全选项”，在右侧窗口中找到“网络访问：可远程访问的注册表路径”，然后在打开的如图所的窗口中，将可远程访问的注册表路径和子路径内容全部删除。四招加强Windows 2003安全性。
]]>