Windows Server2003 服务器安全设置技术实例

血腥魔术师

WindowsServer2003 + IIS6.0 + ASP + NET + PHP + PERL + MSSQL + MYSQL 最新服务器安全设置技术实例
1、服务器安全设置之--硬盘权限篇

这里着重谈需要的权限，也就是最终文件夹或硬盘需要的权限，可以防御各种木马入侵，提权攻击，跨站攻击等。本实例经过多次试验，安全性能很好，服务器基本没有被木马威胁的担忧了。

硬盘或文件夹: C:\\ D:\\ E:\\ F:\\ 类推
主要权限部分： 其他权限部分：
Administrators 完全控制 无
如果安装了其他运行环境，比如PHP等，则根据PHP的环境功能要求来设置硬盘权限，一般是安装目录加上users读取运行权限就足够了，比如c:\\php的话，就在根目录权限继承的情况下加上users读取运行权限，需要写入数据的比如tmp文件夹，则把users的写删权限加上，运行权限不要，然后把虚拟主机用户的读权限拒绝即可。如果是mysql的话，用一个独立用户运行MYSQL会更安全，下面会有介绍。如果是winwebmail，则最好建立独立的应用程序池和独立IIS用户，然后整个安装目录有users用户的读/运行/写/权限，IIS用户则相同，这个IIS用户就只用在winwebmail的WEB访问中，其他IIS站点切勿使用，安装了winwebmail的服务器硬盘权限设置后面举例
该文件夹，子文件夹及文件
<不是继承的>
CREATOR OWNER 完全控制
只有子文件夹及文件
<不是继承的>
SYSTEM 完全控制
该文件夹，子文件夹及文件
<不是继承的>


硬盘或文件夹: C:\\Inetpub\\
主要权限部分： 其他权限部分：
Administrators 完全控制 无
该文件夹，子文件夹及文件
<继承于c:\\>
CREATOR OWNER 完全控制
只有子文件夹及文件
<继承于c:\\>
SYSTEM 完全控制
该文件夹，子文件夹及文件
<继承于c:\\>

硬盘或文件夹: C:\\Inetpub\\AdminScripts
主要权限部分： 其他权限部分：
Administrators 完全控制 无
该文件夹，子文件夹及文件
<不是继承的>
SYSTEM 完全控制
该文件夹，子文件夹及文件
<不是继承的>

硬盘或文件夹: C:\\Inetpub\\wwwroot
主要权限部分： 其他权限部分：
Administrators 完全控制 IIS_WPG 读取运行/列出文件夹目录/读取
该文件夹，子文件夹及文件 该文件夹，子文件夹及文件
<不是继承的> <不是继承的>
SYSTEM 完全控制 Users 读取运行/列出文件夹目录/读取
该文件夹，子文件夹及文件 该文件夹，子文件夹及文件
<不是继承的> <不是继承的>
这里可以把虚拟主机用户组加上
同Internet 来宾帐户一样的权限
拒绝权限 Internet 来宾帐户 创建文件/写入数据/:拒绝
创建文件夹/附加数据/:拒绝
写入属性/:拒绝
写入扩展属性/:拒绝
删除子文件夹及文件/:拒绝
删除/:拒绝
该文件夹，子文件夹及文件
<不是继承的>

硬盘或文件夹: C:\\Inetpub\\wwwroot\\aspnet_client
主要权限部分： 其他权限部分：
Administrators 完全控制 Users 读取
该文件夹，子文件夹及文件 该文件夹，子文件夹及文件
<不是继承的> <不是继承的>
SYSTEM 完全控制   
该文件夹，子文件夹及文件
<不是继承的>

硬盘或文件夹: C:\\Documents and Settings
主要权限部分： 其他权限部分：
Administrators 完全控制 无
该文件夹，子文件夹及文件
<不是继承的>
SYSTEM 完全控制
该文件夹，子文件夹及文件
<不是继承的>

硬盘或文件夹: C:\\Documents and Settings\\All Users
主要权限部分： 其他权限部分：
Administrators 完全控制 Users 读取和运行
该文件夹，子文件夹及文件 该文件夹，子文件夹及文件
<不是继承的> <不是继承的>
SYSTEM 完全控制 USERS组的权限仅仅限制于读取和运行，
绝对不能加上写入权限
该文件夹，子文件夹及文件
<不是继承的>

硬盘或文件夹: C:\\Documents and Settings\\All Users\\「开始」菜单
主要权限部分： 其他权限部分：
Administrators 完全控制 无
该文件夹，子文件夹及文件
<不是继承的>
SYSTEM 完全控制
该文件夹，子文件夹及文件
<不是继承的>

硬盘或文件夹: C:\\Documents and Settings\\All Users\\Application Data
主要权限部分： 其他权限部分：
Administrators 完全控制 Users 读取和运行
该文件夹，子文件夹及文件 该文件夹，子文件夹及文件
<不是继承的> <不是继承的>
CREATOR OWNER 完全控制 Users 写入
只有子文件夹及文件 该文件夹，子文件夹
<不是继承的> <不是继承的>
SYSTEM 完全控制 两个并列权限同用户组需要分开列权限
该文件夹，子文件夹及文件
<不是继承的>

硬盘或文件夹: C:\\Documents and Settings\\All Users\\Application Data\\Microsoft
主要权限部分： 其他权限部分：
Administrators 完全控制 Users 读取和运行
该文件夹，子文件夹及文件 该文件夹，子文件夹及文件
<不是继承的> <不是继承的>
SYSTEM 完全控制 此文件夹包含 Microsoft 应用程序状态数据
该文件夹，子文件夹及文件
<不是继承的>

硬盘或文件夹: C:\\Documents and Settings\\All Users\\Application Data\\Microsoft\\Crypto\\RSA\\MachineKeys
主要权限部分： 其他权限部分：
Administrators 完全控制 Everyone 列出文件夹、读取属性、读取扩展属性、创建文件、创建文件夹、写入属性、写入扩展属性、读取权限

只有该文件夹 Everyone这里只有读写权限，不能加运行和删除权限，仅限该文件夹 只有该文件夹
<不是继承的> <不是继承的>

硬盘或文件夹: C:\\Documents and Settings\\All Users\\Application Data\\Microsoft\\Crypto\\DSS\\MachineKeys
主要权限部分： 其他权限部分：
Administrators 完全控制 Everyone 列出文件夹、读取属性、读取扩展属性、创建文件、创建文件夹、写入属性、写入扩展属性、读取权限

只有该文件夹 Everyone这里只有读写权限，不能加运行和删除权限，仅限该文件夹 只有该文件夹
<不是继承的> <不是继承的>

硬盘或文件夹: C:\\Documents and Settings\\All Users\\Application Data\\Microsoft\\HTML Help
主要权限部分： 其他权限部分：
Administrators 完全控制 Users 读取和运行
该文件夹，子文件夹及文件 该文件夹，子文件夹及文件
<不是继承的> <不是继承的>
SYSTEM 完全控制
该文件夹，子文件夹及文件
<不是继承的>

硬盘或文件夹: C:\\Documents and Settings\\All Users\\Application Data\\Microsoft\\Network\\Connections\\Cm
主要权限部分： 其他权限部分：
Administrators 完全控制 Everyone 读取和运行
该文件夹，子文件夹及文件 该文件夹，子文件夹及文件
<不是继承的> <不是继承的>
SYSTEM 完全控制 Everyone这里只有读和运行权限
该文件夹，子文件夹及文件
<不是继承的>

硬盘或文件夹: C:\\Documents and Settings\\All Users\\Application Data\\Microsoft\\Network\\Downloader
主要权限部分： 其他权限部分：
Administrators 完全控制 无
该文件夹，子文件夹及文件
<不是继承的>
SYSTEM 完全控制
该文件夹，子文件夹及文件
<不是继承的>

硬盘或文件夹: C:\\Documents and Settings\\All Users\\Application Data\\Microsoft\\Media Index
主要权限部分： 其他权限部分：
Administrators 完全控制 Users 读取和运行
该文件夹，子文件夹及文件 该文件夹，子文件夹及文件
<不是继承的> <继承于上一级文件夹>
SYSTEM 完全控制 Users 创建文件/写入数据
创建文件夹/附加数据
写入属性
写入扩展属性
读取权限
该文件夹，子文件夹及文件 只有该文件夹
<不是继承的> <不是继承的>
Users 创建文件/写入数据
创建文件夹/附加数据
写入属性
写入扩展属性
只有该子文件夹和文件
<不是继承的>

硬盘或文件夹: C:\\Documents and Settings\\All Users\\DRM
主要权限部分： 其他权限部分：
这里需要把GUEST用户组和IIS访问用户组全部禁止
Everyone的权限比较特殊，默认安装后已经带了
主要是要把IIS访问的用户组加上所有权限都禁止 Users 读取和运行
该文件夹，子文件夹及文件
<不是继承的>
Guests 拒绝所有
该文件夹，子文件夹及文件
<不是继承的>
Guest 拒绝所有
该文件夹，子文件夹及文件
<不是继承的>
IUSR_XXX
或某个虚拟主机用户组 拒绝所有
该文件夹，子文件夹及文件
<不是继承的>

硬盘或文件夹: C:\\Documents and Settings\\All Users\\Documents (共享文档)
主要权限部分： 其他权限部分：
Administrators 完全控制 无
该文件夹，子文件夹及文件
<不是继承的>
CREATOR OWNER 完全控制
只有子文件夹及文件
<不是继承的>
SYSTEM 完全控制
该文件夹，子文件夹及文件
<不是继承的>

硬盘或文件夹: C:\\Program Files
主要权限部分： 其他权限部分：
Administrators 完全控制 IIS_WPG 读取和运行
该文件夹，子文件夹及文件 该文件夹，子文件夹及文件
<不是继承的> <不是继承的>
CREATOR OWNER 完全控制 IUSR_XXX
或某个虚拟主机用户组 列出文件夹/读取数据 ：拒绝
只有子文件夹及文件 该文件夹，子文件夹及文件
<不是继承的> <不是继承的>
SYSTEM 完全控制 IIS虚拟主机用户组禁止列目录，可有效防止FSO类木马
如果安装了aspjepg和aspupload
该文件夹，子文件夹及文件
<不是继承的>

硬盘或文件夹: C:\\Program Files\\Common Files
主要权限部分： 其他权限部分：
Administrators 完全控制 IIS_WPG 读取和运行
该文件夹，子文件夹及文件 该文件夹，子文件夹及文件
<不是继承的> <继承于上级目录>
CREATOR OWNER 完全控制 Users 读取和运行
只有子文件夹及文件 该文件夹，子文件夹及文件
<不是继承的> <不是继承的>
SYSTEM 完全控制 复合权限，为IIS提供快速安全的运行环境
该文件夹，子文件夹及文件
<不是继承的>

硬盘或文件夹: C:\\Program Files\\Common Files\\Microsoft Shared\\web server extensions
主要权限部分： 其他权限部分：
Administrators 完全控制 无
该文件夹，子文件夹及文件
<不是继承的>
CREATOR OWNER 完全控制
只有子文件夹及文件
<不是继承的>
SYSTEM 完全控制
该文件夹，子文件夹及文件
<不是继承的>

硬盘或文件夹: C:\\Program Files\\Microsoft SQL Server\\MSSQL (程序部分默认装在C：盘)
主要权限部分： 其他权限部分：
Administrators 完全控制 无
该文件夹，子文件夹及文件
<不是继承的>

硬盘或文件夹: E:\\Program Files\\Microsoft SQL Server (数据库部分装在E：盘的情况)
主要权限部分： 其他权限部分：
Administrators 完全控制 无
该文件夹，子文件夹及文件
<不是继承的>
CREATOR OWNER 完全控制
只有子文件夹及文件
<不是继承的>
SYSTEM 完全控制
该文件夹，子文件夹及文件
<不是继承的>

硬盘或文件夹: E:\\Program Files\\Microsoft SQL Server\\MSSQL (数据库部分装在E：盘的情况)
主要权限部分： 其他权限部分：
Administrators 完全控制 无
该文件夹，子文件夹及文件
<不是继承的>

硬盘或文件夹: C:\\Program Files\\Internet Explorer\\iexplore.exe
主要权限部分： 其他权限部分：
Administrators 完全控制 无
该文件夹，子文件夹及文件
<不是继承的>

硬盘或文件夹: C:\\Program Files\\Outlook Express
主要权限部分： 其他权限部分：
Administrators 完全控制 无
该文件夹，子文件夹及文件
<不是继承的>
CREATOR OWNER 完全控制
只有子文件夹及文件
<不是继承的>
SYSTEM 完全控制
该文件夹，子文件夹及文件
<不是继承的>

硬盘或文件夹: C:\\Program Files\\PowerEasy5 (如果装了动易组件的话)
主要权限部分： 其他权限部分：
Administrators 完全控制 无
该文件夹，子文件夹及文件
<不是继承的>
CREATOR OWNER 完全控制
只有子文件夹及文件
<不是继承的>
SYSTEM 完全控制
该文件夹，子文件夹及文件
<不是继承的>

硬盘或文件夹: C:\\Program Files\\Radmin (如果装了Radmin远程控制的话)
主要权限部分： 其他权限部分：
Administrators 完全控制 无
对应的c:\\windows\\system32里面有两个文件
r_server.exe和AdmDll.dll
要把Users读取运行权限去掉
默认权限只要administrators和system全部权限
该文件夹，子文件夹及文件
<不是继承的>
CREATOR OWNER 完全控制
只有子文件夹及文件
<不是继承的>
SYSTEM 完全控制
该文件夹，子文件夹及文件
<不是继承的>

硬盘或文件夹: C:\\Program Files\\Serv-U (如果装了Serv-U服务器的话)
主要权限部分： 其他权限部分：
Administrators 完全控制 无
这里常是提权入侵的一个比较大的漏洞点
一定要按这个方法设置
目录名字根据Serv-U版本也可能是
C:\\Program Files\\RhinoSoft.com\\Serv-U

该文件夹，子文件夹及文件
<不是继承的>
CREATOR OWNER 完全控制
只有子文件夹及文件
<不是继承的>
SYSTEM 完全控制
该文件夹，子文件夹及文件
<不是继承的>

硬盘或文件夹: C:\\Program Files\\Windows Media Player
主要权限部分： 其他权限部分：
Administrators 完全控制 无

该文件夹，子文件夹及文件
<不是继承的>
CREATOR OWNER 完全控制
只有子文件夹及文件
<不是继承的>
SYSTEM 完全控制
该文件夹，子文件夹及文件
<不是继承的>

硬盘或文件夹: C:\\Program Files\\Windows NT\\Accessories
主要权限部分： 其他权限部分：
Administrators 完全控制 无

该文件夹，子文件夹及文件
<不是继承的>
CREATOR OWNER 完全控制
只有子文件夹及文件
<不是继承的>
SYSTEM 完全控制
该文件夹，子文件夹及文件
<不是继承的>

硬盘或文件夹: C:\\Program Files\\WindowsUpdate
主要权限部分： 其他权限部分：
Administrators 完全控制 无

该文件夹，子文件夹及文件
<不是继承的>
CREATOR OWNER 完全控制
只有子文件夹及文件
<不是继承的>
SYSTEM 完全控制
该文件夹，子文件夹及文件
<不是继承的>

硬盘或文件夹: C:\\WINDOWS
主要权限部分： 其他权限部分：
Administrators 完全控制 Users 读取和运行
该文件夹，子文件夹及文件 该文件夹，子文件夹及文件
<不是继承的> <不是继承的>
CREATOR OWNER 完全控制   
只有子文件夹及文件   
<不是继承的>   
SYSTEM 完全控制
该文件夹，子文件夹及文件
<不是继承的>

硬盘或文件夹: C:\\WINDOWS\\repair
主要权限部分： 其他权限部分：
Administrators 完全控制 IUSR_XXX
或某个虚拟主机用户组 列出文件夹/读取数据 ：拒绝
该文件夹，子文件夹及文件 该文件夹，子文件夹及文件
<不是继承的> <不是继承的>
CREATOR OWNER 完全控制 虚拟主机用户访问组拒绝读取，有助于保护系统数据
这里保护的是系统级数据SAM
只有子文件夹及文件
<不是继承的>
SYSTEM 完全控制
该文件夹，子文件夹及文件
<不是继承的>

硬盘或文件夹: C:\\WINDOWS\\system32
主要权限部分： 其他权限部分：
Administrators 完全控制 Users 读取和运行
该文件夹，子文件夹及文件 该文件夹，子文件夹及文件
<不是继承的> <不是继承的>
CREATOR OWNER 完全控制 IUSR_XXX
或某个虚拟主机用户组 列出文件夹/读取数据 ：拒绝
只有子文件夹及文件 该文件夹，子文件夹及文件
<不是继承的> <不是继承的>
SYSTEM 完全控制 虚拟主机用户访问组拒绝读取，有助于保护系统数据
该文件夹，子文件夹及文件
<不是继承的>

硬盘或文件夹: C:\\WINDOWS\\system32\\config
主要权限部分： 其他权限部分：
Administrators 完全控制 Users 读取和运行
该文件夹，子文件夹及文件 该文件夹，子文件夹及文件
<不是继承的> <不是继承的>
CREATOR OWNER 完全控制 IUSR_XXX
或某个虚拟主机用户组 列出文件夹/读取数据 ：拒绝
只有子文件夹及文件 该文件夹，子文件夹及文件
<不是继承的> <继承于上一级目录>
SYSTEM 完全控制 虚拟主机用户访问组拒绝读取，有助于保护系统数据
该文件夹，子文件夹及文件
<不是继承的>

硬盘或文件夹: C:\\WINDOWS\\system32\\inetsrv\\
主要权限部分： 其他权限部分：
Administrators 完全控制 Users 读取和运行
该文件夹，子文件夹及文件 该文件夹，子文件夹及文件
<不是继承的> <不是继承的>
CREATOR OWNER 完全控制 IUSR_XXX
或某个虚拟主机用户组 列出文件夹/读取数据 ：拒绝
只有子文件夹及文件 只有该文件夹
<不是继承的> <继承于上一级目录>
SYSTEM 完全控制 虚拟主机用户访问组拒绝读取，有助于保护系统数据
该文件夹，子文件夹及文件
<不是继承的>

硬盘或文件夹: C:\\WINDOWS\\system32\\inetsrv\\ASP Compiled Templates
主要权限部分： 其他权限部分：
Administrators 完全控制 IIS_WPG 完全控制
该文件夹，子文件夹及文件   该文件夹，子文件夹及文件
<不是继承的>   <不是继承的>
IUSR_XXX
或某个虚拟主机用户组 列出文件夹/读取数据 ：拒绝
该文件夹，子文件夹及文件
<继承于上一级目录>
虚拟主机用户访问组拒绝读取，有助于保护系统数据

硬盘或文件夹: C:\\WINDOWS\\system32\\inetsrv\\iisadmpwd
主要权限部分： 其他权限部分：
Administrators 完全控制 无
该文件夹，子文件夹及文件
<不是继承的>
CREATOR OWNER 完全控制
只有子文件夹及文件
<不是继承的>
SYSTEM 完全控制
该文件夹，子文件夹及文件
<不是继承的>

硬盘或文件夹: C:\\WINDOWS\\system32\\inetsrv\\MetaBack
主要权限部分： 其他权限部分：
Administrators 完全控制 Users 读取和运行
该文件夹，子文件夹及文件 该文件夹，子文件夹及文件
<不是继承的> <不是继承的>
CREATOR OWNER 完全控制 IUSR_XXX
或某个虚拟主机用户组 列出文件夹/读取数据 ：拒绝
只有子文件夹及文件 该文件夹，子文件夹及文件
<不是继承的> <继承于上一级目录>
SYSTEM 完全控制 虚拟主机用户访问组拒绝读取，有助于保护系统数据
该文件夹，子文件夹及文件
<不是继承的>

Winwebmail 电子邮局安装后权限举例：目录E:\\
主要权限部分： 其他权限部分：
Administrators 完全控制 IUSR_XXXXXX
这个用户是WINWEBMAIL访问WEB站点专用帐户 读取和运行
该文件夹，子文件夹及文件 该文件夹，子文件夹及文件
<不是继承的> <不是继承的>
CREATOR OWNER 完全控制
只有子文件夹及文件
<不是继承的>
SYSTEM 完全控制
该文件夹，子文件夹及文件
<不是继承的>

Winwebmail 电子邮局安装后权限举例：目录E:\\WinWebMail
主要权限部分： 其他权限部分：
Administrators 完全控制 IUSR_XXXXXX
WINWEBMAIL访问WEB站点专用帐户 读取和运行
该文件夹，子文件夹及文件 该文件夹，子文件夹及文件
<继承于E:\\> <继承于E:\\>
CREATOR OWNER 完全控制 Users 修改/读取运行/列出文件目录/读取/写入
只有子文件夹及文件 该文件夹，子文件夹及文件
<继承于E:\\> <不是继承的>
SYSTEM 完全控制 IUSR_XXXXXX
WINWEBMAIL访问WEB站点专用帐户 修改/读取运行/列出文件目录/读取/写入
该文件夹，子文件夹及文件 该文件夹，子文件夹及文件
<继承于E:\\> <不是继承的>
IUSR_XXXXXX和IWAM_XXXXXX
是winwebmail专用的IIS用户和应用程序池用户
单独使用，安全性能高 IWAM_XXXXXX
WINWEBMAIL应用程序池专用帐户 修改/读取运行/列出文件目录/读取/写入
该文件夹，子文件夹及文件
<不是继承的>

血腥魔术师

2、服务器安全设置之--系统服务篇(设置完毕需要重新启动)

*除非特殊情况非开不可，下列系统服务要■停止并禁用■：

Alerter
服务名称: Alerter
显示名称: Alerter
服务描述: 通知选定的用户和计算机管理警报。如果服务停止，使用管理警报的程序将不会收到它们。如果此服务被禁用，任何直接依赖它的服务都将不能启动。
可执行文件路径: E:\\WINDOWS\\system32\\svchost.exe -k LocalService
其他补充:   
Application Layer Gateway Service
服务名称: ALG
显示名称: Application Layer Gateway Service
服务描述: 为应用程序级协议插件提供支持并启用网络/协议连接。如果此服务被禁用，任何依赖它的服务将无法启动。
可执行文件路径: E:\\WINDOWS\\System32\\alg.exe
其他补充:   
Background Intelligent Transfer Service
服务名称: BITS
显示名称: Background Intelligent Transfer Service
服务描述: 服务描述:利用空闲的网络带宽在后台传输文件。如果服务被停用，例如 Windows Update 和 MSN Explorer 的功能将无法自动下载程序和其他信息。如果此服务被禁用，任何依赖它的服务如果没有容错技术以直接通过 IE 传输文件，一旦 BITS 被禁用，就可能无法传输文件。
可执行文件路径: E:\\WINDOWS\\system32\\svchost.exe -k netsvcs
其他补充:   
Computer Browser
服务名称: 服务名称:Browser
显示名称: 显示名称:Computer Browser
服务描述: 服务描述:维护网络上计算机的更新列表，并将列表提供给计算机指定浏览。如果服务停止，列表不会被更新或维护。如果服务被禁用，任何直接依赖于此服务的服务将无法启动。
可执行文件路径: 可执行文件路径: E:\\WINDOWS\\system32\\svchost.exe -k netsvcs
其他补充:   
Distributed File System
服务名称: Dfs
显示名称: Distributed File System
服务描述: 将分散的文件共享合并成一个逻辑名称空间并在局域网或广域网上管理这些逻辑卷。如果这个服务被停止，用户则无法访问文件共享。如果这个服务被禁用，任何依赖它的服务将无法启动。
可执行文件路径: E:\\WINDOWS\\system32\\Dfssvc.exe
其他补充:   
Help and Support
服务名称: helpsvc
显示名称: Help and Support
服务描述: 启用在此计算机上运行帮助和支持中心。如果停止服务，帮助和支持中心将不可用。如果禁用服务，任何直接依赖于此服务的服务将无法启动。
可执行文件路径: E:\\WINDOWS\\System32\\svchost.exe -k netsvcs
其他补充:   
Messenger
服务名称: Messenger
显示名称: Messenger
服务描述: 传输客户端和服务器之间的 NET SEND 和 警报器服务消息。此服务与 Windows Messenger 无关。如果服务停止，警报器消息不会被传输。如果服务被禁用，任何直接依赖于此服务的服务将无法启动。
可执行文件路径: E:\\WINDOWS\\system32\\svchost.exe -k netsvcs
其他补充:   
NetMeeting Remote Desktop Sharing
服务名称: mnmsrvc
显示名称: NetMeeting Remote Desktop Sharing
服务描述: 允许经过授权的用户用 NetMeeting 在公司 intranet 上远程访问这台计算机。如果服务被停止，远程桌面共享将不可用。如果服务被禁用，依赖这个服务的任何服务都会无法启动。
可执行文件路径: E:\\WINDOWS\\system32\\mnmsrvc.exe
其他补充:   
Print Spooler
服务名称: Spooler
显示名称: Print Spooler
服务描述: 管理所有本地和网络打印队列及控制所有打印工作。如果此服务被停用，本地计算机上的打印将不可用。如果此服务被禁用，任何依赖于它的服务将无法启用。
可执行文件路径: E:\\WINDOWS\\system32\\spoolsv.exe
其他补充:   
Remote Registry
服务名称: RemoteRegistry
显示名称: Remote Registry
服务描述: 使远程用户能修改此计算机上的注册表设置。如果此服务被终止，只有此计算机上的用户才能修改注册表。如果此服务被禁用，任何依赖它的服务将无法启动。
可执行文件路径: E:\\WINDOWS\\system32\\svchost.exe -k regsvc
其他补充:   
Task Scheduler
服务名称: Schedule
显示名称: Task Scheduler
服务描述: 使用户能在此计算机上配置和计划自动任务。如果此服务被终止，这些任务将无法在计划时间里运行。如果此服务被禁用，任何依赖它的服务将无法启动。
可执行文件路径: E:\\WINDOWS\\System32\\svchost.exe -k netsvcs
其他补充:   
TCP/IP NetBIOS Helper
服务名称: LmHosts
显示名称: TCP/IP NetBIOS Helper
服务描述: 提供 TCP/IP (NetBT) 服务上的 NetBIOS 和网络上客户端的 NetBIOS 名称解析的支持，从而使用户能够共享文件、打印和登录到网络。如果此服务被停用，这些功能可能不可用。如果此服务被禁用，任何依赖它的服务将无法启动。
可执行文件路径: E:\\WINDOWS\\system32\\svchost.exe -k LocalService
其他补充:   
Telnet
服务名称: TlntSvr
显示名称: Telnet
服务描述: 允许远程用户登录到此计算机并运行程序，并支持多种 TCP/IP Telnet 客户端，包括基于 UNIX 和 Windows 的计算机。如果此服务停止，远程用户就不能访问程序，任何直接依赖于它的服务将会启动失败。
可执行文件路径: E:\\WINDOWS\\system32\\tlntsvr.exe
其他补充:   
Workstation
服务名称: lanmanworkstation
显示名称: Workstation
服务描述: 创建和维护到远程服务的客户端网络连接。如果服务停止，这些连接将不可用。如果服务被禁用，任何直接依赖于此服务的服务将无法启动。
可执行文件路径: E:\\WINDOWS\\system32\\svchost.exe -k netsvcs
其他补充:   

以上是windows2003server标准服务当中需要停止的服务，作为IIS网络服务器，以上服务务必要停止，如果需要SSL证书服务，则设置方法不同

血腥魔术师

3、服务器安全设置之--组件安全设置篇 (非常重要！！！)
A、卸载WScript.Shell 和 Shell.application 组件，将下面的代码保存为一个.BAT文件执行（分2000和2003系统）
windows2000.bat regsvr32/u C:\\WINNT\\System32\\wshom.ocx
del C:\\WINNT\\System32\\wshom.ocx
regsvr32/u C:\\WINNT\\system32\\shell32.dll
del C:\\WINNT\\system32\\shell32.dll
windows2003.bat regsvr32/u C:\\WINDOWS\\System32\\wshom.ocx
del C:\\WINDOWS\\System32\\wshom.ocx
regsvr32/u C:\\WINDOWS\\system32\\shell32.dll
del C:\\WINDOWS\\system32\\shell32.dll
B、改名不安全组件，需要注意的是组件的名称和Clsid都要改，并且要改彻底了，不要照抄，要自己改

【开始→运行→regedit→回车】打开注册表编辑器

然后【编辑→查找→填写Shell.application→查找下一个】

用这个方法能找到两个注册表项：

{13709620-C279-11CE-A49E-444553540000} 和 Shell.application 。

第一步：为了确保万无一失，把这两个注册表项导出来，保存为xxxx.reg 文件。

第二步：比如我们想做这样的更改

13709620-C279-11CE-A49E-444553540000 改名为 13709620-C279-11CE-A49E-444553540001

Shell.application 改名为 Shell.application_nohack

第三步：那么，就把刚才导出的.reg文件里的内容按上面的对应关系替换掉，然后把修改好的.reg文件导入到注册表中（双击即可），导入了改名后的注册表项之后，别忘记了删除原有的那两个项目。这里需要注意一点，Clsid中只能是十个数字和ABCDEF六个字母。

其实，只要把对应注册表项导出来备份，然后直接改键名就可以了，

改好的例子建议自己改应该可一次成功
Windows Registry Editor Version 5.00

[HKEY_CLASSES_ROOT\\CLSID\\{13709620-C279-11CE-A49E-444553540001}]
@=\"Shell Automation Service\"

[HKEY_CLASSES_ROOT\\CLSID\\{13709620-C279-11CE-A49E-444553540001}\\InProcServer32]
@=\"C:\\\\WINNT\\\\system32\\\\shell32.dll\"
\"ThreadingModel\"=\"Apartment\"

[HKEY_CLASSES_ROOT\\CLSID\\{13709620-C279-11CE-A49E-444553540001}\\ProgID]
@=\"Shell.Application_nohack.1\"

[HKEY_CLASSES_ROOT\\CLSID\\{13709620-C279-11CE-A49E-444553540001}\\TypeLib]
@=\"{50a7e9b0-70ef-11d1-b75a-00a0c90564fe}\"

[HKEY_CLASSES_ROOT\\CLSID\\{13709620-C279-11CE-A49E-444553540001}\\Version]
@=\"1.1\"

[HKEY_CLASSES_ROOT\\CLSID\\{13709620-C279-11CE-A49E-444553540001}\\VersionIndependentProgID]
@=\"Shell.Application_nohack\"

[HKEY_CLASSES_ROOT\\Shell.Application_nohack]
@=\"Shell Automation Service\"

[HKEY_CLASSES_ROOT\\Shell.Application_nohack\\CLSID]
@=\"{13709620-C279-11CE-A49E-444553540001}\"

[HKEY_CLASSES_ROOT\\Shell.Application_nohack\\CurVer]
@=\"Shell.Application_nohack.1\"

老杜评论： WScript.Shell 和 Shell.application 组件是 脚本入侵过程中，提升权限的重要环节，这两个组件的卸载和修改对应注册键名，可以很大程度的提高虚拟主机的脚本安全性能，一般来说，ASP和php类脚本提升权限的功能是无法实现了，再加上一些系统服务、硬盘访问权限、端口过滤、本地安全策略的设置，虚拟主机因该说，安全性能有非常大的提高，黑客入侵的可能性是非常低了。注销了Shell组件之后，侵入者运行提升工具的可能性就很小了，但是prel等别的脚本语言也有shell能力，为防万一，还是设置一下为好。下面是另外一种设置，大同小异。

一、禁止使用FileSystemObject组件
　　FileSystemObject可以对文件进行常规操作,可以通过修改注册表，将此组件改名，来防止此类木马的危害。

　　HKEY_CLASSES_ROOT\\Scripting.FileSystemObject\\

　　改名为其它的名字，如：改为 FileSystemObject_ChangeName

　　自己以后调用的时候使用这个就可以正常调用此组件了

　　也要将clsid值也改一下

　　HKEY_CLASSES_ROOT\\Scripting.FileSystemObject\\CLSID\\项目的值

　　也可以将其删除，来防止此类木马的危害。

　　2000注销此组件命令：RegSrv32 /u C:\\WINNT\\SYSTEM\\scrrun.dll

　　2003注销此组件命令：RegSrv32 /u C:\\WINDOWS\\SYSTEM\\scrrun.dll

　　如何禁止Guest用户使用scrrun.dll来防止调用此组件？

　　使用这个命令：cacls C:\\WINNT\\system32\\scrrun.dll /e /d guests

　　二、禁止使用WScript.Shell组件

　　WScript.Shell可以调用系统内核运行DOS基本命令

　　可以通过修改注册表，将此组件改名，来防止此类木马的危害。

　　HKEY_CLASSES_ROOT\\WScript.Shell\\及HKEY_CLASSES_ROOT\\WScript.Shell.1\\

　　改名为其它的名字，如：改为WScript.Shell_ChangeName 或 WScript.Shell.1_ChangeName

　　自己以后调用的时候使用这个就可以正常调用此组件了

　　也要将clsid值也改一下

　　HKEY_CLASSES_ROOT\\WScript.Shell\\CLSID\\项目的值

　　HKEY_CLASSES_ROOT\\WScript.Shell.1\\CLSID\\项目的值

　　也可以将其删除，来防止此类木马的危害。

　　三、禁止使用Shell.Application组件

　　Shell.Application可以调用系统内核运行DOS基本命令

　　可以通过修改注册表，将此组件改名，来防止此类木马的危害。

　　HKEY_CLASSES_ROOT\\Shell.Application\\

　　及

　　HKEY_CLASSES_ROOT\\Shell.Application.1\\

　　改名为其它的名字，如：改为Shell.Application_ChangeName 或 Shell.Application.1_ChangeName

　　自己以后调用的时候使用这个就可以正常调用此组件了

　　也要将clsid值也改一下

　　HKEY_CLASSES_ROOT\\Shell.Application\\CLSID\\项目的值

　　HKEY_CLASSES_ROOT\\Shell.Application\\CLSID\\项目的值

　　也可以将其删除，来防止此类木马的危害。

　　禁止Guest用户使用shell32.dll来防止调用此组件。

　　2000使用命令：cacls C:\\WINNT\\system32\\shell32.dll /e /d guests
　　2003使用命令：cacls C:\\WINDOWS\\system32\\shell32.dll /e /d guests

　　注：操作均需要重新启动WEB服务后才会生效。

　　四、调用Cmd.exe

　　禁用Guests组用户调用cmd.exe

　　2000使用命令：cacls C:\\WINNT\\system32\\Cmd.exe /e /d guests
　　2003使用命令：cacls C:\\WINDOWS\\system32\\Cmd.exe /e /d guests

　　通过以上四步的设置基本可以防范目前比较流行的几种木马，但最有效的办法还是通过综合安全设置，将服务器、程序安全都达到一定标准，才可能将安全等级设置较高，防范更多非法入侵。



C、防止Serv-U权限提升 (适用于 Serv-U6.0 以前版本，之后可以直接设置密码)
先停掉Serv-U服务

用Ultraedit打开ServUDaemon.exe

查找 Ascii：LocalAdministrator 和 #l@$ak#.lk;0@P

修改成等长度的其它字符就可以了，ServUAdmin.exe也一样处理。

另外注意设置Serv-U所在的文件夹的权限，不要让IIS匿名用户有读取的权限，否则人家下走你修改过的文件，照样可以分析出你的管理员名和密码。

阿江ASP探针 http://www.ajiang.net/products/aspcheck/ (可以测试组件安全性)

血腥魔术师

4、服务器安全设置之--IIS用户设置方法

IIS安全访问的例子

IIS基本设置   




这里举例4个不同类型脚本的虚拟主机 权限设置例子


主机头 主机脚本 硬盘目录 IIS用户名 硬盘权限 应用程序池 主目录 应用程序配置
www.1.com HTM D:\\www.1.com\\ IUSR_1.com Administrators(完全控制)
IUSR_1.com(读)
可共用 读取/纯脚本 启用父路径
www.2.com ASP D:\\www.2.com\\ IUSR_1.com Administrators(完全控制)
IUSR_2.com(读/写) 可共用 读取/纯脚本 启用父路径
www.3.com NET D:\\www.3.com\\ IUSR_1.com Administrators(完全控制)
IWAM_3.com(读/写)
IUSR_3.com(读/写) 独立池 读取/纯脚本 启用父路径
www.4.com PHP D:\\www.4.com\\ IUSR_1.com Administrators(完全控制)
IWAM_4.com(读/写)
IUSR_4.com(读/写) 独立池 读取/纯脚本 启用父路径
其中 IWAM_3.com 和 IWAM_4.com 分别是各自独立应用程序池标识中的启动帐户

主机脚本类型 应用程序扩展名 （就是文件后缀名）对应主机脚本，只需要加载以下的应用程序扩展
HTM STM | SHTM | SHTML | MDB
ASP ASP | ASA | MDB
NET ASPX | ASAX | ASCX| ASHX | ASMX | AXD | VSDISCO | REM | SOAP | CONFIG |
CS |CSPROJ | VB | VBPROJ | WEBINFO | LICX | RESX | RESOURCES | MDB
PHP PHP | PHP3 | PHP4

MDB是共用映射，下面用红色表示

应用程序扩展 映射文件 执行动作
STM=.stm C:\\WINDOWS\\system32\\inetsrv\\ssinc.dll GET,POST
SHTM=.shtm C:\\WINDOWS\\system32\\inetsrv\\ssinc.dll GET,POST
SHTML=.shtml C:\\WINDOWS\\system32\\inetsrv\\ssinc.dll GET,POST
ASP=.asp C:\\WINDOWS\\system32\\inetsrv\\asp.dll GET,HEAD,POST,TRACE
ASA=.asa C:\\WINDOWS\\system32\\inetsrv\\asp.dll GET,HEAD,POST,TRACE
ASPX=.aspx C:\\WINDOWS\\Microsoft.NET\\Framework\\v1.1.4322\\aspnet_isapi.dll GET,HEAD,POST,DEBUG
ASAX=.asax C:\\WINDOWS\\Microsoft.NET\\Framework\\v1.1.4322\\aspnet_isapi.dll GET,HEAD,POST,DEBUG
ASCX=.ascx C:\\WINDOWS\\Microsoft.NET\\Framework\\v1.1.4322\\aspnet_isapi.dll GET,HEAD,POST,DEBUG
ASHX=.ashx C:\\WINDOWS\\Microsoft.NET\\Framework\\v1.1.4322\\aspnet_isapi.dll GET,HEAD,POST,DEBUG
ASMX=.asmx C:\\WINDOWS\\Microsoft.NET\\Framework\\v1.1.4322\\aspnet_isapi.dll GET,HEAD,POST,DEBUG
AXD=.axd C:\\WINDOWS\\Microsoft.NET\\Framework\\v1.1.4322\\aspnet_isapi.dll GET,HEAD,POST,DEBUG
VSDISCO=.vsdisco C:\\WINDOWS\\Microsoft.NET\\Framework\\v1.1.4322\\aspnet_isapi.dll GET,HEAD,POST,DEBUG
REM=.rem C:\\WINDOWS\\Microsoft.NET\\Framework\\v1.1.4322\\aspnet_isapi.dll GET,HEAD,POST,DEBUG
SOAP=.soap C:\\WINDOWS\\Microsoft.NET\\Framework\\v1.1.4322\\aspnet_isapi.dll GET,HEAD,POST,DEBUG
CONFIG=.config C:\\WINDOWS\\Microsoft.NET\\Framework\\v1.1.4322\\aspnet_isapi.dll GET,HEAD,POST,DEBUG
CS=.cs C:\\WINDOWS\\Microsoft.NET\\Framework\\v1.1.4322\\aspnet_isapi.dll GET,HEAD,POST,DEBUG
CSPROJ=.csproj C:\\WINDOWS\\Microsoft.NET\\Framework\\v1.1.4322\\aspnet_isapi.dll GET,HEAD,POST,DEBUG
VB=.vb C:\\WINDOWS\\Microsoft.NET\\Framework\\v1.1.4322\\aspnet_isapi.dll GET,HEAD,POST,DEBUG
VBPROJ=.vbproj C:\\WINDOWS\\Microsoft.NET\\Framework\\v1.1.4322\\aspnet_isapi.dll GET,HEAD,POST,DEBUG
WEBINFO=.webinfo C:\\WINDOWS\\Microsoft.NET\\Framework\\v1.1.4322\\aspnet_isapi.dll GET,HEAD,POST,DEBUG
LICX=.licx C:\\WINDOWS\\Microsoft.NET\\Framework\\v1.1.4322\\aspnet_isapi.dll GET,HEAD,POST,DEBUG
RESX=.resx C:\\WINDOWS\\Microsoft.NET\\Framework\\v1.1.4322\\aspnet_isapi.dll GET,HEAD,POST,DEBUG
RESOURCES=.resources C:\\WINDOWS\\Microsoft.NET\\Framework\\v1.1.4322\\aspnet_isapi.dll GET,HEAD,POST,DEBUG
PHP=.php C:\\php5\\php5isapi.dll GET,HEAD,POST
PHP3=.php3 C:\\php5\\php5isapi.dll GET,HEAD,POST
PHP4=.php4 C:\\php5\\php5isapi.dll GET,HEAD,POST
MDB=.mdb C:\\WINDOWS\\system32\\inetsrv\\ssinc.dll GET,POST

ASP.NET 进程帐户所需的 NTFS 权限

目录 所需权限
Temporary ASP.NET Files%windir%\\Microsoft.NET\\Framework\\{版本}Temporary ASP.NET Files
进程帐户和模拟标识：
完全控制

临时目录 (%temp%)
进程帐户
完全控制

.NET Framework 目录%windir%\\Microsoft.NET\\Framework\\{版本}
进程帐户和模拟标识：
读取和执行
列出文件夹内容
读取

.NET Framework 配置目录%windir%\\Microsoft.NET\\Framework\\{版本}\\CONFIG
进程帐户和模拟标识：
读取和执行
列出文件夹内容
读取

网站根目录
C:\\inetpub\\wwwroot
或默认网站指向的路径
进程帐户：
读取

系统根目录
%windir%\\system32
进程帐户：
读取

全局程序集高速缓存
%windir%\\assembly
进程帐户和模拟标识：
读取

内容目录
C:\\inetpub\\wwwroot\\YourWebApp
(一般来说不用默认目录，管理员可根据实际情况调整比如D:\\wwwroot)
进程帐户：
读取和执行
列出文件夹内容
读取
注意 对于 .NET Framework 1.0，直到文件系统根目录的所有父目录也都需要上述权限。父目录包括：
C:\\
C:\\inetpub\\
C:\\inetpub\\wwwroot\\

血腥魔术师

5、 服务器安全设置之--服务器安全和性能配置
把下面文本保存为: windows2000-2003服务器安全和性能注册表自动配置文件.reg 运行即可。

Windows Registry Editor Version 5.00

[HKEY_CURRENT_USER\\Software\\Microsoft\\Windows\\CurrentVersion\\Policies\\Explorer]
\"NoRecentDocsMenu\"=hex:01,00,00,00
\"NoRecentDocsHistory\"=hex:01,00,00,00

[HKEY_LOCAL_MACHINE\\Software\\Microsoft\\Windows NT\\CurrentVersion\\Winlogon]
\"DontDisplayLastUserName\"=\"1\"

[HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Control\\Lsa]
\"restrictanonymous\"=dword:00000001

[HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Services\\lanmanserver\\Parameters]
\"AutoShareServer\"=dword:00000000
\"AutoShareWks\"=dword:00000000

[HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Services\\Tcpip\\Parameters]
\"EnableICMPRedirect\"=dword:00000000
\"KeepAliveTime\"=dword:000927c0
\"SynAttackProtect\"=dword:00000002
\"TcpMaxHalfOpen\"=dword:000001f4
\"TcpMaxHalfOpenRetried\"=dword:00000190
\"TcpMaxConnectResponseRetransmissions\"=dword:00000001
\"TcpMaxDataRetransmissions\"=dword:00000003
\"TCPMaxPortsExhausted\"=dword:00000005
\"DisableIPSourceRouting\"=dword:00000002
\"TcpTimedWaitDelay\"=dword:0000001e
\"TcpNumConnections\"=dword:00004e20
\"EnablePMTUDiscovery\"=dword:00000000
\"NoNameReleaseOnDemand\"=dword:00000001
\"EnableDeadGWDetect\"=dword:00000000
\"PerformRouterDiscovery\"=dword:00000000
\"EnableICMPRedirects\"=dword:00000000



[HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Services\\NetBT\\Parameters]
\"BacklogIncrement\"=dword:00000005
\"MaxConnBackLog\"=dword:000007d0

[HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Services\\AFD\\Parameters]
\"EnableDynamicBacklog\"=dword:00000001
\"MinimumDynamicBacklog\"=dword:00000014
\"MaximumDynamicBacklog\"=dword:00007530
\"DynamicBacklogGrowthDelta\"=dword:0000000a

功能：可抵御DDOS攻击2-3万包，提高服务器TCP-IP整体安全性能（效果等于软件防火墙，节约了系统资源）

血腥魔术师

6、服务器安全设置之--IP安全策略 (仅仅列出需要屏蔽或阻止的端口或协议)

协议 IP协议端口 源地址 目标地址 描述 方式
ICMP -- -- -- ICMP 阻止
UDP 135 任何IP地址 我的IP地址 135-UDP 阻止
UDP 136 任何IP地址 我的IP地址 136-UDP 阻止
UDP 137 任何IP地址 我的IP地址 137-UDP 阻止
UDP 138 任何IP地址 我的IP地址 138-UDP 阻止
UDP 139 任何IP地址 我的IP地址 139-UDP 阻止
TCP 445 任何IP地址-从任意端口 我的IP地址-445 445-TCP 阻止
UDP 445 任何IP地址-从任意端口 我的IP地址-445 445-UDP 阻止
UDP 69 任何IP地址-从任意端口 我的IP地址-69 69-入 阻止
UDP 69 我的IP地址-69 任何IP地址-任意端口 69-出 阻止
TCP 4444 任何IP地址-从任意端口 我的IP地址-4444 4444-TCP 阻止
TCP 1026 我的IP地址-1026 任何IP地址-任意端口 灰鸽子-1026 阻止
TCP 1027 我的IP地址-1027 任何IP地址-任意端口 灰鸽子-1027 阻止
TCP 1028 我的IP地址-1028 任何IP地址-任意端口 灰鸽子-1028 阻止
UDP 1026 我的IP地址-1026 任何IP地址-任意端口 灰鸽子-1026 阻止
UDP 1027 我的IP地址-1027 任何IP地址-任意端口 灰鸽子-1027 阻止
UDP 1028 我的IP地址-1028 任何IP地址-任意端口 灰鸽子-1028 阻止
TCP 21 我的IP地址-从任意端口 任何IP地址-到21端口 阻止tftp出站 阻止
TCP 99 我的IP地址-99 任何IP地址-任意端口 阻止99shell 阻止

以上是IP安全策略里的设置，可以根据实际情况，增加或删除端口

血腥魔术师

7、服务器安全设置之--本地安全策略设置

安全策略自动更新命令：GPUpdate /force (应用组策略自动生效不需重新启动)


　　 开始菜单—>管理工具—>本地安全策略

　　 A、本地策略——>审核策略

　　 审核策略更改　　　成功　失败　　
　　 审核登录事件　　　成功　失败
　　 审核对象访问　　　　　　失败
　　 审核过程跟踪　　　无审核
　　 审核目录服务访问　　　　失败
　　 审核特权使用　　　　　　失败
　　 审核系统事件　　　成功　失败
　　 审核账户登录事件　成功　失败
　　 审核账户管理　　　成功　失败
　　B、本地策略——>用户权限分配

　　 关闭系统：只有Administrators组、其它全部删除。
　　 通过终端服务拒绝登陆：加入Guests、User组
　　 通过终端服务允许登陆：只加入Administrators组，其他全部删除

　　C、本地策略——>安全选项

　　 交互式登陆：不显示上次的用户名　　　　　　　启用
　　 网络访问：不允许SAM帐户和共享的匿名枚举　　 启用
　　 网络访问：不允许为网络身份验证储存凭证　　　启用
　　 网络访问：可匿名访问的共享　　　　　　　　　全部删除
　　 网络访问：可匿名访问的命　　　　　　　　　　全部删除
　　 网络访问：可远程访问的注册表路径　　　　　　全部删除
　　 网络访问：可远程访问的注册表路径和子路径　　全部删除
　　 帐户：重命名来宾帐户　　　　　　　　　　　　重命名一个帐户
　　 帐户：重命名系统管理员帐户　　　　　　　　　重命名一个帐户


UI 中的设置名称 企业客户端台式计算机 企业客户端便携式计算机 高安全级台式计算机 高安全级便携式计算机
帐户: 使用空白密码的本地帐户只允许进行控制台登录
已启用
已启用
已启用
已启用

帐户: 重命名系统管理员帐户
推荐
推荐
推荐
推荐

帐户: 重命名来宾帐户
推荐
推荐
推荐
推荐

设备: 允许不登录移除
已禁用
已启用
已禁用
已禁用

设备: 允许格式化和弹出可移动媒体
Administrators, Interactive Users
Administrators, Interactive Users
Administrators
Administrators

设备: 防止用户安装打印机驱动程序
已启用
已禁用
已启用
已禁用

设备: 只有本地登录的用户才能访问 CD-ROM
已禁用
已禁用
已启用
已启用

设备: 只有本地登录的用户才能访问软盘
已启用
已启用
已启用
已启用

设备: 未签名驱动程序的安装操作
允许安装但发出警告
允许安装但发出警告
禁止安装
禁止安装

域成员: 需要强 (Windows 2000 或以上版本) 会话密钥
已启用
已启用
已启用
已启用

交互式登录: 不显示上次的用户名
已启用
已启用
已启用
已启用

交互式登录: 不需要按 CTRL+ALT+DEL
已禁用
已禁用
已禁用
已禁用

交互式登录: 用户试图登录时消息文字
此系统限制为仅授权用户。尝试进行未经授权访问的个人将受到起诉。
此系统限制为仅授权用户。尝试进行未经授权访问的个人将受到起诉。
此系统限制为仅授权用户。尝试进行未经授权访问的个人将受到起诉。
此系统限制为仅授权用户。尝试进行未经授权访问的个人将受到起诉。

交互式登录: 用户试图登录时消息标题
继续在没有适当授权的情况下使用是违法行为。
继续在没有适当授权的情况下使用是违法行为。
继续在没有适当授权的情况下使用是违法行为。
继续在没有适当授权的情况下使用是违法行为。

交互式登录: 可被缓存的前次登录个数 (在域控制器不可用的情况下)
2
2
0
1

交互式登录: 在密码到期前提示用户更改密码
14 天
14 天
14 天
14 天

交互式登录: 要求域控制器身份验证以解锁工作站
已禁用
已禁用
已启用
已禁用

交互式登录: 智能卡移除操作
锁定工作站
锁定工作站
锁定工作站
锁定工作站

Microsoft 网络客户: 数字签名的通信（若服务器同意）
已启用
已启用
已启用
已启用

Microsoft 网络客户: 发送未加密的密码到第三方 SMB 服务器。
已禁用
已禁用
已禁用
已禁用

Microsoft 网络服务器: 在挂起会话之前所需的空闲时间
15 分钟
15 分钟
15 分钟
15 分钟

Microsoft 网络服务器: 数字签名的通信（总是）
已启用
已启用
已启用
已启用

Microsoft 网络服务器: 数字签名的通信（若客户同意）
已启用
已启用
已启用
已启用

Microsoft 网络服务器: 当登录时间用完时自动注销用户
已启用
已禁用
已启用
已禁用

网络访问: 允许匿名 SID/名称 转换
已禁用
已禁用
已禁用
已禁用

网络访问: 不允许 SAM 帐户和共享的匿名枚举
已启用
已启用
已启用
已启用

网络访问: 不允许 SAM 帐户和共享的匿名枚举
已启用
已启用
已启用
已启用

网络访问: 不允许为网络身份验证储存凭据或 .NET Passports
已启用
已启用
已启用
已启用

网络访问: 限制匿名访问命名管道和共享
已启用
已启用
已启用
已启用

网络访问: 本地帐户的共享和安全模式
经典 - 本地用户以自己的身份验证
经典 - 本地用户以自己的身份验证
经典 - 本地用户以自己的身份验证
经典 - 本地用户以自己的身份验证

网络安全: 不要在下次更改密码时存储 LAN Manager 的哈希值
已启用
已启用
已启用
已启用

网络安全: 在超过登录时间后强制注销
已启用
已禁用
已启用
已禁用

网络安全: LAN Manager 身份验证级别
仅发送 NTLMv2 响应
仅发送 NTLMv2 响应
仅发送 NTLMv2 响应\\拒绝 LM & NTLM
仅发送 NTLMv2 响应\\拒绝 LM & NTLM

网络安全: 基于 NTLM SSP（包括安全 RPC）客户的最小会话安全
没有最小
没有最小
要求 NTLMv2 会话安全 要求 128-位加密
要求 NTLMv2 会话安全 要求 128-位加密

网络安全: 基于 NTLM SSP(包括安全 RPC)服务器的最小会话安全
没有最小
没有最小
要求 NTLMv2 会话安全 要求 128-位加密
要求 NTLMv2 会话安全 要求 128-位加密

故障恢复控制台: 允许自动系统管理级登录
已禁用
已禁用
已禁用
已禁用

故障恢复控制台: 允许对所有驱动器和文件夹进行软盘复制和访问
已启用
已启用
已禁用
已禁用

关机: 允许在未登录前关机
已禁用
已禁用
已禁用
已禁用

关机: 清理虚拟内存页面文件
已禁用
已禁用
已启用
已启用

系统加密: 使用 FIPS 兼容的算法来加密，哈希和签名
已禁用
已禁用
已禁用
已禁用

系统对象: 由管理员 (Administrators) 组成员所创建的对象默认所有者
对象创建者
对象创建者
对象创建者
对象创建者

系统设置: 为软件限制策略对 Windows 可执行文件使用证书规则
已禁用
已禁用
已禁用
已禁用

血腥魔术师

8、防御PHP木马攻击的技巧


　　PHP本身再老版本有一些问题，比如在 php4.3.10和php5.0.3以前有一些比较严重的bug，所以推荐使用新版。另外，目前闹的轰轰烈烈的SQL 　　Injection也是在PHP上有很多利用方式，所以要保证
　　安全，PHP代码编写是一方面，PHP的配置更是非常关键。
　　我们php手手工安装的，php的默认配置文件在 /usr/local/apache2/conf/php.ini，我们最主要就是要配置php.ini中的内容，让我们执行　　php能够更安全。整个PHP中的安全设置主要是为了防止phpshell和SQL Injection的攻击，一下我们慢慢探讨。我们先使用任何编辑工具打开　　/etc/local/apache2/conf/php.ini，如果你是采用其他方式安装，配置文件可能不在该目录。

　　(1) 打开php的安全模式

　　php的安全模式是个非常重要的内嵌的安全机制，能够控制一些php中的函数，比如system()，
　　同时把很多文件操作函数进行了权限控制，也不允许对某些关键文件的文件，比如/etc/passwd，
　　但是默认的php.ini是没有打开安全模式的，我们把它打开：
　　safe_mode = on

　　(2) 用户组安全

　　当safe_mode打开时，safe_mode_gid被关闭，那么php脚本能够对文件进行访问，而且相同
　　组的用户也能够对文件进行访问。
　　建议设置为：

　　safe_mode_gid = off

　　如果不进行设置，可能我们无法对我们服务器网站目录下的文件进行操作了，比如我们需要
　　对文件进行操作的时候。

　　(3) 安全模式下执行程序主目录

　　如果安全模式打开了，但是却是要执行某些程序的时候，可以指定要执行程序的主目录：

　　safe_mode_exec_dir = D:/usr/bin

　　一般情况下是不需要执行什么程序的，所以推荐不要执行系统程序目录，可以指向一个目录，
　　然后把需要执行的程序拷贝过去，比如：

　　safe_mode_exec_dir = D:/tmp/cmd

　　但是，我更推荐不要执行任何程序，那么就可以指向我们网页目录：

　　safe_mode_exec_dir = D:/usr/www

　　(4) 安全模式下包含文件

　　如果要在安全模式下包含某些公共文件，那么就修改一下选项：

　　safe_mode_include_dir = D:/usr/www/include/

　　其实一般php脚本中包含文件都是在程序自己已经写好了，这个可以根据具体需要设置。

　　(5) 控制php脚本能访问的目录

　　使用open_basedir选项能够控制PHP脚本只能访问指定的目录，这样能够避免PHP脚本访问
　　不应该访问的文件，一定程度上限制了phpshell的危害，我们一般可以设置为只能访问网站目录：

　　open_basedir = D:/usr/www

　　(6) 关闭危险函数

　　如果打开了安全模式，那么函数禁止是可以不需要的，但是我们为了安全还是考虑进去。比如，
　　我们觉得不希望执行包括system()等在那的能够执行命令的php函数，或者能够查看php信息的
　　phpinfo()等函数，那么我们就可以禁止它们：

　　disable_functions = system,passthru,exec,shell_exec,popen,phpinfo

　　如果你要禁止任何文件和目录的操作，那么可以关闭很多文件操作

　　disable_functions = chdir,chroot,dir,getcwd,opendir,readdir,scandir,fopen,unlink,delete,copy,mkdir, 　　rmdir,rename,file,file_get_contents,fputs,fwrite,chgrp,chmod,chown

　　以上只是列了部分不叫常用的文件处理函数，你也可以把上面执行命令函数和这个函数结合，
　　就能够抵制大部分的phpshell了。

　　(7) 关闭PHP版本信息在http头中的泄漏

　　我们为了防止黑客获取服务器中php版本的信息，可以关闭该信息斜路在http头中：

　　expose_php = Off

　　比如黑客在 telnet www.12345.com 80 的时候，那么将无法看到PHP的信息。

　　(8) 关闭注册全局变量

　　在PHP中提交的变量，包括使用POST或者GET提交的变量，都将自动注册为全局变量，能够直接访问，
　　这是对服务器非常不安全的，所以我们不能让它注册为全局变量，就把注册全局变量选项关闭：
　　register_globals = Off
　　当然，如果这样设置了，那么获取对应变量的时候就要采用合理方式，比如获取GET提交的变量var，
　　那么就要用$_GET[\'var\']来进行获取，这个php程序员要注意。

　　(9) 打开magic_quotes_gpc来防止SQL注入

　　SQL注入是非常危险的问题，小则网站后台被入侵，重则整个服务器沦陷，

　　所以一定要小心。php.ini中有一个设置：

　　magic_quotes_gpc = Off

　　这个默认是关闭的，如果它打开后将自动把用户提交对sql的查询进行转换，
　　比如把 \' 转为 \\\'等，这对防止sql注射有重大作用。所以我们推荐设置为：

　　magic_quotes_gpc = On

　　(10) 错误信息控制

　　一般php在没有连接到数据库或者其他情况下会有提示错误，一般错误信息中会包含php脚本当
　　前的路径信息或者查询的SQL语句等信息，这类信息提供给黑客后，是不安全的，所以一般服务器建议禁止错误提示：

　　display_errors = Off

　　如果你却是是要显示错误信息，一定要设置显示错误的级别，比如只显示警告以上的信息：

　　error_reporting = E_WARNING & E_ERROR

　　当然，我还是建议关闭错误提示。

　　(11) 错误日志

　　建议在关闭display_errors后能够把错误信息记录下来，便于查找服务器运行的原因：

　　log_errors = On

　　同时也要设置错误日志存放的目录，建议根apache的日志存在一起：

　　error_log = D:/usr/local/apache2/logs/php_error.log

　　注意：给文件必须允许apache用户的和组具有写的权限。


　　MYSQL的降权运行

　　新建立一个用户比如mysqlstart

　　net user mysqlstart *microsoft /add

　　net localgroup users mysqlstart /del

　　不属于任何组

　　如果MYSQL装在d:\\mysql ，那么，给 mysqlstart 完全控制 的权限

　　然后在系统服务中设置，MYSQL的服务属性，在登录属性当中，选择此用户 mysqlstart 然后输入密码，确定。

　　重新启动 MYSQL服务，然后MYSQL就运行在低权限下了。

　　如果是在windos平台下搭建的apache我们还需要注意一点，apache默认运行是system权限，
　　这很恐怖，这让人感觉很不爽.那我们就给apache降降权限吧。

　　net user apache *microsoft /add

　　net localgroup users apache /del

　　ok.我们建立了一个不属于任何组的用户apche。

　　我们打开计算机管理器，选服务，点apache服务的属性，我们选择log on，选择this account，我们填入上面所建立的账户和密码，
　　重启apache服务，ok，apache运行在低权限下了。

　　实际上我们还可以通过设置各个文件夹的权限，来让apache用户只能执行我们想让它能干的事情，给每一个目录建立一个单独能读写的用户。
　　这也是当前很多虚拟主机提供商的流行配置方法哦，不过这种方法用于防止这里就显的有点大材小用了。


9、MSSQL安全设置
sql2000安全很重要

将有安全问题的SQL过程删除.比较全面.一切为了安全!

删除了调用shell，注册表，COM组件的破坏权限

use master
EXEC sp_dropextendedproc \'xp_cmdshell\'
EXEC sp_dropextendedproc \'Sp_OACreate\'
EXEC sp_dropextendedproc \'Sp_OADestroy\'
EXEC sp_dropextendedproc \'Sp_OAGetErrorInfo\'
EXEC sp_dropextendedproc \'Sp_OAGetProperty\'
EXEC sp_dropextendedproc \'Sp_OAMethod\'
EXEC sp_dropextendedproc \'Sp_OASetProperty\'
EXEC sp_dropextendedproc \'Sp_OAStop\'
EXEC sp_dropextendedproc \'Xp_regaddmultistring\'
EXEC sp_dropextendedproc \'Xp_regdeletekey\'
EXEC sp_dropextendedproc \'Xp_regdeletevalue\'
EXEC sp_dropextendedproc \'Xp_regenumvalues\'
EXEC sp_dropextendedproc \'Xp_regread\'
EXEC sp_dropextendedproc \'Xp_regremovemultistring\'
EXEC sp_dropextendedproc \'Xp_regwrite\'
drop procedure sp_makewebtask

全部复制到\"SQL查询分析器\"

点击菜单上的--\"查询\"--\"执行\"，就会将有安全问题的SQL过程删除(以上是7i24的正版用户的技术支持)

更改默认SA空密码.数据库链接不要使用SA帐户.单数据库单独设使用帐户.只给public和db_owner权限.

数据库不要放在默认的位置.

SQL不要安装在PROGRAM FILE目录下面.

最近的SQL2000补丁是SP4


10、启用WINDOWS自带的防火墙
启用win防火墙
　　 桌面—>网上邻居—>（右键）属性—>本地连接—>（右键）属性—>高级—>

　　（选中）Internet 连接防火墙—>设置

　　 把服务器上面要用到的服务端口选中

　　 例如：一台WEB服务器，要提供WEB（80）、FTP（21）服务及远程桌面管理（3389）

　　 在“FTP 服务器”、“WEB服务器（HTTP）”、“远程桌面”、“安全WEB服务器”前面打上对号

　　 如果你要提供服务的端口不在里面，你也可以点击“添加”铵钮来添加，SMTP和POP3根据需要打开

　　 具体参数可以参照系统里面原有的参数。

　　 然后点击确定。注意：如果是远程管理这台服务器，请先确定远程管理的端口是否选中或添加。

　　 一般需要打开的端口有：21、 25、 80、 110、 443、 3389、 等，根据需要开放需要的端口。


11、用户安全设置
用户安全设置
用户安全设置

1、禁用Guest账号

在计算机管理的用户里面把Guest账号禁用。为了保险起见，最好给Guest加一个复杂的密码。你可以打开记事本，在里面输入一串包含特殊字符、数字、字母的长字符串，然后把它作为Guest用户的密码拷进去。

2、限制不必要的用户

去掉所有的Duplicate User用户、测试用户、共享用户等等。用户组策略设置相应权限，并且经常检查系统的用户，删除已经不再使用的用户。这些用户很多时候都是黑客们入侵系统的突破口。

3、创建两个管理员账号

创建一个一般权限用户用来收信以及处理一些日常事物，另一个拥有Administrators 权限的用户只在需要的时候使用。

4、把系统Administrator账号改名

大家都知道，Windows 2000 的Administrator用户是不能被停用的，这意味着别人可以一遍又一遍地尝试这个用户的密码。尽量把它伪装成普通用户，比如改成Guesycludx。

5、创建一个陷阱用户

什么是陷阱用户?即创建一个名为“Administrator”的本地用户，把它的权限设置成最低，什么事也干不了的那种，并且加上一个超过10位的超级复杂密码。这样可以让那些 Hacker们忙上一段时间，借此发现它们的入侵企图。

6、把共享文件的权限从Everyone组改成授权用户

任何时候都不要把共享文件的用户设置成“Everyone”组，包括打印共享，默认的属性就是“Everyone”组的，一定不要忘了改。

7、开启用户策略

使用用户策略，分别设置复位用户锁定计数器时间为20分钟，用户锁定时间为20分钟，用户锁定阈值为3次。

8、不让系统显示上次登录的用户名

默认情况下，登录对话框中会显示上次登录的用户名。这使得别人可以很容易地得到系统的一些用户名，进而做密码猜测。修改注册表可以不让对话框里显示上次登录的用户名。方法为：打开注册表编辑器并找到注册表项“HKLMSoftwareMicrosoftWindows TCurrentVersionWinlogonDont-DisplayLastUserName”，把REG_SZ的键值改成1。

密码安全设置

1、使用安全密码

一些公司的管理员创建账号的时候往往用公司名、计算机名做用户名，然后又把这些用户的密码设置得太简单，比如“welcome”等等。因此，要注意密码的复杂性，还要记住经常改密码。

2、设置屏幕保护密码

这是一个很简单也很有必要的操作。设置屏幕保护密码也是防止内部人员破坏服务器的一个屏障。

3、开启密码策略

注意应用密码策略，如启用密码复杂性要求，设置密码长度最小值为6位 ，设置强制密码历史为5次，时间为42天。

4、考虑使用智能卡来代替密码

对于密码，总是使安全管理员进退两难，密码设置简单容易受到黑客的攻击，密码设置复杂又容易忘记。如果条件允许，用智能卡来代替复杂的密码是一个很好的解决方法。


12、Windows2003 下安装 WinWebMail 3.6.3.1 完全攻略手册

这段时间论坛上有朋友提及无法在WINDOWS2003+IIS6下面建立WINWEBMAIL邮件,遇到不一些问题,特意将这篇旧文重新发一次给大家

1)查看硬盘:两块9.1G SCSI 硬盘(实容量8.46*2)

2)分区
系统分区X盘7.49G
WEB 分区X盘1.0G
邮件分区X盘8.46G（带１０００个１００Ｍ的邮箱足够了）

3)安装WINDOWS SERVER 2003

4)打基本补丁(防毒)．．．在这之前一定不要接网线！

5)在线打补丁

6)卸载或禁用微软的SMTP服务(Simple Mail Transpor Protocol)，否则会发生端口冲突

7)安装WinWebMail,然后重启服务器使WinWebMail完成安装.并注册.然后恢复WinWebMail数据.

8)安装Norton 8.0并按WinWebMail帮助内容设定,使Norton与WinWebMail联合起到邮件杀毒作用(将Norton更新到最新的病毒库)
8.1 启用Norton的实时防护功能
8.2 必须要设置对于宏病毒和非宏病毒的第1步操作都必须是删除被感染文件，并且必须关闭警告提示！！
8.3 必须要在查毒设置中排除掉安装目录下的 \\mail 及其所有子目录，只针对WinWebMail安装文件夹下的 \\temp 文件夹进行实时查毒。注意：如果没有 \\temp 文件夹时，先手工创建此 \\temp 文件夹，然后再进行此项设置。

9)将WinWebMail的DNS设置为win2k3中网络设置的DNS，切记，要想发的出去最好设置一个不同的备用DNS地址，对外发信的就全@@这些DNS地址了

10)给予安装 WinWebMail 的盘符以及父目录以 Internet 来宾帐户 (IUSR_*) 允许 [读取\\运行\\列出文件夹目录] 的权限.
WinWebMail的安装目录,INTERNET访问帐号完全控制
给予[超级用户/SYSTEM]在安装盘和目录中[完全控制]权限,重启IIS以保证设定生效.

11)防止外发垃圾邮件:
11.1 在服务器上点击右下角图标，然后在弹出菜单的“系统设置”-->“收发规则”中选中“启用SMTP发信认证功能”项，有效的防范外发垃圾邮件。
11.2 在“系统设置”-->“收发规则”中选中“只允许系统内用户对外发信”项。
11.3 在服务器上点击右下角图标，然后在弹出菜单的“系统设置”-->“防护”页选中“启用外发垃圾邮件自动过滤功能”项，然后再启用其设置中的“允许自动调整”项。
11.4 “系统设置”-->“收发规则”中设置“最大收件人数”-----> 10.
11.5 “系统设置”-->“防护”页选中“启用连接攻击保护功能”项，然后再设置“启用自动保护功能”.
11.6 用户级防付垃圾邮件，需登录WebMail，在“选项 | 防垃圾邮件”中进行设置。

12)打开IIS 6.0, 确认启用支持 asp 功能, 然后在默认站点下建一个虚拟目录(如: mail), 然后指向安装 WinWebMail 目录下的 \\Web 子目录, 打开浏览器就可以按下面的地址访问webmail了:
http://<;;你的IP或域名>/mail/什么? 嫌麻烦不想建? 那可要错过WinWebMail强大的webmail功能了, 3分钟的设置保证物超所值 : )

13)Web基本设置:
13.1 确认“系统设置”-->“资源使用设置”内没有选中“公开申请的是含域名帐号”
13.2 “系统设置”-->“收发规则”中设

sfjx

迎奥运 热销中。。。

你玩过游戏吗？
你不想拥有属于自己的游戏吗？
你上过网站吗？
你拥有过属于自己的网站吗？

还不心动，快来加入我们吧！

做网站 做游戏 开私服  租空间 选域名
服务器合租 主机托管 虚拟主机 代理推广 网站推广
企业邮局 数据库 服务器托管

╔服╗┊主┊主┊域┊虚┊代┊网┊网┊╔诚╗   
┃务┃┊机┊机┊名┊拟┊理┊站┊站┊┃信┃   
┃项┃┊租┊托┊服┊主┊专┊建┊推┊┃可┃   
╚目╝┊用┊管┊务┊机┊区┊设┊广┊╚靠╝  

光宇网络 双线

网易 盛大 金山 腾讯 SOHU 都选择的机房   

网站地址：www.wowidc.com
咨询电话：0371-60127017      
联系销售客服：QQ 757371426 ； 309033839   
联络宣传地址：http://17x.5d6d.com/thread-459-1-1.html

lovelyman_gold

改这么多东东

不要把电脑弄DOWN了啊

:34: