WIN2003服务器架设教学-第一篇 权限和安全
说明:为了保证在修改中安全性和不造成系统错误和IIS出错,在设权限和安全前先备份一下系统。后再操作。
1. php.ini安全配置
第一步:
打开php.ini文件(windows默认路径为"c:\windows\php.ini",使用记事本打开。
第二步:找到"safe_mode=off"改为"safe_mode=on"(已经打开的省略此步)
第三步:找到"disable_functions=" (中间有空格查找时间注意)
改为:"disable_functions=phpinfo,system,exec,passthru,shell_exec,popen,is_dir".
第四步:找到"display_errors=on"改为"display_errors=off"
第五步:保存退出.
说明:php安全模式(safe_mode)打开后,"disable_functions="后跟的全部都是被禁用的PHP内部函数."phpinfo"这个
函数并不是为防止PHP木马而禁用的.但它能返回所有的PHP基本信息,建议关闭以绝后
患,"system,exec,passthru,shell_exec,popen," 这些属于命令执行类函数,关闭他们可以防止PHP木马执行webshell;"is_dir"这个函数的关闭,可以让既使有everyone可读的权限,也无法将服务器目录及文件名返回到浏览器
.但此时PHP的错误提示会告诉你是因为哪些函数出错造的.所以我们还要关掉错误提示,就是我们的
第四步,这样下来 那些一般的工具黑客就会以为没有权限而放弃!
2.IIS部分安全设置
第一步: 删除c:\inetpub目录,为网站设立专用日志存放目录和删除iis不必要的映射。
第二步:启用父级路径
第三步:在IIS管理器中删除必须之外的任何没有用到的映射(保留asp PHP等必要映射即可)
第四步:在IIS中将HTTP404 Object Not Found出错页面通过URL重定向到一个定制HTM文件
404错误页大全下载: http://www.pcsay.cn/soft/404.rar
第五步:Web站点权限设定(建议)
读 允许
写 不允许
脚本源访问 不允许
目录浏览 建议关闭
日志访问 建议关闭
索引资源 建议关闭
执行 推荐选择 “仅限于脚本”
第六步:为自已站点d:\wwwroot目录设权限
第六步: 禁用TCP/IP上的NetBIOS
网上邻居-属性-本地连接-属性-Internet协议(TCP/IP)属性-高级-WINS面板-NetBIOS设置-禁用TCP/IP上的NetBIOS。这样cracker就无法用nbtstat命令来读取你的NetBIOS信息和网卡MAC地址了。
第七步:其它地方的权限设置
请找到c盘的这些文件,把安全性设置只有特定的管理员有完全操作权限
下列这些文件只允许administrators访问
net.exe net1.exet cmd.exe tftp.exe netstat.exe regedit.exe at.exe attrib.exe cacls.exe format.com
第八步:。禁用服务里面倒数第二个 workstation 服务,可以防止列出用户和服务
Computer Browser 维护网络上计算机的最新列表以及提供这个列表
Task scheduler 允许程序在指定时间运行
Routing and Remote Access 在局域网以及广域网环境中为企业提供路由服务
Removable storage 管理可移动媒体、驱动程序和库
Remote Registry Service 允许远程注册表操作
Print Spooler 将文件加载到内存中以便以后打印。要用打印机的朋友不能禁用这项
IPSEC Policy Agent 管理IP安全策略以及启动ISAKMP/OakleyIKE)和IP安全驱动程序
Distributed Link Tracking Client 当文件在网络域的NTFS卷中移动时发送通知
Com+ Event System 提供事件的自动发布到订阅COM组件
Alerter 通知选定的用户和计算机管理警报
Error Reporting Service 收集、存储和向 Microsoft 报告异常应用程序
Messenger 传输客户端和服务器之间的 NET SEND 和 警报器服务消息
Telnet 允许远程用户登录到此计算机并运行程序
第三步: 账户安全
1, 点运行,输入GPEDIT.MSC
2.首先禁止一切账户,除了你自己,呵呵。然后把Administrator改名。我呢就顺手又建了个Administrator账户,不过是什么权限都没有的那种,然后打开记事本,一阵乱敲,复制,粘贴到“密码”里去,呵呵,来破密码吧~!破完了才发现是个低级账户,看你崩溃不?
3.启动登陆不显示上一次登陆用户名。
第四步: 安全日志
我遇到过这样的情况,一台主机被别人入侵了,系统管理员请我去追查凶手,我登录进去一看:安全日志是空的,倒,请记住:Win2000的默认安装是不开任何安全审核的!那么请你到本地安全策略->审核策略中打开相应的审核,推荐的审核是:
账户管理 成功 失败
登录事件 成功 失败
对象访问 失败
策略更改 成功 失败
特权使用 失败
系统事件 成功 失败
目录服务访问 失败
账户登录事件 成功 失败
审核项目少的缺点是万一你想看发现没有记录那就一点都没辙;审核项目太多不仅会占用系统资源而且会导致你根本没空去看,这样就失去了审核的意义。
第五步:运行IP普通PC安全过滤策略
http://www.pcsay.cn/soft/pc.rar
第六步:卸载最不安全的组件
最简单的办法是直接卸载后删除相应的程序文件。将下面的代码保存为一个.BAT文件,( 以下均以 WIN2000 为例,如果使用2003,则系统文件夹应该是 C:\WINDOWS\ )
下载:http://www.pcsay.cn/soft/SrvGard.rar
手动删除无用插件方法:
cacls C:\WINdows\system32\shell32.dll /e /d guests 禁止GUEST访问SHELL32
cacls C:\WINdows\system32\Cmd.exe /e /d guests 禁止GUEST访问CMD
卸载
regsvr32/u C:\WINDOWS\System32\wshom.ocx
del C:\WINDOWS\System32\wshom.ocx
regsvr32/u C:\WINDOWS\system32\shell32.dll
del C:\WINdows\WINDOWS\shell32.dll
然后运行一下,WScript.Shell, Shell.application, WScript.Network就会被卸载了。可能会提示无法删除文件,不用管它,重启一下服务器,你会发现这三个都提示“×安全”了
第七步:数据一下系统,自行修改部分系统权限。防止出错。
下载:http://www.pcsay.cn/soft/bak.exe
第八步:部分目录访问权限设置
 |
置顶卡
喧嚣卡
变色卡
千斤顶
显身卡
