专业虚拟主机提供商! 正规合法诚信公司、拥有ICP/ISP双经营许可证
域名空间实时开通立即使用,几分钟即可完成
安全方便的网上支付,超强的域名空间管理程序
我要购买空间,请点这里
我要注册域名,请点这里
我要建设网站,请点这里
我要续费域名,请点这里
我要续费空间,请点这里
我要在线支付,请点这里
首 页 特惠套餐 域名注册 虚拟主机 托管租用 FTP空间 数据库 企业邮局 网站建设 联系我们 付款方式
 | 网站首页 | 虚拟主机资讯 | 域名注册资讯 | 托管租用资讯 | 网络编程 | 网站备案 | 系统安全 | 源码下载 | 
您现在的位置: IDC资讯网 >> 系统安全 >> 正文
最新推荐  更多内容
最新热门  更多内容
  • 没有热点文章
  • Windows2003技巧大全         ★★★
    Windows2003技巧大全
    点击数: 更新时间:2009-8-6 21:01:04

    Windows Server 2003 系统配置方案

    由于近短ASP木马问题严重/很多主机租用朋友和主机管理员想我询问WIN2003的一些安全配置措施,现我做拉初步整理。希望对大家有所帮助。有不足之处请大家补上。


    一、系统的安装  

    1、按照Windows2003安装光盘的提示安装,默认情况下2003没有把IIS6.0安装在系统里面。

    2、IIS6.0的安装
      开始菜单—>控制面板—>添加或删除程序—>添加/删除Windows组件
      应用程序 ———asp.net(可选)
           |——启用网络 COM+ 访问(必选)
           |——Internet 信息服务(IIS)———Internet 信息服务管理器(必选) 
                          |——公用文件(必选)
                          |——万维网服务———Active Server pages(必选)
                                  |——Internet 数据连接器(可选)
                                  |——WebDAV 发布(可选)
                                  |——万维网服务(必选)
                                  |——在服务器端的包含文件(可选)
      然后点击确定—>下一步安装。

    3、系统补丁的更新
      点击开始菜单—>所有程序—>Windows Update
      按照提示进行补丁的安装。

    4、备份系统
      用GHOST备份系统。

    5、安装常用的软件
      例如:杀毒软件、解压缩软件等;安装之后用GHOST再次备份系统。

    二、系统权限的设置
    1、磁盘权限
      系统盘及所有磁盘只给 Administrators 组和 SYSTEM 的完全控制权限
      系统盘\Documents and Settings 目录只给 Administrators 组和 SYSTEM 的完全控制权限
      系统盘\Documents and Settings\All Users 目录只给 Administrators 组和 SYSTEM 的完全控制权限
      系统盘\Inetpub 目录及下面所有目录、文件只给 Administrators 组和 SYSTEM 的完全控制权限
      系统盘\Windows\System32\cacls.exe、cmd.exe、net.exe、net1.exe 文件只给 Administrators 组和 SYSTEM 的完全控制权限
      
    2、本地安全策略设置
      开始菜单—>管理工具—>本地安全策略
      A、本地策略——>审核策略
      审核策略更改   成功 失败  
      审核登录事件   成功 失败
      审核对象访问      失败
      审核过程跟踪   无审核
      审核目录服务访问    失败
      审核特权使用      失败
      审核系统事件   成功 失败
      审核账户登录事件 成功 失败
      审核账户管理   成功 失败

      B、 本地策略——>用户权限分配
      关闭系统:只有Administrators组、其它全部删除。
      通过终端服务拒绝登陆:加入Guests、User组
      通过终端服务允许登陆:只加入Administrators组,其他全部删除

      C、本地策略——>安全选项
      交互式登陆:不显示上次的用户名       启用
      网络访问:不允许SAM帐户和共享的匿名枚举   启用
      网络访问:不允许为网络身份验证储存凭证   启用
      网络访问:可匿名访问的共享         全部删除
      网络访问:可匿名访问的命          全部删除
      网络访问:可远程访问的注册表路径      全部删除
      网络访问:可远程访问的注册表路径和子路径  全部删除
      帐户:重命名来宾帐户            重命名一个帐户
      帐户:重命名系统管理员帐户         重命名一个帐户

    3、禁用不必要的服务
      开始菜单—>管理工具—>服务
      Print Spooler
      Remote Registry
      TCP/IP NetBIOS Helper
      Server
      
      以上是在Windows Server 2003 系统上面默认启动的服务中禁用的,默认禁用的服务如没特别需要的话不要启动。

    4、启用防火墙
      桌面—>网上邻居—>(右键)属性—>本地连接—>(右键)属性—>高级—>(选中)Internet 连接防火墙—>设置
      把服务器上面要用到的服务端口选中
      例如:一台WEB服务器,要提供WEB(80)、FTP(21)服务及远程桌面管理(3389)
        在“FTP 服务器”、“WEB服务器(HTTP)”、“远程桌面”前面打上对号
      如果你要提供服务的端口不在里面,你也可以点击“添加”铵钮来添加,具体参数可以参照系统里面原有的参数。
      然后点击确定。注意:如果是远程管理这台服务器,请先确定远程管理的端口是否选中或添加。
    ASP虚拟主机安全检测探针V1.5


    走出Windows权限迷魂阵
    在电脑应用中经常会看到"权限"这个词,特别是Windows 2000/XP被越来越多的朋友装进电脑后,常常会有读者问,什么是权限呢?它到底有什么用?下面我们将用几个典型实例为大家讲解windows中的权限应用,让你不仅可以在不安装任何软件的情况下,限制别人访问你的文件夹、指定用户不能使用的程序,而且还有来自微软内部的加强系统安全的绝招。
    --------------------------------------------------------------------------------

    初识Windows的权限
    首先,要完全使用windows权限的所有功能,请确保在应用权限的分区为NTFS文件系统。本文将以windowsXP简体中文专业版+SP2作为范例讲解。
    1.什么是权限?
    举个形象的例子,windows就像一个实验室,其中有导师A、导师B;学生A、学生B.大家都能在实验室里面完成实验。但在这里又是分等级的.两位导师可以指定学生能使用什么样的实验工具,不能碰什么工具,从而使得实验室不会因为学生乱用实验工具.而出现问题。同时.两位导师又能互相限制对方对实验工具的使用。因此.windows中的权限就是对某个用户或同等级的用户进行权力分配和限制的方法。正是有了它的出现,windows中的用户要遵循这种"不平等"的制度,而正是这个制度,才使得windows可以更好地为多个用户的使用创造了良好,稳定的运行环境。
    2.权限都包含有什么?
    在以NT内核为基础的Windows 2000/XP中,权限主要分为七大类完全控制、修改,读取和运行、列出文件夹目录、读取、写入、特别的权限(见图1)。

    其中完全控制包含了其他六大权限.只要拥有它,就等同于拥有了另外六大权限,其余复选框会被自动选中.属于"最高等级"的权限。
    而其他权限的等级高低分别是:特别的权限>读取和运行>修改>写入>读取。
    默认情况下,Windows XP将启用"简单文件共享",这意味着安全性选项卡和针对权限的高级选项都不可用.也就不能进行本文所述的那些权限应用操作了。请现在就右击任意文件或文件夹.选择"属性",如果没有看到"安全"选项卡,你可以通过如下方法打开它。
    打开"我的电脑",点击"工具→文件夹选项→查看",接着在然后单击取消"使用简单文件共享(推荐)"复选框即可。
    实战权限"正面"应用
    以下应用的前提,是被限制的用户不在Administrators组,否则将可能发生越权访问,后面"反面应用"会讲到。执行权限设置的用户至少需要为Power Users组的成员,才有足够权限进行设置。
        实例1:我的文档你别看-保护你的文件或文件夹
        假设A电脑中有三个用户,用户名分别为User1、User2、User3。Userl不想让User2和User3查看和操作自己的"test"文件夹。
        第一步:右击"test"文件夹并选择"属性",进入"安全"选项卡,你将会看到"组或用户名称"栏里有Administrators(A\ Administrators)、CREATOR OWNER、SYSTEM Users(A\Users)、User1(A\ User1)。他们分别表示名为A电脑的管理员组,创建、所有者组,系统组,用户组以及用户User1对此文件夹的权限设置。当然,不同的电脑设置和软件安装情况,此栏里的用户或用户组信息不一定就是和我描述的一样.但正常情况下最少将包含3项之一:Administrators、SYSTEM、 Users或Everyone(见图2)。

        第二步:依次选中并删除Administrators、CREATOR OWNER、SYSTEM、Users,仅保留自己使用的Userl账户。在操作中可能会遇到如图3的提示框。

    其实只要单击"高级"按钮,在"权限"选项卡中,取消"从父项继承那些可以应用到子对象的权限项目,包括那些在此明确定义的项目"的复选框,在弹出对话框中单击"删除"即可。该操作使此文件夹清除了从上一级目录继承来的权限设置,仪保留了你使用的User1账户。
        就这么轻松,你就实现了其他用户,甚至系统权限都无法访问"test"文件夹的目的。
    ★需要注意的是,如果这个文件夹中需要安装软件,那么就不要删除"SYSTEM",不然可能引起系统访问出错
    ★Administrator 并不是最高指挥官:你可能会问,为什么这里会有一个"SYSTEM"账户呢?同时许多朋友认为windows2000/XP中的 Administrator是拥有权限最高的用户,其实不然,这个"SYSTEM"才具有系统最高权限,因为它是"作为操作系统的一部分工作",任何用户通过某种方法获取了此权限,就能凌驾一切。

    --------------------------------------------------------------------------------
        实例2:上班时间别聊天-禁止用户使用某程序
        第一步:找到聊天程序的主程序,如QQ,其主程序就是安装目录下的QQ.exe,打开它的属性对话框,进入"安全"选项卡,选中或添加你要限制的用户,如User3。
        第二步:接着选择"完全控制"为"拒绝","读取和运行"也为"拒绝"。
        第三步:单击"高级"按钮进入高级权限没置,选中User3,点"编辑"按钮,进入权限项目。在这里的"拒绝"栏中选中"更改权限"和"取得所有权"的复选框。
        也可以使用组策略编辑器来实现此功能,但安全性没有上面方法高。点击"开始→运行",输入"gpedit.msc",回车后打开组策略编辑器,进入"计算机设置→windows设置→安全设置→软件限制策略→其他规则",右击,选择"所有任务→新路径规则",接着根据提示设置想要限制的软件的主程序路径,然后设定想要的安全级别,是"不允许的"还是"受限制的"。

    --------------------------------------------------------------------------------
        实例3:来者是客--微软内部增强系统安全的秘技
        本实战内容将需要管理员权限。所谓入侵,无非就是利用某种方法获取到管理员级别的权限或系统级的权限,以便进行下一步操作,如添加自己的用户。如果想要使入侵者"进来"之后不能进行任何操作呢?永远只能是客人权限或比这个权限更低,就算本地登录,连关机都不可以。那么,他将不能实施任何破坏活动。
        注意:此法有较高的危险性.建议完全不知道以下程序用途的读者不要尝试.以免误操作引起系统不能进入或出现很多错误。
        第一步:确定要设置的程序
        搜索系统目录下的危险程序,它们可以用来创建用户夺取及提升低权限用户的权限,格式化硬盘,引起电脑崩溃等恶意操作:cmd.exe、 regedit.exe、regsvr32.exe、regedt32.exe、gpedit.msc、format.com、 compmgmt.msc、mmc.exe、telnet.exe、tftp.exe、ftp.exe、XCOPY.EXE、 at.exe、cacls.exe、edlin.exe、rsh.exe、finger.exe、runas.exe、net.exe、 tracert.exe、netsh.exe、tskill.exe、poledit.exe、regini.exe、cscript.exe、 netstat.exe、issync.exe、runonce.exe、debug.exe、rexec.exe、wscript.exe、 command.com、comsdupd.exe
        第二步:按系统调用的可能性分组设置
        按照下面分组.设置这些程序权限。完成一组后,建议重启电脑确认系统运行是否一切正常,查看"事件查看器",是否有错误信息("控制面板→管理工具→事件查看器")。
    (1)cmd.exe、net.exe gpedit.msc telnet.exe command.com
        (仅保留你自己的用户,SYSTEM也删除)
    (2)mmc.exe、tftp.exe、ftp.exe、XCOPY.EXE、comsdupd.exe
        (仅保留你自己的用户,SYSTEM也删除)
    (3) regedit.exe、regedt32.exe、format.com、compmgmt.msc、at.exe、cacls.exe、 edlin.exe、rsh.exe、finger.exe、runas.exe、debug.exe、wscript.exe、 cscript.exe、rexec.exe
        (保留你自己的用户和SYSTEM)
    (4)tracert.exe、netsh.exe、tskill.exe、poledit.exe、regini.exe、netstat.exe、issync.exe、runonce.exe、regsvr32.exe
        (保留你自己的用户和SYSTEM)
        第三步:用户名欺骗
        这个方法骗不了经验丰富的入侵者,但却可以让不够高明的伪黑客们弄个一头雾水。
        打开"控制面板一管理工具一计算机管理",找到"用户",将默认的Administrator和Guest的名称互换,包括描述信息也换掉。完成后,双击假的"Administrator"用户,也就是以前的Guest用户.在其"属性"窗口中把隶属于列表里的Guests组删除.这样.这个假的"管理员 "账号就成了"无党派人士",不属于任何组,也就不会继承其权限。此用户的权限几乎等于0,连关机都不可以,对电脑的操作几乎都会被拒绝。如果有谁处心积虑地获取了这个用户的权限,那么他肯定吐血。
        第四步:集权控制,提高安全性
        打开了组策略编辑器,找到"计算机设置→windows设置→安全设置→本地策略→用户权利指派"(见图4),接着根据下面的提示进行设置。

      (1)减少可访问此计算机的用户数,减少被攻击机会
        找到并双击"从网络访问此计算机",删除账户列表中用户组,只剩下"Administrators";
    找到并双击"拒绝本地登录",删除列表中的"Guest"用户,添加用户组"Guests"。
      (2)确定不想要从网络访问的用户,加入到此"黑名单"内
      找到并双击"拒绝从刚络访问这台计算机",删除账户列表中的"Guest"用户,添加用户组"Guests";
      找到并双击"取得文件或其他对象的所有权",添加你常用的账户和以上修改过名称为"Guest"的管理员账户,再删除列表中"Administrators"。
      (3)防止跨文件夹操作
      找到并双击"跳过遍历检查",添加你所使用的账户和以上修改过名称为"Guest"的管理员账户,再删除账户列表中的"Administrators"、"Everyone"和"Users"用户组。
      (4)防止通过终端服务进行的密码猜解尝试
      找到并双击"通过终端服务拒绝登录",添加假的管理员账户"Administrator";找到"通过终端服务允许登录",双击,添加你常用的账户和以上修改过名称为"Guest"的管理员账户,再删除账户列表中的"Administrators","Remote Desktop User"和"HelpAssistant"(如果你不用远程协助功能的话才可删除此用户)。
      (5)避免拒绝服务攻击
      找到并双击"调整进程的内存配额",添加你常用的账户,再删除账户列表中的"Administrators"

    --------------------------------------------------------------------------------
        实例4:"你的文档"别独享——突破文件夹"私有"的限制
        windows XP安装完成并进入系统时,会询问是否将"我的文档"设为私有(专用),如果选择了"是",那将使该用户下的"我的文档"文件夹不能被其他用户访问,删除,修改。其实这就是利用权限设置将此文件夹的访问控制列表中的用户和用户组删除到了只剩下系统和你的用户,所有者也设置成了那个用户所有, Administrators组的用户也不能直接访问。如果你把这个文件夹曾经设置为专用,但又在该盘重装了系统,此文件夹不能被删除或修改。可按照下面步骤解决这些问题,让你对这个文件夹的访问,畅通无阻。
        第一步:登录管理员权限的账户,如系统默认的Administrator,找到被设为专用的"我的文档",进入其"属性"的"安全"选项卡,你将会看到你的用户不在里面,但也无法添加和删除。
        第二步:单击"高级"按钮,进入高级权限设置,选择"所有者"选项卡,在"将所有者更改为"下面的列表中选中你现在使用的用户,如"Userl(A\Userl)",然后再选中"替换子容器及对象的所有者"的复选框,然后单击"应用",等待操作完成。
        第三步:再进入这个文件夹看看,是不是不会有任何权限的提示了?可以自由访问了?查看里面的文件,复制、删除试试看.是不是一切都和"自己的"一样了?嘿嘿。如果你想要删除整个文件夹,也不会有什么阻止你了。 


     SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp   改3389 的

     

    Windows2003基本的web服务器安全设置
    栏目: | 作者:青鳥南飛 | 点击:164 | 回复:0 | 2006-6-26 14:40:39
    基本的服务器安全设置
      1、安装补丁

      安装好操作系统之后,最好能在托管之前就完成补丁的安装,配置好网络后,如果是2000则确定安装上了SP4,如果是2003,则最好安装上SP1,然后点击开始→Windows Update,安装所有的关键更新。

      2、安装杀毒软件

      至于杀毒软件目前我使用有两款,一款是瑞星,一款是诺顿,瑞星杀木马的效果比诺顿要强,我测试过病毒包,瑞星要多杀出很多,但是装瑞星的话会有一个问题就是会出现ASP动态不能访问,这时候需要重新修复一下,具体操作步骤是:

      关闭杀毒软件的所有的实时监控,脚本监控。

      ╭═══════════════╮╭═══════════════╮

      在Dos命令行状态下分别输入下列命令并按回车(Enter)键:

      regsvr32 jscript.dll (命令功能:修复Java动态链接库)

      reg

    [1] [2] [3] [4] [5] [6] 下一页


    以上内容均来自网络,由 稳速网络 搜集整理,如有侵权请联系我们立即删除,如转载请注明原文出处,并保留以下内容。
        [稳速网络] http://www.765.com.cnhttp://www.wsu.cn 是深圳市稳速网络科技有限公司的网络服务品牌,专业经营域名注册虚拟主机网站建设服务器租用托管等业务。经过多年的高速发展,“稳速网络”已经成为我国一家知名的互联网服务提供商。
    文章录入:admin    责任编辑:admin 
  • 上一篇文章: 没有了

  • 下一篇文章:
  • 【字体: 】【发表评论】【加入收藏】【告诉好友】【打印此文】【关闭窗口
    资讯中心首页
    | 虚拟主机资讯 | 域名注册资讯 | 托管租用资讯 | 网络编程 | 网站备案 | 系统安全 | 源码下载 |
    关于我们 | 联系我们 | 产品价格 | 代理加盟 | 咨询反馈 | 诚聘英才 | 在线对话系统 | ASP技术网 | 帮助中心 | 网站地图
    ICP/ISP证B2-20050322
    ICP/ISP经营许可证编号:粤ICP证B2-20050322 网站备案号:粤B2-20050322号
    客服热线:0755-26499456 0755-26499435 [共8线] 24小时值班:0755-21852765 [更多]
    客服QQ:
    [ 63103 ]
    [ 959260 ]
    代理咨询:
    [ 519065 ]
    [更多]
    客户服务中心:深圳市南山区桃园路前海金岸金丰阁706  邮编:518052
    本站推广词:动态空间 | 网站空间 | 虚拟主机 | 深圳网站建设 | 空间购买 | 域名空间 | ASP空间申请购买
    服务范围:广州·深圳·东莞·珠海·汕头·惠州·中山·佛山·上海·重庆等全国其它地区
    广东省深圳市稳速网络科技有限公司版权所有 严禁以任何形式进行复制、抄袭