配置方法
電腦在啟動時會自動尋找config.sys這個文件,如果沒有它,電腦就按默認的方式運行,但這種默認的方式在大部分情況下都不是最适合電腦使用的,所以我們應對電腦進行設置,比如設置對擴展内存的使用,加載光驅驅動程序等。
如果您的電腦出現Windows使用不了、遊戲報告内存不夠、光驅找不到、無法連接網絡等等錯誤,合理修改config.sys也許能解決一半以上的問題。
config.sys是文本文件,可以用任何編輯器編輯修改。如果你增添、更改或删除config.sys文件中的任一配置命令,則這種改變隻在下一次啟動DOS時才有效。
2003配置
1、按照Windows2003安裝光盤的提示安裝,默認情況下2003沒有把IIS6.0安裝在系統裡面。
2、IIS6.0的安裝
開始菜單—>控制面闆—>添加或删除程序—>添加/删除Windows組件
|——啟用網絡COM+訪問(必選)
|——Internet信息服務(IIS)———Internet信息服務管理器(必選)
|——公用文件(必選)
|——萬維網服務———Active Server pages(必選)
|——Internet數據連接器(可選)
|——WebDAV發布(可選)
|——萬維網服務(必選)
|——在服務器端的包含文件(可選)
然後點擊确定—>下一步安裝。
3、系統補丁的更新
點擊開始菜單—>所有程序—>Windows Update
按照提示進行補丁的安裝。
4、備份系統
用GHOST備份系統。
5、安裝常用的軟件
例如:殺毒軟件、解壓縮軟件等;安裝之後用GHOST再次備份系統。
1、磁盤權限
系統盤及所有磁盤隻給Administrators組和SYSTEM的完全控制權限
系統盤Documents and Settings目錄隻給Administrators組和SYSTEM的完全控制權限
系統盤Documents and SettingsAll Users目錄隻給Administrators組和SYSTEM的完全控制權限
系統盤Inetpub目錄及下面所有目錄、文件隻給Administrators組和SYSTEM的完全控制權限
系統盤WindowsSystem32cacls.exe、cmd.exe、net.exe、net1.exe文件隻給Administrators組和SYSTEM的完全控制權限
2、本地安全策略設置
開始菜單—>管理工具—>本地安全策略
A、本地策略——>審核策略
審核策略更改成功失敗
審核登錄事件成功失敗
審核對象訪問失敗
審核過程跟蹤無審核
審核目錄服務訪問失敗
審核特權使用失敗
審核系統事件成功失敗
審核賬戶登錄事件成功失敗
審核賬戶管理成功失敗
B、本地策略——>用戶權限分配
關閉系統:隻有Administrators組、其它全部删除。
通過終端服務拒絕登陸:加入Guests、User組
通過終端服務允許登陸:隻加入Administrators組,其他全部删除
C、本地策略——>安全選項
交互式登陸:不顯示上次的用戶名啟用
網絡訪問:不允許SAM帳戶和共享的匿名枚舉啟用
網絡訪問:不允許為網絡身份驗證儲存憑證啟用
網絡訪問:可匿名訪問的共享全部删除
網絡訪問:可匿名訪問的命全部删除
網絡訪問:可遠程訪問的注冊表路徑全部删除
網絡訪問:可遠程訪問的注冊表路徑和子路徑全部删除
帳戶:重命名來賓帳戶重命名一個帳戶
帳戶:重命名系統管理員帳戶重命名一個帳戶
3、禁用不必要的服務
開始菜單—>管理工具—>服務
Print Spooler
Remote Registry
TCP/IP NetBIOS Helper
Server
以上是在Windows Server2003系統上面默認啟動的服務中禁用的,默認禁用的服務如沒特别需要的話不要啟動。
4、啟用防火牆
桌面—>網上鄰居—>(右鍵)屬性—>本地連接—>(右鍵)屬性—>高級—>(選中)Internet連接防火牆—>設置
把服務器上面要用到的服務端口選中
例如:一台WEB服務器,要提供WEB(80)、FTP(21)服務及遠程桌面管理(3389)
在“FTP服務器”、“WEB服務器(HTTP)”、“遠程桌面”前面打上對号
如果你要提供服務的端口不在裡面,你也可以點擊“添加”铵鈕來添加,具體參數可以參照系統裡面原有的參數。
然後點擊确定。注意:如果是遠程管理這台服務器,請先确定遠程管理的端口是否選中或添加。
配置文件
内核本身也可以看成是一個“程序”。為什麼内核需要配置文件?内核需要了解系統中用戶和組的列表,進而管理文件權限(即根據權限判定特定用戶(UNIX_USERS)是否可以打開某個文件)。注意,這些文件不是明确地由程序讀取的,而是由系統庫所提供的一個函數讀取,并被内核使用。例如,程序需要某個用戶的(加密過的)密碼時不應該打開/etc/passwd文件。相反,程序應該調用系統庫的getpw()函數。這種函數也被稱為系統調用。打開/etc/passwd文件和之後查找那個被請求的用戶的密碼都是由内核(通過系統庫)決定的。
除非另行指定,Red Hat Linux系統中大多數配置文件都在/etc目錄中。配置文件可以大緻分為下面幾類:
訪問文件
/etc/host.conf告訴網絡域名服務器如何查找主機名。(通常是/etc/hosts,然後就是名稱服務器;可通過netconf對其進行更改。)
/etc/hosts包含(本地網絡中)已知主機的一個列表。如果系統的IP不是動态生成,就可以使用它。對于簡單的主機名解析(點分表示法),在請求DNS或NIS網絡名稱服務器之前,/etc/hosts.conf通常會告訴解析程序先查看這裡。
/etc/hosts.allow請參閱hosts_access的聯機幫助頁。至少由tcpd讀取。
/etc/hosts.deny請參閱hosts_access的聯機幫助頁。至少由tcp讀取。
引導和登錄/注銷
/etc/issue&/etc/issue.net這些文件由mingetty(和類似的程序)讀取,用來向從終端(issue)或通過telnet會話(issue.net)連接的用戶顯示一個“welcome”字符串。它們包括幾行聲明Red Hat版本号、名稱和内核ID的信息。它們由rc.local使用。
/etc/redhat-release包括一行聲明Red Hat版本号和名稱的信息。由rc.local使用。
/etc/rc.d/rc通常在所有運行級别運行,級别作為參數傳送。例如,要以圖形(Graphics)模式(X-Server)引導機器,請在命令行運行下面的命令:init5。運行級别5表示以圖形模式引導系統。
/etc/rc.d/rc.local非正式的。可以從rc、rc.sysinit或/etc/inittab調用。
/etc/rc.d/rc.sysinit通常是所有運行級别的第一個腳本。
/etc/rc.d/rc/rcX.d從rc運行的腳本(X表示1到5之間的任意數字)。這些目錄是特定“運行級别”的目錄。當系統啟動時,它會識别要啟動的運行級别,然後調用該運行級别的特定目錄中存在的所有啟動腳本。例如,系統啟動時通常會在引導消息之後顯示“entering run-level3”的消息;這意味着/etc/rc.d/rc3.d/目錄中的所有初始化腳本都将被調用。
文件系統
内核提供了一個接口,用來顯示一些它的數據結構,這些數據結構對于決定諸如使用的中斷、初始化的設備和内存統計信息之類的系統參數可能很有用。這個接口是作為一個獨立但虛拟的文件系統提供的,稱為/proc文件系統。很多系統實用程序都使用這個文件系統中存在的值來顯示系統統計信息。例如,/proc/modules文件列舉系統中當前加載的模塊。lsmod命令讀取此信息,然後将其以人們可以看懂的格式顯示出來。下面表格中指定的mtab文件以同樣的方式讀取包含當前安裝的文件系統的/proc/mount文件。
/etc/mtab這将随着/proc/mount文件的改變而不斷改變。換句話說,文件系統被安裝和卸載時,改變會立即反映到此文件中。
/etc/fstab列舉計算機當前“可以安裝”的文件系統。這非常重要,因為計算機引導時将運行mount-a命令,該命令負責安裝fstab的倒數第二列中帶有“1”标記的每一個文件系統。
/etc/mtools.conf DOS類型的文件系統上所有操作(創建目錄、複制、格式化等等)的配置。
系統管理
/etc/group包含有效的組名稱和指定組中包括的用戶。單一用戶如果執行多個任務,可以存在于多個組中。例如,如果一個“用戶”是“project1”工程組的成員,同時也是管理員,那麼在group文件中他的條目看起來就會是這樣的:user:*:group-id:project1
/etc/nologi如果有/etc/nologin文件存在,login(1)将隻允許root用戶進行訪問。它将對其它用戶顯示此文件的内容并拒絕其登錄。
etc/passwd請參閱“man passwd”。它包含一些用戶帳号信息,包括密碼(如果未被shadow程序加密過)。
/etc/rpmrc rpm命令配置。所有的rpm命令行選項都可以在這個文件中一起設置,這樣,當任何rpm命令在該系統中運行時,所有的選項都會全局适用。
/etc/securetty包含設備名稱,由tty行組成(每行一個名稱,不包括前面的/dev/),root用戶在這裡被允許登錄。
/etc/usertty
/etc/shadow包含加密後的用戶帳号密碼信息,還可以包括密碼時效信息。
/etc/shells包含系統可用的可能的“shell”的列表。
/etc/motd每日消息;在管理員希望向Linux服務器的所有用戶傳達某個消息時使用。
初學者在使用電腦過程中,肯定會碰到各種各樣的問題:如怎麼管理電腦的自啟動程序、如何查看加載的系統服務、怎樣從安裝光盤提取丢失的系統文件等。為了解決類似問題,微軟在系統中提供了一個實用工具——系統配置實用程序(Msconfig)。
以系統管理員身份登錄系統後,單擊“開始→運行”輸入“Msconfig”回車後即可啟動系統配置實用程序
下面就結合幾個應用實例來詳細介紹Msconfig的使用(以WinXP為例)。
“一般”選項不一般
默認情況下,Windows采用的是正常啟動模式(即加載所有驅動和系統服務),但是有時候由于設備驅動程序遭到破壞或服務故障,常常會導緻啟動出現一些問題,這時可以利用Msconfig的其它啟動模式來解決問題。單擊“一般”選項,在“啟動模式”選擇“診斷啟動”,這種啟動模式有助于我們快速找到啟動故障原因。此外,還可以選擇“有選擇的啟動模式”,按提示勾選需要啟動的項目即可。
小提示:診斷啟動是指系統啟動時僅加載基本設備驅動程序如顯卡驅動,而不加載Modem、網卡等設備,服務也僅是系統必須的一些服務。這時系統是最幹淨的,如果啟動沒有問題,可以依次加載設備和服務來判斷問題出在哪裡。
雖然WinXP具備強大的文件保護功能,不過有時候由于安裝/卸載軟件或誤操作,還是經常會造成系統文件的丢失。一般重要的系統文件,在系統安裝光盤CAB文件中都可以找到。單擊上圖的“展開文件”,然後在彈出窗口中依次輸入要還原的文件(填入丢失文件名)、還原自(單擊“浏覽自”,選擇安裝光盤的CAB壓縮文件)、保存文件到(選擇保存文件路徑,WinXP/2000一般為c:windowssystem32,Win98則為c:windowssystem),最後單擊“展開”,系統會自動解壓CAB文件,将系統文件從安裝光盤提取到電腦。
可以先用系統的SFC命令來掃描系統文件的改動,找出變化的系統文件,命令格式:SFC[/SCANNOW][/SCANONCE][/SCANBOOT][/REVERT][/PURGECACHE][/CACHESIZE=x]
/SCANNOW:立即掃描所有受保護的系統文件。
/SCANONCE:下次啟動時掃描所有受保護的系統文件。
/SCANBOOT:每次啟動時掃描所有受保護的系統文件。
/REVERT:将掃描返回到默認設置。
/PURGECACHE:清除文件緩存。
/CACHESIZE=x:設置文件緩存大小。
在電腦應用中經常會看到“權限”這個詞,特别是Windows2000/XP被越來越多的朋友裝進電腦後,常常會有讀者問,什麼是權限呢?它到底有什麼用?下面我們将用幾個典型實例為大家講解windows中的權限應用,讓你不僅可以在不安裝任何軟件的情況下,限制别人訪問你的文件夾、指定用戶不能使用的程序,而且還有來自微軟内部的加強系統安全的絕招。
初識Windows的權限
首先,要完全使用windows權限的所有功能,請确保在應用權限的分區為NTFS文件系統。本文将以windowsXP簡體中文專業版+SP2作為範例講解。
在以NT内核為基礎的Windows2000/XP中,權限主要分為七大類完全控制、修改,讀取和運行、列出文件夾目錄、讀取、寫入、特别的權限。
其中完全控制包含了其他六大權限.隻要擁有它,就等同于擁有了另外六大權限,其餘複選框會被自動選中.屬于“最高等級”的權限。
而其他權限的等級高低分别是:特别的權限>讀取和運行>修改>寫入>讀取。
默認情況下,Windows XP将啟用"簡單文件共享",這意味着安全性選項卡和針對權限的高級選項都不可用.也就不能進行本文所述的那些權限應用操作了。請右擊任意文件或文件夾.選擇“屬性”,如果沒有看到“安全”選項卡,你可以通過如下方法打開它。
打開“我的電腦”,點擊“工具→文件夾選項→查看”,接着在然後單擊取消“使用簡單文件共享(推薦)”複選框即可。
實戰權限“正面”應用
以下應用的前提,是被限制的用戶不在Administrators組,否則将可能發生越權訪問,後面"反面應用"會講到。執行權限設置的用戶至少需要為Power Users組的成員,才有足夠權限進行設置。
實例1:我的文檔你别看-保護你的文件或文件夾
假設A電腦中有三個用戶,用戶名分别為User1、User2、User3。Userl不想讓User2和User3查看和操作自己的“test”文件夾。
第一步:右擊"test"文件夾并選擇"屬性",進入"安全"選項卡,你将會看到"組或用戶名稱"欄裡有Administrators(AAdministrators)、CREATOR OWNER、SYSTEM Users(AUsers)、User1(AUser1)。他們分别表示名為A電腦的管理員組,創建、所有者組,系統組,用戶組以及用戶User1對此文件夾的權限設置。當然,不同的電腦設置和軟件安裝情況,此欄裡的用戶或用戶組信息不一定就是和我描述的一樣.但正常情況下最少将包含3項之一:Administrators、SYSTEM、Users或Everyone。
第二步:依次選中并删除Administrators、CREATOR OWNER、SYSTEM、Users,僅保留自己使用的Userl賬戶。在操作中可能會遇到的提示框。
其實隻要單擊"高級"按鈕,在"權限"選項卡中,取消"從父項繼承那些可以應用到子對象的權限項目,包括那些在此明确定義的項目"的複選框,在彈出對話框中單擊"删除"即可。該操作使此文件夾清除了從上一級目錄繼承來的權限設置,儀保留了你使用的User1賬戶。
就這麼輕松,你就實現了其他用戶,甚至系統權限都無法訪問"test"文件夾的目的。
★需要注意的是,如果這個文件夾中需要安裝軟件,那麼就不要删除"SYSTEM",不然可能引起系統訪問出錯
★Administrator并不是最高指揮官:你可能會問,為什麼這裡會有一個"SYSTEM"賬戶呢?同時許多朋友認為windows2000/XP中的Administrator是擁有權限最高的用戶,其實不然,這個"SYSTEM"才具有系統最高權限,因為它是"作為操作系統的一部分工作",任何用戶通過某種方法獲取了此權限,就能淩駕一切。
實例2:上班時間别聊天-禁止用戶使用某程序
第一步:找到聊天程序的主程序,如QQ,其主程序就是安裝目錄下的QQ.exe,打開它的屬性對話框,進入"安全"選項卡,選中或添加你要限制的用戶,如User3。
第二步:接着選擇"完全控制"為"拒絕","讀取和運行"也為"拒絕"。
第三步:單擊"高級"按鈕進入高級權限沒置,選中User3,點"編輯"按鈕,進入權限項目。在這裡的"拒絕"欄中選中"更改權限"和"取得所有權"的複選框。
也可以使用組策略編輯器來實現此功能,但安全性沒有上面方法高。點擊"開始→運行",輸入"gpedit.msc",回車後打開組策略編輯器,進入"計算機設置→windows設置→安全設置→軟件限制策略→其他規則",右擊,選擇"所有任務→新路徑規則",接着根據提示設置想要限制的軟件的主程序路徑,然後設定想要的安全級别,是"不允許的"還是"受限制的"。
實例3:來者是客--微軟内部增強系統安全的秘技
本實戰内容将需要管理員權限。所謂入侵,無非就是利用某種方法獲取到管理員級别的權限或系統級的權限,以便進行下一步操作,如添加自己的用戶。如果想要使入侵者"進來"之後不能進行任何操作呢?永遠隻能是客人權限或比這個權限更低,就算本地登錄,連關機都不可以。那麼,他将不能實施任何破壞活動。
注意:此法有較高的危險性.建議完全不知道以下程序用途的讀者不要嘗試.以免誤操作引起系統不能進入或出現很多錯誤。
第一步:确定要設置的程序
搜索系統目錄下的危險程序,它們可以用來創建用戶奪取及提升低權限用戶的權限,格式化硬盤,引起電腦崩潰等惡意操作:cmd.exe、regedit.exe、regsvr32.exe、regedt32.exe、gpedit.msc、format.com、compmgmt.msc、mmc.exe、telnet.exe、tftp.exe、ftp.exe、XCOPY.EXE、at.exe、cacls.exe、edlin.exe、rsh.exe、finger.exe、runas.exe、net.exe、tracert.exe、netsh.exe、tskill.exe、poledit.exe、regini.exe、cscript.exe、netstat.exe、issync.exe、runonce.exe、debug.exe、rexec.exe、wscript.exe、command.com、comsdupd.exe
第二步:按系統調用的可能性分組設置
按照下面分組.設置這些程序權限。完成一組後,建議重啟電腦确認系統運行是否一切正常,查看"事件查看器",是否有錯誤信息("控制面闆→管理工具→事件查看器")。
(1)cmd.exe、net.exe gpedit.msc telnet.exe command.com
(僅保留你自己的用戶,SYSTEM也删除)
(2)mmc.exe、tftp.exe、ftp.exe、XCOPY.EXE、comsdupd.exe
(僅保留你自己的用戶,SYSTEM也删除)
(3)regedit.exe、regedt32.exe、format.com、compmgmt.msc、at.exe、cacls.exe、edlin.exe、rsh.exe、finger.exe、runas.exe、debug.exe、wscript.exe、cscript.exe、rexec.exe
(保留你自己的用戶和SYSTEM)
(4)tracert.exe、netsh.exe、tskill.exe、poledit.exe、regini.exe、netstat.exe、issync.exe、runonce.exe、regsvr32.exe
(保留你自己的用戶和SYSTEM)
第三步:用戶名欺騙
這個方法騙不了經驗豐富的入侵者,但卻可以讓不夠高明的僞黑客們弄個一頭霧水。
打開"控制面闆一管理工具一計算機管理",找到"用戶",将默認的Administrator和Guest的名稱互換,包括描述信息也換掉。完成後,雙擊假的"Administrator"用戶,也就是以前的Guest用戶.在其"屬性"窗口中把隸屬于列表裡的Guests組删除.這樣.這個假的"管理員"賬号就成了"無黨派人士",不屬于任何組,也就不會繼承其權限。此用戶的權限幾乎等于0,連關機都不可以,對電腦的操作幾乎都會被拒絕。如果有誰處心積慮地獲取了這個用戶的權限,那麼他肯定吐血。
第四步:集權控制,提高安全性
打開了組策略編輯器,找到"計算機設置→windows設置→安全設置→本地策略→用戶權利指派",接着根據下面的提示進行設置。
(1)減少可訪問此計算機的用戶數,減少被攻擊機會
找到并雙擊"從網絡訪問此計算機",删除賬戶列表中用戶組,隻剩下"Administrators";
找到并雙擊"拒絕本地登錄",删除列表中的"Guest"用戶,添加用戶組"Guests"。
(2)确定不想要從網絡訪問的用戶,加入到此"黑名單"内
找到并雙擊"拒絕從剛絡訪問這台計算機",删除賬戶列表中的"Guest"用戶,添加用戶組"Guests";
找到并雙擊"取得文件或其他對象的所有權",添加你常用的賬戶和以上修改過名稱為"Guest"的管理員賬戶,再删除列表中"Administrators"。
(3)防止跨文件夾操作
找到并雙擊"跳過遍曆檢查",添加你所使用的賬戶和以上修改過名稱為"Guest"的管理員賬戶,再删除賬戶列表中的"Administrators"、"Everyone"和"Users"用戶組。
(4)防止通過終端服務進行的密碼猜解嘗試
找到并雙擊"通過終端服務拒絕登錄",添加假的管理員賬戶"Administrator";找到"通過終端服務允許登錄",雙擊,添加你常用的賬戶和以上修改過名稱為"Guest"的管理員賬戶,再删除賬戶列表中的"Administrators","Remote Desktop User"和"HelpAssistant"(如果你不用遠程協助功能的話才可删除此用戶)。
(5)避免拒絕服務攻擊
找到并雙擊"調整進程的内存配額",添加你常用的賬戶,再删除賬戶列表中的"Administrators"
實例4:"你的文檔"别獨享——突破文件夾"私有"的限制
windows XP安裝完成并進入系統時,會詢問是否将"我的文檔"設為私有(專用),如果選擇了"是",那将使該用戶下的"我的文檔"文件夾不能被其他用戶訪問,删除,修改。其實這就是利用權限設置将此文件夾的訪問控制列表中的用戶和用戶組删除到了隻剩下系統和你的用戶,所有者也設置成了那個用戶所有,Administrators組的用戶也不能直接訪問。如果你把這個文件夾曾經設置為專用,但又在該盤重裝了系統,此文件夾不能被删除或修改。可按照下面步驟解決這些問題,讓你對這個文件夾的訪問,暢通無阻。
第一步:登錄管理員權限的賬戶,如系統默認的Administrator,找到被設為專用的"我的文檔",進入其"屬性"的"安全"選項卡,你将會看到你的用戶不在裡面,但也無法添加和删除。
第二步:單擊"高級"按鈕,進入高級權限設置,選擇"所有者"選項卡,在"将所有者更改為"下面的列表中選中你現在使用的用戶,如"Userl(AUserl)",然後再選中"替換子容器及對象的所有者"的複選框,然後單擊"應用",等待操作完成。
第三步:再進入這個文件夾看看,是不是不會有任何權限的提示了?可以自由訪問了?查看裡面的文件,複制、删除試試看.是不是一切都和"自己的"一樣了?嘿嘿。如果你想要删除整個文件夾,也不會有什麼阻止你了。
SYSTEMCurrentControlSetControlTerminal ServerWinStationsRDP-Tcp改3389的
實用程序
Windows98提供了一款系統配置實用程序(Msconfig.exe),該工具允許你通過一系列複選框操作來修改系統配置,從而降低修改出錯的風險。對于一些常見的疑難解答操作,采用人機會話的方式,特别适合于一般用戶。
單擊Windows98的“開始”按扭,選擇“運行”,在“運行”對話框中鍵入“msconfig.exe”,單擊“确定”按扭啟動系統配置實用程序。
使用Msconfig可以将當前的系統配置文件Config.sys、Autoexec.bat、System.ini和Win.ini分别備份成以.PSS為擴展名的文件,備份文件與原始文件位于同一目錄下。這樣做的目的是确保此次對系統配置文件所作的修改是可以還原的。具體操作:單擊“常規”标簽,單擊“創建備份”,然後單擊“确定”;若單擊“還原備份”,然後再單擊“确定”按扭即可恢複原系統配置文件。
1.對于一般用戶,也許希望在系統啟動過程中,建立一個啟動菜單,以減少因系統異常而需要安全模式啟動時,用戶不必在啟動系統時按住CTRL(對于某些計算機是F8)鍵就能顯示Startup菜單。具體操作:單擊“常規”标簽的“高級”按扭,将“高級疑難解答設置”對話框中的“啟用‘啟動’菜單”複選框選中。然後單擊确定“按扭”退出。重新啟機後設置生效。
2.系統掉電(或非正常關機)重新啟動機器時,磁盤掃描程序便自動運行,當你不喜歡這種啟動方式時,可以關閉磁盤掃描程序,具體操作:将“高級疑難解答設置”對話框中的“如果關機失敗,請禁用磁盤掃描程序”複選框選中。然後單擊“确定”按扭退出,重新啟機後設置生效。
3.如當惡作劇者(或其它原因)将你的機器内存由32MB限制為16MB時,将影響你的Windows及其應用程序的運行速度。解決方案是将“高級疑難解答設置”對話框中的“将内存限制為”複選框選中,并且将右邊框中的值恢複為32MB,然後單擊“确定”按鈕退出,重新啟機後設置生效。
在Windows98的桌面或者任務欄中,常常出現一些伴随系統啟動過程中自動啟動程序。你若想取消這些程序的自啟動,可以選擇“系統配置實用程序”對話框的“啟動”标簽,在列表框中用鼠标取消自啟動程序左側複選框的勾選,然後單擊“确定”按鈕,重新啟機使設置生效。
安全設置
基本的服務器安全設置
安裝好操作系統之後,最好能在托管之前就完成補丁的安裝,配置好網絡後,如果是2000則确定安裝上了SP4,如果是2003,則最好安裝上SP1,然後點擊開始→Windows Update,安裝所有的關鍵更新。
至于殺毒軟件我使用有兩款,一款是瑞星,一款是諾頓,瑞星殺木馬的效果比諾頓要強,我測試過病毒包,瑞星要多殺出很多,但是裝瑞星的話會有一個問題就是會出現ASP動态不能訪問,這時候需要重新修複一下,具體操作步驟是:
關閉殺毒軟件的所有的實時監控,腳本監控。
╭═══════════════╮╭═══════════════╮
在Dos命令行狀态下分别輸入下列命令并按回車(Enter)鍵:
regsvr32jscript.dll(命令功能:修複Java動态鍊接庫)
regsvr32vbscript.dll(命令功能:修複VB動态鍊接庫)
╰═══════════════╯╰═══════════════╯
不要指望殺毒軟件殺掉所有的木馬,因為ASP木馬的特征是可以通過一定手段來避開殺毒軟件的查殺。
2003的端口屏蔽可以通過自身防火牆來解決,這樣比較好,比篩選更有靈活性,桌面—>網上鄰居—>(右鍵)屬性—>本地連接—>(右鍵)屬性—>高級—>(選中)Internet連接防火牆—>設置
把服務器上面要用到的服務端口選中
例如:一台WEB服務器,要提供WEB(80)、FTP(21)服務及遠程桌面管理(3389)
在“FTP服務器”、“WEB服務器(HTTP)”、“遠程桌面”前面打上對号
如果你要提供服務的端口不在裡面,你也可以點擊“添加”铵鈕來添加,具體參數可以參照系統裡面原有的參數。
然後點擊确定。注意:如果是遠程管理這台服務器,請先确定遠程管理的端口是否選中或添加。
權限設置
權限設置的原理
?WINDOWS用戶,在WINNT系統中大多數時候把權限按用戶(組)來劃分。在【開始→程序→管理工具→計算機管理→本地用戶和組】管理系統用戶和用戶組。
?NTFS權限設置,請記住分區的時候把所有的硬盤都分為NTFS分區,然後我們可以确定每個分區對每個用戶開放的權限。【文件(夾)上右鍵→屬性→安全】在這裡管理NTFS文件(夾)權限。
?IIS匿名用戶,每個IIS站點或者虛拟目錄,都可以設置一個匿名訪問用戶(暫且把它叫“IIS匿名用戶”),當用戶訪問你的網站的.ASP文件的時候,這個.ASP文件所具有的權限,就是這個“IIS匿名用戶”所具有的權限。
權限設置
磁盤權限
系統盤及所有磁盤隻給Administrators組和SYSTEM的完全控制權限
系統盤Documents and Settings目錄隻給Administrators組和SYSTEM的完全控制權限
系統盤Documents and SettingsAll Users目錄隻給Administrators組和SYSTEM的完全控制權限
系統盤Inetpub目錄及下面所有目錄、文件隻給Administrators組和SYSTEM的完全控制權限
系統盤WindowsSystem32cacls.exe、cmd.exe、net.exe、net1.exe文件隻給Administrators組和SYSTEM的完全控制權限
開始菜單—>管理工具—>服務
Print Spooler
Remote Registry
TCP/IP NetBIOS Helper
Server
以上是在Windows Server2003系統上面默認啟動的服務中禁用的,默認禁用的服務如沒特别需要的話不要啟動。
改名或卸載不安全組件
不安全組件不驚人
在阿江探針1.9裡加入了不安全組件檢測功能(其實這是參考7i24的代碼寫的,隻是把界面改的友好了一點,檢測方法和他是基本一樣的),這個功能讓很多站長吃驚不小,因為他發現他的服務器支持很多不安全組件。
其實,隻要做好了上面的權限設置,那麼FSO、XML、strem都不再是不安全組件了,因為他們都沒有跨出自己的文件夾或者站點的權限。那個歡樂時光更不用怕,有殺毒軟件在還怕什麼時光啊。
最危險的組件是WSH和Shell,因為它可以運行你硬盤裡的EXE等程序,比如它可以運行提升程序來提升SERV-U權限甚至用SERVU來運行更高權限的系統程序。
謹慎決定是否卸載一個組件
組件是為了應用而出現的,而不是為了不安全而出現的,所有的組件都有它的用處,所以在卸載一個組件之前,你必須确認這個組件是你的網站程序不需要的,或者即使去掉也不關大體的。否則,你隻能留着這個組件并在你的ASP程序本身上下工夫,防止别人進來,而不是防止别人進來後SHELL。
比如,FSO和XML是非常常用的組件之一,很多程序會用到他們。WSH組件會被一部分主機管理程序用到,也有的打包程序也會用到。
最簡單的辦法是直接卸載後删除相應的程序文件。将下面的代碼保存為一個.BAT文件,(以下均以WIN2000為例,如果使用2003,則系統文件夾應該是C:WINDOWS)
regsvr32/u C:WINNTSystem32wshom.ocx
del C:WINNTSystem32wshom.ocx
regsvr32/u C:WINNTsystem32shell32.dll
del C:WINNTsystem32shell32.dll
然後運行一下,WScript.Shell,Shell.application,WScript.Network就會被卸載了。可能會提示無法删除文件,不用管它,重啟一下服務器,你會發現這三個都提示“×安全”了。
改名不安全組件
需要注意的是組件的名稱和Clsid都要改,并且要改徹底了。下面以Shell.application為例來介紹方法。
打開注冊表編輯器【開始→運行→regedit回車】,然後【編輯→查找→填寫Shell.application→查找下一個】,用這個方法能找到兩個注冊表項:“”和“Shell.application”。為了确保萬無一失,把這兩個注冊表項導出來,保存為.reg文件。
比如我們想做這樣的更改
13709620-C279-11CE-A49E-444553540000改名為13709620-C279-11CE-A49E-444553540001
Shell.application改名為Shell.application_ajiang
那麼,就把剛才導出的.reg文件裡的内容按上面的對應關系替換掉,然後把修改好的.reg文件導入到注冊表中(雙擊即可),導入了改名後的注冊表項之後,别忘記了删除原有的那兩個項目。這裡需要注意一點,Clsid中隻能是十個數字和ABCDEF六個字母。
下面是我修改後的代碼(兩個文件我合到一起了):
Windows Registry Editor Version5.00
[HKEY_CLASSES_ROOTCLSID]
@="Shell Automation Service"
[HKEY_CLASSES_ROOTCLSIDInProcServer32]
@="C:WINNTsystem32shell32.dll"
"ThreadingModel"="Apartment"
[HKEY_CLASSES_ROOTCLSIDProgID]
@="Shell.Application_ajiang.1"
[HKEY_CLASSES_ROOTCLSIDTypeLib]
@=""
[HKEY_CLASSES_ROOTCLSIDVersion]
@="1.1"
[HKEY_CLASSES_ROOTCLSIDVersionIndependentProgID]
@="Shell.Application_ajiang"
[HKEY_CLASSES_ROOTShell.Application_ajiang]
@="Shell Automation Service"
[HKEY_CLASSES_ROOTShell.Application_ajiangCLSID]
@=""
[HKEY_CLASSES_ROOTShell.Application_ajiangCurVer]
@="Shell.Application_ajiang.1"
你可以把這個保存為一個.reg文件運行試一下,但是可别就此了事,因為萬一黑客也看了我的這篇文章,他會試驗我改出來的這個名字的。
在阿江ASP探針1.9中結合7i24的方法利用getobject("WINNT")獲得了系統用戶和系統進程的列表,這個列表可能會被黑客利用,我們應當隐藏起來,方法是:
【開始→程序→管理工具→服務】,找到Workstation,停止它,禁用它。
防止Serv-U權限提升
其實,注銷了Shell組件之後,侵入者運行提升工具的可能性就很小了,但是prel等别的腳本語言也有shell能力,為防萬一,還是設置一下為好。
用Ultraedit打開ServUDaemon.exe查找Ascii:LocalAdministrator,和#l@$ak#.lk;0@P,修改成等長度的其它字符就可以了,ServUAdmin.exe也一樣處理。
另外注意設置Serv-U所在的文件夾的權限,不要讓IIS匿名用戶有讀取的權限,否則人家下走你修改過的文件,照樣可以分析出你的管理員名和密碼。
利用ASP漏洞攻擊的常見方法及防範
一般情況下,黑客總是瞄準論壇等程序,因為這些程序都有上傳功能,他們很容易的就可以上傳ASP木馬,即使設置了權限,木馬也可以控制當前站點的所有文件了。另外,有了木馬就然後用木馬上傳提升工具來獲得更高的權限,我們關閉shell組件的目的很大程度上就是為了防止攻擊者運行提升工具。
如果論壇管理員關閉了上傳功能,則黑客會想辦法獲得超管密碼,比如,如果你用動網論壇并且數據庫忘記了改名,人家就可以直接下載你的數據庫了,然後距離找到論壇管理員密碼就不遠了。
作為管理員,我們首先要檢查我們的ASP程序,做好必要的設置,防止網站被黑客進入。另外就是防止攻擊者使用一個被黑的網站來控制整個服務器,因為如果你的服務器上還為朋友開了站點,你可能無法确定你的朋友會把他上傳的論壇做好安全設置。這就用到了前面所說的那一大堆東西,做了那些權限設置和防提升之後,黑客就算是進入了一個站點,也無法破壞這個網站以外的東西。
系統配置命令
winver---------檢查Windows版本
wmimgmt.msc----打開windows管理體系結構(WMI)
wupdmgr--------windows更新程序
wscript--------windows腳本宿主設置
write----------寫字闆
winmsd---------系統信息
wiaacmgr-------掃描儀和照相機向導
winchat--------XP自帶局域網聊天
mem.exe--------顯示内存使用情況
Msconfig-------系統配置實用程序
mplayer2-------簡易windows media player(Windows Media Player6.4)
mspaint--------畫圖闆
mstsc----------遠程桌面連接
mplayer2-------媒體播放機
magnify--------放大鏡實用程序
mmc------------打開控制台
mobsync--------同步命令
dxdiag---------檢查DirectX信息,以及進行DirectX的診斷
drwtsn32------系統醫生
devmgmt.msc---設備管理器
dfrg.msc-------磁盤碎片整理程序
diskmgmt.msc---磁盤管理實用程序
dcomcnfg-------打開系統組件服務
ddeshare-------打開DDE共享設置
dvdplay--------DVD播放器
net stop messenger-----停止信使服務
net start messenger----開始信使服務
notepad--------打開記事本
nslookup-------網絡管理的工具向導
ntbackup-------系統備份和還原
narrator-------屏幕“講述人”
ntmsmgr.msc----移動存儲管理器
ntmsoprq.msc---移動存儲管理員操作請求
netstat-an----(TC)命令檢查接口
syncapp--------創建一個公文包
sysedit--------系統配置編輯器
sigverif-------文件簽名驗證程序
sndrec32-------錄音機
shrpubw--------創建共享文件夾
secpol.msc-----本地安全策略
syskey---------系統加密,一旦加密就不能解開,保護windows xp系統的雙重密碼
services.msc---本地服務設置
Sndvol32-------音量控制程序
sfc.exe--------系統文件檢查器
sfc/scannow---windows文件保護
tsshutdn-------60秒倒計時關機命令
tourstart------xp簡介(安裝完成後出現的漫遊xp程序)
taskmgr--------任務管理器
eventvwr-------事件查看器
eudcedit-------造字程序
explorer-------打開資源管理器
packager-------對象包裝程序
perfmon.msc----計算機性能監測程序
progman--------程序管理器
regedit----注冊表編輯器
rsop.msc-------組策略結果集
regedt32-------注冊表編輯器
rononce-p----15秒關機
regsvr32/u*.dll----停止dll文件運行
regsvr32/u zipfldr.dll------取消ZIP支持
cmd.exe--------CMD命令提示符
chkdsk.exe-----Chkdsk磁盤檢查
certmgr.msc----證書管理實用程序
calc-----------啟動計算器
charmap--------啟動字符映射表
cliconfg-------SQL SERVER客戶端網絡實用程序
Clipbrd--------剪貼闆查看器
conf-----------啟動netmeeting
compmgmt.msc---計算機管理
cleanmgr-------垃圾整理
ciadv.msc------索引服務程序
osk------------打開屏幕鍵盤
odbcad32-------ODBC數據源管理器
oobe/msoobe/a----檢查XP是否激活
lusrmgr.msc----本機用戶和組
logoff---------注銷命令
iexpress-------建立自解壓工具向導
Nslookup-------IP地址偵測器
fsmgmt.msc-----共享文件夾管理器
utilman--------輔助工具管理器
gpedit.msc-----組策略
