也許你一個網(wǎng)絡(luò)菜鳥,也許你剛接觸做網(wǎng)站,可能對服務(wù)器安全配置不了解,沒關(guān)系.
請耐心加細心地查看以下的教程說明,按照以下的方法設(shè)置,可使服務(wù)器安全性提高一個檔次,COME ON!
WindowsServer2003 + IIS6.0 + ASP + NET + PHP + PERL + MSSQL + MYSQL 最新服務(wù)器安全設(shè)置技術(shù)實例
1、服務(wù)器安全設(shè)置之--硬盤權(quán)限篇
這里著重談需要的權(quán)限,也就是最終文件夾或硬盤需要的權(quán)限,可以防御各種木馬入侵,提權(quán)攻擊,跨站攻擊等。本實例經(jīng)過多次試驗,安全性能很好,服務(wù)器基本沒有被木馬威脅的擔憂了。
硬盤或文件夾: C:\ D:\ E:\ F:\ 類推
|
主要權(quán)限部分: |
其他權(quán)限部分: |
Administrators
|
完全控制 |
無
如果安裝了其他運行環(huán)境,比如PHP等,則根據(jù)PHP的環(huán)境功能要求來設(shè)置硬盤權(quán)限,一般是安裝目錄加上users讀取運行權(quán)限就足夠了,比如c:\php的話,就在根目錄權(quán)限繼承的情況下加上users讀取運行權(quán)限,需要寫入數(shù)據(jù)的比如tmp文件夾,則把users的寫刪權(quán)限加上,運行權(quán)限不要,然后把虛擬主機用戶的讀權(quán)限拒絕即可。如果是mysql的話,用一個獨立用戶運行MYSQL會更安全,下面會有介紹。如果是winwebmail,則最好建立獨立的應(yīng)用程序池和獨立IIS用戶,然后整個安裝目錄有users用戶的讀/運行/寫/權(quán)限,IIS用戶則相同,這個IIS用戶就只用在winwebmail的WEB訪問中,其他IIS站點切勿使用,安裝了winwebmail的服務(wù)器硬盤權(quán)限設(shè)置后面舉例
|
|
該文件夾,子文件夾及文件 |
|
<不是繼承的> |
CREATOR OWNER
|
完全控制 |
|
只有子文件夾及文件 |
|
<不是繼承的> |
SYSTEM
|
完全控制 |
|
該文件夾,子文件夾及文件 |
|
<不是繼承的> |
硬盤或文件夾: C:\Inetpub\
|
主要權(quán)限部分: |
其他權(quán)限部分: |
Administrators
|
完全控制 |
無
|
|
該文件夾,子文件夾及文件 |
|
<繼承于c:\> |
CREATOR OWNER
|
完全控制 |
|
只有子文件夾及文件 |
|
<繼承于c:\> |
SYSTEM
|
完全控制 |
|
該文件夾,子文件夾及文件 |
|
<繼承于c:\> |
硬盤或文件夾: C:\Inetpub\AdminScripts
|
主要權(quán)限部分: |
其他權(quán)限部分: |
Administrators
|
完全控制 |
無
|
|
該文件夾,子文件夾及文件 |
|
<不是繼承的> |
SYSTEM
|
完全控制 |
|
該文件夾,子文件夾及文件 |
|
<不是繼承的> |
硬盤或文件夾: C:\Inetpub\wwwroot
|
主要權(quán)限部分: |
其他權(quán)限部分: |
Administrators
|
完全控制 |
IIS_WPG
|
讀取運行/列出文件夾目錄/讀取
|
|
該文件夾,子文件夾及文件 |
|
該文件夾,子文件夾及文件
|
|
<不是繼承的> |
|
<不是繼承的> |
SYSTEM
|
完全控制 |
Users
|
讀取運行/列出文件夾目錄/讀取 |
|
該文件夾,子文件夾及文件 |
|
該文件夾,子文件夾及文件 |
|
<不是繼承的> |
|
<不是繼承的> |
這里可以把虛擬主機用戶組加上
同Internet 來賓帳戶一樣的權(quán)限
拒絕權(quán)限
|
Internet 來賓帳戶
|
創(chuàng)建文件/寫入數(shù)據(jù)/:拒絕
創(chuàng)建文件夾/附加數(shù)據(jù)/:拒絕
寫入屬性/:拒絕
寫入擴展屬性/:拒絕
刪除子文件夾及文件/:拒絕
刪除/:拒絕 |
|
該文件夾,子文件夾及文件 |
|
<不是繼承的> |
硬盤或文件夾: C:\Inetpub\wwwroot\aspnet_client
|
主要權(quán)限部分: |
其他權(quán)限部分: |
Administrators
|
完全控制 |
Users
|
讀取 |
|
該文件夾,子文件夾及文件 |
|
該文件夾,子文件夾及文件 |
|
<不是繼承的> |
|
<不是繼承的> |
SYSTEM
|
完全控制 |
|
|
該文件夾,子文件夾及文件 |
|
<不是繼承的> |
硬盤或文件夾: C:\Documents and Settings
|
主要權(quán)限部分: |
其他權(quán)限部分: |
Administrators
|
完全控制 |
無
|
|
該文件夾,子文件夾及文件 |
|
<不是繼承的> |
SYSTEM
|
完全控制 |
|
該文件夾,子文件夾及文件 |
|
<不是繼承的> |
硬盤或文件夾: C:\Documents and Settings\All Users
|
主要權(quán)限部分: |
其他權(quán)限部分: |
Administrators
|
完全控制 |
Users
|
讀取和運行 |
|
該文件夾,子文件夾及文件 |
|
該文件夾,子文件夾及文件 |
|
<不是繼承的> |
|
<不是繼承的> |
SYSTEM
|
完全控制 |
USERS組的權(quán)限僅僅限制于讀取和運行,
絕對不能加上寫入權(quán)限
|
|
該文件夾,子文件夾及文件 |
|
<不是繼承的> |
硬盤或文件夾: C:\Documents and Settings\All Users\「開始」菜單
|
主要權(quán)限部分: |
其他權(quán)限部分: |
Administrators
|
完全控制 |
無
|
|
該文件夾,子文件夾及文件 |
|
<不是繼承的> |
SYSTEM
|
完全控制 |
|
該文件夾,子文件夾及文件 |
|
<不是繼承的> |
硬盤或文件夾: C:\Documents and Settings\All Users\Application Data
|
主要權(quán)限部分: |
其他權(quán)限部分: |
Administrators
|
完全控制 |
Users
|
讀取和運行 |
|
該文件夾,子文件夾及文件 |
|
該文件夾,子文件夾及文件 |
|
<不是繼承的> |
|
<不是繼承的> |
CREATOR OWNER
|
完全控制 |
Users
|
寫入 |
|
只有子文件夾及文件 |
|
該文件夾,子文件夾 |
|
<不是繼承的> |
|
<不是繼承的> |
SYSTEM
|
完全控制 |
兩個并列權(quán)限同用戶組需要分開列權(quán)限
|
|
該文件夾,子文件夾及文件 |
|
<不是繼承的> |
硬盤或文件夾: C:\Documents and Settings\All Users\Application Data\Microsoft
|
主要權(quán)限部分: |
其他權(quán)限部分: |
Administrators
|
完全控制 |
Users
|
讀取和運行 |
|
該文件夾,子文件夾及文件 |
|
該文件夾,子文件夾及文件 |
|
<不是繼承的> |
|
<不是繼承的> |
SYSTEM
|
完全控制 |
此文件夾包含 Microsoft 應(yīng)用程序狀態(tài)數(shù)據(jù)
|
|
該文件夾,子文件夾及文件 |
|
<不是繼承的> |
硬盤或文件夾: C:\Documents and Settings\All Users\Application Data\Microsoft\Crypto\RSA\MachineKeys
|
主要權(quán)限部分: |
其他權(quán)限部分: |
Administrators
|
完全控制 |
Everyone
|
列出文件夾、讀取屬性、讀取擴展屬性、創(chuàng)建文件、創(chuàng)建文件夾、寫入屬性、寫入擴展屬性、讀取權(quán)限
|
|
只有該文件夾 |
Everyone這里只有讀寫權(quán)限,不能加運行和刪除權(quán)限,僅限該文件夾
|
只有該文件夾 |
|
<不是繼承的> |
<不是繼承的> |
硬盤或文件夾: C:\Documents and Settings\All Users\Application Data\Microsoft\Crypto\DSS\MachineKeys
|
主要權(quán)限部分: |
其他權(quán)限部分: |
Administrators
|
完全控制 |
Everyone
|
列出文件夾、讀取屬性、讀取擴展屬性、創(chuàng)建文件、創(chuàng)建文件夾、寫入屬性、寫入擴展屬性、讀取權(quán)限
|
|
只有該文件夾 |
Everyone這里只有讀寫權(quán)限,不能加運行和刪除權(quán)限,僅限該文件夾 |
只有該文件夾 |
|
<不是繼承的> |
<不是繼承的> |
硬盤或文件夾: C:\Documents and Settings\All Users\Application Data\Microsoft\HTML Help
|
主要權(quán)限部分: |
其他權(quán)限部分: |
Administrators
|
完全控制 |
Users
|
讀取和運行 |
|
該文件夾,子文件夾及文件 |
|
該文件夾,子文件夾及文件 |
|
<不是繼承的> |
|
<不是繼承的> |
SYSTEM
|
完全控制 |
|
|
該文件夾,子文件夾及文件 |
|
<不是繼承的> |
硬盤或文件夾: C:\Documents and Settings\All Users\Application Data\Microsoft\Network\Connections\Cm
|
主要權(quán)限部分: |
其他權(quán)限部分: |
Administrators
|
完全控制 |
Everyone
|
讀取和運行 |
|
該文件夾,子文件夾及文件 |
|
該文件夾,子文件夾及文件 |
|
<不是繼承的> |
|
<不是繼承的> |
SYSTEM
|
完全控制 |
Everyone這里只有讀和運行權(quán)限
|
|
該文件夾,子文件夾及文件 |
|
<不是繼承的> |
硬盤或文件夾: C:\Documents and Settings\All Users\Application Data\Microsoft\Network\Downloader
|
主要權(quán)限部分: |
其他權(quán)限部分: |
Administrators
|
完全控制 |
無
|
|
該文件夾,子文件夾及文件 |
|
<不是繼承的> |
SYSTEM
|
完全控制 |
|
該文件夾,子文件夾及文件 |
|
<不是繼承的> |
硬盤或文件夾: C:\Documents and Settings\All Users\Application Data\Microsoft\Media Index
|
主要權(quán)限部分: |
其他權(quán)限部分: |
Administrators
|
完全控制 |
Users
|
讀取和運行 |
|
該文件夾,子文件夾及文件 |
|
該文件夾,子文件夾及文件 |
|
<不是繼承的> |
|
<繼承于上一級文件夾> |
SYSTEM
|
完全控制 |
Users
|
創(chuàng)建文件/寫入數(shù)據(jù)
創(chuàng)建文件夾/附加數(shù)據(jù)
寫入屬性
寫入擴展屬性
讀取權(quán)限 |
|
該文件夾,子文件夾及文件 |
|
只有該文件夾 |
|
<不是繼承的> |
|
<不是繼承的> |
|
Users
|
創(chuàng)建文件/寫入數(shù)據(jù)
創(chuàng)建文件夾/附加數(shù)據(jù)
寫入屬性
寫入擴展屬性 |
|
只有該子文件夾和文件 |
|
<不是繼承的> |
硬盤或文件夾: C:\Documents and Settings\All Users\DRM
|
主要權(quán)限部分: |
其他權(quán)限部分: |
這里需要把GUEST用戶組和IIS訪問用戶組全部禁止
Everyone的權(quán)限比較特殊,默認安裝后已經(jīng)帶了
主要是要把IIS訪問的用戶組加上所有權(quán)限都禁止
|
Users
|
讀取和運行 |
|
該文件夾,子文件夾及文件 |
|
<不是繼承的> |
Guests
|
拒絕所有 |
|
該文件夾,子文件夾及文件 |
|
<不是繼承的> |
Guest
|
拒絕所有 |
|
該文件夾,子文件夾及文件 |
|
<不是繼承的> |
IUSR_XXX
或某個虛擬主機用戶組
|
拒絕所有 |
該文件夾,子文件夾及文件 |
<不是繼承的> |
硬盤或文件夾: C:\Documents and Settings\All Users\Documents (共享文檔)
|
主要權(quán)限部分: |
其他權(quán)限部分: |
Administrators
|
完全控制 |
無
|
|
該文件夾,子文件夾及文件 |
|
<不是繼承的> |
CREATOR OWNER
|
完全控制 |
|
只有子文件夾及文件 |
|
<不是繼承的> |
SYSTEM
|
完全控制 |
|
該文件夾,子文件夾及文件 |
|
<不是繼承的> |
硬盤或文件夾: C:\Program Files
|
主要權(quán)限部分: |
其他權(quán)限部分: |
Administrators
|
完全控制 |
IIS_WPG
|
讀取和運行 |
|
該文件夾,子文件夾及文件 |
|
該文件夾,子文件夾及文件 |
|
<不是繼承的> |
|
<不是繼承的> |
CREATOR OWNER
|
完全控制 |
IUSR_XXX
或某個虛擬主機用戶組
|
列出文件夾/讀取數(shù)據(jù) :拒絕 |
|
只有子文件夾及文件 |
該文件夾,子文件夾及文件 |
|
<不是繼承的> |
<不是繼承的> |
SYSTEM
|
完全控制 |
IIS虛擬主機用戶組禁止列目錄,可有效防止FSO類木馬
如果安裝了aspjepg和aspupload
|
|
該文件夾,子文件夾及文件 |
|
<不是繼承的> |
硬盤或文件夾: C:\Program Files\Common Files
|
主要權(quán)限部分: |
其他權(quán)限部分: |
Administrators
|
完全控制 |
IIS_WPG
|
讀取和運行 |
|
該文件夾,子文件夾及文件 |
|
該文件夾,子文件夾及文件 |
|
<不是繼承的> |
|
<繼承于上級目錄> |
CREATOR OWNER
|
完全控制 |
Users
|
讀取和運行 |
|
只有子文件夾及文件 |
該文件夾,子文件夾及文件 |
|
<不是繼承的> |
<不是繼承的> |
SYSTEM
|
完全控制 |
復(fù)合權(quán)限,為IIS提供快速安全的運行環(huán)境
|
|
該文件夾,子文件夾及文件 |
|
<不是繼承的> |
硬盤或文件夾: C:\Program Files\Common Files\Microsoft Shared\web server extensions
|
主要權(quán)限部分: |
其他權(quán)限部分: |
Administrators
|
完全控制 |
無
|
|
該文件夾,子文件夾及文件 |
|
<不是繼承的> |
CREATOR OWNER
|
完全控制 |
|
只有子文件夾及文件 |
|
<不是繼承的> |
SYSTEM
|
完全控制 |
|
該文件夾,子文件夾及文件 |
|
<不是繼承的> |
硬盤或文件夾: C:\Program Files\Microsoft SQL Server\MSSQL (程序部分默認裝在C:盤)
|
主要權(quán)限部分: |
其他權(quán)限部分: |
Administrators
|
完全控制 |
無
|
|
該文件夾,子文件夾及文件 |
|
<不是繼承的> |
硬盤或文件夾: E:\Program Files\Microsoft SQL Server (數(shù)據(jù)庫部分裝在E:盤的情況)
|
主要權(quán)限部分: |
其他權(quán)限部分: |
Administrators
|
完全控制 |
無
|
|
該文件夾,子文件夾及文件 |
|
<不是繼承的> |
CREATOR OWNER
|
完全控制 |
|
只有子文件夾及文件 |
|
<不是繼承的> |
SYSTEM
|
完全控制 |
|
該文件夾,子文件夾及文件 |
|
<不是繼承的> |
硬盤或文件夾: E:\Program Files\Microsoft SQL Server\MSSQL (數(shù)據(jù)庫部分裝在E:盤的情況)
|
主要權(quán)限部分: |
其他權(quán)限部分: |
Administrators
|
完全控制 |
無
|
|
該文件夾,子文件夾及文件 |
|
<不是繼承的> |
硬盤或文件夾: C:\Program Files\Internet Explorer\iexplore.exe
|
主要權(quán)限部分: |
其他權(quán)限部分: |
Administrators
|
完全控制 |
無
|
|
該文件夾,子文件夾及文件 |
|
<不是繼承的> |
硬盤或文件夾: C:\Program Files\Outlook Express
|
主要權(quán)限部分: |
其他權(quán)限部分: |
Administrators
|
完全控制 |
無
|
|
該文件夾,子文件夾及文件 |
|
<不是繼承的> |
CREATOR OWNER
|
完全控制 |
|
只有子文件夾及文件 |
|
<不是繼承的> |
SYSTEM
|
完全控制 |
|
該文件夾,子文件夾及文件 |
|
<不是繼承的> |
硬盤或文件夾: C:\Program Files\PowerEasy5 (如果裝了動易組件的話)
|
主要權(quán)限部分: |
其他權(quán)限部分: |
Administrators
|
完全控制 |
無
|
|
該文件夾,子文件夾及文件 |
|
<不是繼承的> |
CREATOR OWNER
|
完全控制 |
|
只有子文件夾及文件 |
|
<不是繼承的> |
SYSTEM
|
完全控制 |
|
該文件夾,子文件夾及文件 |
|
<不是繼承的> |
硬盤或文件夾: C:\Program Files\Radmin (如果裝了Radmin遠程控制的話)
|
主要權(quán)限部分: |
其他權(quán)限部分: |
Administrators
|
完全控制 |
無
對應(yīng)的c:\windows\system32里面有兩個文件
r_server.exe和AdmDll.dll
要把Users讀取運行權(quán)限去掉
默認權(quán)限只要administrators和system全部權(quán)限
|
|
該文件夾,子文件夾及文件 |
|
<不是繼承的> |
CREATOR OWNER
|
完全控制 |
|
只有子文件夾及文件 |
|
<不是繼承的> |
SYSTEM
|
完全控制 |
|
該文件夾,子文件夾及文件 |
|
<不是繼承的> |
硬盤或文件夾: C:\Program Files\Serv-U (如果裝了Serv-U服務(wù)器的話)
|
主要權(quán)限部分: |
其他權(quán)限部分: |
Administrators
|
完全控制 |
無
這里常是提權(quán)入侵的一個比較大的漏洞點
一定要按這個方法設(shè)置
目錄名字根據(jù)Serv-U版本也可能是
C:\Program Files\RhinoSoft.com\Serv-U
|
|
該文件夾,子文件夾及文件 |
|
<不是繼承的> |
CREATOR OWNER
|
完全控制 |
|
只有子文件夾及文件 |
|
<不是繼承的> |
SYSTEM
|
完全控制 |
<, /TD> |
該文件夾,子文件夾及文件 |
|
<不是繼承的> |
硬盤或文件夾: C:\Program Files\Windows Media Player
|
主要權(quán)限部分: |
其他權(quán)限部分: |
Administrators
|
完全控制 |
無
|
|
該文件夾,子文件夾及文件 |
|
<不是繼承的> |
CREATOR OWNER
|
完全控制 |
|
只有子文件夾及文件 |
|
<不是繼承的> |
SYSTEM
|
完全控制 |
|
該文件夾,子文件夾及文件 |
|
<不是繼承的> |
硬盤或文件夾: C:\Program Files\Windows NT\Accessories
|
主要權(quán)限部分: |
其他權(quán)限部分: |
Administrators
|
完全控制 |
無
|
|
該文件夾,子文件夾及文件 |
|
<不是繼承的> |
CREATOR OWNER
|
完全控制 |
|
只有子文件夾及文件 |
|
<不是繼承的> |
SYSTEM
|
完全控制 |
|
該文件夾,子文件夾及文件 |
|
<不是繼承的> |
硬盤或文件夾: C:\Program Files\WindowsUpdate
|
主要權(quán)限部分: |
其他權(quán)限部分: |
Administrators
|
完全控制 |
無
|
|
該文件夾,子文件夾及文件 |
|
<不是繼承的> |
CREATOR OWNER
|
完全控制 |
|
只有子文件夾及文件 |
|
<不是繼承的> |
SYSTEM
|
完全控制 |
|
該文件夾,子文件夾及文件 |
|
<不是繼承的> |
硬盤或文件夾: C:\WINDOWS
|
主要權(quán)限部分: |
其他權(quán)限部分: |
Administrators
|
完全控制 |
Users
|
讀取和運行 |
|
該文件夾,子文件夾及文件 |
|
該文件夾,子文件夾及文件 |
|
<不是繼承的> |
|
<不是繼承的> |
CREATOR OWNER
|
完全控制 |
|
|
|
只有子文件夾及文件 |
|
|
<不是繼承的> |
|
SYSTEM
|
完全控制 |
|
|
該文件夾,子文件夾及文件 |
|
<不是繼承的> |
硬盤或文件夾: C:\WINDOWS\repair
|
主要權(quán)限部分: |
其他權(quán)限部分: |
Administrators
|
完全控制 |
IUSR_XXX
或某個虛擬主機用戶組
|
列出文件夾/讀取數(shù)據(jù) :拒絕 |
|
該文件夾,子文件夾及文件 |
該文件夾,子文件夾及文件 |
|
<不是繼承的> |
<不是繼承的> |
CREATOR OWNER
|
完全控制 |
虛擬主機用戶訪問組拒絕讀取,有助于保護系統(tǒng)數(shù)據(jù)
這里保護的是系統(tǒng)級數(shù)據(jù)SAM
|
|
只有子文件夾及文件 |
|
<不是繼承的> |
SYSTEM
|
完全控制 |
|
該文件夾,子文件夾及文件 |
|
<不是繼承的> |
硬盤或文件夾: C:\WINDOWS\system32
|
主要權(quán)限部分: |
其他權(quán)限部分: |
Administrators
|
完全控制 |
Users
|
讀取和運行 |
|
該文件夾,子文件夾及文件 |
|
該文件夾,子文件夾及文件 |
|
<不是繼承的> |
|
<不是繼承的> |
CREATOR OWNER
|
完全控制 |
IUSR_XXX
或某個虛擬主機用戶組
|
列出文件夾/讀取數(shù)據(jù) :拒絕 |
|
只有子文件夾及文件 |
該文件夾,子文件夾及文件 |
|
<不是繼承的> |
<不是繼承的> |
SYSTEM
|
完全控制 |
虛擬主機用戶訪問組拒絕讀取,有助于保護系統(tǒng)數(shù)據(jù)
|
|
該文件夾,子文件夾及文件 |
|
<不是繼承的> |
硬盤或文件夾: C:\WINDOWS\system32\config
|
主要權(quán)限部分: |
其他權(quán)限部分: |
Administrators
|
完全控制 |
Users
|
讀取和運行 |
|
該文件夾,子文件夾及文件 |
|
該文件夾,子文件夾及文件 |
|
<不是繼承的> |
|
<不是繼承的> |
CREATOR OWNER
|
完全控制 |
IUSR_XXX
或某個虛擬主機用戶組
|
列出文件夾/讀取數(shù)據(jù) :拒絕 |
|
只有子文件夾及文件 |
該文件夾,子文件夾及文件 |
|
<不是繼承的> |
<繼承于上一級目錄> |
SYSTEM
|
完全控制 |
虛擬主機用戶訪問組拒絕讀取,有助于保護系統(tǒng)數(shù)據(jù)
|
|
該文件夾,子文件夾及文件 |
|
<不是繼承的> |
硬盤或文件夾: C:\WINDOWS\system32\inetsrv\
|
主要權(quán)限部分: |
其他權(quán)限部分: |
Administrators
|
完全控制 |
Users
|
讀取和運行 |
|
該文件夾,子文件夾及文件 |
|
該文件夾,子文件夾及文件 |
|
<不是繼承的> |
|
<不是繼承的> |
CREATOR OWNER
|
完全控制 |
IUSR_XXX
或某個虛擬主機用戶組
|
列出文件夾/讀取數(shù)據(jù) :拒絕 |
|
只有子文件夾及文件 |
只有該文件夾 |
|
<不是繼承的> |
<繼承于上一級目錄> |
SYSTEM
|
完全控制 |
虛擬主機用戶訪問組拒絕讀取,有助于保護系統(tǒng)數(shù)據(jù)
|
|
該文件夾,子文件夾及文件 |
|
<不是繼承的> |
硬盤或文件夾: C:\WINDOWS\system32\inetsrv\ASP Compiled Templates
|
主要權(quán)限部分: |
其他權(quán)限部分: |
Administrators
|
完全控制 |
IIS_WPG
|
完全控制 |
|
該文件夾,子文件夾及文件 |
|
該文件夾,子文件夾及文件 |
|
<不是繼承的> |
|
<不是繼承的> |
|
IUSR_XXX
或某個虛擬主機用戶組
|
列出文件夾/讀取數(shù)據(jù) :拒絕 |
該文件夾,子文件夾及文件 |
<繼承于上一級目錄> |
虛擬主機用戶訪問組拒絕讀取,有助于保護系統(tǒng)數(shù)據(jù)
|
硬盤或文件夾: C:\WINDOWS\system32\inetsrv\iisadmpwd
|
主要權(quán)限部分: |
其他權(quán)限部分: |
Administrators
|
完全控制 |
無
|
|
該文件夾,子文件夾及文件 |
|
<不是繼承的> |
CREATOR OWNER
|
完全控制 |
|
只有子文件夾及文件 |
|
<不是繼承的> |
SYSTEM
|
完全控制 |
|
該文件夾,子文件夾及文件 |
|
<不是繼承的> |
硬盤或文件夾: C:\WINDOWS\system32\inetsrv\MetaBack
|
主要權(quán)限部分: |
其他權(quán)限部分: |
Administrators
|
完全控制 |
Users
|
讀取和運行 |
|
該文件夾,子文件夾及文件 |
|
該文件夾,子文件夾及文件 |
|
<不是繼承的> |
|
<不是繼承的> |
CREATOR OWNER
|
完全控制 |
IUSR_XXX
或某個虛擬主機用戶組
|
列出文件夾/讀取數(shù)據(jù) :拒絕 |
|
只有子文件夾及文件 |
該文件夾,子文件夾及文件 |
|
<不是繼承的> |
<繼承于上一級目錄> |
SYSTEM
|
完全控制 |
虛擬主機用戶訪問組拒絕讀取,有助于保護系統(tǒng)數(shù)據(jù)
|
|
該文件夾,子文件夾及文件 |
|
<不是繼承的> |
Winwebmail 電子郵局安裝后權(quán)限舉例:目錄E:\
|
主要權(quán)限部分: |
其他權(quán)限部分: |
Administrators
|
完全控制 |
IUSR_XXXXXX
這個用戶是WINWEBMAIL訪問WEB站點專用帳戶
|
讀取和運行 |
|
該文件夾,子文件夾及文件 |
該文件夾,子文件夾及文件 |
|
<不是繼承的> |
<不是繼承的> |
CREATOR OWNER
|
完全控制 |
|
|
只有子文件夾及文件 |
|
<不是繼承的> |
SYSTEM
|
完全控制 |
|
該文件夾,子文件夾及文件 |
|
<不是繼承的> |
Winwebmail 電子郵局安裝后權(quán)限舉例:目錄E:\WinWebMail
|
主要權(quán)限部分: |
其他權(quán)限部分: |
Administrators
|
完全控制 |
IUSR_XXXXXX
WINWEBMAIL訪問WEB站點專用帳戶
|
讀取和運行 |
|
該文件夾,子文件夾及文件 |
該文件夾,子文件夾及文件 |
|
<繼承于E:\> |
<繼承于E:\> |
CREATOR OWNER
|
完全控制 |
Users
|
修改/讀取運行/列出文件目錄/讀取/寫入 |
|
只有子文件夾及文件 |
該文件夾,子文件夾及文件 |
|
<繼承于E:\> |
<不是繼承的> |
SYSTEM
|
完全控制 |
IUSR_XXXXXX
WINWEBMAIL訪問WEB站點專用帳戶
|
修改/讀取運行/列出文件目錄/讀取/寫入 |
|
該文件夾,子文件夾及文件 |
該文件夾,子文件夾及文件 |
|
<繼承于E:\> |
<不是繼承的> |
IUSR_XXXXXX和IWAM_XXXXXX
是winwebmail專用的IIS用戶和應(yīng)用程序池用戶
單獨使用,安全性能高
|
IWAM_XXXXXX
WINWEBMAIL應(yīng)用程序池專用帳戶
|
修改/讀取運行/列出文件目錄/讀取/寫入 |
該文件夾,子文件夾及文件 |
<不是繼承的> |
如果有問題請聯(lián)系QQ: 473413
2、服務(wù)器安全設(shè)置之--系統(tǒng)服務(wù)篇(設(shè)置完畢需要重新啟動)
*除非特殊情況非開不可,下列系統(tǒng)服務(wù)要■停止并禁用■:
|
Alerter |
服務(wù)名稱:
|
Alerter |
顯示名稱:
|
Alerter |
服務(wù)描述:
|
通知選定的用戶和計算機管理警報。如果服務(wù)停止,使用管理警報的程序?qū)⒉粫盏剿鼈儭H绻朔?wù)被禁用,任何直接依賴它的服務(wù)都將不能啟動。 |
可執(zhí)行文件路徑:
|
E:\WINDOWS\system32\svchost.exe -k LocalService |
其他補充:
|
|
|
Application Layer Gateway Service |
服務(wù)名稱:
|
ALG |
顯示名稱:
|
Application Layer Gateway Service |
服務(wù)描述:
|
為應(yīng)用程序級協(xié)議插件提供支持并啟用網(wǎng)絡(luò)/協(xié)議連接。如果此服務(wù)被禁用,任何依賴它的服務(wù)將無法啟動。 |
可執(zhí)行文件路徑:
|
E:\WINDOWS\System32\alg.exe |
其他補充:
|
|
|
Background Intelligent Transfer Service |
服務(wù)名稱:
|
BITS |
顯示名稱:
|
Background Intelligent Transfer Service |
服務(wù)描述:
|
服務(wù)描述:利用空閑的網(wǎng)絡(luò)帶寬在后臺傳輸文件。如果服務(wù)被停用,例如 Windows Update 和 MSN Explorer 的功能將無法自動下載程序和其他信息。如果此服務(wù)被禁用,任何依賴它的服務(wù)如果沒有容錯技術(shù)以直接通過 IE 傳輸文件,一旦 BITS 被禁用,就可能無法傳輸文件。 |
可執(zhí)行文件路徑:
|
E:\WINDOWS\system32\svchost.exe -k netsvcs |
其他補充:
|
|
|
Computer Browser |
服務(wù)名稱:
|
服務(wù)名稱:Browser |
顯示名稱:
|
顯示名稱:Computer Browser |
服務(wù)描述:
|
服務(wù)描述:維護網(wǎng)絡(luò)上計算機的更新列表,并將列表提供給計算機指定瀏覽。如果服務(wù)停止,列表不會被更新或維護。如果服務(wù)被禁用,任何直接依賴于此服務(wù)的服務(wù)將無法啟動。 |
可執(zhí)行文件路徑:
|
可執(zhí)行文件路徑: E:\WINDOWS\system32\svchost.exe -k netsvcs |
其他補充:
|
|
|
Distributed File System |
服務(wù)名稱:
|
Dfs |
顯示名稱:
|
Distributed File System |
服務(wù)描述:
|
將分散的文件共享合并成一個邏輯名稱空間并在局域網(wǎng)或廣域網(wǎng)上管理這些邏輯卷。如果這個服務(wù)被停止,用戶則無法訪問文件共享。如果這個服務(wù)被禁用,任何依賴它的服務(wù)將無法啟動。 |
可執(zhí)行文件路徑:
|
E:\WINDOWS\system32\Dfssvc.exe |
其他補充:
|
|
|
Help and Support |
服務(wù)名稱:
|
helpsvc |
顯示名稱:
|
Help and Support |
服務(wù)描述:
|
啟用在此計算機上運行幫助和支持中心。如果停止服務(wù),幫助和支持中心將不可用。如果禁用服務(wù),任何直接依賴于此服務(wù)的服務(wù)將無法啟動。 |
可執(zhí)行文件路徑:
|
E:\WINDOWS\System32\svchost.exe -k netsvcs |
其他補充:
|
|
|
Messenger |
服務(wù)名稱:
|
Messenger |
顯示名稱:
|
Messenger |
服務(wù)描述:
|
傳輸客戶端和服務(wù)器之間的 NET SEND 和 警報器服務(wù)消息。此服務(wù)與 Windows Messenger 無關(guān)。如果服務(wù)停止,警報器消息不會被傳輸。如果服務(wù)被禁用,任何直接依賴于此服務(wù)的服務(wù)將無法啟動。 |
可執(zhí)行文件路徑:
|
E:\WINDOWS\system32\svchost.exe -k netsvcs |
其他補充:
|
|
|
NetMeeting Remote Desktop Sharing |
服務(wù)名稱:
|
mnmsrvc |
顯示名稱:
|
NetMeeting Remote Desktop Sharing |
服務(wù)描述:
|
允許經(jīng)過授權(quán)的用戶用 NetMeeting 在公司 intranet 上遠程訪問這臺計算機。如果服務(wù)被停止,遠程桌面共享將不可用。如果服務(wù)被禁用,依賴這個服務(wù)的任何服務(wù)都會無法啟動。 |
可執(zhí)行文件路徑:
|
E:\WINDOWS\system32\mnmsrvc.exe |
其他補充:
|
|
|
Print Spooler |
服務(wù)名稱:
|
Spooler |
顯示名稱:
|
Print Spooler |
服務(wù)描述:
|
管理所有本地和網(wǎng)絡(luò)打印隊列及控制所有打印工作。如果此服務(wù)被停用,本地計算機上的打印將不可用。如果此服務(wù)被禁用,任何依賴于它的服務(wù)將無法啟用。 |
可執(zhí)行文件路徑:
|
E:\WINDOWS\system32\spoolsv.exe |
其他補充:
|
|
|
Remote Registry |
服務(wù)名稱:
|
RemoteRegistry |
顯示名稱:
|
Remote Registry |
服務(wù)描述:
|
使遠程用戶能修改此計算機上的注冊表設(shè)置。如果此服務(wù)被終止,只有此計算機上的用戶才能修改注冊表。如果此服務(wù)被禁用,任何依賴它的服務(wù)將無法啟動。 |
可執(zhí)行文件路徑:
|
E:\WINDOWS\system32\svchost.exe -k regsvc |
其他補充:
|
|
|
Task Scheduler |
服務(wù)名稱:
|
Schedule |
顯示名稱:
|
Task Scheduler |
服務(wù)描述:
|
使用戶能在此計算機上配置和計劃自動任務(wù)。如果此服務(wù)被終止,這些任務(wù)將無法在計劃時間里運行。如果此服務(wù)被禁用,任何依賴它的服務(wù)將無法啟動。 |
可執(zhí)行文件路徑:
|
E:\WINDOWS\System32\svchost.exe -k netsvcs |
其他補充:
|
|
|
TCP/IP NetBIOS Helper |
服務(wù)名稱:
|
LmHosts |
顯示名稱:
|
TCP/IP NetBIOS Helper |
服務(wù)描述:
|
提供 TCP/IP (NetBT) 服務(wù)上的 NetBIOS 和網(wǎng)絡(luò)上客戶端的 NetBIOS 名稱解析的支持,從而使用戶能夠共享文件、打印和登錄到網(wǎng)絡(luò)。如果此服務(wù)被停用,這些功能可能不可用。如果此服務(wù)被禁用,任何依賴它的服務(wù)將無法啟動。 |
可執(zhí)行文件路徑:
|
E:\WINDOWS\system32\svchost.exe -k LocalService |
其他補充:
|
|
|
Telnet |
服務(wù)名稱:
|
TlntSvr |
顯示名稱:
|
Telnet |
服務(wù)描述:
|
允許遠程用戶登錄到此計算機并運行程序,并支持多種 TCP/IP Telnet 客戶端,包括基于 UNIX 和 Windows 的計算機。如果此服務(wù)停止,遠程用戶就不能訪問程序,任何直接依賴于它的服務(wù)將會啟動失敗。 |
可執(zhí)行文件路徑:
|
E:\WINDOWS\system32\tlntsvr.exe |
其他補充:
|
|
|
Workstation |
服務(wù)名稱:
|
lanmanworkstation |
顯示名稱:
|
Workstation |
服務(wù)描述:
|
創(chuàng)建和維護到遠程服務(wù)的客戶端網(wǎng)絡(luò)連接。如果服務(wù)停止,這些連接將不可用。如果服務(wù)被禁用,任何直接依賴于此服務(wù)的服務(wù)將無法啟動。 |
可執(zhí)行文件路徑:
|
E:\WINDOWS\system32\svchost.exe -k netsvcs |
其他補充:
|
|
以上是windows2003server標準服務(wù)當中需要停止的服務(wù),作為IIS網(wǎng)絡(luò)服務(wù)器,以上服務(wù)務(wù)必要停止,如果需要SSL證書服務(wù),則設(shè)置方法不同,如果有問題請聯(lián)系QQ: 473413
3、服務(wù)器安全設(shè)置之--組件安全設(shè)置篇 (非常重要?。?!)
A、卸載WScript.Shell 和 Shell.application 組件,將下面的代碼保存為一個.BAT文件執(zhí)行(分2000和2003系統(tǒng)) |
windows2000.bat |
|
windows2003.bat |
|
B、改名不安全組件,需要注意的是組件的名稱和Clsid都要改,并且要改徹底了,不要照抄,要自己改 |
|
【開始→運行→regedit→回車】打開注冊表編輯器
然后【編輯→查找→填寫Shell.application→查找下一個】
用這個方法能找到兩個注冊表項:
{13709620-C279-11CE-A49E-444553540000} 和 Shell.application 。
第一步:為了確保萬無一失,把這兩個注冊表項導(dǎo)出來,保存為xxxx.reg 文件。
第二步:比如我們想做這樣的更改
13709620-C279-11CE-A49E-444553540000 改名為 13709620-C279-11CE-A49E-444553540001
Shell.application 改名為 Shell.application_nohack
第三步:那么,就把剛才導(dǎo)出的.reg文件里的內(nèi)容按上面的對應(yīng)關(guān)系替換掉,然后把修改好的.reg文件導(dǎo)入到注冊表中(雙擊即可),導(dǎo)入了改名后的注冊表項之后,別忘記了刪除原有的那兩個項目。這里需要注意一點,Clsid中只能是十個數(shù)字和ABCDEF六個字母。
其實,只要把對應(yīng)注冊表項導(dǎo)出來備份,然后直接改鍵名就可以了, |
改好的例子
建議自己改
應(yīng)該可一次成功
|
|
老杜評論:
|
WScript.Shell 和 Shell.application 組件是 腳本入侵過程中,提升權(quán)限的重要環(huán)節(jié),這兩個組件的卸載和修改對應(yīng)注冊鍵名,可以很大程度的提高虛擬主機的腳本安全性能,一般來說,ASP和php類腳本提升權(quán)限的功能是無法實現(xiàn)了,再加上一些系統(tǒng)服務(wù)、硬盤訪問權(quán)限、端口過濾、本地安全策略的設(shè)置,虛擬主機因該說,安全性能有非常大的提高,黑客入侵的可能性是非常低了。注銷了Shell組件之后,侵入者運行提升工具的可能性就很小了,但是prel等別的腳本語言也有shell能力,為防萬一,還是設(shè)置一下為好。下面是另外一種設(shè)置,大同小異。 |
一、禁止使用FileSystemObject組件
FileSystemObject可以對文件進行常規(guī)操作,可以通過修改注冊表,將此組件改名,來防止此類木馬的危害。
HKEY_CLASSES_ROOT\Scripting.FileSystemObject\
改名為其它的名字,如:改為 FileSystemObject_ChangeName
自己以后調(diào)用的時候使用這個就可以正常調(diào)用此組件了
也要將clsid值也改一下
HKEY_CLASSES_ROOT\Scripting.FileSystemObject\CLSID\項目的值
也可以將其刪除,來防止此類木馬的危害。
2000注銷此組件命令:RegSrv32 /u C:\WINNT\SYSTEM\scrrun.dll
2003注銷此組件命令:RegSrv32 /u C:\WINDOWS\SYSTEM\scrrun.dll
如何禁止Guest用戶使用scrrun.dll來防止調(diào)用此組件?
使用這個命令:cacls C:\WINNT\system32\scrrun.dll /e /d guests
二、禁止使用WScript.Shell組件
WScript.Shell可以調(diào)用系統(tǒng)內(nèi)核運行DOS基本命令
可以通過修改注冊表,將此組件改名,來防止此類木馬的危害。
HKEY_CLASSES_ROOT\WScript.Shell\及HKEY_CLASSES_ROOT\WScript.Shell.1\
改名為其它的名字,如:改為WScript.Shell_ChangeName 或 WScript.Shell.1_ChangeName
自己以后調(diào)用的時候使用這個就可以正常調(diào)用此組件了
也要將clsid值也改一下
HKEY_CLASSES_ROOT\WScript.Shell\CLSID\項目的值
HKEY_CLASSES_ROOT\WScript.Shell.1\CLSID\項目的值
也可以將其刪除,來防止此類木馬的危害。
三、禁止使用Shell.Application組件
Shell.Application可以調(diào)用系統(tǒng)內(nèi)核運行DOS基本命令
可以通過修改注冊表,將此組件改名,來防止此類木馬的危害。
HKEY_CLASSES_ROOT\Shell.Application\
及
HKEY_CLASSES_ROOT\Shell.Application.1\
改名為其它的名字,如:改為Shell.Application_ChangeName 或 Shell.Application.1_ChangeName
自己以后調(diào)用的時候使用這個就可以正常調(diào)用此組件了
也要將clsid值也改一下
HKEY_CLASSES_ROOT\Shell.Application\CLSID\項目的值
HKEY_CLASSES_ROOT\Shell.Application\CLSID\項目的值
也可以將其刪除,來防止此類木馬的危害。
禁止Guest用戶使用shell32.dll來防止調(diào)用此組件。
2000使用命令:cacls C:\WINNT\system32\shell32.dll /e /d guests
2003使用命令:cacls C:\WINDOWS\system32\shell32.dll /e /d guests
注:操作均需要重新啟動WEB服務(wù)后才會生效。
四、調(diào)用Cmd.exe
禁用Guests組用戶調(diào)用cmd.exe
2000使用命令:cacls C:\WINNT\system32\Cmd.exe /e /d guests
2003使用命令:cacls C:\WINDOWS\system32\Cmd.exe /e /d guests
通過以上四步的設(shè)置基本可以防范目前比較流行的幾種木馬,但最有效的辦法還是通過綜合安全設(shè)置,將服務(wù)器、程序安全都達到一定標準,才可能將安全等級設(shè)置較高,防范更多非法入侵。
|
C、防止Serv-U權(quán)限提升 (適用于 Serv-U6.0 以前版本,之后可以直接設(shè)置密碼) |
|
先停掉Serv-U服務(wù)
用Ultraedit打開ServUDaemon.exe
查找 Ascii:LocalAdministrator 和 #l@$ak#.lk;0@P
修改成等長度的其它字符就可以了,ServUAdmin.exe也一樣處理。
另外注意設(shè)置Serv-U所在的文件夾的權(quán)限,不要讓IIS匿名用戶有讀取的權(quán)限,否則人家下走你修改過的文件,照樣可以分析出你的管理員名和密碼。
|
|
http://www.ajiang.net/products/aspcheck/ (可以測試組件安全性) |
4、服務(wù)器安全設(shè)置之--IIS用戶設(shè)置方法
IIS安全訪問的例子
主機頭
|
主機腳本
|
硬盤目錄
|
IIS用戶名
|
硬盤權(quán)限
|
應(yīng)用程序池
|
主目錄
|
應(yīng)用程序配置
|
www.1.com
|
HTM
|
D:\www.1.com\
|
IUSR_1.com
|
Administrators(完全控制)
IUSR_1.com(讀)
|
可共用
|
讀取/純腳本
|
啟用父路徑
|
www.2.com
|
ASP
|
D:\www.2.com\
|
IUSR_1.com
|
Administrators(完全控制)
IUSR_2.com(讀/寫)
|
可共用
|
讀取/純腳本
|
啟用父路徑
|
www.3.com
|
NET
|
D:\www.3.com\
|
IUSR_1.com
|
Administrators(完全控制)
IWAM_3.com(讀/寫)
IUSR_3.com(讀/寫)
|
獨立池
|
讀取/純腳本
|
啟用父路徑
|
www.4.com
|
PHP
|
D:\www.4.com\
|
IUSR_1.com
|
Administrators(完全控制)
IWAM_4.com(讀/寫)
IUSR_4.com(讀/寫)
|
獨立池
|
讀取/純腳本
|
啟用父路徑
|
其中 IWAM_3.com 和 IWAM_4.com 分別是各自獨立應(yīng)用程序池標識中的啟動帳戶
|
主機腳本類型
|
應(yīng)用程序擴展名 (就是文件后綴名)對應(yīng)主機腳本,只需要加載以下的應(yīng)用程序擴展 |
HTM
|
STM | SHTM | SHTML | MDB |
ASP
|
ASP | ASA | MDB |
NET
|
ASPX | ASAX | ASCX| ASHX | ASMX | AXD | VSDISCO | REM | SOAP | CONFIG |
CS |CSPROJ | VB | VBPROJ | WEBINFO | LICX | RESX | RESOURCES | MDB |
PHP
|
PHP | PHP3 | PHP4 |
MDB是共用映射,下面用紅色表示
應(yīng)用程序擴展
|
映射文件 |
執(zhí)行動作 |
STM=.stm
|
C:\WINDOWS\system32\inetsrv\ssinc.dll |
GET,POST |
SHTM=.shtm
|
C:\WINDOWS\system32\inetsrv\ssinc.dll |
GET,POST |
SHTML=.shtml
|
C:\WINDOWS\system32\inetsrv\ssinc.dll |
GET,POST |
ASP=.asp
|
C:\WINDOWS\system32\inetsrv\asp.dll |
GET,HEAD,POST,TRACE |
ASA=.asa
|
C:\WINDOWS\system32\inetsrv\asp.dll |
GET,HEAD,POST,TRACE |
ASPX=.aspx
|
C:\WINDOWS\Microsoft.NET\Framework\v1.1.4322\aspnet_isapi.dll |
GET,HEAD,POST,DEBUG |
ASAX=.asax
|
C:\WINDOWS\Microsoft.NET\Framework\v1.1.4322\aspnet_isapi.dll |
GET,HEAD,POST,DEBUG |
ASCX=.ascx
|
C:\WINDOWS\Microsoft.NET\Framework\v1.1.4322\aspnet_isapi.dll |
GET,HEAD,POST,DEBUG |
ASHX=.ashx
|
C:\WINDOWS\Microsoft.NET\Framework\v1.1.4322\aspnet_isapi.dll |
GET,HEAD,POST,DEBUG |
ASMX=.asmx
|
C:\WINDOWS\Microsoft.NET\Framework\v1.1.4322\aspnet_isapi.dll |
GET,HEAD,POST,DEBUG |
AXD=.axd
|
C:\WINDOWS\Microsoft.NET\Framework\v1.1.4322\aspnet_isapi.dll |
GET,HEAD,POST,DEBUG |
VSDISCO=.vsdisco
|
C:\WINDOWS\Microsoft.NET\Framework\v1.1.4322\aspnet_isapi.dll |
GET,HEAD,POST,DEBUG |
REM=.rem
|
C:\WINDOWS\Microsoft.NET\Framework\v1.1.4322\aspnet_isapi.dll |
GET,HEAD,POST,DEBUG |
SOAP=.soap
|
C:\WINDOWS\Microsoft.NET\Framework\v1.1.4322\aspnet_isapi.dll |
GET,HEAD,POST,DEBUG |
CONFIG=.config
|
C:\WINDOWS\Microsoft.NET\Framework\v1.1.4322\aspnet_isapi.dll |
GET,HEAD,POST,DEBUG |
CS=.cs
|
C:\WINDOWS\Microsoft.NET\Framework\v1.1.4322\aspnet_isapi.dll |
GET,HEAD,POST,DEBUG |
CSPROJ=.csproj
|
C:\WINDOWS\Microsoft.NET\Framework\v1.1.4322\aspnet_isapi.dll |
GET,HEAD,POST,DEBUG |
VB=.vb
|
C:\WINDOWS\Microsoft.NET\Framework\v1.1.4322\aspnet_isapi.dll |
GET,HEAD,POST,DEBUG |
VBPROJ=.vbproj
|
C:\WINDOWS\Microsoft.NET\Framework\v1.1.4322\aspnet_isapi.dll |
GET,HEAD,POST,DEBUG |
WEBINFO=.webinfo
|
C:\WINDOWS\Microsoft.NET\Framework\v1.1.4322\aspnet_isapi.dll |
GET,HEAD,POST,DEBUG |
LICX=.licx
|
C:\WINDOWS\Microsoft.NET\Framework\v1.1.4322\aspnet_isapi.dll |
GET,HEAD,POST,DEBUG |
RESX=.resx
|
C:\WINDOWS\Microsoft.NET\Framework\v1.1.4322\aspnet_isapi.dll |
GET,HEAD,POST,DEBUG |
RESOURCES=.resources
|
C:\WINDOWS\Microsoft.NET\Framework\v1.1.4322\aspnet_isapi.dll |
GET,HEAD,POST,DEBUG |
PHP=.php
|
C:\php5\php5isapi.dll |
GET,HEAD,POST |
PHP3=.php3
|
C:\php5\php5isapi.dll |
GET,HEAD,POST |
PHP4=.php4
|
C:\php5\php5isapi.dll |
GET,HEAD,POST |
MDB=.mdb
|
C:\WINDOWS\system32\inetsrv\ssinc.dll |
GET,POST |
ASP.NET 進程帳戶所需的 NTFS 權(quán)限
目錄 |
所需權(quán)限 |
Temporary ASP.NET Files%windir%\Microsoft.NET\Framework\{版本}Temporary ASP.NET Files
|
進程帳戶和模擬標識:
完全控制
|
臨時目錄 (%temp%)
|
進程帳戶
完全控制
|
.NET Framework 目錄%windir%\Microsoft.NET\Framework\{版本}
|
進程帳戶和模擬標識:
讀取和執(zhí)行
列出文件夾內(nèi)容
讀取
|
.NET Framework 配置目錄%windir%\Microsoft.NET\Framework\{版本}\CONFIG
|
進程帳戶和模擬標識:
讀取和執(zhí)行
列出文件夾內(nèi)容
讀取
|
網(wǎng)站根目錄
C:\inetpub\wwwroot
或默認網(wǎng)站指向的路徑
|
進程帳戶:
讀取
|
系統(tǒng)根目錄
%windir%\system32
|
進程帳戶:
讀取
|
全局程序集高速緩存
%windir%\assembly
|
進程帳戶和模擬標識:
讀取
|
內(nèi)容目錄
C:\inetpub\wwwroot\YourWebApp
(一般來說不用默認目錄,管理員可根據(jù)實際情況調(diào)整比如D:\wwwroot)
|
進程帳戶:
讀取和執(zhí)行
列出文件夾內(nèi)容
讀取
注意 對于 .NET Framework 1.0,直到文件系統(tǒng)根目錄的所有父目錄也都需要上述權(quán)限。父目錄包括:
C:\
C:\inetpub\
C:\inetpub\wwwroot\
|
如果有問題請聯(lián)系QQ: 473413
5、 服務(wù)器安全設(shè)置之--服務(wù)器安全和性能配置
把下面文本保存為: windows2000-2003服務(wù)器安全和性能注冊表自動配置文件.reg 運行即可。
|
|
功能:可抵御DDOS攻擊2-3萬包,提高服務(wù)器TCP-IP整體安全性能(效果等于軟件防火墻,節(jié)約了系統(tǒng)資源)
|
6、服務(wù)器安全設(shè)置之--IP安全策略 (僅僅列出需要屏蔽或阻止的端口或協(xié)議)
協(xié)議
|
IP協(xié)議端口
|
源地址
|
目標地址
|
描述
|
方式
|
ICMP |
-- |
-- |
-- |
ICMP
|
阻止
|
UDP
|
135
|
任何IP地址
|
我的IP地址
|
135-UDP
|
阻止
|
UDP
|
136
|
任何IP地址
|
我的IP地址
|
136-UDP
|
阻止
|
UDP
|
137
|
任何IP地址
|
我的IP地址
|
137-UDP
|
阻止
|
UDP
|
138
|
任何IP地址
|
我的IP地址
|
138-UDP
|
阻止
|
UDP
|
139
|
任何IP地址
|
我的IP地址
|
139-UDP
|
阻止
|
TCP
|
445
|
任何IP地址-從任意端口
|
我的IP地址-445
|
445-TCP
|
阻止
|
UDP
|
445 |
任何IP地址-從任意端口
|
我的IP地址-445
|
445-UDP
|
阻止
|
UDP |
69 |
任何IP地址-從任意端口 |
我的IP地址-69 |
69-入
|
阻止
|
UDP |
69 |
我的IP地址-69 |
任何IP地址-任意端口 |
69-出 |
阻止
|
TCP |
4444 |
任何IP地址-從任意端口 |
我的IP地址-4444 |
4444-TCP |
阻止
|
TCP |
1026 |
我的IP地址-1026 |
任何IP地址-任意端口 |
灰鴿子-1026 |
阻止
|
TCP |
1027 |
我的IP地址-1027 |
任何IP地址-任意端口 |
灰鴿子-1027 |
阻止
|
TCP |
1028 |
我的IP地址-1028 |
任何IP地址-任意端口 |
灰鴿子-1028 |
阻止
|
UDP
|
1026 |
我的IP地址-1026 |
任何IP地址-任意端口 |
灰鴿子-1026 |
阻止
|
UDP |
1027 |
我的IP地址-1027 |
任何IP地址-任意端口 |
灰鴿子-1027 |
阻止
|
UDP |
1028 |
我的IP地址-1028 |
任何IP地址-任意端口 |
灰鴿子-1028 |
阻止
|
TCP |
21 |
我的IP地址-從任意端口 |
任何IP地址-到21端口 |
阻止tftp出站 |
阻止
|
TCP |
99 |
我的IP地址-99 |
任何IP地址-任意端口 |
阻止99shell |
阻止
|
以上是IP安全策略里的設(shè)置,可以根據(jù)實際情況,增加或刪除端口,如果不會設(shè)置,可以加我QQ,有償協(xié)助。
7、服務(wù)器安全設(shè)置之--本地安全策略設(shè)置
安全策略自動更新命令:GPUpdate /force (應(yīng)用組策略自動生效不需重新啟動)
開始菜單—>管理工具—>本地安全策略
A、本地策略——>審核策略
審核策略更改 成功 失敗
審核登錄事件 成功 失敗
審核對象訪問 失敗
審核過程跟蹤 無審核
審核目錄服務(wù)訪問 失敗
審核特權(quán)使用 失敗
審核系統(tǒng)事件 成功 失敗
審核賬戶登錄事件 成功 失敗
審核賬戶管理 成功 失敗
B、本地策略——>用戶權(quán)限分配
關(guān)閉系統(tǒng):只有Administrators組、其它全部刪除。
通過終端服務(wù)拒絕登陸:加入Guests、(千萬不能加入User組,不然遠程無法登錄)
通過終端服務(wù)允許登陸:只加入Administrators組,其他全部刪除
C、本地策略——>安全選項
交互式登陸:不顯示上次的用戶名 啟用
網(wǎng)絡(luò)訪問:不允許SAM帳戶和共享的匿名枚舉 啟用
網(wǎng)絡(luò)訪問:不允許為網(wǎng)絡(luò)身份驗證儲存憑證 啟用
網(wǎng)絡(luò)訪問:可匿名訪問的共享 全部刪除
網(wǎng)絡(luò)訪問:可匿名訪問的命 全部刪除
網(wǎng)絡(luò)訪問:可遠程訪問的注冊表路徑 全部刪除
網(wǎng)絡(luò)訪問:可遠程訪問的注冊表路徑和子路徑 全部刪除
帳戶:重命名來賓帳戶 重命名一個帳戶
帳戶:重命名系統(tǒng)管理員帳戶 重命名一個帳戶
UI 中的設(shè)置名稱 |
企業(yè)客戶端臺式計算機 |
企業(yè)客戶端便攜式計算機 |
高安全級臺式計算機 |
高安全級便攜式計算機 |
帳戶: 使用空白密碼的本地帳戶只允許進行控制臺登錄
|
已啟用
|
已啟用
|
已啟用
|
已啟用
|
帳戶: 重命名系統(tǒng)管理員帳戶
|
推薦
|
推薦
|
推薦
|
推薦
|
帳戶: 重命名來賓帳戶
|
推薦
|
推薦
|
推薦
|
推薦
|
設(shè)備: 允許不登錄移除
|
已禁用
|
已啟用
|
已禁用
|
已禁用
|
設(shè)備: 允許格式化和彈出可移動媒體
|
Administrators, Interactive Users
|
Administrators, Interactive Users
|
Administrators
|
Administrators
|
設(shè)備: 防止用戶安裝打印機驅(qū)動程序
|
已啟用
|
已禁用
|
已啟用
|
已禁用
|
設(shè)備: 只有本地登錄的用戶才能訪問 CD-ROM
|
已禁用
|
已禁用
|
已啟用
|
已啟用
|
設(shè)備: 只有本地登錄的用戶才能訪問軟盤
|
已啟用
|
已啟用
|
已啟用
|
已啟用
|
設(shè)備: 未簽名驅(qū)動程序的安裝操作
|
允許安裝但發(fā)出警告
|
允許安裝但發(fā)出警告
|
禁止安裝
|
禁止安裝
|
域成員: 需要強 (Windows 2000 或以上版本) 會話密鑰
|
已啟用
|
已啟用
|
已啟用
|
已啟用
|
交互式登錄: 不顯示上次的用戶名
|
已啟用
|
已啟用
|
已啟用
|
已啟用
|
交互式登錄: 不需要按 CTRL+ALT+DEL
|
已禁用
|
已禁用
|
已禁用
|
已禁用
|
交互式登錄: 用戶試圖登錄時消息文字
|
此系統(tǒng)限制為僅授權(quán)用戶。嘗試進行未經(jīng)授權(quán)訪問的個人將受到起訴。
|
此系統(tǒng)限制為僅授權(quán)用戶。嘗試進行未經(jīng)授權(quán)訪問的個人將受到起訴。
|
此系統(tǒng)限制為僅授權(quán)用戶。嘗試進行未經(jīng)授權(quán)訪問的個人將受到起訴。
|
此系統(tǒng)限制為僅授權(quán)用戶。嘗試進行未經(jīng)授權(quán)訪問的個人將受到起訴。
|
交互式登錄: 用戶試圖登錄時消息標題
|
繼續(xù)在沒有適當授權(quán)的情況下使用是違法行為。
|
繼續(xù)在沒有適當授權(quán)的情況下使用是違法行為。
|
繼續(xù)在沒有適當授權(quán)的情況下使用是違法行為。
|
繼續(xù)在沒有適當授權(quán)的情況下使用是違法行為。
|
交互式登錄: 可被緩存的前次登錄個數(shù) (在域控制器不可用的情況下)
|
2
|
2
|
0
|
1
|
交互式登錄: 在密碼到期前提示用戶更改密碼
|
14 天
|
14 天
|
14 天
|
14 天
|
交互式登錄: 要求域控制器身份驗證以解鎖工作站
|
已禁用
|
已禁用
|
已啟用
|
已禁用
|
交互式登錄: 智能卡移除操作
|
鎖定工作站
|
鎖定工作站
|
鎖定工作站
|
鎖定工作站
|
Microsoft 網(wǎng)絡(luò)客戶: 數(shù)字簽名的通信(若服務(wù)器同意)
|
已啟用
|
已啟用
|
已啟用
|
已啟用
|
Microsoft 網(wǎng)絡(luò)客戶: 發(fā)送未加密的密碼到第三方 SMB 服務(wù)器。
|
已禁用
|
已禁用
|
已禁用
|
已禁用
|
Microsoft 網(wǎng)絡(luò)服務(wù)器: 在掛起會話之前所需的空閑時間
|
15 分鐘
|
15 分鐘
|
15 分鐘
|
15 分鐘
|
Microsoft 網(wǎng)絡(luò)服務(wù)器: 數(shù)字簽名的通信(總是)
|
已啟用
|
已啟用
|
已啟用
|
已啟用
|
Microsoft 網(wǎng)絡(luò)服務(wù)器: 數(shù)字簽名的通信(若客戶同意)
|
已啟用
|
已啟用
|
已啟用
|
已啟用
|
Microsoft 網(wǎng)絡(luò)服務(wù)器: 當?shù)卿洉r間用完時自動注銷用戶
|
已啟用
|
已禁用
|
已啟用
|
已禁用
|
網(wǎng)絡(luò)訪問: 允許匿名 SID/名稱 轉(zhuǎn)換
|
已禁用
|
已禁用
|
已禁用
|
已禁用
|
網(wǎng)絡(luò)訪問: 不允許 SAM 帳戶和共享的匿名枚舉
|
已啟用
|
已啟用
|
已啟用
|
已啟用
|
網(wǎng)絡(luò)訪問: 不允許 SAM 帳戶和共享的匿名枚舉
|
已啟用
|
已啟用
|
已啟用
|
已啟用
|
網(wǎng)絡(luò)訪問: 不允許為網(wǎng)絡(luò)身份驗證儲存憑據(jù)或 .NET Passports
|
已啟用
|
已啟用
|
已啟用
|
已啟用
|
網(wǎng)絡(luò)訪問: 限制匿名訪問命名管道和共享
|
已啟用
|
已啟用
|
已啟用
|
已啟用
|
網(wǎng)絡(luò)訪問: 本地帳戶的共享和安全模式
|
經(jīng)典 - 本地用戶以自己的身份驗證
|
經(jīng)典 - 本地用戶以自己的身份驗證
|
經(jīng)典 - 本地用戶以自己的身份驗證
|
經(jīng)典 - 本地用戶以自己的身份驗證
|
網(wǎng)絡(luò)安全: 不要在下次更改密碼時存儲 LAN Manager 的哈希值
|
已啟用
|
已啟用
|
已啟用
|
已啟用
|
網(wǎng)絡(luò)安全: 在超過登錄時間后強制注銷
|
已啟用
|
已禁用
|
已啟用
|
已禁用
|
網(wǎng)絡(luò)安全: LAN Manager 身份驗證級別
|
僅發(fā)送 NTLMv2 響應(yīng)
|
僅發(fā)送 NTLMv2 響應(yīng)
|
僅發(fā)送 NTLMv2 響應(yīng)\拒絕 LM & NTLM
|
僅發(fā)送 NTLMv2 響應(yīng)\拒絕 LM & NTLM
|
網(wǎng)絡(luò)安全: 基于 NTLM SSP(包括安全 RPC)客戶的最小會話安全
|
沒有最小
|
沒有最小
|
要求 NTLMv2 會話安全 要求 128-位加密
|
要求 NTLMv2 會話安全 要求 128-位加密
|
網(wǎng)絡(luò)安全: 基于 NTLM SSP(包括安全 RPC)服務(wù)器的最小會話安全
|
沒有最小
|
沒有最小
|
要求 NTLMv2 會話安全 要求 128-位加密
|
要求 NTLMv2 會話安全 要求 128-位加密
|
故障恢復(fù)控制臺: 允許自動系統(tǒng)管理級登錄
|
已禁用
|
已禁用
|
已禁用
|
已禁用
|
故障恢復(fù)控制臺: 允許對所有驅(qū)動器和文件夾進行軟盤復(fù)制和訪問
|
已啟用
|
已啟用
|
已禁用
|
已禁用
|
關(guān)機: 允許在未登錄前關(guān)機
|
已禁用
|
已禁用
|
已禁用
|
已禁用
|
關(guān)機: 清理虛擬內(nèi)存頁面文件
|
已禁用
|
已禁用
|
已啟用
|
已啟用
|
系統(tǒng)加密: 使用 FIPS 兼容的算法來加密,哈希和簽名
|
已禁用
|
已禁用
|
已禁用
|
已禁用
|
系統(tǒng)對象: 由管理員 (Administrators) 組成員所創(chuàng)建的對象默認所有者
|
對象創(chuàng)建者
|
對象創(chuàng)建者
|
對象創(chuàng)建者
|
對象創(chuàng)建者
|
系統(tǒng)設(shè)置: 為軟件限制策略對 Windows 可執(zhí)行文件使用證書規(guī)則
|
已禁用
|
已禁用
|
已禁用
|
已禁用
|
8、防御PHP木馬攻擊的技巧
|
PHP本身再老版本有一些問題,比如在 php4.3.10和php5.0.3以前有一些比較嚴重的bug,所以推薦使用新版。另外,目前鬧的轟轟烈烈的SQL Injection也是在PHP上有很多利用方式,所以要保證
安全,PHP代碼編寫是一方面,PHP的配置更是非常關(guān)鍵。
我們php手手工安裝的,php的默認配置文件在 /usr/local/apache2/conf/php.ini,我們最主要就是要配置php.ini中的內(nèi)容,讓我們執(zhí)行 php能夠更安全。整個PHP中的安全設(shè)置主要是為了防止phpshell和SQL Injection的攻擊,一下我們慢慢探討。我們先使用任何編輯工具打開 /etc/local/apache2/conf/php.ini,如果你是采用其他方式安裝,配置文件可能不在該目錄。
(1) 打開php的安全模式
php的安全模式是個非常重要的內(nèi)嵌的安全機制,能夠控制一些php中的函數(shù),比如system(),
同時把很多文件操作函數(shù)進行了權(quán)限控制,也不允許對某些關(guān)鍵文件的文件,比如/etc/passwd,
但是默認的php.ini是沒有打開安全模式的,我們把它打開:
safe_mode = on
(2) 用戶組安全
當safe_mode打開時,safe_mode_gid被關(guān)閉,那么php腳本能夠?qū)ξ募M行訪問,而且相同
組的用戶也能夠?qū)ξ募M行訪問。
建議設(shè)置為:
safe_mode_gid = off
如果不進行設(shè)置,可能我們無法對我們服務(wù)器網(wǎng)站目錄下的文件進行操作了,比如我們需要
對文件進行操作的時候。
(3) 安全模式下執(zhí)行程序主目錄
如果安全模式打開了,但是卻是要執(zhí)行某些程序的時候,可以指定要執(zhí)行程序的主目錄:
safe_mode_exec_dir = D:/usr/bin
一般情況下是不需要執(zhí)行什么程序的,所以推薦不要執(zhí)行系統(tǒng)程序目錄,可以指向一個目錄,
然后把需要執(zhí)行的程序拷貝過去,比如:
safe_mode_exec_dir = D:/tmp/cmd
但是,我更推薦不要執(zhí)行任何程序,那么就可以指向我們網(wǎng)頁目錄:
safe_mode_exec_dir = D:/usr/www
(4) 安全模式下包含文件
如果要在安全模式下包含某些公共文件,那么就修改一下選項:
safe_mode_include_dir = D:/usr/www/include/
其實一般php腳本中包含文件都是在程序自己已經(jīng)寫好了,這個可以根據(jù)具體需要設(shè)置。
(5) 控制php腳本能訪問的目錄
使用open_basedir選項能夠控制PHP腳本只能訪問指定的目錄,這樣能夠避免PHP腳本訪問
不應(yīng)該訪問的文件,一定程度上限制了phpshell的危害,我們一般可以設(shè)置為只能訪問網(wǎng)站目錄:
open_basedir = D:/usr/www
(6) 關(guān)閉危險函數(shù)
如果打開了安全模式,那么函數(shù)禁止是可以不需要的,但是我們?yōu)榱税踩€是考慮進去。比如,
我們覺得不希望執(zhí)行包括system()等在那的能夠執(zhí)行命令的php函數(shù),或者能夠查看php信息的
phpinfo()等函數(shù),那么我們就可以禁止它們:
disable_functions = system,passthru,exec,shell_exec,popen,phpinfo
如果你要禁止任何文件和目錄的操作,那么可以關(guān)閉很多文件操作
disable_functions = chdir,chroot,dir,getcwd,opendir,readdir,scandir,fopen,unlink,delete,copy,mkdir, rmdir,rename,file,file_get_contents,fputs,fwrite,chgrp,chmod,chown
以上只是列了部分不叫常用的文件處理函數(shù),你也可以把上面執(zhí)行命令函數(shù)和這個函數(shù)結(jié)合,
就能夠抵制大部分的phpshell了。
(7) 關(guān)閉PHP版本信息在http頭中的泄漏
我們?yōu)榱朔乐购诳瞳@取服務(wù)器中php版本的信息,可以關(guān)閉該信息斜路在http頭中:
expose_php = Off
比如黑客在 telnet www.12345.com 80 的時候,那么將無法看到PHP的信息。
(8) 關(guān)閉注冊全局變量
在PHP中提交的變量,包括使用POST或者GET提交的變量,都將自動注冊為全局變量,能夠直接訪問,
這是對服務(wù)器非常不安全的,所以我們不能讓它注冊為全局變量,就把注冊全局變量選項關(guān)閉:
register_globals = Off
當然,如果這樣設(shè)置了,那么獲取對應(yīng)變量的時候就要采用合理方式,比如獲取GET提交的變量var,
那么就要用$_GET['var']來進行獲取,這個php程序員要注意。
(9) 打開magic_quotes_gpc來防止SQL注入
SQL注入是非常危險的問題,小則網(wǎng)站后臺被入侵,重則整個服務(wù)器淪陷,
所以一定要小心。php.ini中有一個設(shè)置:
magic_quotes_gpc = Off
這個默認是關(guān)閉的,如果它打開后將自動把用戶提交對sql的查詢進行轉(zhuǎn)換,
比如把 ' 轉(zhuǎn)為 \'等,這對防止sql注射有重大作用。所以我們推薦設(shè)置為:
magic_quotes_gpc = On
(10) 錯誤信息控制
一般php在沒有連接到數(shù)據(jù)庫或者其他情況下會有提示錯誤,一般錯誤信息中會包含php腳本當
前的路徑信息或者查詢的SQL語句等信息,這類信息提供給黑客后,是不安全的,所以一般服務(wù)器建議禁止錯誤提示:
display_errors = Off
如果你卻是是要顯示錯誤信息,一定要設(shè)置顯示錯誤的級別,比如只顯示警告以上的信息:
error_reporting = E_WARNING & E_ERROR
當然,我還是建議關(guān)閉錯誤提示。
(11) 錯誤日志
建議在關(guān)閉display_errors后能夠把錯誤信息記錄下來,便于查找服務(wù)器運行的原因:
log_errors = On
同時也要設(shè)置錯誤日志存放的目錄,建議根apache的日志存在一起:
error_log = D:/usr/local/apache2/logs/php_error.log
注意:給文件必須允許apache用戶的和組具有寫的權(quán)限。
MYSQL的降權(quán)運行
新建立一個用戶比如mysqlstart
net user mysqlstart fuckmicrosoft /add
net localgroup users mysqlstart /del
不屬于任何組
如果MYSQL裝在d:\mysql ,那么,給 mysqlstart 完全控制 的權(quán)限
然后在系統(tǒng)服務(wù)中設(shè)置,MYSQL的服務(wù)屬性,在登錄屬性當中,選擇此用戶 mysqlstart 然后輸入密碼,確定。
重新啟動 MYSQL服務(wù),然后MYSQL就運行在低權(quán)限下了。
如果是在windos平臺下搭建的apache我們還需要注意一點,apache默認運行是system權(quán)限,
這很恐怖,這讓人感覺很不爽.那我們就給apache降降權(quán)限吧。
net user apache fuckmicrosoft /add
net localgroup users apache /del
ok.我們建立了一個不屬于任何組的用戶apche。
我們打開計算機管理器,選服務(wù),點apache服務(wù)的屬性,我們選擇log on,選擇this account,我們填入上面所建立的賬戶和密碼,
重啟apache服務(wù),ok,apache運行在低權(quán)限下了。
實際上我們還可以通過設(shè)置各個文件夾的權(quán)限,來讓apache用戶只能執(zhí)行我們想讓它能干的事情,給每一個目錄建立一個單獨能讀寫的用戶。
這也是當前很多虛擬主機提供商的流行配置方法哦,不過這種方法用于防止這里就顯的有點大材小用了。
|
有問題可以和我QQ聯(lián)系:473413
|
9、MSSQL安全設(shè)置
sql2000安全很重要
|
將有安全問題的SQL過程刪除.比較全面.一切為了安全!
刪除了調(diào)用shell,注冊表,COM組件的破壞權(quán)限
use master
EXEC sp_dropextendedproc 'xp_cmdshell'
EXEC sp_dropextendedproc 'Sp_OACreate'
EXEC sp_dropextendedproc 'Sp_OADestroy'
EXEC sp_dropextendedproc 'Sp_OAGetErrorInfo'
EXEC sp_dropextendedproc 'Sp_OAGetProperty'
EXEC sp_dropextendedproc 'Sp_OAMethod'
EXEC sp_dropextendedproc 'Sp_OASetProperty'
EXEC sp_dropextendedproc 'Sp_OAStop'
EXEC sp_dropextendedproc 'Xp_regaddmultistring'
EXEC sp_dropextendedproc 'Xp_regdeletekey'
EXEC sp_dropextendedproc 'Xp_regdeletevalue'
EXEC sp_dropextendedproc 'Xp_regenumvalues'
EXEC sp_dropextendedproc 'Xp_regread'
EXEC sp_dropextendedproc 'Xp_regremovemultistring'
EXEC sp_dropextendedproc 'Xp_regwrite'
drop procedure sp_makewebtask
全部復(fù)制到"SQL查詢分析器"
點擊菜單上的--"查詢"--"執(zhí)行",就會將有安全問題的SQL過程刪除(以上是7i24的正版用戶的技術(shù)支持)
更改默認SA空密碼.數(shù)據(jù)庫鏈接不要使用SA帳戶.單數(shù)據(jù)庫單獨設(shè)使用帳戶.只給public和db_owner權(quán)限.
數(shù)據(jù)庫不要放在默認的位置.
SQL不要安裝在PROGRAM FILE目錄下面.
最近的SQL2000補丁是SP4
|
有問題可以和我QQ聯(lián)系:473413
|
10、啟用WINDOWS自帶的防火墻
啟用win防火墻
|
桌面—>網(wǎng)上鄰居—>(右鍵)屬性—>本地連接—>(右鍵)屬性—>高級—>
?。ㄟx中)Internet 連接防火墻—>設(shè)置
把服務(wù)器上面要用到的服務(wù)端口選中
例如:一臺WEB服務(wù)器,要提供WEB(80)、FTP(21)服務(wù)及遠程桌面管理(3389)
在“FTP 服務(wù)器”、“WEB服務(wù)器(HTTP)”、“遠程桌面”、“安全WEB服務(wù)器”前面打上對號
如果你要提供服務(wù)的端口不在里面,你也可以點擊“添加”銨鈕來添加,SMTP和POP3根據(jù)需要打開
具體參數(shù)可以參照系統(tǒng)里面原有的參數(shù)。
然后點擊確定。注意:如果是遠程管理這臺服務(wù)器,請先確定遠程管理的端口是否選中或添加。
一般需要打開的端口有:21、 25、 80、 110、 443、 3389、 等,根據(jù)需要開放需要的端口。
|
有問題可以和我QQ聯(lián)系:473413
|
11、用戶安全設(shè)置
用戶安全設(shè)置
|
用戶安全設(shè)置
1、禁用Guest賬號
在計算機管理的用戶里面把Guest賬號禁用。為了保險起見,最好給Guest加一個復(fù)雜的密碼。你可以打開記事本,在里面輸入一串包含特殊字符、數(shù)字、字母的長字符串,然后把它作為Guest用戶的密碼拷進去。
2、限制不必要的用戶
去掉所有的Duplicate User用戶、測試用戶、共享用戶等等。用戶組策略設(shè)置相應(yīng)權(quán)限,并且經(jīng)常檢查系統(tǒng)的用戶,刪除已經(jīng)不再使用的用戶。這些用戶很多時候都是黑客們?nèi)肭窒到y(tǒng)的突破口。
3、創(chuàng)建兩個管理員賬號
創(chuàng)建一個一般權(quán)限用戶用來收信以及處理一些日常事物,另一個擁有Administrators 權(quán)限的用戶只在需要的時候使用。
4、把系統(tǒng)Administrator賬號改名
大家都知道,Windows 2000 的Administrator用戶是不能被停用的,這意味著別人可以一遍又一遍地嘗試這個用戶的密碼。盡量把它偽裝成普通用戶,比如改成Guesycludx。
5、創(chuàng)建一個陷阱用戶
什么是陷阱用戶?即創(chuàng)建一個名為“Administrator”的本地用戶,把它的權(quán)限設(shè)置成最低,什么事也干不了的那種,并且加上一個超過10位的超級復(fù)雜密碼。這樣可以讓那些 Hacker們忙上一段時間,借此發(fā)現(xiàn)它們的入侵企圖。
6、把共享文件的權(quán)限從Everyone組改成授權(quán)用戶
任何時候都不要把共享文件的用戶設(shè)置成“Everyone”組,包括打印共享,默認的屬性就是“Everyone”組的,一定不要忘了改。
7、開啟用戶策略
使用用戶策略,分別設(shè)置復(fù)位用戶鎖定計數(shù)器時間為20分鐘,用戶鎖定時間為20分鐘,用戶鎖定閾值為3次。
8、不讓系統(tǒng)顯示上次登錄的用戶名
默認情況下,登錄對話框中會顯示上次登錄的用戶名。這使得別人可以很容易地得到系統(tǒng)的一些用戶名,進而做密碼猜測。修改注冊表可以不讓對話框里顯示上次登錄的用戶名。方法為:打開注冊表編輯器并找到注冊表項“HKLMSoftwareMicrosoftWindows TCurrentVersionWinlogonDo, nt-DisplayLastUserName”,把REG_SZ的鍵值改成1。
密碼安全設(shè)置
1、使用安全密碼
一些公司的管理員創(chuàng)建賬號的時候往往用公司名、計算機名做用戶名,然后又把這些用戶的密碼設(shè)置得太簡單,比如“welcome”等等。因此,要注意密碼的復(fù)雜性,還要記住經(jīng)常改密碼。
2、設(shè)置屏幕保護密碼
這是一個很簡單也很有必要的操作。設(shè)置屏幕保護密碼也是防止內(nèi)部人員破壞服務(wù)器的一個屏障。
3、開啟密碼策略
注意應(yīng)用密碼策略,如啟用密碼復(fù)雜性要求,設(shè)置密碼長度最小值為6位 ,設(shè)置強制密碼歷史為5次,時間為42天。
4、考慮使用智能卡來代替密碼
對于密碼,總是使安全管理員進退兩難,密碼設(shè)置簡單容易受到黑客的攻擊,密碼設(shè)置復(fù)雜又容易忘記。如果條件允許,用智能卡來代替復(fù)雜的密碼是一個很好的解決方法。
|
有問題可以和我QQ聯(lián)系:473413
|
12、Windows2003 下安裝 WinWebMail 3.6.3.1 完全攻略手冊
這段時間論壇上有朋友提及無法在WINDOWS2003+IIS6下面建立WINWEBMAIL郵件,遇到不一些問題,特意將這篇舊文重新發(fā)一次給大家
1)查看硬盤:兩塊9.1G SCSI 硬盤(實容量8.46*2)
2)分區(qū)
系統(tǒng)分區(qū)X盤7.49G
WEB 分區(qū)X盤1.0G
郵件分區(qū)X盤8.46G(帶1000個100M的郵箱足夠了)
3)安裝WINDOWS SERVER 2003
4)打基本補丁(防毒)...在這之前一定不要接網(wǎng)線!
5)在線打補丁
6)卸載或禁用微軟的SMTP服務(wù)(Simple Mail Transpor Protocol),否則會發(fā)生端口沖突
7)安裝WinWebMail,然后重啟服務(wù)器使WinWebMail完成安裝.并注冊.然后恢復(fù)WinWebMail數(shù)據(jù).
8)安裝Norton 8.0并按WinWebMail幫助內(nèi)容設(shè)定,使Norton與WinWebMail聯(lián)合起到郵件殺毒作用(將Norton更新到最新的病毒庫)
8.1 啟用Norton的實時防護功能
8.2 必須要設(shè)置對于宏病毒和非宏病毒的第1步操作都必須是刪除被感染文件,并且必須關(guān)閉警告提示??!
8.3 必須要在查毒設(shè)置中排除掉安裝目錄下的 \mail 及其所有子目錄,只針對WinWebMail安裝文件夾下的 \temp 文件夾進行實時查毒。注意:如果沒有 \temp 文件夾時,先手工創(chuàng)建此 \temp 文件夾,然后再進行此項設(shè)置。
9)將WinWebMail的DNS設(shè)置為win2k3中網(wǎng)絡(luò)設(shè)置的DNS,切記,要想發(fā)的出去最好設(shè)置一個不同的備用DNS地址,對外發(fā)信的就全靠這些DNS地址了
10)給予安裝 WinWebMail 的盤符以及父目錄以 Internet 來賓帳戶 (IUSR_*) 允許 [讀取\運行\(zhòng)列出文件夾目錄] 的權(quán)限.
WinWebMail的安裝目錄,INTERNET訪問帳號完全控制
給予[超級用戶/SYSTEM]在安裝盤和目錄中[完全控制]權(quán)限,重啟IIS以保證設(shè)定生效.
11)防止外發(fā)垃圾郵件:
11.1 在服務(wù)器上點擊右下角圖標,然后在彈出菜單的“系統(tǒng)設(shè)置”-->“收發(fā)規(guī)則”中選中“啟用SMTP發(fā)信認證功能”項,有效的防范外發(fā)垃圾郵件。
11.2 在“系統(tǒng)設(shè)置”-->“收發(fā)規(guī)則”中選中“只允許系統(tǒng)內(nèi)用戶對外發(fā)信”項。
11.3 在服務(wù)器上點擊右下角圖標,然后在彈出菜單的“系統(tǒng)設(shè)置”-->“防護”頁選中“啟用外發(fā)垃圾郵件自動過濾功能”項,然后再啟用其設(shè)置中的“允許自動調(diào)整”項。
11.4 “系統(tǒng)設(shè)置”-->“收發(fā)規(guī)則”中設(shè)置“最大收件人數(shù)”-----> 10.
11.5 “系統(tǒng)設(shè)置”-->“防護”頁選中“啟用連接攻擊保護功能”項,然后再設(shè)置“啟用自動保護功能”.
11.6 用戶級防付垃圾郵件,需登錄WebMail,在“選項 | 防垃圾郵件”中進行設(shè)置。
12)打開IIS 6.0, 確認啟用支持 asp 功能, 然后在默認站點下建一個虛擬目錄(如: mail), 然后指向安裝 WinWebMail 目錄下的 \Web 子目錄, 打開瀏覽器就可以按下面的地址訪問webmail了:
http://<;;你的IP或域名>/mail/什么? 嫌麻煩不想建? 那可要錯過WinWebMail強大的webmail功能了, 3分鐘的設(shè)置保證物超所值 :)
13)Web基本設(shè)置:
13.1 確認“系統(tǒng)設(shè)置”-->“資源使用設(shè)置”內(nèi)沒有選中“公開申請的是含域名帳號”
13.2 “系統(tǒng)設(shè)置”-->“收發(fā)規(guī)則”中設(shè)置Helo為您域名的MX記錄
13.3.解決SERVER 2003不能上傳大附件的問題:
13.3.1 在服務(wù)里關(guān)閉 iis admin service 服務(wù)。
13.3.2 找到 windows\system32\inetsrv\ 下的 metabase.xml 文件。
13.3.3 用純文本方式打開,找到 ASPMaxRequestEntityAllowed 把它修改為需要的值(可修改為10M即:10240000),默認為:204800,即:200K。
13.3.4 存盤,然后重啟 iis admin service 服務(wù)。
13.4.解決SERVER 2003無法下載超過4M的附件的問題
13.4.1 先在服務(wù)里關(guān)閉 iis admin service 服務(wù)。
13.4.2 找到 windows\system32\inetsrv\ 下的 metabase.xml 文件。
13.4.3 用純文本方式打開,找到 AspBufferingLimit 把它修改為需要的值(可修改為20M即:20480000)。
13.4.4 存盤,然后重啟 iis admin service 服務(wù)。
13.5.解決大附件上傳容易超時失敗的問題.
在IIS中調(diào)大一些腳本超時時間,操作方法是: 在IIS的“站點或(虛擬目錄)”的“主目錄”下點擊“配置”按鈕,設(shè)置腳本超時間為:300秒(注意:不是Session超時時間)。
13.6.解決Windows 2003的IIS 6.0中,Web登錄時經(jīng)常出現(xiàn)"[超時,請重試]"的提示.
將WebMail所使用的應(yīng)用程序池“屬性-->回收”中的“回收工作進程”以及"屬性-->性能"中的“在空閑此段時間后關(guān)閉工作進程”這兩個選項前的勾號去掉,然后重啟一下IIS即可解決.
13.7.解決通過WebMail寫信時間較長后,按下發(fā)信按鈕就會回到系統(tǒng)登錄界面的問題.
適當增加會話時間(Session)為 60分鐘。在IIS站點或虛擬目錄屬性的“主目錄”下點擊[配置---選項],就可以進行設(shè)置了(SERVER 2003默認為20分鐘).
13.8.安裝后查看WinWebMail的安裝目錄下有沒有 \temp 目錄,如沒有,手工建立一個.
14)做郵件收發(fā)及10M附件測試(內(nèi)對外,內(nèi)對內(nèi),外對內(nèi)).
15)打開2003自帶防火墻,并打開POP3.SMTP.WEB.遠程桌面.充許此4項服務(wù), OK, 如果想用IMAP4或SSL的SMTP.POP3.IMAP4也需要打開相應(yīng)的端口.
16)再次做郵件收發(fā)測試(內(nèi)對外,內(nèi)對內(nèi),外對內(nèi)).
17)改名、加強壯口令,并禁用GUEST帳號。
18)改名超級用戶、建立假administrator、建立第二個超級用戶。
都搞定了!忙了半天, 現(xiàn)在終于可以來享受一把 WinWebMail 的超強 webmail 功能了, let's go!
|
13、IIS+PHP+MySQL+Zend Optimizer+GD庫+phpMyAdmin安裝配置[完整修正實用版] 轉(zhuǎn)來的,非原創(chuàng)
IIS+PHP+MySQL+Zend Optimizer+GD庫+phpMyAdmin安裝配置[完整修正實用版]
|
IIS+PHP+MySQL+Zend Optimizer+GD庫+phpMyAdmin安裝配置[完整修正實用版]
[補充]關(guān)于參照本貼配置這使用中使用的相關(guān)問題請參考
關(guān)于WIN主機下配置PHP的若干問題解決方案總結(jié)這個帖子盡量自行解決,謝謝
http://bbs.xqin.com/viewthread.php?tid=86
一、軟件準備:以下均為截止2006-1-20的最新正式版本,下載地址也均長期有效
1.PHP,推薦PHP4.4.0的ZIP解壓版本:
PHP(4.4.0):http://cn.php.net/get/php-4.4.0-Win32.zip/from/a/mirror
PHP(5.1.2):http://cn.php.net/get/php-5.1.2-Win32.zip/from/a/mirror
2.MySQL,配合PHP4推薦MySQL4.0.26的WIN系統(tǒng)安裝版本:
MySQL(4.0.26):http://download.discuz.net/mysql-4.0.26-win32.zip
MySQL(4.1.16):http://www.skycn.com/soft/24418.html
MySQL(5.0.18):http://download.discuz.net/mysql-4.0.26-win32.zip
3.Zend Optimizer,當然選擇當前最新版本拉:
Zend Optimizer(2.6.2):http://www.zend.com/store/free_download.php?pid=13
(Zend軟件雖然免費下載,但需要注冊用戶,這里提供注冊好的帳戶名:xqincom和密碼:xqin.com,方便大家使用,請不要修改本帳號或?qū)⒈編粲糜谄渌M正當途徑,謝謝?。?br />
登陸后選擇Windows x86的Platform版本,如最新版本2.6.2 https://www.zend.com/store/getfreefile.php?pid=13&zbid=995
4.phpMyAdmin
當然同樣選擇當前最新版本拉,注意選擇for Windows 的版本哦:
phpMyAdmin(2.8.0.3):http://www.crsky.com/soft/4190.html
假設(shè) C:\ 為你現(xiàn)在所使用操作系統(tǒng)的系統(tǒng)盤,如果你目前操作系統(tǒng)不是安裝在 C:\ ,請自行對應(yīng)修改相應(yīng)路徑。同時由于C盤經(jīng)常會因為各種原因重裝系統(tǒng),數(shù)據(jù)放在該盤不易備份和轉(zhuǎn)移 選擇安裝目錄,故本文將所有PHP相關(guān)軟件均安裝到D:\php目錄下,這個路徑你可以自行設(shè)定,如果你安裝到不同目錄涉及到路徑的請對應(yīng)修改以下的對應(yīng)路徑即可
二、安裝 PHP :本文PHP安裝路徑取為D:\php\php4\(為避混淆,PHP5.1.x版本安裝路徑取為D:\php\php5\)
(1)、下載后得到 php-4.4.0-Win32.zip ,解壓至D:\php目錄,將得到二級目錄php-4.4.0-Win32,改名為 php4,
也即得到PHP文件存放目錄D:\php\php4\
[如果是PHP5.1.2,得到的文件是php-5.1.2-Win32.zip,直接全部接壓至D:\php\php5目錄即可得PHP文件存放目錄D:\php\php5\];
(2)、再將D:\php\php4目錄和D:\php\php4\dlls目錄
[PHP5為D:\php\php5\]下的所有dll文件 copy 到 c:\Windows\system32 (win2000系統(tǒng)為 c:/winnt/system32/)下,覆蓋已有的dll文件;
(3)、將php.ini-dist用記事本打開,利用記事本的查找功能搜索并修改:
搜索 register_globals = Off
將 Off 改成 On ,即得到 register_globals = On
注:這個對應(yīng)PHP的全局變量功能,考慮有很多PHP程序需要全局變量功能故打開,打開后請注意-PHP程序的嚴謹性,如果不需要推薦不修改保持默認Off狀態(tài)
搜索 extension_dir =
這個是PHP擴展功能目錄 并將其路徑指到你的 PHP 目錄下的 extensions 目錄,比如:
修改 extension_dir = "./" 為 extension_dir = "D:/php/php4/extensions/"
[PHP5對應(yīng)修改為 extension_dir = "D:/php/php5/ext/" ]
在D:\php 下建立文件夾并命名為 tmp
查找 upload_tmp_dir =
將 ;upload_tmp_dir 該行的注釋符,即前面的分號" ;”去掉,
使該行在php.ini文檔中起作用。upload_tmp_dir是用來定義上傳文件存放的臨時路徑,在這里你還可以修改并給其定義一個絕對路徑,這里設(shè)置的目錄必須有讀寫權(quán)限。
這里我設(shè)置為 upload_tmp_dir = D:/php/tmp (即前面建立的這個文件夾呵)
搜索 ; Windows Extensions
將下面一些常用的項前面的 ; 去掉 ,紅色的必須,藍色的供選擇
;extension=php_mbstring.dll
這個必須要
;extension=php_curl.dll
;extension=php_dbase.dll
;extension=php_gd2.dll
這個是用來支持GD庫的,一般需要,必選
;extension=php_ldap.dll
;extension=php_zip.dll
對于PHP5的版本還需要查找
;extension=php_mysql.dll
并同樣去掉前面的";"
這個是用來支持MYSQL的,由于PHP5將MySQL作為一個獨立的模塊來加載運行的,故要支持MYSQL必選
查找 ;session.save_path =
去掉前面 ; 號,本文這里將其設(shè)置置為
session.save_path = D:/php/tmp
其他的你可以選擇需要的去掉前面的;
然后將該文件另存為為 php.ini 到 C:\Windows ( Windows 2000 下為 C:\WINNT)目錄下,注意更改文件后綴名為ini,
得到 C:\Windows\php.ini ( Windows 2000 下為 C:\WINNT\php.ini)
若路徑等和本文相同可直接保存到C:\Windows ( Windows 2000 下為 C:\WINNT) 目錄下 使用
一些朋友經(jīng)常反映無法上傳較大的文件或者運行某些程序經(jīng)常超時,那么可以找到C:\Windows ( Windows 2000 下為 C:\WINNT)目錄下的PHP.INI以下內(nèi)容修改:
max_execution_time = 30 ; 這個是每個腳本運行的最長時間,可以自己修改加長,單位秒
max_input_time = 60 ; 這是每個腳本可以消耗的時間,單位也是秒
memory_limit = 8M ; 這個是腳本運行最大消耗的內(nèi)存,也可以自己加大
upload_max_filesize = 2M ; 上載文件的最大許可大小 ,自己改吧,一些圖片論壇需要這個更大的值
(4)、配置 IIS 使其支持 PHP :
首先必須確定系統(tǒng)中已經(jīng)正確安裝 IIS ,如果沒有安裝,需要先安裝 IIS ,安裝步驟如下:
Windows 2000/XP 下的 IIS 安裝:
用 Administrator 帳號登陸系統(tǒng),將 Windows 2000 安裝光盤插入光盤驅(qū)動器,進入“控制面板”點擊“添加/刪除程序”,再點擊左側(cè)的“添加/刪除 Windows 組件”,在彈出的窗口中選擇“Internet 信息服務(wù)(IIS)”,點下面的“詳細信息”按鈕,選擇組件,以下組件是必須的:“Internet 服務(wù)管理器”、“World Wide Web 服務(wù)器”和“公用文件”,確定安裝。
安裝完畢后,在“控制面板”的“管理工具”里打開“服務(wù)”,檢查“IIS Admin Service”和“World Wide Web Publishing Service”兩項服務(wù),如果沒有啟動,將其啟動即可。
Windows 2003 下的 IIS 安裝:
由于 Windows 2003 的 IIS 6.0 集成在應(yīng)用程序服務(wù)器中,因此安裝應(yīng)用程序服務(wù)器就會默認安裝 IIS 6.0 ,在“開始”菜單中點擊“配置您的服務(wù)器”,在打開的“配置您的服務(wù)器向?qū)?rdquo;里左側(cè)選擇“應(yīng)用程序服務(wù)器(IIS,ASP.NET)”,單擊“下一步”出現(xiàn)“應(yīng)用程序服務(wù)器選項”,你可以選擇和應(yīng)用程序服務(wù)器一起安裝的組件,默認全選即可,單擊“下一步”,出現(xiàn)“選擇總結(jié)界面”,提示了本次安裝中的選項,配置程序?qū)⒆詣影凑?ldquo;選擇總結(jié)”中的選項進行安裝和配置。
打開瀏覽器,輸入:http://localhost/,看到成功頁面后進行下面的操作:
PHP 支持 CGI 和 ISAPI 兩種安裝模式,CGI 更消耗資源,容易因為超時而沒有反映,但是實際上比較安全,負載能力強,節(jié)省資源,但是安全性略差于CGI,本人推薦使用 ISAPI 模式。故這里只解介紹 ISAPI 模式安裝方法:(以下的截圖因各個系統(tǒng)不同,窗口界面可能不同,但對應(yīng)選項卡欄目是相同的,只需找到提到的對應(yīng)選項卡即可)
在“控制面板”的“管理工具”中選擇“Internet 服務(wù)管理器”,打開 IIS 后停止服務(wù),對于WIN2000系統(tǒng)在”Internet 服務(wù)管理器“的下級樹一般為你的”計算機名“上單擊右鍵選擇“屬性”,再在屬性頁面選擇主屬性”WWW 服務(wù)“右邊的”編輯“
對于XP/2003系統(tǒng)展開”Internet 服務(wù)管理器“的下級樹一般為你的”計算機名“選擇”網(wǎng)站“并單擊右鍵選擇“屬性”
在彈出的屬性窗口上選擇“ISAPI 篩選器”選項卡找到并點擊“添加”按鈕,在彈出的“篩選器屬性”窗口中的“篩選器名稱”欄中輸入:
PHP ,再將瀏覽可執(zhí)行文件使路徑指向 php4isapi.dll 所在路徑,
如本文中為:D:\php\php4\sapi\php4isapi.dll
[PHP5對應(yīng)路徑為 D:\php\php5\php5isapi.dll]
打開“站點屬性”窗口的“主目錄”選項卡,找到并點擊“配置”按鈕
在彈出的“應(yīng)用程序配置”窗口中的”應(yīng)用程序映射“選項卡找到并點擊“添加”按鈕新增一個擴展名映射,在彈出的窗口中單擊“瀏覽”將可執(zhí)行文件指向 php4isapi.dll 所在路徑,如本文中為:D:\php\php4\sapi\php4isapi.dll[PHP5對應(yīng)路徑為D:\php\php5\php5isapi.dll],擴展名為 .php ,動作限于”GET,HEAD,POST,TRACE“,將“腳本引擎”“確認文件是否存在”選中,然后一路確定即可。如果還想支持諸如 .php3 ,.phtml 等擴展名的 PHP 文件,可以重復(fù)“添加”步驟,對應(yīng)擴展名設(shè)置為需要的即可如.PHPX。
此步操作將使你服務(wù)器IIS下的所有站點都支持你所添加的PHP擴展文件,當然如果你只需要部分站點支持PHP,只需要在“你需要支持PHP的Web站點”比如“默認Web站點”上單擊右鍵選擇“屬性”,在打開的“ Web 站點屬性”“主目錄”選項卡,編輯或者添加PHP的擴展名映射即可或者將你步需要支持PHP的站點中的PHP擴展映射刪除即可
再打開“站點屬性”窗口的“文檔”選項卡,找到并點擊“添加”按鈕,向默認的 Web 站點啟動文檔列表中添加 index.php 項。您可以將 index.php 升到最高優(yōu)先級,這樣,訪問站點時就會首先自動尋找并打開 index.php 文檔。
確定 Web 目錄的應(yīng)用程序設(shè)置和執(zhí)行許可中選擇為純腳本,然后關(guān)閉 Internet 信息服務(wù)管理器
對于2003系統(tǒng)還需要在“Internet 服務(wù)管理器”左邊的“WEB服務(wù)擴展”中設(shè)置ISAPI 擴展允許,Active Server Pages 允許
完成所有操作后,重新啟動IIS服務(wù)。
在CMD命令提示符中執(zhí)行如下命令:
net stop w3svc
net stop iisadmin
net start w3svc
到此,PHP的基本安裝已經(jīng)完成,我們已經(jīng)使網(wǎng)站支持PHP腳本。
檢查方法是,在 IIS 根目錄下新建一個文本文件存為 php.php ,內(nèi)容如下:
<?php
phpinfo();
?>
打開瀏覽器,輸入:http://localhost/php.php,將顯示當前服務(wù)器所支持 PHP 的全部信息,可以看到 Server API的模式為:ISAPI 。
或者利用PHP探針檢測http://xqin.com/index.rar下載后解壓到你的站點根目錄下并訪問即可
三、安裝 MySQL :
對于MySQL4.0.26下載得到的是mysql-4.0.26-win32.zip,解壓到mysql-4.0.26-win32目錄雙擊執(zhí)行 Setup.exe 一路Next下一步,選擇安裝目錄為D:\php\MySQL和安裝方式為Custom自定義安裝,再一路Next下一步即可。
安裝完畢后,在CMD命令行中輸入并運行:
D:\php\MySQL\bin\mysqld-nt -install
如果返回Service successfully installed.則說明系統(tǒng)服務(wù)成功安裝
新建一文本文件存為MY.INI,編輯配置MY.INI,這里給出一個參考的配置
[mysqld]
basedir=D:/php/MySQL
#MySQL所在目錄
datadir=D:/php/MySQL/data
#MySQL數(shù)據(jù)庫所在目錄,可以更改為其他你存放數(shù)據(jù)庫的目錄
#language=D:/php/MySQL/share/your language directory
#port=3306
set-variable = max_connections=800
skip-locking
set-variable = key_buffer=512M
set-variable = max_allowed_packet=4M
set-variable = table_cache=1024
set-variable = sort_buffer=2M
set-variable = thread_cache=64
set-variable = join_buffer_size=32M
set-variable = record_buffer=32M
set-variable = thread_concurrency=8
set-variable = myisam_sort_buffer_size=64M
set-variable = connect_timeout=10
set-variable = wait_timeout=10
server-id = 1
[isamchk]
set-variable = key_buffer=128M
set-variable = sort_buffer=128M
set-variable = read_buffer=2M
set-variable = write_buffer=2M
[myisamchk]
set-variable = key_buffer=128M
set-variable = sort_buffer=128M
set-variable = read_buffer=2M
set-variable = write_buffer=2M
[WinMySQLadmin]
Server=D:/php/MySQL/bin/mysqld-nt.exe
保存后復(fù)制此MY.INI文件到C:\Windows ( Windows 2000 下為 C:\WINNT)目錄下
回到CMD命令行中輸入并運行:
net start mysql
MySQL 服務(wù)正在啟動 .
MySQL 服務(wù)已經(jīng)啟動成功。
將啟動 MySQL 服務(wù);
DOS下修改ROOT密碼:當然后面安裝PHPMYADMIN后修改密碼也可以通過PHPMYADMIN修改
格式:mysqladmin -u用戶名 -p舊密碼 password 新密碼
例:給root加個密碼xqin.com
首先在進入CMD命令行,轉(zhuǎn)到MYSQL目錄下的bin目錄,然后鍵入以下命令
mysqladmin -uroot password 你的密碼
注:因為開始時root沒有密碼,所以-p舊密碼一項就可以省略了。
D:\php\MySQL\bin>mysqladmin -uroot password 你的密碼
回車后ROOT密碼就設(shè)置為你的密碼了
如果你下載的是 MySQL5.x或者MySQL4.1.x,例mysql-5.0.18-win32:解壓后雙擊執(zhí)行 Setup.exe ,Next下一步后選擇Custom自定義安裝,再Next下一步選擇安裝路徑這里我們選擇D:\php\MySQL,繼續(xù)Next下一步跳過Sign UP完成安裝。
安裝完成后會提示你是不是立即進行配置,選擇是即可進行配置。當然一般安裝后菜單里面也有配置向?qū)ySQL Server Instance Config Wizar,運行后按下面步驟配置并設(shè)置ROOT密碼即可
Next下一步后選擇Standard Configuration
Next下一步,鉤選Include .. PATH
Next下一步,設(shè)置ROOT密碼,建議社設(shè)置復(fù)雜點,確保服務(wù)器安全!
Apply完成后將在D:\php\MySQL目錄下生成MY.INI配置文件,添加并啟動MySQL服務(wù)
如果你的MySQL安裝出錯,并且卸載重裝仍無法解決,這里提供一個小工具系統(tǒng)服務(wù)管理器http://xqin.com/iis/ser.rar,用于卸載后刪除存在的MYSQL服務(wù),重起后再按上述說明進行安裝一般即可成功安裝
四、安裝 Zend Optimizer :
下載后得到 ZendOptimizer-2.6.2-Windows-i386.exe ,直接雙擊安裝即可,安裝過程要你選擇 Web Server 時,選擇 IIS ,然后提示你是否 Restart Web Server,選擇是,完成安裝之前提示是否備份 php.ini ,點確定后安裝完成。我這里安裝到D:\php\Zend
以下兩步的目錄根據(jù)你自己的默認WEB站點目錄來選,當然也可以選擇到D:\php\Zend目錄
Zend Optimizer 的安裝向?qū)詣痈鶕?jù)你的選擇來修改 php.ini 幫助你啟動這個引擎。下面簡單介紹一下 Zend Optimizer 的配置選項。以下為本人安裝完成后 php.ini 里的默認配置代碼(分號后面的內(nèi)容為注釋):
[zend]
zend_extension_ts="D:\php\Zend\lib\ZendExtensionManager.dll"
;Zend Optimizer 模塊在硬盤上的安裝路徑。
zend_extension_manager.optimizer_ts="D:\php\Zend\lib\Optimizer-2.6.2"
;優(yōu)化器所在目錄,默認無須修改。
zend_optimizer.optimization_level=1023
;優(yōu)化程度,這里定義啟動多少個優(yōu)化過程,默認值是 15 ,表示同時開啟 10 個優(yōu)化過程中的 1-4 ,我們可以將這個值改為 1023 ,表示開啟全部10個優(yōu)化過程。
調(diào)用phpinfo()函數(shù)后顯示:
Zend Engine v1.3.0, Copyright (c) 1998-2004 Zend Technologies with Zend Extension Manager v1.0.9, Copyright (c) 2003-2006, by Zend Technologies with Zend Optimizer v2.6.2, Copyright (c) 1998-2006, by Zend Technologies
則表示安裝成功。
五.安裝GD庫
這一步在前面PHP.INI配置中去掉“;extension=php_gd2.dll”前面的;實際上已經(jīng)安裝好了~
[在php.ini里找到"extension=php_gd2.dll"這一行,并且去掉前面的分號,gd庫安裝完成,用 echophpinfo() ;測試是否成功! ]
六、安裝 phpMyAdmin
下載得到 phpMyAdmin-2.7.0.zip (如果需要這個版本可以找我QQ:473413 3300073),
將其解壓到D:\php\或者 IIS 根目錄,改名phpMyAdmin-2.7.0為phpMyAdmin,
并在IIS中建立新站點或者虛擬目錄指向該目錄以便通過WEB地址訪問,
這里建立默認站點的phpMyAdmin虛擬目錄指向D:\php\phpMyAdmin目錄通過http://localhost/phpmyadmin/訪問
找到并打開D:\php\phpMyAdmin目錄下的 config.default.php ,做以下修改:
查找 $cfg['PmaAbsoluteUri']
設(shè)置你的phpmyadmin的WEB訪問URL,比如本文中:$cfg['PmaAbsoluteUri'] = 'http://localhost/phpmyadmin/'; 注意這里假設(shè)phpmyadmin在默認站點的根目錄下
查找 $cfg['blowfish_secret'] =
設(shè)置COOKIES加密密匙,如xqin.com則設(shè)置為$cfg['blowfish_secret'] = 'xqin.com';
查找 $cfg['Servers'][$i]['auth_type'] = ,
默認為config,是不安全的,不推薦,推薦使用cookie,將其設(shè)置為 $cfg['Servers'][$i]['auth_type'] = 'cookie';
注意這里如果設(shè)置為config請在下面設(shè)置用戶名和密碼!例如:
$cfg['Servers'][$i]['user'] = 'root'; // MySQL user-----MySQL連接用戶
$cfg['Servers'][$i]['password'] = 'xqin.com';
搜索$cfg['DefaultLang'] ,將其設(shè)置為 zh-gb2312 ;
搜索$cfg['DefaultCharset'] ,將其設(shè)置為 gb2312 ;
打開瀏覽器,輸入:http://localhost/phpMyAdmin/ ,若 IIS 和 MySQL 均已啟動,輸入用戶ROOT密碼xqin.com(如沒有設(shè)置密碼則密碼留空)即可進入phpMyAdmin數(shù)據(jù)庫管理。
首先點擊權(quán)限進入用戶管理,刪除除ROOT和主機不為localhost的用戶并重新讀取用戶權(quán)限表,這里同樣可以修改和設(shè)置ROOT的密碼,添加其他用戶等
phpMyAdmin 的具體功能,請慢慢熟悉,這里不再贅述。
至此所有安裝完畢。
六、目錄結(jié)構(gòu)以及MTFS格式下安全的目錄權(quán)限設(shè)置:
當前目錄結(jié)構(gòu)為
D:\php
|
+—————+——————+———————+———————+
php4(php5) tmp MySQL Zend phpMyAdmin
D:\php 設(shè)置為 Administrators和SYSTEM完全權(quán)限 即可,其他用戶均無權(quán)限
對于其下的二級目錄
D:\php\php4(或者D:\php\php5) 設(shè)置為 USERS 讀取/運行 權(quán)限
D:\php\tmp 設(shè)置為 USERS 讀/寫/刪 權(quán)限
D:\php\MySQL 、D:\php\Zend 設(shè)置為 Administrators和SYSTEM完全權(quán)限
phpMyAdmin WEB匿名用戶讀取權(quán)限
七、優(yōu)化:
參見 http://bbs.xqin.com/viewthread.php?tid=3831
PHP 優(yōu)化配置——加速你的VBB,phpwind,Discuz,IPB,MolyX.....
|
有問題可以和我QQ聯(lián)系:473413 3300073
|
14、一般故障解決
一般網(wǎng)站最容易發(fā)生的故障的解決方法
1.出現(xiàn)提示網(wǎng)頁無法顯示,500錯誤的時候,又沒有詳細的提示信息
可以進行下面的操作顯示詳細的提示信息:IE-工具-internet選項-高級-友好的http錯誤信息提示,將這選項前面不打勾,則可以看到詳細的提示信息了
以下是解決500錯誤的方法。請復(fù)制以下信息并保存為: 解決IIS6.0的(asp不能訪問)請求的資源在使用中的辦法.bat
然后在服務(wù)器上執(zhí)行一下,你的ASP就又可以正常運行了。
2.系統(tǒng)在安裝的時候提示數(shù)據(jù)庫連接錯誤
一是檢查const文件的設(shè)置關(guān)于數(shù)據(jù)庫的路徑設(shè)置是否正確
二是檢查服務(wù)器上面的數(shù)據(jù)庫的路徑和用戶名、密碼等是否正確
3.IIS不支持ASP解決辦法:
IIS的默認解析語言是否正確設(shè)定?將默認改為VBSCRIPT,進入IIS,右鍵單擊默認Web站點,選擇屬性,在目錄安全性選項卡的匿名訪問和身份驗證控制中,單擊編輯,在身份驗證方法屬性頁中,去掉匿名訪問的選擇試試.
4.FSO沒有權(quán)限
FSO的權(quán)限問題,可以在后臺測試是否能刪除文件,解決FSO組件是否開啟的方法如下:
首先在系統(tǒng)盤中查找scrrun.dll,如果存在這個文件,請?zhí)降谌?,如果沒有,請執(zhí)行第二步。
在安裝文件目錄i386中找到scrrun.dl_,用winrar解壓縮,得scrrun.dll,然后復(fù)制到(你的系統(tǒng)盤)C:\windows\system32\目錄中。 運行regsvr32 scrrun.dll即可。
如果想關(guān)閉FSO組件,請運行regsvr32/u scrrun.dll即可
關(guān)于服務(wù)器FSO權(quán)限設(shè)置的方法,給大家一個地址可以看看詳細的操作:http://www.upsdn.net/html/2005-01/314.html
5.Microsoft JET Database Engine 錯誤 '80040e09' 不能更新。數(shù)據(jù)庫或?qū)ο鬄橹蛔x
原因分析:
未打開數(shù)據(jù)庫目錄的讀寫權(quán)限
解決方法:
( 1 )檢查是否在 IIS 中對整個網(wǎng)站打開了 “ 寫入 ” 權(quán)限,而不僅僅是數(shù)據(jù)庫文件。
( 2 )檢查是否在 WIN2000 的資源管理器中,將網(wǎng)站所在目錄對 EveryOne 用戶打開所有權(quán)限。具體方法是:
打開 “ 我的電腦 ”---- 找到網(wǎng)站所在文件夾 ---- 在其上點右鍵 ---- 選 “ 屬性 ”----- 切換到 “ 安全性 ” 選項卡,在這里給 EveryOne 用戶所有權(quán)限。
注意: 如果你的系統(tǒng)是 XP ,請先點 “ 工具 ”----“ 文件夾選項 ”----“ 查看 ”----- 去掉 “ 使用簡單文件共享 ” 前的勾,確定后,文件夾 “ 屬性 ” 對話框中才會有 “ 安全性 ” 這一個選項卡。
6.驗證碼不能顯示
原因分析:
造成該問題的原因是 Service Pack 2 為了提高系統(tǒng)的穩(wěn)定性,默認狀態(tài)下是屏蔽了對 XBM,也即是 x-bitmap 格式的圖片的顯示,而這些驗證碼恰恰是 XBM 格式的,所以顯示不出來了。
解決辦法:
解決的方法其實也很簡單,只需在系統(tǒng)注冊表中添加鍵值 "BlockXBM"=dword:00000000 就可以了,具體操作如下:
1》打開系統(tǒng)注冊表;
2》依次點開HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Internet Explorer\\Security;
3》在屏幕右邊空白處點擊鼠標右鍵,選擇新建一個名為“BlockXBM”為的 DWORD 鍵,其值為默認的0。
4》退出注冊表編輯器。
如果操作系統(tǒng)是2003系統(tǒng)則看是否開啟了父路徑
7.windows 2003配置IIS支持.shtml
要使用 Shtml 的文件,則系統(tǒng)必須支持SSI,SSI必須是管理員通過Web 服務(wù)擴展啟用的
windows 2003安裝好IIS之后默認是支持.shtml的,只要在“WEB服務(wù)擴展”允許“在服務(wù)器前端的包含文件”即可 (www.jz5u.com)
8.如何去掉“處理 URL 時服務(wù)器出錯。請與系統(tǒng)管理員聯(lián)系。”
如果是本地服務(wù)器的話,請右鍵點IIS默認網(wǎng)站,選屬性,在主目錄里點配置,選調(diào)試。 選中向客戶端發(fā)送詳細的ASP錯誤消息。 然后再調(diào)試程序,此時就可以顯示出正確的錯誤代碼。
如果你是租用的空間的話,請和你的空間商聯(lián)系
|
|
, /TD> |
該文件夾,子文件夾及文件 |
|
<不是繼承的> |
硬盤或文件夾: C:\Program Files\Windows Media Player
|
主要權(quán)限部分: |
其他權(quán)限部分: |
Administrators
|
完全控制 |
無
|
|
該文件夾,子文件夾及文件 |
|
<不是繼承的> |
CREATOR OWNER
|
完全控制 |
|
只有子文件夾及文件 |
|
<不是繼承的> |
SYSTEM
|
完全控制 |
|
該文件夾,子文件夾及文件 |
|
<不是繼承的> |
硬盤或文件夾: C:\Program Files\Windows NT\Accessories
|
主要權(quán)限部分: |
其他權(quán)限部分: |
Administrators
|
完全控制 |
無
|
|
該文件夾,子文件夾及文件 |
|
<不是繼承的> |
CREATOR OWNER
|
完全控制 |
|
只有子文件夾及文件 |
|
<不是繼承的> |
SYSTEM
|
完全控制 |
|
該文件夾,子文件夾及文件 |
|
<不是繼承的> |
硬盤或文件夾: C:\Program Files\WindowsUpdate
|
主要權(quán)限部分: |
其他權(quán)限部分: |
Administrators
|
完全控制 |
無
|
|
該文件夾,子文件夾及文件 |
|
<不是繼承的> |
CREATOR OWNER
|
完全控制 |
|
只有子文件夾及文件 |
|
<不是繼承的> |
SYSTEM
|
完全控制 |
|
該文件夾,子文件夾及文件 |
|
<不是繼承的> |
硬盤或文件夾: C:\WINDOWS
|
主要權(quán)限部分: |
其他權(quán)限部分: |
Administrators
|
完全控制 |
Users
|
讀取和運行 |
|
該文件夾,子文件夾及文件 |
|
該文件夾,子文件夾及文件 |
|
<不是繼承的> |
|
<不是繼承的> |
CREATOR OWNER
|
完全控制 |
|
|
|
只有子文件夾及文件 |
|
|
<不是繼承的> |
|
SYSTEM
|
完全控制 |
|
|
該文件夾,子文件夾及文件 |
|
<不是繼承的> |
硬盤或文件夾: C:\WINDOWS\repair
|
主要權(quán)限部分: |
其他權(quán)限部分: |
Administrators
|
完全控制 |
IUSR_XXX
或某個虛擬主機用戶組
|
列出文件夾/讀取數(shù)據(jù) :拒絕 |
|
該文件夾,子文件夾及文件 |
該文件夾,子文件夾及文件 |
|
<不是繼承的> |
<不是繼承的> |
CREATOR OWNER
|
完全控制 |
虛擬主機用戶訪問組拒絕讀取,有助于保護系統(tǒng)數(shù)據(jù)
這里保護的是系統(tǒng)級數(shù)據(jù)SAM
|
|
只有子文件夾及文件 |
|
<不是繼承的> |
SYSTEM
|
完全控制 |
|
該文件夾,子文件夾及文件 |
|
<不是繼承的> |
硬盤或文件夾: C:\WINDOWS\system32
|
主要權(quán)限部分: |
其他權(quán)限部分: |
Administrators
|
完全控制 |
Users
|
讀取和運行 |
|
該文件夾,子文件夾及文件 |
|
該文件夾,子文件夾及文件 |
|
<不是繼承的> |
|
<不是繼承的> |
CREATOR OWNER
|
完全控制 |
IUSR_XXX
或某個虛擬主機用戶組
|
列出文件夾/讀取數(shù)據(jù) :拒絕 |
|
只有子文件夾及文件 |
該文件夾,子文件夾及文件 |
|
<不是繼承的> |
<不是繼承的> |
SYSTEM
|
完全控制 |
虛擬主機用戶訪問組拒絕讀取,有助于保護系統(tǒng)數(shù)據(jù)
|
|
該文件夾,子文件夾及文件 |
|
<不是繼承的> |
硬盤或文件夾: C:\WINDOWS\system32\config
|
主要權(quán)限部分: |
其他權(quán)限部分: |
Administrators
|
完全控制 |
Users
|
讀取和運行 |
|
該文件夾,子文件夾及文件 |
|
該文件夾,子文件夾及文件 |
|
<不是繼承的> |
|
<不是繼承的> |
CREATOR OWNER
|
完全控制 |
IUSR_XXX
或某個虛擬主機用戶組
|
列出文件夾/讀取數(shù)據(jù) :拒絕 |
|
只有子文件夾及文件 |
該文件夾,子文件夾及文件 |
|
<不是繼承的> |
<繼承于上一級目錄> |
SYSTEM
|
完全控制 |
虛擬主機用戶訪問組拒絕讀取,有助于保護系統(tǒng)數(shù)據(jù)
|
|
該文件夾,子文件夾及文件 |
|
<不是繼承的> |
硬盤或文件夾: C:\WINDOWS\system32\inetsrv\
|
主要權(quán)限部分: |
其他權(quán)限部分: |
Administrators
|
完全控制 |
Users
|
讀取和運行 |
|
該文件夾,子文件夾及文件 |
|
該文件夾,子文件夾及文件 |
|
<不是繼承的> |
|
<不是繼承的> |
CREATOR OWNER
|
完全控制 |
IUSR_XXX
或某個虛擬主機用戶組
|
列出文件夾/讀取數(shù)據(jù) :拒絕 |
|
只有子文件夾及文件 |
只有該文件夾 |
|
<不是繼承的> |
<繼承于上一級目錄> |
SYSTEM
|
完全控制 |
虛擬主機用戶訪問組拒絕讀取,有助于保護系統(tǒng)數(shù)據(jù)
|
|
該文件夾,子文件夾及文件 |
|
<不是繼承的> |
硬盤或文件夾: C:\WINDOWS\system32\inetsrv\ASP Compiled Templates
|
主要權(quán)限部分: |
其他權(quán)限部分: |
Administrators
|
完全控制 |
IIS_WPG
|
完全控制 |
|
該文件夾,子文件夾及文件 |
|
該文件夾,子文件夾及文件 |
|
<不是繼承的> |
|
<不是繼承的> |
|
IUSR_XXX
或某個虛擬主機用戶組
|
列出文件夾/讀取數(shù)據(jù) :拒絕 |
該文件夾,子文件夾及文件 |
<繼承于上一級目錄> |
虛擬主機用戶訪問組拒絕讀取,有助于保護系統(tǒng)數(shù)據(jù)
|
硬盤或文件夾: C:\WINDOWS\system32\inetsrv\iisadmpwd
|
主要權(quán)限部分: |
其他權(quán)限部分: |
Administrators
|
完全控制 |
無
|
|
該文件夾,子文件夾及文件 |
|
<不是繼承的> |
CREATOR OWNER
|
完全控制 |
|
只有子文件夾及文件 |
|
<不是繼承的> |
SYSTEM
|
完全控制 |
|
該文件夾,子文件夾及文件 |
|
<不是繼承的> |
硬盤或文件夾: C:\WINDOWS\system32\inetsrv\MetaBack
|
主要權(quán)限部分: |
其他權(quán)限部分: |
Administrators
|
完全控制 |
Users
|
讀取和運行 |
|
該文件夾,子文件夾及文件 |
|
該文件夾,子文件夾及文件 |
|
<不是繼承的> |
|
<不是繼承的> |
CREATOR OWNER
|
完全控制 |
IUSR_XXX
或某個虛擬主機用戶組
|
列出文件夾/讀取數(shù)據(jù) :拒絕 |
|
只有子文件夾及文件 |
該文件夾,子文件夾及文件 |
|
<不是繼承的> |
<繼承于上一級目錄> |
SYSTEM
|
完全控制 |
虛擬主機用戶訪問組拒絕讀取,有助于保護系統(tǒng)數(shù)據(jù)
|
|
該文件夾,子文件夾及文件 |
|
<不是繼承的> |
Winwebmail 電子郵局安裝后權(quán)限舉例:目錄E:\
|
主要權(quán)限部分: |
其他權(quán)限部分: |
Administrators
|
完全控制 |
IUSR_XXXXXX
這個用戶是WINWEBMAIL訪問WEB站點專用帳戶
|
讀取和運行 |
|
該文件夾,子文件夾及文件 |
該文件夾,子文件夾及文件 |
|
<不是繼承的> |
<不是繼承的> |
CREATOR OWNER
|
完全控制 |
|
|
只有子文件夾及文件 |
|
<不是繼承的> |
SYSTEM
|
完全控制 |
|
該文件夾,子文件夾及文件 |
|
<不是繼承的> |
Winwebmail 電子郵局安裝后權(quán)限舉例:目錄E:\WinWebMail
|
主要權(quán)限部分: |
其他權(quán)限部分: |
Administrators
|
完全控制 |
IUSR_XXXXXX
WINWEBMAIL訪問WEB站點專用帳戶
|
讀取和運行 |
|
該文件夾,子文件夾及文件 |
該文件夾,子文件夾及文件 |
|
<繼承于E:\> |
<繼承于E:\> |
CREATOR OWNER
|
完全控制 |
Users
|
修改/讀取運行/列出文件目錄/讀取/寫入 |
|
只有子文件夾及文件 |
該文件夾,子文件夾及文件 |
|
<繼承于E:\> |
<不是繼承的> |
SYSTEM
|
完全控制 |
IUSR_XXXXXX
WINWEBMAIL訪問WEB站點專用帳戶
|
修改/讀取運行/列出文件目錄/讀取/寫入 |
|
該文件夾,子文件夾及文件 |
該文件夾,子文件夾及文件 |
|
<繼承于E:\> |
<不是繼承的> |
IUSR_XXXXXX和IWAM_XXXXXX
是winwebmail專用的IIS用戶和應(yīng)用程序池用戶
單獨使用,安全性能高
|
IWAM_XXXXXX
WINWEBMAIL應(yīng)用程序池專用帳戶
|
修改/讀取運行/列出文件目錄/讀取/寫入 |
該文件夾,子文件夾及文件 |
<不是繼承的> |
如果有問題請聯(lián)系QQ: 473413
2、服務(wù)器安全設(shè)置之--系統(tǒng)服務(wù)篇(設(shè)置完畢需要重新啟動)
*除非特殊情況非開不可,下列系統(tǒng)服務(wù)要■停止并禁用■:
|
Alerter |
服務(wù)名稱:
|
Alerter |
顯示名稱:
|
Alerter |
服務(wù)描述:
|
通知選定的用戶和計算機管理警報。如果服務(wù)停止,使用管理警報的程序?qū)⒉粫盏剿鼈儭H绻朔?wù)被禁用,任何直接依賴它的服務(wù)都將不能啟動。 |
可執(zhí)行文件路徑:
|
E:\WINDOWS\system32\svchost.exe -k LocalService |
其他補充:
|
|
|
Application Layer Gateway Service |
服務(wù)名稱:
|
ALG |
顯示名稱:
|
Application Layer Gateway Service |
服務(wù)描述:
|
為應(yīng)用程序級協(xié)議插件提供支持并啟用網(wǎng)絡(luò)/協(xié)議連接。如果此服務(wù)被禁用,任何依賴它的服務(wù)將無法啟動。 |
可執(zhí)行文件路徑:
|
E:\WINDOWS\System32\alg.exe |
其他補充:
|
|
|
Background Intelligent Transfer Service |
服務(wù)名稱:
|
BITS |
顯示名稱:
|
Background Intelligent Transfer Service |
服務(wù)描述:
|
服務(wù)描述:利用空閑的網(wǎng)絡(luò)帶寬在后臺傳輸文件。如果服務(wù)被停用,例如 Windows Update 和 MSN Explorer 的功能將無法自動下載程序和其他信息。如果此服務(wù)被禁用,任何依賴它的服務(wù)如果沒有容錯技術(shù)以直接通過 IE 傳輸文件,一旦 BITS 被禁用,就可能無法傳輸文件。 |
可執(zhí)行文件路徑:
|
E:\WINDOWS\system32\svchost.exe -k netsvcs |
其他補充:
|
|
|
Computer Browser |
服務(wù)名稱:
|
服務(wù)名稱:Browser |
顯示名稱:
|
顯示名稱:Computer Browser |
服務(wù)描述:
|
服務(wù)描述:維護網(wǎng)絡(luò)上計算機的更新列表,并將列表提供給計算機指定瀏覽。如果服務(wù)停止,列表不會被更新或維護。如果服務(wù)被禁用,任何直接依賴于此服務(wù)的服務(wù)將無法啟動。 |
可執(zhí)行文件路徑:
|
可執(zhí)行文件路徑: E:\WINDOWS\system32\svchost.exe -k netsvcs |
其他補充:
|
|
|
Distributed File System |
服務(wù)名稱:
|
Dfs |
顯示名稱:
|
Distributed File System |
服務(wù)描述:
|
將分散的文件共享合并成一個邏輯名稱空間并在局域網(wǎng)或廣域網(wǎng)上管理這些邏輯卷。如果這個服務(wù)被停止,用戶則無法訪問文件共享。如果這個服務(wù)被禁用,任何依賴它的服務(wù)將無法啟動。 |
可執(zhí)行文件路徑:
|
E:\WINDOWS\system32\Dfssvc.exe |
其他補充:
|
|
|
Help and Support |
服務(wù)名稱:
|
helpsvc |
顯示名稱:
|
Help and Support |
服務(wù)描述:
|
啟用在此計算機上運行幫助和支持中心。如果停止服務(wù),幫助和支持中心將不可用。如果禁用服務(wù),任何直接依賴于此服務(wù)的服務(wù)將無法啟動。 |
可執(zhí)行文件路徑:
|
E:\WINDOWS\System32\svchost.exe -k netsvcs |
其他補充:
|
|
|
Messenger |
服務(wù)名稱:
|
Messenger |
顯示名稱:
|
Messenger |
服務(wù)描述:
|
傳輸客戶端和服務(wù)器之間的 NET SEND 和 警報器服務(wù)消息。此服務(wù)與 Windows Messenger 無關(guān)。如果服務(wù)停止,警報器消息不會被傳輸。如果服務(wù)被禁用,任何直接依賴于此服務(wù)的服務(wù)將無法啟動。 |
可執(zhí)行文件路徑:
|
E:\WINDOWS\system32\svchost.exe -k netsvcs |
其他補充:
|
|
|
NetMeeting Remote Desktop Sharing |
服務(wù)名稱:
|
mnmsrvc |
顯示名稱:
|
NetMeeting Remote Desktop Sharing |
服務(wù)描述:
|
允許經(jīng)過授權(quán)的用戶用 NetMeeting 在公司 intranet 上遠程訪問這臺計算機。如果服務(wù)被停止,遠程桌面共享將不可用。如果服務(wù)被禁用,依賴這個服務(wù)的任何服務(wù)都會無法啟動。 |
可執(zhí)行文件路徑:
|
E:\WINDOWS\system32\mnmsrvc.exe |
其他補充:
|
|
|
Print Spooler |
服務(wù)名稱:
|
Spooler |
顯示名稱:
|
Print Spooler |
服務(wù)描述:
|
管理所有本地和網(wǎng)絡(luò)打印隊列及控制所有打印工作。如果此服務(wù)被停用,本地計算機上的打印將不可用。如果此服務(wù)被禁用,任何依賴于它的服務(wù)將無法啟用。 |
可執(zhí)行文件路徑:
|
E:\WINDOWS\system32\spoolsv.exe |
其他補充:
|
|
|
Remote Registry |
服務(wù)名稱:
|
RemoteRegistry |
顯示名稱:
|
Remote Registry |
服務(wù)描述:
|
使遠程用戶能修改此計算機上的注冊表設(shè)置。如果此服務(wù)被終止,只有此計算機上的用戶才能修改注冊表。如果此服務(wù)被禁用,任何依賴它的服務(wù)將無法啟動。 |
可執(zhí)行文件路徑:
|
E:\WINDOWS\system32\svchost.exe -k regsvc |
其他補充:
|
|
|
Task Scheduler |
服務(wù)名稱:
|
Schedule |
顯示名稱:
|
Task Scheduler |
服務(wù)描述:
|
使用戶能在此計算機上配置和計劃自動任務(wù)。如果此服務(wù)被終止,這些任務(wù)將無法在計劃時間里運行。如果此服務(wù)被禁用,任何依賴它的服務(wù)將無法啟動。 |
可執(zhí)行文件路徑:
|
E:\WINDOWS\System32\svchost.exe -k netsvcs |
其他補充:
|
|
|
TCP/IP NetBIOS Helper |
服務(wù)名稱:
|
LmHosts |
顯示名稱:
|
TCP/IP NetBIOS Helper |
服務(wù)描述:
|
提供 TCP/IP (NetBT) 服務(wù)上的 NetBIOS 和網(wǎng)絡(luò)上客戶端的 NetBIOS 名稱解析的支持,從而使用戶能夠共享文件、打印和登錄到網(wǎng)絡(luò)。如果此服務(wù)被停用,這些功能可能不可用。如果此服務(wù)被禁用,任何依賴它的服務(wù)將無法啟動。 |
可執(zhí)行文件路徑:
|
E:\WINDOWS\system32\svchost.exe -k LocalService |
其他補充:
|
|
|
Telnet |
服務(wù)名稱:
|
TlntSvr |
顯示名稱:
|
Telnet |
服務(wù)描述:
|
允許遠程用戶登錄到此計算機并運行程序,并支持多種 TCP/IP Telnet 客戶端,包括基于 UNIX 和 Windows 的計算機。如果此服務(wù)停止,遠程用戶就不能訪問程序,任何直接依賴于它的服務(wù)將會啟動失敗。 |
可執(zhí)行文件路徑:
|
E:\WINDOWS\system32\tlntsvr.exe |
其他補充:
|
|
|
Workstation |
服務(wù)名稱:
|
lanmanworkstation |
顯示名稱:
|
Workstation |
服務(wù)描述:
|
創(chuàng)建和維護到遠程服務(wù)的客戶端網(wǎng)絡(luò)連接。如果服務(wù)停止,這些連接將不可用。如果服務(wù)被禁用,任何直接依賴于此服務(wù)的服務(wù)將無法啟動。 |
可執(zhí)行文件路徑:
|
E:\WINDOWS\system32\svchost.exe -k netsvcs |
其他補充:
|
|
以上是windows2003server標準服務(wù)當中需要停止的服務(wù),作為IIS網(wǎng)絡(luò)服務(wù)器,以上服務(wù)務(wù)必要停止,如果需要SSL證書服務(wù),則設(shè)置方法不同,如果有問題請聯(lián)系QQ: 473413
3、服務(wù)器安全設(shè)置之--組件安全設(shè)置篇 (非常重要?。。?
A、卸載WScript.Shell 和 Shell.application 組件,將下面的代碼保存為一個.BAT文件執(zhí)行(分2000和2003系統(tǒng)) |
windows2000.bat |
|
windows2003.bat |
|
B、改名不安全組件,需要注意的是組件的名稱和Clsid都要改,并且要改徹底了,不要照抄,要自己改 |
|
【開始→運行→regedit→回車】打開注冊表編輯器
然后【編輯→查找→填寫Shell.application→查找下一個】
用這個方法能找到兩個注冊表項:
{13709620-C279-11CE-A49E-444553540000} 和 Shell.application 。
第一步:為了確保萬無一失,把這兩個注冊表項導(dǎo)出來,保存為xxxx.reg 文件。
第二步:比如我們想做這樣的更改
13709620-C279-11CE-A49E-444553540000 改名為 13709620-C279-11CE-A49E-444553540001
Shell.application 改名為 Shell.application_nohack
第三步:那么,就把剛才導(dǎo)出的.reg文件里的內(nèi)容按上面的對應(yīng)關(guān)系替換掉,然后把修改好的.reg文件導(dǎo)入到注冊表中(雙擊即可),導(dǎo)入了改名后的注冊表項之后,別忘記了刪除原有的那兩個項目。這里需要注意一點,Clsid中只能是十個數(shù)字和ABCDEF六個字母。
其實,只要把對應(yīng)注冊表項導(dǎo)出來備份,然后直接改鍵名就可以了, |
改好的例子
建議自己改
應(yīng)該可一次成功
|
|
老杜評論:
|
WScript.Shell 和 Shell.application 組件是 腳本入侵過程中,提升權(quán)限的重要環(huán)節(jié),這兩個組件的卸載和修改對應(yīng)注冊鍵名,可以很大程度的提高虛擬主機的腳本安全性能,一般來說,ASP和php類腳本提升權(quán)限的功能是無法實現(xiàn)了,再加上一些系統(tǒng)服務(wù)、硬盤訪問權(quán)限、端口過濾、本地安全策略的設(shè)置,虛擬主機因該說,安全性能有非常大的提高,黑客入侵的可能性是非常低了。注銷了Shell組件之后,侵入者運行提升工具的可能性就很小了,但是prel等別的腳本語言也有shell能力,為防萬一,還是設(shè)置一下為好。下面是另外一種設(shè)置,大同小異。 |
一、禁止使用FileSystemObject組件
FileSystemObject可以對文件進行常規(guī)操作,可以通過修改注冊表,將此組件改名,來防止此類木馬的危害。
HKEY_CLASSES_ROOT\Scripting.FileSystemObject\
改名為其它的名字,如:改為 FileSystemObject_ChangeName
自己以后調(diào)用的時候使用這個就可以正常調(diào)用此組件了
也要將clsid值也改一下
HKEY_CLASSES_ROOT\Scripting.FileSystemObject\CLSID\項目的值
也可以將其刪除,來防止此類木馬的危害。
2000注銷此組件命令:RegSrv32 /u C:\WINNT\SYSTEM\scrrun.dll
2003注銷此組件命令:RegSrv32 /u C:\WINDOWS\SYSTEM\scrrun.dll
如何禁止Guest用戶使用scrrun.dll來防止調(diào)用此組件?
使用這個命令:cacls C:\WINNT\system32\scrrun.dll /e /d guests
二、禁止使用WScript.Shell組件
WScript.Shell可以調(diào)用系統(tǒng)內(nèi)核運行DOS基本命令
可以通過修改注冊表,將此組件改名,來防止此類木馬的危害。
HKEY_CLASSES_ROOT\WScript.Shell\及HKEY_CLASSES_ROOT\WScript.Shell.1\
改名為其它的名字,如:改為WScript.Shell_ChangeName 或 WScript.Shell.1_ChangeName
自己以后調(diào)用的時候使用這個就可以正常調(diào)用此組件了
也要將clsid值也改一下
HKEY_CLASSES_ROOT\WScript.Shell\CLSID\項目的值
HKEY_CLASSES_ROOT\WScript.Shell.1\CLSID\項目的值
也可以將其刪除,來防止此類木馬的危害。
三、禁止使用Shell.Application組件
Shell.Application可以調(diào)用系統(tǒng)內(nèi)核運行DOS基本命令
可以通過修改注冊表,將此組件改名,來防止此類木馬的危害。
HKEY_CLASSES_ROOT\Shell.Application\
及
HKEY_CLASSES_ROOT\Shell.Application.1\
改名為其它的名字,如:改為Shell.Application_ChangeName 或 Shell.Application.1_ChangeName
自己以后調(diào)用的時候使用這個就可以正常調(diào)用此組件了
也要將clsid值也改一下
HKEY_CLASSES_ROOT\Shell.Application\CLSID\項目的值
HKEY_CLASSES_ROOT\Shell.Application\CLSID\項目的值
也可以將其刪除,來防止此類木馬的危害。
禁止Guest用戶使用shell32.dll來防止調(diào)用此組件。
2000使用命令:cacls C:\WINNT\system32\shell32.dll /e /d guests
2003使用命令:cacls C:\WINDOWS\system32\shell32.dll /e /d guests
注:操作均需要重新啟動WEB服務(wù)后才會生效。
四、調(diào)用Cmd.exe
禁用Guests組用戶調(diào)用cmd.exe
2000使用命令:cacls C:\WINNT\system32\Cmd.exe /e /d guests
2003使用命令:cacls C:\WINDOWS\system32\Cmd.exe /e /d guests
通過以上四步的設(shè)置基本可以防范目前比較流行的幾種木馬,但最有效的辦法還是通過綜合安全設(shè)置,將服務(wù)器、程序安全都達到一定標準,才可能將安全等級設(shè)置較高,防范更多非法入侵。
|
C、防止Serv-U權(quán)限提升 (適用于 Serv-U6.0 以前版本,之后可以直接設(shè)置密碼) |
|
先停掉Serv-U服務(wù)
用Ultraedit打開ServUDaemon.exe
查找 Ascii:LocalAdministrator 和 #l@$ak#.lk;0@P
修改成等長度的其它字符就可以了,ServUAdmin.exe也一樣處理。
另外注意設(shè)置Serv-U所在的文件夾的權(quán)限,不要讓IIS匿名用戶有讀取的權(quán)限,否則人家下走你修改過的文件,照樣可以分析出你的管理員名和密碼。
|
|
http://www.ajiang.net/products/aspcheck/ (可以測試組件安全性) |
4、服務(wù)器安全設(shè)置之--IIS用戶設(shè)置方法
IIS安全訪問的例子
主機頭
|
主機腳本
|
硬盤目錄
|
IIS用戶名
|
硬盤權(quán)限
|
應(yīng)用程序池
|
主目錄
|
應(yīng)用程序配置
|
www.1.com
|
HTM
|
D:\www.1.com\
|
IUSR_1.com
|
Administrators(完全控制)
IUSR_1.com(讀)
|
可共用
|
讀取/純腳本
|
啟用父路徑
|
www.2.com
|
ASP
|
D:\www.2.com\
|
IUSR_1.com
|
Administrators(完全控制)
IUSR_2.com(讀/寫)
|
可共用
|
讀取/純腳本
|
啟用父路徑
|
www.3.com
|
NET
|
D:\www.3.com\
|
IUSR_1.com
|
Administrators(完全控制)
IWAM_3.com(讀/寫)
IUSR_3.com(讀/寫)
|
獨立池
|
讀取/純腳本
|
啟用父路徑
|
www.4.com
|
PHP
|
D:\www.4.com\
|
IUSR_1.com
|
Administrators(完全控制)
IWAM_4.com(讀/寫)
IUSR_4.com(讀/寫)
|
獨立池
|
讀取/純腳本
|
啟用父路徑
|
其中 IWAM_3.com 和 IWAM_4.com 分別是各自獨立應(yīng)用程序池標識中的啟動帳戶
|
主機腳本類型
|
應(yīng)用程序擴展名 (就是文件后綴名)對應(yīng)主機腳本,只需要加載以下的應(yīng)用程序擴展 |
HTM
|
STM | SHTM | SHTML | MDB |
ASP
|
ASP | ASA | MDB |
NET
|
ASPX | ASAX | ASCX| ASHX | ASMX | AXD | VSDISCO | REM | SOAP | CONFIG |
CS |CSPROJ | VB | VBPROJ | WEBINFO | LICX | RESX | RESOURCES | MDB |
PHP
|
PHP | PHP3 | PHP4 |
MDB是共用映射,下面用紅色表示
應(yīng)用程序擴展
|
映射文件 |
執(zhí)行動作 |
STM=.stm
|
C:\WINDOWS\system32\inetsrv\ssinc.dll |
GET,POST |
SHTM=.shtm
|
C:\WINDOWS\system32\inetsrv\ssinc.dll |
GET,POST |
SHTML=.shtml
|
C:\WINDOWS\system32\inetsrv\ssinc.dll |
GET,POST |
ASP=.asp
|
C:\WINDOWS\system32\inetsrv\asp.dll |
GET,HEAD,POST,TRACE |
ASA=.asa
|
C:\WINDOWS\system32\inetsrv\asp.dll |
GET,HEAD,POST,TRACE |
ASPX=.aspx
|
C:\WINDOWS\Microsoft.NET\Framework\v1.1.4322\aspnet_isapi.dll |
GET,HEAD,POST,DEBUG |
ASAX=.asax
|
C:\WINDOWS\Microsoft.NET\Framework\v1.1.4322\aspnet_isapi.dll |
GET,HEAD,POST,DEBUG |
ASCX=.ascx
|
C:\WINDOWS\Microsoft.NET\Framework\v1.1.4322\aspnet_isapi.dll |
GET,HEAD,POST,DEBUG |
ASHX=.ashx
|
C:\WINDOWS\Microsoft.NET\Framework\v1.1.4322\aspnet_isapi.dll |
GET,HEAD,POST,DEBUG |
ASMX=.asmx
|
C:\WINDOWS\Microsoft.NET\Framework\v1.1.4322\aspnet_isapi.dll |
GET,HEAD,POST,DEBUG |
AXD=.axd
|
C:\WINDOWS\Microsoft.NET\Framework\v1.1.4322\aspnet_isapi.dll |
GET,HEAD,POST,DEBUG |
VSDISCO=.vsdisco
|
C:\WINDOWS\Microsoft.NET\Framework\v1.1.4322\aspnet_isapi.dll |
GET,HEAD,POST,DEBUG |
REM=.rem
|
C:\WINDOWS\Microsoft.NET\Framework\v1.1.4322\aspnet_isapi.dll |
GET,HEAD,POST,DEBUG |
SOAP=.soap
|
C:\WINDOWS\Microsoft.NET\Framework\v1.1.4322\aspnet_isapi.dll |
GET,HEAD,POST,DEBUG |
CONFIG=.config
|
C:\WINDOWS\Microsoft.NET\Framework\v1.1.4322\aspnet_isapi.dll |
GET,HEAD,POST,DEBUG |
CS=.cs
|
C:\WINDOWS\Microsoft.NET\Framework\v1.1.4322\aspnet_isapi.dll |
GET,HEAD,POST,DEBUG |
CSPROJ=.csproj
|
C:\WINDOWS\Microsoft.NET\Framework\v1.1.4322\aspnet_isapi.dll |
GET,HEAD,POST,DEBUG |
VB=.vb
|
C:\WINDOWS\Microsoft.NET\Framework\v1.1.4322\aspnet_isapi.dll |
GET,HEAD,POST,DEBUG |
VBPROJ=.vbproj
|
C:\WINDOWS\Microsoft.NET\Framework\v1.1.4322\aspnet_isapi.dll |
GET,HEAD,POST,DEBUG |
WEBINFO=.webinfo
|
C:\WINDOWS\Microsoft.NET\Framework\v1.1.4322\aspnet_isapi.dll |
GET,HEAD,POST,DEBUG |
LICX=.licx
|
C:\WINDOWS\Microsoft.NET\Framework\v1.1.4322\aspnet_isapi.dll |
GET,HEAD,POST,DEBUG |
RESX=.resx
|
C:\WINDOWS\Microsoft.NET\Framework\v1.1.4322\aspnet_isapi.dll |
GET,HEAD,POST,DEBUG |
RESOURCES=.resources
|
C:\WINDOWS\Microsoft.NET\Framework\v1.1.4322\aspnet_isapi.dll |
GET,HEAD,POST,DEBUG |
PHP=.php
|
C:\php5\php5isapi.dll |
GET,HEAD,POST |
PHP3=.php3
|
C:\php5\php5isapi.dll |
GET,HEAD,POST |
PHP4=.php4
|
C:\php5\php5isapi.dll |
GET,HEAD,POST |
MDB=.mdb
|
C:\WINDOWS\system32\inetsrv\ssinc.dll |
GET,POST |
ASP.NET 進程帳戶所需的 NTFS 權(quán)限
目錄 |
所需權(quán)限 |
Temporary ASP.NET Files%windir%\Microsoft.NET\Framework\{版本}Temporary ASP.NET Files
|
進程帳戶和模擬標識:
完全控制
|
臨時目錄 (%temp%)
|
進程帳戶
完全控制
|
.NET Framework 目錄%windir%\Microsoft.NET\Framework\{版本}
|
進程帳戶和模擬標識:
讀取和執(zhí)行
列出文件夾內(nèi)容
讀取
|
.NET Framework 配置目錄%windir%\Microsoft.NET\Framework\{版本}\CONFIG
|
進程帳戶和模擬標識:
讀取和執(zhí)行
列出文件夾內(nèi)容
讀取
|
網(wǎng)站根目錄
C:\inetpub\wwwroot
或默認網(wǎng)站指向的路徑
|
進程帳戶:
讀取
|
系統(tǒng)根目錄
%windir%\system32
|
進程帳戶:
讀取
|
全局程序集高速緩存
%windir%\assembly
|
進程帳戶和模擬標識:
讀取
|
內(nèi)容目錄
C:\inetpub\wwwroot\YourWebApp
(一般來說不用默認目錄,管理員可根據(jù)實際情況調(diào)整比如D:\wwwroot)
|
進程帳戶:
讀取和執(zhí)行
列出文件夾內(nèi)容
讀取
注意 對于 .NET Framework 1.0,直到文件系統(tǒng)根目錄的所有父目錄也都需要上述權(quán)限。父目錄包括:
C:\
C:\inetpub\
C:\inetpub\wwwroot\
|
如果有問題請聯(lián)系QQ: 473413
5、 服務(wù)器安全設(shè)置之--服務(wù)器安全和性能配置
把下面文本保存為: windows2000-2003服務(wù)器安全和性能注冊表自動配置文件.reg 運行即可。
|
|
功能:可抵御DDOS攻擊2-3萬包,提高服務(wù)器TCP-IP整體安全性能(效果等于軟件防火墻,節(jié)約了系統(tǒng)資源)
|
6、服務(wù)器安全設(shè)置之--IP安全策略 (僅僅列出需要屏蔽或阻止的端口或協(xié)議)
協(xié)議
|
IP協(xié)議端口
|
源地址
|
目標地址
|
描述
|
方式
|
ICMP |
-- |
-- |
-- |
ICMP
|
阻止
|
UDP
|
135
|
任何IP地址
|
我的IP地址
|
135-UDP
|
阻止
|
UDP
|
136
|
任何IP地址
|
我的IP地址
|
136-UDP
|
阻止
|
UDP
|
137
|
任何IP地址
|
我的IP地址
|
137-UDP
|
阻止
|
UDP
|
138
|
任何IP地址
|
我的IP地址
|
138-UDP
|
阻止
|
UDP
|
139
|
任何IP地址
|
我的IP地址
|
139-UDP
|
阻止
|
TCP
|
445
|
任何IP地址-從任意端口
|
我的IP地址-445
|
445-TCP
|
阻止
|
UDP
|
445 |
任何IP地址-從任意端口
|
我的IP地址-445
|
445-UDP
|
阻止
|
UDP |
69 |
任何IP地址-從任意端口 |
我的IP地址-69 |
69-入
|
阻止
|
UDP |
69 |
我的IP地址-69 |
任何IP地址-任意端口 |
69-出 |
阻止
|
TCP |
4444 |
任何IP地址-從任意端口 |
我的IP地址-4444 |
4444-TCP |
阻止
|
TCP |
1026 |
我的IP地址-1026 |
任何IP地址-任意端口 |
灰鴿子-1026 |
阻止
|
TCP |
1027 |
我的IP地址-1027 |
任何IP地址-任意端口 |
灰鴿子-1027 |
阻止
|
TCP |
1028 |
我的IP地址-1028 |
任何IP地址-任意端口 |
灰鴿子-1028 |
阻止
|
UDP
|
1026 |
我的IP地址-1026 |
任何IP地址-任意端口 |
灰鴿子-1026 |
阻止
|
UDP |
1027 |
我的IP地址-1027 |
任何IP地址-任意端口 |
灰鴿子-1027 |
阻止
|
UDP |
1028 |
我的IP地址-1028 |
任何IP地址-任意端口 |
灰鴿子-1028 |
阻止
|
TCP |
21 |
我的IP地址-從任意端口 |
任何IP地址-到21端口 |
阻止tftp出站 |
阻止
|
TCP |
99 |
我的IP地址-99 |
任何IP地址-任意端口 |
阻止99shell |
阻止
|
以上是IP安全策略里的設(shè)置,可以根據(jù)實際情況,增加或刪除端口,如果不會設(shè)置,可以加我QQ,有償協(xié)助。
7、服務(wù)器安全設(shè)置之--本地安全策略設(shè)置
安全策略自動更新命令:GPUpdate /force (應(yīng)用組策略自動生效不需重新啟動)
開始菜單—>管理工具—>本地安全策略
A、本地策略——>審核策略
審核策略更改 成功 失敗
審核登錄事件 成功 失敗
審核對象訪問 失敗
審核過程跟蹤 無審核
審核目錄服務(wù)訪問 失敗
審核特權(quán)使用 失敗
審核系統(tǒng)事件 成功 失敗
審核賬戶登錄事件 成功 失敗
審核賬戶管理 成功 失敗
B、本地策略——>用戶權(quán)限分配
關(guān)閉系統(tǒng):只有Administrators組、其它全部刪除。
通過終端服務(wù)拒絕登陸:加入Guests、(千萬不能加入User組,不然遠程無法登錄)
通過終端服務(wù)允許登陸:只加入Administrators組,其他全部刪除
C、本地策略——>安全選項
交互式登陸:不顯示上次的用戶名 啟用
網(wǎng)絡(luò)訪問:不允許SAM帳戶和共享的匿名枚舉 啟用
網(wǎng)絡(luò)訪問:不允許為網(wǎng)絡(luò)身份驗證儲存憑證 啟用
網(wǎng)絡(luò)訪問:可匿名訪問的共享 全部刪除
網(wǎng)絡(luò)訪問:可匿名訪問的命 全部刪除
網(wǎng)絡(luò)訪問:可遠程訪問的注冊表路徑 全部刪除
網(wǎng)絡(luò)訪問:可遠程訪問的注冊表路徑和子路徑 全部刪除
帳戶:重命名來賓帳戶 重命名一個帳戶
帳戶:重命名系統(tǒng)管理員帳戶 重命名一個帳戶
UI 中的設(shè)置名稱 |
企業(yè)客戶端臺式計算機 |
企業(yè)客戶端便攜式計算機 |
高安全級臺式計算機 |
高安全級便攜式計算機 |
帳戶: 使用空白密碼的本地帳戶只允許進行控制臺登錄
|
已啟用
|
已啟用
|
已啟用
|
已啟用
|
帳戶: 重命名系統(tǒng)管理員帳戶
|
推薦
|
推薦
|
推薦
|
推薦
|
帳戶: 重命名來賓帳戶
|
推薦
|
推薦
|
推薦
|
推薦
|
設(shè)備: 允許不登錄移除
|
已禁用
|
已啟用
|
已禁用
|
已禁用
|
設(shè)備: 允許格式化和彈出可移動媒體
|
Administrators, Interactive Users
|
Administrators, Interactive Users
|
Administrators
|
Administrators
|
設(shè)備: 防止用戶安裝打印機驅(qū)動程序
|
已啟用
|
已禁用
|
已啟用
|
已禁用
|
設(shè)備: 只有本地登錄的用戶才能訪問 CD-ROM
|
已禁用
|
已禁用
|
已啟用
|
已啟用
|
設(shè)備: 只有本地登錄的用戶才能訪問軟盤
|
已啟用
|
已啟用
|
已啟用
|
已啟用
|
設(shè)備: 未簽名驅(qū)動程序的安裝操作
|
允許安裝但發(fā)出警告
|
允許安裝但發(fā)出警告
|
禁止安裝
|
禁止安裝
|
域成員: 需要強 (Windows 2000 或以上版本) 會話密鑰
|
已啟用
|
已啟用
|
已啟用
|
已啟用
|
交互式登錄: 不顯示上次的用戶名
|
已啟用
|
已啟用
|
已啟用
|
已啟用
|
交互式登錄: 不需要按 CTRL+ALT+DEL
|
已禁用
|
已禁用
|
已禁用
|
已禁用
|
交互式登錄: 用戶試圖登錄時消息文字
|
此系統(tǒng)限制為僅授權(quán)用戶。嘗試進行未經(jīng)授權(quán)訪問的個人將受到起訴。
|
此系統(tǒng)限制為僅授權(quán)用戶。嘗試進行未經(jīng)授權(quán)訪問的個人將受到起訴。
|
此系統(tǒng)限制為僅授權(quán)用戶。嘗試進行未經(jīng)授權(quán)訪問的個人將受到起訴。
|
此系統(tǒng)限制為僅授權(quán)用戶。嘗試進行未經(jīng)授權(quán)訪問的個人將受到起訴。
|
交互式登錄: 用戶試圖登錄時消息標題
|
繼續(xù)在沒有適當授權(quán)的情況下使用是違法行為。
|
繼續(xù)在沒有適當授權(quán)的情況下使用是違法行為。
|
繼續(xù)在沒有適當授權(quán)的情況下使用是違法行為。
|
繼續(xù)在沒有適當授權(quán)的情況下使用是違法行為。
|
交互式登錄: 可被緩存的前次登錄個數(shù) (在域控制器不可用的情況下)
|
2
|
2
|
0
|
1
|
交互式登錄: 在密碼到期前提示用戶更改密碼
|
14 天
|
14 天
|
14 天
|
14 天
|
交互式登錄: 要求域控制器身份驗證以解鎖工作站
|
已禁用
|
已禁用
|
已啟用
|
已禁用
|
交互式登錄: 智能卡移除操作
|
鎖定工作站
|
鎖定工作站
|
鎖定工作站
|
鎖定工作站
|
Microsoft 網(wǎng)絡(luò)客戶: 數(shù)字簽名的通信(若服務(wù)器同意)
|
已啟用
|
已啟用
|
已啟用
|
已啟用
|
Microsoft 網(wǎng)絡(luò)客戶: 發(fā)送未加密的密碼到第三方 SMB 服務(wù)器。
|
已禁用
|
已禁用
|
已禁用
|
已禁用
|
Microsoft 網(wǎng)絡(luò)服務(wù)器: 在掛起會話之前所需的空閑時間
|
15 分鐘
|
15 分鐘
|
15 分鐘
|
15 分鐘
|
Microsoft 網(wǎng)絡(luò)服務(wù)器: 數(shù)字簽名的通信(總是)
|
已啟用
|
已啟用
|
已啟用
|
已啟用
|
Microsoft 網(wǎng)絡(luò)服務(wù)器: 數(shù)字簽名的通信(若客戶同意)
|
已啟用
|
已啟用
|
已啟用
|
已啟用
|
Microsoft 網(wǎng)絡(luò)服務(wù)器: 當?shù)卿洉r間用完時自動注銷用戶
|
已啟用
|
已禁用
|
已啟用
|
已禁用
|
網(wǎng)絡(luò)訪問: 允許匿名 SID/名稱 轉(zhuǎn)換
|
已禁用
|
已禁用
|
已禁用
|
已禁用
|
網(wǎng)絡(luò)訪問: 不允許 SAM 帳戶和共享的匿名枚舉
|
已啟用
|
已啟用
|
已啟用
|
已啟用
|
網(wǎng)絡(luò)訪問: 不允許 SAM 帳戶和共享的匿名枚舉
|
已啟用
|
已啟用
|
已啟用
|
已啟用
|
網(wǎng)絡(luò)訪問: 不允許為網(wǎng)絡(luò)身份驗證儲存憑據(jù)或 .NET Passports
|
已啟用
|
已啟用
|
已啟用
|
已啟用
|
網(wǎng)絡(luò)訪問: 限制匿名訪問命名管道和共享
|
已啟用
|
已啟用
|
已啟用
|
已啟用
|
網(wǎng)絡(luò)訪問: 本地帳戶的共享和安全模式
|
經(jīng)典 - 本地用戶以自己的身份驗證
|
經(jīng)典 - 本地用戶以自己的身份驗證
|
經(jīng)典 - 本地用戶以自己的身份驗證
|
經(jīng)典 - 本地用戶以自己的身份驗證
|
網(wǎng)絡(luò)安全: 不要在下次更改密碼時存儲 LAN Manager 的哈希值
|
已啟用
|
已啟用
|
已啟用
|
已啟用
|
網(wǎng)絡(luò)安全: 在超過登錄時間后強制注銷
|
已啟用
|
已禁用
|
已啟用
|
已禁用
|
網(wǎng)絡(luò)安全: LAN Manager 身份驗證級別
|
僅發(fā)送 NTLMv2 響應(yīng)
|
僅發(fā)送 NTLMv2 響應(yīng)
|
僅發(fā)送 NTLMv2 響應(yīng)\拒絕 LM & NTLM
|
僅發(fā)送 NTLMv2 響應(yīng)\拒絕 LM & NTLM
|
網(wǎng)絡(luò)安全: 基于 NTLM SSP(包括安全 RPC)客戶的最小會話安全
|
沒有最小
|
沒有最小
|
要求 NTLMv2 會話安全 要求 128-位加密
|
要求 NTLMv2 會話安全 要求 128-位加密
|
網(wǎng)絡(luò)安全: 基于 NTLM SSP(包括安全 RPC)服務(wù)器的最小會話安全
|
沒有最小
|
沒有最小
|
要求 NTLMv2 會話安全 要求 128-位加密
|
要求 NTLMv2 會話安全 要求 128-位加密
|
故障恢復(fù)控制臺: 允許自動系統(tǒng)管理級登錄
|
已禁用
|
已禁用
|
已禁用
|
已禁用
|
故障恢復(fù)控制臺: 允許對所有驅(qū)動器和文件夾進行軟盤復(fù)制和訪問
|
已啟用
|
已啟用
|
已禁用
|
已禁用
|
關(guān)機: 允許在未登錄前關(guān)機
|
已禁用
|
已禁用
|
已禁用
|
已禁用
|
關(guān)機: 清理虛擬內(nèi)存頁面文件
|
已禁用
|
已禁用
|
已啟用
|
已啟用
|
系統(tǒng)加密: 使用 FIPS 兼容的算法來加密,哈希和簽名
|
已禁用
|
已禁用
|
已禁用
|
已禁用
|
系統(tǒng)對象: 由管理員 (Administrators) 組成員所創(chuàng)建的對象默認所有者
|
對象創(chuàng)建者
|
對象創(chuàng)建者
|
對象創(chuàng)建者
|
對象創(chuàng)建者
|
系統(tǒng)設(shè)置: 為軟件限制策略對 Windows 可執(zhí)行文件使用證書規(guī)則
|
已禁用
|
已禁用
|
已禁用
|
已禁用
|
8、防御PHP木馬攻擊的技巧
|
PHP本身再老版本有一些問題,比如在 php4.3.10和php5.0.3以前有一些比較嚴重的bug,所以推薦使用新版。另外,目前鬧的轟轟烈烈的SQL Injection也是在PHP上有很多利用方式,所以要保證
安全,PHP代碼編寫是一方面,PHP的配置更是非常關(guān)鍵。
我們php手手工安裝的,php的默認配置文件在 /usr/local/apache2/conf/php.ini,我們最主要就是要配置php.ini中的內(nèi)容,讓我們執(zhí)行 php能夠更安全。整個PHP中的安全設(shè)置主要是為了防止phpshell和SQL Injection的攻擊,一下我們慢慢探討。我們先使用任何編輯工具打開 /etc/local/apache2/conf/php.ini,如果你是采用其他方式安裝,配置文件可能不在該目錄。
(1) 打開php的安全模式
php的安全模式是個非常重要的內(nèi)嵌的安全機制,能夠控制一些php中的函數(shù),比如system(),
同時把很多文件操作函數(shù)進行了權(quán)限控制,也不允許對某些關(guān)鍵文件的文件,比如/etc/passwd,
但是默認的php.ini是沒有打開安全模式的,我們把它打開:
safe_mode = on
(2) 用戶組安全
當safe_mode打開時,safe_mode_gid被關(guān)閉,那么php腳本能夠?qū)ξ募M行訪問,而且相同
組的用戶也能夠?qū)ξ募M行訪問。
建議設(shè)置為:
safe_mode_gid = off
如果不進行設(shè)置,可能我們無法對我們服務(wù)器網(wǎng)站目錄下的文件進行操作了,比如我們需要
對文件進行操作的時候。
(3) 安全模式下執(zhí)行程序主目錄
如果安全模式打開了,但是卻是要執(zhí)行某些程序的時候,可以指定要執(zhí)行程序的主目錄:
safe_mode_exec_dir = D:/usr/bin
一般情況下是不需要執(zhí)行什么程序的,所以推薦不要執(zhí)行系統(tǒng)程序目錄,可以指向一個目錄,
然后把需要執(zhí)行的程序拷貝過去,比如:
safe_mode_exec_dir = D:/tmp/cmd
但是,我更推薦不要執(zhí)行任何程序,那么就可以指向我們網(wǎng)頁目錄:
safe_mode_exec_dir = D:/usr/www
(4) 安全模式下包含文件
如果要在安全模式下包含某些公共文件,那么就修改一下選項:
safe_mode_include_dir = D:/usr/www/include/
其實一般php腳本中包含文件都是在程序自己已經(jīng)寫好了,這個可以根據(jù)具體需要設(shè)置。
(5) 控制php腳本能訪問的目錄
使用open_basedir選項能夠控制PHP腳本只能訪問指定的目錄,這樣能夠避免PHP腳本訪問
不應(yīng)該訪問的文件,一定程度上限制了phpshell的危害,我們一般可以設(shè)置為只能訪問網(wǎng)站目錄:
open_basedir = D:/usr/www
(6) 關(guān)閉危險函數(shù)
如果打開了安全模式,那么函數(shù)禁止是可以不需要的,但是我們?yōu)榱税踩€是考慮進去。比如,
我們覺得不希望執(zhí)行包括system()等在那的能夠執(zhí)行命令的php函數(shù),或者能夠查看php信息的
phpinfo()等函數(shù),那么我們就可以禁止它們:
disable_functions = system,passthru,exec,shell_exec,popen,phpinfo
如果你要禁止任何文件和目錄的操作,那么可以關(guān)閉很多文件操作
disable_functions = chdir,chroot,dir,getcwd,opendir,readdir,scandir,fopen,unlink,delete,copy,mkdir, rmdir,rename,file,file_get_contents,fputs,fwrite,chgrp,chmod,chown
以上只是列了部分不叫常用的文件處理函數(shù),你也可以把上面執(zhí)行命令函數(shù)和這個函數(shù)結(jié)合,
就能夠抵制大部分的phpshell了。
(7) 關(guān)閉PHP版本信息在http頭中的泄漏
我們?yōu)榱朔乐购诳瞳@取服務(wù)器中php版本的信息,可以關(guān)閉該信息斜路在http頭中:
expose_php = Off
比如黑客在 telnet www.12345.com 80 的時候,那么將無法看到PHP的信息。
(8) 關(guān)閉注冊全局變量
在PHP中提交的變量,包括使用POST或者GET提交的變量,都將自動注冊為全局變量,能夠直接訪問,
這是對服務(wù)器非常不安全的,所以我們不能讓它注冊為全局變量,就把注冊全局變量選項關(guān)閉:
register_globals = Off
當然,如果這樣設(shè)置了,那么獲取對應(yīng)變量的時候就要采用合理方式,比如獲取GET提交的變量var,
那么就要用$_GET['var']來進行獲取,這個php程序員要注意。
(9) 打開magic_quotes_gpc來防止SQL注入
SQL注入是非常危險的問題,小則網(wǎng)站后臺被入侵,重則整個服務(wù)器淪陷,
所以一定要小心。php.ini中有一個設(shè)置:
magic_quotes_gpc = Off
這個默認是關(guān)閉的,如果它打開后將自動把用戶提交對sql的查詢進行轉(zhuǎn)換,
比如把 ' 轉(zhuǎn)為 \'等,這對防止sql注射有重大作用。所以我們推薦設(shè)置為:
magic_quotes_gpc = On
(10) 錯誤信息控制
一般php在沒有連接到數(shù)據(jù)庫或者其他情況下會有提示錯誤,一般錯誤信息中會包含php腳本當
前的路徑信息或者查詢的SQL語句等信息,這類信息提供給黑客后,是不安全的,所以一般服務(wù)器建議禁止錯誤提示:
display_errors = Off
如果你卻是是要顯示錯誤信息,一定要設(shè)置顯示錯誤的級別,比如只顯示警告以上的信息:
error_reporting = E_WARNING & E_ERROR
當然,我還是建議關(guān)閉錯誤提示。
(11) 錯誤日志
建議在關(guān)閉display_errors后能夠把錯誤信息記錄下來,便于查找服務(wù)器運行的原因:
log_errors = On
同時也要設(shè)置錯誤日志存放的目錄,建議根apache的日志存在一起:
error_log = D:/usr/local/apache2/logs/php_error.log
注意:給文件必須允許apache用戶的和組具有寫的權(quán)限。
MYSQL的降權(quán)運行
新建立一個用戶比如mysqlstart
net user mysqlstart fuckmicrosoft /add
net localgroup users mysqlstart /del
不屬于任何組
如果MYSQL裝在d:\mysql ,那么,給 mysqlstart 完全控制 的權(quán)限
然后在系統(tǒng)服務(wù)中設(shè)置,MYSQL的服務(wù)屬性,在登錄屬性當中,選擇此用戶 mysqlstart 然后輸入密碼,確定。
重新啟動 MYSQL服務(wù),然后MYSQL就運行在低權(quán)限下了。
如果是在windos平臺下搭建的apache我們還需要注意一點,apache默認運行是system權(quán)限,
這很恐怖,這讓人感覺很不爽.那我們就給apache降降權(quán)限吧。
net user apache fuckmicrosoft /add
net localgroup users apache /del
ok.我們建立了一個不屬于任何組的用戶apche。
我們打開計算機管理器,選服務(wù),點apache服務(wù)的屬性,我們選擇log on,選擇this account,我們填入上面所建立的賬戶和密碼,
重啟apache服務(wù),ok,apache運行在低權(quán)限下了。
實際上我們還可以通過設(shè)置各個文件夾的權(quán)限,來讓apache用戶只能執(zhí)行我們想讓它能干的事情,給每一個目錄建立一個單獨能讀寫的用戶。
這也是當前很多虛擬主機提供商的流行配置方法哦,不過這種方法用于防止這里就顯的有點大材小用了。
|
有問題可以和我QQ聯(lián)系:473413
|
9、MSSQL安全設(shè)置
sql2000安全很重要
|
將有安全問題的SQL過程刪除.比較全面.一切為了安全!
刪除了調(diào)用shell,注冊表,COM組件的破壞權(quán)限
use master
EXEC sp_dropextendedproc 'xp_cmdshell'
EXEC sp_dropextendedproc 'Sp_OACreate'
EXEC sp_dropextendedproc 'Sp_OADestroy'
EXEC sp_dropextendedproc 'Sp_OAGetErrorInfo'
EXEC sp_dropextendedproc 'Sp_OAGetProperty'
EXEC sp_dropextendedproc 'Sp_OAMethod'
EXEC sp_dropextendedproc 'Sp_OASetProperty'
EXEC sp_dropextendedproc 'Sp_OAStop'
EXEC sp_dropextendedproc 'Xp_regaddmultistring'
EXEC sp_dropextendedproc 'Xp_regdeletekey'
EXEC sp_dropextendedproc 'Xp_regdeletevalue'
EXEC sp_dropextendedproc 'Xp_regenumvalues'
EXEC sp_dropextendedproc 'Xp_regread'
EXEC sp_dropextendedproc 'Xp_regremovemultistring'
EXEC sp_dropextendedproc 'Xp_regwrite'
drop procedure sp_makewebtask
全部復(fù)制到"SQL查詢分析器"
點擊菜單上的--"查詢"--"執(zhí)行",就會將有安全問題的SQL過程刪除(以上是7i24的正版用戶的技術(shù)支持)
更改默認SA空密碼.數(shù)據(jù)庫鏈接不要使用SA帳戶.單數(shù)據(jù)庫單獨設(shè)使用帳戶.只給public和db_owner權(quán)限.
數(shù)據(jù)庫不要放在默認的位置.
SQL不要安裝在PROGRAM FILE目錄下面.
最近的SQL2000補丁是SP4
|
有問題可以和我QQ聯(lián)系:473413
|
10、啟用WINDOWS自帶的防火墻
啟用win防火墻
|
桌面—>網(wǎng)上鄰居—>(右鍵)屬性—>本地連接—>(右鍵)屬性—>高級—>
(選中)Internet 連接防火墻—>設(shè)置
把服務(wù)器上面要用到的服務(wù)端口選中
例如:一臺WEB服務(wù)器,要提供WEB(80)、FTP(21)服務(wù)及遠程桌面管理(3389)
在“FTP 服務(wù)器”、“WEB服務(wù)器(HTTP)”、“遠程桌面”、“安全WEB服務(wù)器”前面打上對號
如果你要提供服務(wù)的端口不在里面,你也可以點擊“添加”銨鈕來添加,SMTP和POP3根據(jù)需要打開
具體參數(shù)可以參照系統(tǒng)里面原有的參數(shù)。
然后點擊確定。注意:如果是遠程管理這臺服務(wù)器,請先確定遠程管理的端口是否選中或添加。
一般需要打開的端口有:21、 25、 80、 110、 443、 3389、 等,根據(jù)需要開放需要的端口。
|
有問題可以和我QQ聯(lián)系:473413
|
11、用戶安全設(shè)置
用戶安全設(shè)置
|
用戶安全設(shè)置
1、禁用Guest賬號
在計算機管理的用戶里面把Guest賬號禁用。為了保險起見,最好給Guest加一個復(fù)雜的密碼。你可以打開記事本,在里面輸入一串包含特殊字符、數(shù)字、字母的長字符串,然后把它作為Guest用戶的密碼拷進去。
2、限制不必要的用戶
去掉所有的Duplicate User用戶、測試用戶、共享用戶等等。用戶組策略設(shè)置相應(yīng)權(quán)限,并且經(jīng)常檢查系統(tǒng)的用戶,刪除已經(jīng)不再使用的用戶。這些用戶很多時候都是黑客們?nèi)肭窒到y(tǒng)的突破口。
3、創(chuàng)建兩個管理員賬號
創(chuàng)建一個一般權(quán)限用戶用來收信以及處理一些日常事物,另一個擁有Administrators 權(quán)限的用戶只在需要的時候使用。
4、把系統(tǒng)Administrator賬號改名
大家都知道,Windows 2000 的Administrator用戶是不能被停用的,這意味著別人可以一遍又一遍地嘗試這個用戶的密碼。盡量把它偽裝成普通用戶,比如改成Guesycludx。
5、創(chuàng)建一個陷阱用戶
什么是陷阱用戶?即創(chuàng)建一個名為“Administrator”的本地用戶,把它的權(quán)限設(shè)置成最低,什么事也干不了的那種,并且加上一個超過10位的超級復(fù)雜密碼。這樣可以讓那些 Hacker們忙上一段時間,借此發(fā)現(xiàn)它們的入侵企圖。
6、把共享文件的權(quán)限從Everyone組改成授權(quán)用戶
任何時候都不要把共享文件的用戶設(shè)置成“Everyone”組,包括打印共享,默認的屬性就是“Everyone”組的,一定不要忘了改。
7、開啟用戶策略
使用用戶策略,分別設(shè)置復(fù)位用戶鎖定計數(shù)器時間為20分鐘,用戶鎖定時間為20分鐘,用戶鎖定閾值為3次。
8、不讓系統(tǒng)顯示上次登錄的用戶名
默認情況下,登錄對話框中會顯示上次登錄的用戶名。這使得別人可以很容易地得到系統(tǒng)的一些用戶名,進而做密碼猜測。修改注冊表可以不讓對話框里顯示上次登錄的用戶名。方法為:打開注冊表編輯器并找到注冊表項“HKLMSoftwareMicrosoftWindows TCurrentVersionWinlogonDo, nt-DisplayLastUserName”,把REG_SZ的鍵值改成1。
密碼安全設(shè)置
1、使用安全密碼
一些公司的管理員創(chuàng)建賬號的時候往往用公司名、計算機名做用戶名,然后又把這些用戶的密碼設(shè)置得太簡單,比如“welcome”等等。因此,要注意密碼的復(fù)雜性,還要記住經(jīng)常改密碼。
2、設(shè)置屏幕保護密碼
這是一個很簡單也很有必要的操作。設(shè)置屏幕保護密碼也是防止內(nèi)部人員破壞服務(wù)器的一個屏障。
3、開啟密碼策略
注意應(yīng)用密碼策略,如啟用密碼復(fù)雜性要求,設(shè)置密碼長度最小值為6位 ,設(shè)置強制密碼歷史為5次,時間為42天。
4、考慮使用智能卡來代替密碼
對于密碼,總是使安全管理員進退兩難,密碼設(shè)置簡單容易受到黑客的攻擊,密碼設(shè)置復(fù)雜又容易忘記。如果條件允許,用智能卡來代替復(fù)雜的密碼是一個很好的解決方法。
|
有問題可以和我QQ聯(lián)系:473413
|
12、Windows2003 下安裝 WinWebMail 3.6.3.1 完全攻略手冊
這段時間論壇上有朋友提及無法在WINDOWS2003+IIS6下面建立WINWEBMAIL郵件,遇到不一些問題,特意將這篇舊文重新發(fā)一次給大家
1)查看硬盤:兩塊9.1G SCSI 硬盤(實容量8.46*2)
2)分區(qū)
系統(tǒng)分區(qū)X盤7.49G
WEB 分區(qū)X盤1.0G
郵件分區(qū)X盤8.46G(帶1000個100M的郵箱足夠了)
3)安裝WINDOWS SERVER 2003
4)打基本補丁(防毒)...在這之前一定不要接網(wǎng)線!
5)在線打補丁
6)卸載或禁用微軟的SMTP服務(wù)(Simple Mail Transpor Protocol),否則會發(fā)生端口沖突
7)安裝WinWebMail,然后重啟服務(wù)器使WinWebMail完成安裝.并注冊.然后恢復(fù)WinWebMail數(shù)據(jù).
8)安裝Norton 8.0并按WinWebMail幫助內(nèi)容設(shè)定,使Norton與WinWebMail聯(lián)合起到郵件殺毒作用(將Norton更新到最新的病毒庫)
8.1 啟用Norton的實時防護功能
8.2 必須要設(shè)置對于宏病毒和非宏病毒的第1步操作都必須是刪除被感染文件,并且必須關(guān)閉警告提示??!
8.3 必須要在查毒設(shè)置中排除掉安裝目錄下的 \mail 及其所有子目錄,只針對WinWebMail安裝文件夾下的 \temp 文件夾進行實時查毒。注意:如果沒有 \temp 文件夾時,先手工創(chuàng)建此 \temp 文件夾,然后再進行此項設(shè)置。
9)將WinWebMail的DNS設(shè)置為win2k3中網(wǎng)絡(luò)設(shè)置的DNS,切記,要想發(fā)的出去最好設(shè)置一個不同的備用DNS地址,對外發(fā)信的就全靠這些DNS地址了
10)給予安裝 WinWebMail 的盤符以及父目錄以 Internet 來賓帳戶 (IUSR_*) 允許 [讀取\運行\(zhòng)列出文件夾目錄] 的權(quán)限.
WinWebMail的安裝目錄,INTERNET訪問帳號完全控制
給予[超級用戶/SYSTEM]在安裝盤和目錄中[完全控制]權(quán)限,重啟IIS以保證設(shè)定生效.
11)防止外發(fā)垃圾郵件:
11.1 在服務(wù)器上點擊右下角圖標,然后在彈出菜單的“系統(tǒng)設(shè)置”-->“收發(fā)規(guī)則”中選中“啟用SMTP發(fā)信認證功能”項,有效的防范外發(fā)垃圾郵件。
11.2 在“系統(tǒng)設(shè)置”-->“收發(fā)規(guī)則”中選中“只允許系統(tǒng)內(nèi)用戶對外發(fā)信”項。
11.3 在服務(wù)器上點擊右下角圖標,然后在彈出菜單的“系統(tǒng)設(shè)置”-->“防護”頁選中“啟用外發(fā)垃圾郵件自動過濾功能”項,然后再啟用其設(shè)置中的“允許自動調(diào)整”項。
11.4 “系統(tǒng)設(shè)置”-->“收發(fā)規(guī)則”中設(shè)置“最大收件人數(shù)”-----> 10.
11.5 “系統(tǒng)設(shè)置”-->“防護”頁選中“啟用連接攻擊保護功能”項,然后再設(shè)置“啟用自動保護功能”.
11.6 用戶級防付垃圾郵件,需登錄WebMail,在“選項 | 防垃圾郵件”中進行設(shè)置。
12)打開IIS 6.0, 確認啟用支持 asp 功能, 然后在默認站點下建一個虛擬目錄(如: mail), 然后指向安裝 WinWebMail 目錄下的 \Web 子目錄, 打開瀏覽器就可以按下面的地址訪問webmail了:
http://<;;你的IP或域名>/mail/什么? 嫌麻煩不想建? 那可要錯過WinWebMail強大的webmail功能了, 3分鐘的設(shè)置保證物超所值 :)
13)Web基本設(shè)置:
13.1 確認“系統(tǒng)設(shè)置”-->“資源使用設(shè)置”內(nèi)沒有選中“公開申請的是含域名帳號”
13.2 “系統(tǒng)設(shè)置”-->“收發(fā)規(guī)則”中設(shè)置Helo為您域名的MX記錄
13.3.解決SERVER 2003不能上傳大附件的問題:
13.3.1 在服務(wù)里關(guān)閉 iis admin service 服務(wù)。
13.3.2 找到 windows\system32\inetsrv\ 下的 metabase.xml 文件。
13.3.3 用純文本方式打開,找到 ASPMaxRequestEntityAllowed 把它修改為需要的值(可修改為10M即:10240000),默認為:204800,即:200K。
13.3.4 存盤,然后重啟 iis admin service 服務(wù)。
13.4.解決SERVER 2003無法下載超過4M的附件的問題
13.4.1 先在服務(wù)里關(guān)閉 iis admin service 服務(wù)。
13.4.2 找到 windows\system32\inetsrv\ 下的 metabase.xml 文件。
13.4.3 用純文本方式打開,找到 AspBufferingLimit 把它修改為需要的值(可修改為20M即:20480000)。
13.4.4 存盤,然后重啟 iis admin service 服務(wù)。
13.5.解決大附件上傳容易超時失敗的問題.
在IIS中調(diào)大一些腳本超時時間,操作方法是: 在IIS的“站點或(虛擬目錄)”的“主目錄”下點擊“配置”按鈕,設(shè)置腳本超時間為:300秒(注意:不是Session超時時間)。
13.6.解決Windows 2003的IIS 6.0中,Web登錄時經(jīng)常出現(xiàn)"[超時,請重試]"的提示.
將WebMail所使用的應(yīng)用程序池“屬性-->回收”中的“回收工作進程”以及"屬性-->性能"中的“在空閑此段時間后關(guān)閉工作進程”這兩個選項前的勾號去掉,然后重啟一下IIS即可解決.
13.7.解決通過WebMail寫信時間較長后,按下發(fā)信按鈕就會回到系統(tǒng)登錄界面的問題.
適當增加會話時間(Session)為 60分鐘。在IIS站點或虛擬目錄屬性的“主目錄”下點擊[配置---選項],就可以進行設(shè)置了(SERVER 2003默認為20分鐘).
13.8.安裝后查看WinWebMail的安裝目錄下有沒有 \temp 目錄,如沒有,手工建立一個.
14)做郵件收發(fā)及10M附件測試(內(nèi)對外,內(nèi)對內(nèi),外對內(nèi)).
15)打開2003自帶防火墻,并打開POP3.SMTP.WEB.遠程桌面.充許此4項服務(wù), OK, 如果想用IMAP4或SSL的SMTP.POP3.IMAP4也需要打開相應(yīng)的端口.
16)再次做郵件收發(fā)測試(內(nèi)對外,內(nèi)對內(nèi),外對內(nèi)).
17)改名、加強壯口令,并禁用GUEST帳號。
18)改名超級用戶、建立假administrator、建立第二個超級用戶。
都搞定了!忙了半天, 現(xiàn)在終于可以來享受一把 WinWebMail 的超強 webmail 功能了, let's go!
|
13、IIS+PHP+MySQL+Zend Optimizer+GD庫+phpMyAdmin安裝配置[完整修正實用版] 轉(zhuǎn)來的,非原創(chuàng)
IIS+PHP+MySQL+Zend Optimizer+GD庫+phpMyAdmin安裝配置[完整修正實用版]
|
IIS+PHP+MySQL+Zend Optimizer+GD庫+phpMyAdmin安裝配置[完整修正實用版]
[補充]關(guān)于參照本貼配置這使用中使用的相關(guān)問題請參考
關(guān)于WIN主機下配置PHP的若干問題解決方案總結(jié)這個帖子盡量自行解決,謝謝
http://bbs.xqin.com/viewthread.php?tid=86
一、軟件準備:以下均為截止2006-1-20的最新正式版本,下載地址也均長期有效
1.PHP,推薦PHP4.4.0的ZIP解壓版本:
PHP(4.4.0):http://cn.php.net/get/php-4.4.0-Win32.zip/from/a/mirror
PHP(5.1.2):http://cn.php.net/get/php-5.1.2-Win32.zip/from/a/mirror
2.MySQL,配合PHP4推薦MySQL4.0.26的WIN系統(tǒng)安裝版本:
MySQL(4.0.26):http://download.discuz.net/mysql-4.0.26-win32.zip
MySQL(4.1.16):http://www.skycn.com/soft/24418.html
MySQL(5.0.18):http://download.discuz.net/mysql-4.0.26-win32.zip
3.Zend Optimizer,當然選擇當前最新版本拉:
Zend Optimizer(2.6.2):http://www.zend.com/store/free_download.php?pid=13
(Zend軟件雖然免費下載,但需要注冊用戶,這里提供注冊好的帳戶名:xqincom和密碼:xqin.com,方便大家使用,請不要修改本帳號或?qū)⒈編粲糜谄渌M正當途徑,謝謝?。?br />
登陸后選擇Windows x86的Platform版本,如最新版本2.6.2 https://www.zend.com/store/getfreefile.php?pid=13&zbid=995
4.phpMyAdmin
當然同樣選擇當前最新版本拉,注意選擇for Windows 的版本哦:
phpMyAdmin(2.8.0.3):http://www.crsky.com/soft/4190.html
假設(shè) C:\ 為你現(xiàn)在所使用操作系統(tǒng)的系統(tǒng)盤,如果你目前操作系統(tǒng)不是安裝在 C:\ ,請自行對應(yīng)修改相應(yīng)路徑。同時由于C盤經(jīng)常會因為各種原因重裝系統(tǒng),數(shù)據(jù)放在該盤不易備份和轉(zhuǎn)移 選擇安裝目錄,故本文將所有PHP相關(guān)軟件均安裝到D:\php目錄下,這個路徑你可以自行設(shè)定,如果你安裝到不同目錄涉及到路徑的請對應(yīng)修改以下的對應(yīng)路徑即可
二、安裝 PHP :本文PHP安裝路徑取為D:\php\php4\(為避混淆,PHP5.1.x版本安裝路徑取為D:\php\php5\)
(1)、下載后得到 php-4.4.0-Win32.zip ,解壓至D:\php目錄,將得到二級目錄php-4.4.0-Win32,改名為 php4,
也即得到PHP文件存放目錄D:\php\php4\
[如果是PHP5.1.2,得到的文件是php-5.1.2-Win32.zip,直接全部接壓至D:\php\php5目錄即可得PHP文件存放目錄D:\php\php5\];
(2)、再將D:\php\php4目錄和D:\php\php4\dlls目錄
[PHP5為D:\php\php5\]下的所有dll文件 copy 到 c:\Windows\system32 (win2000系統(tǒng)為 c:/winnt/system32/)下,覆蓋已有的dll文件;
(3)、將php.ini-dist用記事本打開,利用記事本的查找功能搜索并修改:
搜索 register_globals = Off
將 Off 改成 On ,即得到 register_globals = On
注:這個對應(yīng)PHP的全局變量功能,考慮有很多PHP程序需要全局變量功能故打開,打開后請注意-PHP程序的嚴謹性,如果不需要推薦不修改保持默認Off狀態(tài)
搜索 extension_dir =
這個是PHP擴展功能目錄 并將其路徑指到你的 PHP 目錄下的 extensions 目錄,比如:
修改 extension_dir = "./" 為 extension_dir = "D:/php/php4/extensions/"
[PHP5對應(yīng)修改為 extension_dir = "D:/php/php5/ext/" ]
在D:\php 下建立文件夾并命名為 tmp
查找 upload_tmp_dir =
將 ;upload_tmp_dir 該行的注釋符,即前面的分號" ;”去掉,
使該行在php.ini文檔中起作用。upload_tmp_dir是用來定義上傳文件存放的臨時路徑,在這里你還可以修改并給其定義一個絕對路徑,這里設(shè)置的目錄必須有讀寫權(quán)限。
這里我設(shè)置為 upload_tmp_dir = D:/php/tmp (即前面建立的這個文件夾呵)
搜索 ; Windows Extensions
將下面一些常用的項前面的 ; 去掉 ,紅色的必須,藍色的供選擇
;extension=php_mbstring.dll
這個必須要
;extension=php_curl.dll
;extension=php_dbase.dll
;extension=php_gd2.dll
這個是用來支持GD庫的,一般需要,必選
;extension=php_ldap.dll
;extension=php_zip.dll
對于PHP5的版本還需要查找
;extension=php_mysql.dll
并同樣去掉前面的";"
這個是用來支持MYSQL的,由于PHP5將MySQL作為一個獨立的模塊來加載運行的,故要支持MYSQL必選
查找 ;session.save_path =
去掉前面 ; 號,本文這里將其設(shè)置置為
session.save_path = D:/php/tmp
其他的你可以選擇需要的去掉前面的;
然后將該文件另存為為 php.ini 到 C:\Windows ( Windows 2000 下為 C:\WINNT)目錄下,注意更改文件后綴名為ini,
得到 C:\Windows\php.ini ( Windows 2000 下為 C:\WINNT\php.ini)
若路徑等和本文相同可直接保存到C:\Windows ( Windows 2000 下為 C:\WINNT) 目錄下 使用
一些朋友經(jīng)常反映無法上傳較大的文件或者運行某些程序經(jīng)常超時,那么可以找到C:\Windows ( Windows 2000 下為 C:\WINNT)目錄下的PHP.INI以下內(nèi)容修改:
max_execution_time = 30 ; 這個是每個腳本運行的最長時間,可以自己修改加長,單位秒
max_input_time = 60 ; 這是每個腳本可以消耗的時間,單位也是秒
memory_limit = 8M ; 這個是腳本運行最大消耗的內(nèi)存,也可以自己加大
upload_max_filesize = 2M ; 上載文件的最大許可大小 ,自己改吧,一些圖片論壇需要這個更大的值
(4)、配置 IIS 使其支持 PHP :
首先必須確定系統(tǒng)中已經(jīng)正確安裝 IIS ,如果沒有安裝,需要先安裝 IIS ,安裝步驟如下:
Windows 2000/XP 下的 IIS 安裝:
用 Administrator 帳號登陸系統(tǒng),將 Windows 2000 安裝光盤插入光盤驅(qū)動器,進入“控制面板”點擊“添加/刪除程序”,再點擊左側(cè)的“添加/刪除 Windows 組件”,在彈出的窗口中選擇“Internet 信息服務(wù)(IIS)”,點下面的“詳細信息”按鈕,選擇組件,以下組件是必須的:“Internet 服務(wù)管理器”、“World Wide Web 服務(wù)器”和“公用文件”,確定安裝。
安裝完畢后,在“控制面板”的“管理工具”里打開“服務(wù)”,檢查“IIS Admin Service”和“World Wide Web Publishing Service”兩項服務(wù),如果沒有啟動,將其啟動即可。
Windows 2003 下的 IIS 安裝:
由于 Windows 2003 的 IIS 6.0 集成在應(yīng)用程序服務(wù)器中,因此安裝應(yīng)用程序服務(wù)器就會默認安裝 IIS 6.0 ,在“開始”菜單中點擊“配置您的服務(wù)器”,在打開的“配置您的服務(wù)器向?qū)?rdquo;里左側(cè)選擇“應(yīng)用程序服務(wù)器(IIS,ASP.NET)”,單擊“下一步”出現(xiàn)“應(yīng)用程序服務(wù)器選項”,你可以選擇和應(yīng)用程序服務(wù)器一起安裝的組件,默認全選即可,單擊“下一步”,出現(xiàn)“選擇總結(jié)界面”,提示了本次安裝中的選項,配置程序?qū)⒆詣影凑?ldquo;選擇總結(jié)”中的選項進行安裝和配置。
打開瀏覽器,輸入:http://localhost/,看到成功頁面后進行下面的操作:
PHP 支持 CGI 和 ISAPI 兩種安裝模式,CGI 更消耗資源,容易因為超時而沒有反映,但是實際上比較安全,負載能力強,節(jié)省資源,但是安全性略差于CGI,本人推薦使用 ISAPI 模式。故這里只解介紹 ISAPI 模式安裝方法:(以下的截圖因各個系統(tǒng)不同,窗口界面可能不同,但對應(yīng)選項卡欄目是相同的,只需找到提到的對應(yīng)選項卡即可)
在“控制面板”的“管理工具”中選擇“Internet 服務(wù)管理器”,打開 IIS 后停止服務(wù),對于WIN2000系統(tǒng)在”Internet 服務(wù)管理器“的下級樹一般為你的”計算機名“上單擊右鍵選擇“屬性”,再在屬性頁面選擇主屬性”WWW 服務(wù)“右邊的”編輯“
對于XP/2003系統(tǒng)展開”Internet 服務(wù)管理器“的下級樹一般為你的”計算機名“選擇”網(wǎng)站“并單擊右鍵選擇“屬性”
在彈出的屬性窗口上選擇“ISAPI 篩選器”選項卡找到并點擊“添加”按鈕,在彈出的“篩選器屬性”窗口中的“篩選器名稱”欄中輸入:
PHP ,再將瀏覽可執(zhí)行文件使路徑指向 php4isapi.dll 所在路徑,
如本文中為:D:\php\php4\sapi\php4isapi.dll
[PHP5對應(yīng)路徑為 D:\php\php5\php5isapi.dll]
打開“站點屬性”窗口的“主目錄”選項卡,找到并點擊“配置”按鈕
在彈出的“應(yīng)用程序配置”窗口中的”應(yīng)用程序映射“選項卡找到并點擊“添加”按鈕新增一個擴展名映射,在彈出的窗口中單擊“瀏覽”將可執(zhí)行文件指向 php4isapi.dll 所在路徑,如本文中為:D:\php\php4\sapi\php4isapi.dll[PHP5對應(yīng)路徑為D:\php\php5\php5isapi.dll],擴展名為 .php ,動作限于”GET,HEAD,POST,TRACE“,將“腳本引擎”“確認文件是否存在”選中,然后一路確定即可。如果還想支持諸如 .php3 ,.phtml 等擴展名的 PHP 文件,可以重復(fù)“添加”步驟,對應(yīng)擴展名設(shè)置為需要的即可如.PHPX。
此步操作將使你服務(wù)器IIS下的所有站點都支持你所添加的PHP擴展文件,當然如果你只需要部分站點支持PHP,只需要在“你需要支持PHP的Web站點”比如“默認Web站點”上單擊右鍵選擇“屬性”,在打開的“ Web 站點屬性”“主目錄”選項卡,編輯或者添加PHP的擴展名映射即可或者將你步需要支持PHP的站點中的PHP擴展映射刪除即可
再打開“站點屬性”窗口的“文檔”選項卡,找到并點擊“添加”按鈕,向默認的 Web 站點啟動文檔列表中添加 index.php 項。您可以將 index.php 升到最高優(yōu)先級,這樣,訪問站點時就會首先自動尋找并打開 index.php 文檔。
確定 Web 目錄的應(yīng)用程序設(shè)置和執(zhí)行許可中選擇為純腳本,然后關(guān)閉 Internet 信息服務(wù)管理器
對于2003系統(tǒng)還需要在“Internet 服務(wù)管理器”左邊的“WEB服務(wù)擴展”中設(shè)置ISAPI 擴展允許,Active Server Pages 允許
完成所有操作后,重新啟動IIS服務(wù)。
在CMD命令提示符中執(zhí)行如下命令:
net stop w3svc
net stop iisadmin
net start w3svc
到此,PHP的基本安裝已經(jīng)完成,我們已經(jīng)使網(wǎng)站支持PHP腳本。
檢查方法是,在 IIS 根目錄下新建一個文本文件存為 php.php ,內(nèi)容如下:
<?php
phpinfo();
?>
打開瀏覽器,輸入:http://localhost/php.php,將顯示當前服務(wù)器所支持 PHP 的全部信息,可以看到 Server API的模式為:ISAPI 。
或者利用PHP探針檢測http://xqin.com/index.rar下載后解壓到你的站點根目錄下并訪問即可
三、安裝 MySQL :
對于MySQL4.0.26下載得到的是mysql-4.0.26-win32.zip,解壓到mysql-4.0.26-win32目錄雙擊執(zhí)行 Setup.exe 一路Next下一步,選擇安裝目錄為D:\php\MySQL和安裝方式為Custom自定義安裝,再一路Next下一步即可。
安裝完畢后,在CMD命令行中輸入并運行:
D:\php\MySQL\bin\mysqld-nt -install
如果返回Service successfully installed.則說明系統(tǒng)服務(wù)成功安裝
新建一文本文件存為MY.INI,編輯配置MY.INI,這里給出一個參考的配置
[mysqld]
basedir=D:/php/MySQL
#MySQL所在目錄
datadir=D:/php/MySQL/data
#MySQL數(shù)據(jù)庫所在目錄,可以更改為其他你存放數(shù)據(jù)庫的目錄
#language=D:/php/MySQL/share/your language directory
#port=3306
set-variable = max_connections=800
skip-locking
set-variable = key_buffer=512M
set-variable = max_allowed_packet=4M
set-variable = table_cache=1024
set-variable = sort_buffer=2M
set-variable = thread_cache=64
set-variable = join_buffer_size=32M
set-variable = record_buffer=32M
set-variable = thread_concurrency=8
set-variable = myisam_sort_buffer_size=64M
set-variable = connect_timeout=10
set-variable = wait_timeout=10
server-id = 1
[isamchk]
set-variable = key_buffer=128M
set-variable = sort_buffer=128M
set-variable = read_buffer=2M
set-variable = write_buffer=2M
[myisamchk]
set-variable = key_buffer=128M
set-variable = sort_buffer=128M
set-variable = read_buffer=2M
set-variable = write_buffer=2M
[WinMySQLadmin]
Server=D:/php/MySQL/bin/mysqld-nt.exe
保存后復(fù)制此MY.INI文件到C:\Windows ( Windows 2000 下為 C:\WINNT)目錄下
回到CMD命令行中輸入并運行:
net start mysql
MySQL 服務(wù)正在啟動 .
MySQL 服務(wù)已經(jīng)啟動成功。
將啟動 MySQL 服務(wù);
DOS下修改ROOT密碼:當然后面安裝PHPMYADMIN后修改密碼也可以通過PHPMYADMIN修改
格式:mysqladmin -u用戶名 -p舊密碼 password 新密碼
例:給root加個密碼xqin.com
首先在進入CMD命令行,轉(zhuǎn)到MYSQL目錄下的bin目錄,然后鍵入以下命令
mysqladmin -uroot password 你的密碼
注:因為開始時root沒有密碼,所以-p舊密碼一項就可以省略了。
D:\php\MySQL\bin>mysqladmin -uroot password 你的密碼
回車后ROOT密碼就設(shè)置為你的密碼了
如果你下載的是 MySQL5.x或者MySQL4.1.x,例mysql-5.0.18-win32:解壓后雙擊執(zhí)行 Setup.exe ,Next下一步后選擇Custom自定義安裝,再Next下一步選擇安裝路徑這里我們選擇D:\php\MySQL,繼續(xù)Next下一步跳過Sign UP完成安裝。
安裝完成后會提示你是不是立即進行配置,選擇是即可進行配置。當然一般安裝后菜單里面也有配置向?qū)ySQL Server Instance Config Wizar,運行后按下面步驟配置并設(shè)置ROOT密碼即可
Next下一步后選擇Standard Configuration
Next下一步,鉤選Include .. PATH
Next下一步,設(shè)置ROOT密碼,建議社設(shè)置復(fù)雜點,確保服務(wù)器安全!
Apply完成后將在D:\php\MySQL目錄下生成MY.INI配置文件,添加并啟動MySQL服務(wù)
如果你的MySQL安裝出錯,并且卸載重裝仍無法解決,這里提供一個小工具系統(tǒng)服務(wù)管理器http://xqin.com/iis/ser.rar,用于卸載后刪除存在的MYSQL服務(wù),重起后再按上述說明進行安裝一般即可成功安裝
四、安裝 Zend Optimizer :
下載后得到 ZendOptimizer-2.6.2-Windows-i386.exe ,直接雙擊安裝即可,安裝過程要你選擇 Web Server 時,選擇 IIS ,然后提示你是否 Restart Web Server,選擇是,完成安裝之前提示是否備份 php.ini ,點確定后安裝完成。我這里安裝到D:\php\Zend
以下兩步的目錄根據(jù)你自己的默認WEB站點目錄來選,當然也可以選擇到D:\php\Zend目錄
Zend Optimizer 的安裝向?qū)詣痈鶕?jù)你的選擇來修改 php.ini 幫助你啟動這個引擎。下面簡單介紹一下 Zend Optimizer 的配置選項。以下為本人安裝完成后 php.ini 里的默認配置代碼(分號后面的內(nèi)容為注釋):
[zend]
zend_extension_ts="D:\php\Zend\lib\ZendExtensionManager.dll"
;Zend Optimizer 模塊在硬盤上的安裝路徑。
zend_extension_manager.optimizer_ts="D:\php\Zend\lib\Optimizer-2.6.2"
;優(yōu)化器所在目錄,默認無須修改。
zend_optimizer.optimization_level=1023
;優(yōu)化程度,這里定義啟動多少個優(yōu)化過程,默認值是 15 ,表示同時開啟 10 個優(yōu)化過程中的 1-4 ,我們可以將這個值改為 1023 ,表示開啟全部10個優(yōu)化過程。
調(diào)用phpinfo()函數(shù)后顯示:
Zend Engine v1.3.0, Copyright (c) 1998-2004 Zend Technologies with Zend Extension Manager v1.0.9, Copyright (c) 2003-2006, by Zend Technologies with Zend Optimizer v2.6.2, Copyright (c) 1998-2006, by Zend Technologies
則表示安裝成功。
五.安裝GD庫
這一步在前面PHP.INI配置中去掉“;extension=php_gd2.dll”前面的;實際上已經(jīng)安裝好了~
[在php.ini里找到"extension=php_gd2.dll"這一行,并且去掉前面的分號,gd庫安裝完成,用 echophpinfo() ;測試是否成功! ]
六、安裝 phpMyAdmin
下載得到 phpMyAdmin-2.7.0.zip (如果需要這個版本可以找我QQ:473413 3300073),
將其解壓到D:\php\或者 IIS 根目錄,改名phpMyAdmin-2.7.0為phpMyAdmin,
并在IIS中建立新站點或者虛擬目錄指向該目錄以便通過WEB地址訪問,
這里建立默認站點的phpMyAdmin虛擬目錄指向D:\php\phpMyAdmin目錄通過http://localhost/phpmyadmin/訪問
找到并打開D:\php\phpMyAdmin目錄下的 config.default.php ,做以下修改:
查找 $cfg['PmaAbsoluteUri']
設(shè)置你的phpmyadmin的WEB訪問URL,比如本文中:$cfg['PmaAbsoluteUri'] = 'http://localhost/phpmyadmin/'; 注意這里假設(shè)phpmyadmin在默認站點的根目錄下
查找 $cfg['blowfish_secret'] =
設(shè)置COOKIES加密密匙,如xqin.com則設(shè)置為$cfg['blowfish_secret'] = 'xqin.com';
查找 $cfg['Servers'][$i]['auth_type'] = ,
默認為config,是不安全的,不推薦,推薦使用cookie,將其設(shè)置為 $cfg['Servers'][$i]['auth_type'] = 'cookie';
注意這里如果設(shè)置為config請在下面設(shè)置用戶名和密碼!例如:
$cfg['Servers'][$i]['user'] = 'root'; // MySQL user-----MySQL連接用戶
$cfg['Servers'][$i]['password'] = 'xqin.com';
搜索$cfg['DefaultLang'] ,將其設(shè)置為 zh-gb2312 ;
搜索$cfg['DefaultCharset'] ,將其設(shè)置為 gb2312 ;
打開瀏覽器,輸入:http://localhost/phpMyAdmin/ ,若 IIS 和 MySQL 均已啟動,輸入用戶ROOT密碼xqin.com(如沒有設(shè)置密碼則密碼留空)即可進入phpMyAdmin數(shù)據(jù)庫管理。
首先點擊權(quán)限進入用戶管理,刪除除ROOT和主機不為localhost的用戶并重新讀取用戶權(quán)限表,這里同樣可以修改和設(shè)置ROOT的密碼,添加其他用戶等
phpMyAdmin 的具體功能,請慢慢熟悉,這里不再贅述。
至此所有安裝完畢。
六、目錄結(jié)構(gòu)以及MTFS格式下安全的目錄權(quán)限設(shè)置:
當前目錄結(jié)構(gòu)為
D:\php
|
+—————+——————+———————+———————+
php4(php5) tmp MySQL Zend phpMyAdmin
D:\php 設(shè)置為 Administrators和SYSTEM完全權(quán)限 即可,其他用戶均無權(quán)限
對于其下的二級目錄
D:\php\php4(或者D:\php\php5) 設(shè)置為 USERS 讀取/運行 權(quán)限
D:\php\tmp 設(shè)置為 USERS 讀/寫/刪 權(quán)限
D:\php\MySQL 、D:\php\Zend 設(shè)置為 Administrators和SYSTEM完全權(quán)限
phpMyAdmin WEB匿名用戶讀取權(quán)限
七、優(yōu)化:
參見 http://bbs.xqin.com/viewthread.php?tid=3831
PHP 優(yōu)化配置——加速你的VBB,phpwind,Discuz,IPB,MolyX.....
|
有問題可以和我QQ聯(lián)系:473413 3300073
|
14、一般故障解決
一般網(wǎng)站最容易發(fā)生的故障的解決方法
1.出現(xiàn)提示網(wǎng)頁無法顯示,500錯誤的時候,又沒有詳細的提示信息
可以進行下面的操作顯示詳細的提示信息:IE-工具-internet選項-高級-友好的http錯誤信息提示,將這選項前面不打勾,則可以看到詳細的提示信息了
以下是解決500錯誤的方法。請復(fù)制以下信息并保存為: 解決IIS6.0的(asp不能訪問)請求的資源在使用中的辦法.bat
然后在服務(wù)器上執(zhí)行一下,你的ASP就又可以正常運行了。
2.系統(tǒng)在安裝的時候提示數(shù)據(jù)庫連接錯誤
一是檢查const文件的設(shè)置關(guān)于數(shù)據(jù)庫的路徑設(shè)置是否正確
二是檢查服務(wù)器上面的數(shù)據(jù)庫的路徑和用戶名、密碼等是否正確
3.IIS不支持ASP解決辦法:
IIS的默認解析語言是否正確設(shè)定?將默認改為VBSCRIPT,進入IIS,右鍵單擊默認Web站點,選擇屬性,在目錄安全性選項卡的匿名訪問和身份驗證控制中,單擊編輯,在身份驗證方法屬性頁中,去掉匿名訪問的選擇試試.
4.FSO沒有權(quán)限
FSO的權(quán)限問題,可以在后臺測試是否能刪除文件,解決FSO組件是否開啟的方法如下:
首先在系統(tǒng)盤中查找scrrun.dll,如果存在這個文件,請?zhí)降谌?,如果沒有,請執(zhí)行第二步。
在安裝文件目錄i386中找到scrrun.dl_,用winrar解壓縮,得scrrun.dll,然后復(fù)制到(你的系統(tǒng)盤)C:\windows\system32\目錄中。 運行regsvr32 scrrun.dll即可。
如果想關(guān)閉FSO組件,請運行regsvr32/u scrrun.dll即可
關(guān)于服務(wù)器FSO權(quán)限設(shè)置的方法,給大家一個地址可以看看詳細的操作:http://www.upsdn.net/html/2005-01/314.html
5.Microsoft JET Database Engine 錯誤 '80040e09' 不能更新。數(shù)據(jù)庫或?qū)ο鬄橹蛔x
原因分析:
未打開數(shù)據(jù)庫目錄的讀寫權(quán)限
解決方法:
( 1 )檢查是否在 IIS 中對整個網(wǎng)站打開了 “ 寫入 ” 權(quán)限,而不僅僅是數(shù)據(jù)庫文件。
( 2 )檢查是否在 WIN2000 的資源管理器中,將網(wǎng)站所在目錄對 EveryOne 用戶打開所有權(quán)限。具體方法是:
打開 “ 我的電腦 ”---- 找到網(wǎng)站所在文件夾 ---- 在其上點右鍵 ---- 選 “ 屬性 ”----- 切換到 “ 安全性 ” 選項卡,在這里給 EveryOne 用戶所有權(quán)限。
注意: 如果你的系統(tǒng)是 XP ,請先點 “ 工具 ”----“ 文件夾選項 ”----“ 查看 ”----- 去掉 “ 使用簡單文件共享 ” 前的勾,確定后,文件夾 “ 屬性 ” 對話框中才會有 “ 安全性 ” 這一個選項卡。
6.驗證碼不能顯示
原因分析:
造成該問題的原因是 Service Pack 2 為了提高系統(tǒng)的穩(wěn)定性,默認狀態(tài)下是屏蔽了對 XBM,也即是 x-bitmap 格式的圖片的顯示,而這些驗證碼恰恰是 XBM 格式的,所以顯示不出來了。
解決辦法:
解決的方法其實也很簡單,只需在系統(tǒng)注冊表中添加鍵值 "BlockXBM"=dword:00000000 就可以了,具體操作如下:
1》打開系統(tǒng)注冊表;
2》依次點開HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Internet Explorer\\Security;
3》在屏幕右邊空白處點擊鼠標右鍵,選擇新建一個名為“BlockXBM”為的 DWORD 鍵,其值為默認的0。
4》退出注冊表編輯器。
如果操作系統(tǒng)是2003系統(tǒng)則看是否開啟了父路徑
7.windows 2003配置IIS支持.shtml
要使用 Shtml 的文件,則系統(tǒng)必須支持SSI,SSI必須是管理員通過Web 服務(wù)擴展啟用的
windows 2003安裝好IIS之后默認是支持.shtml的,只要在“WEB服務(wù)擴展”允許“在服務(wù)器前端的包含文件”即可 (www.jz5u.com)
8.如何去掉“處理 URL 時服務(wù)器出錯。請與系統(tǒng)管理員聯(lián)系。”
如果是本地服務(wù)器的話,請右鍵點IIS默認網(wǎng)站,選屬性,在主目錄里點配置,選調(diào)試。 選中向客戶端發(fā)送詳細的ASP錯誤消息。 然后再調(diào)試程序,此時就可以顯示出正確的錯誤代碼。
如果你是租用的空間的話,請和你的空間商聯(lián)系!本站強烈推薦購買九網(wǎng)互聯(lián)的虛擬主機:www.9host.cn
|
|