无码色色,久久久久久免费精品喷水,美女把胸罩解开让男生摸,欧美一级在线观看视频,色亚洲天堂,色综合天天综合给合国产

咨詢電話:023-88959644    24小時服務(wù)熱線:400-023-8809
NEWS CENTER ·
新聞動態(tài)
關(guān)注中技互聯(lián) 關(guān)注前沿

web服務(wù)器安全設(shè)置配置-超全攻略,超詳細~

發(fā)表日期:2013-02-17    文章編輯:王希希    瀏覽次數(shù):324    標簽:

也許你一個網(wǎng)絡(luò)菜鳥,也許你剛接觸做網(wǎng)站,可能對服務(wù)器安全配置不了解,沒關(guān)系.
請耐心加細心地查看以下的教程說明,按照以下的方法設(shè)置,可使服務(wù)器安全性提高一個檔次,COME ON!
WindowsServer2003 + IIS6.0 + ASP + NET + PHP + PERL + MSSQL + MYSQL 最新服務(wù)器安全設(shè)置技術(shù)實例

1、服務(wù)器安全設(shè)置之--硬盤權(quán)限篇

   這里著重談需要的權(quán)限,也就是最終文件夾或硬盤需要的權(quán)限,可以防御各種木馬入侵,提權(quán)攻擊,跨站攻擊等。本實例經(jīng)過多次試驗,安全性能很好,服務(wù)器基本沒有被木馬威脅的擔憂了。

硬盤或文件夾: C:\ D:\ E:\ F:\ 類推
 
主要權(quán)限部分: 其他權(quán)限部分:
Administrators
完全控制
 

如果安裝了其他運行環(huán)境,比如PHP等,則根據(jù)PHP的環(huán)境功能要求來設(shè)置硬盤權(quán)限,一般是安裝目錄加上users讀取運行權(quán)限就足夠了,比如c:\php的話,就在根目錄權(quán)限繼承的情況下加上users讀取運行權(quán)限,需要寫入數(shù)據(jù)的比如tmp文件夾,則把users的寫刪權(quán)限加上,運行權(quán)限不要,然后把虛擬主機用戶的讀權(quán)限拒絕即可。如果是mysql的話,用一個獨立用戶運行MYSQL會更安全,下面會有介紹。如果是winwebmail,則最好建立獨立的應(yīng)用程序池和獨立IIS用戶,然后整個安裝目錄有users用戶的讀/運行/寫/權(quán)限,IIS用戶則相同,這個IIS用戶就只用在winwebmail的WEB訪問中,其他IIS站點切勿使用,安裝了winwebmail的服務(wù)器硬盤權(quán)限設(shè)置后面舉例
 
該文件夾,子文件夾及文件
  <不是繼承的>
CREATOR OWNER
完全控制
 
只有子文件夾及文件
 
<不是繼承的>
SYSTEM
完全控制
 
該文件夾,子文件夾及文件
 
<不是繼承的>


硬盤或文件夾: C:\Inetpub\
 
主要權(quán)限部分: 其他權(quán)限部分:
Administrators
完全控制
 
 
該文件夾,子文件夾及文件
  <繼承于c:\>
CREATOR OWNER
完全控制
 
只有子文件夾及文件
 
<繼承于c:\>
SYSTEM
完全控制
 
該文件夾,子文件夾及文件
 
<繼承于c:\>

硬盤或文件夾: C:\Inetpub\AdminScripts
 
主要權(quán)限部分: 其他權(quán)限部分:
Administrators
完全控制
 
 
該文件夾,子文件夾及文件
  <不是繼承的>
SYSTEM
完全控制
 
該文件夾,子文件夾及文件
 
<不是繼承的>

硬盤或文件夾: C:\Inetpub\wwwroot
 
主要權(quán)限部分: 其他權(quán)限部分:
Administrators
完全控制
IIS_WPG
讀取運行/列出文件夾目錄/讀取
 
該文件夾,子文件夾及文件
 
該文件夾,子文件夾及文件
  <不是繼承的>
 
<不是繼承的>
SYSTEM
完全控制
Users
讀取運行/列出文件夾目錄/讀取
 
該文件夾,子文件夾及文件
 
該文件夾,子文件夾及文件
 
<不是繼承的>
 
<不是繼承的>
這里可以把虛擬主機用戶組加上
同Internet 來賓帳戶一樣的權(quán)限
拒絕權(quán)限
Internet 來賓帳戶
創(chuàng)建文件/寫入數(shù)據(jù)/:拒絕
創(chuàng)建文件夾/附加數(shù)據(jù)/:拒絕
寫入屬性/:拒絕
寫入擴展屬性/:拒絕
刪除子文件夾及文件/:拒絕
刪除/:拒絕
 
該文件夾,子文件夾及文件
 
<不是繼承的>

硬盤或文件夾: C:\Inetpub\wwwroot\aspnet_client
 
主要權(quán)限部分: 其他權(quán)限部分:
Administrators
完全控制
Users
讀取
 
該文件夾,子文件夾及文件
 
該文件夾,子文件夾及文件
  <不是繼承的>
 
<不是繼承的>
SYSTEM
完全控制  
 
該文件夾,子文件夾及文件
 
<不是繼承的>

硬盤或文件夾: C:\Documents and Settings
 
主要權(quán)限部分: 其他權(quán)限部分:
Administrators
完全控制
 
 
該文件夾,子文件夾及文件
  <不是繼承的>
SYSTEM
完全控制
 
該文件夾,子文件夾及文件
 
<不是繼承的>

硬盤或文件夾: C:\Documents and Settings\All Users
 
主要權(quán)限部分: 其他權(quán)限部分:
Administrators
完全控制
Users
讀取和運行
 
該文件夾,子文件夾及文件
 
該文件夾,子文件夾及文件
  <不是繼承的>
 
<不是繼承的>
SYSTEM
完全控制
USERS組的權(quán)限僅僅限制于讀取和運行,
絕對不能加上寫入權(quán)限
 
該文件夾,子文件夾及文件
 
<不是繼承的>

硬盤或文件夾: C:\Documents and Settings\All Users\「開始」菜單
 
主要權(quán)限部分: 其他權(quán)限部分:
Administrators
完全控制
 
該文件夾,子文件夾及文件
  <不是繼承的>
SYSTEM
完全控制
 
該文件夾,子文件夾及文件
 
<不是繼承的>

硬盤或文件夾: C:\Documents and Settings\All Users\Application Data
 
主要權(quán)限部分: 其他權(quán)限部分:
Administrators
完全控制
Users
讀取和運行
 
該文件夾,子文件夾及文件
 
該文件夾,子文件夾及文件
  <不是繼承的>
 
<不是繼承的>
CREATOR OWNER
完全控制
Users
寫入
 
只有子文件夾及文件
 
該文件夾,子文件夾
 
<不是繼承的>
 
<不是繼承的>
SYSTEM
完全控制
兩個并列權(quán)限同用戶組需要分開列權(quán)限
  該文件夾,子文件夾及文件
  <不是繼承的>

硬盤或文件夾: C:\Documents and Settings\All Users\Application Data\Microsoft
 
主要權(quán)限部分: 其他權(quán)限部分:
Administrators
完全控制
Users
讀取和運行
 
該文件夾,子文件夾及文件
 
該文件夾,子文件夾及文件
  <不是繼承的>
 
<不是繼承的>
SYSTEM
完全控制
此文件夾包含 Microsoft 應(yīng)用程序狀態(tài)數(shù)據(jù)
 
該文件夾,子文件夾及文件
 
<不是繼承的>

硬盤或文件夾: C:\Documents and Settings\All Users\Application Data\Microsoft\Crypto\RSA\MachineKeys
 
主要權(quán)限部分: 其他權(quán)限部分:
Administrators
完全控制
Everyone

列出文件夾、讀取屬性、讀取擴展屬性、創(chuàng)建文件、創(chuàng)建文件夾、寫入屬性、寫入擴展屬性、讀取權(quán)限

 
只有該文件夾
 
Everyone這里只有讀寫權(quán)限,不能加運行和刪除權(quán)限,僅限該文件夾
只有該文件夾
  <不是繼承的> <不是繼承的>

硬盤或文件夾: C:\Documents and Settings\All Users\Application Data\Microsoft\Crypto\DSS\MachineKeys
 
主要權(quán)限部分: 其他權(quán)限部分:
Administrators
完全控制
Everyone

列出文件夾、讀取屬性、讀取擴展屬性、創(chuàng)建文件、創(chuàng)建文件夾、寫入屬性、寫入擴展屬性、讀取權(quán)限

 
只有該文件夾
 
Everyone這里只有讀寫權(quán)限,不能加運行和刪除權(quán)限,僅限該文件夾
只有該文件夾
  <不是繼承的> <不是繼承的>

硬盤或文件夾: C:\Documents and Settings\All Users\Application Data\Microsoft\HTML Help
 
主要權(quán)限部分: 其他權(quán)限部分:
Administrators
完全控制
Users
讀取和運行
 
該文件夾,子文件夾及文件
 
該文件夾,子文件夾及文件
  <不是繼承的>
 
<不是繼承的>
SYSTEM
完全控制
 
 
該文件夾,子文件夾及文件
 
<不是繼承的>

硬盤或文件夾: C:\Documents and Settings\All Users\Application Data\Microsoft\Network\Connections\Cm
 
主要權(quán)限部分: 其他權(quán)限部分:
Administrators
完全控制
Everyone
讀取和運行
 
該文件夾,子文件夾及文件
 
該文件夾,子文件夾及文件
  <不是繼承的>
 
<不是繼承的>
SYSTEM
完全控制
Everyone這里只有讀和運行權(quán)限
 
該文件夾,子文件夾及文件
 
<不是繼承的>

硬盤或文件夾: C:\Documents and Settings\All Users\Application Data\Microsoft\Network\Downloader
 
主要權(quán)限部分: 其他權(quán)限部分:
Administrators
完全控制
 
該文件夾,子文件夾及文件
  <不是繼承的>
SYSTEM
完全控制
 
該文件夾,子文件夾及文件
 
<不是繼承的>

硬盤或文件夾: C:\Documents and Settings\All Users\Application Data\Microsoft\Media Index
 
主要權(quán)限部分: 其他權(quán)限部分:
Administrators
完全控制
Users
讀取和運行
 
該文件夾,子文件夾及文件
 
該文件夾,子文件夾及文件
  <不是繼承的>
 
<繼承于上一級文件夾>
SYSTEM
完全控制
Users
創(chuàng)建文件/寫入數(shù)據(jù)
創(chuàng)建文件夾/附加數(shù)據(jù)
寫入屬性
寫入擴展屬性
讀取權(quán)限
 
該文件夾,子文件夾及文件
 
只有該文件夾
 
<不是繼承的>
 
<不是繼承的>
 
Users
創(chuàng)建文件/寫入數(shù)據(jù)
創(chuàng)建文件夾/附加數(shù)據(jù)
寫入屬性
寫入擴展屬性
 
只有該子文件夾和文件
 
<不是繼承的>

硬盤或文件夾: C:\Documents and Settings\All Users\DRM
 
主要權(quán)限部分: 其他權(quán)限部分:
這里需要把GUEST用戶組和IIS訪問用戶組全部禁止
Everyone的權(quán)限比較特殊,默認安裝后已經(jīng)帶了
主要是要把IIS訪問的用戶組加上所有權(quán)限都禁止
Users
讀取和運行
 
該文件夾,子文件夾及文件
 
<不是繼承的>
Guests
拒絕所有
 
該文件夾,子文件夾及文件
 
<不是繼承的>
Guest
拒絕所有
 
該文件夾,子文件夾及文件
 
<不是繼承的>
IUSR_XXX
或某個虛擬主機用戶組
 
 
拒絕所有
該文件夾,子文件夾及文件
<不是繼承的>

硬盤或文件夾: C:\Documents and Settings\All Users\Documents (共享文檔)
 
主要權(quán)限部分: 其他權(quán)限部分:
Administrators
完全控制
 
該文件夾,子文件夾及文件
  <不是繼承的>
CREATOR OWNER
完全控制
 
只有子文件夾及文件
 
<不是繼承的>
SYSTEM
完全控制
  該文件夾,子文件夾及文件
  <不是繼承的>

硬盤或文件夾: C:\Program Files
 
主要權(quán)限部分: 其他權(quán)限部分:
Administrators
完全控制
IIS_WPG
讀取和運行
 
該文件夾,子文件夾及文件
 
該文件夾,子文件夾及文件
  <不是繼承的>
 
<不是繼承的>
CREATOR OWNER
完全控制
IUSR_XXX
或某個虛擬主機用戶組
列出文件夾/讀取數(shù)據(jù) :拒絕
 
只有子文件夾及文件 該文件夾,子文件夾及文件
 
<不是繼承的> <不是繼承的>
SYSTEM
完全控制
IIS虛擬主機用戶組禁止列目錄,可有效防止FSO類木馬
如果安裝了aspjepg和aspupload
  該文件夾,子文件夾及文件
  <不是繼承的>

硬盤或文件夾: C:\Program Files\Common Files
 
主要權(quán)限部分: 其他權(quán)限部分:
Administrators
完全控制
IIS_WPG
讀取和運行
 
該文件夾,子文件夾及文件
 
該文件夾,子文件夾及文件
  <不是繼承的>
 
<繼承于上級目錄>
CREATOR OWNER
完全控制
Users
讀取和運行
 
只有子文件夾及文件 該文件夾,子文件夾及文件
 
<不是繼承的> <不是繼承的>
SYSTEM
完全控制
復(fù)合權(quán)限,為IIS提供快速安全的運行環(huán)境
  該文件夾,子文件夾及文件
  <不是繼承的>

硬盤或文件夾: C:\Program Files\Common Files\Microsoft Shared\web server extensions
 
主要權(quán)限部分: 其他權(quán)限部分:
Administrators
完全控制
 
該文件夾,子文件夾及文件
  <不是繼承的>
CREATOR OWNER
完全控制
 
只有子文件夾及文件
 
<不是繼承的>
SYSTEM
完全控制
  該文件夾,子文件夾及文件
  <不是繼承的>

硬盤或文件夾: C:\Program Files\Microsoft SQL Server\MSSQL (程序部分默認裝在C:盤)
 
主要權(quán)限部分: 其他權(quán)限部分:
Administrators
完全控制
 
該文件夾,子文件夾及文件
  <不是繼承的>

硬盤或文件夾: E:\Program Files\Microsoft SQL Server (數(shù)據(jù)庫部分裝在E:盤的情況)
 
主要權(quán)限部分: 其他權(quán)限部分:
Administrators
完全控制
 
該文件夾,子文件夾及文件
  <不是繼承的>
CREATOR OWNER
完全控制
 
只有子文件夾及文件
 
<不是繼承的>
SYSTEM
完全控制
  該文件夾,子文件夾及文件
  <不是繼承的>

硬盤或文件夾: E:\Program Files\Microsoft SQL Server\MSSQL (數(shù)據(jù)庫部分裝在E:盤的情況)
 
主要權(quán)限部分: 其他權(quán)限部分:
Administrators
完全控制
 
該文件夾,子文件夾及文件
  <不是繼承的>

硬盤或文件夾: C:\Program Files\Internet Explorer\iexplore.exe
 
主要權(quán)限部分: 其他權(quán)限部分:
Administrators
完全控制
 
該文件夾,子文件夾及文件
  <不是繼承的>

硬盤或文件夾: C:\Program Files\Outlook Express
 
主要權(quán)限部分: 其他權(quán)限部分:
Administrators
完全控制
 
該文件夾,子文件夾及文件
  <不是繼承的>
CREATOR OWNER
完全控制
 
只有子文件夾及文件
 
<不是繼承的>
SYSTEM
完全控制
  該文件夾,子文件夾及文件
  <不是繼承的>

硬盤或文件夾: C:\Program Files\PowerEasy5 (如果裝了動易組件的話)
 
主要權(quán)限部分: 其他權(quán)限部分:
Administrators
完全控制
 
該文件夾,子文件夾及文件
  <不是繼承的>
CREATOR OWNER
完全控制
 
只有子文件夾及文件
 
<不是繼承的>
SYSTEM
完全控制
  該文件夾,子文件夾及文件
  <不是繼承的>

硬盤或文件夾: C:\Program Files\Radmin (如果裝了Radmin遠程控制的話)
 
主要權(quán)限部分: 其他權(quán)限部分:
Administrators
完全控制

對應(yīng)的c:\windows\system32里面有兩個文件
r_server.exe和AdmDll.dll
要把Users讀取運行權(quán)限去掉
默認權(quán)限只要administrators和system全部權(quán)限
 
該文件夾,子文件夾及文件
  <不是繼承的>
CREATOR OWNER
完全控制
 
只有子文件夾及文件
 
<不是繼承的>
SYSTEM
完全控制
  該文件夾,子文件夾及文件
  <不是繼承的>

硬盤或文件夾: C:\Program Files\Serv-U (如果裝了Serv-U服務(wù)器的話)
 
主要權(quán)限部分: 其他權(quán)限部分:
Administrators
完全控制

這里常是提權(quán)入侵的一個比較大的漏洞點
一定要按這個方法設(shè)置
目錄名字根據(jù)Serv-U版本也可能是

C:\Program Files\RhinoSoft.com\Serv-U
 
 
該文件夾,子文件夾及文件
  <不是繼承的>
CREATOR OWNER
完全控制
 
只有子文件夾及文件
 
<不是繼承的>
SYSTEM
完全控制
 <, /TD> 該文件夾,子文件夾及文件
  <不是繼承的>

硬盤或文件夾: C:\Program Files\Windows Media Player
 
主要權(quán)限部分: 其他權(quán)限部分:
Administrators
完全控制

 
 
該文件夾,子文件夾及文件
  <不是繼承的>
CREATOR OWNER
完全控制
 
只有子文件夾及文件
 
<不是繼承的>
SYSTEM
完全控制
  該文件夾,子文件夾及文件
  <不是繼承的>

硬盤或文件夾: C:\Program Files\Windows NT\Accessories
 
主要權(quán)限部分: 其他權(quán)限部分:
Administrators
完全控制

 
 
該文件夾,子文件夾及文件
  <不是繼承的>
CREATOR OWNER
完全控制
 
只有子文件夾及文件
 
<不是繼承的>
SYSTEM
完全控制
  該文件夾,子文件夾及文件
  <不是繼承的>

硬盤或文件夾: C:\Program Files\WindowsUpdate
 
主要權(quán)限部分: 其他權(quán)限部分:
Administrators
完全控制

 
 
該文件夾,子文件夾及文件
  <不是繼承的>
CREATOR OWNER
完全控制
 
只有子文件夾及文件
 
<不是繼承的>
SYSTEM
完全控制
  該文件夾,子文件夾及文件
  <不是繼承的>

硬盤或文件夾: C:\WINDOWS
 
主要權(quán)限部分: 其他權(quán)限部分:
Administrators
完全控制
Users
讀取和運行
 
該文件夾,子文件夾及文件
 
該文件夾,子文件夾及文件
  <不是繼承的>
 
<不是繼承的>
CREATOR OWNER
完全控制    
 
只有子文件夾及文件  
 
<不是繼承的>  
SYSTEM
完全控制
 
  該文件夾,子文件夾及文件
  <不是繼承的>

硬盤或文件夾: C:\WINDOWS\repair
 
主要權(quán)限部分: 其他權(quán)限部分:
Administrators
完全控制
IUSR_XXX
或某個虛擬主機用戶組
 
列出文件夾/讀取數(shù)據(jù) :拒絕
 
該文件夾,子文件夾及文件 該文件夾,子文件夾及文件
  <不是繼承的> <不是繼承的>
CREATOR OWNER
完全控制
 
 
虛擬主機用戶訪問組拒絕讀取,有助于保護系統(tǒng)數(shù)據(jù)
這里保護的是系統(tǒng)級數(shù)據(jù)SAM
 
只有子文件夾及文件
 
<不是繼承的>
SYSTEM
完全控制
  該文件夾,子文件夾及文件
  <不是繼承的>

硬盤或文件夾: C:\WINDOWS\system32
 
主要權(quán)限部分: 其他權(quán)限部分:
Administrators
完全控制
Users
讀取和運行
 
該文件夾,子文件夾及文件
 
該文件夾,子文件夾及文件
  <不是繼承的>
 
<不是繼承的>
CREATOR OWNER
完全控制
IUSR_XXX
或某個虛擬主機用戶組
 
 
列出文件夾/讀取數(shù)據(jù) :拒絕
 
只有子文件夾及文件 該文件夾,子文件夾及文件
 
<不是繼承的> <不是繼承的>
SYSTEM
完全控制
虛擬主機用戶訪問組拒絕讀取,有助于保護系統(tǒng)數(shù)據(jù)
  該文件夾,子文件夾及文件
  <不是繼承的>

硬盤或文件夾: C:\WINDOWS\system32\config
 
主要權(quán)限部分: 其他權(quán)限部分:
Administrators
完全控制
Users
讀取和運行
 
該文件夾,子文件夾及文件
 
該文件夾,子文件夾及文件
  <不是繼承的>
 
<不是繼承的>
CREATOR OWNER
完全控制
IUSR_XXX
或某個虛擬主機用戶組
 
 
列出文件夾/讀取數(shù)據(jù) :拒絕
 
只有子文件夾及文件 該文件夾,子文件夾及文件
 
<不是繼承的> <繼承于上一級目錄>
SYSTEM
完全控制
虛擬主機用戶訪問組拒絕讀取,有助于保護系統(tǒng)數(shù)據(jù)
  該文件夾,子文件夾及文件
  <不是繼承的>

硬盤或文件夾: C:\WINDOWS\system32\inetsrv\
 
主要權(quán)限部分: 其他權(quán)限部分:
Administrators
完全控制
Users
讀取和運行
 
該文件夾,子文件夾及文件
 
該文件夾,子文件夾及文件
  <不是繼承的>
 
<不是繼承的>
CREATOR OWNER
完全控制
IUSR_XXX
或某個虛擬主機用戶組
 
 
列出文件夾/讀取數(shù)據(jù) :拒絕
 
只有子文件夾及文件 只有該文件夾
 
<不是繼承的> <繼承于上一級目錄>
SYSTEM
完全控制
虛擬主機用戶訪問組拒絕讀取,有助于保護系統(tǒng)數(shù)據(jù)
  該文件夾,子文件夾及文件
  <不是繼承的>

硬盤或文件夾: C:\WINDOWS\system32\inetsrv\ASP Compiled Templates
 
主要權(quán)限部分: 其他權(quán)限部分:
Administrators
完全控制
IIS_WPG
完全控制
 
該文件夾,子文件夾及文件   該文件夾,子文件夾及文件
  <不是繼承的>   <不是繼承的>
 
IUSR_XXX
或某個虛擬主機用戶組
 
 
列出文件夾/讀取數(shù)據(jù) :拒絕
該文件夾,子文件夾及文件
<繼承于上一級目錄>
虛擬主機用戶訪問組拒絕讀取,有助于保護系統(tǒng)數(shù)據(jù)

硬盤或文件夾: C:\WINDOWS\system32\inetsrv\iisadmpwd
 
主要權(quán)限部分: 其他權(quán)限部分:
Administrators
完全控制
 
該文件夾,子文件夾及文件
  <不是繼承的>
CREATOR OWNER
完全控制
 
只有子文件夾及文件
 
<不是繼承的>
SYSTEM
完全控制
  該文件夾,子文件夾及文件
  <不是繼承的>

硬盤或文件夾: C:\WINDOWS\system32\inetsrv\MetaBack
 
主要權(quán)限部分: 其他權(quán)限部分:
Administrators
完全控制
Users
讀取和運行
 
該文件夾,子文件夾及文件
 
該文件夾,子文件夾及文件
  <不是繼承的>
 
<不是繼承的>
CREATOR OWNER
完全控制
IUSR_XXX
或某個虛擬主機用戶組
 
 
列出文件夾/讀取數(shù)據(jù) :拒絕
 
只有子文件夾及文件 該文件夾,子文件夾及文件
 
<不是繼承的> <繼承于上一級目錄>
SYSTEM
完全控制
虛擬主機用戶訪問組拒絕讀取,有助于保護系統(tǒng)數(shù)據(jù)
  該文件夾,子文件夾及文件
  <不是繼承的>

Winwebmail 電子郵局安裝后權(quán)限舉例:目錄E:\
 
主要權(quán)限部分: 其他權(quán)限部分:
Administrators
完全控制
IUSR_XXXXXX
這個用戶是WINWEBMAIL訪問WEB站點專用帳戶
 
 
讀取和運行
 
該文件夾,子文件夾及文件 該文件夾,子文件夾及文件
  <不是繼承的> <不是繼承的>
CREATOR OWNER
完全控制
 
 
只有子文件夾及文件
 
<不是繼承的>
SYSTEM
完全控制
  該文件夾,子文件夾及文件
  <不是繼承的>

Winwebmail 電子郵局安裝后權(quán)限舉例:目錄E:\WinWebMail
 
主要權(quán)限部分: 其他權(quán)限部分:
Administrators
完全控制
 
IUSR_XXXXXX
WINWEBMAIL訪問WEB站點專用帳戶
 
讀取和運行
 
該文件夾,子文件夾及文件 該文件夾,子文件夾及文件
  <繼承于E:\> <繼承于E:\>
CREATOR OWNER
完全控制
Users
 
 
修改/讀取運行/列出文件目錄/讀取/寫入
 
只有子文件夾及文件 該文件夾,子文件夾及文件
 
<繼承于E:\> <不是繼承的>
SYSTEM
完全控制
IUSR_XXXXXX
WINWEBMAIL訪問WEB站點專用帳戶
 
 
修改/讀取運行/列出文件目錄/讀取/寫入
  該文件夾,子文件夾及文件 該文件夾,子文件夾及文件
  <繼承于E:\> <不是繼承的>
IUSR_XXXXXXIWAM_XXXXXX
是winwebmail專用的IIS用戶和應(yīng)用程序池用戶
單獨使用,安全性能高
IWAM_XXXXXX
WINWEBMAIL應(yīng)用程序池專用帳戶
 
 
修改/讀取運行/列出文件目錄/讀取/寫入
該文件夾,子文件夾及文件
<不是繼承的>

如果有問題請聯(lián)系QQ: 473413

 


 

2、服務(wù)器安全設(shè)置之--系統(tǒng)服務(wù)篇(設(shè)置完畢需要重新啟動)

   *除非特殊情況非開不可,下列系統(tǒng)服務(wù)要■停止并禁用■:

 
Alerter
服務(wù)名稱:
Alerter
顯示名稱:
Alerter
服務(wù)描述:
通知選定的用戶和計算機管理警報。如果服務(wù)停止,使用管理警報的程序?qū)⒉粫盏剿鼈儭H绻朔?wù)被禁用,任何直接依賴它的服務(wù)都將不能啟動。
可執(zhí)行文件路徑:
E:\WINDOWS\system32\svchost.exe -k LocalService
其他補充:
 
 
Application Layer Gateway Service
服務(wù)名稱:
ALG
顯示名稱:
Application Layer Gateway Service
服務(wù)描述:
為應(yīng)用程序級協(xié)議插件提供支持并啟用網(wǎng)絡(luò)/協(xié)議連接。如果此服務(wù)被禁用,任何依賴它的服務(wù)將無法啟動。
可執(zhí)行文件路徑:
E:\WINDOWS\System32\alg.exe
其他補充:
 
 
Background Intelligent Transfer Service
服務(wù)名稱:
BITS
顯示名稱:
Background Intelligent Transfer Service
服務(wù)描述:
服務(wù)描述:利用空閑的網(wǎng)絡(luò)帶寬在后臺傳輸文件。如果服務(wù)被停用,例如 Windows Update 和 MSN Explorer 的功能將無法自動下載程序和其他信息。如果此服務(wù)被禁用,任何依賴它的服務(wù)如果沒有容錯技術(shù)以直接通過 IE 傳輸文件,一旦 BITS 被禁用,就可能無法傳輸文件。
可執(zhí)行文件路徑:
E:\WINDOWS\system32\svchost.exe -k netsvcs
其他補充:
 
 
Computer Browser
服務(wù)名稱:
服務(wù)名稱:Browser
顯示名稱:
顯示名稱:Computer Browser
服務(wù)描述:
服務(wù)描述:維護網(wǎng)絡(luò)上計算機的更新列表,并將列表提供給計算機指定瀏覽。如果服務(wù)停止,列表不會被更新或維護。如果服務(wù)被禁用,任何直接依賴于此服務(wù)的服務(wù)將無法啟動。
可執(zhí)行文件路徑:
可執(zhí)行文件路徑: E:\WINDOWS\system32\svchost.exe -k netsvcs
其他補充:
 
 
Distributed File System
服務(wù)名稱:
Dfs
顯示名稱:
Distributed File System
服務(wù)描述:
將分散的文件共享合并成一個邏輯名稱空間并在局域網(wǎng)或廣域網(wǎng)上管理這些邏輯卷。如果這個服務(wù)被停止,用戶則無法訪問文件共享。如果這個服務(wù)被禁用,任何依賴它的服務(wù)將無法啟動。
可執(zhí)行文件路徑:
E:\WINDOWS\system32\Dfssvc.exe
其他補充:
 
 
Help and Support
服務(wù)名稱:
helpsvc
顯示名稱:
Help and Support
服務(wù)描述:
啟用在此計算機上運行幫助和支持中心。如果停止服務(wù),幫助和支持中心將不可用。如果禁用服務(wù),任何直接依賴于此服務(wù)的服務(wù)將無法啟動。
可執(zhí)行文件路徑:
E:\WINDOWS\System32\svchost.exe -k netsvcs
其他補充:
 
 
Messenger
服務(wù)名稱:
Messenger
顯示名稱:
Messenger
服務(wù)描述:
傳輸客戶端和服務(wù)器之間的 NET SEND 和 警報器服務(wù)消息。此服務(wù)與 Windows Messenger 無關(guān)。如果服務(wù)停止,警報器消息不會被傳輸。如果服務(wù)被禁用,任何直接依賴于此服務(wù)的服務(wù)將無法啟動。
可執(zhí)行文件路徑:
E:\WINDOWS\system32\svchost.exe -k netsvcs
其他補充:
 
 
NetMeeting Remote Desktop Sharing
服務(wù)名稱:
mnmsrvc
顯示名稱:
NetMeeting Remote Desktop Sharing
服務(wù)描述:
允許經(jīng)過授權(quán)的用戶用 NetMeeting 在公司 intranet 上遠程訪問這臺計算機。如果服務(wù)被停止,遠程桌面共享將不可用。如果服務(wù)被禁用,依賴這個服務(wù)的任何服務(wù)都會無法啟動。
可執(zhí)行文件路徑:
E:\WINDOWS\system32\mnmsrvc.exe
其他補充:
 
 
Print Spooler
服務(wù)名稱:
Spooler
顯示名稱:
Print Spooler
服務(wù)描述:
管理所有本地和網(wǎng)絡(luò)打印隊列及控制所有打印工作。如果此服務(wù)被停用,本地計算機上的打印將不可用。如果此服務(wù)被禁用,任何依賴于它的服務(wù)將無法啟用。
可執(zhí)行文件路徑:
E:\WINDOWS\system32\spoolsv.exe
其他補充:
 
 
Remote Registry
服務(wù)名稱:
RemoteRegistry
顯示名稱:
Remote Registry
服務(wù)描述:
使遠程用戶能修改此計算機上的注冊表設(shè)置。如果此服務(wù)被終止,只有此計算機上的用戶才能修改注冊表。如果此服務(wù)被禁用,任何依賴它的服務(wù)將無法啟動。
可執(zhí)行文件路徑:
E:\WINDOWS\system32\svchost.exe -k regsvc
其他補充:
 
 
Task Scheduler
服務(wù)名稱:
Schedule
顯示名稱:
Task Scheduler
服務(wù)描述:
使用戶能在此計算機上配置和計劃自動任務(wù)。如果此服務(wù)被終止,這些任務(wù)將無法在計劃時間里運行。如果此服務(wù)被禁用,任何依賴它的服務(wù)將無法啟動。
可執(zhí)行文件路徑:
E:\WINDOWS\System32\svchost.exe -k netsvcs
其他補充:
 
 
TCP/IP NetBIOS Helper
服務(wù)名稱:
LmHosts
顯示名稱:
TCP/IP NetBIOS Helper
服務(wù)描述:
提供 TCP/IP (NetBT) 服務(wù)上的 NetBIOS 和網(wǎng)絡(luò)上客戶端的 NetBIOS 名稱解析的支持,從而使用戶能夠共享文件、打印和登錄到網(wǎng)絡(luò)。如果此服務(wù)被停用,這些功能可能不可用。如果此服務(wù)被禁用,任何依賴它的服務(wù)將無法啟動。
可執(zhí)行文件路徑:
E:\WINDOWS\system32\svchost.exe -k LocalService
其他補充:
 
 
Telnet
服務(wù)名稱:
TlntSvr
顯示名稱:
Telnet
服務(wù)描述:
允許遠程用戶登錄到此計算機并運行程序,并支持多種 TCP/IP Telnet 客戶端,包括基于 UNIX 和 Windows 的計算機。如果此服務(wù)停止,遠程用戶就不能訪問程序,任何直接依賴于它的服務(wù)將會啟動失敗。
可執(zhí)行文件路徑:
E:\WINDOWS\system32\tlntsvr.exe
其他補充:
 
 
Workstation
服務(wù)名稱:
lanmanworkstation
顯示名稱:
Workstation
服務(wù)描述:
創(chuàng)建和維護到遠程服務(wù)的客戶端網(wǎng)絡(luò)連接。如果服務(wù)停止,這些連接將不可用。如果服務(wù)被禁用,任何直接依賴于此服務(wù)的服務(wù)將無法啟動。
可執(zhí)行文件路徑:
E:\WINDOWS\system32\svchost.exe -k netsvcs
其他補充:
 

    以上是windows2003server標準服務(wù)當中需要停止的服務(wù),作為IIS網(wǎng)絡(luò)服務(wù)器,以上服務(wù)務(wù)必要停止,如果需要SSL證書服務(wù),則設(shè)置方法不同,如果有問題請聯(lián)系QQ: 473413


3、服務(wù)器安全設(shè)置之--組件安全設(shè)置篇 (非常重要?。?!)

A、卸載WScript.Shell Shell.application 組件,將下面的代碼保存為一個.BAT文件執(zhí)行(分2000和2003系統(tǒng))
windows2000.bat
windows2003.bat
B、改名不安全組件,需要注意的是組件的名稱和Clsid都要改,并且要改徹底了,不要照抄,要自己改
 
【開始→運行→regedit→回車】打開注冊表編輯器

然后【編輯→查找→填寫Shell.application→查找下一個】

用這個方法能找到兩個注冊表項:

{13709620-C279-11CE-A49E-444553540000}Shell.application 。

第一步:為了確保萬無一失,把這兩個注冊表項導(dǎo)出來,保存為xxxx.reg 文件。

第二步:比如我們想做這樣的更改

13709620-C279-11CE-A49E-444553540000 改名為 13709620-C279-11CE-A49E-444553540001

Shell.application 改名為 Shell.application_nohack

第三步:那么,就把剛才導(dǎo)出的.reg文件里的內(nèi)容按上面的對應(yīng)關(guān)系替換掉,然后把修改好的.reg文件導(dǎo)入到注冊表中(雙擊即可),導(dǎo)入了改名后的注冊表項之后,別忘記了刪除原有的那兩個項目。這里需要注意一點,Clsid中只能是十個數(shù)字和ABCDEF六個字母。

其實,只要把對應(yīng)注冊表項導(dǎo)出來備份,然后直接改鍵名就可以了,
改好的例子
建議自己改
應(yīng)該可一次成功
老杜評論:
WScript.ShellShell.application 組件是 腳本入侵過程中,提升權(quán)限的重要環(huán)節(jié),這兩個組件的卸載和修改對應(yīng)注冊鍵名,可以很大程度的提高虛擬主機的腳本安全性能,一般來說,ASP和php類腳本提升權(quán)限的功能是無法實現(xiàn)了,再加上一些系統(tǒng)服務(wù)硬盤訪問權(quán)限、端口過濾、本地安全策略的設(shè)置,虛擬主機因該說,安全性能有非常大的提高,黑客入侵的可能性是非常低了。注銷了Shell組件之后,侵入者運行提升工具的可能性就很小了,但是prel等別的腳本語言也有shell能力,為防萬一,還是設(shè)置一下為好。下面是另外一種設(shè)置,大同小異。
  一、禁止使用FileSystemObject組件

  FileSystemObject可以對文件進行常規(guī)操作,可以通過修改注冊表,將此組件改名,來防止此類木馬的危害。

  HKEY_CLASSES_ROOT\Scripting.FileSystemObject\

  改名為其它的名字,如:改為 FileSystemObject_ChangeName

  自己以后調(diào)用的時候使用這個就可以正常調(diào)用此組件了

  也要將clsid值也改一下

  HKEY_CLASSES_ROOT\Scripting.FileSystemObject\CLSID\項目的值

  也可以將其刪除,來防止此類木馬的危害。

  2000注銷此組件命令:RegSrv32 /u C:\WINNT\SYSTEM\scrrun.dll

  2003注銷此組件命令:RegSrv32 /u C:\WINDOWS\SYSTEM\scrrun.dll

  如何禁止Guest用戶使用scrrun.dll來防止調(diào)用此組件?

  使用這個命令:cacls C:\WINNT\system32\scrrun.dll /e /d guests

  二、禁止使用WScript.Shell組件

  WScript.Shell可以調(diào)用系統(tǒng)內(nèi)核運行DOS基本命令

  可以通過修改注冊表,將此組件改名,來防止此類木馬的危害。

  HKEY_CLASSES_ROOT\WScript.Shell\及HKEY_CLASSES_ROOT\WScript.Shell.1\

  改名為其它的名字,如:改為WScript.Shell_ChangeName WScript.Shell.1_ChangeName

  自己以后調(diào)用的時候使用這個就可以正常調(diào)用此組件了

  也要將clsid值也改一下

  HKEY_CLASSES_ROOT\WScript.Shell\CLSID\項目的值

  HKEY_CLASSES_ROOT\WScript.Shell.1\CLSID\項目的值

  也可以將其刪除,來防止此類木馬的危害。

  三、禁止使用Shell.Application組件

  Shell.Application可以調(diào)用系統(tǒng)內(nèi)核運行DOS基本命令

  可以通過修改注冊表,將此組件改名,來防止此類木馬的危害。

  HKEY_CLASSES_ROOT\Shell.Application\

  及

  HKEY_CLASSES_ROOT\Shell.Application.1\


  改名為其它的名字,如:改為Shell.Application_ChangeName Shell.Application.1_ChangeName

  自己以后調(diào)用的時候使用這個就可以正常調(diào)用此組件了

  也要將clsid值也改一下

  HKEY_CLASSES_ROOT\Shell.Application\CLSID\項目的值

  HKEY_CLASSES_ROOT\Shell.Application\CLSID\項目的值

  也可以將其刪除,來防止此類木馬的危害。

  禁止Guest用戶使用shell32.dll來防止調(diào)用此組件。

  2000使用命令:cacls C:\WINNT\system32\shell32.dll /e /d guests
  2003使用命令:cacls C:\WINDOWS\system32\shell32.dll /e /d guests

  注:操作均需要重新啟動WEB服務(wù)后才會生效。

  四、調(diào)用Cmd.exe

  禁用Guests組用戶調(diào)用cmd.exe

  2000使用命令:cacls C:\WINNT\system32\Cmd.exe /e /d guests
  2003使用命令:cacls C:\WINDOWS\system32\Cmd.exe /e /d guests

  通過以上四步的設(shè)置基本可以防范目前比較流行的幾種木馬,但最有效的辦法還是通過綜合安全設(shè)置,將服務(wù)器、程序安全都達到一定標準,才可能將安全等級設(shè)置較高,防范更多非法入侵。

 

C、防止Serv-U權(quán)限提升 (適用于 Serv-U6.0 以前版本,之后可以直接設(shè)置密碼)
 

先停掉Serv-U服務(wù)

Ultraedit打開ServUDaemon.exe

查找 Ascii:LocalAdministrator#l@$ak#.lk;0@P

修改成等長度的其它字符就可以了,ServUAdmin.exe也一樣處理。

另外注意設(shè)置Serv-U所在的文件夾的權(quán)限,不要讓IIS匿名用戶有讀取的權(quán)限,否則人家下走你修改過的文件,照樣可以分析出你的管理員名和密碼。

http://www.ajiang.net/products/aspcheck/ (可以測試組件安全性)

如果有問題請聯(lián)系QQ: 473413

4、服務(wù)器安全設(shè)置之--IIS用戶設(shè)置方法

IIS安全訪問的例子

IIS基本設(shè)置  
   
   
主機頭
主機腳本
硬盤目錄
IIS用戶名
硬盤權(quán)限
應(yīng)用程序池
主目錄
應(yīng)用程序配置
www.1.com
HTM
D:\www.1.com\
IUSR_1.com
Administrators(完全控制)
IUSR_1.com(讀)
 
可共用
讀取/純腳本
啟用父路徑
www.2.com
ASP
D:\www.2.com\
IUSR_1.com
Administrators(完全控制)
IUSR_2.com(讀/寫)
可共用
讀取/純腳本
啟用父路徑
www.3.com
NET
D:\www.3.com\
IUSR_1.com
Administrators(完全控制)
IWAM_3.com(讀/寫)
IUSR_3.com(讀/寫)
獨立池
讀取/純腳本
啟用父路徑
www.4.com
PHP
D:\www.4.com\
IUSR_1.com
Administrators(完全控制)
IWAM_4.com(讀/寫)
IUSR_4.com(讀/寫)
獨立池
讀取/純腳本
啟用父路徑
其中 IWAM_3.comIWAM_4.com 分別是各自獨立應(yīng)用程序池標識中的啟動帳戶

主機腳本類型
應(yīng)用程序擴展名 (就是文件后綴名)對應(yīng)主機腳本,只需要加載以下的應(yīng)用程序擴展
HTM
STM | SHTM | SHTML | MDB
ASP
ASP | ASA | MDB
NET
ASPX | ASAX | ASCX| ASHX | ASMX | AXD | VSDISCO | REM | SOAP | CONFIG |
CS |CSPROJ | VB | VBPROJ | WEBINFO | LICX | RESX | RESOURCES | MDB
PHP
PHP | PHP3 | PHP4

MDB是共用映射,下面用紅色表示

應(yīng)用程序擴展
映射文件 執(zhí)行動作
STM=.stm
C:\WINDOWS\system32\inetsrv\ssinc.dll GET,POST
SHTM=.shtm
C:\WINDOWS\system32\inetsrv\ssinc.dll GET,POST
SHTML=.shtml
C:\WINDOWS\system32\inetsrv\ssinc.dll GET,POST
ASP=.asp
C:\WINDOWS\system32\inetsrv\asp.dll GET,HEAD,POST,TRACE
ASA=.asa
C:\WINDOWS\system32\inetsrv\asp.dll GET,HEAD,POST,TRACE
ASPX=.aspx
C:\WINDOWS\Microsoft.NET\Framework\v1.1.4322\aspnet_isapi.dll GET,HEAD,POST,DEBUG
ASAX=.asax
C:\WINDOWS\Microsoft.NET\Framework\v1.1.4322\aspnet_isapi.dll GET,HEAD,POST,DEBUG
ASCX=.ascx
C:\WINDOWS\Microsoft.NET\Framework\v1.1.4322\aspnet_isapi.dll GET,HEAD,POST,DEBUG
ASHX=.ashx
C:\WINDOWS\Microsoft.NET\Framework\v1.1.4322\aspnet_isapi.dll GET,HEAD,POST,DEBUG
ASMX=.asmx
C:\WINDOWS\Microsoft.NET\Framework\v1.1.4322\aspnet_isapi.dll GET,HEAD,POST,DEBUG
AXD=.axd
C:\WINDOWS\Microsoft.NET\Framework\v1.1.4322\aspnet_isapi.dll GET,HEAD,POST,DEBUG
VSDISCO=.vsdisco
C:\WINDOWS\Microsoft.NET\Framework\v1.1.4322\aspnet_isapi.dll GET,HEAD,POST,DEBUG
REM=.rem
C:\WINDOWS\Microsoft.NET\Framework\v1.1.4322\aspnet_isapi.dll GET,HEAD,POST,DEBUG
SOAP=.soap
C:\WINDOWS\Microsoft.NET\Framework\v1.1.4322\aspnet_isapi.dll GET,HEAD,POST,DEBUG
CONFIG=.config
C:\WINDOWS\Microsoft.NET\Framework\v1.1.4322\aspnet_isapi.dll GET,HEAD,POST,DEBUG
CS=.cs
C:\WINDOWS\Microsoft.NET\Framework\v1.1.4322\aspnet_isapi.dll GET,HEAD,POST,DEBUG
CSPROJ=.csproj
C:\WINDOWS\Microsoft.NET\Framework\v1.1.4322\aspnet_isapi.dll GET,HEAD,POST,DEBUG
VB=.vb
C:\WINDOWS\Microsoft.NET\Framework\v1.1.4322\aspnet_isapi.dll GET,HEAD,POST,DEBUG
VBPROJ=.vbproj
C:\WINDOWS\Microsoft.NET\Framework\v1.1.4322\aspnet_isapi.dll GET,HEAD,POST,DEBUG
WEBINFO=.webinfo
C:\WINDOWS\Microsoft.NET\Framework\v1.1.4322\aspnet_isapi.dll GET,HEAD,POST,DEBUG
LICX=.licx
C:\WINDOWS\Microsoft.NET\Framework\v1.1.4322\aspnet_isapi.dll GET,HEAD,POST,DEBUG
RESX=.resx
C:\WINDOWS\Microsoft.NET\Framework\v1.1.4322\aspnet_isapi.dll GET,HEAD,POST,DEBUG
RESOURCES=.resources
C:\WINDOWS\Microsoft.NET\Framework\v1.1.4322\aspnet_isapi.dll GET,HEAD,POST,DEBUG
PHP=.php
C:\php5\php5isapi.dll GET,HEAD,POST
PHP3=.php3
C:\php5\php5isapi.dll GET,HEAD,POST
PHP4=.php4
C:\php5\php5isapi.dll GET,HEAD,POST
MDB=.mdb
C:\WINDOWS\system32\inetsrv\ssinc.dll GET,POST

ASP.NET 進程帳戶所需的 NTFS 權(quán)限

目錄 所需權(quán)限

Temporary ASP.NET Files%windir%\Microsoft.NET\Framework\{版本}Temporary ASP.NET Files

進程帳戶和模擬標識:
完全控制

臨時目錄 (%temp%)

進程帳戶
完全控制

.NET Framework 目錄%windir%\Microsoft.NET\Framework\{版本}

進程帳戶和模擬標識:
讀取和執(zhí)行
列出文件夾內(nèi)容
讀取

.NET Framework 配置目錄%windir%\Microsoft.NET\Framework\{版本}\CONFIG

進程帳戶和模擬標識:
讀取和執(zhí)行
列出文件夾內(nèi)容
讀取

網(wǎng)站根目錄
C:\inetpub\wwwroot
或默認網(wǎng)站指向的路徑

進程帳戶:
讀取

系統(tǒng)根目錄
%windir%\system32

進程帳戶:
讀取

全局程序集高速緩存
%windir%\assembly

進程帳戶和模擬標識:
讀取

內(nèi)容目錄
C:\inetpub\wwwroot\YourWebApp
(一般來說不用默認目錄,管理員可根據(jù)實際情況調(diào)整比如D:\wwwroot)

進程帳戶:
讀取和執(zhí)行
列出文件夾內(nèi)容
讀取
注意 對于 .NET Framework 1.0,直到文件系統(tǒng)根目錄的所有父目錄也都需要上述權(quán)限。父目錄包括:
C:\
C:\inetpub\
C:\inetpub\wwwroot\

如果有問題請聯(lián)系QQ: 473413


5、 服務(wù)器安全設(shè)置之--服務(wù)器安全和性能配置
把下面文本保存為: windows2000-2003服務(wù)器安全和性能注冊表自動配置文件.reg 運行即可。
功能:可抵御DDOS攻擊2-3萬包,提高服務(wù)器TCP-IP整體安全性能(效果等于軟件防火墻,節(jié)約了系統(tǒng)資源)

6、服務(wù)器安全設(shè)置之--IP安全策略 (僅僅列出需要屏蔽或阻止的端口或協(xié)議)

協(xié)議
IP協(xié)議端口
源地址
目標地址
描述
方式
ICMP -- -- --
ICMP
阻止
UDP
135
任何IP地址
我的IP地址
135-UDP
阻止
UDP
136
任何IP地址
我的IP地址
136-UDP
阻止
UDP
137
任何IP地址
我的IP地址
137-UDP
阻止
UDP
138
任何IP地址
我的IP地址
138-UDP
阻止
UDP
139
任何IP地址
我的IP地址
139-UDP
阻止
TCP
445
任何IP地址-從任意端口
我的IP地址-445
445-TCP
阻止
UDP
445
任何IP地址-從任意端口
我的IP地址-445
445-UDP
阻止
UDP 69 任何IP地址-從任意端口 我的IP地址-69
69-入
阻止
UDP 69 我的IP地址-69 任何IP地址-任意端口 69-出
阻止
TCP 4444 任何IP地址-從任意端口 我的IP地址-4444 4444-TCP
阻止
TCP 1026 我的IP地址-1026 任何IP地址-任意端口 灰鴿子-1026
阻止
TCP 1027 我的IP地址-1027 任何IP地址-任意端口 灰鴿子-1027
阻止
TCP 1028 我的IP地址-1028 任何IP地址-任意端口 灰鴿子-1028
阻止
UDP
1026 我的IP地址-1026 任何IP地址-任意端口 灰鴿子-1026
阻止
UDP 1027 我的IP地址-1027 任何IP地址-任意端口 灰鴿子-1027
阻止
UDP 1028 我的IP地址-1028 任何IP地址-任意端口 灰鴿子-1028
阻止
TCP 21 我的IP地址-從任意端口 任何IP地址-到21端口 阻止tftp出站
阻止
TCP 99 我的IP地址-99 任何IP地址-任意端口 阻止99shell
阻止

以上是IP安全策略里的設(shè)置,可以根據(jù)實際情況,增加或刪除端口,如果不會設(shè)置,可以加我QQ,有償協(xié)助。
 


7、服務(wù)器安全設(shè)置之--本地安全策略設(shè)置

安全策略自動更新命令:GPUpdate /force (應(yīng)用組策略自動生效不需重新啟動)


   開始菜單—>管理工具—>本地安全策略

   A、本地策略——>審核策略

  
審核策略更改   成功 失敗  
   審核登錄事件   成功 失敗
   審核對象訪問      失敗
   審核過程跟蹤   無審核
   審核目錄服務(wù)訪問    失敗
   審核特權(quán)使用      失敗
   審核系統(tǒng)事件   成功 失敗
   審核賬戶登錄事件 成功 失敗
   審核賬戶管理   成功 失敗

  B、本地策略——>用戶權(quán)限分配

   關(guān)閉系統(tǒng):只有Administrators組、其它全部刪除。
   通過終端服務(wù)拒絕登陸:加入Guests、(千萬不能加入User組,不然遠程無法登錄)
   通過終端服務(wù)允許登陸:只加入Administrators組,其他全部刪除

  C、本地策略——>安全選項

   交互式登陸:不顯示上次的用戶名       啟用
   網(wǎng)絡(luò)訪問:不允許SAM帳戶和共享的匿名枚舉   啟用
   網(wǎng)絡(luò)訪問:不允許為網(wǎng)絡(luò)身份驗證儲存憑證   啟用
   網(wǎng)絡(luò)訪問:可匿名訪問的共享         全部刪除
   網(wǎng)絡(luò)訪問:可匿名訪問的命          全部刪除
   網(wǎng)絡(luò)訪問:可遠程訪問的注冊表路徑      全部刪除
   網(wǎng)絡(luò)訪問:可遠程訪問的注冊表路徑和子路徑  全部刪除
   帳戶:重命名來賓帳戶            重命名一個帳戶
   帳戶:重命名系統(tǒng)管理員帳戶         重命名一個帳戶

 

UI 中的設(shè)置名稱 企業(yè)客戶端臺式計算機 企業(yè)客戶端便攜式計算機 高安全級臺式計算機 高安全級便攜式計算機

帳戶: 使用空白密碼的本地帳戶只允許進行控制臺登錄

已啟用

已啟用

已啟用

已啟用

帳戶: 重命名系統(tǒng)管理員帳戶

推薦

推薦

推薦

推薦

帳戶: 重命名來賓帳戶

推薦

推薦

推薦

推薦

設(shè)備: 允許不登錄移除

已禁用

已啟用

已禁用

已禁用

設(shè)備: 允許格式化和彈出可移動媒體

Administrators, Interactive Users

Administrators, Interactive Users

Administrators

Administrators

設(shè)備: 防止用戶安裝打印機驅(qū)動程序

已啟用

已禁用

已啟用

已禁用

設(shè)備: 只有本地登錄的用戶才能訪問 CD-ROM

已禁用

已禁用

已啟用

已啟用

設(shè)備: 只有本地登錄的用戶才能訪問軟盤

已啟用

已啟用

已啟用

已啟用

設(shè)備: 未簽名驅(qū)動程序的安裝操作

允許安裝但發(fā)出警告

允許安裝但發(fā)出警告

禁止安裝

禁止安裝

域成員: 需要強 (Windows 2000 或以上版本) 會話密鑰

已啟用

已啟用

已啟用

已啟用

交互式登錄: 不顯示上次的用戶名

已啟用

已啟用

已啟用

已啟用

交互式登錄: 不需要按 CTRL+ALT+DEL

已禁用

已禁用

已禁用

已禁用

交互式登錄: 用戶試圖登錄時消息文字

此系統(tǒng)限制為僅授權(quán)用戶。嘗試進行未經(jīng)授權(quán)訪問的個人將受到起訴。

此系統(tǒng)限制為僅授權(quán)用戶。嘗試進行未經(jīng)授權(quán)訪問的個人將受到起訴。

此系統(tǒng)限制為僅授權(quán)用戶。嘗試進行未經(jīng)授權(quán)訪問的個人將受到起訴。

此系統(tǒng)限制為僅授權(quán)用戶。嘗試進行未經(jīng)授權(quán)訪問的個人將受到起訴。

交互式登錄: 用戶試圖登錄時消息標題

繼續(xù)在沒有適當授權(quán)的情況下使用是違法行為。

繼續(xù)在沒有適當授權(quán)的情況下使用是違法行為。

繼續(xù)在沒有適當授權(quán)的情況下使用是違法行為。

繼續(xù)在沒有適當授權(quán)的情況下使用是違法行為。

交互式登錄: 可被緩存的前次登錄個數(shù) (在域控制器不可用的情況下)

2

2

0

1

交互式登錄: 在密碼到期前提示用戶更改密碼

14 天

14 天

14 天

14 天

交互式登錄: 要求域控制器身份驗證以解鎖工作站

已禁用

已禁用

已啟用

已禁用

交互式登錄: 智能卡移除操作

鎖定工作站

鎖定工作站

鎖定工作站

鎖定工作站

Microsoft 網(wǎng)絡(luò)客戶: 數(shù)字簽名的通信(若服務(wù)器同意)

已啟用

已啟用

已啟用

已啟用

Microsoft 網(wǎng)絡(luò)客戶: 發(fā)送未加密的密碼到第三方 SMB 服務(wù)器。

已禁用

已禁用

已禁用

已禁用

Microsoft 網(wǎng)絡(luò)服務(wù)器: 在掛起會話之前所需的空閑時間

15 分鐘

15 分鐘

15 分鐘

15 分鐘

Microsoft 網(wǎng)絡(luò)服務(wù)器: 數(shù)字簽名的通信(總是)

已啟用

已啟用

已啟用

已啟用

Microsoft 網(wǎng)絡(luò)服務(wù)器: 數(shù)字簽名的通信(若客戶同意)

已啟用

已啟用

已啟用

已啟用

Microsoft 網(wǎng)絡(luò)服務(wù)器: 當?shù)卿洉r間用完時自動注銷用戶

已啟用

已禁用

已啟用

已禁用

網(wǎng)絡(luò)訪問: 允許匿名 SID/名稱 轉(zhuǎn)換

已禁用

已禁用

已禁用

已禁用

網(wǎng)絡(luò)訪問: 不允許 SAM 帳戶和共享的匿名枚舉

已啟用

已啟用

已啟用

已啟用

網(wǎng)絡(luò)訪問: 不允許 SAM 帳戶和共享的匿名枚舉

已啟用

已啟用

已啟用

已啟用

網(wǎng)絡(luò)訪問: 不允許為網(wǎng)絡(luò)身份驗證儲存憑據(jù)或 .NET Passports

已啟用

已啟用

已啟用

已啟用

網(wǎng)絡(luò)訪問: 限制匿名訪問命名管道和共享

已啟用

已啟用

已啟用

已啟用

網(wǎng)絡(luò)訪問: 本地帳戶的共享和安全模式

經(jīng)典 - 本地用戶以自己的身份驗證

經(jīng)典 - 本地用戶以自己的身份驗證

經(jīng)典 - 本地用戶以自己的身份驗證

經(jīng)典 - 本地用戶以自己的身份驗證

網(wǎng)絡(luò)安全: 不要在下次更改密碼時存儲 LAN Manager 的哈希值

已啟用

已啟用

已啟用

已啟用

網(wǎng)絡(luò)安全: 在超過登錄時間后強制注銷

已啟用

已禁用

已啟用

已禁用

網(wǎng)絡(luò)安全: LAN Manager 身份驗證級別

僅發(fā)送 NTLMv2 響應(yīng)

僅發(fā)送 NTLMv2 響應(yīng)

僅發(fā)送 NTLMv2 響應(yīng)\拒絕 LM & NTLM

僅發(fā)送 NTLMv2 響應(yīng)\拒絕 LM & NTLM

網(wǎng)絡(luò)安全: 基于 NTLM SSP(包括安全 RPC)客戶的最小會話安全

沒有最小

沒有最小

要求 NTLMv2 會話安全 要求 128-位加密

要求 NTLMv2 會話安全 要求 128-位加密

網(wǎng)絡(luò)安全: 基于 NTLM SSP(包括安全 RPC)服務(wù)器的最小會話安全

沒有最小

沒有最小

要求 NTLMv2 會話安全 要求 128-位加密

要求 NTLMv2 會話安全 要求 128-位加密

故障恢復(fù)控制臺: 允許自動系統(tǒng)管理級登錄

已禁用

已禁用

已禁用

已禁用

故障恢復(fù)控制臺: 允許對所有驅(qū)動器和文件夾進行軟盤復(fù)制和訪問

已啟用

已啟用

已禁用

已禁用

關(guān)機: 允許在未登錄前關(guān)機

已禁用

已禁用

已禁用

已禁用

關(guān)機: 清理虛擬內(nèi)存頁面文件

已禁用

已禁用

已啟用

已啟用

系統(tǒng)加密: 使用 FIPS 兼容的算法來加密,哈希和簽名

已禁用

已禁用

已禁用

已禁用

系統(tǒng)對象: 由管理員 (Administrators) 組成員所創(chuàng)建的對象默認所有者

對象創(chuàng)建者

對象創(chuàng)建者

對象創(chuàng)建者

對象創(chuàng)建者

系統(tǒng)設(shè)置: 為軟件限制策略對 Windows 可執(zhí)行文件使用證書規(guī)則

已禁用

已禁用

已禁用

已禁用


8、防御PHP木馬攻擊的技巧

 

  PHP本身再老版本有一些問題,比如在 php4.3.10和php5.0.3以前有一些比較嚴重的bug,所以推薦使用新版。另外,目前鬧的轟轟烈烈的SQL   Injection也是在PHP上有很多利用方式,所以要保證
  安全,PHP代碼編寫是一方面,PHP的配置更是非常關(guān)鍵。
  我們php手手工安裝的,php的默認配置文件在 /usr/local/apache2/conf/php.ini,我們最主要就是要配置php.ini中的內(nèi)容,讓我們執(zhí)行  php能夠更安全。整個PHP中的安全設(shè)置主要是為了防止phpshell和SQL Injection的攻擊,一下我們慢慢探討。我們先使用任何編輯工具打開  /etc/local/apache2/conf/php.ini,如果你是采用其他方式安裝,配置文件可能不在該目錄。

  (1) 打開php的安全模式

  php的安全模式是個非常重要的內(nèi)嵌的安全機制,能夠控制一些php中的函數(shù),比如system(),
  同時把很多文件操作函數(shù)進行了權(quán)限控制,也不允許對某些關(guān)鍵文件的文件,比如/etc/passwd,
  但是默認的php.ini是沒有打開安全模式的,我們把它打開:
  safe_mode = on

  (2) 用戶組安全

  當safe_mode打開時,safe_mode_gid被關(guān)閉,那么php腳本能夠?qū)ξ募M行訪問,而且相同
  組的用戶也能夠?qū)ξ募M行訪問。
  建議設(shè)置為:

  safe_mode_gid = off

  如果不進行設(shè)置,可能我們無法對我們服務(wù)器網(wǎng)站目錄下的文件進行操作了,比如我們需要
  對文件進行操作的時候。

  (3) 安全模式下執(zhí)行程序主目錄

  如果安全模式打開了,但是卻是要執(zhí)行某些程序的時候,可以指定要執(zhí)行程序的主目錄:

  safe_mode_exec_dir = D:/usr/bin

  一般情況下是不需要執(zhí)行什么程序的,所以推薦不要執(zhí)行系統(tǒng)程序目錄,可以指向一個目錄,
  然后把需要執(zhí)行的程序拷貝過去,比如:

  safe_mode_exec_dir = D:/tmp/cmd

  但是,我更推薦不要執(zhí)行任何程序,那么就可以指向我們網(wǎng)頁目錄:

  safe_mode_exec_dir = D:/usr/www

  (4) 安全模式下包含文件

  如果要在安全模式下包含某些公共文件,那么就修改一下選項:

  safe_mode_include_dir = D:/usr/www/include/

  其實一般php腳本中包含文件都是在程序自己已經(jīng)寫好了,這個可以根據(jù)具體需要設(shè)置。

  (5) 控制php腳本能訪問的目錄

  使用open_basedir選項能夠控制PHP腳本只能訪問指定的目錄,這樣能夠避免PHP腳本訪問
  不應(yīng)該訪問的文件,一定程度上限制了phpshell的危害,我們一般可以設(shè)置為只能訪問網(wǎng)站目錄:

  open_basedir = D:/usr/www

  (6) 關(guān)閉危險函數(shù)

  如果打開了安全模式,那么函數(shù)禁止是可以不需要的,但是我們?yōu)榱税踩€是考慮進去。比如,
  我們覺得不希望執(zhí)行包括system()等在那的能夠執(zhí)行命令的php函數(shù),或者能夠查看php信息的
  phpinfo()等函數(shù),那么我們就可以禁止它們:

  disable_functions = system,passthru,exec,shell_exec,popen,phpinfo

  如果你要禁止任何文件和目錄的操作,那么可以關(guān)閉很多文件操作

  disable_functions = chdir,chroot,dir,getcwd,opendir,readdir,scandir,fopen,unlink,delete,copy,mkdir,   rmdir,rename,file,file_get_contents,fputs,fwrite,chgrp,chmod,chown

  以上只是列了部分不叫常用的文件處理函數(shù),你也可以把上面執(zhí)行命令函數(shù)和這個函數(shù)結(jié)合,
  就能夠抵制大部分的phpshell了。

  (7) 關(guān)閉PHP版本信息在http頭中的泄漏

  我們?yōu)榱朔乐购诳瞳@取服務(wù)器中php版本的信息,可以關(guān)閉該信息斜路在http頭中:

  expose_php = Off

  比如黑客在 telnet www.12345.com 80 的時候,那么將無法看到PHP的信息。

  (8) 關(guān)閉注冊全局變量

  在PHP中提交的變量,包括使用POST或者GET提交的變量,都將自動注冊為全局變量,能夠直接訪問,
  這是對服務(wù)器非常不安全的,所以我們不能讓它注冊為全局變量,就把注冊全局變量選項關(guān)閉:
  register_globals = Off
  當然,如果這樣設(shè)置了,那么獲取對應(yīng)變量的時候就要采用合理方式,比如獲取GET提交的變量var,
  那么就要用$_GET['var']來進行獲取,這個php程序員要注意。

  (9) 打開magic_quotes_gpc來防止SQL注入

  SQL注入是非常危險的問題,小則網(wǎng)站后臺被入侵,重則整個服務(wù)器淪陷,

  所以一定要小心。php.ini中有一個設(shè)置:

  magic_quotes_gpc = Off

  這個默認是關(guān)閉的,如果它打開后將自動把用戶提交對sql的查詢進行轉(zhuǎn)換,
  比如把 ' 轉(zhuǎn)為 \'等,這對防止sql注射有重大作用。所以我們推薦設(shè)置為:

  magic_quotes_gpc = On

  (10) 錯誤信息控制

  一般php在沒有連接到數(shù)據(jù)庫或者其他情況下會有提示錯誤,一般錯誤信息中會包含php腳本當
  前的路徑信息或者查詢的SQL語句等信息,這類信息提供給黑客后,是不安全的,所以一般服務(wù)器建議禁止錯誤提示:

  display_errors = Off

  如果你卻是是要顯示錯誤信息,一定要設(shè)置顯示錯誤的級別,比如只顯示警告以上的信息:

  error_reporting = E_WARNING & E_ERROR

  當然,我還是建議關(guān)閉錯誤提示。

  (11) 錯誤日志

  建議在關(guān)閉display_errors后能夠把錯誤信息記錄下來,便于查找服務(wù)器運行的原因:

  log_errors = On

  同時也要設(shè)置錯誤日志存放的目錄,建議根apache的日志存在一起:

  error_log = D:/usr/local/apache2/logs/php_error.log

  注意:給文件必須允許apache用戶的和組具有寫的權(quán)限。


  MYSQL的降權(quán)運行

  新建立一個用戶比如mysqlstart

  net user mysqlstart fuckmicrosoft /add

  net localgroup users mysqlstart /del

  不屬于任何組

  如果MYSQL裝在d:\mysql ,那么,給 mysqlstart 完全控制 的權(quán)限

  然后在系統(tǒng)服務(wù)中設(shè)置,MYSQL的服務(wù)屬性,在登錄屬性當中,選擇此用戶 mysqlstart 然后輸入密碼,確定。

  重新啟動 MYSQL服務(wù),然后MYSQL就運行在低權(quán)限下了。

  如果是在windos平臺下搭建的apache我們還需要注意一點,apache默認運行是system權(quán)限,
  這很恐怖,這讓人感覺很不爽.那我們就給apache降降權(quán)限吧。

  net user apache fuckmicrosoft /add

  net localgroup users apache /del

  ok.我們建立了一個不屬于任何組的用戶apche。

  我們打開計算機管理器,選服務(wù),點apache服務(wù)的屬性,我們選擇log on,選擇this account,我們填入上面所建立的賬戶和密碼,
  重啟apache服務(wù),ok,apache運行在低權(quán)限下了。

  實際上我們還可以通過設(shè)置各個文件夾的權(quán)限,來讓apache用戶只能執(zhí)行我們想讓它能干的事情,給每一個目錄建立一個單獨能讀寫的用戶。
  這也是當前很多虛擬主機提供商的流行配置方法哦,不過這種方法用于防止這里就顯的有點大材小用了。

 

有問題可以和我QQ聯(lián)系:473413

9、MSSQL安全設(shè)置

sql2000安全很重要


將有安全問題的SQL過程刪除.比較全面.一切為了安全!

刪除了調(diào)用shell,注冊表,COM組件的破壞權(quán)限

use master
EXEC sp_dropextendedproc 'xp_cmdshell'
EXEC sp_dropextendedproc 'Sp_OACreate'
EXEC sp_dropextendedproc 'Sp_OADestroy'
EXEC sp_dropextendedproc 'Sp_OAGetErrorInfo'
EXEC sp_dropextendedproc 'Sp_OAGetProperty'
EXEC sp_dropextendedproc 'Sp_OAMethod'
EXEC sp_dropextendedproc 'Sp_OASetProperty'
EXEC sp_dropextendedproc 'Sp_OAStop'
EXEC sp_dropextendedproc 'Xp_regaddmultistring'
EXEC sp_dropextendedproc 'Xp_regdeletekey'
EXEC sp_dropextendedproc 'Xp_regdeletevalue'
EXEC sp_dropextendedproc 'Xp_regenumvalues'
EXEC sp_dropextendedproc 'Xp_regread'
EXEC sp_dropextendedproc 'Xp_regremovemultistring'
EXEC sp_dropextendedproc 'Xp_regwrite'
drop procedure sp_makewebtask

全部復(fù)制到"SQL查詢分析器"

點擊菜單上的--"查詢"--"執(zhí)行",就會將有安全問題的SQL過程刪除(以上是7i24的正版用戶的技術(shù)支持)

更改默認SA空密碼.數(shù)據(jù)庫鏈接不要使用SA帳戶.單數(shù)據(jù)庫單獨設(shè)使用帳戶.只給public和db_owner權(quán)限.

數(shù)據(jù)庫不要放在默認的位置.

SQL不要安裝在PROGRAM FILE目錄下面.

最近的SQL2000補丁是SP4

有問題可以和我QQ聯(lián)系:473413

10、啟用WINDOWS自帶的防火墻
  
啟用win防火墻

   桌面—>網(wǎng)上鄰居—>(右鍵)屬性—>本地連接—>(右鍵)屬性—>高級—>

 ?。ㄟx中)Internet 連接防火墻—>設(shè)置

   把服務(wù)器上面要用到的服務(wù)端口選中

   例如:一臺WEB服務(wù)器,要提供WEB(80)、FTP(21)服務(wù)及遠程桌面管理(3389)

   在“FTP 服務(wù)器”、“WEB服務(wù)器(HTTP)”、“遠程桌面”、“安全WEB服務(wù)器”前面打上對號

   如果你要提供服務(wù)的端口不在里面,你也可以點擊“添加”銨鈕來添加,SMTP和POP3根據(jù)需要打開

   具體參數(shù)可以參照系統(tǒng)里面原有的參數(shù)。

   然后點擊確定。注意:如果是遠程管理這臺服務(wù)器,請先確定遠程管理的端口是否選中或添加。

   一般需要打開的端口有:21、 25、 80、 110、 443、 3389、 等,根據(jù)需要開放需要的端口。

  
 

有問題可以和我QQ聯(lián)系:473413

11、用戶安全設(shè)置
  
用戶安全設(shè)置

用戶安全設(shè)置

1、禁用Guest賬號

在計算機管理的用戶里面把Guest賬號禁用。為了保險起見,最好給Guest加一個復(fù)雜的密碼。你可以打開記事本,在里面輸入一串包含特殊字符、數(shù)字、字母的長字符串,然后把它作為Guest用戶的密碼拷進去。

2、限制不必要的用戶

去掉所有的Duplicate User用戶、測試用戶、共享用戶等等。用戶組策略設(shè)置相應(yīng)權(quán)限,并且經(jīng)常檢查系統(tǒng)的用戶,刪除已經(jīng)不再使用的用戶。這些用戶很多時候都是黑客們?nèi)肭窒到y(tǒng)的突破口。

3、創(chuàng)建兩個管理員賬號

創(chuàng)建一個一般權(quán)限用戶用來收信以及處理一些日常事物,另一個擁有Administrators 權(quán)限的用戶只在需要的時候使用。

4、把系統(tǒng)Administrator賬號改名

大家都知道,Windows 2000 的Administrator用戶是不能被停用的,這意味著別人可以一遍又一遍地嘗試這個用戶的密碼。盡量把它偽裝成普通用戶,比如改成Guesycludx。

5、創(chuàng)建一個陷阱用戶

什么是陷阱用戶?即創(chuàng)建一個名為“Administrator”的本地用戶,把它的權(quán)限設(shè)置成最低,什么事也干不了的那種,并且加上一個超過10位的超級復(fù)雜密碼。這樣可以讓那些 Hacker們忙上一段時間,借此發(fā)現(xiàn)它們的入侵企圖。

6、把共享文件的權(quán)限從Everyone組改成授權(quán)用戶

任何時候都不要把共享文件的用戶設(shè)置成“Everyone”組,包括打印共享,默認的屬性就是“Everyone”組的,一定不要忘了改。

7、開啟用戶策略

使用用戶策略,分別設(shè)置復(fù)位用戶鎖定計數(shù)器時間為20分鐘,用戶鎖定時間為20分鐘,用戶鎖定閾值為3次。

8、不讓系統(tǒng)顯示上次登錄的用戶名

默認情況下,登錄對話框中會顯示上次登錄的用戶名。這使得別人可以很容易地得到系統(tǒng)的一些用戶名,進而做密碼猜測。修改注冊表可以不讓對話框里顯示上次登錄的用戶名。方法為:打開注冊表編輯器并找到注冊表項“HKLMSoftwareMicrosoftWindows TCurrentVersionWinlogonDo, nt-DisplayLastUserName”,把REG_SZ的鍵值改成1。

密碼安全設(shè)置

1、使用安全密碼

一些公司的管理員創(chuàng)建賬號的時候往往用公司名、計算機名做用戶名,然后又把這些用戶的密碼設(shè)置得太簡單,比如“welcome”等等。因此,要注意密碼的復(fù)雜性,還要記住經(jīng)常改密碼。

2、設(shè)置屏幕保護密碼

這是一個很簡單也很有必要的操作。設(shè)置屏幕保護密碼也是防止內(nèi)部人員破壞服務(wù)器的一個屏障。

3、開啟密碼策略

注意應(yīng)用密碼策略,如啟用密碼復(fù)雜性要求,設(shè)置密碼長度最小值為6位 ,設(shè)置強制密碼歷史為5次,時間為42天。

4、考慮使用智能卡來代替密碼

對于密碼,總是使安全管理員進退兩難,密碼設(shè)置簡單容易受到黑客的攻擊,密碼設(shè)置復(fù)雜又容易忘記。如果條件允許,用智能卡來代替復(fù)雜的密碼是一個很好的解決方法。
 

有問題可以和我QQ聯(lián)系:473413

12、Windows2003 下安裝 WinWebMail 3.6.3.1 完全攻略手冊

這段時間論壇上有朋友提及無法在WINDOWS2003+IIS6下面建立WINWEBMAIL郵件,遇到不一些問題,特意將這篇舊文重新發(fā)一次給大家

1)查看硬盤:兩塊9.1G SCSI 硬盤(實容量8.46*2)

2)分區(qū)
系統(tǒng)分區(qū)X盤7.49G
WEB 分區(qū)X盤1.0G
郵件分區(qū)X盤8.46G(帶1000個100M的郵箱足夠了)

3)安裝WINDOWS SERVER 2003

4)打基本補丁(防毒)...在這之前一定不要接網(wǎng)線!

5)在線打補丁

6)卸載或禁用微軟的SMTP服務(wù)(Simple Mail Transpor Protocol),否則會發(fā)生端口沖突

7)安裝WinWebMail,然后重啟服務(wù)器使WinWebMail完成安裝.并注冊.然后恢復(fù)WinWebMail數(shù)據(jù).

8)安裝Norton 8.0并按WinWebMail幫助內(nèi)容設(shè)定,使Norton與WinWebMail聯(lián)合起到郵件殺毒作用(將Norton更新到最新的病毒庫)
8.1 啟用Norton的實時防護功能
8.2 必須要設(shè)置對于宏病毒和非宏病毒的第1步操作都必須是刪除被感染文件,并且必須關(guān)閉警告提示??!
8.3 必須要在查毒設(shè)置中排除掉安裝目錄下的 \mail 及其所有子目錄,只針對WinWebMail安裝文件夾下的 \temp 文件夾進行實時查毒。注意:如果沒有 \temp 文件夾時,先手工創(chuàng)建此 \temp 文件夾,然后再進行此項設(shè)置。

9)將WinWebMail的DNS設(shè)置為win2k3中網(wǎng)絡(luò)設(shè)置的DNS,切記,要想發(fā)的出去最好設(shè)置一個不同的備用DNS地址,對外發(fā)信的就全靠這些DNS地址了

10)給予安裝 WinWebMail 的盤符以及父目錄以 Internet 來賓帳戶 (IUSR_*) 允許 [讀取\運行\(zhòng)列出文件夾目錄] 的權(quán)限.
WinWebMail的安裝目錄,INTERNET訪問帳號完全控制
給予[超級用戶/SYSTEM]在安裝盤和目錄中[完全控制]權(quán)限,重啟IIS以保證設(shè)定生效.

11)防止外發(fā)垃圾郵件:
11.1 在服務(wù)器上點擊右下角圖標,然后在彈出菜單的“系統(tǒng)設(shè)置”-->“收發(fā)規(guī)則”中選中“啟用SMTP發(fā)信認證功能”項,有效的防范外發(fā)垃圾郵件。
11.2 在“系統(tǒng)設(shè)置”-->“收發(fā)規(guī)則”中選中“只允許系統(tǒng)內(nèi)用戶對外發(fā)信”項。
11.3 在服務(wù)器上點擊右下角圖標,然后在彈出菜單的“系統(tǒng)設(shè)置”-->“防護”頁選中“啟用外發(fā)垃圾郵件自動過濾功能”項,然后再啟用其設(shè)置中的“允許自動調(diào)整”項。
11.4 “系統(tǒng)設(shè)置”-->“收發(fā)規(guī)則”中設(shè)置“最大收件人數(shù)”-----> 10.
11.5 “系統(tǒng)設(shè)置”-->“防護”頁選中“啟用連接攻擊保護功能”項,然后再設(shè)置“啟用自動保護功能”.
11.6 用戶級防付垃圾郵件,需登錄WebMail,在“選項 | 防垃圾郵件”中進行設(shè)置。

12)打開IIS 6.0, 確認啟用支持 asp 功能, 然后在默認站點下建一個虛擬目錄(如: mail), 然后指向安裝 WinWebMail 目錄下的 \Web 子目錄, 打開瀏覽器就可以按下面的地址訪問webmail了:
http://<;;你的IP或域名>/mail/什么? 嫌麻煩不想建? 那可要錯過WinWebMail強大的webmail功能了, 3分鐘的設(shè)置保證物超所值 :)

13)Web基本設(shè)置:
13.1 確認“系統(tǒng)設(shè)置”-->“資源使用設(shè)置”內(nèi)沒有選中“公開申請的是含域名帳號”
13.2 “系統(tǒng)設(shè)置”-->“收發(fā)規(guī)則”中設(shè)置Helo為您域名的MX記錄

13.3.解決SERVER 2003不能上傳大附件的問題:
13.3.1 在服務(wù)里關(guān)閉 iis admin service 服務(wù)。
13.3.2 找到 windows\system32\inetsrv\ 下的 metabase.xml 文件。
13.3.3 用純文本方式打開,找到 ASPMaxRequestEntityAllowed 把它修改為需要的值(可修改為10M即:10240000),默認為:204800,即:200K。
13.3.4 存盤,然后重啟 iis admin service 服務(wù)。

13.4.解決SERVER 2003無法下載超過4M的附件的問題
13.4.1 先在服務(wù)里關(guān)閉 iis admin service 服務(wù)。
13.4.2 找到 windows\system32\inetsrv\ 下的 metabase.xml 文件。
13.4.3 用純文本方式打開,找到 AspBufferingLimit 把它修改為需要的值(可修改為20M即:20480000)。
13.4.4 存盤,然后重啟 iis admin service 服務(wù)。

13.5.解決大附件上傳容易超時失敗的問題.
在IIS中調(diào)大一些腳本超時時間,操作方法是: 在IIS的“站點或(虛擬目錄)”的“主目錄”下點擊“配置”按鈕,設(shè)置腳本超時間為:300秒(注意:不是Session超時時間)。

13.6.解決Windows 2003的IIS 6.0中,Web登錄時經(jīng)常出現(xiàn)"[超時,請重試]"的提示.
將WebMail所使用的應(yīng)用程序池“屬性-->回收”中的“回收工作進程”以及"屬性-->性能"中的“在空閑此段時間后關(guān)閉工作進程”這兩個選項前的勾號去掉,然后重啟一下IIS即可解決.

13.7.解決通過WebMail寫信時間較長后,按下發(fā)信按鈕就會回到系統(tǒng)登錄界面的問題.
適當增加會話時間(Session)為 60分鐘。在IIS站點或虛擬目錄屬性的“主目錄”下點擊[配置---選項],就可以進行設(shè)置了(SERVER 2003默認為20分鐘).

13.8.安裝后查看WinWebMail的安裝目錄下有沒有 \temp 目錄,如沒有,手工建立一個.

14)做郵件收發(fā)及10M附件測試(內(nèi)對外,內(nèi)對內(nèi),外對內(nèi)).

15)打開2003自帶防火墻,并打開POP3.SMTP.WEB.遠程桌面.充許此4項服務(wù), OK, 如果想用IMAP4或SSL的SMTP.POP3.IMAP4也需要打開相應(yīng)的端口.

16)再次做郵件收發(fā)測試(內(nèi)對外,內(nèi)對內(nèi),外對內(nèi)).

17)改名、加強壯口令,并禁用GUEST帳號。

18)改名超級用戶、建立假administrator、建立第二個超級用戶。

都搞定了!忙了半天, 現(xiàn)在終于可以來享受一把 WinWebMail 的超強 webmail 功能了, let's go!

 


13、IIS+PHP+MySQL+Zend Optimizer+GD庫+phpMyAdmin安裝配置[完整修正實用版] 轉(zhuǎn)來的,非原創(chuàng)
IIS+PHP+MySQL+Zend Optimizer+GD庫+phpMyAdmin安裝配置[完整修正實用版]

IIS+PHP+MySQL+Zend Optimizer+GD庫+phpMyAdmin安裝配置[完整修正實用版]

[補充]關(guān)于參照本貼配置這使用中使用的相關(guān)問題請參考
關(guān)于WIN主機下配置PHP的若干問題解決方案總結(jié)這個帖子盡量自行解決,謝謝
http://bbs.xqin.com/viewthread.php?tid=86

一、軟件準備:以下均為截止2006-1-20的最新正式版本,下載地址也均長期有效

1.PHP,推薦PHP4.4.0的ZIP解壓版本:

PHP(4.4.0):http://cn.php.net/get/php-4.4.0-Win32.zip/from/a/mirror

PHP(5.1.2):http://cn.php.net/get/php-5.1.2-Win32.zip/from/a/mirror

2.MySQL,配合PHP4推薦MySQL4.0.26的WIN系統(tǒng)安裝版本:

MySQL(4.0.26):http://download.discuz.net/mysql-4.0.26-win32.zip

MySQL(4.1.16):http://www.skycn.com/soft/24418.html

MySQL(5.0.18):http://download.discuz.net/mysql-4.0.26-win32.zip
 

3.Zend Optimizer,當然選擇當前最新版本拉:

Zend Optimizer(2.6.2):http://www.zend.com/store/free_download.php?pid=13

(Zend軟件雖然免費下載,但需要注冊用戶,這里提供注冊好的帳戶名:xqincom和密碼:xqin.com,方便大家使用,請不要修改本帳號或?qū)⒈編粲糜谄渌M正當途徑,謝謝?。?br />
登陸后選擇Windows x86的Platform版本,如最新版本2.6.2 https://www.zend.com/store/getfreefile.php?pid=13&zbid=995

4.phpMyAdmin


當然同樣選擇當前最新版本拉,注意選擇for Windows 的版本哦:

phpMyAdmin(2.8.0.3):http://www.crsky.com/soft/4190.html

假設(shè) C:\ 為你現(xiàn)在所使用操作系統(tǒng)的系統(tǒng)盤,如果你目前操作系統(tǒng)不是安裝在 C:\ ,請自行對應(yīng)修改相應(yīng)路徑。同時由于C盤經(jīng)常會因為各種原因重裝系統(tǒng),數(shù)據(jù)放在該盤不易備份和轉(zhuǎn)移 選擇安裝目錄,故本文將所有PHP相關(guān)軟件均安裝到D:\php目錄下,這個路徑你可以自行設(shè)定,如果你安裝到不同目錄涉及到路徑的請對應(yīng)修改以下的對應(yīng)路徑即可

二、安裝 PHP :本文PHP安裝路徑取為D:\php\php4\(為避混淆,PHP5.1.x版本安裝路徑取為D:\php\php5\)


(1)、下載后得到 php-4.4.0-Win32.zip ,解壓至D:\php目錄,將得到二級目錄php-4.4.0-Win32,改名為 php4,
也即得到PHP文件存放目錄D:\php\php4\

[如果是PHP5.1.2,得到的文件是php-5.1.2-Win32.zip,直接全部接壓至D:\php\php5目錄即可得PHP文件存放目錄D:\php\php5\];


(2)、再將D:\php\php4目錄和D:\php\php4\dlls目錄

[PHP5為D:\php\php5\]下的所有dll文件 copy 到 c:\Windows\system32 (win2000系統(tǒng)為 c:/winnt/system32/)下,覆蓋已有的dll文件;
 


(3)、將php.ini-dist用記事本打開,利用記事本的查找功能搜索并修改:


搜索 register_globals = Off

將 Off 改成 On ,即得到 register_globals = On

注:這個對應(yīng)PHP的全局變量功能,考慮有很多PHP程序需要全局變量功能故打開,打開后請注意-PHP程序的嚴謹性,如果不需要推薦不修改保持默認Off狀態(tài)
搜索 extension_dir =

這個是PHP擴展功能目錄 并將其路徑指到你的 PHP 目錄下的 extensions 目錄,比如:

修改 extension_dir = "./" extension_dir = "D:/php/php4/extensions/"

[PHP5對應(yīng)修改為 extension_dir = "D:/php/php5/ext/" ]
D:\php 下建立文件夾并命名為 tmp

查找 upload_tmp_dir =

;upload_tmp_dir 該行的注釋符,即前面的分號" ;”去掉,

使該行在php.ini文檔中起作用。upload_tmp_dir是用來定義上傳文件存放的臨時路徑,在這里你還可以修改并給其定義一個絕對路徑,這里設(shè)置的目錄必須有讀寫權(quán)限。

這里我設(shè)置為 upload_tmp_dir = D:/php/tmp (即前面建立的這個文件夾呵)
搜索 ; Windows Extensions

將下面一些常用的項前面的 ; 去掉 ,紅色的必須藍色的供選擇

;extension=php_mbstring.dll

這個必須要

;extension=php_curl.dll

;extension=php_dbase.dll

;extension=php_gd2.dll
這個是用來支持GD庫的,一般需要,必選



;extension=php_ldap.dll

;extension=php_zip.dll


對于PHP5的版本還需要查找

;extension=php_mysql.dll

并同樣去掉前面的";"

這個是用來支持MYSQL的,由于PHP5將MySQL作為一個獨立的模塊來加載運行的,故要支持MYSQL必選


查找 ;session.save_path =

去掉前面 ; 號,本文這里將其設(shè)置置為

session.save_path = D:/php/tmp

其他的你可以選擇需要的去掉前面的;


然后將該文件另存為為 php.ini C:\Windows ( Windows 2000 下為 C:\WINNT)目錄下,注意更改文件后綴名為ini,

得到 C:\Windows\php.ini ( Windows 2000 下為 C:\WINNT\php.ini)


若路徑等和本文相同可直接保存到C:\Windows ( Windows 2000 下為 C:\WINNT) 目錄下 使用



一些朋友經(jīng)常反映無法上傳較大的文件或者運行某些程序經(jīng)常超時,那么可以找到C:\Windows ( Windows 2000 下為 C:\WINNT)目錄下的PHP.INI以下內(nèi)容修改:

max_execution_time = 30 ; 這個是每個腳本運行的最長時間,可以自己修改加長,單位秒
max_input_time = 60 ; 這是每個腳本可以消耗的時間,單位也是秒
memory_limit = 8M ; 這個是腳本運行最大消耗的內(nèi)存,也可以自己加大
upload_max_filesize = 2M ; 上載文件的最大許可大小 ,自己改吧,一些圖片論壇需要這個更大的值


(4)、配置 IIS 使其支持 PHP :

首先必須確定系統(tǒng)中已經(jīng)正確安裝 IIS ,如果沒有安裝,需要先安裝 IIS ,安裝步驟如下:
Windows 2000/XP 下的 IIS 安裝:

用 Administrator 帳號登陸系統(tǒng),將 Windows 2000 安裝光盤插入光盤驅(qū)動器,進入“控制面板”點擊“添加/刪除程序”,再點擊左側(cè)的“添加/刪除 Windows 組件”,在彈出的窗口中選擇“Internet 信息服務(wù)(IIS)”,點下面的“詳細信息”按鈕,選擇組件,以下組件是必須的:“Internet 服務(wù)管理器”、“World Wide Web 服務(wù)器”和“公用文件”,確定安裝。

安裝完畢后,在“控制面板”的“管理工具”里打開“服務(wù)”,檢查“IIS Admin Service”和“World Wide Web Publishing Service”兩項服務(wù),如果沒有啟動,將其啟動即可。

Windows 2003 下的 IIS 安裝:

由于 Windows 2003 的 IIS 6.0 集成在應(yīng)用程序服務(wù)器中,因此安裝應(yīng)用程序服務(wù)器就會默認安裝 IIS 6.0 ,在“開始”菜單中點擊“配置您的服務(wù)器”,在打開的“配置您的服務(wù)器向?qū)?rdquo;里左側(cè)選擇“應(yīng)用程序服務(wù)器(IIS,ASP.NET)”,單擊“下一步”出現(xiàn)“應(yīng)用程序服務(wù)器選項”,你可以選擇和應(yīng)用程序服務(wù)器一起安裝的組件,默認全選即可,單擊“下一步”,出現(xiàn)“選擇總結(jié)界面”,提示了本次安裝中的選項,配置程序?qū)⒆詣影凑?ldquo;選擇總結(jié)”中的選項進行安裝和配置。

打開瀏覽器,輸入:http://localhost/,看到成功頁面后進行下面的操作:

PHP 支持 CGI 和 ISAPI 兩種安裝模式,CGI 更消耗資源,容易因為超時而沒有反映,但是實際上比較安全,負載能力強,節(jié)省資源,但是安全性略差于CGI,本人推薦使用 ISAPI 模式。故這里只解介紹 ISAPI 模式安裝方法:(以下的截圖因各個系統(tǒng)不同,窗口界面可能不同,但對應(yīng)選項卡欄目是相同的,只需找到提到的對應(yīng)選項卡即可)

在“控制面板”的“管理工具”中選擇“Internet 服務(wù)管理器”,打開 IIS 后停止服務(wù),對于WIN2000系統(tǒng)在”Internet 服務(wù)管理器“的下級樹一般為你的”計算機名“上單擊右鍵選擇“屬性”,再在屬性頁面選擇主屬性”WWW 服務(wù)“右邊的”編輯“
 

對于XP/2003系統(tǒng)展開”Internet 服務(wù)管理器“的下級樹一般為你的”計算機名“選擇”網(wǎng)站“并單擊右鍵選擇“屬性”
 

在彈出的屬性窗口上選擇“ISAPI 篩選器”選項卡找到并點擊“添加”按鈕,在彈出的“篩選器屬性”窗口中的“篩選器名稱”欄中輸入:

PHP ,再將瀏覽可執(zhí)行文件使路徑指向 php4isapi.dll 所在路徑,

如本文中為:D:\php\php4\sapi\php4isapi.dll

[PHP5對應(yīng)路徑為 D:\php\php5\php5isapi.dll]
 

打開“站點屬性”窗口的“主目錄”選項卡,找到并點擊“配置”按鈕

在彈出的“應(yīng)用程序配置”窗口中的”應(yīng)用程序映射“選項卡找到并點擊“添加”按鈕新增一個擴展名映射,在彈出的窗口中單擊“瀏覽”將可執(zhí)行文件指向 php4isapi.dll 所在路徑,如本文中為:D:\php\php4\sapi\php4isapi.dll[PHP5對應(yīng)路徑為D:\php\php5\php5isapi.dll],擴展名為 .php ,動作限于”GET,HEAD,POST,TRACE“,將“腳本引擎”“確認文件是否存在”選中,然后一路確定即可。如果還想支持諸如 .php3 ,.phtml 等擴展名的 PHP 文件,可以重復(fù)“添加”步驟,對應(yīng)擴展名設(shè)置為需要的即可如.PHPX。

此步操作將使你服務(wù)器IIS下的所有站點都支持你所添加的PHP擴展文件,當然如果你只需要部分站點支持PHP,只需要在“你需要支持PHP的Web站點”比如“默認Web站點”上單擊右鍵選擇“屬性”,在打開的“ Web 站點屬性”“主目錄”選項卡,編輯或者添加PHP的擴展名映射即可或者將你步需要支持PHP的站點中的PHP擴展映射刪除即可
 

再打開“站點屬性”窗口的“文檔”選項卡,找到并點擊“添加”按鈕,向默認的 Web 站點啟動文檔列表中添加 index.php 項。您可以將 index.php 升到最高優(yōu)先級,這樣,訪問站點時就會首先自動尋找并打開 index.php 文檔。
 

確定 Web 目錄的應(yīng)用程序設(shè)置和執(zhí)行許可中選擇為純腳本,然后關(guān)閉 Internet 信息服務(wù)管理器
對于2003系統(tǒng)還需要在“Internet 服務(wù)管理器”左邊的“WEB服務(wù)擴展”中設(shè)置ISAPI 擴展允許,Active Server Pages 允許
 

完成所有操作后,重新啟動IIS服務(wù)。
在CMD命令提示符中執(zhí)行如下命令:

net stop w3svc
net stop iisadmin
net start w3svc

到此,PHP的基本安裝已經(jīng)完成,我們已經(jīng)使網(wǎng)站支持PHP腳本。
檢查方法是,在 IIS 根目錄下新建一個文本文件存為 php.php ,內(nèi)容如下:
 

<?php
phpinfo();
?>


打開瀏覽器,輸入:http://localhost/php.php,將顯示當前服務(wù)器所支持 PHP 的全部信息,可以看到 Server API的模式為:ISAPI 。
 

或者利用PHP探針檢測http://xqin.com/index.rar下載后解壓到你的站點根目錄下并訪問即可


三、安裝 MySQL :

對于MySQL4.0.26下載得到的是mysql-4.0.26-win32.zip,解壓到mysql-4.0.26-win32目錄雙擊執(zhí)行 Setup.exe 一路Next下一步,選擇安裝目錄為D:\php\MySQL和安裝方式為Custom自定義安裝,再一路Next下一步即可。
 

安裝完畢后,在CMD命令行中輸入并運行:

D:\php\MySQL\bin\mysqld-nt -install

如果返回Service successfully installed.則說明系統(tǒng)服務(wù)成功安裝

新建一文本文件存為MY.INI,編輯配置MY.INI,這里給出一個參考的配置

[mysqld]
basedir=D:/php/MySQL
#MySQL所在目錄
datadir=D:/php/MySQL/data
#MySQL數(shù)據(jù)庫所在目錄,可以更改為其他你存放數(shù)據(jù)庫的目錄
#language=D:/php/MySQL/share/your language directory
#port=3306
set-variable = max_connections=800
skip-locking
set-variable = key_buffer=512M
set-variable = max_allowed_packet=4M
set-variable = table_cache=1024
set-variable = sort_buffer=2M
set-variable = thread_cache=64
set-variable = join_buffer_size=32M
set-variable = record_buffer=32M
set-variable = thread_concurrency=8
set-variable = myisam_sort_buffer_size=64M
set-variable = connect_timeout=10
set-variable = wait_timeout=10
server-id = 1
[isamchk]
set-variable = key_buffer=128M
set-variable = sort_buffer=128M
set-variable = read_buffer=2M
set-variable = write_buffer=2M

[myisamchk]
set-variable = key_buffer=128M
set-variable = sort_buffer=128M
set-variable = read_buffer=2M
set-variable = write_buffer=2M

[WinMySQLadmin]
Server=D:/php/MySQL/bin/mysqld-nt.exe




保存后復(fù)制此MY.INI文件到C:\Windows ( Windows 2000 下為 C:\WINNT)目錄下
回到CMD命令行中輸入并運行:

net start mysql

MySQL 服務(wù)正在啟動 .
MySQL 服務(wù)已經(jīng)啟動成功。


將啟動 MySQL 服務(wù);

DOS下修改ROOT密碼:當然后面安裝PHPMYADMIN后修改密碼也可以通過PHPMYADMIN修改

格式:mysqladmin -u用戶名 -p舊密碼 password 新密碼

例:給root加個密碼xqin.com

首先在進入CMD命令行,轉(zhuǎn)到MYSQL目錄下的bin目錄,然后鍵入以下命令

mysqladmin -uroot password 你的密碼

注:因為開始時root沒有密碼,所以-p舊密碼一項就可以省略了。

D:\php\MySQL\bin>mysqladmin -uroot password 你的密碼


回車后ROOT密碼就設(shè)置為你的密碼

如果你下載的是 MySQL5.x或者MySQL4.1.x,例mysql-5.0.18-win32:解壓后雙擊執(zhí)行 Setup.exe ,Next下一步后選擇Custom自定義安裝,再Next下一步選擇安裝路徑這里我們選擇D:\php\MySQL,繼續(xù)Next下一步跳過Sign UP完成安裝。


安裝完成后會提示你是不是立即進行配置,選擇是即可進行配置。當然一般安裝后菜單里面也有配置向?qū)ySQL Server Instance Config Wizar,運行后按下面步驟配置并設(shè)置ROOT密碼即可

Next下一步后選擇Standard Configuration

Next下一步,鉤選Include .. PATH

Next下一步,設(shè)置ROOT密碼,建議社設(shè)置復(fù)雜點,確保服務(wù)器安全!

Apply完成后將在D:\php\MySQL目錄下生成MY.INI配置文件,添加并啟動MySQL服務(wù)
 

如果你的MySQL安裝出錯,并且卸載重裝仍無法解決,這里提供一個小工具系統(tǒng)服務(wù)管理器http://xqin.com/iis/ser.rar,用于卸載后刪除存在的MYSQL服務(wù),重起后再按上述說明進行安裝一般即可成功安裝


四、安裝 Zend Optimizer :

下載后得到 ZendOptimizer-2.6.2-Windows-i386.exe ,直接雙擊安裝即可,安裝過程要你選擇 Web Server 時,選擇 IIS ,然后提示你是否 Restart Web Server,選擇是,完成安裝之前提示是否備份 php.ini ,點確定后安裝完成。我這里安裝到D:\php\Zend

以下兩步的目錄根據(jù)你自己的默認WEB站點目錄來選,當然也可以選擇到D:\php\Zend目錄

Zend Optimizer 的安裝向?qū)詣痈鶕?jù)你的選擇來修改 php.ini 幫助你啟動這個引擎。下面簡單介紹一下 Zend Optimizer 的配置選項。以下為本人安裝完成后 php.ini 里的默認配置代碼(分號后面的內(nèi)容為注釋):

[zend]
zend_extension_ts="D:\php\Zend\lib\ZendExtensionManager.dll"
;Zend Optimizer 模塊在硬盤上的安裝路徑。
zend_extension_manager.optimizer_ts="D:\php\Zend\lib\Optimizer-2.6.2"
;優(yōu)化器所在目錄,默認無須修改。
zend_optimizer.optimization_level=1023
;優(yōu)化程度,這里定義啟動多少個優(yōu)化過程,默認值是 15 ,表示同時開啟 10 個優(yōu)化過程中的 1-4 ,我們可以將這個值改為 1023 ,表示開啟全部10個優(yōu)化過程。
 

調(diào)用phpinfo()函數(shù)后顯示:

Zend Engine v1.3.0, Copyright (c) 1998-2004 Zend Technologies with Zend Extension Manager v1.0.9, Copyright (c) 2003-2006, by Zend Technologies with Zend Optimizer v2.6.2, Copyright (c) 1998-2006, by Zend Technologies

則表示安裝成功。


五.安裝GD庫

這一步在前面PHP.INI配置中去掉“;extension=php_gd2.dll”前面的;實際上已經(jīng)安裝好了~

[在php.ini里找到"extension=php_gd2.dll"這一行,并且去掉前面的分號,gd庫安裝完成,用 echophpinfo() ;測試是否成功! ]


六、安裝 phpMyAdmin

下載得到 phpMyAdmin-2.7.0.zip (如果需要這個版本可以找我QQ:473413 3300073),

將其解壓到D:\php\或者 IIS 根目錄,改名phpMyAdmin-2.7.0為phpMyAdmin,


并在IIS中建立新站點或者虛擬目錄指向該目錄以便通過WEB地址訪問,

這里建立默認站點的phpMyAdmin虛擬目錄指向D:\php\phpMyAdmin目錄通過http://localhost/phpmyadmin/訪問

找到并打開D:\php\phpMyAdmin目錄下的 config.default.php ,做以下修改:

查找 $cfg['PmaAbsoluteUri']

設(shè)置你的phpmyadmin的WEB訪問URL,比如本文中:$cfg['PmaAbsoluteUri'] = 'http://localhost/phpmyadmin/'; 注意這里假設(shè)phpmyadmin在默認站點的根目錄下


查找 $cfg['blowfish_secret'] =

設(shè)置COOKIES加密密匙,如xqin.com則設(shè)置為$cfg['blowfish_secret'] = 'xqin.com';

查找 $cfg['Servers'][$i]['auth_type'] =

默認為config,是不安全的,不推薦,推薦使用cookie,將其設(shè)置為 $cfg['Servers'][$i]['auth_type'] = 'cookie';

注意這里如果設(shè)置為config請在下面設(shè)置用戶名和密碼!例如:

$cfg['Servers'][$i]['user'] = 'root'; // MySQL user-----MySQL連接用戶

$cfg['Servers'][$i]['password'] = 'xqin.com';


搜索$cfg['DefaultLang'] ,將其設(shè)置為 zh-gb2312 ;

搜索$cfg['DefaultCharset'] ,將其設(shè)置為 gb2312 ;

打開瀏覽器,輸入:http://localhost/phpMyAdmin/ ,若 IIS 和 MySQL 均已啟動,輸入用戶ROOT密碼xqin.com(如沒有設(shè)置密碼則密碼留空)即可進入phpMyAdmin數(shù)據(jù)庫管理。

首先點擊權(quán)限進入用戶管理,刪除除ROOT和主機不為localhost的用戶并重新讀取用戶權(quán)限表,這里同樣可以修改和設(shè)置ROOT的密碼,添加其他用戶等

phpMyAdmin 的具體功能,請慢慢熟悉,這里不再贅述。
至此所有安裝完畢。

六、目錄結(jié)構(gòu)以及MTFS格式下安全的目錄權(quán)限設(shè)置:
當前目錄結(jié)構(gòu)為

               D:\php
                 |
   +—————+——————+———————+———————+
  php4(php5) tmp     MySQL       Zend    phpMyAdmin
 

D:\php 設(shè)置為 Administrators和SYSTEM完全權(quán)限 即可,其他用戶均無權(quán)限

對于其下的二級目錄

D:\php\php4(或者D:\php\php5) 設(shè)置為 USERS 讀取/運行 權(quán)限


D:\php\tmp 設(shè)置為 USERS 讀/寫/刪 權(quán)限

D:\php\MySQL 、D:\php\Zend 設(shè)置為 Administrators和SYSTEM完全權(quán)限

phpMyAdmin WEB匿名用戶讀取權(quán)限

七、優(yōu)化:

參見 http://bbs.xqin.com/viewthread.php?tid=3831
PHP 優(yōu)化配置——加速你的VBB,phpwind,Discuz,IPB,MolyX.....  
 

有問題可以和我QQ聯(lián)系:473413 3300073

14、一般故障解決


一般網(wǎng)站最容易發(fā)生的故障的解決方法


1.出現(xiàn)提示網(wǎng)頁無法顯示,500錯誤的時候,又沒有詳細的提示信息

可以進行下面的操作顯示詳細的提示信息:IE-工具-internet選項-高級-友好的http錯誤信息提示,將這選項前面不打勾,則可以看到詳細的提示信息了

以下是解決500錯誤的方法。請復(fù)制以下信息并保存為: 解決IIS6.0的(asp不能訪問)請求的資源在使用中的辦法.bat

然后在服務(wù)器上執(zhí)行一下,你的ASP就又可以正常運行了。




2.系統(tǒng)在安裝的時候提示數(shù)據(jù)庫連接錯誤

一是檢查const文件的設(shè)置關(guān)于數(shù)據(jù)庫的路徑設(shè)置是否正確

二是檢查服務(wù)器上面的數(shù)據(jù)庫的路徑和用戶名、密碼等是否正確


3.IIS不支持ASP解決辦法:

IIS的默認解析語言是否正確設(shè)定?將默認改為VBSCRIPT,進入IIS,右鍵單擊默認Web站點,選擇屬性,在目錄安全性選項卡的匿名訪問和身份驗證控制中,單擊編輯,在身份驗證方法屬性頁中,去掉匿名訪問的選擇試試.

4.FSO沒有權(quán)限

FSO的權(quán)限問題,可以在后臺測試是否能刪除文件,解決FSO組件是否開啟的方法如下:

首先在系統(tǒng)盤中查找scrrun.dll,如果存在這個文件,請?zhí)降谌?,如果沒有,請執(zhí)行第二步。

在安裝文件目錄i386中找到scrrun.dl_,用winrar解壓縮,得scrrun.dll,然后復(fù)制到(你的系統(tǒng)盤)C:\windows\system32\目錄中。 運行regsvr32 scrrun.dll即可。

如果想關(guān)閉FSO組件,請運行regsvr32/u scrrun.dll即可

關(guān)于服務(wù)器FSO權(quán)限設(shè)置的方法,給大家一個地址可以看看詳細的操作:http://www.upsdn.net/html/2005-01/314.html

5.Microsoft JET Database Engine 錯誤 '80040e09' 不能更新。數(shù)據(jù)庫或?qū)ο鬄橹蛔x

原因分析:
未打開數(shù)據(jù)庫目錄的讀寫權(quán)限

解決方法:

( 1 )檢查是否在 IIS 中對整個網(wǎng)站打開了 “ 寫入 ” 權(quán)限,而不僅僅是數(shù)據(jù)庫文件。
( 2 )檢查是否在 WIN2000 的資源管理器中,將網(wǎng)站所在目錄對 EveryOne 用戶打開所有權(quán)限。具體方法是:
打開 “ 我的電腦 ”---- 找到網(wǎng)站所在文件夾 ---- 在其上點右鍵 ---- 選 “ 屬性 ”----- 切換到 “ 安全性 ” 選項卡,在這里給 EveryOne 用戶所有權(quán)限。

注意: 如果你的系統(tǒng)是 XP ,請先點 “ 工具 ”----“ 文件夾選項 ”----“ 查看 ”----- 去掉 “ 使用簡單文件共享 ” 前的勾,確定后,文件夾 “ 屬性 ” 對話框中才會有 “ 安全性 ” 這一個選項卡。

6.驗證碼不能顯示

原因分析:
造成該問題的原因是 Service Pack 2 為了提高系統(tǒng)的穩(wěn)定性,默認狀態(tài)下是屏蔽了對 XBM,也即是 x-bitmap 格式的圖片的顯示,而這些驗證碼恰恰是 XBM 格式的,所以顯示不出來了。

解決辦法:
解決的方法其實也很簡單,只需在系統(tǒng)注冊表中添加鍵值 "BlockXBM"=dword:00000000 就可以了,具體操作如下:

1》打開系統(tǒng)注冊表;

2》依次點開HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Internet Explorer\\Security;

3》在屏幕右邊空白處點擊鼠標右鍵,選擇新建一個名為“BlockXBM”為的 DWORD 鍵,其值為默認的0。

4》退出注冊表編輯器。

如果操作系統(tǒng)是2003系統(tǒng)則看是否開啟了父路徑


7.windows 2003配置IIS支持.shtml

要使用 Shtml 的文件,則系統(tǒng)必須支持SSI,SSI必須是管理員通過Web 服務(wù)擴展啟用的
windows 2003安裝好IIS之后默認是支持.shtml的,只要在“WEB服務(wù)擴展”允許“在服務(wù)器前端的包含文件”即可 (www.jz5u.com)



8.如何去掉“處理 URL 時服務(wù)器出錯。請與系統(tǒng)管理員聯(lián)系。”

如果是本地服務(wù)器的話,請右鍵點IIS默認網(wǎng)站,選屬性,在主目錄里點配置,選調(diào)試。 選中向客戶端發(fā)送詳細的ASP錯誤消息。 然后再調(diào)試程序,此時就可以顯示出正確的錯誤代碼。


如果你是租用的空間的話,請和你的空間商聯(lián)系

 

, /TD>
該文件夾,子文件夾及文件
  <不是繼承的>

硬盤或文件夾: C:\Program Files\Windows Media Player
 
主要權(quán)限部分: 其他權(quán)限部分:
Administrators
完全控制

 
 
該文件夾,子文件夾及文件
  <不是繼承的>
CREATOR OWNER
完全控制
 
只有子文件夾及文件
 
<不是繼承的>
SYSTEM
完全控制
  該文件夾,子文件夾及文件
  <不是繼承的>

硬盤或文件夾: C:\Program Files\Windows NT\Accessories
 
主要權(quán)限部分: 其他權(quán)限部分:
Administrators
完全控制

 
 
該文件夾,子文件夾及文件
  <不是繼承的>
CREATOR OWNER
完全控制
 
只有子文件夾及文件
 
<不是繼承的>
SYSTEM
完全控制
  該文件夾,子文件夾及文件
  <不是繼承的>

硬盤或文件夾: C:\Program Files\WindowsUpdate
 
主要權(quán)限部分: 其他權(quán)限部分:
Administrators
完全控制

 
 
該文件夾,子文件夾及文件
  <不是繼承的>
CREATOR OWNER
完全控制
 
只有子文件夾及文件
 
<不是繼承的>
SYSTEM
完全控制
  該文件夾,子文件夾及文件
  <不是繼承的>

硬盤或文件夾: C:\WINDOWS
 
主要權(quán)限部分: 其他權(quán)限部分:
Administrators
完全控制
Users
讀取和運行
 
該文件夾,子文件夾及文件
 
該文件夾,子文件夾及文件
  <不是繼承的>
 
<不是繼承的>
CREATOR OWNER
完全控制    
 
只有子文件夾及文件  
 
<不是繼承的>  
SYSTEM
完全控制
 
  該文件夾,子文件夾及文件
  <不是繼承的>

硬盤或文件夾: C:\WINDOWS\repair
 
主要權(quán)限部分: 其他權(quán)限部分:
Administrators
完全控制
IUSR_XXX
或某個虛擬主機用戶組
 
列出文件夾/讀取數(shù)據(jù) :拒絕
 
該文件夾,子文件夾及文件 該文件夾,子文件夾及文件
  <不是繼承的> <不是繼承的>
CREATOR OWNER
完全控制
 
 
虛擬主機用戶訪問組拒絕讀取,有助于保護系統(tǒng)數(shù)據(jù)
這里保護的是系統(tǒng)級數(shù)據(jù)SAM
 
只有子文件夾及文件
 
<不是繼承的>
SYSTEM
完全控制
  該文件夾,子文件夾及文件
  <不是繼承的>

硬盤或文件夾: C:\WINDOWS\system32
 
主要權(quán)限部分: 其他權(quán)限部分:
Administrators
完全控制
Users
讀取和運行
 
該文件夾,子文件夾及文件
 
該文件夾,子文件夾及文件
  <不是繼承的>
 
<不是繼承的>
CREATOR OWNER
完全控制
IUSR_XXX
或某個虛擬主機用戶組
 
 
列出文件夾/讀取數(shù)據(jù) :拒絕
 
只有子文件夾及文件 該文件夾,子文件夾及文件
 
<不是繼承的> <不是繼承的>
SYSTEM
完全控制
虛擬主機用戶訪問組拒絕讀取,有助于保護系統(tǒng)數(shù)據(jù)
  該文件夾,子文件夾及文件
  <不是繼承的>

硬盤或文件夾: C:\WINDOWS\system32\config
 
主要權(quán)限部分: 其他權(quán)限部分:
Administrators
完全控制
Users
讀取和運行
 
該文件夾,子文件夾及文件
 
該文件夾,子文件夾及文件
  <不是繼承的>
 
<不是繼承的>
CREATOR OWNER
完全控制
IUSR_XXX
或某個虛擬主機用戶組
 
 
列出文件夾/讀取數(shù)據(jù) :拒絕
 
只有子文件夾及文件 該文件夾,子文件夾及文件
 
<不是繼承的> <繼承于上一級目錄>
SYSTEM
完全控制
虛擬主機用戶訪問組拒絕讀取,有助于保護系統(tǒng)數(shù)據(jù)
  該文件夾,子文件夾及文件
  <不是繼承的>

硬盤或文件夾: C:\WINDOWS\system32\inetsrv\
 
主要權(quán)限部分: 其他權(quán)限部分:
Administrators
完全控制
Users
讀取和運行
 
該文件夾,子文件夾及文件
 
該文件夾,子文件夾及文件
  <不是繼承的>
 
<不是繼承的>
CREATOR OWNER
完全控制
IUSR_XXX
或某個虛擬主機用戶組
 
 
列出文件夾/讀取數(shù)據(jù) :拒絕
 
只有子文件夾及文件 只有該文件夾
 
<不是繼承的> <繼承于上一級目錄>
SYSTEM
完全控制
虛擬主機用戶訪問組拒絕讀取,有助于保護系統(tǒng)數(shù)據(jù)
  該文件夾,子文件夾及文件
  <不是繼承的>

硬盤或文件夾: C:\WINDOWS\system32\inetsrv\ASP Compiled Templates
 
主要權(quán)限部分: 其他權(quán)限部分:
Administrators
完全控制
IIS_WPG
完全控制
 
該文件夾,子文件夾及文件   該文件夾,子文件夾及文件
  <不是繼承的>   <不是繼承的>
 
IUSR_XXX
或某個虛擬主機用戶組
 
 
列出文件夾/讀取數(shù)據(jù) :拒絕
該文件夾,子文件夾及文件
<繼承于上一級目錄>
虛擬主機用戶訪問組拒絕讀取,有助于保護系統(tǒng)數(shù)據(jù)

硬盤或文件夾: C:\WINDOWS\system32\inetsrv\iisadmpwd
 
主要權(quán)限部分: 其他權(quán)限部分:
Administrators
完全控制
 
該文件夾,子文件夾及文件
  <不是繼承的>
CREATOR OWNER
完全控制
 
只有子文件夾及文件
 
<不是繼承的>
SYSTEM
完全控制
  該文件夾,子文件夾及文件
  <不是繼承的>

硬盤或文件夾: C:\WINDOWS\system32\inetsrv\MetaBack
 
主要權(quán)限部分: 其他權(quán)限部分:
Administrators
完全控制
Users
讀取和運行
 
該文件夾,子文件夾及文件
 
該文件夾,子文件夾及文件
  <不是繼承的>
 
<不是繼承的>
CREATOR OWNER
完全控制
IUSR_XXX
或某個虛擬主機用戶組
 
 
列出文件夾/讀取數(shù)據(jù) :拒絕
 
只有子文件夾及文件 該文件夾,子文件夾及文件
 
<不是繼承的> <繼承于上一級目錄>
SYSTEM
完全控制
虛擬主機用戶訪問組拒絕讀取,有助于保護系統(tǒng)數(shù)據(jù)
  該文件夾,子文件夾及文件
  <不是繼承的>

Winwebmail 電子郵局安裝后權(quán)限舉例:目錄E:\
 
主要權(quán)限部分: 其他權(quán)限部分:
Administrators
完全控制
IUSR_XXXXXX
這個用戶是WINWEBMAIL訪問WEB站點專用帳戶
 
 
讀取和運行
 
該文件夾,子文件夾及文件 該文件夾,子文件夾及文件
  <不是繼承的> <不是繼承的>
CREATOR OWNER
完全控制
 
 
只有子文件夾及文件
 
<不是繼承的>
SYSTEM
完全控制
  該文件夾,子文件夾及文件
  <不是繼承的>

Winwebmail 電子郵局安裝后權(quán)限舉例:目錄E:\WinWebMail
 
主要權(quán)限部分: 其他權(quán)限部分:
Administrators
完全控制
 
IUSR_XXXXXX
WINWEBMAIL訪問WEB站點專用帳戶
 
讀取和運行
 
該文件夾,子文件夾及文件 該文件夾,子文件夾及文件
  <繼承于E:\> <繼承于E:\>
CREATOR OWNER
完全控制
Users
 
 
修改/讀取運行/列出文件目錄/讀取/寫入
 
只有子文件夾及文件 該文件夾,子文件夾及文件
 
<繼承于E:\> <不是繼承的>
SYSTEM
完全控制
IUSR_XXXXXX
WINWEBMAIL訪問WEB站點專用帳戶
 
 
修改/讀取運行/列出文件目錄/讀取/寫入
  該文件夾,子文件夾及文件 該文件夾,子文件夾及文件
  <繼承于E:\> <不是繼承的>
IUSR_XXXXXXIWAM_XXXXXX
是winwebmail專用的IIS用戶和應(yīng)用程序池用戶
單獨使用,安全性能高
IWAM_XXXXXX
WINWEBMAIL應(yīng)用程序池專用帳戶
 
 
修改/讀取運行/列出文件目錄/讀取/寫入
該文件夾,子文件夾及文件
<不是繼承的>

如果有問題請聯(lián)系QQ: 473413

 


 

2、服務(wù)器安全設(shè)置之--系統(tǒng)服務(wù)篇(設(shè)置完畢需要重新啟動)

   *除非特殊情況非開不可,下列系統(tǒng)服務(wù)要■停止并禁用■:

 
Alerter
服務(wù)名稱:
Alerter
顯示名稱:
Alerter
服務(wù)描述:
通知選定的用戶和計算機管理警報。如果服務(wù)停止,使用管理警報的程序?qū)⒉粫盏剿鼈儭H绻朔?wù)被禁用,任何直接依賴它的服務(wù)都將不能啟動。
可執(zhí)行文件路徑:
E:\WINDOWS\system32\svchost.exe -k LocalService
其他補充:
 
 
Application Layer Gateway Service
服務(wù)名稱:
ALG
顯示名稱:
Application Layer Gateway Service
服務(wù)描述:
為應(yīng)用程序級協(xié)議插件提供支持并啟用網(wǎng)絡(luò)/協(xié)議連接。如果此服務(wù)被禁用,任何依賴它的服務(wù)將無法啟動。
可執(zhí)行文件路徑:
E:\WINDOWS\System32\alg.exe
其他補充:
 
 
Background Intelligent Transfer Service
服務(wù)名稱:
BITS
顯示名稱:
Background Intelligent Transfer Service
服務(wù)描述:
服務(wù)描述:利用空閑的網(wǎng)絡(luò)帶寬在后臺傳輸文件。如果服務(wù)被停用,例如 Windows Update 和 MSN Explorer 的功能將無法自動下載程序和其他信息。如果此服務(wù)被禁用,任何依賴它的服務(wù)如果沒有容錯技術(shù)以直接通過 IE 傳輸文件,一旦 BITS 被禁用,就可能無法傳輸文件。
可執(zhí)行文件路徑:
E:\WINDOWS\system32\svchost.exe -k netsvcs
其他補充:
 
 
Computer Browser
服務(wù)名稱:
服務(wù)名稱:Browser
顯示名稱:
顯示名稱:Computer Browser
服務(wù)描述:
服務(wù)描述:維護網(wǎng)絡(luò)上計算機的更新列表,并將列表提供給計算機指定瀏覽。如果服務(wù)停止,列表不會被更新或維護。如果服務(wù)被禁用,任何直接依賴于此服務(wù)的服務(wù)將無法啟動。
可執(zhí)行文件路徑:
可執(zhí)行文件路徑: E:\WINDOWS\system32\svchost.exe -k netsvcs
其他補充:
 
 
Distributed File System
服務(wù)名稱:
Dfs
顯示名稱:
Distributed File System
服務(wù)描述:
將分散的文件共享合并成一個邏輯名稱空間并在局域網(wǎng)或廣域網(wǎng)上管理這些邏輯卷。如果這個服務(wù)被停止,用戶則無法訪問文件共享。如果這個服務(wù)被禁用,任何依賴它的服務(wù)將無法啟動。
可執(zhí)行文件路徑:
E:\WINDOWS\system32\Dfssvc.exe
其他補充:
 
 
Help and Support
服務(wù)名稱:
helpsvc
顯示名稱:
Help and Support
服務(wù)描述:
啟用在此計算機上運行幫助和支持中心。如果停止服務(wù),幫助和支持中心將不可用。如果禁用服務(wù),任何直接依賴于此服務(wù)的服務(wù)將無法啟動。
可執(zhí)行文件路徑:
E:\WINDOWS\System32\svchost.exe -k netsvcs
其他補充:
 
 
Messenger
服務(wù)名稱:
Messenger
顯示名稱:
Messenger
服務(wù)描述:
傳輸客戶端和服務(wù)器之間的 NET SEND 和 警報器服務(wù)消息。此服務(wù)與 Windows Messenger 無關(guān)。如果服務(wù)停止,警報器消息不會被傳輸。如果服務(wù)被禁用,任何直接依賴于此服務(wù)的服務(wù)將無法啟動。
可執(zhí)行文件路徑:
E:\WINDOWS\system32\svchost.exe -k netsvcs
其他補充:
 
 
NetMeeting Remote Desktop Sharing
服務(wù)名稱:
mnmsrvc
顯示名稱:
NetMeeting Remote Desktop Sharing
服務(wù)描述:
允許經(jīng)過授權(quán)的用戶用 NetMeeting 在公司 intranet 上遠程訪問這臺計算機。如果服務(wù)被停止,遠程桌面共享將不可用。如果服務(wù)被禁用,依賴這個服務(wù)的任何服務(wù)都會無法啟動。
可執(zhí)行文件路徑:
E:\WINDOWS\system32\mnmsrvc.exe
其他補充:
 
 
Print Spooler
服務(wù)名稱:
Spooler
顯示名稱:
Print Spooler
服務(wù)描述:
管理所有本地和網(wǎng)絡(luò)打印隊列及控制所有打印工作。如果此服務(wù)被停用,本地計算機上的打印將不可用。如果此服務(wù)被禁用,任何依賴于它的服務(wù)將無法啟用。
可執(zhí)行文件路徑:
E:\WINDOWS\system32\spoolsv.exe
其他補充:
 
 
Remote Registry
服務(wù)名稱:
RemoteRegistry
顯示名稱:
Remote Registry
服務(wù)描述:
使遠程用戶能修改此計算機上的注冊表設(shè)置。如果此服務(wù)被終止,只有此計算機上的用戶才能修改注冊表。如果此服務(wù)被禁用,任何依賴它的服務(wù)將無法啟動。
可執(zhí)行文件路徑:
E:\WINDOWS\system32\svchost.exe -k regsvc
其他補充:
 
 
Task Scheduler
服務(wù)名稱:
Schedule
顯示名稱:
Task Scheduler
服務(wù)描述:
使用戶能在此計算機上配置和計劃自動任務(wù)。如果此服務(wù)被終止,這些任務(wù)將無法在計劃時間里運行。如果此服務(wù)被禁用,任何依賴它的服務(wù)將無法啟動。
可執(zhí)行文件路徑:
E:\WINDOWS\System32\svchost.exe -k netsvcs
其他補充:
 
 
TCP/IP NetBIOS Helper
服務(wù)名稱:
LmHosts
顯示名稱:
TCP/IP NetBIOS Helper
服務(wù)描述:
提供 TCP/IP (NetBT) 服務(wù)上的 NetBIOS 和網(wǎng)絡(luò)上客戶端的 NetBIOS 名稱解析的支持,從而使用戶能夠共享文件、打印和登錄到網(wǎng)絡(luò)。如果此服務(wù)被停用,這些功能可能不可用。如果此服務(wù)被禁用,任何依賴它的服務(wù)將無法啟動。
可執(zhí)行文件路徑:
E:\WINDOWS\system32\svchost.exe -k LocalService
其他補充:
 
 
Telnet
服務(wù)名稱:
TlntSvr
顯示名稱:
Telnet
服務(wù)描述:
允許遠程用戶登錄到此計算機并運行程序,并支持多種 TCP/IP Telnet 客戶端,包括基于 UNIX 和 Windows 的計算機。如果此服務(wù)停止,遠程用戶就不能訪問程序,任何直接依賴于它的服務(wù)將會啟動失敗。
可執(zhí)行文件路徑:
E:\WINDOWS\system32\tlntsvr.exe
其他補充:
 
 
Workstation
服務(wù)名稱:
lanmanworkstation
顯示名稱:
Workstation
服務(wù)描述:
創(chuàng)建和維護到遠程服務(wù)的客戶端網(wǎng)絡(luò)連接。如果服務(wù)停止,這些連接將不可用。如果服務(wù)被禁用,任何直接依賴于此服務(wù)的服務(wù)將無法啟動。
可執(zhí)行文件路徑:
E:\WINDOWS\system32\svchost.exe -k netsvcs
其他補充:
 

    以上是windows2003server標準服務(wù)當中需要停止的服務(wù),作為IIS網(wǎng)絡(luò)服務(wù)器,以上服務(wù)務(wù)必要停止,如果需要SSL證書服務(wù),則設(shè)置方法不同,如果有問題請聯(lián)系QQ: 473413


3、服務(wù)器安全設(shè)置之--組件安全設(shè)置篇 (非常重要?。。?

A、卸載WScript.Shell Shell.application 組件,將下面的代碼保存為一個.BAT文件執(zhí)行(分2000和2003系統(tǒng))
windows2000.bat
windows2003.bat
B、改名不安全組件,需要注意的是組件的名稱和Clsid都要改,并且要改徹底了,不要照抄,要自己改
 
【開始→運行→regedit→回車】打開注冊表編輯器

然后【編輯→查找→填寫Shell.application→查找下一個】

用這個方法能找到兩個注冊表項:

{13709620-C279-11CE-A49E-444553540000}Shell.application 。

第一步:為了確保萬無一失,把這兩個注冊表項導(dǎo)出來,保存為xxxx.reg 文件。

第二步:比如我們想做這樣的更改

13709620-C279-11CE-A49E-444553540000 改名為 13709620-C279-11CE-A49E-444553540001

Shell.application 改名為 Shell.application_nohack

第三步:那么,就把剛才導(dǎo)出的.reg文件里的內(nèi)容按上面的對應(yīng)關(guān)系替換掉,然后把修改好的.reg文件導(dǎo)入到注冊表中(雙擊即可),導(dǎo)入了改名后的注冊表項之后,別忘記了刪除原有的那兩個項目。這里需要注意一點,Clsid中只能是十個數(shù)字和ABCDEF六個字母。

其實,只要把對應(yīng)注冊表項導(dǎo)出來備份,然后直接改鍵名就可以了,
改好的例子
建議自己改
應(yīng)該可一次成功
老杜評論:
WScript.ShellShell.application 組件是 腳本入侵過程中,提升權(quán)限的重要環(huán)節(jié),這兩個組件的卸載和修改對應(yīng)注冊鍵名,可以很大程度的提高虛擬主機的腳本安全性能,一般來說,ASP和php類腳本提升權(quán)限的功能是無法實現(xiàn)了,再加上一些系統(tǒng)服務(wù)硬盤訪問權(quán)限、端口過濾、本地安全策略的設(shè)置,虛擬主機因該說,安全性能有非常大的提高,黑客入侵的可能性是非常低了。注銷了Shell組件之后,侵入者運行提升工具的可能性就很小了,但是prel等別的腳本語言也有shell能力,為防萬一,還是設(shè)置一下為好。下面是另外一種設(shè)置,大同小異。
  一、禁止使用FileSystemObject組件

  FileSystemObject可以對文件進行常規(guī)操作,可以通過修改注冊表,將此組件改名,來防止此類木馬的危害。

  HKEY_CLASSES_ROOT\Scripting.FileSystemObject\

  改名為其它的名字,如:改為 FileSystemObject_ChangeName

  自己以后調(diào)用的時候使用這個就可以正常調(diào)用此組件了

  也要將clsid值也改一下

  HKEY_CLASSES_ROOT\Scripting.FileSystemObject\CLSID\項目的值

  也可以將其刪除,來防止此類木馬的危害。

  2000注銷此組件命令:RegSrv32 /u C:\WINNT\SYSTEM\scrrun.dll

  2003注銷此組件命令:RegSrv32 /u C:\WINDOWS\SYSTEM\scrrun.dll

  如何禁止Guest用戶使用scrrun.dll來防止調(diào)用此組件?

  使用這個命令:cacls C:\WINNT\system32\scrrun.dll /e /d guests

  二、禁止使用WScript.Shell組件

  WScript.Shell可以調(diào)用系統(tǒng)內(nèi)核運行DOS基本命令

  可以通過修改注冊表,將此組件改名,來防止此類木馬的危害。

  HKEY_CLASSES_ROOT\WScript.Shell\及HKEY_CLASSES_ROOT\WScript.Shell.1\

  改名為其它的名字,如:改為WScript.Shell_ChangeName WScript.Shell.1_ChangeName

  自己以后調(diào)用的時候使用這個就可以正常調(diào)用此組件了

  也要將clsid值也改一下

  HKEY_CLASSES_ROOT\WScript.Shell\CLSID\項目的值

  HKEY_CLASSES_ROOT\WScript.Shell.1\CLSID\項目的值

  也可以將其刪除,來防止此類木馬的危害。

  三、禁止使用Shell.Application組件

  Shell.Application可以調(diào)用系統(tǒng)內(nèi)核運行DOS基本命令

  可以通過修改注冊表,將此組件改名,來防止此類木馬的危害。

  HKEY_CLASSES_ROOT\Shell.Application\

  及

  HKEY_CLASSES_ROOT\Shell.Application.1\


  改名為其它的名字,如:改為Shell.Application_ChangeName Shell.Application.1_ChangeName

  自己以后調(diào)用的時候使用這個就可以正常調(diào)用此組件了

  也要將clsid值也改一下

  HKEY_CLASSES_ROOT\Shell.Application\CLSID\項目的值

  HKEY_CLASSES_ROOT\Shell.Application\CLSID\項目的值

  也可以將其刪除,來防止此類木馬的危害。

  禁止Guest用戶使用shell32.dll來防止調(diào)用此組件。

  2000使用命令:cacls C:\WINNT\system32\shell32.dll /e /d guests
  2003使用命令:cacls C:\WINDOWS\system32\shell32.dll /e /d guests

  注:操作均需要重新啟動WEB服務(wù)后才會生效。

  四、調(diào)用Cmd.exe

  禁用Guests組用戶調(diào)用cmd.exe

  2000使用命令:cacls C:\WINNT\system32\Cmd.exe /e /d guests
  2003使用命令:cacls C:\WINDOWS\system32\Cmd.exe /e /d guests

  通過以上四步的設(shè)置基本可以防范目前比較流行的幾種木馬,但最有效的辦法還是通過綜合安全設(shè)置,將服務(wù)器、程序安全都達到一定標準,才可能將安全等級設(shè)置較高,防范更多非法入侵。

 

C、防止Serv-U權(quán)限提升 (適用于 Serv-U6.0 以前版本,之后可以直接設(shè)置密碼)
 

先停掉Serv-U服務(wù)

Ultraedit打開ServUDaemon.exe

查找 Ascii:LocalAdministrator#l@$ak#.lk;0@P

修改成等長度的其它字符就可以了,ServUAdmin.exe也一樣處理。

另外注意設(shè)置Serv-U所在的文件夾的權(quán)限,不要讓IIS匿名用戶有讀取的權(quán)限,否則人家下走你修改過的文件,照樣可以分析出你的管理員名和密碼。

http://www.ajiang.net/products/aspcheck/ (可以測試組件安全性)

如果有問題請聯(lián)系QQ: 473413

4、服務(wù)器安全設(shè)置之--IIS用戶設(shè)置方法

IIS安全訪問的例子

IIS基本設(shè)置  
   
   
主機頭
主機腳本
硬盤目錄
IIS用戶名
硬盤權(quán)限
應(yīng)用程序池
主目錄
應(yīng)用程序配置
www.1.com
HTM
D:\www.1.com\
IUSR_1.com
Administrators(完全控制)
IUSR_1.com(讀)
 
可共用
讀取/純腳本
啟用父路徑
www.2.com
ASP
D:\www.2.com\
IUSR_1.com
Administrators(完全控制)
IUSR_2.com(讀/寫)
可共用
讀取/純腳本
啟用父路徑
www.3.com
NET
D:\www.3.com\
IUSR_1.com
Administrators(完全控制)
IWAM_3.com(讀/寫)
IUSR_3.com(讀/寫)
獨立池
讀取/純腳本
啟用父路徑
www.4.com
PHP
D:\www.4.com\
IUSR_1.com
Administrators(完全控制)
IWAM_4.com(讀/寫)
IUSR_4.com(讀/寫)
獨立池
讀取/純腳本
啟用父路徑
其中 IWAM_3.comIWAM_4.com 分別是各自獨立應(yīng)用程序池標識中的啟動帳戶

主機腳本類型
應(yīng)用程序擴展名 (就是文件后綴名)對應(yīng)主機腳本,只需要加載以下的應(yīng)用程序擴展
HTM
STM | SHTM | SHTML | MDB
ASP
ASP | ASA | MDB
NET
ASPX | ASAX | ASCX| ASHX | ASMX | AXD | VSDISCO | REM | SOAP | CONFIG |
CS |CSPROJ | VB | VBPROJ | WEBINFO | LICX | RESX | RESOURCES | MDB
PHP
PHP | PHP3 | PHP4

MDB是共用映射,下面用紅色表示

應(yīng)用程序擴展
映射文件 執(zhí)行動作
STM=.stm
C:\WINDOWS\system32\inetsrv\ssinc.dll GET,POST
SHTM=.shtm
C:\WINDOWS\system32\inetsrv\ssinc.dll GET,POST
SHTML=.shtml
C:\WINDOWS\system32\inetsrv\ssinc.dll GET,POST
ASP=.asp
C:\WINDOWS\system32\inetsrv\asp.dll GET,HEAD,POST,TRACE
ASA=.asa
C:\WINDOWS\system32\inetsrv\asp.dll GET,HEAD,POST,TRACE
ASPX=.aspx
C:\WINDOWS\Microsoft.NET\Framework\v1.1.4322\aspnet_isapi.dll GET,HEAD,POST,DEBUG
ASAX=.asax
C:\WINDOWS\Microsoft.NET\Framework\v1.1.4322\aspnet_isapi.dll GET,HEAD,POST,DEBUG
ASCX=.ascx
C:\WINDOWS\Microsoft.NET\Framework\v1.1.4322\aspnet_isapi.dll GET,HEAD,POST,DEBUG
ASHX=.ashx
C:\WINDOWS\Microsoft.NET\Framework\v1.1.4322\aspnet_isapi.dll GET,HEAD,POST,DEBUG
ASMX=.asmx
C:\WINDOWS\Microsoft.NET\Framework\v1.1.4322\aspnet_isapi.dll GET,HEAD,POST,DEBUG
AXD=.axd
C:\WINDOWS\Microsoft.NET\Framework\v1.1.4322\aspnet_isapi.dll GET,HEAD,POST,DEBUG
VSDISCO=.vsdisco
C:\WINDOWS\Microsoft.NET\Framework\v1.1.4322\aspnet_isapi.dll GET,HEAD,POST,DEBUG
REM=.rem
C:\WINDOWS\Microsoft.NET\Framework\v1.1.4322\aspnet_isapi.dll GET,HEAD,POST,DEBUG
SOAP=.soap
C:\WINDOWS\Microsoft.NET\Framework\v1.1.4322\aspnet_isapi.dll GET,HEAD,POST,DEBUG
CONFIG=.config
C:\WINDOWS\Microsoft.NET\Framework\v1.1.4322\aspnet_isapi.dll GET,HEAD,POST,DEBUG
CS=.cs
C:\WINDOWS\Microsoft.NET\Framework\v1.1.4322\aspnet_isapi.dll GET,HEAD,POST,DEBUG
CSPROJ=.csproj
C:\WINDOWS\Microsoft.NET\Framework\v1.1.4322\aspnet_isapi.dll GET,HEAD,POST,DEBUG
VB=.vb
C:\WINDOWS\Microsoft.NET\Framework\v1.1.4322\aspnet_isapi.dll GET,HEAD,POST,DEBUG
VBPROJ=.vbproj
C:\WINDOWS\Microsoft.NET\Framework\v1.1.4322\aspnet_isapi.dll GET,HEAD,POST,DEBUG
WEBINFO=.webinfo
C:\WINDOWS\Microsoft.NET\Framework\v1.1.4322\aspnet_isapi.dll GET,HEAD,POST,DEBUG
LICX=.licx
C:\WINDOWS\Microsoft.NET\Framework\v1.1.4322\aspnet_isapi.dll GET,HEAD,POST,DEBUG
RESX=.resx
C:\WINDOWS\Microsoft.NET\Framework\v1.1.4322\aspnet_isapi.dll GET,HEAD,POST,DEBUG
RESOURCES=.resources
C:\WINDOWS\Microsoft.NET\Framework\v1.1.4322\aspnet_isapi.dll GET,HEAD,POST,DEBUG
PHP=.php
C:\php5\php5isapi.dll GET,HEAD,POST
PHP3=.php3
C:\php5\php5isapi.dll GET,HEAD,POST
PHP4=.php4
C:\php5\php5isapi.dll GET,HEAD,POST
MDB=.mdb
C:\WINDOWS\system32\inetsrv\ssinc.dll GET,POST

ASP.NET 進程帳戶所需的 NTFS 權(quán)限

目錄 所需權(quán)限

Temporary ASP.NET Files%windir%\Microsoft.NET\Framework\{版本}Temporary ASP.NET Files

進程帳戶和模擬標識:
完全控制

臨時目錄 (%temp%)

進程帳戶
完全控制

.NET Framework 目錄%windir%\Microsoft.NET\Framework\{版本}

進程帳戶和模擬標識:
讀取和執(zhí)行
列出文件夾內(nèi)容
讀取

.NET Framework 配置目錄%windir%\Microsoft.NET\Framework\{版本}\CONFIG

進程帳戶和模擬標識:
讀取和執(zhí)行
列出文件夾內(nèi)容
讀取

網(wǎng)站根目錄
C:\inetpub\wwwroot
或默認網(wǎng)站指向的路徑

進程帳戶:
讀取

系統(tǒng)根目錄
%windir%\system32

進程帳戶:
讀取

全局程序集高速緩存
%windir%\assembly

進程帳戶和模擬標識:
讀取

內(nèi)容目錄
C:\inetpub\wwwroot\YourWebApp
(一般來說不用默認目錄,管理員可根據(jù)實際情況調(diào)整比如D:\wwwroot)

進程帳戶:
讀取和執(zhí)行
列出文件夾內(nèi)容
讀取
注意 對于 .NET Framework 1.0,直到文件系統(tǒng)根目錄的所有父目錄也都需要上述權(quán)限。父目錄包括:
C:\
C:\inetpub\
C:\inetpub\wwwroot\

如果有問題請聯(lián)系QQ: 473413


5、 服務(wù)器安全設(shè)置之--服務(wù)器安全和性能配置

把下面文本保存為: windows2000-2003服務(wù)器安全和性能注冊表自動配置文件.reg 運行即可。
功能:可抵御DDOS攻擊2-3萬包,提高服務(wù)器TCP-IP整體安全性能(效果等于軟件防火墻,節(jié)約了系統(tǒng)資源)


6、服務(wù)器安全設(shè)置之--IP安全策略 (僅僅列出需要屏蔽或阻止的端口或協(xié)議)

協(xié)議
IP協(xié)議端口
源地址
目標地址
描述
方式
ICMP -- -- --
ICMP
阻止
UDP
135
任何IP地址
我的IP地址
135-UDP
阻止
UDP
136
任何IP地址
我的IP地址
136-UDP
阻止
UDP
137
任何IP地址
我的IP地址
137-UDP
阻止
UDP
138
任何IP地址
我的IP地址
138-UDP
阻止
UDP
139
任何IP地址
我的IP地址
139-UDP
阻止
TCP
445
任何IP地址-從任意端口
我的IP地址-445
445-TCP
阻止
UDP
445
任何IP地址-從任意端口
我的IP地址-445
445-UDP
阻止
UDP 69 任何IP地址-從任意端口 我的IP地址-69
69-入
阻止
UDP 69 我的IP地址-69 任何IP地址-任意端口 69-出
阻止
TCP 4444 任何IP地址-從任意端口 我的IP地址-4444 4444-TCP
阻止
TCP 1026 我的IP地址-1026 任何IP地址-任意端口 灰鴿子-1026
阻止
TCP 1027 我的IP地址-1027 任何IP地址-任意端口 灰鴿子-1027
阻止
TCP 1028 我的IP地址-1028 任何IP地址-任意端口 灰鴿子-1028
阻止
UDP
1026 我的IP地址-1026 任何IP地址-任意端口 灰鴿子-1026
阻止
UDP 1027 我的IP地址-1027 任何IP地址-任意端口 灰鴿子-1027
阻止
UDP 1028 我的IP地址-1028 任何IP地址-任意端口 灰鴿子-1028
阻止
TCP 21 我的IP地址-從任意端口 任何IP地址-到21端口 阻止tftp出站
阻止
TCP 99 我的IP地址-99 任何IP地址-任意端口 阻止99shell
阻止

以上是IP安全策略里的設(shè)置,可以根據(jù)實際情況,增加或刪除端口,如果不會設(shè)置,可以加我QQ,有償協(xié)助。
 


7、服務(wù)器安全設(shè)置之--本地安全策略設(shè)置

安全策略自動更新命令:GPUpdate /force (應(yīng)用組策略自動生效不需重新啟動)


   開始菜單—>管理工具—>本地安全策略

   A、本地策略——>審核策略

  
審核策略更改   成功 失敗  
   審核登錄事件   成功 失敗
   審核對象訪問      失敗
   審核過程跟蹤   無審核
   審核目錄服務(wù)訪問    失敗
   審核特權(quán)使用      失敗
   審核系統(tǒng)事件   成功 失敗
   審核賬戶登錄事件 成功 失敗
   審核賬戶管理   成功 失敗

  B、本地策略——>用戶權(quán)限分配

   關(guān)閉系統(tǒng):只有Administrators組、其它全部刪除。
   通過終端服務(wù)拒絕登陸:加入Guests、(千萬不能加入User組,不然遠程無法登錄)
   通過終端服務(wù)允許登陸:只加入Administrators組,其他全部刪除

  C、本地策略——>安全選項

   交互式登陸:不顯示上次的用戶名       啟用
   網(wǎng)絡(luò)訪問:不允許SAM帳戶和共享的匿名枚舉   啟用
   網(wǎng)絡(luò)訪問:不允許為網(wǎng)絡(luò)身份驗證儲存憑證   啟用
   網(wǎng)絡(luò)訪問:可匿名訪問的共享         全部刪除
   網(wǎng)絡(luò)訪問:可匿名訪問的命          全部刪除
   網(wǎng)絡(luò)訪問:可遠程訪問的注冊表路徑      全部刪除
   網(wǎng)絡(luò)訪問:可遠程訪問的注冊表路徑和子路徑  全部刪除
   帳戶:重命名來賓帳戶            重命名一個帳戶
   帳戶:重命名系統(tǒng)管理員帳戶         重命名一個帳戶

 

UI 中的設(shè)置名稱 企業(yè)客戶端臺式計算機 企業(yè)客戶端便攜式計算機 高安全級臺式計算機 高安全級便攜式計算機

帳戶: 使用空白密碼的本地帳戶只允許進行控制臺登錄

已啟用

已啟用

已啟用

已啟用

帳戶: 重命名系統(tǒng)管理員帳戶

推薦

推薦

推薦

推薦

帳戶: 重命名來賓帳戶

推薦

推薦

推薦

推薦

設(shè)備: 允許不登錄移除

已禁用

已啟用

已禁用

已禁用

設(shè)備: 允許格式化和彈出可移動媒體

Administrators, Interactive Users

Administrators, Interactive Users

Administrators

Administrators

設(shè)備: 防止用戶安裝打印機驅(qū)動程序

已啟用

已禁用

已啟用

已禁用

設(shè)備: 只有本地登錄的用戶才能訪問 CD-ROM

已禁用

已禁用

已啟用

已啟用

設(shè)備: 只有本地登錄的用戶才能訪問軟盤

已啟用

已啟用

已啟用

已啟用

設(shè)備: 未簽名驅(qū)動程序的安裝操作

允許安裝但發(fā)出警告

允許安裝但發(fā)出警告

禁止安裝

禁止安裝

域成員: 需要強 (Windows 2000 或以上版本) 會話密鑰

已啟用

已啟用

已啟用

已啟用

交互式登錄: 不顯示上次的用戶名

已啟用

已啟用

已啟用

已啟用

交互式登錄: 不需要按 CTRL+ALT+DEL

已禁用

已禁用

已禁用

已禁用

交互式登錄: 用戶試圖登錄時消息文字

此系統(tǒng)限制為僅授權(quán)用戶。嘗試進行未經(jīng)授權(quán)訪問的個人將受到起訴。

此系統(tǒng)限制為僅授權(quán)用戶。嘗試進行未經(jīng)授權(quán)訪問的個人將受到起訴。

此系統(tǒng)限制為僅授權(quán)用戶。嘗試進行未經(jīng)授權(quán)訪問的個人將受到起訴。

此系統(tǒng)限制為僅授權(quán)用戶。嘗試進行未經(jīng)授權(quán)訪問的個人將受到起訴。

交互式登錄: 用戶試圖登錄時消息標題

繼續(xù)在沒有適當授權(quán)的情況下使用是違法行為。

繼續(xù)在沒有適當授權(quán)的情況下使用是違法行為。

繼續(xù)在沒有適當授權(quán)的情況下使用是違法行為。

繼續(xù)在沒有適當授權(quán)的情況下使用是違法行為。

交互式登錄: 可被緩存的前次登錄個數(shù) (在域控制器不可用的情況下)

2

2

0

1

交互式登錄: 在密碼到期前提示用戶更改密碼

14 天

14 天

14 天

14 天

交互式登錄: 要求域控制器身份驗證以解鎖工作站

已禁用

已禁用

已啟用

已禁用

交互式登錄: 智能卡移除操作

鎖定工作站

鎖定工作站

鎖定工作站

鎖定工作站

Microsoft 網(wǎng)絡(luò)客戶: 數(shù)字簽名的通信(若服務(wù)器同意)

已啟用

已啟用

已啟用

已啟用

Microsoft 網(wǎng)絡(luò)客戶: 發(fā)送未加密的密碼到第三方 SMB 服務(wù)器。

已禁用

已禁用

已禁用

已禁用

Microsoft 網(wǎng)絡(luò)服務(wù)器: 在掛起會話之前所需的空閑時間

15 分鐘

15 分鐘

15 分鐘

15 分鐘

Microsoft 網(wǎng)絡(luò)服務(wù)器: 數(shù)字簽名的通信(總是)

已啟用

已啟用

已啟用

已啟用

Microsoft 網(wǎng)絡(luò)服務(wù)器: 數(shù)字簽名的通信(若客戶同意)

已啟用

已啟用

已啟用

已啟用

Microsoft 網(wǎng)絡(luò)服務(wù)器: 當?shù)卿洉r間用完時自動注銷用戶

已啟用

已禁用

已啟用

已禁用

網(wǎng)絡(luò)訪問: 允許匿名 SID/名稱 轉(zhuǎn)換

已禁用

已禁用

已禁用

已禁用

網(wǎng)絡(luò)訪問: 不允許 SAM 帳戶和共享的匿名枚舉

已啟用

已啟用

已啟用

已啟用

網(wǎng)絡(luò)訪問: 不允許 SAM 帳戶和共享的匿名枚舉

已啟用

已啟用

已啟用

已啟用

網(wǎng)絡(luò)訪問: 不允許為網(wǎng)絡(luò)身份驗證儲存憑據(jù)或 .NET Passports

已啟用

已啟用

已啟用

已啟用

網(wǎng)絡(luò)訪問: 限制匿名訪問命名管道和共享

已啟用

已啟用

已啟用

已啟用

網(wǎng)絡(luò)訪問: 本地帳戶的共享和安全模式

經(jīng)典 - 本地用戶以自己的身份驗證

經(jīng)典 - 本地用戶以自己的身份驗證

經(jīng)典 - 本地用戶以自己的身份驗證

經(jīng)典 - 本地用戶以自己的身份驗證

網(wǎng)絡(luò)安全: 不要在下次更改密碼時存儲 LAN Manager 的哈希值

已啟用

已啟用

已啟用

已啟用

網(wǎng)絡(luò)安全: 在超過登錄時間后強制注銷

已啟用

已禁用

已啟用

已禁用

網(wǎng)絡(luò)安全: LAN Manager 身份驗證級別

僅發(fā)送 NTLMv2 響應(yīng)

僅發(fā)送 NTLMv2 響應(yīng)

僅發(fā)送 NTLMv2 響應(yīng)\拒絕 LM & NTLM

僅發(fā)送 NTLMv2 響應(yīng)\拒絕 LM & NTLM

網(wǎng)絡(luò)安全: 基于 NTLM SSP(包括安全 RPC)客戶的最小會話安全

沒有最小

沒有最小

要求 NTLMv2 會話安全 要求 128-位加密

要求 NTLMv2 會話安全 要求 128-位加密

網(wǎng)絡(luò)安全: 基于 NTLM SSP(包括安全 RPC)服務(wù)器的最小會話安全

沒有最小

沒有最小

要求 NTLMv2 會話安全 要求 128-位加密

要求 NTLMv2 會話安全 要求 128-位加密

故障恢復(fù)控制臺: 允許自動系統(tǒng)管理級登錄

已禁用

已禁用

已禁用

已禁用

故障恢復(fù)控制臺: 允許對所有驅(qū)動器和文件夾進行軟盤復(fù)制和訪問

已啟用

已啟用

已禁用

已禁用

關(guān)機: 允許在未登錄前關(guān)機

已禁用

已禁用

已禁用

已禁用

關(guān)機: 清理虛擬內(nèi)存頁面文件

已禁用

已禁用

已啟用

已啟用

系統(tǒng)加密: 使用 FIPS 兼容的算法來加密,哈希和簽名

已禁用

已禁用

已禁用

已禁用

系統(tǒng)對象: 由管理員 (Administrators) 組成員所創(chuàng)建的對象默認所有者

對象創(chuàng)建者

對象創(chuàng)建者

對象創(chuàng)建者

對象創(chuàng)建者

系統(tǒng)設(shè)置: 為軟件限制策略對 Windows 可執(zhí)行文件使用證書規(guī)則

已禁用

已禁用

已禁用

已禁用


8、防御PHP木馬攻擊的技巧

 

  PHP本身再老版本有一些問題,比如在 php4.3.10和php5.0.3以前有一些比較嚴重的bug,所以推薦使用新版。另外,目前鬧的轟轟烈烈的SQL   Injection也是在PHP上有很多利用方式,所以要保證
  安全,PHP代碼編寫是一方面,PHP的配置更是非常關(guān)鍵。
  我們php手手工安裝的,php的默認配置文件在 /usr/local/apache2/conf/php.ini,我們最主要就是要配置php.ini中的內(nèi)容,讓我們執(zhí)行  php能夠更安全。整個PHP中的安全設(shè)置主要是為了防止phpshell和SQL Injection的攻擊,一下我們慢慢探討。我們先使用任何編輯工具打開  /etc/local/apache2/conf/php.ini,如果你是采用其他方式安裝,配置文件可能不在該目錄。

  (1) 打開php的安全模式

  php的安全模式是個非常重要的內(nèi)嵌的安全機制,能夠控制一些php中的函數(shù),比如system(),
  同時把很多文件操作函數(shù)進行了權(quán)限控制,也不允許對某些關(guān)鍵文件的文件,比如/etc/passwd,
  但是默認的php.ini是沒有打開安全模式的,我們把它打開:
  safe_mode = on

  (2) 用戶組安全

  當safe_mode打開時,safe_mode_gid被關(guān)閉,那么php腳本能夠?qū)ξ募M行訪問,而且相同
  組的用戶也能夠?qū)ξ募M行訪問。
  建議設(shè)置為:

  safe_mode_gid = off

  如果不進行設(shè)置,可能我們無法對我們服務(wù)器網(wǎng)站目錄下的文件進行操作了,比如我們需要
  對文件進行操作的時候。

  (3) 安全模式下執(zhí)行程序主目錄

  如果安全模式打開了,但是卻是要執(zhí)行某些程序的時候,可以指定要執(zhí)行程序的主目錄:

  safe_mode_exec_dir = D:/usr/bin

  一般情況下是不需要執(zhí)行什么程序的,所以推薦不要執(zhí)行系統(tǒng)程序目錄,可以指向一個目錄,
  然后把需要執(zhí)行的程序拷貝過去,比如:

  safe_mode_exec_dir = D:/tmp/cmd

  但是,我更推薦不要執(zhí)行任何程序,那么就可以指向我們網(wǎng)頁目錄:

  safe_mode_exec_dir = D:/usr/www

  (4) 安全模式下包含文件

  如果要在安全模式下包含某些公共文件,那么就修改一下選項:

  safe_mode_include_dir = D:/usr/www/include/

  其實一般php腳本中包含文件都是在程序自己已經(jīng)寫好了,這個可以根據(jù)具體需要設(shè)置。

  (5) 控制php腳本能訪問的目錄

  使用open_basedir選項能夠控制PHP腳本只能訪問指定的目錄,這樣能夠避免PHP腳本訪問
  不應(yīng)該訪問的文件,一定程度上限制了phpshell的危害,我們一般可以設(shè)置為只能訪問網(wǎng)站目錄:

  open_basedir = D:/usr/www

  (6) 關(guān)閉危險函數(shù)

  如果打開了安全模式,那么函數(shù)禁止是可以不需要的,但是我們?yōu)榱税踩€是考慮進去。比如,
  我們覺得不希望執(zhí)行包括system()等在那的能夠執(zhí)行命令的php函數(shù),或者能夠查看php信息的
  phpinfo()等函數(shù),那么我們就可以禁止它們:

  disable_functions = system,passthru,exec,shell_exec,popen,phpinfo

  如果你要禁止任何文件和目錄的操作,那么可以關(guān)閉很多文件操作

  disable_functions = chdir,chroot,dir,getcwd,opendir,readdir,scandir,fopen,unlink,delete,copy,mkdir,   rmdir,rename,file,file_get_contents,fputs,fwrite,chgrp,chmod,chown

  以上只是列了部分不叫常用的文件處理函數(shù),你也可以把上面執(zhí)行命令函數(shù)和這個函數(shù)結(jié)合,
  就能夠抵制大部分的phpshell了。

  (7) 關(guān)閉PHP版本信息在http頭中的泄漏

  我們?yōu)榱朔乐购诳瞳@取服務(wù)器中php版本的信息,可以關(guān)閉該信息斜路在http頭中:

  expose_php = Off

  比如黑客在 telnet www.12345.com 80 的時候,那么將無法看到PHP的信息。

  (8) 關(guān)閉注冊全局變量

  在PHP中提交的變量,包括使用POST或者GET提交的變量,都將自動注冊為全局變量,能夠直接訪問,
  這是對服務(wù)器非常不安全的,所以我們不能讓它注冊為全局變量,就把注冊全局變量選項關(guān)閉:
  register_globals = Off
  當然,如果這樣設(shè)置了,那么獲取對應(yīng)變量的時候就要采用合理方式,比如獲取GET提交的變量var,
  那么就要用$_GET['var']來進行獲取,這個php程序員要注意。

  (9) 打開magic_quotes_gpc來防止SQL注入

  SQL注入是非常危險的問題,小則網(wǎng)站后臺被入侵,重則整個服務(wù)器淪陷,

  所以一定要小心。php.ini中有一個設(shè)置:

  magic_quotes_gpc = Off

  這個默認是關(guān)閉的,如果它打開后將自動把用戶提交對sql的查詢進行轉(zhuǎn)換,
  比如把 ' 轉(zhuǎn)為 \'等,這對防止sql注射有重大作用。所以我們推薦設(shè)置為:

  magic_quotes_gpc = On

  (10) 錯誤信息控制

  一般php在沒有連接到數(shù)據(jù)庫或者其他情況下會有提示錯誤,一般錯誤信息中會包含php腳本當
  前的路徑信息或者查詢的SQL語句等信息,這類信息提供給黑客后,是不安全的,所以一般服務(wù)器建議禁止錯誤提示:

  display_errors = Off

  如果你卻是是要顯示錯誤信息,一定要設(shè)置顯示錯誤的級別,比如只顯示警告以上的信息:

  error_reporting = E_WARNING & E_ERROR

  當然,我還是建議關(guān)閉錯誤提示。

  (11) 錯誤日志

  建議在關(guān)閉display_errors后能夠把錯誤信息記錄下來,便于查找服務(wù)器運行的原因:

  log_errors = On

  同時也要設(shè)置錯誤日志存放的目錄,建議根apache的日志存在一起:

  error_log = D:/usr/local/apache2/logs/php_error.log

  注意:給文件必須允許apache用戶的和組具有寫的權(quán)限。


  MYSQL的降權(quán)運行

  新建立一個用戶比如mysqlstart

  net user mysqlstart fuckmicrosoft /add

  net localgroup users mysqlstart /del

  不屬于任何組

  如果MYSQL裝在d:\mysql ,那么,給 mysqlstart 完全控制 的權(quán)限

  然后在系統(tǒng)服務(wù)中設(shè)置,MYSQL的服務(wù)屬性,在登錄屬性當中,選擇此用戶 mysqlstart 然后輸入密碼,確定。

  重新啟動 MYSQL服務(wù),然后MYSQL就運行在低權(quán)限下了。

  如果是在windos平臺下搭建的apache我們還需要注意一點,apache默認運行是system權(quán)限,
  這很恐怖,這讓人感覺很不爽.那我們就給apache降降權(quán)限吧。

  net user apache fuckmicrosoft /add

  net localgroup users apache /del

  ok.我們建立了一個不屬于任何組的用戶apche。

  我們打開計算機管理器,選服務(wù),點apache服務(wù)的屬性,我們選擇log on,選擇this account,我們填入上面所建立的賬戶和密碼,
  重啟apache服務(wù),ok,apache運行在低權(quán)限下了。

  實際上我們還可以通過設(shè)置各個文件夾的權(quán)限,來讓apache用戶只能執(zhí)行我們想讓它能干的事情,給每一個目錄建立一個單獨能讀寫的用戶。
  這也是當前很多虛擬主機提供商的流行配置方法哦,不過這種方法用于防止這里就顯的有點大材小用了。

 

有問題可以和我QQ聯(lián)系:473413


9、MSSQL安全設(shè)置

sql2000安全很重要


將有安全問題的SQL過程刪除.比較全面.一切為了安全!

刪除了調(diào)用shell,注冊表,COM組件的破壞權(quán)限

use master
EXEC sp_dropextendedproc 'xp_cmdshell'
EXEC sp_dropextendedproc 'Sp_OACreate'
EXEC sp_dropextendedproc 'Sp_OADestroy'
EXEC sp_dropextendedproc 'Sp_OAGetErrorInfo'
EXEC sp_dropextendedproc 'Sp_OAGetProperty'
EXEC sp_dropextendedproc 'Sp_OAMethod'
EXEC sp_dropextendedproc 'Sp_OASetProperty'
EXEC sp_dropextendedproc 'Sp_OAStop'
EXEC sp_dropextendedproc 'Xp_regaddmultistring'
EXEC sp_dropextendedproc 'Xp_regdeletekey'
EXEC sp_dropextendedproc 'Xp_regdeletevalue'
EXEC sp_dropextendedproc 'Xp_regenumvalues'
EXEC sp_dropextendedproc 'Xp_regread'
EXEC sp_dropextendedproc 'Xp_regremovemultistring'
EXEC sp_dropextendedproc 'Xp_regwrite'
drop procedure sp_makewebtask

全部復(fù)制到"SQL查詢分析器"

點擊菜單上的--"查詢"--"執(zhí)行",就會將有安全問題的SQL過程刪除(以上是7i24的正版用戶的技術(shù)支持)

更改默認SA空密碼.數(shù)據(jù)庫鏈接不要使用SA帳戶.單數(shù)據(jù)庫單獨設(shè)使用帳戶.只給public和db_owner權(quán)限.

數(shù)據(jù)庫不要放在默認的位置.

SQL不要安裝在PROGRAM FILE目錄下面.

最近的SQL2000補丁是SP4

有問題可以和我QQ聯(lián)系:473413


10、啟用WINDOWS自帶的防火墻
  

啟用win防火墻

   桌面—>網(wǎng)上鄰居—>(右鍵)屬性—>本地連接—>(右鍵)屬性—>高級—>

  (選中)Internet 連接防火墻—>設(shè)置

   把服務(wù)器上面要用到的服務(wù)端口選中

   例如:一臺WEB服務(wù)器,要提供WEB(80)、FTP(21)服務(wù)及遠程桌面管理(3389)

   在“FTP 服務(wù)器”、“WEB服務(wù)器(HTTP)”、“遠程桌面”、“安全WEB服務(wù)器”前面打上對號

   如果你要提供服務(wù)的端口不在里面,你也可以點擊“添加”銨鈕來添加,SMTP和POP3根據(jù)需要打開

   具體參數(shù)可以參照系統(tǒng)里面原有的參數(shù)。

   然后點擊確定。注意:如果是遠程管理這臺服務(wù)器,請先確定遠程管理的端口是否選中或添加。

   一般需要打開的端口有:21、 25、 80、 110、 443、 3389、 等,根據(jù)需要開放需要的端口。

  
 

有問題可以和我QQ聯(lián)系:473413


11、用戶安全設(shè)置
  

用戶安全設(shè)置

用戶安全設(shè)置

1、禁用Guest賬號

在計算機管理的用戶里面把Guest賬號禁用。為了保險起見,最好給Guest加一個復(fù)雜的密碼。你可以打開記事本,在里面輸入一串包含特殊字符、數(shù)字、字母的長字符串,然后把它作為Guest用戶的密碼拷進去。

2、限制不必要的用戶

去掉所有的Duplicate User用戶、測試用戶、共享用戶等等。用戶組策略設(shè)置相應(yīng)權(quán)限,并且經(jīng)常檢查系統(tǒng)的用戶,刪除已經(jīng)不再使用的用戶。這些用戶很多時候都是黑客們?nèi)肭窒到y(tǒng)的突破口。

3、創(chuàng)建兩個管理員賬號

創(chuàng)建一個一般權(quán)限用戶用來收信以及處理一些日常事物,另一個擁有Administrators 權(quán)限的用戶只在需要的時候使用。

4、把系統(tǒng)Administrator賬號改名

大家都知道,Windows 2000 的Administrator用戶是不能被停用的,這意味著別人可以一遍又一遍地嘗試這個用戶的密碼。盡量把它偽裝成普通用戶,比如改成Guesycludx。

5、創(chuàng)建一個陷阱用戶

什么是陷阱用戶?即創(chuàng)建一個名為“Administrator”的本地用戶,把它的權(quán)限設(shè)置成最低,什么事也干不了的那種,并且加上一個超過10位的超級復(fù)雜密碼。這樣可以讓那些 Hacker們忙上一段時間,借此發(fā)現(xiàn)它們的入侵企圖。

6、把共享文件的權(quán)限從Everyone組改成授權(quán)用戶

任何時候都不要把共享文件的用戶設(shè)置成“Everyone”組,包括打印共享,默認的屬性就是“Everyone”組的,一定不要忘了改。

7、開啟用戶策略

使用用戶策略,分別設(shè)置復(fù)位用戶鎖定計數(shù)器時間為20分鐘,用戶鎖定時間為20分鐘,用戶鎖定閾值為3次。

8、不讓系統(tǒng)顯示上次登錄的用戶名

默認情況下,登錄對話框中會顯示上次登錄的用戶名。這使得別人可以很容易地得到系統(tǒng)的一些用戶名,進而做密碼猜測。修改注冊表可以不讓對話框里顯示上次登錄的用戶名。方法為:打開注冊表編輯器并找到注冊表項“HKLMSoftwareMicrosoftWindows TCurrentVersionWinlogonDo, nt-DisplayLastUserName”,把REG_SZ的鍵值改成1。

密碼安全設(shè)置

1、使用安全密碼

一些公司的管理員創(chuàng)建賬號的時候往往用公司名、計算機名做用戶名,然后又把這些用戶的密碼設(shè)置得太簡單,比如“welcome”等等。因此,要注意密碼的復(fù)雜性,還要記住經(jīng)常改密碼。

2、設(shè)置屏幕保護密碼

這是一個很簡單也很有必要的操作。設(shè)置屏幕保護密碼也是防止內(nèi)部人員破壞服務(wù)器的一個屏障。

3、開啟密碼策略

注意應(yīng)用密碼策略,如啟用密碼復(fù)雜性要求,設(shè)置密碼長度最小值為6位 ,設(shè)置強制密碼歷史為5次,時間為42天。

4、考慮使用智能卡來代替密碼

對于密碼,總是使安全管理員進退兩難,密碼設(shè)置簡單容易受到黑客的攻擊,密碼設(shè)置復(fù)雜又容易忘記。如果條件允許,用智能卡來代替復(fù)雜的密碼是一個很好的解決方法。
 

有問題可以和我QQ聯(lián)系:473413


12、Windows2003 下安裝 WinWebMail 3.6.3.1 完全攻略手冊

這段時間論壇上有朋友提及無法在WINDOWS2003+IIS6下面建立WINWEBMAIL郵件,遇到不一些問題,特意將這篇舊文重新發(fā)一次給大家

1)查看硬盤:兩塊9.1G SCSI 硬盤(實容量8.46*2)

2)分區(qū)
系統(tǒng)分區(qū)X盤7.49G
WEB 分區(qū)X盤1.0G
郵件分區(qū)X盤8.46G(帶1000個100M的郵箱足夠了)

3)安裝WINDOWS SERVER 2003

4)打基本補丁(防毒)...在這之前一定不要接網(wǎng)線!

5)在線打補丁

6)卸載或禁用微軟的SMTP服務(wù)(Simple Mail Transpor Protocol),否則會發(fā)生端口沖突

7)安裝WinWebMail,然后重啟服務(wù)器使WinWebMail完成安裝.并注冊.然后恢復(fù)WinWebMail數(shù)據(jù).

8)安裝Norton 8.0并按WinWebMail幫助內(nèi)容設(shè)定,使Norton與WinWebMail聯(lián)合起到郵件殺毒作用(將Norton更新到最新的病毒庫)
8.1 啟用Norton的實時防護功能
8.2 必須要設(shè)置對于宏病毒和非宏病毒的第1步操作都必須是刪除被感染文件,并且必須關(guān)閉警告提示??!
8.3 必須要在查毒設(shè)置中排除掉安裝目錄下的 \mail 及其所有子目錄,只針對WinWebMail安裝文件夾下的 \temp 文件夾進行實時查毒。注意:如果沒有 \temp 文件夾時,先手工創(chuàng)建此 \temp 文件夾,然后再進行此項設(shè)置。

9)將WinWebMail的DNS設(shè)置為win2k3中網(wǎng)絡(luò)設(shè)置的DNS,切記,要想發(fā)的出去最好設(shè)置一個不同的備用DNS地址,對外發(fā)信的就全靠這些DNS地址了

10)給予安裝 WinWebMail 的盤符以及父目錄以 Internet 來賓帳戶 (IUSR_*) 允許 [讀取\運行\(zhòng)列出文件夾目錄] 的權(quán)限.
WinWebMail的安裝目錄,INTERNET訪問帳號完全控制
給予[超級用戶/SYSTEM]在安裝盤和目錄中[完全控制]權(quán)限,重啟IIS以保證設(shè)定生效.

11)防止外發(fā)垃圾郵件:
11.1 在服務(wù)器上點擊右下角圖標,然后在彈出菜單的“系統(tǒng)設(shè)置”-->“收發(fā)規(guī)則”中選中“啟用SMTP發(fā)信認證功能”項,有效的防范外發(fā)垃圾郵件。
11.2 在“系統(tǒng)設(shè)置”-->“收發(fā)規(guī)則”中選中“只允許系統(tǒng)內(nèi)用戶對外發(fā)信”項。
11.3 在服務(wù)器上點擊右下角圖標,然后在彈出菜單的“系統(tǒng)設(shè)置”-->“防護”頁選中“啟用外發(fā)垃圾郵件自動過濾功能”項,然后再啟用其設(shè)置中的“允許自動調(diào)整”項。
11.4 “系統(tǒng)設(shè)置”-->“收發(fā)規(guī)則”中設(shè)置“最大收件人數(shù)”-----> 10.
11.5 “系統(tǒng)設(shè)置”-->“防護”頁選中“啟用連接攻擊保護功能”項,然后再設(shè)置“啟用自動保護功能”.
11.6 用戶級防付垃圾郵件,需登錄WebMail,在“選項 | 防垃圾郵件”中進行設(shè)置。

12)打開IIS 6.0, 確認啟用支持 asp 功能, 然后在默認站點下建一個虛擬目錄(如: mail), 然后指向安裝 WinWebMail 目錄下的 \Web 子目錄, 打開瀏覽器就可以按下面的地址訪問webmail了:
http://<;;你的IP或域名>/mail/什么? 嫌麻煩不想建? 那可要錯過WinWebMail強大的webmail功能了, 3分鐘的設(shè)置保證物超所值 :)

13)Web基本設(shè)置:
13.1 確認“系統(tǒng)設(shè)置”-->“資源使用設(shè)置”內(nèi)沒有選中“公開申請的是含域名帳號”
13.2 “系統(tǒng)設(shè)置”-->“收發(fā)規(guī)則”中設(shè)置Helo為您域名的MX記錄

13.3.解決SERVER 2003不能上傳大附件的問題:
13.3.1 在服務(wù)里關(guān)閉 iis admin service 服務(wù)。
13.3.2 找到 windows\system32\inetsrv\ 下的 metabase.xml 文件。
13.3.3 用純文本方式打開,找到 ASPMaxRequestEntityAllowed 把它修改為需要的值(可修改為10M即:10240000),默認為:204800,即:200K。
13.3.4 存盤,然后重啟 iis admin service 服務(wù)。

13.4.解決SERVER 2003無法下載超過4M的附件的問題
13.4.1 先在服務(wù)里關(guān)閉 iis admin service 服務(wù)。
13.4.2 找到 windows\system32\inetsrv\ 下的 metabase.xml 文件。
13.4.3 用純文本方式打開,找到 AspBufferingLimit 把它修改為需要的值(可修改為20M即:20480000)。
13.4.4 存盤,然后重啟 iis admin service 服務(wù)。

13.5.解決大附件上傳容易超時失敗的問題.
在IIS中調(diào)大一些腳本超時時間,操作方法是: 在IIS的“站點或(虛擬目錄)”的“主目錄”下點擊“配置”按鈕,設(shè)置腳本超時間為:300秒(注意:不是Session超時時間)。

13.6.解決Windows 2003的IIS 6.0中,Web登錄時經(jīng)常出現(xiàn)"[超時,請重試]"的提示.
將WebMail所使用的應(yīng)用程序池“屬性-->回收”中的“回收工作進程”以及"屬性-->性能"中的“在空閑此段時間后關(guān)閉工作進程”這兩個選項前的勾號去掉,然后重啟一下IIS即可解決.

13.7.解決通過WebMail寫信時間較長后,按下發(fā)信按鈕就會回到系統(tǒng)登錄界面的問題.
適當增加會話時間(Session)為 60分鐘。在IIS站點或虛擬目錄屬性的“主目錄”下點擊[配置---選項],就可以進行設(shè)置了(SERVER 2003默認為20分鐘).

13.8.安裝后查看WinWebMail的安裝目錄下有沒有 \temp 目錄,如沒有,手工建立一個.

14)做郵件收發(fā)及10M附件測試(內(nèi)對外,內(nèi)對內(nèi),外對內(nèi)).

15)打開2003自帶防火墻,并打開POP3.SMTP.WEB.遠程桌面.充許此4項服務(wù), OK, 如果想用IMAP4或SSL的SMTP.POP3.IMAP4也需要打開相應(yīng)的端口.

16)再次做郵件收發(fā)測試(內(nèi)對外,內(nèi)對內(nèi),外對內(nèi)).

17)改名、加強壯口令,并禁用GUEST帳號。

18)改名超級用戶、建立假administrator、建立第二個超級用戶。

都搞定了!忙了半天, 現(xiàn)在終于可以來享受一把 WinWebMail 的超強 webmail 功能了, let's go!

 


13、IIS+PHP+MySQL+Zend Optimizer+GD庫+phpMyAdmin安裝配置[完整修正實用版] 轉(zhuǎn)來的,非原創(chuàng)


IIS+PHP+MySQL+Zend Optimizer+GD庫+phpMyAdmin安裝配置[完整修正實用版]

IIS+PHP+MySQL+Zend Optimizer+GD庫+phpMyAdmin安裝配置[完整修正實用版]

[補充]關(guān)于參照本貼配置這使用中使用的相關(guān)問題請參考
關(guān)于WIN主機下配置PHP的若干問題解決方案總結(jié)這個帖子盡量自行解決,謝謝
http://bbs.xqin.com/viewthread.php?tid=86

一、軟件準備:以下均為截止2006-1-20的最新正式版本,下載地址也均長期有效

1.PHP,推薦PHP4.4.0的ZIP解壓版本:

PHP(4.4.0):http://cn.php.net/get/php-4.4.0-Win32.zip/from/a/mirror

PHP(5.1.2):http://cn.php.net/get/php-5.1.2-Win32.zip/from/a/mirror

2.MySQL,配合PHP4推薦MySQL4.0.26的WIN系統(tǒng)安裝版本:

MySQL(4.0.26):http://download.discuz.net/mysql-4.0.26-win32.zip

MySQL(4.1.16):http://www.skycn.com/soft/24418.html

MySQL(5.0.18):http://download.discuz.net/mysql-4.0.26-win32.zip
 

3.Zend Optimizer,當然選擇當前最新版本拉:

Zend Optimizer(2.6.2):http://www.zend.com/store/free_download.php?pid=13

(Zend軟件雖然免費下載,但需要注冊用戶,這里提供注冊好的帳戶名:xqincom和密碼:xqin.com,方便大家使用,請不要修改本帳號或?qū)⒈編粲糜谄渌M正當途徑,謝謝?。?br />
登陸后選擇Windows x86的Platform版本,如最新版本2.6.2 https://www.zend.com/store/getfreefile.php?pid=13&zbid=995

4.phpMyAdmin


當然同樣選擇當前最新版本拉,注意選擇for Windows 的版本哦:

phpMyAdmin(2.8.0.3):http://www.crsky.com/soft/4190.html

假設(shè) C:\ 為你現(xiàn)在所使用操作系統(tǒng)的系統(tǒng)盤,如果你目前操作系統(tǒng)不是安裝在 C:\ ,請自行對應(yīng)修改相應(yīng)路徑。同時由于C盤經(jīng)常會因為各種原因重裝系統(tǒng),數(shù)據(jù)放在該盤不易備份和轉(zhuǎn)移 選擇安裝目錄,故本文將所有PHP相關(guān)軟件均安裝到D:\php目錄下,這個路徑你可以自行設(shè)定,如果你安裝到不同目錄涉及到路徑的請對應(yīng)修改以下的對應(yīng)路徑即可

二、安裝 PHP :本文PHP安裝路徑取為D:\php\php4\(為避混淆,PHP5.1.x版本安裝路徑取為D:\php\php5\)


(1)、下載后得到 php-4.4.0-Win32.zip ,解壓至D:\php目錄,將得到二級目錄php-4.4.0-Win32,改名為 php4,
也即得到PHP文件存放目錄D:\php\php4\

[如果是PHP5.1.2,得到的文件是php-5.1.2-Win32.zip,直接全部接壓至D:\php\php5目錄即可得PHP文件存放目錄D:\php\php5\];


(2)、再將D:\php\php4目錄和D:\php\php4\dlls目錄

[PHP5為D:\php\php5\]下的所有dll文件 copy 到 c:\Windows\system32 (win2000系統(tǒng)為 c:/winnt/system32/)下,覆蓋已有的dll文件;
 


(3)、將php.ini-dist用記事本打開,利用記事本的查找功能搜索并修改:


搜索 register_globals = Off

將 Off 改成 On ,即得到 register_globals = On

注:這個對應(yīng)PHP的全局變量功能,考慮有很多PHP程序需要全局變量功能故打開,打開后請注意-PHP程序的嚴謹性,如果不需要推薦不修改保持默認Off狀態(tài)
搜索 extension_dir =

這個是PHP擴展功能目錄 并將其路徑指到你的 PHP 目錄下的 extensions 目錄,比如:

修改 extension_dir = "./" extension_dir = "D:/php/php4/extensions/"

[PHP5對應(yīng)修改為 extension_dir = "D:/php/php5/ext/" ]
D:\php 下建立文件夾并命名為 tmp

查找 upload_tmp_dir =

;upload_tmp_dir 該行的注釋符,即前面的分號" ;”去掉,

使該行在php.ini文檔中起作用。upload_tmp_dir是用來定義上傳文件存放的臨時路徑,在這里你還可以修改并給其定義一個絕對路徑,這里設(shè)置的目錄必須有讀寫權(quán)限。

這里我設(shè)置為 upload_tmp_dir = D:/php/tmp (即前面建立的這個文件夾呵)
搜索 ; Windows Extensions

將下面一些常用的項前面的 ; 去掉 ,紅色的必須藍色的供選擇

;extension=php_mbstring.dll

這個必須要

;extension=php_curl.dll

;extension=php_dbase.dll

;extension=php_gd2.dll
這個是用來支持GD庫的,一般需要,必選



;extension=php_ldap.dll

;extension=php_zip.dll


對于PHP5的版本還需要查找

;extension=php_mysql.dll

并同樣去掉前面的";"

這個是用來支持MYSQL的,由于PHP5將MySQL作為一個獨立的模塊來加載運行的,故要支持MYSQL必選


查找 ;session.save_path =

去掉前面 ; 號,本文這里將其設(shè)置置為

session.save_path = D:/php/tmp

其他的你可以選擇需要的去掉前面的;


然后將該文件另存為為 php.ini C:\Windows ( Windows 2000 下為 C:\WINNT)目錄下,注意更改文件后綴名為ini,

得到 C:\Windows\php.ini ( Windows 2000 下為 C:\WINNT\php.ini)


若路徑等和本文相同可直接保存到C:\Windows ( Windows 2000 下為 C:\WINNT) 目錄下 使用



一些朋友經(jīng)常反映無法上傳較大的文件或者運行某些程序經(jīng)常超時,那么可以找到C:\Windows ( Windows 2000 下為 C:\WINNT)目錄下的PHP.INI以下內(nèi)容修改:

max_execution_time = 30 ; 這個是每個腳本運行的最長時間,可以自己修改加長,單位秒
max_input_time = 60 ; 這是每個腳本可以消耗的時間,單位也是秒
memory_limit = 8M ; 這個是腳本運行最大消耗的內(nèi)存,也可以自己加大
upload_max_filesize = 2M ; 上載文件的最大許可大小 ,自己改吧,一些圖片論壇需要這個更大的值


(4)、配置 IIS 使其支持 PHP :

首先必須確定系統(tǒng)中已經(jīng)正確安裝 IIS ,如果沒有安裝,需要先安裝 IIS ,安裝步驟如下:
Windows 2000/XP 下的 IIS 安裝:

用 Administrator 帳號登陸系統(tǒng),將 Windows 2000 安裝光盤插入光盤驅(qū)動器,進入“控制面板”點擊“添加/刪除程序”,再點擊左側(cè)的“添加/刪除 Windows 組件”,在彈出的窗口中選擇“Internet 信息服務(wù)(IIS)”,點下面的“詳細信息”按鈕,選擇組件,以下組件是必須的:“Internet 服務(wù)管理器”、“World Wide Web 服務(wù)器”和“公用文件”,確定安裝。

安裝完畢后,在“控制面板”的“管理工具”里打開“服務(wù)”,檢查“IIS Admin Service”和“World Wide Web Publishing Service”兩項服務(wù),如果沒有啟動,將其啟動即可。

Windows 2003 下的 IIS 安裝:

由于 Windows 2003 的 IIS 6.0 集成在應(yīng)用程序服務(wù)器中,因此安裝應(yīng)用程序服務(wù)器就會默認安裝 IIS 6.0 ,在“開始”菜單中點擊“配置您的服務(wù)器”,在打開的“配置您的服務(wù)器向?qū)?rdquo;里左側(cè)選擇“應(yīng)用程序服務(wù)器(IIS,ASP.NET)”,單擊“下一步”出現(xiàn)“應(yīng)用程序服務(wù)器選項”,你可以選擇和應(yīng)用程序服務(wù)器一起安裝的組件,默認全選即可,單擊“下一步”,出現(xiàn)“選擇總結(jié)界面”,提示了本次安裝中的選項,配置程序?qū)⒆詣影凑?ldquo;選擇總結(jié)”中的選項進行安裝和配置。

打開瀏覽器,輸入:http://localhost/,看到成功頁面后進行下面的操作:

PHP 支持 CGI 和 ISAPI 兩種安裝模式,CGI 更消耗資源,容易因為超時而沒有反映,但是實際上比較安全,負載能力強,節(jié)省資源,但是安全性略差于CGI,本人推薦使用 ISAPI 模式。故這里只解介紹 ISAPI 模式安裝方法:(以下的截圖因各個系統(tǒng)不同,窗口界面可能不同,但對應(yīng)選項卡欄目是相同的,只需找到提到的對應(yīng)選項卡即可)

在“控制面板”的“管理工具”中選擇“Internet 服務(wù)管理器”,打開 IIS 后停止服務(wù),對于WIN2000系統(tǒng)在”Internet 服務(wù)管理器“的下級樹一般為你的”計算機名“上單擊右鍵選擇“屬性”,再在屬性頁面選擇主屬性”WWW 服務(wù)“右邊的”編輯“
 

對于XP/2003系統(tǒng)展開”Internet 服務(wù)管理器“的下級樹一般為你的”計算機名“選擇”網(wǎng)站“并單擊右鍵選擇“屬性”
 

在彈出的屬性窗口上選擇“ISAPI 篩選器”選項卡找到并點擊“添加”按鈕,在彈出的“篩選器屬性”窗口中的“篩選器名稱”欄中輸入:

PHP ,再將瀏覽可執(zhí)行文件使路徑指向 php4isapi.dll 所在路徑,

如本文中為:D:\php\php4\sapi\php4isapi.dll

[PHP5對應(yīng)路徑為 D:\php\php5\php5isapi.dll]
 

打開“站點屬性”窗口的“主目錄”選項卡,找到并點擊“配置”按鈕

在彈出的“應(yīng)用程序配置”窗口中的”應(yīng)用程序映射“選項卡找到并點擊“添加”按鈕新增一個擴展名映射,在彈出的窗口中單擊“瀏覽”將可執(zhí)行文件指向 php4isapi.dll 所在路徑,如本文中為:D:\php\php4\sapi\php4isapi.dll[PHP5對應(yīng)路徑為D:\php\php5\php5isapi.dll],擴展名為 .php ,動作限于”GET,HEAD,POST,TRACE“,將“腳本引擎”“確認文件是否存在”選中,然后一路確定即可。如果還想支持諸如 .php3 ,.phtml 等擴展名的 PHP 文件,可以重復(fù)“添加”步驟,對應(yīng)擴展名設(shè)置為需要的即可如.PHPX。

此步操作將使你服務(wù)器IIS下的所有站點都支持你所添加的PHP擴展文件,當然如果你只需要部分站點支持PHP,只需要在“你需要支持PHP的Web站點”比如“默認Web站點”上單擊右鍵選擇“屬性”,在打開的“ Web 站點屬性”“主目錄”選項卡,編輯或者添加PHP的擴展名映射即可或者將你步需要支持PHP的站點中的PHP擴展映射刪除即可
 

再打開“站點屬性”窗口的“文檔”選項卡,找到并點擊“添加”按鈕,向默認的 Web 站點啟動文檔列表中添加 index.php 項。您可以將 index.php 升到最高優(yōu)先級,這樣,訪問站點時就會首先自動尋找并打開 index.php 文檔。
 

確定 Web 目錄的應(yīng)用程序設(shè)置和執(zhí)行許可中選擇為純腳本,然后關(guān)閉 Internet 信息服務(wù)管理器
對于2003系統(tǒng)還需要在“Internet 服務(wù)管理器”左邊的“WEB服務(wù)擴展”中設(shè)置ISAPI 擴展允許,Active Server Pages 允許
 

完成所有操作后,重新啟動IIS服務(wù)。
在CMD命令提示符中執(zhí)行如下命令:

net stop w3svc
net stop iisadmin
net start w3svc

到此,PHP的基本安裝已經(jīng)完成,我們已經(jīng)使網(wǎng)站支持PHP腳本。
檢查方法是,在 IIS 根目錄下新建一個文本文件存為 php.php ,內(nèi)容如下:
 

<?php
phpinfo();
?>


打開瀏覽器,輸入:http://localhost/php.php,將顯示當前服務(wù)器所支持 PHP 的全部信息,可以看到 Server API的模式為:ISAPI 。
 

或者利用PHP探針檢測http://xqin.com/index.rar下載后解壓到你的站點根目錄下并訪問即可


三、安裝 MySQL :

對于MySQL4.0.26下載得到的是mysql-4.0.26-win32.zip,解壓到mysql-4.0.26-win32目錄雙擊執(zhí)行 Setup.exe 一路Next下一步,選擇安裝目錄為D:\php\MySQL和安裝方式為Custom自定義安裝,再一路Next下一步即可。
 

安裝完畢后,在CMD命令行中輸入并運行:

D:\php\MySQL\bin\mysqld-nt -install

如果返回Service successfully installed.則說明系統(tǒng)服務(wù)成功安裝

新建一文本文件存為MY.INI,編輯配置MY.INI,這里給出一個參考的配置

[mysqld]
basedir=D:/php/MySQL
#MySQL所在目錄
datadir=D:/php/MySQL/data
#MySQL數(shù)據(jù)庫所在目錄,可以更改為其他你存放數(shù)據(jù)庫的目錄
#language=D:/php/MySQL/share/your language directory
#port=3306
set-variable = max_connections=800
skip-locking
set-variable = key_buffer=512M
set-variable = max_allowed_packet=4M
set-variable = table_cache=1024
set-variable = sort_buffer=2M
set-variable = thread_cache=64
set-variable = join_buffer_size=32M
set-variable = record_buffer=32M
set-variable = thread_concurrency=8
set-variable = myisam_sort_buffer_size=64M
set-variable = connect_timeout=10
set-variable = wait_timeout=10
server-id = 1
[isamchk]
set-variable = key_buffer=128M
set-variable = sort_buffer=128M
set-variable = read_buffer=2M
set-variable = write_buffer=2M

[myisamchk]
set-variable = key_buffer=128M
set-variable = sort_buffer=128M
set-variable = read_buffer=2M
set-variable = write_buffer=2M

[WinMySQLadmin]
Server=D:/php/MySQL/bin/mysqld-nt.exe




保存后復(fù)制此MY.INI文件到C:\Windows ( Windows 2000 下為 C:\WINNT)目錄下
回到CMD命令行中輸入并運行:

net start mysql

MySQL 服務(wù)正在啟動 .
MySQL 服務(wù)已經(jīng)啟動成功。


將啟動 MySQL 服務(wù);

DOS下修改ROOT密碼:當然后面安裝PHPMYADMIN后修改密碼也可以通過PHPMYADMIN修改

格式:mysqladmin -u用戶名 -p舊密碼 password 新密碼

例:給root加個密碼xqin.com

首先在進入CMD命令行,轉(zhuǎn)到MYSQL目錄下的bin目錄,然后鍵入以下命令

mysqladmin -uroot password 你的密碼

注:因為開始時root沒有密碼,所以-p舊密碼一項就可以省略了。

D:\php\MySQL\bin>mysqladmin -uroot password 你的密碼


回車后ROOT密碼就設(shè)置為你的密碼

如果你下載的是 MySQL5.x或者MySQL4.1.x,例mysql-5.0.18-win32:解壓后雙擊執(zhí)行 Setup.exe ,Next下一步后選擇Custom自定義安裝,再Next下一步選擇安裝路徑這里我們選擇D:\php\MySQL,繼續(xù)Next下一步跳過Sign UP完成安裝。


安裝完成后會提示你是不是立即進行配置,選擇是即可進行配置。當然一般安裝后菜單里面也有配置向?qū)ySQL Server Instance Config Wizar,運行后按下面步驟配置并設(shè)置ROOT密碼即可

Next下一步后選擇Standard Configuration

Next下一步,鉤選Include .. PATH

Next下一步,設(shè)置ROOT密碼,建議社設(shè)置復(fù)雜點,確保服務(wù)器安全!

Apply完成后將在D:\php\MySQL目錄下生成MY.INI配置文件,添加并啟動MySQL服務(wù)
 

如果你的MySQL安裝出錯,并且卸載重裝仍無法解決,這里提供一個小工具系統(tǒng)服務(wù)管理器http://xqin.com/iis/ser.rar,用于卸載后刪除存在的MYSQL服務(wù),重起后再按上述說明進行安裝一般即可成功安裝


四、安裝 Zend Optimizer :

下載后得到 ZendOptimizer-2.6.2-Windows-i386.exe ,直接雙擊安裝即可,安裝過程要你選擇 Web Server 時,選擇 IIS ,然后提示你是否 Restart Web Server,選擇是,完成安裝之前提示是否備份 php.ini ,點確定后安裝完成。我這里安裝到D:\php\Zend

以下兩步的目錄根據(jù)你自己的默認WEB站點目錄來選,當然也可以選擇到D:\php\Zend目錄

Zend Optimizer 的安裝向?qū)詣痈鶕?jù)你的選擇來修改 php.ini 幫助你啟動這個引擎。下面簡單介紹一下 Zend Optimizer 的配置選項。以下為本人安裝完成后 php.ini 里的默認配置代碼(分號后面的內(nèi)容為注釋):

[zend]
zend_extension_ts="D:\php\Zend\lib\ZendExtensionManager.dll"
;Zend Optimizer 模塊在硬盤上的安裝路徑。
zend_extension_manager.optimizer_ts="D:\php\Zend\lib\Optimizer-2.6.2"
;優(yōu)化器所在目錄,默認無須修改。
zend_optimizer.optimization_level=1023
;優(yōu)化程度,這里定義啟動多少個優(yōu)化過程,默認值是 15 ,表示同時開啟 10 個優(yōu)化過程中的 1-4 ,我們可以將這個值改為 1023 ,表示開啟全部10個優(yōu)化過程。
 

調(diào)用phpinfo()函數(shù)后顯示:

Zend Engine v1.3.0, Copyright (c) 1998-2004 Zend Technologies with Zend Extension Manager v1.0.9, Copyright (c) 2003-2006, by Zend Technologies with Zend Optimizer v2.6.2, Copyright (c) 1998-2006, by Zend Technologies

則表示安裝成功。


五.安裝GD庫

這一步在前面PHP.INI配置中去掉“;extension=php_gd2.dll”前面的;實際上已經(jīng)安裝好了~

[在php.ini里找到"extension=php_gd2.dll"這一行,并且去掉前面的分號,gd庫安裝完成,用 echophpinfo() ;測試是否成功! ]


六、安裝 phpMyAdmin

下載得到 phpMyAdmin-2.7.0.zip (如果需要這個版本可以找我QQ:473413 3300073),

將其解壓到D:\php\或者 IIS 根目錄,改名phpMyAdmin-2.7.0為phpMyAdmin,


并在IIS中建立新站點或者虛擬目錄指向該目錄以便通過WEB地址訪問,

這里建立默認站點的phpMyAdmin虛擬目錄指向D:\php\phpMyAdmin目錄通過http://localhost/phpmyadmin/訪問

找到并打開D:\php\phpMyAdmin目錄下的 config.default.php ,做以下修改:

查找 $cfg['PmaAbsoluteUri']

設(shè)置你的phpmyadmin的WEB訪問URL,比如本文中:$cfg['PmaAbsoluteUri'] = 'http://localhost/phpmyadmin/'; 注意這里假設(shè)phpmyadmin在默認站點的根目錄下


查找 $cfg['blowfish_secret'] =

設(shè)置COOKIES加密密匙,如xqin.com則設(shè)置為$cfg['blowfish_secret'] = 'xqin.com';

查找 $cfg['Servers'][$i]['auth_type'] = ,

默認為config,是不安全的,不推薦,推薦使用cookie,將其設(shè)置為 $cfg['Servers'][$i]['auth_type'] = 'cookie';

注意這里如果設(shè)置為config請在下面設(shè)置用戶名和密碼!例如:

$cfg['Servers'][$i]['user'] = 'root'; // MySQL user-----MySQL連接用戶

$cfg['Servers'][$i]['password'] = 'xqin.com';


搜索$cfg['DefaultLang'] ,將其設(shè)置為 zh-gb2312 ;

搜索$cfg['DefaultCharset'] ,將其設(shè)置為 gb2312 ;

打開瀏覽器,輸入:http://localhost/phpMyAdmin/ ,若 IIS 和 MySQL 均已啟動,輸入用戶ROOT密碼xqin.com(如沒有設(shè)置密碼則密碼留空)即可進入phpMyAdmin數(shù)據(jù)庫管理。

首先點擊權(quán)限進入用戶管理,刪除除ROOT和主機不為localhost的用戶并重新讀取用戶權(quán)限表,這里同樣可以修改和設(shè)置ROOT的密碼,添加其他用戶等

phpMyAdmin 的具體功能,請慢慢熟悉,這里不再贅述。
至此所有安裝完畢。

六、目錄結(jié)構(gòu)以及MTFS格式下安全的目錄權(quán)限設(shè)置:
當前目錄結(jié)構(gòu)為

               D:\php
                 |
   +—————+——————+———————+———————+
  php4(php5) tmp     MySQL       Zend    phpMyAdmin
 

D:\php 設(shè)置為 Administrators和SYSTEM完全權(quán)限 即可,其他用戶均無權(quán)限

對于其下的二級目錄

D:\php\php4(或者D:\php\php5) 設(shè)置為 USERS 讀取/運行 權(quán)限


D:\php\tmp 設(shè)置為 USERS 讀/寫/刪 權(quán)限

D:\php\MySQL 、D:\php\Zend 設(shè)置為 Administrators和SYSTEM完全權(quán)限

phpMyAdmin WEB匿名用戶讀取權(quán)限

七、優(yōu)化:

參見 http://bbs.xqin.com/viewthread.php?tid=3831
PHP 優(yōu)化配置——加速你的VBB,phpwind,Discuz,IPB,MolyX.....  
 

有問題可以和我QQ聯(lián)系:473413 3300073


14、一般故障解決


一般網(wǎng)站最容易發(fā)生的故障的解決方法


1.出現(xiàn)提示網(wǎng)頁無法顯示,500錯誤的時候,又沒有詳細的提示信息

可以進行下面的操作顯示詳細的提示信息:IE-工具-internet選項-高級-友好的http錯誤信息提示,將這選項前面不打勾,則可以看到詳細的提示信息了

以下是解決500錯誤的方法。請復(fù)制以下信息并保存為: 解決IIS6.0的(asp不能訪問)請求的資源在使用中的辦法.bat

然后在服務(wù)器上執(zhí)行一下,你的ASP就又可以正常運行了。




2.系統(tǒng)在安裝的時候提示數(shù)據(jù)庫連接錯誤

一是檢查const文件的設(shè)置關(guān)于數(shù)據(jù)庫的路徑設(shè)置是否正確

二是檢查服務(wù)器上面的數(shù)據(jù)庫的路徑和用戶名、密碼等是否正確


3.IIS不支持ASP解決辦法:

IIS的默認解析語言是否正確設(shè)定?將默認改為VBSCRIPT,進入IIS,右鍵單擊默認Web站點,選擇屬性,在目錄安全性選項卡的匿名訪問和身份驗證控制中,單擊編輯,在身份驗證方法屬性頁中,去掉匿名訪問的選擇試試.

4.FSO沒有權(quán)限

FSO的權(quán)限問題,可以在后臺測試是否能刪除文件,解決FSO組件是否開啟的方法如下:

首先在系統(tǒng)盤中查找scrrun.dll,如果存在這個文件,請?zhí)降谌?,如果沒有,請執(zhí)行第二步。

在安裝文件目錄i386中找到scrrun.dl_,用winrar解壓縮,得scrrun.dll,然后復(fù)制到(你的系統(tǒng)盤)C:\windows\system32\目錄中。 運行regsvr32 scrrun.dll即可。

如果想關(guān)閉FSO組件,請運行regsvr32/u scrrun.dll即可

關(guān)于服務(wù)器FSO權(quán)限設(shè)置的方法,給大家一個地址可以看看詳細的操作:http://www.upsdn.net/html/2005-01/314.html

5.Microsoft JET Database Engine 錯誤 '80040e09' 不能更新。數(shù)據(jù)庫或?qū)ο鬄橹蛔x

原因分析:
未打開數(shù)據(jù)庫目錄的讀寫權(quán)限

解決方法:

( 1 )檢查是否在 IIS 中對整個網(wǎng)站打開了 “ 寫入 ” 權(quán)限,而不僅僅是數(shù)據(jù)庫文件。
( 2 )檢查是否在 WIN2000 的資源管理器中,將網(wǎng)站所在目錄對 EveryOne 用戶打開所有權(quán)限。具體方法是:
打開 “ 我的電腦 ”---- 找到網(wǎng)站所在文件夾 ---- 在其上點右鍵 ---- 選 “ 屬性 ”----- 切換到 “ 安全性 ” 選項卡,在這里給 EveryOne 用戶所有權(quán)限。

注意: 如果你的系統(tǒng)是 XP ,請先點 “ 工具 ”----“ 文件夾選項 ”----“ 查看 ”----- 去掉 “ 使用簡單文件共享 ” 前的勾,確定后,文件夾 “ 屬性 ” 對話框中才會有 “ 安全性 ” 這一個選項卡。

6.驗證碼不能顯示

原因分析:
造成該問題的原因是 Service Pack 2 為了提高系統(tǒng)的穩(wěn)定性,默認狀態(tài)下是屏蔽了對 XBM,也即是 x-bitmap 格式的圖片的顯示,而這些驗證碼恰恰是 XBM 格式的,所以顯示不出來了。

解決辦法:
解決的方法其實也很簡單,只需在系統(tǒng)注冊表中添加鍵值 "BlockXBM"=dword:00000000 就可以了,具體操作如下:

1》打開系統(tǒng)注冊表;

2》依次點開HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Internet Explorer\\Security;

3》在屏幕右邊空白處點擊鼠標右鍵,選擇新建一個名為“BlockXBM”為的 DWORD 鍵,其值為默認的0。

4》退出注冊表編輯器。

如果操作系統(tǒng)是2003系統(tǒng)則看是否開啟了父路徑


7.windows 2003配置IIS支持.shtml

要使用 Shtml 的文件,則系統(tǒng)必須支持SSI,SSI必須是管理員通過Web 服務(wù)擴展啟用的
windows 2003安裝好IIS之后默認是支持.shtml的,只要在“WEB服務(wù)擴展”允許“在服務(wù)器前端的包含文件”即可 (www.jz5u.com)



8.如何去掉“處理 URL 時服務(wù)器出錯。請與系統(tǒng)管理員聯(lián)系。”

如果是本地服務(wù)器的話,請右鍵點IIS默認網(wǎng)站,選屬性,在主目錄里點配置,選調(diào)試。 選中向客戶端發(fā)送詳細的ASP錯誤消息。 然后再調(diào)試程序,此時就可以顯示出正確的錯誤代碼。


如果你是租用的空間的話,請和你的空間商聯(lián)系!本站強烈推薦購買九網(wǎng)互聯(lián)的虛擬主機:www.9host.cn

如沒特殊注明,文章均為中技互聯(lián)原創(chuàng),轉(zhuǎn)載請注明來自www.tmsmall666.cn
相關(guān)新聞

CopyrightZJCOO technology Co., LTD. All Rights Reserved.    

渝ICP 備11003429號

  • qq客服
  • 公眾號
  • 手機版
  • 新浪微博