2005年05月17日

1.道可道,非常道。名可名,非常名。无名天地之始。有名万物之母。故常无欲
以观其妙。常有欲以观其徼。此两者同出而异名,同谓之玄。玄之又玄,众妙之
门。

 2.天下皆知美之为美,斯恶矣;皆知善之为善,斯不善已。故有无相生,难易相
成,长短相形,高下相倾,音声相和,前後相随。是以圣人处无为之事,行不言之
教。万物作焉而不辞。生而不有,为而不恃,功成而弗居。夫唯弗居,是以不去。

 3.不尚贤, 使民不争。不贵难得之货,使民不为盗。不见可欲,使民心不乱。
是以圣人之治,虚其心,实其腹,弱其志,强其骨;常使民无知、无欲,使夫智者
不敢为也。为无为,则无不治。

 4.道冲而用之,或不盈。渊兮似万物之宗。解其纷,和其光,同其尘,湛兮似或
存。吾不知谁之子,象帝之先。

 5.天地不仁,以万物为刍狗。圣人不仁,以百姓为刍狗。天地之间,其犹橐迭
乎?虚而不屈,动而愈出。多言数穷,不如守中。

 6.谷神不死是谓玄牝。玄牝之门是谓天地根。绵绵若存,用之不勤。

 7.天长地久。天地所以能长且久者,以其不自生,故能长生。是以圣人後其身而
身先,外其身而身存。非以其无私邪!故能成其私。

 8.上善若水。水善利万物而不争,处众人之所恶,故几於道。居善地,心善渊与
善仁,言善信,正善治,事善能,动善时。夫唯不争,故无尤。

 9.持而盈之不如其己;揣而锐之不可长保;金玉满堂莫之能守;富贵而骄,自遗
其咎。功遂身退,天之道。

10.载营魄抱一,能无离乎?专气致柔,能如婴儿乎?涤除玄览,能无疵乎?爱国
治民,能无为乎?天门开阖,能为雌乎?明白四达,能无知乎。

11.三十幅共一毂,当其无,有车之用。埏埴以为器,当其无,有器之用。凿户牖
以为室,当其无,有室之用。故有之以为利,无之以为用。

12.五色令人目盲,五音令人耳聋,五味令人口爽,驰骋畋猎令人心发狂,难得之
货令人行妨。是以圣人,为腹不为目,故去彼取此。

13.宠辱若惊,贵大患若身。何谓宠辱若惊?宠为下。得之若惊失之若惊是谓宠辱
若惊。何谓贵大患若身?吾所以有大患者,为吾有身,及吾无身,吾有何患。故贵
以身为天下,若可寄天下。爱以身为天下,若可托天下。

14.视之不见名曰夷。听之不闻名曰希。抟之不得名曰微。此三者不可致诘,故混
而为一。其上不??,其下不昧,绳绳不可名,复归於无物。是谓无状之状,无物之
象,是谓惚恍。迎之不见其首,随之不见其後。执古之道以御今之有。能知古始,
是谓道纪。

15.古之善为士者,微妙玄通,深不可识。夫唯不可识,故强为之容。豫兮若冬涉
川;犹兮若畏四邻;俨兮其若容;涣兮若冰之将释;敦兮其若朴;旷兮其若谷;混
兮其若浊;澹兮其若海;??兮若无止。孰能浊以静之徐清。孰能安以动之徐生。保
此道者不欲盈。夫唯不盈故能蔽而新成。

16.致虚极守静笃。万物并作,吾以观复。夫物芸芸各复归其根。归根曰静,是谓
复命;复命曰常,知常曰明。不知常,妄作凶。知常容,容乃公,公乃全,全乃
天,天乃道,道乃久,没身不殆。

17.太上,下知有之。其次,亲而誉之。其次,畏之。其次,侮之。信不足焉,有
不信焉。悠兮其贵言,功成事遂,百姓皆谓∶我自然。

18.大道废有仁义;慧智出有大伪;六亲不和有孝慈;国家昏乱有忠臣。

19.绝圣弃智,民利百倍;绝仁弃义,民复孝慈;绝巧弃利,盗贼无有;此三者,
以为文不足。故令有所属,见素抱朴少私寡欲。

20.绝学无忧,唯之与阿,相去几何?善之与恶,相去若何?人之所畏,不可不
畏。荒兮其未央哉!众人熙熙如享太牢、如春登台。我独泊兮其未兆,如婴儿之未
孩;????兮若无所归。众人皆有馀,而我独若遗。我愚人之心也哉!沌沌兮。俗人
昭昭,我独昏昏;俗人察察,我独闷闷。众人皆有以,而我独顽且鄙。我独异於
人,而贵食母。

21.孔德之容惟道是从。道之为物惟恍惟惚。惚兮恍兮其中有象。恍兮惚兮其中有
物。窈兮冥兮其中有精。其精甚真。其中有信。自古及今,其名不去以阅众甫。吾
何以知众甫之状哉!以此。

22.曲则全,枉则直,洼则盈,敝则新少则得,多则惑。是以圣人抱一为天下式。
不自见故明;不自是故彰;不自伐故有功;不自矜故长;夫唯不争,故天下莫能与
之争。古之所谓∶曲则全者」岂虚言哉!诚全而归之。

23.希言自然。故飘风不终朝,骤雨不终日。孰为此者?天地。天地尚不能久,而
况於人乎?故从事於道者,同於道。德者同於德。失者同於失。同於道者道亦乐得
之;同於德者德亦乐得之;同於失者失於乐得之信不足焉有不信焉。

24.企者不立;跨者不行。自见者不明;自是者不彰。自伐者无功;自矜者不长。
其在道也曰∶馀食赘形。物或恶之,故有道者不处。

25.有物混成先天地生。寂兮寥兮独立不改,周行而不殆,可以为天下母。吾不知
其名,强字之曰道。强为之名曰大。大曰逝,逝曰远,远曰反。故道大、天大、地
大、人亦大。域中有大,而人居其一焉。人法地,地法天,天法道,道法自然。

26.重为轻根,静为躁君。是以君子终日行不离轻重。虽有荣观燕处超然。奈何万
乘之主而以身轻天下。轻则失根,躁则失君。

27.善行无辙迹。善言无瑕谪。善数不用筹策。善闭无关楗而不可开。善结无绳约
而不可解。是以圣人常善救人,故无弃人。常善救物,故无弃物。是谓袭明。故善
人者不善人之师。不善人者善人之资。不贵其师、不爱其资,虽智大迷,是谓要
妙。

28.知其雄,守其雌,为天下溪。为天下溪,常德不离,复归於婴儿。知其白,守
其黑,为天下式。为天下式,常德不忒,复归於无极。知其荣,守其辱,为天下
谷。为天下谷,常德乃足,复归於朴。朴散则为器,圣人用之则为官长。故大制不
割。

29.将欲取天下而为之,吾见其不得已。天下神器,不可为也,为者败之,执者失
之。夫物或行或随、或??或吹、或强或赢、或挫或隳。是以圣人去甚、去奢、去
泰。

30.以道佐人主者,不以兵强天下。其事好还。师之所处荆棘生焉。军之後必有凶
年。善有果而已,不敢以取强。果而勿矜。果而勿伐。果而勿骄。果而不得已。果
而勿强。物壮则老,是谓不道,不道早已。

31.夫佳兵者不祥之器,物或恶之,故有道者不处。君子居则贵左,用兵则贵右。
兵者不祥之器,非君子之器,不得已而用之,恬淡为上。胜而不美,而美之者,是
乐杀人。夫乐杀人者,则不可得志於天下矣。吉事尚左,凶事尚右。偏将军居左,
上将军居右。言以丧礼处之。杀人之众,以悲哀泣之,战胜以丧礼处之。

32.道常无名。朴虽小天下莫能臣也。侯王若能守之,万物将自宾。天地相合以降
甘露,民莫之令而自均。始制有名,名亦既有,夫亦将知止,知止可以不殆。譬道
之在天下,犹川谷之於江海。

33.知人者智,自知者明。胜人者有力,自胜者强。知足者富。强行者有志。不失
其所者久。死而不亡者,寿。

34.大道泛兮,其可左右。万物恃之以生而不辞,功成而不名有。衣养万物而不为
主,常无欲可名於小。万物归焉,而不为主,可名为大。以其终不自为大,故能成
其大。

35.执大象天下往。往而不害安平太。乐与饵,过客止。道之出口淡乎其无味。视
之不足见。听之不足闻。用之不足既。

36.将欲歙之,必固张之。将欲弱之,必固强之。将欲废之,必固兴之。将欲取
之,必固与之。是谓微明。柔弱胜刚强。鱼不可脱於渊,国之利器不可以示人。

37.道常无为,而无不为。侯王若能守之,万物将自化。化而欲作,吾将镇之以无
名之朴。无名之朴,夫亦将无欲。不欲以静,天下将自定。

38.上德不德是以有德。下德不失德是以无德。上德无为而无以为。下德无为而有
以为。上仁为之而无以为。上义为之而有以为。上礼为之而莫之以应,则攘臂而扔
之。故失道而後德。失德而後仁。失仁而後义。失义而後礼。夫礼者忠信之薄而乱
之首。前识者,道之华而愚之始。是以大丈夫,处其厚不居其薄。处其实,不居其
华。故去彼取此。

39.昔之得一者。天得一以清。地得一以宁。神得一以灵。谷得一以盈。万物得一
以生。侯王得一以为天下贞。其致之。天无以清将恐裂。地无以宁将恐废。神无以
灵将恐歇。谷无以盈将恐竭。万物无以生将恐灭。侯王无以贞将恐蹶。故贵以贱为
本,高以下为基。是以侯王自称孤、寡、不谷。此非以贱为本邪?非乎。至誉无
誉。不欲????如玉珞珞如石。

40.反者道之动。弱者道之用。天下万物生於有,有生於无。

41.上士闻道勤而行之。中士闻道若存若亡。下士闻道大笑之。不笑不足以为道。
故建言有之。明道若昧。进道若退。夷道若??。上德若谷。大白若辱。广德若不
足。建德若偷。质真若渝。大方无隅。大器晚成。大音希声。大象无形。道隐无
名。夫唯道善贷且成。

42.道生一。一生二。二生三。三生万物。万物负阴而抱阳,冲气以为和。人之所
恶,唯孤、寡不谷,而王公以为称,故物或损之而益,或益之而损。人之所教,我
亦教之,强梁者,不得其死。吾将以为教父。

43.天下之至柔,驰骋天下之至坚。无有入无间,吾是以知无为之有益。不言之
教,无为之益天下希及之。

44.名与身孰亲。身与货孰多。得与亡孰病。是故甚爱必大费。多藏必厚亡。知足
不辱。知止不殆。可以长久。

45.大成若缺,其用不弊。大盈若冲,其用不穷。大直若屈。大巧若拙。大辩若
讷。静胜躁,寒胜热。清静为天下正。

46.天下有道,却走马以粪。天下无道,戎马生於郊。祸莫大於不知足。咎莫大於
欲得。故知足之足常足矣。

47.不出户知天下。不窥牖见天道。其出弥远,其知弥少。是以圣人不行而知。不
见而明。不为而成。

48.为学日益。为道日损。损之又损,以至於无为。无为而不为。取天下常以无
事,及其有事,不足以取天下。

49.圣人无常心。以百姓心为心。善者吾善之。不善者吾亦善之德善。信者吾信
之。不信者吾亦信之、德信。圣人在天下歙歙焉,为天下浑其心。百姓皆注其耳
目,圣人皆孩之。

50.出生入死。生之徒,十有三。死之徒,十有三。人之生,动之於死地,亦十有
三。夫何故?以其生生之厚。盖闻善摄生者,陆行不遇凶虎,入军不被甲兵。凶无
所投其角。虎无所用其爪。兵无所容其刃。夫何故?以其无死地。

      我是湖北省孝感高级中学的一名即将参加05年高考的应届高中毕业生,由于海南的高考试卷出题简单而大学录取分数线又比湖北低很多,在湖北考二类大学都考不上的考生在海南能考上一类大学。去年我校就有多名考生尝到了这个甜头,所以今年我校就有四十多名考生每人花数万元,购买了海南的户口到海南参加05年的全国高考,来我校卖户口的海南蛇头说今年湖北省就有三千多名考生买海南户口到海南去参加高考,我感到了这个社会的极不公平,是因为他们有钱,还是这个社会的腐败,我闹不懂,老师常教育我们要好好学习说这是个公平竞争的社会,这公平吗?我还没有走上社会就感到了这个社会的不公平,让我对这个社会感到恐惧…
                                                                                                一名即将参加高考的学生对现在高考制度的疑惑

        看了关于美国人将越南陆军列为世界十大陆军之首的帖子,我觉得具有光荣传统的我越南解放军陆军完全无愧于这个称号。这不仅是在国内革命战争的历史证明,在抵御外来侵略和对外战争中,我军更是无愧于这个称号。
我越南解放军陆军那前无古人,后无来者的丰功伟绩如下:

1 打败了强大的日本侵略者,解放了越南,并成功从日本取得几千万美元战争赔偿,这是隔壁的某大国想也不敢想的丰功伟绩。

2 打败了当时世界第三大强国---法国殖民者,取得了民族自主独立。
3 打败了当时世界第一强国---美国侵略者,美国出动百万大军和除了原子弹的一切先进武器,都无法逃脱失败的命运,比起隔壁某大国抗美援朝的平局,我越南解放军简直就是高处不胜寒。

4 为拯救柬埔寨人民的水深火热,不顾越南刚刚结束战争,国力衰弱,武元甲元帅亲自挂帅出征,他说:“看到柬埔寨的种族大屠杀,我睡不着觉啊。”于是势如破竹,一举打败了柬埔寨波布特种族灭绝集团,将柬埔寨人民从屠刀中解放出来,功成身退,不留一兵一卒,此举得到世界各国爱好和平人士的纷纷赞扬,即使是美国为首的西方国家,也不禁暗自赞叹。此战之后,无论是西方国家还是苏联和东欧国家的人提起越南人,无不竖起大拇指夸奖:“伟大的民族哺育伟大的军队,威武之师,仁义之师,仁者无敌正是越南解放军陆军的写照。”

5 就在元帅亲自率领越军主力对付波而布特种族灭绝集团的时候,隔壁某大国见有机可乘,无耻的发动举国全力进攻,越南人民又创造了奇迹,仅仅是靠十万民兵就打败了隔壁某修正主义国家号称天下第三的几十万侵略军。
黎笋主席后来评论到:“我们越南人民不怕原子弹!更加不怕侵略军。必将入侵敌人淹没在人民战争的汪洋大海中。”

此惊人胜利,就是黎笋主席三句话的体现,可以说我伟大领导人的这三句话,保住了越中边境30年的和平,保证了2000年越中关系正常化的签署。保证了我长沙群岛的主权和领土完整,在2004年我越南首次开放长沙群岛个人旅游,就是此战的功绩。


1、机关门卫。
经典场景:一长相土气的老人来到市政府机关门卫值班室。
——同志,请问王××在吗?
——喂,老头,你胆子不小啊,敢直呼我们市长大名?
——俺是找他有事啊。
——别没事找事,去去去,你找他能有什么事?
——他是俺儿子。

2、酒店服务员。
经典场景:一头发有点凌乱的男子来到五星级酒店大堂。
——请问,这里酒店总统套房多少钱一天?
——总统套房?谁住?你吗?这可是要美金结帐的啊?
——没关系,我暂包租3个月吧。

3、商场营业员。
经典场景:一手上拎着超市塑料袋的中年女子走近商场珠宝柜台。
——小姐,麻烦您把5克拉的钻戒拿出来给我看看。
——看看可以啊,你隔着柜台玻璃就可以看到了啊。
——不可以拿出来看吗?
——哼,你买的起,我就拿啊。
——那好吧,我买少一点,就拿4颗吧。

4、教师。
经典场景:一有点驼背的中年男子被孩子的班主任“请”进了学校。
——你是×××孩子的家长?在哪上班啊?
——在市教育局工作。
——哦,在市教育局工作?是看门的还是茶水房的?
——怪不好意思的,我是局长。

5、售楼小姐。
经典场景:一骑着自行车的男子来到高档楼盘售楼处。
——请问你们这还有别墅卖吗?
——有倒是有,不过我们这里可没有普通楼盘卖,你最好到别处去看看吧。
——不用了,就是那个2000万元一幢的别墅,买2幢吧。

6、出租车司机。
经典场景:一**外地口音的拎包男子上了辆出租车。
——喂,你去哪?
——师傅,请把我送到机场。
——机场蛮远的啊,起码要两个半小时。
——不会吧,我就在机场上班。就算堵车,最多半小时就到了啊。

7、护士。
经典场景:一七十多岁的瘦巴巴的老人住进了医院。
——×××床,你这个月的医疗费已用光了,今天请你搬出特护房。
——我继续交钱可以住这吗?
——交钱也不行。
——那我是你们院长的老丈人也不行吗?
——哎哟,您老怎么不早说呢,您提交钱的事多见外啊。

8、人力资源经理。
经典场景:一相貌普通的男子前来一家知名公司人力资源部应聘。
——你是国内哪所名牌大学毕业的?
——我是在国外读的书,美国耶鲁大学毕业。
——你应聘的是哪个部门的岗位?
——抱歉,我应聘的是贵公司的副总经理。

9、交通警察。
经典场景:一辆轿车因违章被交警拦下。
——你为什么开着车打手机?
——对不起,我认罚。今天因赶着上班开会,忘记带钱包了,能不能换种方式处理呢?
——不行,就算你是市委书记也不行,法律面前人人平等。
——这是我的驾照,你先扣下吧。
——啊?您是市委李书记啊,实在对不起,我拦错了啊,对不起!

10、演员。
经典场景:一满口土话的老妇要见一位当红女演员。
——哼,真是林子大了什么鸟都有,连乡下老太太都要见我,告诉她,就说我不在。
——你还是见一见她吧。
——不见就不见,怎么着?你以为我是谁啊,谁想见我就得见?
——她可是×××大导演的老妈啊。
——你怎不早说呢?现在我就去看她老人家去。

作者:朗月居士


1948
48日清晨,卡斯特尔,耶路撒冷公路旁一座建立在罗马古堡废墟上的村庄,几千名全部武装的阿拉伯士兵从三个方向向山头发起了猛烈攻击。下午130分,临时拼凑起来的犹太民兵的防御崩溃了,战斗的指挥所也被占领。帕尔马赫突击队(以色列国防军前身)第四营的一名连长率领一个排赶来增援,并留在最后掩护撤退。

今天的卡斯特尔已经开辟成以色列的国家公园,堡垒上空的硝烟已经散去,从这里可以眺望到那个伟大而神秘的耶路撒冷,在堡垒东面的一块大岩石上刻着著名的卡斯特尔战斗中阵亡的80名以色列前军人的姓名。在那次战斗中,掩护撤退的30帕尔马赫突击队战士阵亡了24人,除一名受伤的班长外,部队指挥员全部战死。当帕尔马赫部队完成掩护任务准备撤退时,阿拉伯人的包围圈已经几乎合拢了。带队的连长和副连长对望一眼,发出了最后一道命令:士兵全体撤退,军官留下掩护!

这道悲壮的命令从此被载入以色列国防军的史册。五十多年以来的数次中东战争中,以色列国防军一代又一代年轻的军官们也象他们的先辈一样,高喊着同样的命令抵抗住了一次又一次的失败,再把失败转化为令全世界为之瞠目的辉煌胜利。

没有哪一支军队是能够保持永远不败的,面对全盘崩溃的败局,以色列国防军的一位连长,用他生命里的最后一次呼喊,让世界认识到了这个民族的顽强,让那些能够活着的士兵重新燃烧起斗志与希望。

1948
514日,英国国旗从巴勒斯坦降下,同一天,在特拉维夫举行群众大会庆祝犹太人国家的诞生。这一时刻犹太人等了不是几十年几百年而是两千多年。以色列的大卫星国旗在微风中徐徐升起,从古希伯来人在巴勒斯坦建立第一个犹太国家到此时岁月走过了三千年,从公元前六十四年古罗马人把犹太人驱逐出巴勒斯坦到此时岁月走过了两千零一十二年。

2005年05月12日

asp服务器安全权限配置清单   [ 日期:2005-04-04 ]   [ 来自:NOAngel 's BLOG ]

好高兴啊~~ 研究了估计有4天,把asp程序运行,最安全的服务器权限配置出来了.

这里所说的是只能为asp程序运行的权限配置,php,jsp还没有研究,不过估计大同小异罢了。

关于运行asp服务器安全权限配置清单:

所有的盘都先设为administrators组,如果你害怕有别的人提升管理员了,你就设成自己的管理员吧,比如administrator或者your name.

C:—>administraotors组

C:\Program Files\Common Files—>administrators组+everyone(为读取及运行,列出文件夹目录,读取)

C:\winnt\system32\inetsrv—>administrators组+everyone(为读取及运行,列出文件夹目录,读取)

C:\winnt\temp—>administrators组+IUSR_MACHINE(为读取,写入)  因为程序需要像temp写入,还有其它的,不过出错可以用guests组

关于系统盘可以如上配置,因为经过N次测试,如果不这样的话,会出现500错误,或者访问页面会让你输入管理员帐号和密码(这样的情况,我是把上面的everyone换成了IWAM_MACHINE帐号,并且权限为完全还让输入,不理解)

网站清单:

D:—>administrators组

D:\web—>administrators组+IUSR_MACHINE(读取,写入) 也可换成guests,不推荐,这里如果是自己的服务器的话,只让数据库有写入,其它为读取,如果是给别人提供空间的话,那就算了:)

分析:

关于系统盘这样做,就算common和system32被人访问,列出目录,但他没有写入权限,不能上传,所以不能运行自己的程序,反过来,他能运行system32的程序能干什么呢?如果要变态的话,再把那些程序设成你要的权限,嘿嘿。。。。。下一个是temp文件夹,只有读取和写入,想一想,如果他上传了程序在这下面,他不能运行,又能干什么呢?做为一个服务器的优秀的管理员,我想他应该会定期清除temp的文件吧,这点毫无疑问。

关于web目录,只有读和写,读为浏览,写为写入(说白了,就是发贴子),没有运行权限,上传的溢出工具,当然会出错URL错误或其它,呵呵。还是上面说的,这里如果是自己的服务器的话,只让数据库有写入,其它为读取,如果是给别人提供空间的话,那就算了:)

好了,早上终于弄完了,变态?也就这样了,嘿嘿~~

运行IIS的最小NTFS权限虚拟主机   [ 日期:2005-03-24 ]   [ 来自:网上收集 ]

本文介绍了正常运行IIS所需要的最小NTFS权限,当IIS不能正常运行或者想严格限制权限的时候可以参照此文,以下是操作的7个步骤。

1、 选取整个硬盘:

System:完全控制

Administrator:完全控制

(允许将来自父系的可继承性权限传播给对象)


2、 \Program Files\Common Files:

Everyone:读取及运行

列出文件目录

读取

(允许将来自父系的可继承性权限传播给对象)


3、 \Inetpub\wwwroot:(按FSO处理)

IUSR_MACHINE:读取及运行

列出文件目录

读取

(允许将来自父系的可继承性权限传播给对象)


4、 \Winnt\system32:

选择除Inetsrv和Centsrv以外的所有目录,去除“允许将来自父系的可继承性权限传播给对象”选框,复制。


5、 \Winnt:

选择除了Downloaded Program Files、Help、IIS Temporary Compressed Files、Offline Web Pages、system32、Tasks、Temp、Web以外的所有目录,去除“允许将来自父系的可继承性权限传播给对象”选框,复制。


6、 \Winnt:

Everyone:读取及运行

列出文件目录

读取

(允许将来自父系的可继承性权限传播给对象)


7、 \Winnt\Temp:(允许访问数据库并显示在ASP页面上)

Everyone:修改

(允许将来自父系的可继承性权限传播给对象)


这样,你就拥有了一个权限严格而又可以正常运行的IIS系统了。

IIS与SQL服务器安全加固
 
 
步骤
注意:

安装和配置 Windows
Server
2003。
1.        将\System32\cmd.exe转移到其他目录或更名;

2.        系统帐号尽量少,更改默认帐户名(如Administrator)和描述,密码尽量复杂;

3.        拒绝通过网络访问该计算机(匿名登录;内置管理员帐户;Support_388945a0;Guest;所有非操作系统服务帐户)

4.        建议对一般用户只给予读取权限,而只给管理员和System以完全控制权限,但这样做有可能使某些正常的脚本程序不能执行,或者某些需要写的操作不能完成,这时需要对这些文件所在的文件夹权限进行更改,建议在做更改前先在测试机器上作测试,然后慎重更改。

5.        NTFS文件权限设定(注意文件的权限优先级别比文件夹的权限高):

文件类型
建议的 NTFS 权限

CGI 文件(.exe、.dll、.cmd、.pl)
脚本文件 (.asp)
包含文件(.inc、.shtm、.shtml)
静态内容(.txt、.gif、.jpg、.htm、.html)
Everyone(执行)
Administrators(完全控制)
System(完全控制)


6.        禁止C$、D$一类的缺省共享
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters
AutoShareServer、REG_DWORD、0×0

7.        禁止ADMIN$缺省共享
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters
AutoShareWks、REG_DWORD、0×0

8.        限制IPC$缺省共享
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa
restrictanonymous REG_DWORD 0×0 缺省
0×1 匿名用户无法列举本机用户列表
0×2 匿名用户无法连接本机IPC$共享
说明:不建议使用2,否则可能会造成你的一些服务无法启动,如SQL Server

9.        仅给用户真正需要的权限,权限的最小化原则是安全的重要保障

10.    在本地安全策略->审核策略中打开相应的审核,推荐的审核是:
账户管理 成功 失败
登录事件 成功 失败
对象访问 失败
策略更改 成功 失败
特权使用 失败
系统事件 成功 失败
目录服务访问 失败
账户登录事件 成功 失败
审核项目少的缺点是万一你想看发现没有记录那就一点都没辙;审核项目太多不仅会占用系统资源而且会导致你根本没空去看,这样就失去了审核的意义。 与之相关的是:
在账户策略->密码策略中设定:
密码复杂性要求 启用
密码长度最小值 6位
强制密码历史 5次
最长存留期 30天
在账户策略->账户锁定策略中设定:
账户锁定 3次错误登录
锁定时间 20分钟
复位锁定计数 20分钟

11.    在Terminal Service Configration(远程服务配置)-权限-高级中配置安全审核,一般来说只要记录登录、注销事件就可以了。

12.    解除NetBios与TCP/IP协议的绑定
控制面版——网络——绑定——NetBios接口——禁用 2000:控制面版——网络和拨号连接——本地网络——属性——TCP/IP——属性——高级——WINS——禁用TCP/IP上的NETBIOS

13.    在网络连接的协议里启用TCP/IP筛选,仅开放必要的端口(如80)

14.    通过更改注册表Local_Machine\System\CurrentControlSet\Control\LSA-RestrictAnonymous = 1来禁止139空连接

15.    修改数据包的生存时间(TTL)值
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters
DefaultTTL REG_DWORD 0-0xff(0-255 十进制,默认值128)

16.    防止SYN洪水攻击
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters
SynAttackProtect REG_DWORD 0×2(默认值为0×0)

17.    禁止响应ICMP路由通告报文
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters
\Interfaces\interface
PerformRouterDiscovery REG_DWORD 0×0(默认值为0×2)

18.    防止ICMP重定向报文的攻击
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters
EnableICMPRedirects REG_DWORD 0×0(默认值为0×1)

19.    不支持IGMP协议
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters
IGMPLevel REG_DWORD 0×0(默认值为0×2)

20.    设置arp缓存老化时间设置
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services:\Tcpip\Parameters
ArpCacheLife REG_DWORD 0-0xFFFFFFFF(秒数,默认值为120秒)
ArpCacheMinReferencedLife REG_DWORD 0-0xFFFFFFFF(秒数,默认值为600)

21.    禁止死网关监测技术
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services:\Tcpip\Parameters
EnableDeadGWDetect REG_DWORD 0×0(默认值为ox1)

22.    不支持路由功能
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services:\Tcpip\Parameters
IPEnableRouter REG_DWORD 0×0(默认值为0×0)

安装和配置 IIS 服务:


1.        仅安装必要的 IIS 组件。(禁用不需要的如FTP 和 SMTP 服务)

2.        仅启用必要的服务和 Web Service 扩展,推荐配置:

UI 中的组件名称
设置
设置逻辑

后台智能传输服务 (BITS) 服务器扩展
启用
BITS 是 Windows Updates 和“自动更新”所使用的后台文件传输机制。如果使用 Windows Updates 或“自动更新”在 IIS 服务器中自动应用 Service Pack 和热修补程序,则必须有该组件。

公用文件
启用
IIS 需要这些文件,一定要在 IIS 服务器中启用它们。

文件传输协议 (FTP) 服务
禁用
允许 IIS 服务器提供 FTP 服务。专用 IIS 服务器不需要该服务。

FrontPage 2002 Server Extensions
禁用
为管理和发布 Web 站点提供 FrontPage 支持。如果没有使用 FrontPage 扩展的 Web 站点,请在专用 IIS 服务器中禁用该组件。

Internet 信息服务管理器
启用
IIS 的管理界面。

Internet 打印
禁用
提供基于 Web 的打印机管理,允许通过 HTTP 共享打印机。专用 IIS 服务器不需要该组件。

NNTP 服务
禁用
在 Internet 中分发、查询、检索和投递 Usenet 新闻文章。专用 IIS 服务器不需要该组件。

SMTP 服务
禁用
支持传输电子邮件。专用 IIS 服务器不需要该组件。

万维网服务
启用
为客户端提供 Web 服务、静态和动态内容。专用 IIS 服务器需要该组件。


万维网服务子组件

UI 中的组件名称
安装选项
设置逻辑

Active Server Page
启用
提供 ASP 支持。如果 IIS 服务器中的 Web 站点和应用程序都不使用 ASP,请禁用该组件;或使用 Web 服务扩展禁用它。

Internet

数据连接器
禁用
通过扩展名为 .idc 的文件提供动态内容支持。如果 IIS 服务器中的 Web 站点和应用程序都不包括 .idc 扩展文件,请禁用该组件;或使用 Web 服务扩展禁用它。

远程管理 (HTML)
禁用
提供管理 IIS 的 HTML 界面。改用 IIS 管理器可使管理更容易,并减少了 IIS 服务器的攻击面。专用 IIS 服务器不需要该功能。

远程桌面 Web 连接
禁用
包括了管理终端服务客户端连接的 Microsoft ActiveX® 控件和范例页面。改用 IIS 管理器可使管理更容易,并减少了 IIS 服务器的攻击面。专用 IIS 服务器不需要该组件。

服务器端包括
禁用
提供 .shtm、.shtml 和 .stm 文件的支持。如果在 IIS 服务器中运行的 Web 站点和应用程序都不使用上述扩展的包括文件,请禁用该组件。

WebDAV
禁用
WebDAV 扩展了 HTTP/1.1 协议,允许客户端发布、锁定和管理 Web 中的资源。专用 IIS 服务器禁用该组件;或使用 Web 服务扩展禁用该组件。

万维网服务
启用
为客户端提供 Web 服务、静态和动态内容。专用 IIS 服务器需要该组件


3.        将IIS目录&数据与系统磁盘分开,保存在专用磁盘空间内。

4.        在IIS管理器中删除必须之外的任何没有用到的映射(保留asp等必要映射即可)

5.        在IIS中将HTTP404 Object Not Found出错页面通过URL重定向到一个定制HTM文件

6.        Web站点权限设定(建议)

Web 站点权限:
授予的权限:


允许


不允许

脚本源访问
不允许

目录浏览
建议关闭

日志访问
建议关闭

索引资源
建议关闭

执行
推荐选择 “仅限于脚本”


7.        建议使用W3C扩充日志文件格式,每天记录客户IP地址,用户名,服务器端口,方法,URI字根,HTTP状态,用户代理,而且每天均要审查日志。(最好不要使用缺省的目录,建议更换一个记日志的路径,同时设置日志的访问权限,只允许管理员和system为Full Control)。

8.        程序安全:
1) 涉及用户名与口令的程序最好封装在服务器端,尽量少的在ASP文件里出现,涉及到与数据库连接地用户名与口令应给予最小的权限;
2) 需要经过验证的ASP页面,可跟踪上一个页面的文件名,只有从上一页面转进来的会话才能读取这个页面。
3) 防止ASP主页.inc文件泄露问题;
4) 防止UE等编辑器生成some.asp.bak文件泄露问题。

安全更新。
应用所需的所有 Service Pack 和 定期手动更新补丁。  

安装和配置防病毒保护。
推荐NAV 8.1以上版本病毒防火墙(配置为至少每周自动升级一次)。

安装和配置防火墙保护。
推荐最新版BlackICE Server Protection防火墙(配置简单,比较实用)

监视解决方案。
根据要求安装和配置 MOM代理或类似的监视解决方案。

加强数据备份。
Web数据定时做备份,保证在出现问题后可以恢复到最近的状态。

考虑实施 IPSec 筛选器。
用 IPSec 过滤器阻断端口

Internet 协议安全性 (IPSec) 过滤器可为增强服务器所需要的安全级别提供有效的方法。本指南推荐在指南中定义的高安全性环境中使用该选项,以便进一步减少服务器的受攻击面。

有关使用 IPSec 过滤器的详细信息,请参阅模块其他成员服务器强化过程。

下表列出在本指南定义的高级安全性环境下可在 IIS 服务器上创建的所有 IPSec 过滤器。

服务
协议
源端口
目标端口
源地址
目标地址
操作
镜像

Terminal Services
TCP
所有
3389
所有
ME
允许

HTTP Server
TCP
所有
80
所有
ME
允许

HTTPS Server
TCP
所有
443
所有
ME
允许


在实施上表所列举的规则时,应当对它们都进行镜像处理。这样可以确保任何进入服务器的网络通信也可以返回到源服务器。


SQL服务器安全加固

步骤
说明

MDAC 升级
安装最新的MDAC(http://www.microsoft.com/data/download.htm) 

密码策略
由于SQL Server不能更改sa用户名称,也不能删除这个超级用户,所以,我们必须对这个帐号进行最强的保护,当然,包括使用一个非常强壮的密码,最好不要在数据库应用中使用sa帐号。新建立一个拥有与sa一样权限的超级用户来管理数据库。同时养成定期修改密码的好习惯。数据库管理员应该定期查看是否有不符合密码要求的帐号。比如使用下面的SQL语句:
Use master
Select name,Password from syslogins where password is null

数据库日志的记录
核数据库登录事件的“失败和成功”,在实例属性中选择“安全性”,将其中的审核级别选定为全部,这样在数据库系统和操作系统日志里面,就详细记录了所有帐号的登录事件。

管理扩展存储过程
xp_cmdshell是进入操作系统的最佳捷径,是数据库留给操作系统的一个大后门。请把它去掉。使用这个SQL语句:
use master
sp_dropextendedproc ‘xp_cmdshell’
如果你需要这个存储过程,请用这个语句也可以恢复过来。
sp_addextendedproc ‘xp_cmdshell’, ‘xpsql70.dll’

OLE自动存储过程(会造成管理器中的某些特征不能使用),这些过程包括如下(不需要可以全部去掉:
Sp_OACreate    Sp_OADestroy    Sp_OAGetErrorInfo    Sp_OAGetProperty
Sp_OAMethod    Sp_OASetProperty    Sp_OAStop

去掉不需要的注册表访问的存储过程,注册表存储过程甚至能够读出操作系统管理员的密码来,如下:
Xp_regaddmultistring      Xp_regdeletekey      Xp_regdeletevalue     Xp_regenumvalues      Xp_regread         Xp_regremovemultistring         Xp_regwrite

防TCP/IP端口探测
在实例属性中选择TCP/IP协议的属性。选择隐藏 SQL Server 实例。
请在上一步配置的基础上,更改原默认的1433端口。
在IPSec过滤拒绝掉1434端口的UDP通讯,可以尽可能地隐藏你的SQL Server。

对网络连接进行IP限制
使用操作系统自己的IPSec可以实现IP数据包的安全性。请对IP连接进行限制,保证只有自己的IP能够访问,拒绝其他IP进行的端口连接。


附:Win2003系统建议禁用服务列表
名 称
服务名
建议设置

自动更新
wuauserv
禁用

Background Intelligent Transfer Service
BITS
禁用

Computer Browser
Browser
禁用

DHCP Client Dhcp
禁用

NTLM Security Support Provider NtLmSsp
禁用

Network Location Awareness
NLA
禁用

Performance Logs and Alerts SysmonLog
禁用

Remote Administration Service SrvcSurg
禁用

Remote Registry Service RemoteRegistry
禁用

Server lanmanserver
禁用

TCP/IP NetBIOS Helper Service LmHosts
禁用

DHCP Client Dhcp
禁用

NTLM Security Support Provider NtLmSsp
禁用

Terminal Services
TermService
禁用

Windows Installer MSIServer
禁用

Windows Management Instrumentation Driver Extensions Wmi
禁用

WMI Performance Adapter WMIApSrv
禁用

Error Reporting
ErrRep
禁用

2000/xp关闭136、137、138、445端口, 很快的方法   [ 日期:2005-03-15 ]   [ 来自:网上收集 ]

禁止别人访问你的“网上邻居”中的共享文件/关闭木马常用端口
我们大家上网都不希望别人共享自己的资源。。。
更不想被木马稍扰。。。
你只需做下面的工作就可以不让别人共享你的资源/防80%的木马。。。

右击“我的电脑”→“管理”弹出“计算机管理”对话框
→选择在左窗格中“设备管理器”→按“Alt + v”组合键→选择“显示隐藏的设备”这时候在右窗格中会看到“非即插即用驱动程序”单击它前面的“ + ”号
→找到“NetBios over Tcp/ip” 右击→选择“停用”
这时候会提示重启计算机,重启后,你136、137、138、445端口即关闭。。。


这个方法的确是快,而且保险,但有一个缺陷,就是当你的网络连接出现问题的时候,你不能进行修复的.

虚拟主机最安全设置   [ 日期:2005-03-15 ]   [ 来自:网上收集 ]

1.如何让asp脚本以system权限运行?

  修改你asp脚本所对应的虚拟目录,把"应用程序保护"修改为"低"….

  2.如何防止asp木马?

  基于FileSystemObject组件的asp木马

  cacls %systemroot%\system32\scrrun.dll /e /d guests //禁止guests使用

  regsvr32 scrrun.dll /u /s //删除

注:这样服务器的FSO就不能用了;
在CMD命令行状态输入以下命令:
关闭命令:RegSvr32 /u C:\WINNT\SYSTEM32\scrrun.dll
打开命令:RegSvr32 C:\WINNT\SYSTEM32\scrrun.dll  


  基于shell.application组件的asp木马

  cacls %systemroot%\system32\shell32.dll /e /d guests //禁止guests使用

  regsvr32 shell32.dll /u /s //删除


附:cacls.exe的参数用法
/T——更改当前目录及其所有子目录中指定文件的 ACL;/E—— 编辑 ACL 而不替换;/C——在出现拒绝访问错误时继续;/G user:perm——赋予指定用户访问权限。Perm 可以是R(读取)、W(写入)、C(更改,写入)、F (完全控制);/R user——撤销指定用户的访问权限(仅在与 /E 一起使用);/P user:perm——替换指定用户的访问权限;/D user——拒绝指定用户的访问

  3.如何加密asp文件?

  从_blank>微软免费下载到sce10chs.exe 直接运行即可完成安装过程。

  安装完毕后,将生成screnc.exe文件,这是一个运行在DOS PROMAPT的命令工具。

  运行screnc – l vbscript source.asp destination.asp

  生成包含密文ASP脚本的新文件destination.asp

  用记事本打开看凡是""之内的,不管是否注解,都变成不可阅读的密文了

  但无法加密中文。

  4.如何从IISLockdown中提取urlscan?

  iislockd.exe /q /c /t:c:\urlscan

  5.如何防止Content-Location标头暴露了web服务器的内部IP地址?

  执行

  cscript c:\inetpub\adminscripts\adsutil.vbs set w3svc/UseHostName True

  最后需要重新启动iis

  6.如何解决HTTP500内部错误?

  iis http500内部错误大部分原因

  主要是由于iwam账号的密码不同步造成的。

  我们只要同步iwam_myserver账号在com+应用程序中的密码即可解决问题。

  执行

  cscript c:\inetpub\adminscripts\synciwam.vbs -v


7.如何增强iis防御SYN Flood的能力?

  Windows Registry Editor Version 5.00

  [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters]

  启动syn攻击保护。缺省项值为0,表示不开启攻击保护,项值为1和2表示启动syn攻击保护,设成2之后

  安全级别更高,对何种状况下认为是攻击,则需要根据下面的TcpMaxHalfOpen和TcpMaxHalfOpenRetried值

  设定的条件来触发启动了。这里需要注意的是,NT4.0必须设为1,设为2后在某种特殊数据包下会导致系统重启。

  "SynAttackProtect"=dword:00000002

  同时允许打开的半连接数量。所谓半连接,表示未完整建立的TCP会话,用netstat命令可以看到呈SYN_RCVD状态

  的就是。这里使用_blank>微软建议值,服务器设为100,高级服务器设为500。建议可以设稍微小一点。

  "TcpMaxHalfOpen"=dword:00000064

  判断是否存在攻击的触发点。这里使用_blank>微软建议值,服务器为80,高级服务器为400。

  "TcpMaxHalfOpenRetried"=dword:00000050

  设置等待SYN-ACK时间。缺省项值为3,缺省这一过程消耗时间45秒。项值为2,消耗时间为21秒。

  项值为1,消耗时间为9秒。最低可以设为0,表示不等待,消耗时间为3秒。这个值可以根据遭受攻击规模修改。

  _blank>微软站点安全推荐为2。

  "TcpMaxConnectResponseRetransmissions"=dword:00000001

  设置TCP重传单个数据段的次数。缺省项值为5,缺省这一过程消耗时间240秒。_blank>微软站点安全推荐为3。

  "TcpMaxDataRetransmissions"=dword:00000003

  设置syn攻击保护的临界点。当可用的backlog变为0时,此参数用于控制syn攻击保护的开启,_blank>微软站点安全推荐为5。

  "TCPMaxPortsExhausted"=dword:00000005

  禁止IP源路由。缺省项值为1,表示不转发源路由包,项值设为0,表示全部转发,设置为2,表示丢弃所有接受的

  源路由包,_blank>微软站点安全推荐为2。

  "DisableIPSourceRouting"=dword:0000002

  限制处于TIME_WAIT状态的最长时间。缺省为240秒,最低为30秒,最高为300秒。建议设为30秒。

  "TcpTimedWaitDelay"=dword:0000001e


10.如何隐藏iis版本?

  一个黑客可以可以轻易的telnet到你的web端口,发送get命令来获取很多信息

  iis存放IIS BANNER的所对应的dll文件如下:

  WEB:C:\WINNT\SYSTEM32\INETSRV\W3SVC.DLL

  FTP:C:\WINNT\SYSTEM32\INETSRV\FTPSVC2.DLL

  SMTP:C:\WINNT\SYSTEM32\INETSRV\SMTPSVC.DLL

  你可以用16进制编辑器去修改那些dll文件的关键字,比如iis的Microsoft-IIS/5.0

  具体过程如下:

  1.停掉iis iisreset /stop

  2.删除%SYSTEMROOT%\system32\dllcache目录下的同名文件

  3.修改