2005年05月17日

1.道可道,非常道。名可名,非常名。无名天地之始。有名万物之母。故常无欲
以观其妙。常有欲以观其徼。此两者同出而异名,同谓之玄。玄之又玄,众妙之
门。

 2.天下皆知美之为美,斯恶矣;皆知善之为善,斯不善已。故有无相生,难易相
成,长短相形,高下相倾,音声相和,前後相随。是以圣人处无为之事,行不言之
教。万物作焉而不辞。生而不有,为而不恃,功成而弗居。夫唯弗居,是以不去。

 3.不尚贤, 使民不争。不贵难得之货,使民不为盗。不见可欲,使民心不乱。
是以圣人之治,虚其心,实其腹,弱其志,强其骨;常使民无知、无欲,使夫智者
不敢为也。为无为,则无不治。

 4.道冲而用之,或不盈。渊兮似万物之宗。解其纷,和其光,同其尘,湛兮似或
存。吾不知谁之子,象帝之先。

 5.天地不仁,以万物为刍狗。圣人不仁,以百姓为刍狗。天地之间,其犹橐迭
乎?虚而不屈,动而愈出。多言数穷,不如守中。

 6.谷神不死是谓玄牝。玄牝之门是谓天地根。绵绵若存,用之不勤。

 7.天长地久。天地所以能长且久者,以其不自生,故能长生。是以圣人後其身而
身先,外其身而身存。非以其无私邪!故能成其私。

 8.上善若水。水善利万物而不争,处众人之所恶,故几於道。居善地,心善渊与
善仁,言善信,正善治,事善能,动善时。夫唯不争,故无尤。

 9.持而盈之不如其己;揣而锐之不可长保;金玉满堂莫之能守;富贵而骄,自遗
其咎。功遂身退,天之道。

10.载营魄抱一,能无离乎?专气致柔,能如婴儿乎?涤除玄览,能无疵乎?爱国
治民,能无为乎?天门开阖,能为雌乎?明白四达,能无知乎。

11.三十幅共一毂,当其无,有车之用。埏埴以为器,当其无,有器之用。凿户牖
以为室,当其无,有室之用。故有之以为利,无之以为用。

12.五色令人目盲,五音令人耳聋,五味令人口爽,驰骋畋猎令人心发狂,难得之
货令人行妨。是以圣人,为腹不为目,故去彼取此。

13.宠辱若惊,贵大患若身。何谓宠辱若惊?宠为下。得之若惊失之若惊是谓宠辱
若惊。何谓贵大患若身?吾所以有大患者,为吾有身,及吾无身,吾有何患。故贵
以身为天下,若可寄天下。爱以身为天下,若可托天下。

14.视之不见名曰夷。听之不闻名曰希。抟之不得名曰微。此三者不可致诘,故混
而为一。其上不??,其下不昧,绳绳不可名,复归於无物。是谓无状之状,无物之
象,是谓惚恍。迎之不见其首,随之不见其後。执古之道以御今之有。能知古始,
是谓道纪。

15.古之善为士者,微妙玄通,深不可识。夫唯不可识,故强为之容。豫兮若冬涉
川;犹兮若畏四邻;俨兮其若容;涣兮若冰之将释;敦兮其若朴;旷兮其若谷;混
兮其若浊;澹兮其若海;??兮若无止。孰能浊以静之徐清。孰能安以动之徐生。保
此道者不欲盈。夫唯不盈故能蔽而新成。

16.致虚极守静笃。万物并作,吾以观复。夫物芸芸各复归其根。归根曰静,是谓
复命;复命曰常,知常曰明。不知常,妄作凶。知常容,容乃公,公乃全,全乃
天,天乃道,道乃久,没身不殆。

17.太上,下知有之。其次,亲而誉之。其次,畏之。其次,侮之。信不足焉,有
不信焉。悠兮其贵言,功成事遂,百姓皆谓∶我自然。

18.大道废有仁义;慧智出有大伪;六亲不和有孝慈;国家昏乱有忠臣。

19.绝圣弃智,民利百倍;绝仁弃义,民复孝慈;绝巧弃利,盗贼无有;此三者,
以为文不足。故令有所属,见素抱朴少私寡欲。

20.绝学无忧,唯之与阿,相去几何?善之与恶,相去若何?人之所畏,不可不
畏。荒兮其未央哉!众人熙熙如享太牢、如春登台。我独泊兮其未兆,如婴儿之未
孩;????兮若无所归。众人皆有馀,而我独若遗。我愚人之心也哉!沌沌兮。俗人
昭昭,我独昏昏;俗人察察,我独闷闷。众人皆有以,而我独顽且鄙。我独异於
人,而贵食母。

21.孔德之容惟道是从。道之为物惟恍惟惚。惚兮恍兮其中有象。恍兮惚兮其中有
物。窈兮冥兮其中有精。其精甚真。其中有信。自古及今,其名不去以阅众甫。吾
何以知众甫之状哉!以此。

22.曲则全,枉则直,洼则盈,敝则新少则得,多则惑。是以圣人抱一为天下式。
不自见故明;不自是故彰;不自伐故有功;不自矜故长;夫唯不争,故天下莫能与
之争。古之所谓∶曲则全者」岂虚言哉!诚全而归之。

23.希言自然。故飘风不终朝,骤雨不终日。孰为此者?天地。天地尚不能久,而
况於人乎?故从事於道者,同於道。德者同於德。失者同於失。同於道者道亦乐得
之;同於德者德亦乐得之;同於失者失於乐得之信不足焉有不信焉。

24.企者不立;跨者不行。自见者不明;自是者不彰。自伐者无功;自矜者不长。
其在道也曰∶馀食赘形。物或恶之,故有道者不处。

25.有物混成先天地生。寂兮寥兮独立不改,周行而不殆,可以为天下母。吾不知
其名,强字之曰道。强为之名曰大。大曰逝,逝曰远,远曰反。故道大、天大、地
大、人亦大。域中有大,而人居其一焉。人法地,地法天,天法道,道法自然。

26.重为轻根,静为躁君。是以君子终日行不离轻重。虽有荣观燕处超然。奈何万
乘之主而以身轻天下。轻则失根,躁则失君。

27.善行无辙迹。善言无瑕谪。善数不用筹策。善闭无关楗而不可开。善结无绳约
而不可解。是以圣人常善救人,故无弃人。常善救物,故无弃物。是谓袭明。故善
人者不善人之师。不善人者善人之资。不贵其师、不爱其资,虽智大迷,是谓要
妙。

28.知其雄,守其雌,为天下溪。为天下溪,常德不离,复归於婴儿。知其白,守
其黑,为天下式。为天下式,常德不忒,复归於无极。知其荣,守其辱,为天下
谷。为天下谷,常德乃足,复归於朴。朴散则为器,圣人用之则为官长。故大制不
割。

29.将欲取天下而为之,吾见其不得已。天下神器,不可为也,为者败之,执者失
之。夫物或行或随、或??或吹、或强或赢、或挫或隳。是以圣人去甚、去奢、去
泰。

30.以道佐人主者,不以兵强天下。其事好还。师之所处荆棘生焉。军之後必有凶
年。善有果而已,不敢以取强。果而勿矜。果而勿伐。果而勿骄。果而不得已。果
而勿强。物壮则老,是谓不道,不道早已。

31.夫佳兵者不祥之器,物或恶之,故有道者不处。君子居则贵左,用兵则贵右。
兵者不祥之器,非君子之器,不得已而用之,恬淡为上。胜而不美,而美之者,是
乐杀人。夫乐杀人者,则不可得志於天下矣。吉事尚左,凶事尚右。偏将军居左,
上将军居右。言以丧礼处之。杀人之众,以悲哀泣之,战胜以丧礼处之。

32.道常无名。朴虽小天下莫能臣也。侯王若能守之,万物将自宾。天地相合以降
甘露,民莫之令而自均。始制有名,名亦既有,夫亦将知止,知止可以不殆。譬道
之在天下,犹川谷之於江海。

33.知人者智,自知者明。胜人者有力,自胜者强。知足者富。强行者有志。不失
其所者久。死而不亡者,寿。

34.大道泛兮,其可左右。万物恃之以生而不辞,功成而不名有。衣养万物而不为
主,常无欲可名於小。万物归焉,而不为主,可名为大。以其终不自为大,故能成
其大。

35.执大象天下往。往而不害安平太。乐与饵,过客止。道之出口淡乎其无味。视
之不足见。听之不足闻。用之不足既。

36.将欲歙之,必固张之。将欲弱之,必固强之。将欲废之,必固兴之。将欲取
之,必固与之。是谓微明。柔弱胜刚强。鱼不可脱於渊,国之利器不可以示人。

37.道常无为,而无不为。侯王若能守之,万物将自化。化而欲作,吾将镇之以无
名之朴。无名之朴,夫亦将无欲。不欲以静,天下将自定。

38.上德不德是以有德。下德不失德是以无德。上德无为而无以为。下德无为而有
以为。上仁为之而无以为。上义为之而有以为。上礼为之而莫之以应,则攘臂而扔
之。故失道而後德。失德而後仁。失仁而後义。失义而後礼。夫礼者忠信之薄而乱
之首。前识者,道之华而愚之始。是以大丈夫,处其厚不居其薄。处其实,不居其
华。故去彼取此。

39.昔之得一者。天得一以清。地得一以宁。神得一以灵。谷得一以盈。万物得一
以生。侯王得一以为天下贞。其致之。天无以清将恐裂。地无以宁将恐废。神无以
灵将恐歇。谷无以盈将恐竭。万物无以生将恐灭。侯王无以贞将恐蹶。故贵以贱为
本,高以下为基。是以侯王自称孤、寡、不谷。此非以贱为本邪?非乎。至誉无
誉。不欲????如玉珞珞如石。

40.反者道之动。弱者道之用。天下万物生於有,有生於无。

41.上士闻道勤而行之。中士闻道若存若亡。下士闻道大笑之。不笑不足以为道。
故建言有之。明道若昧。进道若退。夷道若??。上德若谷。大白若辱。广德若不
足。建德若偷。质真若渝。大方无隅。大器晚成。大音希声。大象无形。道隐无
名。夫唯道善贷且成。

42.道生一。一生二。二生三。三生万物。万物负阴而抱阳,冲气以为和。人之所
恶,唯孤、寡不谷,而王公以为称,故物或损之而益,或益之而损。人之所教,我
亦教之,强梁者,不得其死。吾将以为教父。

43.天下之至柔,驰骋天下之至坚。无有入无间,吾是以知无为之有益。不言之
教,无为之益天下希及之。

44.名与身孰亲。身与货孰多。得与亡孰病。是故甚爱必大费。多藏必厚亡。知足
不辱。知止不殆。可以长久。

45.大成若缺,其用不弊。大盈若冲,其用不穷。大直若屈。大巧若拙。大辩若
讷。静胜躁,寒胜热。清静为天下正。

46.天下有道,却走马以粪。天下无道,戎马生於郊。祸莫大於不知足。咎莫大於
欲得。故知足之足常足矣。

47.不出户知天下。不窥牖见天道。其出弥远,其知弥少。是以圣人不行而知。不
见而明。不为而成。

48.为学日益。为道日损。损之又损,以至於无为。无为而不为。取天下常以无
事,及其有事,不足以取天下。

49.圣人无常心。以百姓心为心。善者吾善之。不善者吾亦善之德善。信者吾信
之。不信者吾亦信之、德信。圣人在天下歙歙焉,为天下浑其心。百姓皆注其耳
目,圣人皆孩之。

50.出生入死。生之徒,十有三。死之徒,十有三。人之生,动之於死地,亦十有
三。夫何故?以其生生之厚。盖闻善摄生者,陆行不遇凶虎,入军不被甲兵。凶无
所投其角。虎无所用其爪。兵无所容其刃。夫何故?以其无死地。

作者:朗月居士


1948
48日清晨,卡斯特尔,耶路撒冷公路旁一座建立在罗马古堡废墟上的村庄,几千名全部武装的阿拉伯士兵从三个方向向山头发起了猛烈攻击。下午130分,临时拼凑起来的犹太民兵的防御崩溃了,战斗的指挥所也被占领。帕尔马赫突击队(以色列国防军前身)第四营的一名连长率领一个排赶来增援,并留在最后掩护撤退。

今天的卡斯特尔已经开辟成以色列的国家公园,堡垒上空的硝烟已经散去,从这里可以眺望到那个伟大而神秘的耶路撒冷,在堡垒东面的一块大岩石上刻着著名的卡斯特尔战斗中阵亡的80名以色列前军人的姓名。在那次战斗中,掩护撤退的30帕尔马赫突击队战士阵亡了24人,除一名受伤的班长外,部队指挥员全部战死。当帕尔马赫部队完成掩护任务准备撤退时,阿拉伯人的包围圈已经几乎合拢了。带队的连长和副连长对望一眼,发出了最后一道命令:士兵全体撤退,军官留下掩护!

这道悲壮的命令从此被载入以色列国防军的史册。五十多年以来的数次中东战争中,以色列国防军一代又一代年轻的军官们也象他们的先辈一样,高喊着同样的命令抵抗住了一次又一次的失败,再把失败转化为令全世界为之瞠目的辉煌胜利。

没有哪一支军队是能够保持永远不败的,面对全盘崩溃的败局,以色列国防军的一位连长,用他生命里的最后一次呼喊,让世界认识到了这个民族的顽强,让那些能够活着的士兵重新燃烧起斗志与希望。

1948
514日,英国国旗从巴勒斯坦降下,同一天,在特拉维夫举行群众大会庆祝犹太人国家的诞生。这一时刻犹太人等了不是几十年几百年而是两千多年。以色列的大卫星国旗在微风中徐徐升起,从古希伯来人在巴勒斯坦建立第一个犹太国家到此时岁月走过了三千年,从公元前六十四年古罗马人把犹太人驱逐出巴勒斯坦到此时岁月走过了两千零一十二年。

2005年05月12日

asp服务器安全权限配置清单   [ 日期:2005-04-04 ]   [ 来自:NOAngel 's BLOG ]

好高兴啊~~ 研究了估计有4天,把asp程序运行,最安全的服务器权限配置出来了.

这里所说的是只能为asp程序运行的权限配置,php,jsp还没有研究,不过估计大同小异罢了。

关于运行asp服务器安全权限配置清单:

所有的盘都先设为administrators组,如果你害怕有别的人提升管理员了,你就设成自己的管理员吧,比如administrator或者your name.

C:—>administraotors组

C:\Program Files\Common Files—>administrators组+everyone(为读取及运行,列出文件夹目录,读取)

C:\winnt\system32\inetsrv—>administrators组+everyone(为读取及运行,列出文件夹目录,读取)

C:\winnt\temp—>administrators组+IUSR_MACHINE(为读取,写入)  因为程序需要像temp写入,还有其它的,不过出错可以用guests组

关于系统盘可以如上配置,因为经过N次测试,如果不这样的话,会出现500错误,或者访问页面会让你输入管理员帐号和密码(这样的情况,我是把上面的everyone换成了IWAM_MACHINE帐号,并且权限为完全还让输入,不理解)

网站清单:

D:—>administrators组

D:\web—>administrators组+IUSR_MACHINE(读取,写入) 也可换成guests,不推荐,这里如果是自己的服务器的话,只让数据库有写入,其它为读取,如果是给别人提供空间的话,那就算了:)

分析:

关于系统盘这样做,就算common和system32被人访问,列出目录,但他没有写入权限,不能上传,所以不能运行自己的程序,反过来,他能运行system32的程序能干什么呢?如果要变态的话,再把那些程序设成你要的权限,嘿嘿。。。。。下一个是temp文件夹,只有读取和写入,想一想,如果他上传了程序在这下面,他不能运行,又能干什么呢?做为一个服务器的优秀的管理员,我想他应该会定期清除temp的文件吧,这点毫无疑问。

关于web目录,只有读和写,读为浏览,写为写入(说白了,就是发贴子),没有运行权限,上传的溢出工具,当然会出错URL错误或其它,呵呵。还是上面说的,这里如果是自己的服务器的话,只让数据库有写入,其它为读取,如果是给别人提供空间的话,那就算了:)

好了,早上终于弄完了,变态?也就这样了,嘿嘿~~

运行IIS的最小NTFS权限虚拟主机   [ 日期:2005-03-24 ]   [ 来自:网上收集 ]

本文介绍了正常运行IIS所需要的最小NTFS权限,当IIS不能正常运行或者想严格限制权限的时候可以参照此文,以下是操作的7个步骤。

1、 选取整个硬盘:

System:完全控制

Administrator:完全控制

(允许将来自父系的可继承性权限传播给对象)


2、 \Program Files\Common Files:

Everyone:读取及运行

列出文件目录

读取

(允许将来自父系的可继承性权限传播给对象)


3、 \Inetpub\wwwroot:(按FSO处理)

IUSR_MACHINE:读取及运行

列出文件目录

读取

(允许将来自父系的可继承性权限传播给对象)


4、 \Winnt\system32:

选择除Inetsrv和Centsrv以外的所有目录,去除“允许将来自父系的可继承性权限传播给对象”选框,复制。


5、 \Winnt:

选择除了Downloaded Program Files、Help、IIS Temporary Compressed Files、Offline Web Pages、system32、Tasks、Temp、Web以外的所有目录,去除“允许将来自父系的可继承性权限传播给对象”选框,复制。


6、 \Winnt:

Everyone:读取及运行

列出文件目录

读取

(允许将来自父系的可继承性权限传播给对象)


7、 \Winnt\Temp:(允许访问数据库并显示在ASP页面上)

Everyone:修改

(允许将来自父系的可继承性权限传播给对象)


这样,你就拥有了一个权限严格而又可以正常运行的IIS系统了。

IIS与SQL服务器安全加固
 
 
步骤
注意:

安装和配置 Windows
Server
2003。
1.        将\System32\cmd.exe转移到其他目录或更名;

2.        系统帐号尽量少,更改默认帐户名(如Administrator)和描述,密码尽量复杂;

3.        拒绝通过网络访问该计算机(匿名登录;内置管理员帐户;Support_388945a0;Guest;所有非操作系统服务帐户)

4.        建议对一般用户只给予读取权限,而只给管理员和System以完全控制权限,但这样做有可能使某些正常的脚本程序不能执行,或者某些需要写的操作不能完成,这时需要对这些文件所在的文件夹权限进行更改,建议在做更改前先在测试机器上作测试,然后慎重更改。

5.        NTFS文件权限设定(注意文件的权限优先级别比文件夹的权限高):

文件类型
建议的 NTFS 权限

CGI 文件(.exe、.dll、.cmd、.pl)
脚本文件 (.asp)
包含文件(.inc、.shtm、.shtml)
静态内容(.txt、.gif、.jpg、.htm、.html)
Everyone(执行)
Administrators(完全控制)
System(完全控制)


6.        禁止C$、D$一类的缺省共享
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters
AutoShareServer、REG_DWORD、0×0

7.        禁止ADMIN$缺省共享
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters
AutoShareWks、REG_DWORD、0×0

8.        限制IPC$缺省共享
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa
restrictanonymous REG_DWORD 0×0 缺省
0×1 匿名用户无法列举本机用户列表
0×2 匿名用户无法连接本机IPC$共享
说明:不建议使用2,否则可能会造成你的一些服务无法启动,如SQL Server

9.        仅给用户真正需要的权限,权限的最小化原则是安全的重要保障

10.    在本地安全策略->审核策略中打开相应的审核,推荐的审核是:
账户管理 成功 失败
登录事件 成功 失败
对象访问 失败
策略更改 成功 失败
特权使用 失败
系统事件 成功 失败
目录服务访问 失败
账户登录事件 成功 失败
审核项目少的缺点是万一你想看发现没有记录那就一点都没辙;审核项目太多不仅会占用系统资源而且会导致你根本没空去看,这样就失去了审核的意义。 与之相关的是:
在账户策略->密码策略中设定:
密码复杂性要求 启用
密码长度最小值 6位
强制密码历史 5次
最长存留期 30天
在账户策略->账户锁定策略中设定:
账户锁定 3次错误登录
锁定时间 20分钟
复位锁定计数 20分钟

11.    在Terminal Service Configration(远程服务配置)-权限-高级中配置安全审核,一般来说只要记录登录、注销事件就可以了。

12.    解除NetBios与TCP/IP协议的绑定
控制面版——网络——绑定——NetBios接口——禁用 2000:控制面版——网络和拨号连接——本地网络——属性——TCP/IP——属性——高级——WINS——禁用TCP/IP上的NETBIOS

13.    在网络连接的协议里启用TCP/IP筛选,仅开放必要的端口(如80)

14.    通过更改注册表Local_Machine\System\CurrentControlSet\Control\LSA-RestrictAnonymous = 1来禁止139空连接

15.    修改数据包的生存时间(TTL)值
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters
DefaultTTL REG_DWORD 0-0xff(0-255 十进制,默认值128)

16.    防止SYN洪水攻击
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters
SynAttackProtect REG_DWORD 0×2(默认值为0×0)

17.    禁止响应ICMP路由通告报文
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters
\Interfaces\interface
PerformRouterDiscovery REG_DWORD 0×0(默认值为0×2)

18.    防止ICMP重定向报文的攻击
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters
EnableICMPRedirects REG_DWORD 0×0(默认值为0×1)

19.    不支持IGMP协议
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters
IGMPLevel REG_DWORD 0×0(默认值为0×2)

20.    设置arp缓存老化时间设置
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services:\Tcpip\Parameters
ArpCacheLife REG_DWORD 0-0xFFFFFFFF(秒数,默认值为120秒)
ArpCacheMinReferencedLife REG_DWORD 0-0xFFFFFFFF(秒数,默认值为600)

21.    禁止死网关监测技术
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services:\Tcpip\Parameters
EnableDeadGWDetect REG_DWORD 0×0(默认值为ox1)

22.    不支持路由功能
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services:\Tcpip\Parameters
IPEnableRouter REG_DWORD 0×0(默认值为0×0)

安装和配置 IIS 服务:


1.        仅安装必要的 IIS 组件。(禁用不需要的如FTP 和 SMTP 服务)

2.        仅启用必要的服务和 Web Service 扩展,推荐配置:

UI 中的组件名称
设置
设置逻辑

后台智能传输服务 (BITS) 服务器扩展
启用
BITS 是 Windows Updates 和“自动更新”所使用的后台文件传输机制。如果使用 Windows Updates 或“自动更新”在 IIS 服务器中自动应用 Service Pack 和热修补程序,则必须有该组件。

公用文件
启用
IIS 需要这些文件,一定要在 IIS 服务器中启用它们。

文件传输协议 (FTP) 服务
禁用
允许 IIS 服务器提供 FTP 服务。专用 IIS 服务器不需要该服务。

FrontPage 2002 Server Extensions
禁用
为管理和发布 Web 站点提供 FrontPage 支持。如果没有使用 FrontPage 扩展的 Web 站点,请在专用 IIS 服务器中禁用该组件。

Internet 信息服务管理器
启用
IIS 的管理界面。

Internet 打印
禁用
提供基于 Web 的打印机管理,允许通过 HTTP 共享打印机。专用 IIS 服务器不需要该组件。

NNTP 服务
禁用
在 Internet 中分发、查询、检索和投递 Usenet 新闻文章。专用 IIS 服务器不需要该组件。

SMTP 服务
禁用
支持传输电子邮件。专用 IIS 服务器不需要该组件。

万维网服务
启用
为客户端提供 Web 服务、静态和动态内容。专用 IIS 服务器需要该组件。


万维网服务子组件

UI 中的组件名称
安装选项
设置逻辑

Active Server Page
启用
提供 ASP 支持。如果 IIS 服务器中的 Web 站点和应用程序都不使用 ASP,请禁用该组件;或使用 Web 服务扩展禁用它。

Internet

数据连接器
禁用
通过扩展名为 .idc 的文件提供动态内容支持。如果 IIS 服务器中的 Web 站点和应用程序都不包括 .idc 扩展文件,请禁用该组件;或使用 Web 服务扩展禁用它。

远程管理 (HTML)
禁用
提供管理 IIS 的 HTML 界面。改用 IIS 管理器可使管理更容易,并减少了 IIS 服务器的攻击面。专用 IIS 服务器不需要该功能。

远程桌面 Web 连接
禁用
包括了管理终端服务客户端连接的 Microsoft ActiveX® 控件和范例页面。改用 IIS 管理器可使管理更容易,并减少了 IIS 服务器的攻击面。专用 IIS 服务器不需要该组件。

服务器端包括
禁用
提供 .shtm、.shtml 和 .stm 文件的支持。如果在 IIS 服务器中运行的 Web 站点和应用程序都不使用上述扩展的包括文件,请禁用该组件。

WebDAV
禁用
WebDAV 扩展了 HTTP/1.1 协议,允许客户端发布、锁定和管理 Web 中的资源。专用 IIS 服务器禁用该组件;或使用 Web 服务扩展禁用该组件。

万维网服务
启用
为客户端提供 Web 服务、静态和动态内容。专用 IIS 服务器需要该组件


3.        将IIS目录&数据与系统磁盘分开,保存在专用磁盘空间内。

4.        在IIS管理器中删除必须之外的任何没有用到的映射(保留asp等必要映射即可)

5.        在IIS中将HTTP404 Object Not Found出错页面通过URL重定向到一个定制HTM文件

6.        Web站点权限设定(建议)

Web 站点权限:
授予的权限:


允许


不允许

脚本源访问
不允许

目录浏览
建议关闭

日志访问
建议关闭

索引资源
建议关闭

执行
推荐选择 “仅限于脚本”


7.        建议使用W3C扩充日志文件格式,每天记录客户IP地址,用户名,服务器端口,方法,URI字根,HTTP状态,用户代理,而且每天均要审查日志。(最好不要使用缺省的目录,建议更换一个记日志的路径,同时设置日志的访问权限,只允许管理员和system为Full Control)。

8.        程序安全:
1) 涉及用户名与口令的程序最好封装在服务器端,尽量少的在ASP文件里出现,涉及到与数据库连接地用户名与口令应给予最小的权限;
2) 需要经过验证的ASP页面,可跟踪上一个页面的文件名,只有从上一页面转进来的会话才能读取这个页面。
3) 防止ASP主页.inc文件泄露问题;
4) 防止UE等编辑器生成some.asp.bak文件泄露问题。

安全更新。
应用所需的所有 Service Pack 和 定期手动更新补丁。  

安装和配置防病毒保护。
推荐NAV 8.1以上版本病毒防火墙(配置为至少每周自动升级一次)。

安装和配置防火墙保护。
推荐最新版BlackICE Server Protection防火墙(配置简单,比较实用)

监视解决方案。
根据要求安装和配置 MOM代理或类似的监视解决方案。

加强数据备份。
Web数据定时做备份,保证在出现问题后可以恢复到最近的状态。

考虑实施 IPSec 筛选器。
用 IPSec 过滤器阻断端口

Internet 协议安全性 (IPSec) 过滤器可为增强服务器所需要的安全级别提供有效的方法。本指南推荐在指南中定义的高安全性环境中使用该选项,以便进一步减少服务器的受攻击面。

有关使用 IPSec 过滤器的详细信息,请参阅模块其他成员服务器强化过程。

下表列出在本指南定义的高级安全性环境下可在 IIS 服务器上创建的所有 IPSec 过滤器。

服务
协议
源端口
目标端口
源地址
目标地址
操作
镜像

Terminal Services
TCP
所有
3389
所有
ME
允许

HTTP Server
TCP
所有
80
所有
ME
允许

HTTPS Server
TCP
所有
443
所有
ME
允许


在实施上表所列举的规则时,应当对它们都进行镜像处理。这样可以确保任何进入服务器的网络通信也可以返回到源服务器。


SQL服务器安全加固

步骤
说明

MDAC 升级
安装最新的MDAC(http://www.microsoft.com/data/download.htm) 

密码策略
由于SQL Server不能更改sa用户名称,也不能删除这个超级用户,所以,我们必须对这个帐号进行最强的保护,当然,包括使用一个非常强壮的密码,最好不要在数据库应用中使用sa帐号。新建立一个拥有与sa一样权限的超级用户来管理数据库。同时养成定期修改密码的好习惯。数据库管理员应该定期查看是否有不符合密码要求的帐号。比如使用下面的SQL语句:
Use master
Select name,Password from syslogins where password is null

数据库日志的记录
核数据库登录事件的“失败和成功”,在实例属性中选择“安全性”,将其中的审核级别选定为全部,这样在数据库系统和操作系统日志里面,就详细记录了所有帐号的登录事件。

管理扩展存储过程
xp_cmdshell是进入操作系统的最佳捷径,是数据库留给操作系统的一个大后门。请把它去掉。使用这个SQL语句:
use master
sp_dropextendedproc ‘xp_cmdshell’
如果你需要这个存储过程,请用这个语句也可以恢复过来。
sp_addextendedproc ‘xp_cmdshell’, ‘xpsql70.dll’

OLE自动存储过程(会造成管理器中的某些特征不能使用),这些过程包括如下(不需要可以全部去掉:
Sp_OACreate    Sp_OADestroy    Sp_OAGetErrorInfo    Sp_OAGetProperty
Sp_OAMethod    Sp_OASetProperty    Sp_OAStop

去掉不需要的注册表访问的存储过程,注册表存储过程甚至能够读出操作系统管理员的密码来,如下:
Xp_regaddmultistring      Xp_regdeletekey      Xp_regdeletevalue     Xp_regenumvalues      Xp_regread         Xp_regremovemultistring         Xp_regwrite

防TCP/IP端口探测
在实例属性中选择TCP/IP协议的属性。选择隐藏 SQL Server 实例。
请在上一步配置的基础上,更改原默认的1433端口。
在IPSec过滤拒绝掉1434端口的UDP通讯,可以尽可能地隐藏你的SQL Server。

对网络连接进行IP限制
使用操作系统自己的IPSec可以实现IP数据包的安全性。请对IP连接进行限制,保证只有自己的IP能够访问,拒绝其他IP进行的端口连接。


附:Win2003系统建议禁用服务列表
名 称
服务名
建议设置

自动更新
wuauserv
禁用

Background Intelligent Transfer Service
BITS
禁用

Computer Browser
Browser
禁用

DHCP Client Dhcp
禁用

NTLM Security Support Provider NtLmSsp
禁用

Network Location Awareness
NLA
禁用

Performance Logs and Alerts SysmonLog
禁用

Remote Administration Service SrvcSurg
禁用

Remote Registry Service RemoteRegistry
禁用

Server lanmanserver
禁用

TCP/IP NetBIOS Helper Service LmHosts
禁用

DHCP Client Dhcp
禁用

NTLM Security Support Provider NtLmSsp
禁用

Terminal Services
TermService
禁用

Windows Installer MSIServer
禁用

Windows Management Instrumentation Driver Extensions Wmi
禁用

WMI Performance Adapter WMIApSrv
禁用

Error Reporting
ErrRep
禁用

2000/xp关闭136、137、138、445端口, 很快的方法   [ 日期:2005-03-15 ]   [ 来自:网上收集 ]

禁止别人访问你的“网上邻居”中的共享文件/关闭木马常用端口
我们大家上网都不希望别人共享自己的资源。。。
更不想被木马稍扰。。。
你只需做下面的工作就可以不让别人共享你的资源/防80%的木马。。。

右击“我的电脑”→“管理”弹出“计算机管理”对话框
→选择在左窗格中“设备管理器”→按“Alt + v”组合键→选择“显示隐藏的设备”这时候在右窗格中会看到“非即插即用驱动程序”单击它前面的“ + ”号
→找到“NetBios over Tcp/ip” 右击→选择“停用”
这时候会提示重启计算机,重启后,你136、137、138、445端口即关闭。。。


这个方法的确是快,而且保险,但有一个缺陷,就是当你的网络连接出现问题的时候,你不能进行修复的.

虚拟主机最安全设置   [ 日期:2005-03-15 ]   [ 来自:网上收集 ]

1.如何让asp脚本以system权限运行?

  修改你asp脚本所对应的虚拟目录,把"应用程序保护"修改为"低"….

  2.如何防止asp木马?

  基于FileSystemObject组件的asp木马

  cacls %systemroot%\system32\scrrun.dll /e /d guests //禁止guests使用

  regsvr32 scrrun.dll /u /s //删除

注:这样服务器的FSO就不能用了;
在CMD命令行状态输入以下命令:
关闭命令:RegSvr32 /u C:\WINNT\SYSTEM32\scrrun.dll
打开命令:RegSvr32 C:\WINNT\SYSTEM32\scrrun.dll  


  基于shell.application组件的asp木马

  cacls %systemroot%\system32\shell32.dll /e /d guests //禁止guests使用

  regsvr32 shell32.dll /u /s //删除


附:cacls.exe的参数用法
/T——更改当前目录及其所有子目录中指定文件的 ACL;/E—— 编辑 ACL 而不替换;/C——在出现拒绝访问错误时继续;/G user:perm——赋予指定用户访问权限。Perm 可以是R(读取)、W(写入)、C(更改,写入)、F (完全控制);/R user——撤销指定用户的访问权限(仅在与 /E 一起使用);/P user:perm——替换指定用户的访问权限;/D user——拒绝指定用户的访问

  3.如何加密asp文件?

  从_blank>微软免费下载到sce10chs.exe 直接运行即可完成安装过程。

  安装完毕后,将生成screnc.exe文件,这是一个运行在DOS PROMAPT的命令工具。

  运行screnc – l vbscript source.asp destination.asp

  生成包含密文ASP脚本的新文件destination.asp

  用记事本打开看凡是""之内的,不管是否注解,都变成不可阅读的密文了

  但无法加密中文。

  4.如何从IISLockdown中提取urlscan?

  iislockd.exe /q /c /t:c:\urlscan

  5.如何防止Content-Location标头暴露了web服务器的内部IP地址?

  执行

  cscript c:\inetpub\adminscripts\adsutil.vbs set w3svc/UseHostName True

  最后需要重新启动iis

  6.如何解决HTTP500内部错误?

  iis http500内部错误大部分原因

  主要是由于iwam账号的密码不同步造成的。

  我们只要同步iwam_myserver账号在com+应用程序中的密码即可解决问题。

  执行

  cscript c:\inetpub\adminscripts\synciwam.vbs -v


7.如何增强iis防御SYN Flood的能力?

  Windows Registry Editor Version 5.00

  [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters]

  启动syn攻击保护。缺省项值为0,表示不开启攻击保护,项值为1和2表示启动syn攻击保护,设成2之后

  安全级别更高,对何种状况下认为是攻击,则需要根据下面的TcpMaxHalfOpen和TcpMaxHalfOpenRetried值

  设定的条件来触发启动了。这里需要注意的是,NT4.0必须设为1,设为2后在某种特殊数据包下会导致系统重启。

  "SynAttackProtect"=dword:00000002

  同时允许打开的半连接数量。所谓半连接,表示未完整建立的TCP会话,用netstat命令可以看到呈SYN_RCVD状态

  的就是。这里使用_blank>微软建议值,服务器设为100,高级服务器设为500。建议可以设稍微小一点。

  "TcpMaxHalfOpen"=dword:00000064

  判断是否存在攻击的触发点。这里使用_blank>微软建议值,服务器为80,高级服务器为400。

  "TcpMaxHalfOpenRetried"=dword:00000050

  设置等待SYN-ACK时间。缺省项值为3,缺省这一过程消耗时间45秒。项值为2,消耗时间为21秒。

  项值为1,消耗时间为9秒。最低可以设为0,表示不等待,消耗时间为3秒。这个值可以根据遭受攻击规模修改。

  _blank>微软站点安全推荐为2。

  "TcpMaxConnectResponseRetransmissions"=dword:00000001

  设置TCP重传单个数据段的次数。缺省项值为5,缺省这一过程消耗时间240秒。_blank>微软站点安全推荐为3。

  "TcpMaxDataRetransmissions"=dword:00000003

  设置syn攻击保护的临界点。当可用的backlog变为0时,此参数用于控制syn攻击保护的开启,_blank>微软站点安全推荐为5。

  "TCPMaxPortsExhausted"=dword:00000005

  禁止IP源路由。缺省项值为1,表示不转发源路由包,项值设为0,表示全部转发,设置为2,表示丢弃所有接受的

  源路由包,_blank>微软站点安全推荐为2。

  "DisableIPSourceRouting"=dword:0000002

  限制处于TIME_WAIT状态的最长时间。缺省为240秒,最低为30秒,最高为300秒。建议设为30秒。

  "TcpTimedWaitDelay"=dword:0000001e


10.如何隐藏iis版本?

  一个黑客可以可以轻易的telnet到你的web端口,发送get命令来获取很多信息

  iis存放IIS BANNER的所对应的dll文件如下:

  WEB:C:\WINNT\SYSTEM32\INETSRV\W3SVC.DLL

  FTP:C:\WINNT\SYSTEM32\INETSRV\FTPSVC2.DLL

  SMTP:C:\WINNT\SYSTEM32\INETSRV\SMTPSVC.DLL

  你可以用16进制编辑器去修改那些dll文件的关键字,比如iis的Microsoft-IIS/5.0

  具体过程如下:

  1.停掉iis iisreset /stop

  2.删除%SYSTEMROOT%\system32\dllcache目录下的同名文件

  3.修改

Windows下的权限设置详解   [ 日期:2005-03-15 ]   [ 来自:网上收集 ]

随着动网论坛的广泛应用和动网上传漏洞的被发现以及SQL注入式攻击越来越多的被使用,WEBSHELL让防火墙形同虚设,一台即使打了所有微软补丁、只让80端口对外开放的WEB服务器也逃不过被黑的命运。难道我们真的无能为力了吗?其实,只要你弄明白了NTFS系统下的权限设置问题,我们可以对crackers们说:NO!
  
  要打造一台安全的WEB服务器,那么这台服务器就一定要使用NTFS和Windows NT/2000/2003。众所周知,Windows是一个支持多用户、多任务的操作系统,这是权限设置的基础,一切权限设置都是基于用户和进程而言的,不同的用户在访问这台计算机时,将会有不同的权限。

DOS跟WinNT的权限的分别

  DOS是个单任务、单用户的操作系统。但是我们能说DOS没有权限吗?不能!当我们打开一台装有DOS操作系统的计算机的时候,我们就拥有了这个操作系统的管理员权限,而且,这个权限无处不在。所以,我们只能说DOS不支持权限的设置,不能说它没有权限。随着人们安全意识的提高,权限设置随着NTFS的发布诞生了。
  
  Windows NT里,用户被分成许多组,组和组之间都有不同的权限,当然,一个组的用户和用户之间也可以有不同的权限。下面我们来谈谈NT中常见的用户组。

  Administrators,管理员组,默认情况下,Administrators中的用户对计算机/域有不受限制的完全访问权。分配给该组的默认权限允许对整个系统进行完全控制。所以,只有受信任的人员才可成为该组的成员。
  Power Users,高级用户组,Power Users 可以执行除了为 Administrators 组保留的任务外的其他任何操作系统任务。分配给 Power Users 组的默认权限允许 Power Users 组的成员修改整个计算机的设置。但Power Users 不具有将自己添加到 Administrators 组的权限。在权限设置中,这个组的权限是仅次于Administrators的。

  Users:普通用户组,这个组的用户无法进行有意或无意的改动。因此,用户可以运行经过验证的应用程序,但不可以运行大多数旧版应用程序。Users 组是最安全的组,因为分配给该组的默认权限不允许成员修改操作系统的设置或用户资料。Users 组提供了一个最安全的程序运行环境。在经过 NTFS 格式化的卷上,默认安全设置旨在禁止该组的成员危及操作系统和已安装程序的完整性。用户不能修改系统注册表设置、操作系统文件或程序文件。Users 可以关闭工作站,但不能关闭服务器。Users 可以创建本地组,但只能修改自己创建的本地组。
Guests:来宾组,按默认值,来宾跟普通Users的成员有同等访问权,但来宾帐户的限制更多。

  Everyone:顾名思义,所有的用户,这个计算机上的所有用户都属于这个组。

  其实还有一个组也很常见,它拥有和Administrators一样、甚至比其还高的权限,但是这个组不允许任何用户的加入,在察看用户组的时候,它也不会被显示出来,它就是SYSTEM组。系统和系统级的服务正常运行所需要的权限都是靠它赋予的。由于该组只有这一个用户SYSTEM,也许把该组归为用户的行列更为贴切。

权限的权力大小分析

  权限是有高低之分的,有高权限的用户可以对低权限的用户进行操作,但除了Administrators之外,其他组的用户不能访问 NTFS 卷上的其他用户资料,除非他们获得了这些用户的授权。而低权限的用户无法对高权限的用户进行任何操作。

  我们平常使用计算机的过程当中不会感觉到有权限在阻挠你去做某件事情,这是因为我们在使用计算机的时候都用的是Administrators中的用户登陆的。这样有利也有弊,利当然是你能去做你想做的任何一件事情而不会遇到权限的限制。弊就是以 Administrators 组成员的身份运行计算机将使系统容易受到特洛伊木马、病毒及其他安全风险的威胁。访问 Internet 站点或打开电子邮件附件的简单行动都可能破坏系统。

  不熟悉的 Internet 站点或电子邮件附件可能有特洛伊木马代码,这些代码可以下载到系统并被执行。如果以本地计算机的管理员身份登录,特洛伊木马可能使用管理访问权重新格式化您的硬盘,造成不可估量的损失,所以在没有必要的情况下,最好不用Administrators中的用户登陆。Administrators中有一个在系统安装时就创建的默认用户—-Administrator,Administrator 帐户具有对服务器的完全控制权限,并可以根据需要向用户指派用户权利和访问控制权限。

  因此强烈建议将此帐户设置为使用强密码。永远也不可以从Administrators 组删除 Administrator 帐户,但可以重命名或禁用该帐户。由于大家都知道“管理员”存在于许多版本的 Windows 上,所以重命名或禁用此帐户将使恶意用户尝试并访问该帐户变得更为困难。对于一个好的服务器管理员来说,他们通常都会重命名或禁用此帐户。Guests用户组下,也有一个默认用户—-Guest,但是在默认情况下,它是被禁用的。如果没有特别必要,无须启用此账户。

小帮助:何谓强密码?就是字母与数字、大小互相组合的大于8位的复杂密码,但这也不完全防得住众多的黑客,只是一定程度上较为难破解。

  我们可以通过“控制面板”–“管理工具”–“计算机管理”–“用户和用户组”来查看用户组及该组下的用户。

  我们用鼠标右键单击一个NTFS卷或NTFS卷下的一个目录,选择“属性”–“安全”就可以对一个卷,或者一个卷下面的目录进行权限设置,此时我们会看到以下七种权限:完全控制、修改、读取和运行、列出文件夹目录、读取、写入、和特别的权限。“完全控制”就是对此卷或目录拥有不受限制的完全访问。地位就像Administrators在所有组中的地位一样。选中了“完全控制”,下面的五项属性将被自动被选中。

  “修改”则像Power users,选中了“修改”,下面的四项属性将被自动被选中。下面的任何一项没有被选中时,“修改”条件将不再成立。“读取和运行”就是允许读取和运行在这个卷或目录下的任何文件,“列出文件夹目录”和“读取”是“读取和运行”的必要条件。

  “列出文件夹目录”是指只能浏览该卷或目录下的子目录,不能读取,也不能运行。“读取”是能够读取该卷或目录下的数据。“写入”就是能往该卷或目录下写入数据。而“特别”则是对以上的六种权限进行了细分。读者可以自行对“特别”进行更深的研究,鄙人在此就不过多赘述了。

一台简单服务器的设置实例操作:

  下面我们对一台刚刚安装好操作系统和服务软件的WEB服务器系统和其权限进行全面的刨析。服务器采用Windows 2000 Server版,安装好了SP4及各种补丁。WEB服务软件则是用了Windows 2000自带的IIS 5.0,删除了一切不必要的映射。整个硬盘分为四个NTFS卷,C盘为系统卷,只安装了系统和驱动程序;D盘为软件卷,该服务器上所有安装的软件都在D盘中;E盘是WEB程序卷,网站程序都在该卷下的WWW目录中;F盘是网站数据卷,网站系统调用的所有数据都存放在该卷的WWWDATABASE目录下。
这样的分类还算是比较符合一台安全服务器的标准了。希望各个新手管理员能合理给你的服务器数据进行分类,这样不光是查找起来方便,更重要的是这样大大的增强了服务器的安全性,因为我们可以根据需要给每个卷或者每个目录都设置不同的权限,一旦发生了网络安全事故,也可以把损失降到最低。

  当然,也可以把网站的数据分布在不同的服务器上,使之成为一个服务器群,每个服务器都拥有不同的用户名和密码并提供不同的服务,这样做的安全性更高。不过愿意这样做的人都有一个特点—-有钱:)。

  好了,言归正传,该服务器的数据库为MS-SQL,MS-SQL的服务软件SQL2000安装在d:\ms-sqlserver2K目录下,给SA账户设置好了足够强度的密码,安装好了SP3补丁。为了方便网页制作员对网页进行管理,该网站还开通了FTP服务,FTP服务软件使用的是SERV-U 5.1.0.0,安装在d:\ftpservice\serv-u目录下。杀毒软件和防火墙用的分别是Norton Antivirus和BlackICE,路径分别为d:\nortonAV和d:\firewall\blackice,病毒库已经升级到最新,防火墙规则库定义只有80端口和21端口对外开放。网站的内容是采用动网7.0的论坛,网站程序在e:\www\bbs下。

  细心的读者可能已经注意到了,安装这些服务软件的路径我都没有采用默认的路径或者是仅仅更改盘符的默认路径,这也是安全上的需要,因为一个黑客如果通过某些途径进入了你的服务器,但并没有获得管理员权限,他首先做的事情将是查看你开放了哪些服务以及安装了哪些软件,因为他需要通过这些来提升他的权限。

  一个难以猜解的路径加上好的权限设置将把他阻挡在外。相信经过这样配置的WEB服务器已经足够抵挡大部分学艺不精的黑客了。读者可能又会问了:“这根本没用到权限设置嘛!我把其他都安全工作都做好了,权限设置还有必要吗?”当然有!智者千虑还必有一失呢,就算你现在已经把系统安全做的完美无缺,你也要知道新的安全漏洞总是在被不断的发现。

实例攻击

  权限将是你的最后一道防线!那我们现在就来对这台没有经过任何权限设置,全部采用Windows默认权限的服务器进行一次模拟攻击,看看其是否真的固若金汤。
  
  假设服务器外网域名为http://www.webserver.com,用扫描软件对其进行扫描后发现开放WWW和FTP服务,并发现其服务软件使用的是IIS  5.0和Serv-u 5.1,用一些针对他们的溢出工具后发现无效,遂放弃直接远程溢出的想法。

  打开网站页面,发现使用的是动网的论坛系统,于是在其域名后面加个/upfile.asp,发现有文件上传漏洞,便抓包,把修改过的ASP木马用NC提交,提示上传成功,成功得到WEBSHELL,打开刚刚上传的ASP木马,发现有MS-SQL、Norton Antivirus和BlackICE在运行,判断是防火墙上做了限制,把SQL服务端口屏蔽了。

  通过ASP木马查看到了Norton Antivirus和BlackICE的PID,又通过ASP木马上传了一个能杀掉进程的文件,运行后杀掉了Norton Antivirus和BlackICE。再扫描,发现1433端口开放了,到此,便有很多种途径获得管理员权限了,可以查看网站目录下的conn.asp得到SQL的用户名密码,再登陆进SQL执行添加用户,提管理员权限。也可以抓SERV-U下的ServUDaemon.ini修改后上传,得到系统管理员权限。

  还可以传本地溢出SERV-U的工具直接添加用户到Administrators等等。大家可以看到,一旦黑客找到了切入点,在没有权限限制的情况下,黑客将一帆风顺的取得管理员权限。
  
  那我们现在就来看看Windows 2000的默认权限设置到底是怎样的。对于各个卷的根目录,默认给了Everyone组完全控制权。这意味着任何进入电脑的用户将不受限制的在这些根目录中为所欲为。

  系统卷下有三个目录比较特殊,系统默认给了他们有限制的权限,这三个目录是Documents and settings、Program files和Winnt。对于Documents and settings,默认的权限是这样分配的:Administrators拥有完全控制权;Everyone拥有读&运,列和读权限;Power users拥有读&运,列和读权限;SYSTEM同Administrators;Users拥有读&运,列和读权限。对于Program files,Administrators拥有完全控制权;Creator owner拥有特殊权限;Power users有完全控制权;SYSTEM同Administrators;Terminal server users拥有完全控制权,Users有读&运,列和读权限。

  对于Winnt,Administrators拥有完全控制权;Creator owner拥有特殊权限;Power users有完全控制权;SYSTEM同Administrators;Users有读&运,列和读权限。而非系统卷下的所有目录都将继承其父目录的权限,也就是Everyone组完全控制权!

  现在大家知道为什么我们刚刚在测试的时候能一帆风顺的取得管理员权限了吧?权限设置的太低了!一个人在访问网站的时候,将被自动赋予IUSR用户,它是隶属于Guest组的。本来权限不高,但是系统默认给的Everyone组完全控制权却让它“身价倍增”,到最后能得到Administrators了。
那么,怎样设置权限给这台WEB服务器才算是安全的呢?大家要牢记一句话:“最少的服务+最小的权限=最大的安全”对于服务,不必要的话一定不要装,要知道服务的运行是SYSTEM级的哦,对于权限,本着够用就好的原则分配就是了。

  对于WEB服务器,就拿刚刚那台服务器来说,我是这样设置权限的,大家可以参考一下:各个卷的根目录、Documents and settings以及Program files,只给Administrator完全控制权,或者干脆直接把Program files给删除掉;给系统卷的根目录多加一个Everyone的读、写权;给e:\www目录,也就是网站目录读、写权。

  最后,还要把cmd.exe这个文件给挖出来,只给Administrator完全控制权。经过这样的设置后,再想通过我刚刚的方法入侵这台服务器就是不可能完成的任务了。可能这时候又有读者会问:“为什么要给系统卷的根目录一个Everyone的读、写权?网站中的ASP文件运行不需要运行权限吗?”问的好,有深度。是这样的,系统卷如果不给Everyone的读、写权的话,启动计算机的时候,计算机会报错,而且会提示虚拟内存不足。

  当然这也有个前提—-虚拟内存是分配在系统盘的,如果把虚拟内存分配在其他卷上,那你就要给那个卷Everyone的读、写权。ASP文件的运行方式是在服务器上执行,只把执行的结果传回最终用户的浏览器,这没错,但ASP文件不是系统意义上的可执行文件,它是由WEB服务的提供者—-IIS来解释执行的,所以它的执行并不需要运行的权限。

深入了解权限背后的意义

  经过上面的讲解以后,你一定对权限有了一个初步了了解了吧?想更深入的了解权限,那么权限的一些特性你就不能不知道了,权限是具有继承性、累加性 、优先性、交叉性的。
  
  继承性是说下级的目录在没有经过重新设置之前,是拥有上一级目录权限设置的。这里还有一种情况要说明一下,在分区内复制目录或文件的时候,复制过去的目录和文件将拥有它现在所处位置的上一级目录权限设置。但在分区内移动目录或文件的时候,移动过去的目录和文件将拥有它原先的权限设置。
  
  累加是说如一个组GROUP1中有两个用户USER1、USER2,他们同时对某文件或目录的访问权限分别为“读取”和“写入”,那么组GROUP1对该文件或目录的访问权限就为USER1和USER2的访问权限之和,实际上是取其最大的那个,即“读取”+“写入”=“写入”。 又如一个用户USER1同属于组GROUP1和GROUP2,而GROUP1对某一文件或目录的访问权限为“只读”型的,而GROUP2对这一文件或文件夹的访问权限为“完全控制”型的,则用户USER1对该文件或文件夹的访问权限为两个组权限累加所得,即:“只读”+“完全控制”=“完全控制”。
  
  优先性,权限的这一特性又包含两种子特性,其一是文件的访问权限优先目录的权限,也就是说文件权限可以越过目录的权限,不顾上一级文件夹的设置。另一特性就是“拒绝”权限优先其它权限,也就是说“拒绝”权限可以越过其它所有其它权限,一旦选择了“拒绝”权限,则其它权限也就不能取任何作用,相当于没有设置。
  
  交叉性是指当同一文件夹在为某一用户设置了共享权限的同时又为用户设置了该文件夹的访问权限,且所设权限不一致时,它的取舍原则是取两个权限的交集,也即最严格、最小的那种权限。如目录A为用户USER1设置的共享权限为“只读”,同时目录A为用户USER1设置的访问权限为“完全控制”,那用户USER1的最终访问权限为“只读”。
  权限设置的问题我就说到这了,在最后我还想给各位读者提醒一下,权限的设置必须在NTFS分区中才能实现的,FAT32是不支持权限设置的。同时还想给各位管理员们一些建议:

  1.养成良好的习惯,给服务器硬盘分区的时候分类明确些,在不使用服务器的时候将服务器锁定,经常更新各种补丁和升级杀毒软件。

  2.设置足够强度的密码,这是老生常谈了,但总有管理员设置弱密码甚至空密码。

  3.尽量不要把各种软件安装在默认的路径下

  4.在英文水平不是问题的情况下,尽量安装英文版操作系统。

  5.切忌在服务器上乱装软件或不必要的服务。

  6.牢记:没有永远安全的系统,经常更新你的知识。

关掉Windows 2000不必要的服务(推荐)   [ 日期:2005-03-15 ]   [ 来自:网上收集 ]

Windows 2000的启动时间比Windows 98、Me长得多了,特别是在只有64兆内存的情况下尤为明显,你会看到你的硬盘在启动时不停地读写,因为这时Windows 2000在加载很多服务组件,如果你只是在一台单机上用Windows 2000,并且没有连到任何局域网上,那么其实有很多服务组件是根本不需要的,额外的服务程序当然大大拖慢系统的速度了,经过我的试用,发现有很多服务组件都是不能必要的,完全可以禁用。
要查看Windows 2000的系统服务配置状况,单击“开始”,指向“设置”,然后单击“控制面板”。双击“管理工具”,然后双击“服务” 打开后看到一大堆服务列表,有些已经启动,有些则没有。让我们先来看一下怎样关掉不必要的服务,右键单击要配置的服务,然后单击“属性”。 在“常规”选项卡上,单击“自动”、“手动”或“已禁用”,其中“自动”为每次启动时Windows 2000都自动启动该服务,选择“手动”时,Windows 2000不会自动启动该服务,而是由你选择是否启动,而选择“禁用”则是不允许启动该服务。在实际配置时,选择“手动”或者“禁用”都可以实现关闭该服务的目的。
由于一些服务是Windos 2000所必需的,并不能全部关闭,否则将会造成不能启动计算机。下面我们就先来看一看这些服务的说明,最后再看哪些服务可以关掉。
1、 Alerter
说明:通知所选用户和计算机有关系统管理级警报。
2、ClipBook
说明:可以从远程剪贴簿查阅剪贴页面。
3、Distributed Link Tracking Client
说明:当文件在网络域的 NTFS 卷中移动时发送通知。
4、Distributed Transaction Coordinator
说明:并列事务,是分布于两个以上的数据库,消息队列,文件系统,或其它事务保护资源管理器。
5、Fax Service
说明:帮助您发送和接收传真。
6、FTP Publishing Service
说明:通过 Internet 信息服务的管理单元提供 FTP 连接和管理,就是开启FTP服务功能啦。
7、IIS Admin Service
说明:允许通过 Internet 信息服务的管理单元管理 Web 和 FTP 服务。开启该服务,你可以通过“Internet 服务管理器”管理Web和FTP服务。
8、Indexing Service
说明:本地和远程计算机上文件的索引内容和属性;通过灵活查询语言提供文件快速访问。
9、Internet Connection Sharing
说明:为通过拨号网络连接的家庭网络中所有计算机提供网络地址转换、定址以及名称解析服务。该服务用于多台电脑共用一条线路上网。
10、IPSEC Policy Agent
说明:管理 IP 安全策略以及启动 ISAKMP/Oakley (IKE) 和 IP 安全驱动程序。
11、Logical Disk Manager Administrative Service
说明:磁盘管理请求的系统管理服务。
12、Message Queuing
说明:为分布的、异步消息应用程序提供通讯基础结构。
13、Messenger
说明:发送和接收系统管理员或者“警报器”服务传递的消息。
14、Net Logon
说明:支持网络上计算机 pass-through 帐户登录身份验证事件。该服务开启后支持远程登录。
15、NetMeeting Remote Desktop Sharing
说明:允许有权限的用户使用 NetMeeting 远程访问 Windows 桌面。该服务可以用NetMeeting远程控制计算机,根据需要选择吧,不过如果你要使用远程管理的话,不妨用PcAnywhere,最好不要用微软这个蹩脚的东西。
16、Network DDE
说明:提供动态数据交换 (DDE) 的网络传输和安全特性。该服务用处不大却还有安全漏洞,可以让一个普通用户升成管理员,一定要关掉它。
17、Network DDE DSDM
说明:管理网络 DDE 的共享动态数据交换。该服务和Network DDE有一样的漏洞,一定要关掉它。
18、Performance Logs and Alerts
说明:配置性能日志和警报。
19、QoS RSVP
说明:为依赖质量服务(QoS)的程序和控制应用程序提供网络信号和本地通信控制安装功能。
20、Remote Access Auto Connection Manager
说明:无论什么时候当某个程序引用一个远程 DNS 或 NetBIOS 名或者地址就创建一个到远程网络的连接。
21、Remote Procedure Call (RPC) Locator
说明:管理 RPC 名称服务数据库。
22、Routing and Remote Access
说明:在局域网以及广域网环境中为企业提供路由服务。
23、RunAs Service
说明:在不同凭据下启用启动过程。。
24、Simple Mail Transport Protocol (SMTP)
说明:跨网传送电子邮件,就是邮件发送服务器啦。
25、Smart Card
说明:对插入在计算机智能卡阅读器中的智能卡进行管理和访问控制。
26、Smart Card Helper
说明:提供对连接到计算机上旧式智能卡的支持。
27、SNMP Trap Service
说明:接收由本地或远程 SNMP 代理程序产生的陷阱消息,然后将消息传递到运行在这台计算机上 SNMP 管理程序。
28、TCP/IP NetBIOS Helper Service
说明:允许对“TCP/IP 上 NetBIOS (NetBT)”服务以及 NetBIOS 名称解析的支持。
29、TCP/IP Print Server
说明:允许基于TCP/IP 的打印服务(使用 Line Printer 协议)。
30、Telnet
说明:允许远程用户登录到系统并且使用命令行运行控制台程序。就是远程进入Windows 2000的命令提示符的界面。
31、Uninterruptible Power Supply
说明:管理连接到计算机的不间断电源(UPS)。
32、Utility Manager
说明:从一个窗口中启动和配置辅助工具。
33、Windows Management Instrumentation
说明:提供系统管理信息。
34、World Wide Web Publishing Service
说明:通过 Internet 信息服务的管理单元提供 Web 连接和管理。
下面我将以上服务的适用情况列成一张表,通过下表你将具体知道你是否需要该服务并且决定是否关掉它。
服 务 名 称 如果符合下列条件,你可以将之关闭
Alerter 你未连上局域网并且不需要管理警报
ClipBook 你不需要查看远程剪贴簿的剪贴页面
Distributed Link Tracking Client 如果你不使用NTFS分区并且没有联入局域网
Distributed Transaction Coordinator 你不需要同时处理多个数据库任务或者文件系统
Fax Service 你不用Windows 2000发送或者接收传真的
FTP Publishing Service 你的计算机不做FTP服务器
IIS Admin Service 你的计算机不做WWW服务器
Indexing Service 你的计算机不提供远程文件索引和快速访问或者没有连上局域网
Internet Connection Sharing 你不准备用Windows 2000做路由服务器,让多人共享一条线路上网
IPSEC Policy Agent 你未连接到Windows 2000的域
Logical Disk Manager Administrative Service 你不准备使用磁盘配额
Message Queuing 你未连接到Windows 2000的域
Messenger 你未连接到Windows 2000的域并且不需要管理警报
Net Logon 你不想让局域网上的其他用户登录
NetMeeting Remote Desktop Sharing 你不想使用NetMeeting远程管理计算机
Network DDE 你不想被人入侵你的计算机
Network DDE DSDM 你不想被人入侵你的计算机
Performance Logs and Alerts 你不想知道你的计算机到的每一秒都干了什么
QoS RSVP 你没有使用依赖于QoS的程序
Remote Access Auto Connection Manager 你不想在程序企图读取网络信息时自动连接到网络
Remote Procedure Call (RPC) Locator 你不需要管理RPC名称服务数据库
Routing and Remote Access 你的计算机不做路由器
RunAs Service 你不需要在某一用户下以另外一个用户的身份执行一个程序
Simple Mail Transport Protocol (SMTP) 你的计算机不做邮件发送服务器
Smart Card 你没有智能卡阅读器和智能卡
Smart Card Helper 你没有旧式智能卡阅读器和智能卡
SNMP Trap Service 你没有连接到Windows 2000的域
TCP/IP NetBIOS Helper Service 你的计算机不准备让别人共享
TCP/IP Print Server 你不准备让你的计算机成为网络打印服务器
Telnet 你不想远程控制计算机执行控制台命令
Uninterruptible Power Supply 你没有使用UPS或者UPS不支持双向传输信号
Utility Manager 你不从一个窗口中启动和配置辅助工具
Windows Management Instrumentation 你不看你的系统管理信息
World Wide Web Publishing Service 你的计算机不做WWW服务器
对于普通用户来说,根本不必考虑什么,把以上服务完全关闭,你的Windows 2000速度将会有一个飞跃,如果你有特殊用途,可以参照以上说明自行配置Windows 2000的服务,以便达到最优状态

木马的通用解法终结篇   [ 日期:2004-10-20 ]   [ 来自:本站原创 ]

作者:Xman              

木马、病毒藏身之处:

注册表先说注册表,因为可能性是最大的““`打开RUN输入REGEDIT回车,看看下面几个位置:

HKEY-LOCAL-MACHINE\Software\Microsoft\Windows\CurrentVersion\Run

HKEY-CURRENT-USER\Software\Microsoft\Windows\CurrentVersion\Run

这两个是最常见的,此外还有:

HKEY-LOCAL-MACHINE\Software\Microsoft\Windows\CurrentVersion\Runonce

HKEY-CURRENT-USER\Software\Microsoft\Windows\CurrentVersion\Runonce


HKEY-LOCAL-MACHINE\Software\Microsoft\Windows\CurrentVersion\RunonceEX


HKEY_CURRENT_USER\Software\Microsoft\WindowsNT\CurrentVersion\Windows\load

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Winlogon\Userinit

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServicesOnce

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunServices

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce\Setup

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce\Setup


木马通常会有一个比较〖猥琐〗的名称,迄今为止,我还没见过哪只马敢在注册表里用Trojan命名的,哈哈`~““`所以查找的时候一定要细心,如果觉得可疑但不确定,就应该询问高手,或借用第三方软件。

另外,还有两个地方比较容易被忽视哦:

HKEY-CLASSES-ROOT\exefiles\shell\open\command

HKEY-LOCAL-MACHINE \ Software\CLASSES\exefiles\shell\open\command

这可是关联型木马的俱乐部。

win.ini文件

win.ini是在WINDOWS下的引导文件,其中的自段“run=”和“load=”木马程序喜欢驻留的地方,如后这两个字段后跟了不明文件路径,那你要小心了,你有可能中招了。用NT的朋友可能会找不到这两个字段,因为WINNT下的这个文件是类似于这样的:

; for 16-bit app support

[fonts]

[extensions]

[mci extensions]

[files]

[Mail]

MAPI=1

[MCI Extensions.BAK]

asf=MPEGVideo

asx=MPEGVideo

ivf=MPEGVideo

m3u=MPEGVideo

mp2v=MPEGVideo

mp3=MPEGVideo

mpv2=MPEGVideo

wax=MPEGVideo

wm=MPEGVideo

wma=MPEGVideo

wmv=MPEGVideo

wvx=MPEGVideo

wmx=MPEGVideo2


system.ini在WIN98系统的system.ini文件中,在[BOOT]下面有个“shell=文件名”。正确的文件名应该是“explorer.exe”,如果不是“explorer.exe”,而是“shell=  explorer.exe  程序名”,那么后面跟着的那个程序可能就是“木马”程序。


与程序捆绑


这里的捆绑也包括了插入。有的木马可能会捆绑程序,就是说它会集成到程序里,一旦用户激活木马程序,那么木马文件和某一应用程序捆绑在一起,然后上传到服务端覆盖原文件,这样即使木马被删除了,只要运行捆绑了木马的应用程序,木马又会被安装上去了。绑定到某一应用程序中,如绑定到系统文件,那么每一次Windows启动均会启动木马。这种木马是比较难发现的,但是一般杀毒软件的监控功能能够发现这种病毒,并且我在《浅谈加密技术》中提到的MD5校验也可以发现,前提是你对干净的系统文件做过MD5运算。碰到这种情况,我会用两种办法,如果不是致命的程序,可以采用替换文件或杀毒软件查杀,如果是致命的文件,那就只能FORMAT重装了~“`呵呵“`

Winstart.bat  Winstart.bat也是一个能自动被Windows加载运行的文件,它多数情况下为应用程序及Windows自动生成,在执行了Win.com并加载了多数驱动程序之后开始执行(这一点可通过启动时按F8键再选择逐步跟踪启动过程的启动方式可得知)。由于Autoexec.bat的功能可以由Winstart.bat代替完成,因此木马完全可以像在Autoexec.bat中那样被加载运行,危险由此而来。


Recycled文件夹

什么?你用的是WIN2000但你没看到过这个文件夹?“““哦““`回收站总见过吧““哈哈“`开个玩笑,这个文件夹就等同于回收站,在每个硬盘的根目录下都有,但需要在工具—文件夹选项里选择查看所有文件,因为默认是隐藏的。咋样,是个藏木马的好地方吧。


程序—启动

打开程序—启动,你肯定在想没这么笨的木马吧`~“呵呵,别人当然不会笨到一点也不伪装就直接加在启动里。这里通常会结合上面说的“与程序捆绑”或别的方式来进行伪装,从而名目张胆的在你眼皮底下启动。

最后,说一种比较通用的分析方法:(小妖已经被我教过了“`呵呵)在安装完Windows后,点击“开始→程序→附件→系统工具→系统信息”,在打开的“系统信息”窗口中再点击“软件环境→正在运行任务,然后点击“操作→另存成文本文件”,以后系统出现异常时则对照进行分析。另外,“优化大师”也提供了保存进程快照的功能“““`

大概~`基本“~也许“~可能“就只有这么多了:)“““这里叫终结篇并不表示除此之外便无木马容身之地,任何技术都是在一直发展的,木马永远不可能被完全终结。但是,我希望新手看过这篇贴后,能够具备把自己电脑里木马终结掉的能力。