花草玩家線上購物
   
現在的時間是 2018-12-19, 19:36

所有顯示的時間為 UTC + 8 小時




 1 頁 (共 1 頁) [ 1 篇文章 ] 
 
發表人 內容
 文章主題 : 最新伺服器安全設定技術實例
文章發表於 : 2007-11-05, 03:16 
護法
護法
頭像

註冊時間: 2002-10-10, 18:35
文章: 895
來自: 台北
WindowsServer2003 + IIS6.0 + ASP + NET + PHP + PERL + MSSQL + MYSQL 最新伺服器安全設定技術實例

1、伺服器安全設定之--硬碟權限篇

? 這裡著重談需要的權限,也就是最終檔案夾或硬碟需要的權限,可以防禦各種木馬入侵,提權攻擊,跨站攻擊等。本實例經過多次試驗,安全性能很好,伺服器基本沒有被木馬威脅的擔憂了。

硬碟或檔案夾: C:\ D:\ E:\ F:\ 類推
主要權限部分: 其他權限部分:
Administrators 完全控制 無
如果安裝了其他執行環境,比如PHP等,則根據PHP的環境功能要求來設定硬碟權限,一般是安裝目錄加上users讀取執行權限就足夠了,比如c:\php的話,就在根目錄權限繼承的情況下加上users讀取執行權限,需要寫入數據的比如tmp檔案夾,則把users的寫刪權限加上,執行權限不要,然後把虛擬主機用戶的讀權限拒絕即可。如果是mysql的話,用一個獨立用戶執行MYSQL會更安全,下面會有介紹。如果是winwebmail,則最好建立獨立的應用程序池和獨立IIS用戶,然後整個安裝目錄有users用戶的讀/執行/寫/權限,IIS用戶則相同,這個IIS用戶就只用在winwebmail的WEB連接中,其他IIS站點切勿使用,安裝了winwebmail的伺服器硬碟權限設定後面舉例
該檔案夾,子檔案夾及檔案

CREATOR OWNER 完全控制
只有子檔案夾及檔案

SYSTEM 完全控制
該檔案夾,子檔案夾及檔案



硬碟或檔案夾: C:\Inetpub\
主要權限部分: 其他權限部分:
Administrators 完全控制 無
該檔案夾,子檔案夾及檔案

CREATOR OWNER 完全控制
只有子檔案夾及檔案

SYSTEM 完全控制
該檔案夾,子檔案夾及檔案


硬碟或檔案夾: C:\Inetpub\AdminScripts
主要權限部分: 其他權限部分:
Administrators 完全控制 無
該檔案夾,子檔案夾及檔案

SYSTEM 完全控制
該檔案夾,子檔案夾及檔案


硬碟或檔案夾: C:\Inetpub\wwwroot
主要權限部分: 其他權限部分:
Administrators 完全控制 IIS_WPG 讀取執行/列出檔案夾目錄/讀取
該檔案夾,子檔案夾及檔案 該檔案夾,子檔案夾及檔案

SYSTEM 完全控制 Users 讀取執行/列出檔案夾目錄/讀取
該檔案夾,子檔案夾及檔案 該檔案夾,子檔案夾及檔案

這裡可以把虛擬主機用戶組加上
同Internet 來賓帳戶一樣的權限
拒絕權限 Internet 來賓帳戶 創建檔案/寫入數據/:拒絕
創建檔案夾/附加數據/:拒絕
寫入屬性/:拒絕
寫入延伸屬性/:拒絕
刪除子檔案夾及檔案/:拒絕
刪除/:拒絕
該檔案夾,子檔案夾及檔案


硬碟或檔案夾: C:\Inetpub\wwwroot\aspnet_client
主要權限部分: 其他權限部分:
Administrators 完全控制 Users 讀取
該檔案夾,子檔案夾及檔案 該檔案夾,子檔案夾及檔案

SYSTEM 完全控制 ?
該檔案夾,子檔案夾及檔案


硬碟或檔案夾: C:\Documents and Settings
主要權限部分: 其他權限部分:
Administrators 完全控制 無
該檔案夾,子檔案夾及檔案

SYSTEM 完全控制
該檔案夾,子檔案夾及檔案


硬碟或檔案夾: C:\Documents and Settings\All Users
主要權限部分: 其他權限部分:
Administrators 完全控制 Users 讀取和執行
該檔案夾,子檔案夾及檔案 該檔案夾,子檔案夾及檔案

SYSTEM 完全控制 USERS組的權限僅僅限制於讀取和執行,
絕對不能加上寫入權限
該檔案夾,子檔案夾及檔案


硬碟或檔案夾: C:\Documents and Settings\All Users\「開始」選單
主要權限部分: 其他權限部分:
Administrators 完全控制 無
該檔案夾,子檔案夾及檔案

SYSTEM 完全控制
該檔案夾,子檔案夾及檔案


硬碟或檔案夾: C:\Documents and Settings\All Users\Application Data
主要權限部分: 其他權限部分:
Administrators 完全控制 Users 讀取和執行
該檔案夾,子檔案夾及檔案 該檔案夾,子檔案夾及檔案

CREATOR OWNER 完全控制 Users 寫入
只有子檔案夾及檔案 該檔案夾,子檔案夾

SYSTEM 完全控制 兩個並列權限同用戶組需要分開列權限
該檔案夾,子檔案夾及檔案


硬碟或檔案夾: C:\Documents and Settings\All Users\Application Data\Microsoft
主要權限部分: 其他權限部分:
Administrators 完全控制 Users 讀取和執行
該檔案夾,子檔案夾及檔案 該檔案夾,子檔案夾及檔案

SYSTEM 完全控制 此檔案夾包含 Microsoft 應用程序狀態數據
該檔案夾,子檔案夾及檔案


硬碟或檔案夾: C:\Documents and Settings\All Users\Application Data\Microsoft\Crypto\RSA\MachineKeys
主要權限部分: 其他權限部分:
Administrators 完全控制 Everyone 列出檔案夾、讀取屬性、讀取延伸屬性、創建檔案、創建檔案夾、寫入屬性、寫入延伸屬性、讀取權限

只有該檔案夾 Everyone這裡只有讀寫權限,不能加執行和刪除權限,僅限該檔案夾 只有該檔案夾


硬碟或檔案夾: C:\Documents and Settings\All Users\Application Data\Microsoft\Crypto\DSS\MachineKeys
主要權限部分: 其他權限部分:
Administrators 完全控制 Everyone 列出檔案夾、讀取屬性、讀取延伸屬性、創建檔案、創建檔案夾、寫入屬性、寫入延伸屬性、讀取權限

只有該檔案夾 Everyone這裡只有讀寫權限,不能加執行和刪除權限,僅限該檔案夾 只有該檔案夾


硬碟或檔案夾: C:\Documents and Settings\All Users\Application Data\Microsoft\HTML Help
主要權限部分: 其他權限部分:
Administrators 完全控制 Users 讀取和執行
該檔案夾,子檔案夾及檔案 該檔案夾,子檔案夾及檔案

SYSTEM 完全控制
該檔案夾,子檔案夾及檔案


硬碟或檔案夾: C:\Documents and Settings\All Users\Application Data\Microsoft\Network\Connections\Cm
主要權限部分: 其他權限部分:
Administrators 完全控制 Everyone 讀取和執行
該檔案夾,子檔案夾及檔案 該檔案夾,子檔案夾及檔案

SYSTEM 完全控制 Everyone這裡只有讀和執行權限
該檔案夾,子檔案夾及檔案


硬碟或檔案夾: C:\Documents and Settings\All Users\Application Data\Microsoft\Network\Downloader
主要權限部分: 其他權限部分:
Administrators 完全控制 無
該檔案夾,子檔案夾及檔案

SYSTEM 完全控制
該檔案夾,子檔案夾及檔案


硬碟或檔案夾: C:\Documents and Settings\All Users\Application Data\Microsoft\Media Index
主要權限部分: 其他權限部分:
Administrators 完全控制 Users 讀取和執行
該檔案夾,子檔案夾及檔案 該檔案夾,子檔案夾及檔案

SYSTEM 完全控制 Users 創建檔案/寫入數據
創建檔案夾/附加數據
寫入屬性
寫入延伸屬性
讀取權限
該檔案夾,子檔案夾及檔案 只有該檔案夾

Users 創建檔案/寫入數據
創建檔案夾/附加數據
寫入屬性
寫入延伸屬性
只有該子檔案夾和檔案


硬碟或檔案夾: C:\Documents and Settings\All Users\DRM
主要權限部分: 其他權限部分:
這裡需要把GUEST用戶組和IIS連接用戶組全部禁止
Everyone的權限比較特殊,預設安裝後已經帶了
主要是要把IIS連接的用戶組加上所有權限都禁止 Users 讀取和執行
該檔案夾,子檔案夾及檔案

Guests 拒絕所有
該檔案夾,子檔案夾及檔案

Guest 拒絕所有
該檔案夾,子檔案夾及檔案

IUSR_XXX
或某個虛擬主機用戶組 拒絕所有
該檔案夾,子檔案夾及檔案


硬碟或檔案夾: C:\Documents and Settings\All Users\Documents (共享文檔)
主要權限部分: 其他權限部分:
Administrators 完全控制 無
該檔案夾,子檔案夾及檔案

CREATOR OWNER 完全控制
只有子檔案夾及檔案

SYSTEM 完全控制
該檔案夾,子檔案夾及檔案


硬碟或檔案夾: C:\Program Files
主要權限部分: 其他權限部分:
Administrators 完全控制 IIS_WPG 讀取和執行
該檔案夾,子檔案夾及檔案 該檔案夾,子檔案夾及檔案

CREATOR OWNER 完全控制 IUSR_XXX
或某個虛擬主機用戶組 列出檔案夾/讀取數據 :拒絕
只有子檔案夾及檔案 該檔案夾,子檔案夾及檔案

SYSTEM 完全控制 IIS虛擬主機用戶組禁止列目錄,可有效防止FSO類木馬
如果安裝了aspjepg和aspupload
該檔案夾,子檔案夾及檔案


硬碟或檔案夾: C:\Program Files\Common Files
主要權限部分: 其他權限部分:
Administrators 完全控制 IIS_WPG 讀取和執行
該檔案夾,子檔案夾及檔案 該檔案夾,子檔案夾及檔案

CREATOR OWNER 完全控制 Users 讀取和執行
只有子檔案夾及檔案 該檔案夾,子檔案夾及檔案

SYSTEM 完全控制 復合權限,為IIS提供快速安全的執行環境
該檔案夾,子檔案夾及檔案


硬碟或檔案夾: C:\Program Files\Common Files\Microsoft Shared\web server extensions
主要權限部分: 其他權限部分:
Administrators 完全控制 無
該檔案夾,子檔案夾及檔案

CREATOR OWNER 完全控制
只有子檔案夾及檔案

SYSTEM 完全控制
該檔案夾,子檔案夾及檔案


硬碟或檔案夾: C:\Program Files\Microsoft SQL Server\MSSQL (程序部分預設裝在C:碟)
主要權限部分: 其他權限部分:
Administrators 完全控制 無
該檔案夾,子檔案夾及檔案


硬碟或檔案夾: E:\Program Files\Microsoft SQL Server (資料庫部分裝在E:碟的情況)
主要權限部分: 其他權限部分:
Administrators 完全控制 無
該檔案夾,子檔案夾及檔案

CREATOR OWNER 完全控制
只有子檔案夾及檔案

SYSTEM 完全控制
該檔案夾,子檔案夾及檔案


硬碟或檔案夾: E:\Program Files\Microsoft SQL Server\MSSQL (資料庫部分裝在E:碟的情況)
主要權限部分: 其他權限部分:
Administrators 完全控制 無
該檔案夾,子檔案夾及檔案


硬碟或檔案夾: C:\Program Files\Internet Explorer\iexplore.exe
主要權限部分: 其他權限部分:
Administrators 完全控制 無
該檔案夾,子檔案夾及檔案


硬碟或檔案夾: C:\Program Files\Outlook Express
主要權限部分: 其他權限部分:
Administrators 完全控制 無
該檔案夾,子檔案夾及檔案

CREATOR OWNER 完全控制
只有子檔案夾及檔案

SYSTEM 完全控制
該檔案夾,子檔案夾及檔案


硬碟或檔案夾: C:\Program Files\PowerEasy5 (如果裝了動易組件的話)
主要權限部分: 其他權限部分:
Administrators 完全控制 無
該檔案夾,子檔案夾及檔案

CREATOR OWNER 完全控制
只有子檔案夾及檔案

SYSTEM 完全控制
該檔案夾,子檔案夾及檔案


硬碟或檔案夾: C:\Program Files\Radmin (如果裝了Radmin遠程控制的話)
主要權限部分: 其他權限部分:
Administrators 完全控制 無
對應的c:\windows\system32里面有兩個檔案
r_server.exe和AdmDll.dll
要把Users讀取執行權限去掉
預設權限只要administrators和system全部權限
該檔案夾,子檔案夾及檔案

CREATOR OWNER 完全控制
只有子檔案夾及檔案

SYSTEM 完全控制
該檔案夾,子檔案夾及檔案


硬碟或檔案夾: C:\Program Files\Serv-U (如果裝了Serv-U伺服器的話)
主要權限部分: 其他權限部分:
Administrators 完全控制 無
這裡常是提權入侵的一個比較大的漏洞點
一定要按這個方法設定
目錄名字根據Serv-U版本也可能是
C:\Program Files\RhinoSoft.com\Serv-U

該檔案夾,子檔案夾及檔案

CREATOR OWNER 完全控制
只有子檔案夾及檔案

SYSTEM 完全控制
該檔案夾,子檔案夾及檔案


硬碟或檔案夾: C:\Program Files\Windows Media Player
主要權限部分: 其他權限部分:
Administrators 完全控制 無

該檔案夾,子檔案夾及檔案

CREATOR OWNER 完全控制
只有子檔案夾及檔案

SYSTEM 完全控制
該檔案夾,子檔案夾及檔案


硬碟或檔案夾: C:\Program Files\Windows NT\Accessories
主要權限部分: 其他權限部分:
Administrators 完全控制 無

該檔案夾,子檔案夾及檔案

CREATOR OWNER 完全控制
只有子檔案夾及檔案

SYSTEM 完全控制
該檔案夾,子檔案夾及檔案


硬碟或檔案夾: C:\Program Files\WindowsUpdate
主要權限部分: 其他權限部分:
Administrators 完全控制 無

該檔案夾,子檔案夾及檔案

CREATOR OWNER 完全控制
只有子檔案夾及檔案

SYSTEM 完全控制
該檔案夾,子檔案夾及檔案


硬碟或檔案夾: C:\WINDOWS
主要權限部分: 其他權限部分:
Administrators 完全控制 Users 讀取和執行
該檔案夾,子檔案夾及檔案 該檔案夾,子檔案夾及檔案

CREATOR OWNER 完全控制 ?
只有子檔案夾及檔案 ?
?
SYSTEM 完全控制
該檔案夾,子檔案夾及檔案


硬碟或檔案夾: C:\WINDOWS\repair
主要權限部分: 其他權限部分:
Administrators 完全控制 IUSR_XXX
或某個虛擬主機用戶組 列出檔案夾/讀取數據 :拒絕
該檔案夾,子檔案夾及檔案 該檔案夾,子檔案夾及檔案

CREATOR OWNER 完全控制 虛擬主機用戶連接組拒絕讀取,有助於保護系統數據
這裡保護的是系統級數據SAM
只有子檔案夾及檔案

SYSTEM 完全控制
該檔案夾,子檔案夾及檔案


硬碟或檔案夾: C:\WINDOWS\system32
主要權限部分: 其他權限部分:
Administrators 完全控制 Users 讀取和執行
該檔案夾,子檔案夾及檔案 該檔案夾,子檔案夾及檔案

CREATOR OWNER 完全控制 IUSR_XXX
或某個虛擬主機用戶組 列出檔案夾/讀取數據 :拒絕
只有子檔案夾及檔案 該檔案夾,子檔案夾及檔案

SYSTEM 完全控制 虛擬主機用戶連接組拒絕讀取,有助於保護系統數據
該檔案夾,子檔案夾及檔案


硬碟或檔案夾: C:\WINDOWS\system32\config
主要權限部分: 其他權限部分:
Administrators 完全控制 Users 讀取和執行
該檔案夾,子檔案夾及檔案 該檔案夾,子檔案夾及檔案

CREATOR OWNER 完全控制 IUSR_XXX
或某個虛擬主機用戶組 列出檔案夾/讀取數據 :拒絕
只有子檔案夾及檔案 該檔案夾,子檔案夾及檔案

SYSTEM 完全控制 虛擬主機用戶連接組拒絕讀取,有助於保護系統數據
該檔案夾,子檔案夾及檔案


硬碟或檔案夾: C:\WINDOWS\system32\inetsrv\
主要權限部分: 其他權限部分:
Administrators 完全控制 Users 讀取和執行
該檔案夾,子檔案夾及檔案 該檔案夾,子檔案夾及檔案

CREATOR OWNER 完全控制 IUSR_XXX
或某個虛擬主機用戶組 列出檔案夾/讀取數據 :拒絕
只有子檔案夾及檔案 只有該檔案夾

SYSTEM 完全控制 虛擬主機用戶連接組拒絕讀取,有助於保護系統數據
該檔案夾,子檔案夾及檔案


硬碟或檔案夾: C:\WINDOWS\system32\inetsrv\ASP Compiled Templates
主要權限部分: 其他權限部分:
Administrators 完全控制 IIS_WPG 完全控制
該檔案夾,子檔案夾及檔案 ? 該檔案夾,子檔案夾及檔案
?
IUSR_XXX
或某個虛擬主機用戶組 列出檔案夾/讀取數據 :拒絕
該檔案夾,子檔案夾及檔案

虛擬主機用戶連接組拒絕讀取,有助於保護系統數據

硬碟或檔案夾: C:\WINDOWS\system32\inetsrv\iisadmpwd
主要權限部分: 其他權限部分:
Administrators 完全控制 無
該檔案夾,子檔案夾及檔案

CREATOR OWNER 完全控制
只有子檔案夾及檔案

SYSTEM 完全控制
該檔案夾,子檔案夾及檔案


硬碟或檔案夾: C:\WINDOWS\system32\inetsrv\MetaBack
主要權限部分: 其他權限部分:
Administrators 完全控制 Users 讀取和執行
該檔案夾,子檔案夾及檔案 該檔案夾,子檔案夾及檔案

CREATOR OWNER 完全控制 IUSR_XXX
或某個虛擬主機用戶組 列出檔案夾/讀取數據 :拒絕
只有子檔案夾及檔案 該檔案夾,子檔案夾及檔案

SYSTEM 完全控制 虛擬主機用戶連接組拒絕讀取,有助於保護系統數據
該檔案夾,子檔案夾及檔案


Winwebmail 電子郵局安裝後權限舉例:目錄E:\
主要權限部分: 其他權限部分:
Administrators 完全控制 IUSR_XXXXXX
這個用戶是WINWEBMAIL連接WEB站點專用帳戶 讀取和執行
該檔案夾,子檔案夾及檔案 該檔案夾,子檔案夾及檔案

CREATOR OWNER 完全控制
只有子檔案夾及檔案

SYSTEM 完全控制
該檔案夾,子檔案夾及檔案


Winwebmail 電子郵局安裝後權限舉例:目錄E:\WinWebMail
主要權限部分: 其他權限部分:
Administrators 完全控制 IUSR_XXXXXX
WINWEBMAIL連接WEB站點專用帳戶 讀取和執行
該檔案夾,子檔案夾及檔案 該檔案夾,子檔案夾及檔案
<E> <E>
CREATOR OWNER 完全控制 Users 修改/讀取執行/列出檔案目錄/讀取/寫入
只有子檔案夾及檔案 該檔案夾,子檔案夾及檔案
<E>
SYSTEM 完全控制 IUSR_XXXXXX
WINWEBMAIL連接WEB站點專用帳戶 修改/讀取執行/列出檔案目錄/讀取/寫入
該檔案夾,子檔案夾及檔案 該檔案夾,子檔案夾及檔案
<E>
IUSR_XXXXXX和IWAM_XXXXXX
是winwebmail專用的IIS用戶和應用程序池用戶
單獨使用,安全性能高 IWAM_XXXXXX
WINWEBMAIL應用程序池專用帳戶 修改/讀取執行/列出檔案目錄/讀取/寫入
該檔案夾,子檔案夾及檔案


2、伺服器安全設定之--系統服務篇(設定完畢需要重新啟動)

*除非特殊情況非開不可,下列系統服務要■停止並禁用■:

Alerter
服務名稱: Alerter
顯示名稱: Alerter
服務描述: 通知選定的用戶和計算機管理警報。如果服務停止,使用管理警報的程序將不會收到它們。如果此服務被禁用,任何直接依賴它的服務都將不能啟動。
可執行檔案路徑: E:\WINDOWS\system32\svchost.exe -k LocalService
其他補充: ?
Application Layer Gateway Service
服務名稱: ALG
顯示名稱: Application Layer Gateway Service
服務描述: 為應用程序級協議插件提供支援並啟用網路/協議連接。如果此服務被禁用,任何依賴它的服務將無法啟動。
可執行檔案路徑: E:\WINDOWS\System32\alg.exe
其他補充: ?
Background Intelligent Transfer Service
服務名稱: BITS
顯示名稱: Background Intelligent Transfer Service
服務描述: 服務描述:利用空閒的網路帶寬在後台傳輸檔案。如果服務被停用,例如 Windows Update 和 MSN Explorer 的功能將無法自動下載程序和其他資訊。如果此服務被禁用,任何依賴它的服務如果沒有容錯技術以直接通過 IE 傳輸檔案,一旦 BITS 被禁用,就可能無法傳輸檔案。
可執行檔案路徑: E:\WINDOWS\system32\svchost.exe -k netsvcs
其他補充: ?
Computer Browser
服務名稱: 服務名稱:Browser
顯示名稱: 顯示名稱:Computer Browser
服務描述: 服務描述:維護網路上計算機的更新列表,並將列表提供給計算機指定瀏覽。如果服務停止,列表不會被更新或維護。如果服務被禁用,任何直接依賴於此服務的服務將無法啟動。
可執行檔案路徑: 可執行檔案路徑: E:\WINDOWS\system32\svchost.exe -k netsvcs
其他補充: ?
Distributed File System
服務名稱: Dfs
顯示名稱: Distributed File System
服務描述: 將分散的檔案共享合併成一個邏輯名稱空間並在局域網或廣域網上管理這些邏輯卷。如果這個服務被停止,用戶則無法連接檔案共享。如果這個服務被禁用,任何依賴它的服務將無法啟動。
可執行檔案路徑: E:\WINDOWS\system32\Dfssvc.exe
其他補充: ?
Help and Support
服務名稱: helpsvc
顯示名稱: Help and Support
服務描述: 啟用在此計算機上執行幫助和支援中心。如果停止服務,幫助和支援中心將不可用。如果禁用服務,任何直接依賴於此服務的服務將無法啟動。
可執行檔案路徑: E:\WINDOWS\System32\svchost.exe -k netsvcs
其他補充: ?
Messenger
服務名稱: Messenger
顯示名稱: Messenger
服務描述: 傳輸客戶端和伺服器之間的 NET SEND 和 警報器服務消息。此服務與 Windows Messenger 無關。如果服務停止,警報器消息不會被傳輸。如果服務被禁用,任何直接依賴於此服務的服務將無法啟動。
可執行檔案路徑: E:\WINDOWS\system32\svchost.exe -k netsvcs
其他補充: ?
NetMeeting Remote Desktop Sharing
服務名稱: mnmsrvc
顯示名稱: NetMeeting Remote Desktop Sharing
服務描述: 允許經過授權的用戶用 NetMeeting 在公司 intranet 上遠程連接這台計算機。如果服務被停止,遠程桌面共享將不可用。如果服務被禁用,依賴這個服務的任何服務都會無法啟動。
可執行檔案路徑: E:\WINDOWS\system32\mnmsrvc.exe
其他補充: ?
Print Spooler
服務名稱: Spooler
顯示名稱: Print Spooler
服務描述: 管理所有本地和網路打印隊列及控制所有打印工作。如果此服務被停用,本地計算機上的打印將不可用。如果此服務被禁用,任何依賴於它的服務將無法啟用。
可執行檔案路徑: E:\WINDOWS\system32\spoolsv.exe
其他補充: ?
Remote Registry
服務名稱: RemoteRegistry
顯示名稱: Remote Registry
服務描述: 使遠程用戶能修改此計算機上的註冊表設定。如果此服務被終止,只有此計算機上的用戶才能修改註冊表。如果此服務被禁用,任何依賴它的服務將無法啟動。
可執行檔案路徑: E:\WINDOWS\system32\svchost.exe -k regsvc
其他補充: ?
Task Scheduler
服務名稱: Schedule
顯示名稱: Task Scheduler
服務描述: 使用戶能在此計算機上配置和計劃自動任務。如果此服務被終止,這些任務將無法在計劃時間裡執行。如果此服務被禁用,任何依賴它的服務將無法啟動。
可執行檔案路徑: E:\WINDOWS\System32\svchost.exe -k netsvcs
其他補充: ?
TCP/IP NetBIOS Helper
服務名稱: LmHosts
顯示名稱: TCP/IP NetBIOS Helper
服務描述: 提供 TCP/IP (NetBT) 服務上的 NetBIOS 和網路上客戶端的 NetBIOS 名稱解析的支援,從而使用戶能夠共享檔案、打印和登錄到網路。如果此服務被停用,這些功能可能不可用。如果此服務被禁用,任何依賴它的服務將無法啟動。
可執行檔案路徑: E:\WINDOWS\system32\svchost.exe -k LocalService
其他補充: ?
Telnet
服務名稱: TlntSvr
顯示名稱: Telnet
服務描述: 允許遠程用戶登錄到此計算機並執行程序,並支援多種 TCP/IP Telnet 客戶端,包括基於 UNIX 和 Windows 的計算機。如果此服務停止,遠程用戶就不能連接程序,任何直接依賴於它的服務將會啟動失敗。
可執行檔案路徑: E:\WINDOWS\system32\tlntsvr.exe
其他補充: ?
Workstation
服務名稱: lanmanworkstation
顯示名稱: Workstation
服務描述: 創建和維護到遠程服務的客戶端網路連接。如果服務停止,這些連接將不可用。如果服務被禁用,任何直接依賴於此服務的服務將無法啟動。
可執行檔案路徑: E:\WINDOWS\system32\svchost.exe -k netsvcs
其他補充: ?

? 以上是windows2003server標準服務當中需要停止的服務,作為IIS網路伺服器,以上服務務必要停止,如果需要SSL證書服務,則設定方法不同


3、伺服器安全設定之--組件安全設定篇 (非常重要!!!)
A、移除WScript.Shell 和 Shell.application 組件,將下面的代碼保存為一個.BAT檔案執行(分2000和2003系統)
windows2000.bat regsvr32/u C:\WINNT\System32\wshom.ocx
del C:\WINNT\System32\wshom.ocx
regsvr32/u C:\WINNT\system32\shell32.dll
del C:\WINNT\system32\shell32.dll
windows2003.bat regsvr32/u C:\WINDOWS\System32\wshom.ocx
del C:\WINDOWS\System32\wshom.ocx
regsvr32/u C:\WINDOWS\system32\shell32.dll
del C:\WINDOWS\system32\shell32.dll
B、改名不安全組件,需要注意的是組件的名稱和Clsid都要改,並且要改徹底了,不要照抄,要自己改

【開始→執行→regedit→Enter】打開註冊表編輯器

然後【編輯→查找→填寫Shell.application→查找下一個】

用這個方法能找到兩個註冊表項:

{13709620-C279-11CE-A49E-444553540000} 和 Shell.application 。

第一步:為了確保萬無一失,把這兩個註冊表項導出來,保存為xxxx.reg 檔案。

第二步:比如我們想做這樣的更改

13709620-C279-11CE-A49E-444553540000 改名為 13709620-C279-11CE-A49E-444553540001

Shell.application 改名為 Shell.application_nohack

第三步:那麼,就把剛才導出的.reg檔案裡的內容按上面的對應關係替換掉,然後把修改好的.reg檔案導入到註冊表中(雙擊即可),導入了改名後的註冊表項之後,別忘記了刪除原有的那兩個項目。這裡需要注意一點,Clsid中只能是十個數字和ABCDEF六個字母。

其實,只要把對應註冊表項導出來備份,然後直接改鍵名就可以了,

改好的例子建議自己改應該可一次成功
Windows Registry Editor Version 5.00

[HKEY_CLASSES_ROOT\CLSID\{13709620-C279-11CE-A49E-444553540001}]
@="Shell Automation Service"

[HKEY_CLASSES_ROOT\CLSID\{13709620-C279-11CE-A49E-444553540001}\InProcServer32]
@="C:\\WINNT\\system32\\shell32.dll"
"ThreadingModel"="Apartment"

[HKEY_CLASSES_ROOT\CLSID\{13709620-C279-11CE-A49E-444553540001}\ProgID]
@="Shell.Application_nohack.1"

[HKEY_CLASSES_ROOT\CLSID\{13709620-C279-11CE-A49E-444553540001}\TypeLib]
@="{50a7e9b0-70ef-11d1-b75a-00a0c90564fe}"

[HKEY_CLASSES_ROOT\CLSID\{13709620-C279-11CE-A49E-444553540001}\Version]
@="1.1"

[HKEY_CLASSES_ROOT\CLSID\{13709620-C279-11CE-A49E-444553540001}\VersionIndependentProgID]
@="Shell.Application_nohack"

[HKEY_CLASSES_ROOT\Shell.Application_nohack]
@="Shell Automation Service"

[HKEY_CLASSES_ROOT\Shell.Application_nohack\CLSID]
@="{13709620-C279-11CE-A49E-444553540001}"

[HKEY_CLASSES_ROOT\Shell.Application_nohack\CurVer]
@="Shell.Application_nohack.1"

老杜評論: WScript.Shell 和 Shell.application 組件是 腳本入侵過程中,提升權限的重要環節,這兩個組件的移除和修改對應註冊鍵名,可以很大程度的提高虛擬主機的腳本安全性能,一般來說,ASP和php類腳本提升權限的功能是無法實現了,再加上一些系統服務、硬碟連接權限、端口過濾、本地安全策略的設定,虛擬主機因該說,安全性能有非常大的提高,黑客入侵的可能性是非常低了。註銷了Shell組件之後,侵入者執行提升工具的可能性就很小了,但是prel等別的腳本語言也有shell能力,為防萬一,還是設定一下為好。下面是另外一種設定,大同小異。

一、禁止使用FileSystemObject組件 FileSystemObject可以對檔案進行常規操作,可以通過修改註冊表,將此組件改名,來防止此類木馬的危害。
HKEY_CLASSES_ROOT\Scripting.FileSystemObject\
改名為其它的名字,如:改為 FileSystemObject_ChangeName
自己以後調用的時候使用這個就可以正常調用此組件了
也要將clsid值也改一下
HKEY_CLASSES_ROOT\Scripting.FileSystemObject\CLSID\項目的值
也可以將其刪除,來防止此類木馬的危害。
2000註銷此組件命令:RegSrv32 /u C:\WINNT\SYSTEM\scrrun.dll
2003註銷此組件命令:RegSrv32 /u C:\WINDOWS\SYSTEM\scrrun.dll
如何禁止Guest用戶使用scrrun.dll來防止調用此組件?
使用這個命令:cacls C:\WINNT\system32\scrrun.dll /e /d guests
二、禁止使用WScript.Shell組件
WScript.Shell可以調用系統內核執行DOS基本命令
可以通過修改註冊表,將此組件改名,來防止此類木馬的危害。
HKEY_CLASSES_ROOT\WScript.Shell\及HKEY_CLASSES_ROOT\WScript.Shell.1\
改名為其它的名字,如:改為WScript.Shell_ChangeName 或 WScript.Shell.1_ChangeName
自己以後調用的時候使用這個就可以正常調用此組件了
也要將clsid值也改一下
HKEY_CLASSES_ROOT\WScript.Shell\CLSID\項目的值
HKEY_CLASSES_ROOT\WScript.Shell.1\CLSID\項目的值
也可以將其刪除,來防止此類木馬的危害。
三、禁止使用Shell.Application組件
Shell.Application可以調用系統內核執行DOS基本命令
可以通過修改註冊表,將此組件改名,來防止此類木馬的危害。
HKEY_CLASSES_ROOT\Shell.Application\

HKEY_CLASSES_ROOT\Shell.Application.1\
改名為其它的名字,如:改為Shell.Application_ChangeName 或 Shell.Application.1_ChangeName
自己以後調用的時候使用這個就可以正常調用此組件了
也要將clsid值也改一下
HKEY_CLASSES_ROOT\Shell.Application\CLSID\項目的值
HKEY_CLASSES_ROOT\Shell.Application\CLSID\項目的值
也可以將其刪除,來防止此類木馬的危害。
禁止Guest用戶使用shell32.dll來防止調用此組件。
2000使用命令:cacls C:\WINNT\system32\shell32.dll /e /d guests2003使用命令:cacls C:\WINDOWS\system32\shell32.dll /e /d guests
註:操作均需要重新啟動WEB服務後才會生效。
四、調用Cmd.exe
禁用Guests組用戶調用cmd.exe
2000使用命令:cacls C:\WINNT\system32\Cmd.exe /e /d guests2003使用命令:cacls C:\WINDOWS\system32\Cmd.exe /e /d guests
通過以上四步的設定基本可以防範目前比較流行的幾種木馬,但最有效的辦法還是通過綜合安全設定,將伺服器、程序安全都達到一定標準,才可能將安全等級設定較高,防範更多非法入侵。



C、防止Serv-U權限提升 (適用於 Serv-U6.0 以前版本,之後可以直接設定密碼)
先停掉Serv-U服務

用Ultraedit打開ServUDaemon.exe

查找 Ascii:LocalAdministrator 和 #l@$ak#.lk;0@P

修改成等長度的其它字符就可以了,ServUAdmin.exe也一樣處理。

另外注意設定Serv-U所在的檔案夾的權限,不要讓IIS匿名用戶有讀取的權限,否則人家下走你修改過的檔案,照樣可以分析出你的管理員名和密碼。

阿江ASP探針 http://www.ajiang.net/products/aspcheck/ (可以測試組件安全性)



4、伺服器安全設定之--IIS用戶設定方法

IIS安全連接的例子

IIS基本設定 ?
?
?


這裡舉例4個不同類型腳本的虛擬主機 權限設定例子


主機頭 主機腳本 硬碟目錄 IIS用戶名 硬碟權限 應用程序池 主目錄 應用程序配置
http://www.1.com HTM D:\www.1.com\ IUSR_1.com Administrators(完全控制)
IUSR_1.com(讀)
可共用 讀取/純腳本 啟用父路徑
http://www.2.com ASP D:\www.2.com\ IUSR_1.com Administrators(完全控制)
IUSR_2.com(讀/寫) 可共用 讀取/純腳本 啟用父路徑
http://www.3.com NET D:\www.3.com\ IUSR_1.com Administrators(完全控制)
IWAM_3.com(讀/寫)
IUSR_3.com(讀/寫) 獨立池 讀取/純腳本 啟用父路徑
http://www.4.com PHP D:\www.4.com\ IUSR_1.com Administrators(完全控制)
IWAM_4.com(讀/寫)
IUSR_4.com(讀/寫) 獨立池 讀取/純腳本 啟用父路徑
其中 IWAM_3.com 和 IWAM_4.com 分別是各自獨立應用程序池標識中的啟動帳戶

主機腳本類型 應用程序延伸名 (就是檔案後綴名)對應主機腳本,只需要加載以下的應用程序延伸
HTM STM | SHTM | SHTML | MDB
ASP ASP | ASA | MDB
NET ASPX | ASAX | ASCX| ASHX | ASMX | AXD | VSDISCO | REM | SOAP | CONFIG |
CS |CSPROJ | VB | VBPROJ | WEBINFO | LICX | RESX | RESOURCES | MDB
PHP PHP | PHP3 | PHP4

MDB是共用映射,下面用紅色表示

應用程序延伸 映射檔案 執行動作
STM=.stm C:\WINDOWS\system32\inetsrv\ssinc.dll GET,POST
SHTM=.shtm C:\WINDOWS\system32\inetsrv\ssinc.dll GET,POST
SHTML=.shtml C:\WINDOWS\system32\inetsrv\ssinc.dll GET,POST
ASP=.asp C:\WINDOWS\system32\inetsrv\asp.dll GET,HEAD,POST,TRACE
ASA=.asa C:\WINDOWS\system32\inetsrv\asp.dll GET,HEAD,POST,TRACE
ASPX=.aspx C:\WINDOWS\Microsoft.NET\Framework\v1.1.4322\aspnet_isapi.dll GET,HEAD,POST,DEBUG
ASAX=.asax C:\WINDOWS\Microsoft.NET\Framework\v1.1.4322\aspnet_isapi.dll GET,HEAD,POST,DEBUG
ASCX=.ascx C:\WINDOWS\Microsoft.NET\Framework\v1.1.4322\aspnet_isapi.dll GET,HEAD,POST,DEBUG
ASHX=.ashx C:\WINDOWS\Microsoft.NET\Framework\v1.1.4322\aspnet_isapi.dll GET,HEAD,POST,DEBUG
ASMX=.asmx C:\WINDOWS\Microsoft.NET\Framework\v1.1.4322\aspnet_isapi.dll GET,HEAD,POST,DEBUG
AXD=.axd C:\WINDOWS\Microsoft.NET\Framework\v1.1.4322\aspnet_isapi.dll GET,HEAD,POST,DEBUG
VSDISCO=.vsdisco C:\WINDOWS\Microsoft.NET\Framework\v1.1.4322\aspnet_isapi.dll GET,HEAD,POST,DEBUG
REM=.rem C:\WINDOWS\Microsoft.NET\Framework\v1.1.4322\aspnet_isapi.dll GET,HEAD,POST,DEBUG
SOAP=.soap C:\WINDOWS\Microsoft.NET\Framework\v1.1.4322\aspnet_isapi.dll GET,HEAD,POST,DEBUG
CONFIG=.config C:\WINDOWS\Microsoft.NET\Framework\v1.1.4322\aspnet_isapi.dll GET,HEAD,POST,DEBUG
CS=.cs C:\WINDOWS\Microsoft.NET\Framework\v1.1.4322\aspnet_isapi.dll GET,HEAD,POST,DEBUG
CSPROJ=.csproj C:\WINDOWS\Microsoft.NET\Framework\v1.1.4322\aspnet_isapi.dll GET,HEAD,POST,DEBUG
VB=.vb C:\WINDOWS\Microsoft.NET\Framework\v1.1.4322\aspnet_isapi.dll GET,HEAD,POST,DEBUG
VBPROJ=.vbproj C:\WINDOWS\Microsoft.NET\Framework\v1.1.4322\aspnet_isapi.dll GET,HEAD,POST,DEBUG
WEBINFO=.webinfo C:\WINDOWS\Microsoft.NET\Framework\v1.1.4322\aspnet_isapi.dll GET,HEAD,POST,DEBUG
LICX=.licx C:\WINDOWS\Microsoft.NET\Framework\v1.1.4322\aspnet_isapi.dll GET,HEAD,POST,DEBUG
RESX=.resx C:\WINDOWS\Microsoft.NET\Framework\v1.1.4322\aspnet_isapi.dll GET,HEAD,POST,DEBUG
RESOURCES=.resources C:\WINDOWS\Microsoft.NET\Framework\v1.1.4322\aspnet_isapi.dll GET,HEAD,POST,DEBUG
PHP=.php C:\php5\php5isapi.dll GET,HEAD,POST
PHP3=.php3 C:\php5\php5isapi.dll GET,HEAD,POST
PHP4=.php4 C:\php5\php5isapi.dll GET,HEAD,POST
MDB=.mdb C:\WINDOWS\system32\inetsrv\ssinc.dll GET,POST

ASP.NET 進程帳戶所需的 NTFS 權限

目錄 所需權限
Temporary ASP.NET Files%windir%\Microsoft.NET\Framework\{版本}Temporary ASP.NET Files
進程帳戶和模擬標識:
完全控制

臨時目錄 (%temp%)
進程帳戶
完全控制

.NET Framework 目錄%windir%\Microsoft.NET\Framework\{版本}
進程帳戶和模擬標識:
讀取和執行
列出檔案夾內容
讀取

.NET Framework 配置目錄%windir%\Microsoft.NET\Framework\{版本}\CONFIG
進程帳戶和模擬標識:
讀取和執行
列出檔案夾內容
讀取

網站根目錄
C:\inetpub\wwwroot
或預設網站指向的路徑
進程帳戶:
讀取

系統根目錄
%windir%\system32
進程帳戶:
讀取

全局程序集高速緩存
%windir%\assembly
進程帳戶和模擬標識:
讀取

內容目錄
C:\inetpub\wwwroot\YourWebApp
(一般來說不用預設目錄,管理員可根據實際情況調整比如D:\wwwroot)
進程帳戶:
讀取和執行
列出檔案夾內容
讀取
注意 對於 .NET Framework 1.0,直到檔案系統根目錄的所有父目錄也都需要上述權限。父目錄包括:
C:\
C:\inetpub\
C:\inetpub\wwwroot\



5、 伺服器安全設定之--伺服器安全和性能配置
把下面純文字保存為: windows2000-2003伺服器安全和性能註冊表自動配置檔案.reg 執行即可。

Windows Registry Editor Version 5.00

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
"NoRecentDocsMenu"=hex:01,00,00,00
"NoRecentDocsHistory"=hex:01,00,00,00

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
"DontDisplayLastUserName"="1"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa]
"restrictanonymous"=dword:00000001

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\Parameters]
"AutoShareServer"=dword:00000000
"AutoShareWks"=dword:00000000

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters]
"EnableICMPRedirect"=dword:00000000
"KeepAliveTime"=dword:000927c0
"SynAttackProtect"=dword:00000002
"TcpMaxHalfOpen"=dword:000001f4
"TcpMaxHalfOpenRetried"=dword:00000190
"TcpMaxConnectResponseRetransmissions"=dword:00000001
"TcpMaxDataRetransmissions"=dword:00000003
"TCPMaxPortsExhausted"=dword:00000005
"DisableIPSourceRouting"=dword:00000002
"TcpTimedWaitDelay"=dword:0000001e
"TcpNumConnections"=dword:00004e20
"EnablePMTUDiscovery"=dword:00000000
"NoNameReleaseOnDemand"=dword:00000001
"EnableDeadGWDetect"=dword:00000000
"PerformRouterDiscovery"=dword:00000000
"EnableICMPRedirects"=dword:00000000



[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NetBT\Parameters]
"BacklogIncrement"=dword:00000005
"MaxConnBackLog"=dword:000007d0

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\AFD\Parameters]
"EnableDynamicBacklog"=dword:00000001
"MinimumDynamicBacklog"=dword:00000014
"MaximumDynamicBacklog"=dword:00007530
"DynamicBacklogGrowthDelta"=dword:0000000a

功能:可抵禦DDOS攻擊2-3萬包,提高伺服器TCP-IP整體安全性能(效果等於軟件防火牆,節約了系統資源)


6、伺服器安全設定之--IP安全策略 (僅僅列出需要屏蔽或阻止的端口或協議)

協議 IP協議端口 源地址 目標地址 描述 方式
ICMP -- -- -- ICMP 阻止
UDP 135 任何IP地址 我的IP地址 135-UDP 阻止
UDP 136 任何IP地址 我的IP地址 136-UDP 阻止
UDP 137 任何IP地址 我的IP地址 137-UDP 阻止
UDP 138 任何IP地址 我的IP地址 138-UDP 阻止
UDP 139 任何IP地址 我的IP地址 139-UDP 阻止
TCP 445 任何IP地址-從任意端口 我的IP地址-445 445-TCP 阻止
UDP 445 任何IP地址-從任意端口 我的IP地址-445 445-UDP 阻止
UDP 69 任何IP地址-從任意端口 我的IP地址-69 69-入 阻止
UDP 69 我的IP地址-69 任何IP地址-任意端口 69-出 阻止
TCP 4444 任何IP地址-從任意端口 我的IP地址-4444 4444-TCP 阻止
TCP 1026 我的IP地址-1026 任何IP地址-任意端口 灰鴿子-1026 阻止
TCP 1027 我的IP地址-1027 任何IP地址-任意端口 灰鴿子-1027 阻止
TCP 1028 我的IP地址-1028 任何IP地址-任意端口 灰鴿子-1028 阻止
UDP 1026 我的IP地址-1026 任何IP地址-任意端口 灰鴿子-1026 阻止
UDP 1027 我的IP地址-1027 任何IP地址-任意端口 灰鴿子-1027 阻止
UDP 1028 我的IP地址-1028 任何IP地址-任意端口 灰鴿子-1028 阻止
TCP 21 我的IP地址-從任意端口 任何IP地址-到21端口 阻止tftp出站 阻止
TCP 99 我的IP地址-99 任何IP地址-任意端口 阻止99shell 阻止

以上是IP安全策略裡的設定,可以根據實際情況,增加或刪除端口
7、伺服器安全設定之--本地安全策略設定

安全策略自動更新命令:GPUpdate /force (應用組策略自動生效不需重新啟動)

開始選單—>管理工具—>本地安全策略
A、本地策略——>審核策略
審核策略更改   成功 失敗   審核登錄事件   成功 失敗 審核對像連接      失敗 審核過程跟蹤   無審核 審核目錄服務連接    失敗 審核特權使用      失敗 審核系統事件   成功 失敗 審核賬戶登錄事件 成功 失敗 審核賬戶管理   成功 失敗 B、本地策略——>用戶權限分配
關閉系統:只有Administrators組、其它全部刪除。 通過終端服務拒絕登陸:加入Guests、User組 通過終端服務允許登陸:只加入Administrators組,其他全部刪除
C、本地策略——>安全選項
交互式登陸:不顯示上次的用戶名       啟用 網路連接:不允許SAM帳戶和共享的匿名枚舉   啟用 網路連接:不允許為網路身份驗證儲存憑證   啟用 網路連接:可匿名連接的共享         全部刪除 網路連接:可匿名連接的命          全部刪除 網路連接:可遠程連接的註冊表路徑      全部刪除 網路連接:可遠程連接的註冊表路徑和子路徑  全部刪除 帳戶:重命名來賓帳戶            重命名一個帳戶 帳戶:重命名系統管理員帳戶         重命名一個帳戶


UI 中的設定名稱 企業客戶端台式計算機 企業客戶端便攜式計算機 高安全級台式計算機 高安全級便攜式計算機
帳戶: 使用空白密碼的本地帳戶只允許進行控制台登錄
已啟用
已啟用
已啟用
已啟用

帳戶: 重命名系統管理員帳戶
推薦
推薦
推薦
推薦

帳戶: 重命名來賓帳戶
推薦
推薦
推薦
推薦

設備: 允許不登錄移除
已禁用
已啟用
已禁用
已禁用

設備: 允許格式化和彈出可移動媒體
Administrators, Interactive Users
Administrators, Interactive Users
Administrators
Administrators

設備: 防止用戶安裝打印機驅動程序
已啟用
已禁用
已啟用
已禁用

設備: 只有本地登錄的用戶才能連接 CD-ROM
已禁用
已禁用
已啟用
已啟用

設備: 只有本地登錄的用戶才能連接軟碟
已啟用
已啟用
已啟用
已啟用

設備: 未簽名驅動程序的安裝操作
允許安裝但發出警告
允許安裝但發出警告
禁止安裝
禁止安裝

域成員: 需要強 (Windows 2000 或以上版本) 會話密鑰
已啟用
已啟用
已啟用
已啟用

交互式登錄: 不顯示上次的用戶名
已啟用
已啟用
已啟用
已啟用

交互式登錄: 不需要按 CTRL+ALT+DEL
已禁用
已禁用
已禁用
已禁用

交互式登錄: 用戶試圖登錄時消息文字
此系統限制為僅授權用戶。嘗試進行未經授權連接的個人將受到起訴。
此系統限制為僅授權用戶。嘗試進行未經授權連接的個人將受到起訴。
此系統限制為僅授權用戶。嘗試進行未經授權連接的個人將受到起訴。
此系統限制為僅授權用戶。嘗試進行未經授權連接的個人將受到起訴。

交互式登錄: 用戶試圖登錄時消息標題
繼續在沒有適當授權的情況下使用是違法行為。
繼續在沒有適當授權的情況下使用是違法行為。
繼續在沒有適當授權的情況下使用是違法行為。
繼續在沒有適當授權的情況下使用是違法行為。

交互式登錄: 可被緩存的前次登錄個數 (在域控制器不可用的情況下)
2
2
0
1

交互式登錄: 在密碼到期前提示用戶更改密碼
14 天
14 天
14 天
14 天

交互式登錄: 要求域控制器身份驗證以解鎖工作站
已禁用
已禁用
已啟用
已禁用

交互式登錄: 智能卡移除操作
鎖定工作站
鎖定工作站
鎖定工作站
鎖定工作站

Microsoft 網路客戶: 數字簽名的通信(若伺服器同意)
已啟用
已啟用
已啟用
已啟用

Microsoft 網路客戶: 發送未加密的密碼到第三方 SMB 伺服器。
已禁用
已禁用
已禁用
已禁用

Microsoft 網路伺服器: 在掛起會話之前所需的空閒時間
15 分鐘
15 分鐘
15 分鐘
15 分鐘

Microsoft 網路伺服器: 數字簽名的通信(總是)
已啟用
已啟用
已啟用
已啟用

Microsoft 網路伺服器: 數字簽名的通信(若客戶同意)
已啟用
已啟用
已啟用
已啟用

Microsoft 網路伺服器: 當登錄時間用完時自動註銷用戶
已啟用
已禁用
已啟用
已禁用

網路連接: 允許匿名 SID/名稱 轉換
已禁用
已禁用
已禁用
已禁用

網路連接: 不允許 SAM 帳戶和共享的匿名枚舉
已啟用
已啟用
已啟用
已啟用

網路連接: 不允許 SAM 帳戶和共享的匿名枚舉
已啟用
已啟用
已啟用
已啟用

網路連接: 不允許為網路身份驗證儲存憑據或 .NET Passports
已啟用
已啟用
已啟用
已啟用

網路連接: 限制匿名連接命名管道和共享
已啟用
已啟用
已啟用
已啟用

網路連接: 本地帳戶的共享和安全模式
經典 - 本地用戶以自己的身份驗證
經典 - 本地用戶以自己的身份驗證
經典 - 本地用戶以自己的身份驗證
經典 - 本地用戶以自己的身份驗證

網路安全: 不要在下次更改密碼時存儲 LAN Manager 的哈希值
已啟用
已啟用
已啟用
已啟用

網路安全: 在超過登錄時間後強制註銷
已啟用
已禁用
已啟用
已禁用

網路安全: LAN Manager 身份驗證級別
僅發送 NTLMv2 響應
僅發送 NTLMv2 響應
僅發送 NTLMv2 響應\拒絕 LM & NTLM
僅發送 NTLMv2 響應\拒絕 LM & NTLM

網路安全: 基於 NTLM SSP(包括安全 RPC)客戶的最小會話安全
沒有最小
沒有最小
要求 NTLMv2 會話安全 要求 128-位加密
要求 NTLMv2 會話安全 要求 128-位加密

網路安全: 基於 NTLM SSP(包括安全 RPC)伺服器的最小會話安全
沒有最小
沒有最小
要求 NTLMv2 會話安全 要求 128-位加密
要求 NTLMv2 會話安全 要求 128-位加密

故障恢復控制台: 允許自動系統管理級登錄
已禁用
已禁用
已禁用
已禁用

故障恢復控制台: 允許對所有機和檔案夾進行軟碟複製和連接
已啟用
已啟用
已禁用
已禁用

關機: 允許在未登錄前關機
已禁用
已禁用
已禁用
已禁用

關機: 清理虛擬內存頁面檔案
已禁用
已禁用
已啟用
已啟用

系統加密: 使用 FIPS 兼容的算法來加密,哈希和簽名
已禁用
已禁用
已禁用
已禁用

系統對像: 由管理員 (Administrators) 組成員所創建的對象預設所有者
對像創建者
對像創建者
對像創建者
對像創建者

系統設定: 為軟件限制策略對 Windows 可執行檔案使用證書規則
已禁用
已禁用
已禁用
已禁用


8、防禦PHP木馬攻擊的技巧

PHP本身再老版本有一些問題,比如在 php4.3.10和php5.0.3以前有一些比較嚴重的bug,所以推薦使用新版。另外,目前鬧的轟轟烈烈的SQL   Injection也是在PHP上有很多利用方式,所以要保證安全,PHP代碼編寫是一方面,PHP的配置更是非常關鍵。我們php手手工安裝的,php的預設配置檔案在 /usr/local/apache2/conf/php.ini,我們最主要就是要配置php.ini中的內容,讓我們執行  php能夠更安全。整個PHP中的安全設定主要是為了防止phpshell和SQL Injection的攻擊,一下我們慢慢探討。我們先使用任何編輯工具打開  /etc/local/apache2/conf/php.ini,如果你是採用其他方式安裝,配置檔案可能不在該目錄。
(1) 打開php的安全模式
php的安全模式是個非常重要的內嵌的安全機制,能夠控制一些php中的函數,比如system(),同時把很多檔案操作函數進行了權限控制,也不允許對某些關鍵檔案的檔案,比如/etc/passwd,但是預設的php.ini是沒有打開安全模式的,我們把它打開:safe_mode = on
(2) 用戶組安全
當safe_mode打開時,safe_mode_gid被關閉,那麼php腳本能夠對檔案進行連接,而且相同組的用戶也能夠對檔案進行連接。建議設定為:
safe_mode_gid = off
如果不進行設定,可能我們無法對我們伺服器網站目錄下的檔案進行操作了,比如我們需要對檔案進行操作的時候。
(3) 安全模式下執行程序主目錄
如果安全模式打開了,但是卻是要執行某些程序的時候,可以指定要執行程序的主目錄:
safe_mode_exec_dir = D:/usr/bin
一般情況下是不需要執行什麼程序的,所以推薦不要執行系統程序目錄,可以指向一個目錄,然後把需要執行的程序拷貝過去,比如:
safe_mode_exec_dir = D:/tmp/cmd
但是,我更推薦不要執行任何程序,那麼就可以指向我們網頁目錄:
safe_mode_exec_dir = D:/usr/www
(4) 安全模式下包含檔案
如果要在安全模式下包含某些公共檔案,那麼就修改一下選項:
safe_mode_include_dir = D:/usr/www/include/
其實一般php腳本中包含檔案都是在程序自己已經寫好了,這個可以根據具體需要設定。
(5) 控制php腳本能連接的目錄
使用open_basedir選項能夠控制PHP腳本只能連接指定的目錄,這樣能夠避免PHP腳本連接不應該連接的檔案,一定程度上限制了phpshell的危害,我們一般可以設定為只能連接網站目錄:
open_basedir = D:/usr/www
(6) 關閉危險函數
如果打開了安全模式,那麼函數禁止是可以不需要的,但是我們為了安全還是考慮進去。比如,我們覺得不希望執行包括system()等在那的能夠執行命令的php函數,或者能夠查看php資訊的phpinfo()等函數,那麼我們就可以禁止它們:
disable_functions = system,passthru,exec,shell_exec,popen,phpinfo
如果你要禁止任何檔案和目錄的操作,那麼可以關閉很多檔案操作
disable_functions = chdir,chroot,dir,getcwd,opendir,readdir,scandir,fopen,unlink,delete,copy,mkdir,   rmdir,rename,file,file_get_contents,fputs,fwrite,chgrp,chmod,chown
以上只是列了部分不叫常用的檔案處理函數,你也可以把上面執行命令函數和這個函數結合,就能夠抵制大部分的phpshell了。
(7) 關閉PHP版本資訊在http頭中的洩漏
我們為了防止黑客獲取伺服器中php版本的資訊,可以關閉該資訊斜路在http頭中:
expose_php = Off
比如黑客在 telnet http://www.12345.com 80 的時候,那麼將無法看到PHP的資訊。
(8) 關閉註冊全局變量
在PHP中提交的變量,包括使用POST或者GET提交的變量,都將自動註冊為全局變量,能夠直接連接,這是對伺服器非常不安全的,所以我們不能讓它註冊為全局變量,就把註冊全局變量選項關閉:register_globals = Off當然,如果這樣設定了,那麼獲取對應變量的時候就要採用合理方式,比如獲取GET提交的變量var,那麼就要用$_GET['var']來進行獲取,這個php程序員要注意。
(9) 打開magic_quotes_gpc來防止SQL注入
SQL注入是非常危險的問題,小則網站後台被入侵,重則整個伺服器淪陷,
所以一定要小心。php.ini中有一個設定:
magic_quotes_gpc = Off
這個預設是關閉的,如果它打開後將自動把用戶提交對sql的查詢進行轉換,比如把 ' 轉為 \'等,這對防止sql注射有重大作用。所以我們推薦設定為:
magic_quotes_gpc = On
(10) 錯誤資訊控制
一般php在沒有連接到資料庫或者其他情況下會有提示錯誤,一般錯誤資訊中會包含php腳本當前的路徑資訊或者查詢的SQL語句等資訊,這類資訊提供給黑客後,是不安全的,所以一般伺服器建議禁止錯誤提示:
display_errors = Off
如果你卻是是要顯示錯誤資訊,一定要設定顯示錯誤的級別,比如只顯示警告以上的資訊:
error_reporting = E_WARNING & E_ERROR
當然,我還是建議關閉錯誤提示。
(11) 錯誤日誌
建議在關閉display_errors後能夠把錯誤資訊記錄下來,便於查找伺服器執行的原因:
log_errors = On
同時也要設定錯誤日誌存放的目錄,建議根apache的日誌存在一起:
error_log = D:/usr/local/apache2/logs/php_error.log
注意:給檔案必須允許apache用戶的和組具有寫的權限。

MYSQL的降權執行
新建立一個用戶比如mysqlstart
net user mysqlstart fuckmicrosoft /add
net localgroup users mysqlstart /del
不屬於任何組
如果MYSQL裝在d:\mysql ,那麼,給 mysqlstart 完全控制 的權限
然後在系統服務中設定,MYSQL的服務屬性,在登錄屬性當中,選擇此用戶 mysqlstart 然後輸入密碼,確定。
重新啟動 MYSQL服務,然後MYSQL就執行在低權限下了。
如果是在windos平台下搭建的apache我們還需要注意一點,apache預設執行是system權限,這很恐怖,這讓人感覺很不爽.那我們就給apache降降權限吧。
net user apache fuckmicrosoft /add
net localgroup users apache /del
ok.我們建立了一個不屬於任何組的用戶apche。
我們打開計算機伺服器,選服務,點apache服務的屬性,我們選擇log on,選擇this account,我們填入上面所建立的賬戶和密碼,重啟apache服務,ok,apache執行在低權限下了。
實際上我們還可以通過設定各個檔案夾的權限,來讓apache用戶只能執行我們想讓它能幹的事情,給每一個目錄建立一個單獨能讀寫的用戶。這也是當前很多虛擬主機提供商的流行配置方法哦,不過這種方法用於防止這裡就顯的有點大材小用了。


9、MSSQL安全設定
sql2000安全很重要

將有安全問題的SQL過程刪除.比較全面.一切為了安全!

刪除了調用shell,註冊表,COM組件的破壞權限

use master
EXEC sp_dropextendedproc 'xp_cmdshell'
EXEC sp_dropextendedproc 'Sp_OACreate'
EXEC sp_dropextendedproc 'Sp_OADestroy'
EXEC sp_dropextendedproc 'Sp_OAGetErrorInfo'
EXEC sp_dropextendedproc 'Sp_OAGetProperty'
EXEC sp_dropextendedproc 'Sp_OAMethod'
EXEC sp_dropextendedproc 'Sp_OASetProperty'
EXEC sp_dropextendedproc 'Sp_OAStop'
EXEC sp_dropextendedproc 'Xp_regaddmultistring'
EXEC sp_dropextendedproc 'Xp_regdeletekey'
EXEC sp_dropextendedproc 'Xp_regdeletevalue'
EXEC sp_dropextendedproc 'Xp_regenumvalues'
EXEC sp_dropextendedproc 'Xp_regread'
EXEC sp_dropextendedproc 'Xp_regremovemultistring'
EXEC sp_dropextendedproc 'Xp_regwrite'
drop procedure sp_makewebtask

全部複製到"SQL查詢分析器"

點擊選單上的--"查詢"--"執行",就會將有安全問題的SQL過程刪除(以上是7i24的正版用戶的技術支援)

更改預設SA空密碼.資料庫鏈接不要使用SA帳戶.單資料庫單獨設使用帳戶.只給public和db_owner權限.

資料庫不要放在預設的位置.

SQL不要安裝在PROGRAM FILE目錄下面.

最近的SQL2000補丁是SP4


10、啟用WINDOWS自帶的防火牆
啟用win防火牆 桌面—>網上鄰居—>(右鍵)屬性—>本地連接—>(右鍵)屬性—>高級—>
(選中)Internet 連接防火牆—>設定
把伺服器上面要用到的服務端口選中
例如:一台WEB伺服器,要提供WEB(80)、FTP(21)服務及遠程桌面管理(3389)
在「FTP 伺服器」、「WEB伺服器(HTTP)」、「遠程桌面」、「安全WEB伺服器」前面打上對號
如果你要提供服務的端口不在裡面,你也可以點擊「添加」銨鈕來添加,SMTP和POP3根據需要打開
具體參數可以參照系統裡面原有的參數。
然後點擊確定。注意:如果是遠程管理這台伺服器,請先確定遠程管理的端口是否選中或添加。
一般需要打開的端口有:21、 25、 80、 110、 443、 3389、 等,根據需要開放需要的端口。


11、用戶安全設定
用戶安全設定
用戶安全設定

1、禁用Guest賬號

在計算機管理的用戶裡面把Guest賬號禁用。為了保險起見,最好給Guest加一個複雜的密碼。你可以打開筆記本,在裡面輸入一串包含特殊字符、數字、字母的長字符串,然後把它作為Guest用戶的密碼拷進去。

2、限制不必要的用戶

去掉所有的Duplicate User用戶、測試用戶、共享用戶等等。用戶組策略設定相應權限,並且經常檢查系統的用戶,刪除已經不再使用的用戶。這些用戶很多時候都是黑客們入侵系統的突破口。

3、創建兩個管理員賬號

創建一個一般權限用戶用來收信以及處理一些日常事物,另一個擁有Administrators 權限的用戶只在需要的時候使用。

4、把系統Administrator賬號改名

大家都知道,Windows 2000 的Administrator用戶是不能被停用的,這意味著別人可以一遍又一遍地嘗試這個用戶的密碼。盡量把它偽裝成普通用戶,比如改成Guesycludx。

5、創建一個陷阱用戶

什麼是陷阱用戶?即創建一個名為「Administrator」的本地用戶,把它的權限設定成最低,什麼事也幹不了的那種,並且加上一個超過10位的超級複雜密碼。這樣可以讓那些 Hacker們忙上一段時間,借此發現它們的入侵企圖。

6、把共享檔案的權限從Everyone組改成授權用戶

任何時候都不要把共享檔案的用戶設定成「Everyone」組,包括打印共享,預設的屬性就是「Everyone」組的,一定不要忘了改。

7、開啟用戶策略

使用用戶策略,分別設定復位用戶鎖定計數器時間為20分鐘,用戶鎖定時間為20分鐘,用戶鎖定閾值為3次。

8、不讓系統顯示上次登錄的用戶名

預設情況下,登錄對話框中會顯示上次登錄的用戶名。這使得別人可以很容易地得到系統的一些用戶名,進而做密碼猜測。修改註冊表可以不讓對話框裡顯示上次登錄的用戶名。方法為:打開註冊表編輯器並找到註冊表項「HKLMSoftwareMicrosoftWindows TCurrentVersionWinlogonDont-DisplayLastUserName」,把REG_SZ的鍵值改成1。

密碼安全設定

1、使用安全密碼

一些公司的管理員創建賬號的時候往往用公司名、計算機名做用戶名,然後又把這些用戶的密碼設定得太簡單,比如「welcome」等等。因此,要注意密碼的複雜性,還要記住經常改密碼。

2、設定螢幕保護密碼

這是一個很簡單也很有必要的操作。設定螢幕保護密碼也是防止內部人員破壞伺服器的一個屏障。

3、開啟密碼策略

注意應用密碼策略,如啟用密碼複雜性要求,設定密碼長度最小值為6位 ,設定強制密碼歷史為5次,時間為42天。

4、考慮使用智能卡來代替密碼

對於密碼,總是使安全管理員進退兩難,密碼設定簡單容易受到黑客的攻擊,密碼設定複雜又容易忘記。如果條件允許,用智能卡來代替複雜的密碼是一個很好的解決方法。


12、Windows2003 下安裝 WinWebMail 3.6.3.1 完全攻略手冊

這段時間論壇上有朋友提及無法在WINDOWS2003+IIS6下面建立WINWEBMAIL郵件,遇到不一些問題,特意將這篇舊文重新發一次給大家

1)查看硬碟:兩塊9.1G SCSI 硬碟(實容量8.46*2)

2)分區
系統分區X碟7.49G
WEB 分區X碟1.0G
郵件分區X碟8.46G(帶1000個100M的郵箱足夠了)

3)安裝WINDOWS SERVER 2003

4)打基本補丁(防毒)...在這之前一定不要接網線!

5)在線打補丁

6)移除或禁用微軟的SMTP服務(Simple Mail Transpor Protocol),否則會發生端口衝突

7)安裝WinWebMail,然後重啟伺服器使WinWebMail完成安裝.並註冊.然後恢復WinWebMail數據.

8)安裝Norton 8.0並按WinWebMail幫助內容設定,使Norton與WinWebMail聯合起到郵件殺毒作用(將Norton更新到最新的病毒庫)
8.1 啟用Norton的實時防護功能
8.2 必須要設定對於宏病毒和非宏病毒的第1步操作都必須是刪除被感染檔案,並且必須關閉警告提示!!
8.3 必須要在查毒設定中排除掉安裝目錄下的 \mail 及其所有子目錄,只針對WinWebMail安裝檔案夾下的 \temp 檔案夾進行實時查毒。注意:如果沒有 \temp 檔案夾時,先手工創建此 \temp 檔案夾,然後再進行此項設定。

9)將WinWebMail的DNS設定為win2k3中網路設定的DNS,切記,要想發的出去最好設定一個不同的備用DNS地址,對外發信的就全靠這些DNS地址了

10)給予安裝 WinWebMail 的碟符以及父目錄以 Internet 來賓帳戶 (IUSR_*) 允許 [讀取\執行\列出檔案夾目錄] 的權限.
WinWebMail的安裝目錄,INTERNET連接帳號完全控制
給予[超級用戶/SYSTEM]在安裝碟和目錄中[完全控制]權限,重啟IIS以保證設定生效.

11)防止外發垃圾郵件:
11.1 在伺服器上點擊右下角圖標,然後在彈出選單的「系統設定」-->「收發規則」中選中「啟用SMTP發信認證功能」項,有效的防範外發垃圾郵件。
11.2 在「系統設定」-->「收發規則」中選中「只允許系統內用戶對外發信」項。
11.3 在伺服器上點擊右下角圖標,然後在彈出選單的「系統設定」-->「防護」頁選中「啟用外發垃圾郵件自動過濾功能」項,然後再啟用其設定中的「允許自動調整」項。
11.4 「系統設定」-->「收發規則」中設定「最大收件人數」-----> 10.
11.5 「系統設定」-->「防護」頁選中「啟用連接攻擊保護功能」項,然後再設定「啟用自動保護功能」.
11.6 用戶級防付垃圾郵件,需登錄WebMail,在「選項 | 防垃圾郵件」中進行設定。

12)打開IIS 6.0, 確認啟用支援 asp 功能, 然後在預設站點下建一個虛擬目錄(如: mail), 然後指向安裝 WinWebMail 目錄下的 \Web 子目錄, 打開瀏覽器就可以按下面的地址連接webmail了:
http://<A>/mail/什麼? 嫌麻煩不想建? 那可要錯過WinWebMail強大的webmail功能了, 3分鐘的設定保證物超所值 :)

13)Web基本設定:
13.1 確認「系統設定」-->「資源使用設定」內沒有選中「公開申請的是含域名帳號」
13.2 「系統設定」-->「收發規則」中設定Helo為您域名的MX記錄

13.3.解決SERVER 2003不能上傳大附件的問題:
13.3.1 在服務裡關閉 iis admin service 服務。
13.3.2 找到 windows\system32\inetsrv\ 下的 metabase.xml 檔案。
13.3.3 用純純文字方式打開,找到 ASPMaxRequestEntityAllowed 把它修改為需要的值(可修改為10M即:10240000),預設為:204800,即:200K。
13.3.4 存碟,然後重啟 iis admin service 服務。

13.4.解決SERVER 2003無法下載超過4M的附件的問題
13.4.1 先在服務裡關閉 iis admin service 服務。
13.4.2 找到 windows\system32\inetsrv\ 下的 metabase.xml 檔案。
13.4.3 用純純文字方式打開,找到 AspBufferingLimit 把它修改為需要的值(可修改為20M即:20480000)。
13.4.4 存碟,然後重啟 iis admin service 服務。

13.5.解決大附件上傳容易超時失敗的問題.
在IIS中調大一些腳本超時時間,操作方法是: 在IIS的「站點或(虛擬目錄)」的「主目錄」下點擊「配置」按鈕,設定腳本超時間為:300秒(注意:不是Session超時時間)。

13.6.解決Windows 2003的IIS 6.0中,Web登錄時經常出現"[超時,請重試]"的提示.
將WebMail所使用的應用程序池「屬性-->回收」中的「回收工作進程」以及"屬性-->性能"中的「在空閒此段時間後關閉工作進程」這兩個選項前的勾號去掉,然後重啟一下IIS即可解決.

13.7.解決通過WebMail寫信時間較長後,按下發信按鈕就會回到系統登錄界面的問題.
適當增加會話時間(Session)為 60分鐘。在IIS站點或虛擬目錄屬性的「主目錄」下點擊[配置---選項],就可以進行設定了(SERVER 2003預設為20分鐘).

13.8.安裝後查看WinWebMail的安裝目錄下有沒有 \temp 目錄,如沒有,手工建立一個.

14)做郵件收發及10M附件測試(內對外,內對內,外對內).

15)打開2003自帶防火牆,並打開POP3.SMTP.WEB.遠程桌面.充許此4項服務, OK, 如果想用IMAP4或SSL的SMTP.POP3.IMAP4也需要打開相應的端口.

16)再次做郵件收發測試(內對外,內對內,外對內).

17)改名、加強壯口令,並禁用GUEST帳號。

18)改名超級用戶、建立假administrator、建立第二個超級用戶。

都搞定了!忙了半天, 現在終於可以來享受一把 WinWebMail 的超強 webmail 功能了, let's go!


13、IIS+PHP+MySQL+Zend Optimizer+GD庫+phpMyAdmin安裝配置[完整修正實用版]

IIS+PHP+MySQL+Zend Optimizer+GD庫+phpMyAdmin安裝配置[完整修正實用版]
IIS+PHP+MySQL+Zend Optimizer+GD庫+phpMyAdmin安裝配置[完整修正實用版]

[補充]關於參照本貼配置這使用中使用的相關問題請參考
關於WIN主機下配置PHP的若干問題解決方案總結這個帖子盡量自行解決,謝謝
http://bbs.xqin.com/viewthread.php?tid=86

一、軟件準備:以下均為截止2006-1-20的最新正式版本,下載地址也均長期有效

1.PHP,推薦PHP4.4.0的ZIP解壓版本:

PHP(4.4.0):http://cn.php.net/get/php-4.4.0-Win32.zip/from/a/mirror

PHP(5.1.2):http://cn.php.net/get/php-5.1.2-Win32.zip/from/a/mirror

2.MySQL,配合PHP4推薦MySQL4.0.26的WIN系統安裝版本:

MySQL(4.0.26):http://download.discuz.net/mysql-4.0.26-win32.zip

MySQL(4.1.16):http://www.skycn.com/soft/24418.html

MySQL(5.0.18):http://download.discuz.net/mysql-4.0.26-win32.zip


3.Zend Optimizer,當然選擇當前最新版本拉:

Zend Optimizer(2.6.2):http://www.zend.com/store/free_download.php?pid=13

(Zend軟件雖然免費下載,但需要註冊用戶,這裡提供註冊好的帳戶名:xqincom和密碼:xqin.com,方便大家使用,請不要修改本帳號或將本帳戶用於其他費正當途徑,謝謝!)

登陸後選擇Windows x86的Platform版本,如最新版本2.6.2 https://www.zend.com/store/getfreefile. ... 3&zbid=995

4.phpMyAdmin


當然同樣選擇當前最新版本拉,注意選擇for Windows 的版本哦:

phpMyAdmin(2.8.0.3):http://www.crsky.com/soft/4190.html

假設 C:\ 為你現在所使用操作系統的系統碟,如果你目前操作系統不是安裝在 C:\ ,請自行對應修改相應路徑。同時由於C碟經常會因為各種原因重裝系統,數據放在該碟不易備份和轉移 選擇安裝目錄,故本文將所有PHP相關軟件均安裝到D:\php目錄下,這個路徑你可以自行設定,如果你安裝到不同目錄涉及到路徑的請對應修改以下的對應路徑即可

二、安裝 PHP :本文PHP安裝路逕取為D:\php\php4\(為避混淆,PHP5.1.x版本安裝路逕取為D:\php\php5\)


--------------------------------------------------------------------------------

(1)、下載後得到 php-4.4.0-Win32.zip ,解壓至D:\php目錄,將得到二級目錄php-4.4.0-Win32,改名為 php4,
也即得到PHP檔案存放目錄D:\php\php4\

[如果是PHP5.1.2,得到的檔案是php-5.1.2-Win32.zip,直接全部接壓至D:\php\php5目錄即可得PHP檔案存放目錄D:\php\php5\];


--------------------------------------------------------------------------------

(2)、再將D:\php\php4目錄和D:\php\php4\dlls目錄

[PHP5為D:\php\php5\]下的所有dll檔案 copy 到 c:\Windows\system32 (win2000系統為 c:/winnt/system32/)下,覆蓋已有的dll檔案;



--------------------------------------------------------------------------------

(3)、將php.ini-dist用筆記本打開,利用筆記本的查找功能搜詢並修改:


--------------------------------------------------------------------------------
搜詢 register_globals = Off

將 Off 改成 On ,即得到 register_globals = On

註:這個對應PHP的全局變量功能,考慮有很多PHP程序需要全局變量功能故打開,打開後請注意-PHP程序的嚴謹性,如果不需要推薦不修改保持預設Off狀態
--------------------------------------------------------------------------------
搜詢 extension_dir =

這個是PHP延伸功能目錄 並將其路徑指到你的 PHP 目錄下的 extensions 目錄,比如:

修改 extension_dir = "./" 為 extension_dir = "D:/php/php4/extensions/"

[PHP5對應修改為 extension_dir = "D:/php/php5/ext/" ]
--------------------------------------------------------------------------------
在D:\php 下建立檔案夾並命名為 tmp

查找 upload_tmp_dir =

將 ;upload_tmp_dir 該行的註釋符,即前面的分號" ;」去掉,

使該行在php.ini文檔中起作用。upload_tmp_dir是用來定義上傳檔案存放的臨時路徑,在這裡你還可以修改並給其定義一個絕對路徑,這裡設定的目錄必須有讀寫權限。

這裡我設定為 upload_tmp_dir = D:/php/tmp (即前面建立的這個檔案夾呵)
--------------------------------------------------------------------------------
搜詢 ; Windows Extensions

將下面一些常用的項前面的 ; 去掉 ,紅色的必須,藍色的供選擇

;extension=php_mbstring.dll

這個必須要

;extension=php_curl.dll

;extension=php_dbase.dll

;extension=php_gd2.dll
這個是用來支援GD庫的,一般需要,必選


;extension=php_ldap.dll

;extension=php_zip.dll


對於PHP5的版本還需要查找

;extension=php_mysql.dll

並同樣去掉前面的";"

這個是用來支援MYSQL的,由於PHP5將MySQL作為一個獨立的模組來加載執行的,故要支援MYSQL必選


--------------------------------------------------------------------------------
查找 ;session.save_path =

去掉前面 ; 號,本文這裡將其設定置為

session.save_path = D:/php/tmp
--------------------------------------------------------------------------------

其他的你可以選擇需要的去掉前面的;


然後將該檔案另存為為 php.ini 到 C:\Windows ( Windows 2000 下為 C:\WINNT)目錄下,注意更改檔案後綴名為ini,

得到 C:\Windows\php.ini ( Windows 2000 下為 C:\WINNT\php.ini)


若路徑等和本文相同可直接保存到C:\Windows ( Windows 2000 下為 C:\WINNT) 目錄下 使用


--------------------------------------------------------------------------------

一些朋友經常反映無法上傳較大的檔案或者執行某些程序經常超時,那麼可以找到C:\Windows ( Windows 2000 下為 C:\WINNT)目錄下的PHP.INI以下內容修改:
max_execution_time = 30 ; 這個是每個腳本執行的最長時間,可以自己修改加長,單位秒
max_input_time = 60 ; 這是每個腳本可以消耗的時間,單位也是秒
memory_limit = 8M ; 這個是腳本執行最大消耗的內存,也可以自己加大
upload_max_filesize = 2M ; 上載檔案的最大許可大小 ,自己改吧,一些圖片論壇需要這個更大的值


--------------------------------------------------------------------------------

(4)、配置 IIS 使其支援 PHP :

首先必須確定系統中已經正確安裝 IIS ,如果沒有安裝,需要先安裝 IIS ,安裝步驟如下:
Windows 2000/XP 下的 IIS 安裝:

用 Administrator 帳號登陸系統,將 Windows 2000 安裝光碟插入光碟機,進入「控制面板」點擊「添加/刪除程序」,再點擊左側的「添加/刪除 Windows 組件」,在彈出的窗口中選擇「Internet 資訊服務(IIS)」,點下面的「詳細資訊」按鈕,選擇組件,以下組件是必須的:「Internet 服務伺服器」、「World Wide Web 伺服器」和「公用檔案」,確定安裝。

安裝完畢後,在「控制面板」的「管理工具」裡打開「服務」,檢查「IIS Admin Service」和「World Wide Web Publishing Service」兩項服務,如果沒有啟動,將其啟動即可。

Windows 2003 下的 IIS 安裝:

由於 Windows 2003 的 IIS 6.0 集成在應用程序伺服器中,因此安裝應用程序伺服器就會預設安裝 IIS 6.0 ,在「開始」選單中點擊「配置您的伺服器」,在打開的「配置您的伺服器引導」裡左側選擇「應用程序伺服器(IIS,ASP.NET)」,單擊「下一步」出現「應用程序伺服器選項」,你可以選擇和應用程序伺服器一起安裝的組件,預設全選即可,單擊「下一步」,出現「選擇總結界面」,提示了本次安裝中的選項,配置程序將自動按照「選擇總結」中的選項進行安裝和配置。

打開瀏覽器,輸入:http://localhost/,看到成功頁面後進行下面的操作:

PHP 支援 CGI 和 ISAPI 兩種安裝模式,CGI 更消耗資源,容易因為超時而沒有反映,但是實際上比較安全,負載能力強,節省資源,但是安全性略差於CGI,本人推薦使用 ISAPI 模式。故這裡只解介紹 ISAPI 模式安裝方法:(以下的截圖因各個系統不同,窗口界面可能不同,但對應選項卡欄目是相同的,只需找到提到的對應選項卡即可)

在「控制面板」的「管理工具」中選擇「Internet 服務伺服器」,打開 IIS 後停止服務,對於WIN2000系統在」Internet 服務伺服器「的下級樹一般為你的」計算機名「上單擊右鍵選擇「屬性」,再在屬性頁面選擇主屬性」WWW 服務「右邊的」編輯「


對於XP/2003系統展開」Internet 服務伺服器「的下級樹一般為你的」計算機名「選擇」網站「並單擊右鍵選擇「屬性」


在彈出的屬性窗口上選擇「ISAPI 篩選器」選項卡找到並點擊「添加」按鈕,在彈出的「篩選器屬性」窗口中的「篩選器名稱」欄中輸入:

PHP ,再將瀏覽可執行檔案使路徑指向 php4isapi.dll 所在路徑,

如本文中為:D:\php\php4\sapi\php4isapi.dll

[PHP5對應路徑為 D:\php\php5\php5isapi.dll]


打開「站點屬性」窗口的「主目錄」選項卡,找到並點擊「配置」按鈕

在彈出的「應用程序配置」窗口中的」應用程序映射「選項卡找到並點擊「添加」按鈕新增一個延伸名映射,在彈出的窗口中單擊「瀏覽」將可執行檔案指向 php4isapi.dll 所在路徑,如本文中為:D:\php\php4\sapi\php4isapi.dll[PHP5對應路徑為D:\php\php5\php5isapi.dll],延伸名為 .php ,動作限於」GET,HEAD,POST,TRACE「,將「腳本引擎」「確認檔案是否存在」選中,然後一路確定即可。如果還想支援諸如 .php3 ,.phtml 等延伸名的 PHP 檔案,可以重複「添加」步驟,對應延伸名設定為需要的即可如.PHPX。

此步操作將使你伺服器IIS下的所有站點都支援你所添加的PHP延伸檔案,當然如果你只需要部分站點支援PHP,只需要在「你需要支援PHP的Web站點」比如「預設Web站點」上單擊右鍵選擇「屬性」,在打開的「 Web 站點屬性」「主目錄」選項卡,編輯或者添加PHP的延伸名映射即可或者將你步需要支援PHP的站點中的PHP延伸映射刪除即可


再打開「站點屬性」窗口的「文檔」選項卡,找到並點擊「添加」按鈕,向預設的 Web 站點啟動文檔列表中添加 index.php 項。您可以將 index.php 升到最高優先級,這樣,連接站點時就會首先自動尋找並打開 index.php 文檔。


確定 Web 目錄的應用程序設定和執行許可中選擇為純腳本,然後關閉 Internet 資訊服務伺服器
對於2003系統還需要在「Internet 服務伺服器」左邊的「WEB服務延伸」中設定ISAPI 延伸允許,Active Server Pages 允許


完成所有操作後,重新啟動IIS服務。
在CMD命令提示符中執行如下命令:

net stop w3svc
net stop iisadmin
net start w3svc

到此,PHP的基本安裝已經完成,我們已經使網站支援PHP腳本。
檢查方法是,在 IIS 根目錄下新建一個純文字檔案存為 php.php ,內容如下:


<php>


打開瀏覽器,輸入:http://localhost/php.php,將顯示當前伺服器所支援 PHP 的全部資訊,可以看到 Server API的模式為:ISAPI 。


或者利用PHP探針檢測http://xqin.com/index.rar下載後解壓到你的站點根目錄下並連接即可


--------------------------------------------------------------------------------

三、安裝 MySQL :

對於MySQL4.0.26下載得到的是mysql-4.0.26-win32.zip,解壓到mysql-4.0.26-win32目錄雙擊執行 Setup.exe 一路Next下一步,選擇安裝目錄為D:\php\MySQL和安裝方式為Custom自定義安裝,再一路Next下一步即可。


安裝完畢後,在CMD命令行中輸入並執行:

D:\php\MySQL\bin\mysqld-nt -install

如果返回Service successfully installed.則說明系統服務成功安裝

新建一純文字檔案存為MY.INI,編輯配置MY.INI,這裡給出一個參考的配置

[mysqld]
basedir=D:/php/MySQL
#MySQL所在目錄
datadir=D:/php/MySQL/data
#MySQL資料庫所在目錄,可以更改為其他你存放資料庫的目錄
#language=D:/php/MySQL/share/your language directory
#port=3306
set-variable = max_connections=800
skip-locking
set-variable = key_buffer=512M
set-variable = max_allowed_packet=4M
set-variable = table_cache=1024
set-variable = sort_buffer=2M
set-variable = thread_cache=64
set-variable = join_buffer_size=32M
set-variable = record_buffer=32M
set-variable = thread_concurrency=8
set-variable = myisam_sort_buffer_size=64M
set-variable = connect_timeout=10
set-variable = wait_timeout=10
server-id = 1
[isamchk]
set-variable = key_buffer=128M
set-variable = sort_buffer=128M
set-variable = read_buffer=2M
set-variable = write_buffer=2M

[myisamchk]
set-variable = key_buffer=128M
set-variable = sort_buffer=128M
set-variable = read_buffer=2M
set-variable = write_buffer=2M

[WinMySQLadmin]
Server=D:/php/MySQL/bin/mysqld-nt.exe



保存後複製此MY.INI檔案到C:\Windows ( Windows 2000 下為 C:\WINNT)目錄下
回到CMD命令行中輸入並執行:

net start mysql

MySQL 服務正在啟動 .
MySQL 服務已經啟動成功。

將啟動 MySQL 服務;

DOS下修改ROOT密碼:當然後面安裝PHPMYADMIN後修改密碼也可以通過PHPMYADMIN修改

格式:mysqladmin -u用戶名 -p舊密碼 password 新密碼

例:給root加個密碼xqin.com

首先在進入CMD命令行,轉到MYSQL目錄下的bin目錄,然後鍵入以下命令

mysqladmin -uroot password 你的密碼

註:因為開始時root沒有密碼,所以-p舊密碼一項就可以省略了。

D:\php\MySQL\bin>mysqladmin -uroot password 你的密碼


Enter後ROOT密碼就設定為你的密碼了

如果你下載的是 MySQL5.x或者MySQL4.1.x,例mysql-5.0.18-win32:解壓後雙擊執行 Setup.exe ,Next下一步後選擇Custom自定義安裝,再Next下一步選擇安裝路徑這裡我們選擇D:\php\MySQL,繼續Next下一步跳過Sign UP完成安裝。


--------------------------------------------------------------------------------

安裝完成後會提示你是不是立即進行配置,選擇是即可進行配置。當然一般安裝後選單裡面也有配置引導MySQL Server Instance Config Wizar,執行後按下面步驟配置並設定ROOT密碼即可

Next下一步後選擇Standard Configuration

Next下一步,鉤選Include .. PATH

Next下一步,設定ROOT密碼,建議社



_________________
版權所有,轉載請註明作者及出處.
http://www.apnec.com
因為專業,所以精彩!
離線
 個人資料 發送私人訊息  
 
顯示文章 :  排序  
 
 1 頁 (共 1 頁) [ 1 篇文章 ] 

所有顯示的時間為 UTC + 8 小時


 

誰在線上

正在瀏覽這個版面的使用者:沒有註冊會員 和 2 位訪客

 

不能 在這個版面發表主題
不能 在這個版面回覆主題
不能 在這個版面編輯您的文章
不能 在這個版面刪除您的文章
不能 在這個版面上傳附加檔案

前往 :  

cron
phpBB © & skin Powered by: Headquarters & phpBB Group