windows2000虛擬機器主機基本使用權限設定

 

作者：雲舒　　來自：http://www.ph4nt0m.org/

關於指令碼入侵的文章，網上已經是泛濫之勢。原創的雖然多，但是抄襲的也不少。很多人用http://whois.webhosting.info查詢一下某個IP的所有網域名稱，然後找個指令碼漏洞進入伺服器就以駭客自居。未公布的漏洞，我不知道，所以請不要用來打擊我。好了，廢話我不多說了，在這裡說一下我以為比較安全的win2000虛擬機器主機的使用權限設定方法，僅僅是說下使用權限設定。

一.虛擬機器主機需要的軟體及環境

1.Serv-U5.0.11（似乎不安全，但是也未必）
2.Mysql資料庫
3.Mssql資料庫
4.PcAnyWhere遠端控制
5.殺毒軟體，我一般使用諾頓8.0
6.php5
7.ActivePerl5.8

以上各種軟體，除Mssql資料庫以為，其他的都應去官方網站下載推薦版本安裝。下面開始就是安裝設定了，從系統安裝完開始。假設系統安裝的windows2000進階伺服器版，系統分為c盤，d盤和e盤，全部是ntfs格式。

二.系統連接埠設定

虛擬機器主機，一般同時使用PcanyWhere和終端服務進行控制，終端服務要更改連接埠，比如修改成8735連接埠。根據要開放的服務，去設定TCP/IP篩選。為什麼不使用本地安全性原則了？個人認為TCP/IP篩選比較嚴格，因為這裡是除非明確允許否則拒絕，而本地安全性原則是除非明確拒絕否則允許。如果我理解不當，還請指教。TCP/IP篩選設定如下：
TCP連接埠只允許21，80，5631，8735，10001，10002，10003，10004，10005；IP協議只允許6；UDP連接埠我沒有做過詳細測試，不敢亂說，以後測試了再補上。TCP/IP連接埠裡面的10001-10005是設定Serv-U的PASV模式使用的連接埠，當然也可以使用別的。
本地串連屬性裡面，卸載所有的其他協議，只留下Internet協議（TCP/IP），順便把administrator帳號改個複雜點的名字，並且在本地安全性原則裡面設定不顯示上次登陸帳號，對帳號鎖定做出合適的設定。然後重新啟動電腦，這步設定已經完成。

三.系統使用權限設定

現在開始安裝軟體，所有的軟體都安裝在d盤，e盤作資料備份使用。先安裝Serv-U到d:/Serv-U，並且漢化順便破解，嘿嘿。然後依次安裝到d盤。現在開始設定許可權。首先二話不說，c盤，d盤和e盤的安全裡面把Everyone刪除，添加改名後的administrator和system，讓他們完全控制。進階裡面重設所有子物件的許可權並允許傳播可繼承許可權。這樣系統所有的檔案，目錄全部是由改名後的administrator和system控制了，並且自動繼承上級目錄的許可權，下面開始為每個目錄設定對應的許可權。

運行asp，建立資料庫連接需要使用C:/Program Files/Common Files目錄下面的檔案。在這裡，設定C:/Program Files/Common Files許可權，加入everyone，許可權為讀取，列出檔案夾目錄，讀取及運行。還可以使用進階標籤進行更加嚴格的設定，但是我沒有做過，不敢胡說。

運行php，需要設定c:/winnt/php.ini的許可權，讓everyone有讀取許可權即可。如果php的session目錄設定為c:/winnt/temp目錄，此目錄應該讓everyone有讀取寫入許可權。為提高效能，php設定為使用isapi解析，d:/php目錄讓everyone有讀取，列出檔案夾目錄，讀取及運行許可權。至於php.ini的設定，這裡我就不說了。第一我不很懂，第二我只講系統使用權限設定。

運行cgi，設定d:/perl讓everyone有讀取，列出檔案夾目錄，讀取及運行許可權。順便說下，cgi設定為使用isapi方式解析有利於安全和效能。

現在說下讓人頭大的Serv-U的設定了。這東西功能確實強大，但是安全性不怎麼好，需要我們來改造。最首先的是溢出攻擊，5.0.11好象已經沒有這個缺陷了。其次是修改ini設定檔，這裡已經沒有許可權修改了，略過不提。據我所知現在唯一的辦法就是使用預設的管理帳號和密碼添加有寫入執行許可權的帳號來執行木馬了。把預設帳號密碼修改掉就完了，這個東西直接使用editplus之類的編輯器開啟ServUDaemon.exe和ServUAdmin.exe修改就可以了。如果懶得麻煩，隨便什麼語言寫個程式都很容易作到。我以前寫過一個這樣的東西，方便自己設定。現在Serv-U基本上沒有什麼問題了。

至於資料庫，許可權已經不用設定了，直接繼承d盤根目錄就可以。至於裡面的帳號密碼該怎麼設定，我也懶得說了。

現在最後一點，就是設定c:/winnt/system32目錄和他下面的一些東西了。很多程式運行需要這裡的動態串連庫，而且這裡檔案太多，我也沒有弄明白所有的，把目錄c:/winnt/system32給everyone賦予讀取，列出檔案夾目錄，讀取及運行即可。其實，這樣做是不安全的，但是別慌，我們還沒有完。在這個目錄下面，我們還需要對幾個特別程式進行單獨的設定。首先就是cacls.exe，嘿嘿，先把這個設定了在說別的。這東東是設定許可權用的，讓它不繼承父目錄許可權，並且讓它拒絕任何人訪問，因為我們一般不使用這個鳥東西。其他的要設定的程式列表如下：net.exe,cmd.exe,ftp.exe,tftp.exe,telnet.exe，這幾個程式設定成只允許改名後的administrator訪問。

現在就想起這麼多，這是今天上班空閑時間零零碎碎寫的，以後再補充吧。

補充：禁止 非Administrator 群組訪問winnt目錄 再把需要調用的檔案 從winnt弄出來 重新 賦予它讀取路徑