Windows 2003 防木馬、硬碟安全設定功略

window|安全|木馬|硬碟 特別提示：在win2000下面那套使用權限設定方案，在win2003並不適用，也就是為什麼以前有那麼多寫關於2000下面使用權限設定，而我這裡要在2003重新提出來的原因

前言，我們院作了一個web伺服器是專門給大學各個社團所開，前些日子伺服器上幾乎所有的網站首頁都被修改，同學中有人  驚呼，哇噻！誰乾的真牛叉，我暈~~~在我看來這是遲早要發生的事，而且入侵過程及其簡單，沒看伺服器之前就想過只有兩種可能性，一是有人把伺服器密碼泄露出去了；二是，通過網站本身的漏洞（呵呵，伺服器是我配置的）但我沒有進行iis具體許可權的設定。我N年前就給老師反映過了，社團的那幫菜安全意識極差，只會用現成的東東，這樣下去遲早會出問題，老師當時沒聽進去，我也就沒管那麼多了。出問題後，我仔細研究了記錄檔和所上傳檔案的日期，發現有個海洋頂端2006在3月份就已經傳至伺服器，不過沒有做任何改動，汗一個~~~大概是這位大哥忘了，前些日子又費勁心思找了半天的網站漏洞，我看了看，這位四川XX大學的仁兄喜歡夜間作業，而且是連夜，真是有hacker精神。好了，不廢話了，先從他的入侵經過講起：該仁兄是從放置在伺服器上的其中的一個社團網站進入的，該網站採用的是動易的3.X版本，據我所瞭解，沒有打補丁，上傳也是開啟的，我沒猜錯的話他就是通過動易的漏洞上傳了木馬(呵呵，他這裡上傳的是桂林老兵的站長助手)，然後通站長助手找到了其他的網站目錄，從而該伺服器上的社團網站們進行修改。
事後，老師說將FSO禁用掉就萬事大吉，我看不然，更何況有許多網站沒有FSO的支援就無法運行。
那麼，怎麼做才能防止asp木馬在您伺服器上的惡意破壞？我查閱了n多資料後，總結了一個比較完善的解決方案。在這裡，我以海洋頂端2006為例，來簡單介紹一下怎樣設定才能嚴防asp木馬。
我裝了一台Windows2003企業版，未打sp1補丁。
如下圖所示：
採用預設設定，將海洋頂端2006放至web目錄下,運行海洋頂端木馬如圖可以看出，在系統預設設定下，所有的操作都可用，也就是只要入侵者通過某種途徑取得了webshell,那麼採用海洋頂端木馬就可以修改和刪除web伺服器的裡面的絕大部分檔案，甚至提升許可權。
我們來看看海洋頂端都有一些什麼操作，大家看第6，7，8，9項，通過他們就可以運行伺服器上的程式和修改檔案。FSO我們先不管，我們先來卸載WScript.Shell, Shell.application
這兩個組件。
選開始-----運行  
regsvr32 /u WSHom.Ocx   
regsvr32 /u shell32.dll
也可以設定為禁止guests使用者組訪問，然後將訪問web目錄的預設賬戶設為guests組
cacls %systemroot%system32shell32.dll /e /d guests
如果提示無法刪除檔案正在使用，請先停用iis刪除相關進程，然後再進行刪除
當然還可以將這些組建改名，但要記得需要改兩個地方。
1.WScript.Shell組件修改方法
HKEY_CLASSES_ROOTWScript.Shell
及
HKEY_CLASSES_ROOTWScript.Shell.1
改名為其它的名字，如：改為WScript.Shell_ChangeName或WScript.Shell.1_ChangeName
自己以後調用的時候使用這個就可以正常調用此組件了
也要將clsid值也改一下
HKEY_CLASSES_ROOTWScript.ShellCLSID項目的值
HKEY_CLASSES_ROOTWScript.Shell.1CLSID項目的值
2.
Shell.Application組件修改方法
HKEY_CLASSES_ROOTShell.Application
及
HKEY_CLASSES_ROOTShell.Application.1
改名為其它的名字，如：改為Shell.Application_ChangeName或Shell.Application.1_ChangeName
自己以後調用的時候使用這個就可以正常調用此組件了
也要將clsid值也改一下
HKEY_CLASSES_ROOTShell.ApplicationCLSID項目的值
HKEY_CLASSES_ROOTShell.ApplicationCLSID項目的值
這樣，就可以防止木馬檔案調用這些組建了。
為了進一步的安全，我們還可以把 %systemroot%system32 下的net.exe,cmd.exe,ftp.exe,tftp.exe,telnet.exe 等設為只允許administrator訪問。
磁碟許可權  
提示：如果使用權限設定出錯，可以採用微軟的secedit 工具來恢複預設
首先，將所有磁碟上的everyone使用者去掉。系統硬碟其他使用者保持預設，其他盤就留system和administrator就可以了，裝有服務軟體的檔案夾具體許可權還需另外設定。
然後，給每個web網站一個預設匿名訪問賬戶，同時給與其相對應的虛擬目錄檔案夾相應的許可權。
網上關於這方面的設定比較多，暫時借用天之驕子的。他的是在2000下設定的，這方面2003大體相同，但在，檔案夾許可權方面是不同的，切記切記~~~運行asp的預設許可權，我會在附錄中給出。
我們給使用者建一個本地目錄，也就是使用者的網站的根目錄我們就建到F:8660.net

到控制面版----管理工具---伺服器管理--本機使用者或組---使用者----新增USER_8660.net的使用者


選擇USER_8660.net使用者--屬性---修改隸屬於改成gusets組

給使用者的檔案夾F:8660.net分配許可權（USER_8660.NET是控制改使用者的來賓帳號 ASPNET 由於伺服器上支援。NET所以也要把ASPNET帳戶的許可權給他，否則執行ASP。NET將許可權不夠）。

把USER_8660.NET 和ASPNET的帳號的許可權都設定成如下（記住一定不要把完全控制的許可權分配給使用者）


然後我們建立IIS指向到該使用者的目錄
開啟IIS---建立 WEB網站---

" />
選擇WEB伺服器（8660.NET）--屬性--- 目錄安全性

----匿名訪問和驗證控制---編輯

匿名訪問---編輯

選擇USER_8660.NET使用者名稱作為訪問此網站的使用者帳號


至此，即使有人取得了一個網站的webshell，也只能對該網站進行修改（活該，誰叫你有洞），並不能造成跨站攻擊了，呵呵~~~

附錄一：
我們安裝軟體的使用權限設定：
c:Program FilesLIWEIWENSOFT
Everyone 讀取和運行，列出檔案夾目錄，讀取
administrators 全部
IIS_WPG 讀取和運行，列出檔案夾目錄，讀取


c:Program FilesDimac(如果有這個目錄)
Everyone 讀取和運行，列出檔案夾目錄，讀取
administrators 全部

c:Program FilesComPlus Applications (如果有)
administrators 全部

c:Program FilesGflSDK (如果有)
administrators 全部
Creator owner
不是繼承的
只有子檔案夾及檔案
完全
Power Users
修改，讀取和運行，列出檔案夾目錄，讀取，寫入
system 全部
TERMINAL SERVER Users
修改，讀取和運行，列出檔案夾目錄，讀取，寫入
Users 讀取和運行，列出檔案夾目錄，讀取
Everyone 讀取和運行，列出檔案夾目錄，讀取

c:Program FilesInstallShield Installation Information (如果有)
c:Program FilesInternet Explorer (如果有)
c:Program FilesNetMeeting (如果有)
administrators 全部

附錄二：
IIS 6.0所需要的預設許可權
NTFS permissions
Directory UsersGroups Permissions
%windir%helpiishelpcommon Administrators Full control
%windir%helpiishelpcommon System Full control
%windir%helpiishelpcommon IIS_WPG Read
%windir%helpiishelpcommon Users (See Note 1.) Read, execute
%windir%IIS Temporary Compressed Files Administrators Full control
%windir%IIS Temporary Compressed Files System Full control
%windir%IIS Temporary Compressed Files IIS_WPG List, read, write
%windir%IIS Temporary Compressed Files Creator owner Full control
%windir%system32inetsrv Administrators Full control
%windir%system32inetsrv System Full control
%windir%system32inetsrv Users Read, execute
%windir%system32inetsrv*.vbs Administrators Full control
%windir%system32inetsrvASP compiled templates Administrators Full control
%windir%system32inetsrvASP compiled templates IIS_WPG Read
%windir%system32inetsrvHistory Administrators Full control
%windir%system32inetsrvHistory System Full control
%windir%system32Logfiles Administrators Full control
%windir%system32inetsrvmetaback Administrators Full control
%windir%system32inetsrvmetaback System Full control
InetpubAdminscripts Administrators Full control
Inetpubwwwroot (or content directories) Administrators Full control
Inetpubwwwroot (or content directories) System Full control
Inetpubwwwroot (or content directories) IIS_WPG Read, execute
Inetpubwwwroot (or content directories) IUSR_MachineName Read, execute
Inetpubwwwroot (or content directories) ASPNET (See Note 2.)　Read, execute

Note 1 You must have permissions to this directory when you use Basic authentication or Integrated authentication and when custom errors are configured. For example, when error 401.1 occurs, the logged-on user sees the expected detailed custom error only if permissions to read the 4011.htm file have been granted to that user.

Note 2 By default, ASP.NET is used as the ASP.NET process identity in IIS 5.0 isolation mode. If ASP.NET is switched to IIS 5.0 isolation mode, ASP.NET must have access to the content areas. ASP.NET process isolation is detailed in IIS Help. For additional information, visit the following Microsoft Web site:

ASP.NET process isolation