Windows Server 2003 系統安全配置方法_win伺服器

一、系統的安裝

１、按照Windows2003安裝光碟片的提示安裝，預設情況下2003沒有把IIS6.0安裝在系統裡面。

２、IIS6.0的安裝
開始菜單—>控制台—>添加或刪除程式—>添加/刪除Windows組件
應用程式 ———ASP.NET（可選）
|——啟用網路 COM+ 訪問（必選）
|——Internet 資訊服務(IIS)———Internet 資訊服務管理器（必選）
|——公用檔案（必選）
|——全球資訊網服務———Active Server pages（必選）
|——Internet 資料連線器（可選）
|——WebDAV 發布（可選）
|——全球資訊網服務（必選）
|——在伺服器端的包含檔案（可選）
然後點擊確定—>下一步安裝。

３、系統補丁的更新
點擊開始菜單—>所有程式—>Windows Update
按照提示進行補丁的安裝。

４、備份系統
用GHOST備份系統。

５、安裝常用的軟體
例如：殺毒軟體、解壓縮軟體等；安裝之後用GHOST再次備份系統。

二、系統許可權的設定
１、磁碟許可權
系統硬碟及所有磁碟只給 Administrators 組和 SYSTEM 的完全控制許可權
系統硬碟\Documents and Settings 目錄只給 Administrators 組和 SYSTEM 的完全控制許可權
系統硬碟\Documents and Settings\All Users 目錄只給 Administrators 組和 SYSTEM 的完全控制許可權
系統硬碟\Inetpub 目錄及下面所有目錄、檔案只給 Administrators 組和 SYSTEM 的完全控制許可權
系統硬碟\Windows\System32\cacls.exe、cmd.exe、net.exe、net1.exe 檔只給 Administrators 組和 SYSTEM 的完全控制許可權

２、本地安全性原則設定
開始菜單—>管理工具—>本地安全性原則
A、本地策略——>稽核原則
稽核原則更改　　　成功　失敗
審核登入事件　　　成功　失敗
審核對象訪問　　　　　　失敗
審核過程跟蹤　　　無審核
審核目錄服務訪問　　　　失敗
審核特權使用　　　　　　失敗
審核系統事件　　　成功　失敗
審核賬戶登入事件　成功　失敗
審核賬戶管理　　　成功　失敗

B、 本地策略——>使用者權限分配
關閉系統：只有Administrators組、其它全部刪除。
通過終端服務拒絕登陸：加入Guests、User組
通過終端服務允許登陸：只加入Administrators組，其他全部刪除

C、本地策略——>安全選項
互動式登陸：不顯示上次的使用者名稱　　　　　　　啟用
網路訪問：不允許SAM帳戶和共用的匿名枚舉　　 啟用
網路訪問：不允許為網路身分識別驗證儲存憑證　　　啟用
網路訪問：可匿名訪問的共用　　　　　　　　　全部刪除
網路訪問：可匿名訪問的命　　　　　　　　　　全部刪除
網路訪問：可遠端存取的註冊表路徑　　　　　　全部刪除
網路訪問：可遠端存取的註冊表路徑和子路徑　　全部刪除
帳戶：重新命名來賓帳戶　　　　　　　　　　　　重新命名一個帳戶
帳戶：重新命名系統管理員帳戶　　　　　　　　　重新命名一個帳戶

３、禁用不必要的服務
開始菜單—>管理工具—>服務
Print Spooler
Remote Registry
TCP/IP NetBIOS Helper
Server

以上是在Windows Server 2003 系統上面預設啟動的服務中禁用的，預設禁用的服務如沒特別需要的話不要啟動。

４、啟用防火牆
案頭—>網路位置—>（右鍵）屬性—>本地串連—>（右鍵）屬性—>進階—>（選中）網際網路連線防火牆—>設定
把伺服器上面要用到的服務連接埠選中
例如：一台WEB伺服器，要提供WEB（80）、FTP（21）服務及遠端桌面管理（3389）
在“FTP 伺服器”、“WEB伺服器（HTTP）”、“遠端桌面”前面打上對號
如果你要提供服務的連接埠不在裡面，你也可以點擊“添加”銨鈕來添加，具體參數可以參照系統裡面原有的參數。
然後點擊確定。注意：如果是遠端管理這台伺服器，請先確定遠端管理的連接埠是否選中或添加。
ASP虛擬機器主機安全檢測探針V1.5

走出Windows許可權迷魂陣
在電腦應用中經常會看到”許可權”這個詞，特別是Windows 2000/XP被越來越多的朋友裝進電腦後，常常會有讀者問，什麼是許可權呢?它到底有什麼用?下面我們將用幾個典型執行個體為大家講解windows中的許可權應用，讓你不僅可以在不安裝任何軟體的情況下，限制別人訪問你的檔案夾、指定使用者不能使用的程式，而且還有來自微軟內部的加強系統安全的絕招。
——————————————————————————–

初識Windows的許可權
首先，要完全使用windows許可權的所有功能，請確保在應用許可權的分區為NTFS檔案系統。本文將以windowsXP簡體中文專業版+SP2作為範例講解。
1．什麼是許可權?
舉個形象的例子，windows就像一個實驗室，其中有導師A、導師B；學生A、學生B．大家都能在實驗室裡面完成實驗。但在這裡又是分等級的．兩位導師可以指定學生能使用什麼樣的實驗工具，不能碰什麼工具，從而使得實驗室不會因為學生亂用實驗工具．而出現問題。同時．兩位導師又能互相限制對方對實驗工具的使用。因此．windows中的許可權就是對某個使用者或同等級的使用者進行權力分配和限制的方法。正是有了它的出現，windows中的使用者要遵循這種”不平等”的制度，而正是這個制度，才使得windows可以更好地為多個使用者的使用創造了良好，穩定的運行環境。
2．許可權都包含有什麼?
在以NT核心為基礎的Windows 2000/XP中，許可權主要分為七大類完全控制、修改，讀取和運行、列出檔案夾目錄、讀取、寫入、特別的許可權(見圖1)。

其中完全控制包含了其他六大許可權．只要擁有它，就等同於擁有了另外六大許可權，其餘複選框會被自動選中．屬於”最高等級”的許可權。
而其他許可權的等級高低分別是：特別的許可權>讀取和運行>修改>寫入>讀取。
預設情況下，Windows XP將啟用”簡單檔案分享權限設定”，這意味著安全性選項卡和針對許可權的進階選項都不可用．也就不能進行本文所述的那些許可權應用操作了。請現在就右擊任意檔案或檔案夾．選擇”屬性”，如果沒有看到”安全”選項卡，你可以通過如下方法開啟它。
開啟”我的電腦”，點擊”工具→檔案夾選項→查看”，接著在然後單擊取消”使用簡單檔案分享權限設定(推薦)”複選框即可。
實戰許可權”正面”應用
以下應用的前提，是被限制的使用者不在Administrators組，否則將可能發生越權訪問，後面”反面應用”會講到。執行使用權限設定的使用者至少需要為Power Users組的成員，才有足夠許可權進行設定。
執行個體1：我的文件你別看－保護你的檔案或檔案夾
假設A電腦中有三個使用者，使用者名稱分別為User1、User2、User3。Userl不想讓User2和User3查看和操作自己的”test”檔案夾。
第一步：右擊”test”檔案夾並選擇”屬性”，進入”安全”選項卡，你將會看到”組或使用者名稱稱”欄裡有Administrators(A\Administrators)、CREATOR OWNER、SYSTEM Users(A\Users)、User1(A\ User1)。他們分別表示名為A電腦的Administrator 群組，建立、所有者組，系統組，使用者組以及使用者User1對此檔案夾的使用權限設定。當然，不同的電腦設定和軟體安裝情況，此欄裡的使用者或使用者組資訊不一定就是和我描述的一樣．但正常情況下最少將包含3項之一：Administrators、SYSTEM、Users或Everyone(見圖2)。

第二步：依次選中並刪除Administrators、CREATOR OWNER、SYSTEM、Users，僅保留自己使用的Userl賬戶。在操作中可能會遇到如圖3的提示框。

其實只要單擊”進階”按鈕，在”許可權”選項卡中，取消”從父項繼承那些可以應用到子物件的許可權項目，包括那些在此明確定義的項目”的複選框，在彈出對話方塊中單擊”刪除”即可。該操作使此檔案夾清除了從上一級目錄繼承來的使用權限設定，儀保留了你使用的User1賬戶。
就這麼輕鬆，你就實現了其他使用者，甚至系統許可權都無法訪問”test”檔案夾的目的。
★需要注意的是，如果這個檔案夾中需要安裝軟體，那麼就不要刪除”SYSTEM”，不然可能引起系統訪問出錯
★Administrator並不是最高指揮官：你可能會問，為什麼這裡會有一個”SYSTEM”賬戶呢?同時許多朋友認為windows2000/XP中的Administrator是擁有許可權最高的使用者，其實不然，這個”SYSTEM”才具有系統最高許可權，因為它是”作為作業系統的一部分工作”，任何使用者通過某種方法擷取了此許可權，就能淩駕一切。

——————————————————————————–
執行個體2：上班時間別聊天－禁止使用者使用某程式
第一步：找到聊天程式的主程式，如QQ，其主程式就是安裝目錄下的QQ.exe，開啟它的屬性對話方塊，進入”安全”選項卡，選中或添加你要限制的使用者，如User3。
第二步：接著選擇”完全控制”為”拒絕”，”讀取和運行”也為”拒絕”。
第三步：單擊”進階”按鈕進入進階許可權沒置，選中User3，點”編輯”按鈕，進入許可權項目。在這裡的”拒絕”欄中選中”更改許可權”和”取得所有權”的複選框。
也可以使用組策略編輯器來實現此功能，但安全性沒有上面方法高。點擊”開始→運行”，輸入”gpedit.msc”，斷行符號後開啟組策略編輯器，進入”電腦設定→windows設定→安全設定→軟體限制策略→其他規則”，右擊，選擇”所有任務→新路徑規則”，接著根據提示設定想要限制的軟體的主程式路徑，然後設定想要的安全層級，是”不允許的”還是”受限制的”。

——————————————————————————–
執行個體3：來者是客-－微軟內部增強系統安全的秘技
本實戰內容將需要管理員權限。所謂入侵，無非就是利用某種方法擷取到管理員層級的許可權或系統級的許可權，以便進行下一步操作，如添加自己的使用者。如果想要使入侵者”進來”之後不能進行任何操作呢?永遠只能是客人許可權或比這個許可權更低，就算本地登入，連關機都不可以。那麼，他將不能實施任何破壞活動。
注意：此法有較高的危險性．建議完全不知道以下程式用途的讀者不要嘗試．以免誤操作引起系統不能進入或出現很多錯誤。
第一步：確定要設定的程式
搜尋系統目錄下的危險程式，它們可以用來建立使用者奪取及提升低許可權使用者的許可權，格式化硬碟，引起電腦崩潰等惡意操作：cmd.exe、regedit.exe、regsvr32.exe、regedt32.exe、gpedit.msc、format.com、compmgmt.msc、mmc.exe、telnet.exe、tftp.exe、ftp.exe、XCOPY.EXE、at.exe、cacls.exe、edlin.exe、rsh.exe、finger.exe、runas.exe、net.exe、tracert.exe、netsh.exe、tskill.exe、poledit.exe、regini.exe、cscript.exe、netstat.exe、issync.exe、runonce.exe、debug.exe、rexec.exe、wscript.exe、command.com、comsdupd.exe
第二步：按系統調用的可能性分組設定
按照下面分組．設定這些程式許可權。完成一組後，建議重啟電腦確認系統運行是否一切正常，查看”事件檢視器”，是否有錯誤資訊(”控制台→管理工具→事件檢視器”)。
(1)cmd.exe、net.exe gpedit.msc telnet.exe command.com
(僅保留你自己的使用者，SYSTEM也刪除)
(2)mmc.exe、tftp.exe、ftp.exe、XCOPY.EXE、comsdupd.exe
(僅保留你自己的使用者，SYSTEM也刪除)
(3)regedit.exe、regedt32.exe、format.com、compmgmt.msc、at.exe、cacls.exe、edlin.exe、rsh.exe、finger.exe、runas.exe、debug.exe、wscript.exe、cscript.exe、rexec.exe
(保留你自己的使用者和SYSTEM)
(4)tracert.exe、netsh.exe、tskill.exe、poledit.exe、regini.exe、netstat.exe、issync.exe、runonce.exe、regsvr32.exe
(保留你自己的使用者和SYSTEM)
第三步：使用者名稱欺騙
這個方法騙不了經驗豐富的入侵者，但卻可以讓不夠高明的偽駭客們弄個一頭霧水。
開啟”控制台一管理工具一電腦管理”，找到”使用者”，將預設的Administrator和Guest的名稱互換，包括描述資訊也換掉。完成後，雙擊假的”Administrator”使用者，也就是以前的Guest使用者．在其”屬性”視窗中把隸屬於列表裡的Guests組刪除．這樣．這個假的”管理員”帳號就成了”無黨派人士”，不屬於任何組，也就不會繼承其許可權。此使用者的許可權幾乎等於0，連關機都不可以，對電腦的操作幾乎都會被拒絕。如果有誰處心積慮地擷取了這個使用者的許可權，那麼他肯定吐血。
第四步：集權控制，提高安全性
開啟了組策略編輯器，找到”電腦設定→windows設定→安全設定→本地策略→使用者權利指派”(見圖4)，接著根據下面的提示進行設定。

(1)減少可訪問此電腦的使用者數，減少被攻擊機會
找到並雙擊”從網路訪問此電腦”，刪除賬戶列表中使用者組，只剩下”Administrators”；
找到並雙擊”拒絕本地登入”，刪除列表中的”Guest”使用者，添加使用者組”Guests”。
(2)確定不想要從網路訪問的使用者，加入到此”黑名單”內
找到並雙擊”拒絕從剛絡訪問這台電腦”，刪除賬戶列表中的”Guest”使用者，添加使用者組”Guests”；
找到並雙擊”取得檔案或其他對象的所有權”，添加你常用的賬戶和以上修改過名稱為”Guest”的管理員賬戶，再刪除列表中”Administrators”。
(3)防止跨檔案夾操作
找到並雙擊”跳過遍曆檢查”，添加你所使用的賬戶和以上修改過名稱為”Guest”的管理員賬戶，再刪除賬戶列表中的”Administrators”、”Everyone”和”Users”使用者組。
(4)防止通過終端服務進行的密碼猜解嘗試
找到並雙擊”通過終端服務拒絕登入”，添加假的管理員賬戶”Administrator”；找到”通過終端服務允許登入”，雙擊，添加你常用的賬戶和以上修改過名稱為”Guest”的管理員賬戶，再刪除賬戶列表中的”Administrators”，”Remote Desktop User”和”HelpAssistant”(如果你不用遠程協助功能的話才可刪除此使用者)。
(5)避免拒絕服務的攻擊
找到並雙擊”調整進程的記憶體配額”，添加你常用的賬戶，再刪除賬戶列表中的”Administrators”

——————————————————————————–
執行個體4：”你的文檔”別獨享——突破檔案夾”私人”的限制
windows XP安裝完成並進入系統時，會詢問是否將”我的文件”設為私人(專用)，如果選擇了”是”，那將使該使用者下的”我的文件”檔案夾不能被其他使用者訪問，刪除，修改。其實這就是利用使用權限設定將此檔案夾的存取控制清單中的使用者和使用者組刪除到了只剩下系統和你的使用者，所有者也設定成了那個使用者所有，Administrators組的使用者也不能直接存取。如果你把這個檔案夾曾經設定為專用，但又在該盤重裝了系統，此檔案夾不能被刪除或修改。可按照下面步驟解決這些問題，讓你對這個檔案夾的訪問，暢通無阻。
第一步：登入管理員權限的賬戶，如系統預設的Administrator，找到被設為專用的”我的文件”，進入其”屬性”的”安全”選項卡，你將會看到你的使用者不在裡面，但也無法添加和刪除。
第二步：單擊”進階”按鈕，進入進階使用權限設定，選擇”所有者”選項卡，在”將所有者更改為”下面的列表中選中你現在使用的使用者，如”Userl(A\Userl)”，然後再選中”替換子容器及對象的所有者”的複選框，然後單擊”應用”，等待操作完成。
第三步：再進入這個檔案夾看看，是不是不會有任何許可權的提示了?可以自由訪問了?查看裡面的檔案，複製、刪除試試看．是不是一切都和”自己的”一樣了?嘿嘿。如果你想要刪除整個檔案夾，也不會有什麼阻止你了。

SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp 改3389 的

Windows2003基本的web伺服器安全設定
欄目： | 作者：青鳥南飛 | 點擊：164 | 回複：0 | 2006-6-26 14:40:39
基本的伺服器安全設定
1、安裝補丁

安裝好作業系統之後，最好能在託管之前就完成補丁的安裝，配置好網路後，如果是2000則確定安裝上了SP4，如果是2003，則最好安裝上SP1，然後點擊開始→Windows Update，安裝所有的重大更新。

2、安裝殺毒軟體

至於殺毒軟體目前我使用有兩款，一款是瑞星，一款是諾頓，瑞星殺木馬的效果比諾頓要強，我測試過病毒包，瑞星要多殺出很多，但是裝瑞星的話會有一個問題就是會出現ASP動態不能訪問，這時候需要重新修複一下，具體操作步驟是：

關閉殺毒軟體的所有的即時監控，指令碼監控。

╭═══════════════╮╭═══════════════╮

在Dos命令列狀態下分別輸入下列命令並按斷行符號（Enter）鍵：

regsvr32 jscript.dll （命令功能：修複Java動態連結程式庫）

regsvr32 vbscript.dll （命令功能：修複VB動態連結程式庫）

╰═══════════════╯╰═══════════════╯

不要指望殺毒軟體殺掉所有的木馬，因為ASP木馬的特徵是可以通過一定手段來避開殺毒軟體的查殺。

3、設定連接埠保護和防火

2003的連接埠屏蔽可以通過自身防火牆來解決，這樣比較好，比篩選更有靈活性，案頭—>網路位置—>（右鍵）屬性—>本地串連—>（右鍵）屬性—>進階—>（選中）網際網路連線防火牆—>設定

把伺服器上面要用到的服務連接埠選中

例如：一台WEB伺服器，要提供WEB（80）、FTP（21）服務及遠端桌面管理（3389）

在“FTP 伺服器”、“WEB伺服器（HTTP）”、“遠端桌面”前面打上對號

如果你要提供服務的連接埠不在裡面，你也可以點擊“添加”銨鈕來添加，具體參數可以參照系統裡面原有的參數。

然後點擊確定。注意：如果是遠端管理這台伺服器，請先確定遠端管理的連接埠是否選中或添加。

使用權限設定

使用權限設定的原理

?WINDOWS使用者，在WINNT系統中大多數時候把許可權按使用者（組）來劃分。在【開始→程式→管理工具→電腦管理→本機使用者和組】管理系統使用者和使用者組。

?NTFS使用權限設定，請記住分區的時候把所有的硬碟都分為NTFS分區，然後我們可以確定每個分區對每個使用者開放的許可權。【檔案（夾）上右鍵→屬性→安全】在這裡管理NTFS檔案（夾）許可權。

?IIS匿名使用者，每個IIS網站或者虛擬目錄，都可以設定一個匿名訪問使用者（現在暫且把它叫“IIS匿名使用者”），當使用者訪問你的網站的.ASP檔案的時候，這個.ASP檔案所具有的許可權，就是這個“IIS匿名使用者”所具有的許可權。

使用權限設定

磁碟許可權

系統硬碟及所有磁碟只給 Administrators 組和 SYSTEM 的完全控制許可權

系統硬碟\Documents and Settings 目錄只給 Administrators 組和 SYSTEM 的完全控制許可權

系統硬碟\Documents and Settings\All Users 目錄只給 Administrators 組和 SYSTEM 的完全控制許可權

系統硬碟\Inetpub 目錄及下面所有目錄、檔案只給 Administrators 組和 SYSTEM 的完全控制許可權

系統硬碟\Windows\System32\cacls.exe、cmd.exe、net.exe、net1.exe 檔只給 Administrators 組和 SYSTEM 的完全控制許可權

4、禁用不必要的服務

開始菜單—>管理工具—>服務

Print Spooler

Remote Registry

TCP/IP NetBIOS Helper

Server

以上是在Windows Server 2003 系統上面預設啟動的服務中禁用的，預設禁用的服務如沒特別需要的話不要啟動。

改名或卸載不安全性群組件

不安全性群組件不驚人

在阿江探針1.9裡加入了不安全性群組件檢測功能（其實這是參考7i24的代碼寫的，只是把介面改的友好了一點，檢測方法和他是基本一樣的），這個功能讓很多站長吃驚不小，因為他發現他的伺服器支援很多不安全性群組件。

其實，只要做好了上面的使用權限設定，那麼FSO、XML、strem都不再是不安全性群組件了，因為他們都沒有跨出自己的檔案夾或者網站的許可權。那個歡樂時光更不用怕，有殺毒軟體在還怕什麼時光啊。

最危險的組件是WSH和Shell，因為它可以運行你硬碟裡的EXE等程式，比如它可以運行提升程式來提升SERV-U許可權甚至用SERVU來運行更高許可權的系統程式。

謹慎決定是否卸載一個組件

組件是為了應用而出現的，而不是為了不安全而出現的，所有的組件都有它的用處，所以在卸載一個組件之前，你必須確認這個組件是你的網站程式不需要的，或者即使去掉也不關大體的。否則，你只能留著這個組件並在你的ASP程式本身上下工夫，防止別人進來，而不是防止別人進來後SHELL。

比如，FSO和XML是非常常用的組件之一，很多程式會用到他們。WSH組件會被一部分主機管理程式用到，也有的打包程式也會用到。

5、卸載最不安全的組件

最簡單的辦法是直接卸載後刪除相應的程式檔案。將下面的代碼儲存為一個.BAT檔案，( 以下均以 WIN2000 為例，如果使用2003，則系統檔案夾應該是 C:\WINDOWS\ )

regsvr32/u C:\WINNT\System32\wshom.ocx

del C:\WINNT\System32\wshom.ocx

regsvr32/u C:\WINNT\system32\shell32.dll

del C:\WINNT\system32\shell32.dll

然後運行一下，WScript.Shell, Shell.application, WScript.Network就會被卸載了。可能會提示無法刪除檔案，不用管它，重啟一下伺服器，你會發現這三個都提示“×安全”了。

改名不安全性群組件

需要注意的是組件的名稱和Clsid都要改，並且要改徹底了。下面以Shell.application為例來介紹方法。

開啟登錄編輯程式【開始→運行→regedit斷行符號】，然後【編輯→尋找→填寫Shell.application→尋找下一個】，用這個方法能找到兩個登錄機碼：“{13709620-C279-11CE-A49E-444553540000}”和“Shell.application”。為了確保萬無一失，把這兩個登錄機碼匯出來，儲存為 .reg 檔案。

比如我們想做這樣的更改

13709620-C279-11CE-A49E-444553540000 改名為 13709620-C279-11CE-A49E-444553540001

Shell.application 改名為 Shell.application_ajiang

那麼，就把剛才匯出的.reg檔案裡的內容按上面的對應關係替換掉，然後把修改好的.reg檔案匯入到註冊表中（雙擊即可），匯入了改名後的登錄機碼之後，別忘記了刪除原有的那兩個項目。這裡需要注意一點，Clsid中只能是十個數字和ABCDEF六個字母。

下面是我修改後的代碼（兩個檔案我合到一起了）：

Windows Registry Editor Version 5.00

[HKEY_CLASSES_ROOT\CLSID\{13709620-C279-11CE-A49E-444553540001}]

@=”Shell Automation Service”

[HKEY_CLASSES_ROOT\CLSID\{13709620-C279-11CE-A49E-444553540001}\InProcServer32]

@=”C:\\WINNT\\system32\\shell32.dll”

“ThreadingModel”=”Apartment”

[HKEY_CLASSES_ROOT\CLSID\{13709620-C279-11CE-A49E-444553540001}\ProgID]

@=”Shell.Application_ajiang.1″

[HKEY_CLASSES_ROOT\CLSID\{13709620-C279-11CE-A49E-444553540001}\TypeLib]

@=”{50a7e9b0-70ef-11d1-b75a-00a0c90564fe}”

[HKEY_CLASSES_ROOT\CLSID\{13709620-C279-11CE-A49E-444553540001}\Version]

@=”1.1″

[HKEY_CLASSES_ROOT\CLSID\{13709620-C279-11CE-A49E-444553540001}\VersionIndependentProgID]

@=”Shell.Application_ajiang”

[HKEY_CLASSES_ROOT\Shell.Application_ajiang]

@=”Shell Automation Service”

[HKEY_CLASSES_ROOT\Shell.Application_ajiang\CLSID]

@=”{13709620-C279-11CE-A49E-444553540001}”

[HKEY_CLASSES_ROOT\Shell.Application_ajiang\CurVer]

@=”Shell.Application_ajiang.1″

你可以把這個儲存為一個.reg檔案運行試一下，但是可別就此了事，因為萬一駭客也看了我的這篇文章，他會實驗我改出來的這個名字的。

6、防止列出使用者組和系統進程

在阿江ASP探針1.9中結合7i24的方法利用getobject(”WINNT”)獲得了系統使用者和系統進程的列表，這個列表可能會被駭客利用，我們應當隱藏起來，方法是：

【開始→程式→管理工具→服務】，找到Workstation，停止它，禁用它。

防止Serv-U許可權提升

其實，登出了Shell組件之後，侵入者運行提升工具的可能性就很小了，但是prel等別的指令碼語言也有shell能力，為防萬一，還是設定一下為好。

用Ultraedit開啟ServUDaemon.exe尋找Ascii：LocalAdministrator，和#l@$ak#.lk;0@P，修改成等長度的其它字元就可以了，ServUAdmin.exe也一樣處理。

另外注意設定Serv-U所在的檔案夾的許可權，不要讓IIS匿名使用者有讀取的許可權，否則人家下走你修改過的檔案，照樣可以分析出你的管理員名和密碼。

利用ASP漏洞攻擊的常見方法及防範

一般情況下，駭客總是瞄準論壇等程式，因為這些程式都有上傳功能，他們很容易的就可以上傳ASP木馬，即使設定了許可權，木馬也可以控制當前網站的所有檔案了。另外，有了木馬就然後用木馬上傳提升工具來獲得更高的許可權，我們關閉shell組件的目的很大程度上就是為了防止攻擊者運行提升工具。

如果論壇管理員關閉了上傳功能，則駭客會想辦法獲得超管密碼，比如，如果你用動網論壇並且資料庫忘記了改名，人家就可以直接下載你的資料庫了，然後距離找到論壇管理員密碼就不遠了。

作為管理員，我們首先要檢查我們的ASP程式，做好必要的設定，防止網站被駭客進入。另外就是防止攻擊者使用一個被黑的網站來控制整個伺服器，因為如果你的伺服器上還為朋友開了網站，你可能無法確定你的朋友會把他上傳的論壇做好安全設定。這就用到了前面所說的那一大堆東西，做了那些使用權限設定和防提升之後，駭客就算是進入了一個網站，也無法破壞這個網站以外的東西。

QUOTE:
c:\
administrators 全部
system 全部
iis_wpg 只有該檔案夾
列出檔案夾/讀資料
讀屬性
讀擴充屬性
讀取許可權

c:\inetpub\mailroot
administrators 全部
system 全部
service 全部

c:\inetpub\ftproot
everyone 唯讀和運行

c:\windows
administrators 全部
Creator owner
不是繼承的
只有子檔案夾及檔案
完全
Power Users
修改，讀取和運行，列出檔案夾目錄，讀取，寫入
system 全部
IIS_WPG 讀取和運行，列出檔案夾目錄，讀取
Users 讀取和運行(此許可權最後調整完成後可以取消)

C:\WINDOWS\Microsoft.Net
administrators 全部
Creator owner
不是繼承的
只有子檔案夾及檔案
完全
Power Users
修改，讀取和運行，列出檔案夾目錄，讀取，寫入
system 全部
Users 讀取和運行，列出檔案夾目錄，讀取

C:\WINDOWS\Microsoft.Net
administrators 全部
Creator owner
不是繼承的
只有子檔案夾及檔案
完全
Power Users
修改，讀取和運行，列出檔案夾目錄，讀取，寫入
system 全部
Users 讀取和運行，列出檔案夾目錄，讀取

C:\WINDOWS\Microsoft.Net\temporary ASP.NET Files
administrators 全部
Creator owner
不是繼承的
只有子檔案夾及檔案
完全
Power Users
修改，讀取和運行，列出檔案夾目錄，讀取，寫入
system 全部
Users 全部

c:\Program Files
Everyone 只有該檔案夾
不是繼承的
列出檔案夾/讀資料
administrators 全部
iis_wpg 只有該檔案夾
列出檔案/讀資料
讀屬性
讀擴充屬性
讀取許可權

c:\windows\temp
Administrator 全部許可權
System 全部許可權
users 全部許可權

c:\Program Files\Common Files
administrators 全部
Creator owner
不是繼承的
只有子檔案夾及檔案
完全
Power Users
修改，讀取和運行，列出檔案夾目錄，讀取，寫入
system 全部
TERMINAL SERVER Users(如果有這個使用者)
修改，讀取和運行，列出檔案夾目錄，讀取，寫入
Users 讀取和運行，列出檔案夾目錄，讀取

如果安裝了我們的軟體：
c:\Program Files\LIWEIWENSOFT
Everyone 讀取和運行，列出檔案夾目錄，讀取
administrators 全部
system 全部
IIS_WPG 讀取和運行，列出檔案夾目錄，讀取

c:\Program Files\Dimac(如果有這個目錄)
Everyone 讀取和運行，列出檔案夾目錄，讀取
administrators 全部

c:\Program Files\ComPlus Applications (如果有)
administrators 全部

c:\Program Files\GflSDK (如果有)
administrators 全部
Creator owner
不是繼承的
只有子檔案夾及檔案
完全
Power Users
修改，讀取和運行，列出檔案夾目錄，讀取，寫入
system 全部
TERMINAL SERVER Users
修改，讀取和運行，列出檔案夾目錄，讀取，寫入
Users 讀取和運行，列出檔案夾目錄，讀取
Everyone 讀取和運行，列出檔案夾目錄，讀取

c:\Program Files\InstallShield Installation Information (如果有)
c:\Program Files\Internet Explorer (如果有)
c:\Program Files\NetMeeting (如果有)
administrators 全部

c:\Program Files\WindowsUpdate
Creator owner
不是繼承的
只有子檔案夾及檔案
完全
administrators 全部
Power Users
修改，讀取和運行，列出檔案夾目錄，讀取，寫入
system 全部

c:\Program Files\Microsoft SQL(如果SQL安裝在這個目錄)
administrators 全部
Service 全部
system 全部

c:\Main (如果主控端網站放在這個目錄)
administrators 全部
system 全部
IUSR_*，預設的Internet來賓帳戶(或專用的運行使用者)
讀取和運行

d:\ (如果使用者網站內容放置在這個分區中)
administrators 全部許可權

d:\FreeHost (如果此目錄用來放置使用者網站內容)
administrators 全部許可權
SERVICE 讀取與運行
system 讀取與運行(全部許可權，如果安裝了一流資訊監控)

F:\ (如果此分區用來放置SQL2000使用者資料庫)
administrators 全部許可權
System 全部許可權
SQL2000的運行用
只有該檔案夾
列出檔案夾/讀資料
讀屬性
讀擴充屬性
讀取許可權

F:\SQLDATA (如果此目錄用來放置SQL2000使用者資料庫)
administrators 全部許可權
System 全部許可權
SQL2000的運行使用者全部許可權

從安全形度，我們建議WebEasyMail(WinWebMail)安裝在獨立的盤中，例如E:
E:\(如果webeasymail安裝在這個盤中)
administrators 全部許可權
system 全部許可權
IUSR_*，預設的Internet來賓帳戶(或專用的運行使用者)
只有該檔案夾
列出檔案夾/讀資料
讀屬性
讀擴充屬性
讀取許可權
E:\WebEasyMail (如果webeasymail安裝在這個目錄中)
administrators 全部
system 全部許可權
SERVICE 全部
IUSR_*，預設的Internet來賓帳戶 (或專用的運行使用者)
全部許可權

C:\php\uploadtemp
C:\php\sessiondata
everyone
全部

C:\php\
administrators 全部
system 全部許可權
SERVICE 全部
Users 唯讀和運行

c:\windows\php.ini
administrators 全部
system 全部許可權
SERVICE 全部
Users 唯讀和運行