配置方法
電腦在啟動時會自動尋找 config.sys這個檔案,如果沒有它,電腦就按默認的方式運行,但這種默認的方式在大部分情況下都不是最適合電腦使用的,所以我們應對電腦進行設定,比如設定對擴展記憶體的使用,載入光碟機驅動程式等。如果您的電腦出現Windows使用不了、遊戲報告記憶體不夠、光碟機找不到、無法連線網路等等錯誤,合理修改config.sys也許能解決一半以上的問題。
config.sys是文本檔案,可以用任何編輯器編輯修改。如果你增添、更改或刪除config.sys檔案中的任一配置命令,則這種改變只在下一次啟動DOS時才有效。
配置檔案
核心本身也可以看成是一個“程式”。為什麼核心需要配置檔案?核心需要了解系統中用戶和組的列表,進而管理檔案許可權(即根據許可權判定特定用戶(UNIX_USERS)是否可以打開某個檔案)。注意,這些檔案不是明確地由程式讀取的,而是由系統庫所提供的一個函式讀取,並被核心使用。例如,程式需要某個用戶的(加密過的)密碼時不應該打開 /etc/passwd 檔案。相反,程式應該調用系統庫的 getpw() 函式。這種函式也被稱為系統調用。打開 /etc/passwd 檔案和之後查找那個被請求的用戶的密碼都是由核心(通過系統庫)決定的。除非另行指定,Red Hat Linux 系統中大多數配置檔案都在 /etc 目錄中。配置檔案可以大致分為下面幾類:
訪問檔案
/etc/host.conf 告訴網路域名伺服器如何查找主機名。(通常是 /etc/hosts,然後就是名稱伺服器;可通過 netconf 對其進行更改。)
/etc/hosts 包含(本地網路中)已知主機的一個列表。如果系統的 IP 不是動態生成,就可以使用它。對於簡單的主機名解析(點分表示法),在請求 DNS 或 NIS 網路名稱伺服器之前,/etc/hosts.conf 通常會告訴解析程式先查看這裡。
/etc/hosts.allow 請參閱 hosts_access 的在線上幫助頁。至少由 tcpd 讀取。
/etc/hosts.deny 請參閱 hosts_access 的在線上幫助頁。至少由 tcpd 讀取。
引導和登錄/註銷
/etc/issue & /etc/issue.net 這些檔案由 mingetty(和類似的程式)讀取,用來向從終端(issue)或通過 telnet 會話(issue.net)連線的用戶顯示一個“welcome”字元串。 它們包括幾行聲明 Red Hat 版本號、名稱和核心 ID 的信息。它們由 rc.local 使用。
/etc/redhat-release 包括一行聲明 Red Hat 版本號和名稱的信息。由 rc.local 使用。
/etc/rc.d/rc 通常在所有運行級別運行,級別作為參數傳送。 例如,要以圖形(Graphics)模式(X-Server)引導機器,請在命令行運行下面的命令:init 5。運行級別 5 表示以圖形模式引導系統。
/etc/rc.d/rc.local 非正式的。可以從 rc、rc.sysinit 或 /etc/inittab 調用。
/etc/rc.d/rc.sysinit 通常是所有運行級別的第一個腳本。
/etc/rc.d/rc/rcX.d 從 rc 運行的腳本(X 表示 1 到 5 之間的任意數字)。這些目錄是特定“運行級別”的目錄。 當系統啟動時,它會識別要啟動的運行級別,然後調用該運行級別的特定目錄中存在的所有啟動腳本。例如,系統啟動時通常會在引導訊息之後顯示“entering run-level 3”的訊息;這意味著 /etc/rc.d/rc3.d/ 目錄中的所有初始化腳本都將被調用。
檔案系統
核心提供了一個接口,用來顯示一些它的數據結構,這些數據結構對於決定諸如使用的中斷、初始化的設備和記憶體統計信息之類的系統參數可能很有用。這個接口是作為一個獨立但虛擬的檔案系統提供的,稱為 /proc 檔案系統。很多系統實用程式都使用這個檔案系統中存在的值來顯示系統統計信息。例如,/proc/modules 檔案列舉系統中當前載入的模組。lsmod 命令讀取此信息,然後將其以人們可以看懂的格式顯示出來。 下面表格中指定的 mtab 檔案以同樣的方式讀取包含當前安裝的檔案系統的 /proc/mount 檔案。
/etc/mtab 這將隨著 /proc/mount 檔案的改變而不斷改變。換句話說,檔案系統被安裝和卸載時,改變會立即反映到此檔案中。
/etc/fstab 列舉計算機當前“可以安裝”的檔案系統。 這非常重要,因為計算機引導時將運行 mount -a 命令,該命令負責安裝 fstab 的倒數第二列中帶有“1”標記的每一個檔案系統。
/etc/mtools.conf DOS 類型的檔案系統上所有操作(創建目錄、複製、格式化等等)的配置。
系統管理
/etc/group 包含有效的組名稱和指定組中包括的用戶。單一用戶如果執行多個任務,可以存在於多個組中。例如,如果一個“用戶”是“project 1”工程組的成員,同時也是管理員,那么在 group 檔案中他的條目看起來就會是這樣的:user: * : group-id : project1
/etc/nologin 如果有 /etc/nologin 檔案存在,login(1) 將只允許 root 用戶進行訪問。它將對其它用戶顯示此檔案的內容並拒絕其登錄。
etc/passwd 請參閱“man passwd”。它包含一些用戶帳號信息,包括密碼(如果未被 shadow 程式加密過)。
/etc/rpmrc rpm 命令配置。所有的 rpm 命令行選項都可以在這個檔案中一起設定,這樣,當任何 rpm 命令在該系統中運行時,所有的選項都會全局適用。
/etc/securetty 包含設備名稱,由 tty 行組成(每行一個名稱,不包括前面的 /dev/),root 用戶在這裡被允許登錄。
/etc/usertty
/etc/shadow 包含加密後的用戶帳號密碼信息,還可以包括密碼時效信息。
/etc/shells 包含系統可用的可能的“shell”的列表。
/etc/motd 每日訊息;在管理員希望向 Linux 伺服器的所有用戶傳達某個訊息時使用。
實用程式
基本概述
初學者在使用電腦過程中,肯定會碰到各種各樣的問題:如怎么管理電腦的自啟動程式、如何查看載入的系統服務、怎樣從安裝光碟提取丟失的系統檔案等。為了解決類似問題,微軟在系統中提供了一個實用工具——系統配置實用程式(Msconfig)。以系統管理員身份登錄系統後,單擊“開始→運行”輸入“Msconfig”回車後即可啟動系統配置實用程式
下面就結合幾個套用實例來詳細介紹Msconfig的使用(以WinXP為例)。
“一般”選項不一般
啟動方式
默認情況下,Windows採用的是正常啟動模式(即載入所有驅動和系統服務),但是有時候由於設備驅動程式遭到破壞或服務故障,常常會導致啟動出現一些問題,這時可以利用Msconfig的其它啟動模式來解決問題。單擊 “一般”選項,在“啟動模式”選擇“診斷啟動”,這種啟動模式有助於我們快速找到啟動故障原因。此外,還可以選擇“有選擇的啟動模式”,按提示勾選需要啟動的項目即可。小提示:診斷啟動是指系統啟動時僅載入基本設備驅動程式如顯示卡驅動,而不載入Modem、網卡等設備,服務也僅是系統必須的一些服務。這時系統是最乾淨的,如果啟動沒有問題,可以依次載入設備和服務來判斷問題出在哪裡。
提取檔案
雖然WinXP具備強大的檔案保護功能,不過有時候由於安裝/卸載軟體或誤操作,還是經常會造成系統檔案的丟失。一般重要的系統檔案,在系統安裝光碟CAB檔案中都可以找到。單擊上圖的“展開檔案”,然後在彈出視窗中依次輸入要還原的檔案(填入丟失檔案名稱)、還原自(單擊“瀏覽自”,選擇安裝光碟的CAB壓縮檔案)、保存檔案到(選擇保存檔案路徑,WinXP/2000一般為c:windowssystem32,Win98則為c:windowssystem),最後單擊“展開”,系統會自動解壓CAB檔案,將系統檔案從安裝光碟提取到電腦。小知識
可以先用系統的SFC命令來掃描系統檔案的改動,找出變化的系統檔案,命令格式:SFC [/SCANNOW] [/SCANONCE] [/SCANBOOT] [/REVERT] [/PURGECACHE] [/CACHESIZE=x]/SCANNOW:立即掃描所有受保護的系統檔案。
/SCANONCE:下次啟動時掃描所有受保護的系統檔案。
/SCANBOOT:每次啟動時掃描所有受保護的系統檔案。
/REVERT:將掃描返回到默認設定。
/PURGECACHE:清除檔案快取。
/CACHESIZE=x:設定檔案快取大小。
實用程式
Windows 98提供了一款系統配置實用程式(Msconfig.exe),該工具允許你通過一系列複選框操作來修改系統配置,從而降低修改出錯的風險。對於一些常見的疑難解答操作,採用人機會話的方式,特別適合於一般用戶。備份檔案
單擊Windows 98的“開始”按扭,選擇“運行”,在“運行”對話框中鍵入“msconfig.exe”,單擊“確定”按扭啟動系統配置實用程式。使用Msconfig可以將當前的系統配置檔案Config.sys、Autoexec.bat、System.ini 和 Win.ini分別備份成以.PSS為擴展名的檔案,備份檔案與原始檔案位於同一目錄下。這樣做的目的是確保此次對系統配置檔案所作的修改是可以還原的。具體操作:單擊“常規”標籤,單擊“創建備份”,然後單擊“確定”;若單擊“還原備份”,然後再單擊“確定”按扭即可恢復原系統配置檔案。
常見疑難
1.對於一般用戶,也許希望在系統啟動過程中,建立一個啟動選單,以減少因系統異常而需要安全模式啟動時,用戶不必在啟動系統時按住CTRL(對於某些計算機是F8) 鍵就能顯示 Startup 選單。具體操作:單擊“常規”標籤的“高級”按扭,將“高級疑難解答設定”對話框中的“啟用‘啟動’選單”複選框選中。然後單擊確定“按扭”退出。重新啟機後設定生效。2.系統掉電(或非正常關機)重新啟動機器時,磁碟掃描程式便自動運行,當你不喜歡這種啟動方式時,可以關閉磁碟掃描程式,具體操作:將“高級疑難解答設定”對話框中的“如果關機失敗,請禁用磁碟掃描程式”複選框選中。然後單擊“確定”按扭退出,重新啟機後設定生效。
3. 如當惡作劇者(或其它原因)將你的機器記憶體由32MB限制為16MB時,將影響你的Windows及其應用程式的運行速度。解決方案是將“高級疑難解答設定”對話框中的“將記憶體限制為”複選框選中,並且將右框線中的值恢復為32MB,然後單擊“確定”按鈕退出,重新啟機後設定生效。
定製程式
在Windows 98的桌面或者系統列中,常常出現一些伴隨系統啟動過程中自動啟動程式。你若想取消這些程式的自啟動,可以選擇“系統配置實用程式”對話框的“啟動”標籤,在列表框中用滑鼠取消自啟動程式左側複選框的勾選,然後單擊“確定”按鈕,重新啟機使設定生效。作業系統
作業系統 | 最少需要的硬碟空間 | 最少需要的記憶體容量 | 其它 |
DOS | 50MB | 32MB | |
Windows 3.1 | 100MB | 32MB | |
Windows 95 | 500MB | 32MB | |
Windows 98 | 500MB | 64MB | |
Windows ME | 2GB(由於存在系統還原) | 96MB | |
Windows 2000 Professional | 2GB | 128MB | 分別支持1個 |
Windows 2000 Server | 2GB | 192MB | 2個 |
Windows 2000 Advanced Server | 2GB | 256MB | 4個以上中央處理器 |
Windows XP Home | 2GB | 128MB | |
Windows XP Professional | 2GB | 128MB | |
Windows NT 4.0 Workstation | 1GB | 64MB | |
Windows NT 4.0 Server | 1GB | 128MB | |
Windows NT 4.0 Enterprise | 2GB | 192MB | |
Linux | 2GB | 64MB |
2003配置
系統安裝
1、按照Windows2003安裝光碟的提示安裝,默認情況下2003沒有把IIS6.0安裝在系統裡面。2、IIS6.0的安裝
開始選單—>控制臺—>添加或刪除程式—>添加/刪除Windows組件
應用程式 ———ASP.NET(可選)
|——啟用網路 COM+ 訪問(必選)
|——Internet 信息服務(IIS)———Internet 信息服務管理器(必選)
|——公用檔案(必選)
|——全球資訊網服務———Active Server pages(必選)
|——Internet 數據連線器(可選)
|——WebDAV 發布(可選)
|——全球資訊網服務(必選)
|——在伺服器端的包含檔案(可選)
然後點擊確定—>下一步安裝。
3、系統補丁的更新
點擊開始選單—>所有程式—>Windows Update
按照提示進行補丁的安裝。
4、備份系統
用GHOST備份系統。
5、安裝常用的軟體
例如:防毒軟體、解壓縮軟體等;安裝之後用GHOST再次備份系統。
許可權設定
1、磁碟許可權系統盤及所有磁碟只給 Administrators 組和 SYSTEM 的完全控制許可權
系統盤\Documents and Settings 目錄只給 Administrators 組和 SYSTEM 的完全控制許可權
系統盤\Documents and Settings\All Users 目錄只給 Administrators 組和 SYSTEM 的完全控制許可權
系統盤\Inetpub 目錄及下面所有目錄、檔案只給 Administrators 組和 SYSTEM 的完全控制許可權
系統盤\Windows\System32\cacls.exe、cmd.exe、net.exe、net1.exe 檔案只給 Administrators 組和 SYSTEM 的完全控制許可權
2、本地安全策略設定
開始選單—>管理工具—>本地安全策略
A、本地策略——>審核策略
審核策略更改 成功 失敗
審核登錄事件 成功 失敗
審核對象訪問 失敗
審核過程跟蹤 無審核
審核目錄服務訪問 失敗
審核特權使用 失敗
審核系統事件 成功 失敗
審核賬戶登錄事件 成功 失敗
審核賬戶管理 成功 失敗
B、 本地策略——>用戶許可權分配
關閉系統:只有Administrators組、其它全部刪除。
通過終端服務拒絕登入:加入Guests、User組
通過終端服務允許登入:只加入Administrators組,其他全部刪除
C、本地策略——>安全選項
互動式登入:不顯示上次的用戶名 啟用
網路訪問:不允許SAM帳戶和共享的匿名枚舉 啟用
網路訪問:不允許為網路身份驗證儲存憑證 啟用
網路訪問:可匿名訪問的共享 全部刪除
網路訪問:可匿名訪問的命 全部刪除
網路訪問:可遠程訪問的註冊表路徑 全部刪除
網路訪問:可遠程訪問的註冊表路徑和子路徑 全部刪除
帳戶:重命名來賓帳戶 重命名一個帳戶
帳戶:重命名系統管理員帳戶 重命名一個帳戶
3、禁用不必要的服務
開始選單—>管理工具—>服務
Print Spooler
Remote Registry
TCP/IP NetBIOS Helper
Server
以上是在Windows Server 2003 系統上面默認啟動的服務中禁用的,默認禁用的服務如沒特別需要的話不要啟動。
4、啟用防火牆
桌面—>網上鄰居—>(右鍵)屬性—>本地連線—>(右鍵)屬性—>高級—>(選中)Internet 連線防火牆—>設定
把伺服器上面要用到的服務連線埠選中
例如:一台WEB伺服器,要提供WEB(80)、FTP(21)服務及遠程桌面管理(3389)
在“FTP 伺服器”、“WEB伺服器(HTTP)”、“遠程桌面”前面打上對號
如果你要提供服務的連線埠不在裡面,你也可以點擊“添加”銨鈕來添加,具體參數可以參照系統裡面原有的參數。
然後點擊確定。注意:如果是遠程管理這台伺服器,請先確定遠程管理的連線埠是否選中或添加。
許可權迷魂
在電腦套用中經常會看到“許可權”這個詞,特別是Windows 2000/XP被越來越多的朋友裝進電腦後,常常會有讀者問,什麼是許可權呢?它到底有什麼用?下面我們將用幾個典型實例為大家講解windows中的許可權套用,讓你不僅可以在不安裝任何軟體的情況下,限制別人訪問你的資料夾、指定用戶不能使用的程式,而且還有來自微軟內部的加強系統安全的絕招。初識Windows的許可權
首先,要完全使用windows許可權的所有功能,請確保在套用許可權的分區為NTFS檔案系統。本文將以windowsXP簡體中文專業版+SP2作為範例講解。
許可權含義
舉個形象的例子,windows就像一個實驗室,其中有導師A、導師B;學生A、學生B.大家都能在實驗室裡面完成實驗。但在這裡又是分等級的.兩位導師可以指定學生能使用什麼樣的實驗工具,不能碰什麼工具,從而使得實驗室不會因為學生亂用實驗工具.而出現問題。同時.兩位導師又能互相限制對方對實驗工具的使用。因此.windows中的許可權就是對某個用戶或同等級的用戶進行權力分配和限制的方法。正是有了它的出現,windows中的用戶要遵循這種"不平等"的制度,而正是這個制度,才使得windows可以更好地為多個用戶的使用創造了良好,穩定的運行環境。許可權包含
在以NT核心為基礎的Windows 2000/XP中,許可權主要分為七大類完全控制、修改,讀取和運行、列出資料夾目錄、讀取、寫入、特別的許可權。其中完全控制包含了其他六大許可權.只要擁有它,就等同於擁有了另外六大許可權,其餘複選框會被自動選中.屬於“最高等級”的許可權。
而其他許可權的等級高低分別是:特別的許可權>讀取和運行>修改>寫入>讀取。
默認情況下,Windows XP將啟用"簡單檔案共享",這意味著安全性選項卡和針對許可權的高級選項都不可用.也就不能進行本文所述的那些許可權套用操作了。請現在就右擊任意檔案或資料夾.選擇“屬性”,如果沒有看到“安全”選項卡,你可以通過如下方法打開它。
打開“我的電腦”,點擊“工具→資料夾選項→查看”,接著在然後單擊取消“使用簡單檔案共享(推薦)”複選框即可。
實戰許可權“正面”套用
以下套用的前提,是被限制的用戶不在Administrators組,否則將可能發生越權訪問,後面"反面套用"會講到。執行許可權設定的用戶至少需要為Power Users組的成員,才有足夠許可權進行設定。
實例1:我的文檔你別看-保護你的檔案或資料夾
假設A電腦中有三個用戶,用戶名分別為User1、User2、User3。Userl不想讓User2和User3查看和操作自己的“test”資料夾。
第一步:右擊"test"資料夾並選擇"屬性",進入"安全"選項卡,你將會看到"組或用戶名稱"欄里有Administrators(A\Administrators)、CREATOR OWNER、SYSTEM Users(A\Users)、User1(A\ User1)。他們分別表示名為A電腦的管理員組,創建、所有者組,系統組,用戶組以及用戶User1對此資料夾的許可權設定。當然,不同的電腦設定和軟體安裝情況,此欄里的用戶或用戶組信息不一定就是和我描述的一樣.但正常情況下最少將包含3項之一:Administrators、SYSTEM、Users或Everyone。
第二步:依次選中並刪除Administrators、CREATOR OWNER、SYSTEM、Users,僅保留自己使用的Userl賬戶。在操作中可能會遇到的提示框。
其實只要單擊"高級"按鈕,在"許可權"選項卡中,取消"從父項繼承那些可以套用到子對象的許可權項目,包括那些在此明確定義的項目"的複選框,在彈出對話框中單擊"刪除"即可。該操作使此資料夾清除了從上一級目錄繼承來的許可權設定,儀保留了你使用的User1賬戶。
就這么輕鬆,你就實現了其他用戶,甚至系統許可權都無法訪問"test"資料夾的目的。
★需要注意的是,如果這個資料夾中需要安裝軟體,那么就不要刪除"SYSTEM",不然可能引起系統訪問出錯
★Administrator並不是最高指揮官:你可能會問,為什麼這裡會有一個"SYSTEM"賬戶呢?同時許多朋友認為windows2000/XP中的Administrator是擁有許可權最高的用戶,其實不然,這個"SYSTEM"才具有系統最高許可權,因為它是"作為作業系統的一部分工作",任何用戶通過某種方法獲取了此許可權,就能凌駕一切。
實例2:上班時間別聊天-禁止用戶使用某程式
第一步:找到聊天程式的主程式,如QQ,其主程式就是安裝目錄下的QQ.exe,打開它的屬性對話框,進入"安全"選項卡,選中或添加你要限制的用戶,如User3。
第二步:接著選擇"完全控制"為"拒絕","讀取和運行"也為"拒絕"。
第三步:單擊"高級"按鈕進入高級許可權沒置,選中User3,點"編輯"按鈕,進入許可權項目。在這裡的"拒絕"欄中選中"更改許可權"和"取得所有權"的複選框。
也可以使用組策略編輯器來實現此功能,但安全性沒有上面方法高。點擊"開始→運行",輸入"gpedit.msc",回車後打開組策略編輯器,進入"計算機設定→windows設定→安全設定→軟體限制策略→其他規則",右擊,選擇"所有任務→新路徑規則",接著根據提示設定想要限制的軟體的主程式路徑,然後設定想要的安全級別,是"不允許的"還是"受限制的"。
實例3:來者是客--微軟內部增強系統安全的秘技
本實戰內容將需要管理員許可權。所謂入侵,無非就是利用某種方法獲取到管理員級別的許可權或系統級的許可權,以便進行下一步操作,如添加自己的用戶。如果想要使入侵者"進來"之後不能進行任何操作呢?永遠只能是客人許可權或比這個許可權更低,就算本地登錄,連關機都不可以。那么,他將不能實施任何破壞活動。
注意:此法有較高的危險性.建議完全不知道以下程式用途的讀者不要嘗試.以免誤操作引起系統不能進入或出現很多錯誤。
第一步:確定要設定的程式
搜尋系統目錄下的危險程式,它們可以用來創建用戶奪取及提升低許可權用戶的許可權,格式化硬碟,引起電腦崩潰等惡意操作:cmd.exe、regedit.exe、regsvr32.exe、regedt32.exe、gpedit.msc、format.com、compmgmt.msc、mmc.exe、telnet.exe、tftp.exe、ftp.exe、XCOPY.EXE、at.exe、cacls.exe、edlin.exe、rsh.exe、finger.exe、runas.exe、net.exe、tracert.exe、netsh.exe、tskill.exe、poledit.exe、regini.exe、cscript.exe、netstat.exe、issync.exe、runonce.exe、debug.exe、rexec.exe、wscript.exe、command.com、comsdupd.exe
第二步:按系統調用的可能性分組設定
按照下面分組.設定這些程式許可權。完成一組後,建議重啟電腦確認系統運行是否一切正常,查看"事件查看器",是否有錯誤信息("控制臺→管理工具→事件查看器")。
(1)cmd.exe、net.exe gpedit.msc telnet.exe command.com
(僅保留你自己的用戶,SYSTEM也刪除)
(2)mmc.exe、tftp.exe、ftp.exe、XCOPY.EXE、comsdupd.exe
(僅保留你自己的用戶,SYSTEM也刪除)
(3)regedit.exe、regedt32.exe、format.com、compmgmt.msc、at.exe、cacls.exe、edlin.exe、rsh.exe、finger.exe、runas.exe、debug.exe、wscript.exe、cscript.exe、rexec.exe
(保留你自己的用戶和SYSTEM)
(4)tracert.exe、netsh.exe、tskill.exe、poledit.exe、regini.exe、netstat.exe、issync.exe、runonce.exe、regsvr32.exe
(保留你自己的用戶和SYSTEM)
第三步:用戶名欺騙
這個方法騙不了經驗豐富的入侵者,但卻可以讓不夠高明的偽黑客們弄個一頭霧水。
打開"控制臺一管理工具一計算機管理",找到"用戶",將默認的Administrator和Guest的名稱互換,包括描述信息也換掉。完成後,雙擊假的"Administrator"用戶,也就是以前的Guest用戶.在其"屬性"視窗中把隸屬於列表里的Guests組刪除.這樣.這個假的"管理員"賬號就成了"無黨派人士",不屬於任何組,也就不會繼承其許可權。此用戶的許可權幾乎等於0,連關機都不可以,對電腦的操作幾乎都會被拒絕。如果有誰處心積慮地獲取了這個用戶的許可權,那么他肯定吐血。
第四步:集權控制,提高安全性
打開了組策略編輯器,找到"計算機設定→windows設定→安全設定→本地策略→用戶權利指派",接著根據下面的提示進行設定。
(1)減少可訪問此計算機的用戶數,減少被攻擊機會
找到並雙擊"從網路訪問此計算機",刪除賬戶列表中用戶組,只剩下"Administrators";
找到並雙擊"拒絕本地登錄",刪除列表中的"Guest"用戶,添加用戶組"Guests"。
(2)確定不想要從網路訪問的用戶,加入到此"黑名單"內
找到並雙擊"拒絕從剛絡訪問這台計算機",刪除賬戶列表中的"Guest"用戶,添加用戶組"Guests";
找到並雙擊"取得檔案或其他對象的所有權",添加你常用的賬戶和以上修改過名稱為"Guest"的管理員賬戶,再刪除列表中"Administrators"。
(3)防止跨資料夾操作
找到並雙擊"跳過遍歷檢查",添加你所使用的賬戶和以上修改過名稱為"Guest"的管理員賬戶,再刪除賬戶列表中的"Administrators"、"Everyone"和"Users"用戶組。
(4)防止通過終端服務進行的密碼猜解嘗試
找到並雙擊"通過終端服務拒絕登錄",添加假的管理員賬戶"Administrator";找到"通過終端服務允許登錄",雙擊,添加你常用的賬戶和以上修改過名稱為"Guest"的管理員賬戶,再刪除賬戶列表中的"Administrators","Remote Desktop User"和"HelpAssistant"(如果你不用遠程協助功能的話才可刪除此用戶)。
(5)避免拒絕服務攻擊
找到並雙擊"調整進程的記憶體配額",添加你常用的賬戶,再刪除賬戶列表中的"Administrators"
實例4:"你的文檔"別獨享——突破資料夾"私有"的限制
windows XP安裝完成並進入系統時,會詢問是否將"我的文檔"設為私有(專用),如果選擇了"是",那將使該用戶下的"我的文檔"資料夾不能被其他用戶訪問,刪除,修改。其實這就是利用許可權設定將此資料夾的訪問控制列表中的用戶和用戶組刪除到了只剩下系統和你的用戶,所有者也設定成了那個用戶所有,Administrators組的用戶也不能直接訪問。如果你把這個資料夾曾經設定為專用,但又在該盤重裝了系統,此資料夾不能被刪除或修改。可按照下面步驟解決這些問題,讓你對這個資料夾的訪問,暢通無阻。
第一步:登錄管理員許可權的賬戶,如系統默認的Administrator,找到被設為專用的"我的文檔",進入其"屬性"的"安全"選項卡,你將會看到你的用戶不在裡面,但也無法添加和刪除。
第二步:單擊"高級"按鈕,進入高級許可權設定,選擇"所有者"選項卡,在"將所有者更改為"下面的列表中選中你現在使用的用戶,如"Userl(A\Userl)",然後再選中"替換子容器及對象的所有者"的複選框,然後單擊"套用",等待操作完成。
第三步:再進入這個資料夾看看,是不是不會有任何許可權的提示了?可以自由訪問了?查看裡面的檔案,複製、刪除試試看.是不是一切都和"自己的"一樣了?嘿嘿。如果你想要刪除整個資料夾,也不會有什麼阻止你了。
SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp 改3389 的
安全設定
基本的伺服器安全設定安裝補丁
安裝好作業系統之後,最好能在託管之前就完成 補丁的安裝,配置好網路後,如果是2000則確定安裝上了SP4,如果是2003,則最好安裝上SP1,然後點擊開始→Windows Update,安裝所有的關鍵更新。安裝軟體
至於 防毒軟體我使用有兩款,一款是 瑞星,一款是 諾頓,瑞星殺 木馬的效果比諾頓要強,我測試過病毒包,瑞星要多殺出很多,但是裝瑞星的話會有一個問題就是會出現ASP動態不能訪問,這時候需要重新修復一下,具體操作步驟是:關閉 防毒軟體的所有的 實時監控, 腳本監控。
╭═══════════════╮╭═══════════════╮
在Dos命令行狀態下分別輸入下列命令並按回車(Enter)鍵:
regsvr32 jscript.dll (命令功能:修復Java 動態程式庫)
regsvr32 vbscript.dll (命令功能:修復VB 動態程式庫)
╰═══════════════╯╰═══════════════╯
不要指望 防毒軟體殺掉所有的木馬,因為 ASP木馬的特徵是可以通過一定手段來避開防毒軟體的查殺。
設定保護
2003的連線埠禁止可以通過自身 防火牆來解決,這樣比較好,比篩選更有靈活性,桌面—>網上鄰居—>(右鍵)屬性—>本地連線—>(右鍵)屬性—>高級—>(選中)Internet 連線防火牆—>設定把伺服器上面要用到的服務連線埠選中
例如:一台WEB伺服器,要提供WEB(80)、FTP(21)服務及 遠程桌面管理(3389)
在“FTP 伺服器”、“WEB伺服器(HTTP)”、“遠程桌面”前面打上對號
如果你要提供服務的連線埠不在裡面,你也可以點擊“添加”銨鈕來添加,具體參數可以參照系統裡面原有的參數。
然後點擊確定。注意:如果是遠程管理這台伺服器,請先確定遠程管理的連線埠是否選中或添加。
許可權設定
許可權設定的原理
?WINDOWS用戶,在WINNT系統中大多數時候把許可權按用戶(組)來劃分。在【開始→程式→管理工具→ 計算機管理→ 本地用戶和組】管理系統用戶和用戶組。
?NTFS許可權設定,請記住分區的時候把所有的 硬碟都分為NTFS分區,然後我們可以確定每個分區對每個用戶開放的許可權。【檔案(夾)上右鍵→屬性→安全】在這裡管理NTFS檔案(夾)許可權。
?IIS匿名用戶,每個IIS站點或者 虛擬目錄,都可以設定一個匿名訪問用戶(現在暫且把它叫“IIS匿名用戶”),當用戶訪問你的網站的.ASP檔案的時候,這個.ASP檔案所具有的許可權,就是這個“IIS匿名用戶”所具有的許可權。
許可權設定
磁碟許可權
系統盤及所有磁碟只給 Administrators 組和 SYSTEM 的完全控制許可權
系統盤\Documents and Settings 目錄只給 Administrators 組和 SYSTEM 的完全控制許可權
系統盤\Documents and Settings\All Users 目錄只給 Administrators 組和 SYSTEM 的完全控制許可權
系統盤\Inetpub 目錄及下面所有目錄、檔案只給 Administrators 組和 SYSTEM 的完全控制許可權
系統盤\Windows\System32\ cacls.exe、 cmd.exe、 net.exe、net1.exe 檔案只給 Administrators 組和 SYSTEM 的完全控制許可權
禁用服務
開始選單—>管理工具—>服務Print Spooler
Remote Registry
TCP/IP NetBIOS Helper
Server
以上是在Windows Server 2003 系統上面默認啟動的服務中禁用的,默認禁用的服務如沒特別需要的話不要啟動。
改名或 卸載不安全組件
不安全組件不驚人
在阿江 探針1.9里加入了不安全組件檢測功能(其實這是參考7i24的代碼寫的,只是把界面改的友好了一點,檢測方法和他是基本一樣的),這個功能讓很多站長吃驚不小,因為他發現他的伺服器支持很多不安全組件。
其實,只要做好了上面的許可權設定,那么FSO、XML、strem都不再是不安全組件了,因為他們都沒有跨出自己的資料夾或者站點的許可權。那個 歡樂時光更不用怕,有 防毒軟體在還怕什麼時光啊。
最危險的組件是WSH和Shell,因為它可以運行你硬碟里的EXE等程式,比如它可以運行提升程式來提升SERV-U許可權甚至用SERVU來運行更高許可權的系統程式。
謹慎決定是否 卸載一個組件
組件是為了套用而出現的,而不是為了不安全而出現的,所有的組件都有它的用處,所以在 卸載一個組件之前,你必須確認這個組件是你的網站程式不需要的,或者即使去掉也不關大體的。否則,你只能留著這個組件並在你的ASP程式本身上下工夫,防止別人進來,而不是防止別人進來後SHELL。
比如,FSO和XML是非常常用的組件之一,很多程式會用到他們。WSH組件會被一部分 主機管理程式用到,也有的打包程式也會用到。
卸載組件
最簡單的辦法是直接 卸載後刪除相應的 程式檔案。將下面的代碼保存為一個.BAT檔案,( 以下均以 WIN2000 為例,如果使用2003,則 系統資料夾應該是 C:\WINDOWS\ )regsvr32/u C:\WINNT\System32\ wshom.ocx
del C:\WINNT\System32\wshom.ocx
regsvr32/u C:\WINNT\system32\ shell32.dll
del C:\WINNT\system32\shell32.dll
然後運行一下,WScript.Shell, Shell.application, WScript.Network就會被 卸載了。可能會提示無法 刪除檔案,不用管它,重啟一下伺服器,你會發現這三個都提示“×安全”了。
改名不安全組件
需要注意的是組件的名稱和Clsid都要改,並且要改徹底了。下面以Shell.application為例來介紹方法。
打開 註冊表編輯器【開始→運行→regedit回車】,然後【編輯→查找→填寫Shell.application→查找下一個】,用這個方法能找到兩個 註冊表項:“”和“Shell.application”。為了確保萬無一失,把這兩個 註冊表項導出來,保存為 .reg 檔案。
比如我們想做這樣的更改
13709620-C279-11CE-A49E-444553540000 改名為 13709620-C279-11CE-A49E-444553540001
Shell.application 改名為 Shell.application_ajiang
那么,就把剛才導出的.reg檔案里的內容按上面的對應關係替換掉,然後把修改好的.reg檔案導入到註冊表中(雙擊即可),導入了改名後的 註冊表項之後,別忘記了刪除原有的那兩個項目。這裡需要注意一點,Clsid中只能是十個數字和ABCDEF六個字母。
下面是我修改後的代碼(兩個檔案我合到一起了):
Windows Registry Editor Version 5.00
[HKEY_CLASSES_ROOT\CLSID\]
@="Shell Automation Service"
[HKEY_CLASSES_ROOT\CLSID\\InProcServer32]
@="C:\\WINNT\\system32\\shell32.dll"
"ThreadingModel"="Apartment"
[HKEY_CLASSES_ROOT\CLSID\\ProgID]
@="Shell.Application_ajiang.1"
[HKEY_CLASSES_ROOT\CLSID\\TypeLib]
@=""
[HKEY_CLASSES_ROOT\CLSID\\Version]
@="1.1"
[HKEY_CLASSES_ROOT\CLSID\\VersionIndependentProgID]
@="Shell.Application_ajiang"
[HKEY_CLASSES_ROOT\Shell.Application_ajiang]
@="Shell Automation Service"
[HKEY_CLASSES_ROOT\Shell.Application_ajiang\CLSID]
@=""
[HKEY_CLASSES_ROOT\Shell.Application_ajiang\CurVer]
@="Shell.Application_ajiang.1"
你可以把這個保存為一個.reg檔案運行試一下,但是可別就此了事,因為萬一黑客也看了我的這篇文章,他會試驗我改出來的這個名字的。
防止列出
在阿江ASP 探針1.9中結合7i24的方法利用getobject("WINNT")獲得了 系統用戶和系統進程的列表,這個列表可能會被 黑客利用,我們應當隱藏起來,方法是:【開始→程式→管理工具→服務】,找到Workstation,停止它,禁用它。
防止 Serv-U許可權提升
其實,註銷了Shell組件之後,侵入者運行提升工具的可能性就很小了,但是prel等別的 腳本語言也有shell能力,為防萬一,還是設定一下為好。
用Ultraedit打開ServUDaemon.exe查找Ascii:LocalAdministrator,和#l@$ak#.lk;0@P,修改成等長度的其它 字元就可以了, ServUAdmin.exe也一樣處理。
另外注意設定Serv-U所在的資料夾的許可權,不要讓IIS匿名用戶有讀取的許可權,否則人家下走你修改過的檔案,照樣可以分析出你的 管理員名和密碼。
利用ASP漏洞攻擊的常見方法及防範
一般情況下, 黑客總是瞄準論壇等程式,因為這些程式都有上傳功能,他們很容易的就可以上傳ASP木馬,即使設定了許可權,木馬也可以控制當前站點的所有檔案了。另外,有了木馬就然後用木馬上傳提升工具來獲得更高的許可權,我們關閉shell組件的目的很大程度上就是為了防止攻擊者運行提升工具。
如果論壇 管理員關閉了上傳功能,則 黑客會想辦法獲得超管密碼,比如,如果你用動網論壇並且資料庫忘記了改名,人家就可以直接下載你的資料庫了,然後距離找到論壇管理員密碼就不遠了。
作為 管理員,我們首先要檢查我們的ASP程式,做好必要的設定,防止網站被 黑客進入。另外就是防止攻擊者使用一個被黑的網站來控制整個伺服器,因為如果你的伺服器上還為朋友開了站點,你可能無法確定你的朋友會把他上傳的論壇做好安全設定。這就用到了前面所說的那一大堆東西,做了那些許可權設定和防提升之後,黑客就算是進入了一個站點,也無法破壞這個網站以外的東西。
QUOTE:
c:\
administrators 全部
system 全部
iis_wpg 只有該資料夾
列出資料夾/讀數據
讀屬性
讀擴展屬性
讀取許可權
c:\inetpub\mailroot
administrators 全部
system 全部
service 全部
c:\inetpub\ftproot
everyone 唯讀和運行
c:\windows
administrators 全部
Creator owner
不是繼承的
只有子資料夾及檔案
完全
Power Users
修改,讀取和運行,列出資料夾目錄,讀取,寫入
system 全部
IIS_WPG 讀取和運行,列出資料夾目錄,讀取
Users 讀取和運行(此許可權最後調整完成後可以取消)
C:\WINDOWS\Microsoft.Net
administrators 全部
Creator owner
不是繼承的
只有子資料夾及檔案
完全
Power Users
修改,讀取和運行,列出資料夾目錄,讀取,寫入
system 全部
Users 讀取和運行,列出資料夾目錄,讀取
C:\WINDOWS\Microsoft.Net
administrators 全部
Creator owner
不是繼承的
只有子資料夾及檔案
完全
Power Users
修改,讀取和運行,列出資料夾目錄,讀取,寫入
system 全部
Users 讀取和運行,列出資料夾目錄,讀取
C:\WINDOWS\Microsoft.Net\temporary ASP.NET Files
administrators 全部
Creator owner
不是繼承的
只有子資料夾及檔案
完全
Power Users
修改,讀取和運行,列出資料夾目錄,讀取,寫入
system 全部
Users 全部
c:\Program Files
Everyone 只有該資料夾
不是繼承的
列出資料夾/讀數據
administrators 全部
iis_wpg 只有該資料夾
列出檔案/讀數據
讀屬性
讀擴展屬性
讀取許可權
c:\windows\temp
Administrator 全部許可權
System 全部許可權
users 全部許可權
c:\Program Files\Common Files
administrators 全部
Creator owner
不是繼承的
只有子資料夾及檔案
完全
Power Users
修改,讀取和運行,列出資料夾目錄,讀取,寫入
system 全部
TERMINAL SERVER Users(如果有這個用戶)
修改,讀取和運行,列出資料夾目錄,讀取,寫入
Users 讀取和運行,列出資料夾目錄,讀取
如果安裝了我們的 軟體:
c:\Program Files\LIWEIWENSOFT
Everyone 讀取和運行,列出資料夾目錄,讀取
administrators 全部
system 全部
IIS_WPG 讀取和運行,列出資料夾目錄,讀取
c:\Program Files\Dimac(如果有這個目錄)
Everyone 讀取和運行,列出資料夾目錄,讀取
administrators 全部
c:\Program Files\ComPlus Applications (如果有)
administrators 全部
c:\Program Files\GflSDK (如果有)
administrators 全部
Creator owner
不是繼承的
只有子資料夾及檔案
完全
Power Users
修改,讀取和運行,列出資料夾目錄,讀取,寫入
system 全部
TERMINAL SERVER Users
修改,讀取和運行,列出資料夾目錄,讀取,寫入
Users 讀取和運行,列出資料夾目錄,讀取
Everyone 讀取和運行,列出資料夾目錄,讀取
c:\Program Files\InstallShield Installation Information (如果有)
c:\Program Files\Internet Explorer (如果有)
c:\Program Files\NetMeeting (如果有)
administrators 全部
c:\Program Files\WindowsUpdate
Creator owner
不是繼承的
只有子資料夾及檔案
完全
administrators 全部
Power Users
修改,讀取和運行,列出資料夾目錄,讀取,寫入
system 全部
c:\Program Files\Microsoft SQL(如果SQL安裝在這個目錄)
administrators 全部
Service 全部
system 全部
c:\Main (如果主控端網站放在這個目錄)
administrators 全部
system 全部
IUSR_*,默認的Internet來賓帳戶(或專用的運行用戶)
讀取和運行
d:\ (如果用戶網站內容放置在這個分區中)
administrators 全部許可權
d:\FreeHost (如果此目錄用來放置用戶網站內容)
administrators 全部許可權
SERVICE 讀取與運行
system 讀取與運行(全部許可權,如果安裝了一流信息監控)
F:\ (如果此分區用來放置SQL2000用戶資料庫)
administrators 全部許可權
System 全部許可權
SQL2000的運行用
只有該資料夾
列出資料夾/讀數據
讀屬性
讀擴展屬性
讀取許可權
F:\SQLDATA (如果此目錄用來放置SQL2000用戶資料庫)
administrators 全部許可權
System 全部許可權
SQL2000的運行用戶全部許可權
從安全形度,我們建議 WebEasyMail(WinWebMail)安裝在獨立的盤中,例如E:
E:\(如果webeasymail安裝在這個盤中)
administrators 全部許可權
system 全部許可權
IUSR_*,默認的Internet來賓帳戶(或專用的運行用戶)
只有該資料夾
列出資料夾/讀數據
讀屬性
讀擴展屬性
讀取許可權
E:\ WebEasyMail (如果webeasymail安裝在這個目錄中)
administrators 全部
system 全部許可權
SERVICE 全部
IUSR_*,默認的Internet來賓帳戶 (或專用的運行用戶)
全部許可權
C:\php\uploadtemp
C:\php\sessiondata
everyone
全部
C:\php\
administrators 全部
system 全部許可權
SERVICE 全部
Users 唯讀和運行
c:\windows\php.ini
administrators 全部
system 全部許可權
SERVICE 全部
Users 唯讀和運行
