• 咨詢電話:023-88959644    24小時服務熱線:400-023-8809
    NEWS CENTER ·
    新聞動態
    關注中技互聯 關注前沿

    web服務器安全設置配置-超全攻略,超詳細~

    發表日期:2013-02-17    文章編輯:王希希    瀏覽次數:324    標簽:

    也許你一個網絡菜鳥,也許你剛接觸做網站,可能對服務器安全配置不了解,沒關系.
    請耐心加細心地查看以下的教程說明,按照以下的方法設置,可使服務器安全性提高一個檔次,COME ON!
    WindowsServer2003 + IIS6.0 + ASP + NET + PHP + PERL + MSSQL + MYSQL 最新服務器安全設置技術實例

    1、服務器安全設置之--硬盤權限篇

       這里著重談需要的權限,也就是最終文件夾或硬盤需要的權限,可以防御各種木馬入侵,提權攻擊,跨站攻擊等。本實例經過多次試驗,安全性能很好,服務器基本沒有被木馬威脅的擔憂了。

    硬盤或文件夾: C:\ D:\ E:\ F:\ 類推
     
    主要權限部分: 其他權限部分:
    Administrators
    完全控制
     

    如果安裝了其他運行環境,比如PHP等,則根據PHP的環境功能要求來設置硬盤權限,一般是安裝目錄加上users讀取運行權限就足夠了,比如c:\php的話,就在根目錄權限繼承的情況下加上users讀取運行權限,需要寫入數據的比如tmp文件夾,則把users的寫刪權限加上,運行權限不要,然后把虛擬主機用戶的讀權限拒絕即可。如果是mysql的話,用一個獨立用戶運行MYSQL會更安全,下面會有介紹。如果是winwebmail,則最好建立獨立的應用程序池和獨立IIS用戶,然后整個安裝目錄有users用戶的讀/運行/寫/權限,IIS用戶則相同,這個IIS用戶就只用在winwebmail的WEB訪問中,其他IIS站點切勿使用,安裝了winwebmail的服務器硬盤權限設置后面舉例
     
    該文件夾,子文件夾及文件
      <不是繼承的>
    CREATOR OWNER
    完全控制
     
    只有子文件夾及文件
     
    <不是繼承的>
    SYSTEM
    完全控制
     
    該文件夾,子文件夾及文件
     
    <不是繼承的>


    硬盤或文件夾: C:\Inetpub\
     
    主要權限部分: 其他權限部分:
    Administrators
    完全控制
     
     
    該文件夾,子文件夾及文件
      <繼承于c:\>
    CREATOR OWNER
    完全控制
     
    只有子文件夾及文件
     
    <繼承于c:\>
    SYSTEM
    完全控制
     
    該文件夾,子文件夾及文件
     
    <繼承于c:\>

    硬盤或文件夾: C:\Inetpub\AdminScripts
     
    主要權限部分: 其他權限部分:
    Administrators
    完全控制
     
     
    該文件夾,子文件夾及文件
      <不是繼承的>
    SYSTEM
    完全控制
     
    該文件夾,子文件夾及文件
     
    <不是繼承的>

    硬盤或文件夾: C:\Inetpub\wwwroot
     
    主要權限部分: 其他權限部分:
    Administrators
    完全控制
    IIS_WPG
    讀取運行/列出文件夾目錄/讀取
     
    該文件夾,子文件夾及文件
     
    該文件夾,子文件夾及文件
      <不是繼承的>
     
    <不是繼承的>
    SYSTEM
    完全控制
    Users
    讀取運行/列出文件夾目錄/讀取
     
    該文件夾,子文件夾及文件
     
    該文件夾,子文件夾及文件
     
    <不是繼承的>
     
    <不是繼承的>
    這里可以把虛擬主機用戶組加上
    同Internet 來賓帳戶一樣的權限
    拒絕權限
    Internet 來賓帳戶
    創建文件/寫入數據/:拒絕
    創建文件夾/附加數據/:拒絕
    寫入屬性/:拒絕
    寫入擴展屬性/:拒絕
    刪除子文件夾及文件/:拒絕
    刪除/:拒絕
     
    該文件夾,子文件夾及文件
     
    <不是繼承的>

    硬盤或文件夾: C:\Inetpub\wwwroot\aspnet_client
     
    主要權限部分: 其他權限部分:
    Administrators
    完全控制
    Users
    讀取
     
    該文件夾,子文件夾及文件
     
    該文件夾,子文件夾及文件
      <不是繼承的>
     
    <不是繼承的>
    SYSTEM
    完全控制  
     
    該文件夾,子文件夾及文件
     
    <不是繼承的>

    硬盤或文件夾: C:\Documents and Settings
     
    主要權限部分: 其他權限部分:
    Administrators
    完全控制
     
     
    該文件夾,子文件夾及文件
      <不是繼承的>
    SYSTEM
    完全控制
     
    該文件夾,子文件夾及文件
     
    <不是繼承的>

    硬盤或文件夾: C:\Documents and Settings\All Users
     
    主要權限部分: 其他權限部分:
    Administrators
    完全控制
    Users
    讀取和運行
     
    該文件夾,子文件夾及文件
     
    該文件夾,子文件夾及文件
      <不是繼承的>
     
    <不是繼承的>
    SYSTEM
    完全控制
    USERS組的權限僅僅限制于讀取和運行,
    絕對不能加上寫入權限
     
    該文件夾,子文件夾及文件
     
    <不是繼承的>

    硬盤或文件夾: C:\Documents and Settings\All Users\「開始」菜單
     
    主要權限部分: 其他權限部分:
    Administrators
    完全控制
     
    該文件夾,子文件夾及文件
      <不是繼承的>
    SYSTEM
    完全控制
     
    該文件夾,子文件夾及文件
     
    <不是繼承的>

    硬盤或文件夾: C:\Documents and Settings\All Users\Application Data
     
    主要權限部分: 其他權限部分:
    Administrators
    完全控制
    Users
    讀取和運行
     
    該文件夾,子文件夾及文件
     
    該文件夾,子文件夾及文件
      <不是繼承的>
     
    <不是繼承的>
    CREATOR OWNER
    完全控制
    Users
    寫入
     
    只有子文件夾及文件
     
    該文件夾,子文件夾
     
    <不是繼承的>
     
    <不是繼承的>
    SYSTEM
    完全控制
    兩個并列權限同用戶組需要分開列權限
      該文件夾,子文件夾及文件
      <不是繼承的>

    硬盤或文件夾: C:\Documents and Settings\All Users\Application Data\Microsoft
     
    主要權限部分: 其他權限部分:
    Administrators
    完全控制
    Users
    讀取和運行
     
    該文件夾,子文件夾及文件
     
    該文件夾,子文件夾及文件
      <不是繼承的>
     
    <不是繼承的>
    SYSTEM
    完全控制
    此文件夾包含 Microsoft 應用程序狀態數據
     
    該文件夾,子文件夾及文件
     
    <不是繼承的>

    硬盤或文件夾: C:\Documents and Settings\All Users\Application Data\Microsoft\Crypto\RSA\MachineKeys
     
    主要權限部分: 其他權限部分:
    Administrators
    完全控制
    Everyone

    列出文件夾、讀取屬性、讀取擴展屬性、創建文件、創建文件夾、寫入屬性、寫入擴展屬性、讀取權限

     
    只有該文件夾
     
    Everyone這里只有讀寫權限,不能加運行和刪除權限,僅限該文件夾
    只有該文件夾
      <不是繼承的> <不是繼承的>

    硬盤或文件夾: C:\Documents and Settings\All Users\Application Data\Microsoft\Crypto\DSS\MachineKeys
     
    主要權限部分: 其他權限部分:
    Administrators
    完全控制
    Everyone

    列出文件夾、讀取屬性、讀取擴展屬性、創建文件、創建文件夾、寫入屬性、寫入擴展屬性、讀取權限

     
    只有該文件夾
     
    Everyone這里只有讀寫權限,不能加運行和刪除權限,僅限該文件夾
    只有該文件夾
      <不是繼承的> <不是繼承的>

    硬盤或文件夾: C:\Documents and Settings\All Users\Application Data\Microsoft\HTML Help
     
    主要權限部分: 其他權限部分:
    Administrators
    完全控制
    Users
    讀取和運行
     
    該文件夾,子文件夾及文件
     
    該文件夾,子文件夾及文件
      <不是繼承的>
     
    <不是繼承的>
    SYSTEM
    完全控制
     
     
    該文件夾,子文件夾及文件
     
    <不是繼承的>

    硬盤或文件夾: C:\Documents and Settings\All Users\Application Data\Microsoft\Network\Connections\Cm
     
    主要權限部分: 其他權限部分:
    Administrators
    完全控制
    Everyone
    讀取和運行
     
    該文件夾,子文件夾及文件
     
    該文件夾,子文件夾及文件
      <不是繼承的>
     
    <不是繼承的>
    SYSTEM
    完全控制
    Everyone這里只有讀和運行權限
     
    該文件夾,子文件夾及文件
     
    <不是繼承的>

    硬盤或文件夾: C:\Documents and Settings\All Users\Application Data\Microsoft\Network\Downloader
     
    主要權限部分: 其他權限部分:
    Administrators
    完全控制
     
    該文件夾,子文件夾及文件
      <不是繼承的>
    SYSTEM
    完全控制
     
    該文件夾,子文件夾及文件
     
    <不是繼承的>

    硬盤或文件夾: C:\Documents and Settings\All Users\Application Data\Microsoft\Media Index
     
    主要權限部分: 其他權限部分:
    Administrators
    完全控制
    Users
    讀取和運行
     
    該文件夾,子文件夾及文件
     
    該文件夾,子文件夾及文件
      <不是繼承的>
     
    <繼承于上一級文件夾>
    SYSTEM
    完全控制
    Users
    創建文件/寫入數據
    創建文件夾/附加數據
    寫入屬性
    寫入擴展屬性
    讀取權限
     
    該文件夾,子文件夾及文件
     
    只有該文件夾
     
    <不是繼承的>
     
    <不是繼承的>
     
    Users
    創建文件/寫入數據
    創建文件夾/附加數據
    寫入屬性
    寫入擴展屬性
     
    只有該子文件夾和文件
     
    <不是繼承的>

    硬盤或文件夾: C:\Documents and Settings\All Users\DRM
     
    主要權限部分: 其他權限部分:
    這里需要把GUEST用戶組和IIS訪問用戶組全部禁止
    Everyone的權限比較特殊,默認安裝后已經帶了
    主要是要把IIS訪問的用戶組加上所有權限都禁止
    Users
    讀取和運行
     
    該文件夾,子文件夾及文件
     
    <不是繼承的>
    Guests
    拒絕所有
     
    該文件夾,子文件夾及文件
     
    <不是繼承的>
    Guest
    拒絕所有
     
    該文件夾,子文件夾及文件
     
    <不是繼承的>
    IUSR_XXX
    或某個虛擬主機用戶組
     
     
    拒絕所有
    該文件夾,子文件夾及文件
    <不是繼承的>

    硬盤或文件夾: C:\Documents and Settings\All Users\Documents (共享文檔)
     
    主要權限部分: 其他權限部分:
    Administrators
    完全控制
     
    該文件夾,子文件夾及文件
      <不是繼承的>
    CREATOR OWNER
    完全控制
     
    只有子文件夾及文件
     
    <不是繼承的>
    SYSTEM
    完全控制
      該文件夾,子文件夾及文件
      <不是繼承的>

    硬盤或文件夾: C:\Program Files
     
    主要權限部分: 其他權限部分:
    Administrators
    完全控制
    IIS_WPG
    讀取和運行
     
    該文件夾,子文件夾及文件
     
    該文件夾,子文件夾及文件
      <不是繼承的>
     
    <不是繼承的>
    CREATOR OWNER
    完全控制
    IUSR_XXX
    或某個虛擬主機用戶組
    列出文件夾/讀取數據 :拒絕
     
    只有子文件夾及文件 該文件夾,子文件夾及文件
     
    <不是繼承的> <不是繼承的>
    SYSTEM
    完全控制
    IIS虛擬主機用戶組禁止列目錄,可有效防止FSO類木馬
    如果安裝了aspjepg和aspupload
      該文件夾,子文件夾及文件
      <不是繼承的>

    硬盤或文件夾: C:\Program Files\Common Files
     
    主要權限部分: 其他權限部分:
    Administrators
    完全控制
    IIS_WPG
    讀取和運行
     
    該文件夾,子文件夾及文件
     
    該文件夾,子文件夾及文件
      <不是繼承的>
     
    <繼承于上級目錄>
    CREATOR OWNER
    完全控制
    Users
    讀取和運行
     
    只有子文件夾及文件 該文件夾,子文件夾及文件
     
    <不是繼承的> <不是繼承的>
    SYSTEM
    完全控制
    復合權限,為IIS提供快速安全的運行環境
      該文件夾,子文件夾及文件
      <不是繼承的>

    硬盤或文件夾: C:\Program Files\Common Files\Microsoft Shared\web server extensions
     
    主要權限部分: 其他權限部分:
    Administrators
    完全控制
     
    該文件夾,子文件夾及文件
      <不是繼承的>
    CREATOR OWNER
    完全控制
     
    只有子文件夾及文件
     
    <不是繼承的>
    SYSTEM
    完全控制
      該文件夾,子文件夾及文件
      <不是繼承的>

    硬盤或文件夾: C:\Program Files\Microsoft SQL Server\MSSQL (程序部分默認裝在C:盤)
     
    主要權限部分: 其他權限部分:
    Administrators
    完全控制
     
    該文件夾,子文件夾及文件
      <不是繼承的>

    硬盤或文件夾: E:\Program Files\Microsoft SQL Server (數據庫部分裝在E:盤的情況)
     
    主要權限部分: 其他權限部分:
    Administrators
    完全控制
     
    該文件夾,子文件夾及文件
      <不是繼承的>
    CREATOR OWNER
    完全控制
     
    只有子文件夾及文件
     
    <不是繼承的>
    SYSTEM
    完全控制
      該文件夾,子文件夾及文件
      <不是繼承的>

    硬盤或文件夾: E:\Program Files\Microsoft SQL Server\MSSQL (數據庫部分裝在E:盤的情況)
     
    主要權限部分: 其他權限部分:
    Administrators
    完全控制
     
    該文件夾,子文件夾及文件
      <不是繼承的>

    硬盤或文件夾: C:\Program Files\Internet Explorer\iexplore.exe
     
    主要權限部分: 其他權限部分:
    Administrators
    完全控制
     
    該文件夾,子文件夾及文件
      <不是繼承的>

    硬盤或文件夾: C:\Program Files\Outlook Express
     
    主要權限部分: 其他權限部分:
    Administrators
    完全控制
     
    該文件夾,子文件夾及文件
      <不是繼承的>
    CREATOR OWNER
    完全控制
     
    只有子文件夾及文件
     
    <不是繼承的>
    SYSTEM
    完全控制
      該文件夾,子文件夾及文件
      <不是繼承的>

    硬盤或文件夾: C:\Program Files\PowerEasy5 (如果裝了動易組件的話)
     
    主要權限部分: 其他權限部分:
    Administrators
    完全控制
     
    該文件夾,子文件夾及文件
      <不是繼承的>
    CREATOR OWNER
    完全控制
     
    只有子文件夾及文件
     
    <不是繼承的>
    SYSTEM
    完全控制
      該文件夾,子文件夾及文件
      <不是繼承的>

    硬盤或文件夾: C:\Program Files\Radmin (如果裝了Radmin遠程控制的話)
     
    主要權限部分: 其他權限部分:
    Administrators
    完全控制

    對應的c:\windows\system32里面有兩個文件
    r_server.exe和AdmDll.dll
    要把Users讀取運行權限去掉
    默認權限只要administrators和system全部權限
     
    該文件夾,子文件夾及文件
      <不是繼承的>
    CREATOR OWNER
    完全控制
     
    只有子文件夾及文件
     
    <不是繼承的>
    SYSTEM
    完全控制
      該文件夾,子文件夾及文件
      <不是繼承的>

    硬盤或文件夾: C:\Program Files\Serv-U (如果裝了Serv-U服務器的話)
     
    主要權限部分: 其他權限部分:
    Administrators
    完全控制

    這里常是提權入侵的一個比較大的漏洞點
    一定要按這個方法設置
    目錄名字根據Serv-U版本也可能是

    C:\Program Files\RhinoSoft.com\Serv-U
     
     
    該文件夾,子文件夾及文件
      <不是繼承的>
    CREATOR OWNER
    完全控制
     
    只有子文件夾及文件
     
    <不是繼承的>
    SYSTEM
    完全控制
     <, /TD> 該文件夾,子文件夾及文件
      <不是繼承的>

    硬盤或文件夾: C:\Program Files\Windows Media Player
     
    主要權限部分: 其他權限部分:
    Administrators
    完全控制

     
     
    該文件夾,子文件夾及文件
      <不是繼承的>
    CREATOR OWNER
    完全控制
     
    只有子文件夾及文件
     
    <不是繼承的>
    SYSTEM
    完全控制
      該文件夾,子文件夾及文件
      <不是繼承的>

    硬盤或文件夾: C:\Program Files\Windows NT\Accessories
     
    主要權限部分: 其他權限部分:
    Administrators
    完全控制

     
     
    該文件夾,子文件夾及文件
      <不是繼承的>
    CREATOR OWNER
    完全控制
     
    只有子文件夾及文件
     
    <不是繼承的>
    SYSTEM
    完全控制
      該文件夾,子文件夾及文件
      <不是繼承的>

    硬盤或文件夾: C:\Program Files\WindowsUpdate
     
    主要權限部分: 其他權限部分:
    Administrators
    完全控制

     
     
    該文件夾,子文件夾及文件
      <不是繼承的>
    CREATOR OWNER
    完全控制
     
    只有子文件夾及文件
     
    <不是繼承的>
    SYSTEM
    完全控制
      該文件夾,子文件夾及文件
      <不是繼承的>

    硬盤或文件夾: C:\WINDOWS
     
    主要權限部分: 其他權限部分:
    Administrators
    完全控制
    Users
    讀取和運行
     
    該文件夾,子文件夾及文件
     
    該文件夾,子文件夾及文件
      <不是繼承的>
     
    <不是繼承的>
    CREATOR OWNER
    完全控制    
     
    只有子文件夾及文件  
     
    <不是繼承的>  
    SYSTEM
    完全控制
     
      該文件夾,子文件夾及文件
      <不是繼承的>

    硬盤或文件夾: C:\WINDOWS\repair
     
    主要權限部分: 其他權限部分:
    Administrators
    完全控制
    IUSR_XXX
    或某個虛擬主機用戶組
     
    列出文件夾/讀取數據 :拒絕
     
    該文件夾,子文件夾及文件 該文件夾,子文件夾及文件
      <不是繼承的> <不是繼承的>
    CREATOR OWNER
    完全控制
     
     
    虛擬主機用戶訪問組拒絕讀取,有助于保護系統數據
    這里保護的是系統級數據SAM
     
    只有子文件夾及文件
     
    <不是繼承的>
    SYSTEM
    完全控制
      該文件夾,子文件夾及文件
      <不是繼承的>

    硬盤或文件夾: C:\WINDOWS\system32
     
    主要權限部分: 其他權限部分:
    Administrators
    完全控制
    Users
    讀取和運行
     
    該文件夾,子文件夾及文件
     
    該文件夾,子文件夾及文件
      <不是繼承的>
     
    <不是繼承的>
    CREATOR OWNER
    完全控制
    IUSR_XXX
    或某個虛擬主機用戶組
     
     
    列出文件夾/讀取數據 :拒絕
     
    只有子文件夾及文件 該文件夾,子文件夾及文件
     
    <不是繼承的> <不是繼承的>
    SYSTEM
    完全控制
    虛擬主機用戶訪問組拒絕讀取,有助于保護系統數據
      該文件夾,子文件夾及文件
      <不是繼承的>

    硬盤或文件夾: C:\WINDOWS\system32\config
     
    主要權限部分: 其他權限部分:
    Administrators
    完全控制
    Users
    讀取和運行
     
    該文件夾,子文件夾及文件
     
    該文件夾,子文件夾及文件
      <不是繼承的>
     
    <不是繼承的>
    CREATOR OWNER
    完全控制
    IUSR_XXX
    或某個虛擬主機用戶組
     
     
    列出文件夾/讀取數據 :拒絕
     
    只有子文件夾及文件 該文件夾,子文件夾及文件
     
    <不是繼承的> <繼承于上一級目錄>
    SYSTEM
    完全控制
    虛擬主機用戶訪問組拒絕讀取,有助于保護系統數據
      該文件夾,子文件夾及文件
      <不是繼承的>

    硬盤或文件夾: C:\WINDOWS\system32\inetsrv\
     
    主要權限部分: 其他權限部分:
    Administrators
    完全控制
    Users
    讀取和運行
     
    該文件夾,子文件夾及文件
     
    該文件夾,子文件夾及文件
      <不是繼承的>
     
    <不是繼承的>
    CREATOR OWNER
    完全控制
    IUSR_XXX
    或某個虛擬主機用戶組
     
     
    列出文件夾/讀取數據 :拒絕
     
    只有子文件夾及文件 只有該文件夾
     
    <不是繼承的> <繼承于上一級目錄>
    SYSTEM
    完全控制
    虛擬主機用戶訪問組拒絕讀取,有助于保護系統數據
      該文件夾,子文件夾及文件
      <不是繼承的>

    硬盤或文件夾: C:\WINDOWS\system32\inetsrv\ASP Compiled Templates
     
    主要權限部分: 其他權限部分:
    Administrators
    完全控制
    IIS_WPG
    完全控制
     
    該文件夾,子文件夾及文件   該文件夾,子文件夾及文件
      <不是繼承的>   <不是繼承的>
     
    IUSR_XXX
    或某個虛擬主機用戶組
     
     
    列出文件夾/讀取數據 :拒絕
    該文件夾,子文件夾及文件
    <繼承于上一級目錄>
    虛擬主機用戶訪問組拒絕讀取,有助于保護系統數據

    硬盤或文件夾: C:\WINDOWS\system32\inetsrv\iisadmpwd
     
    主要權限部分: 其他權限部分:
    Administrators
    完全控制
     
    該文件夾,子文件夾及文件
      <不是繼承的>
    CREATOR OWNER
    完全控制
     
    只有子文件夾及文件
     
    <不是繼承的>
    SYSTEM
    完全控制
      該文件夾,子文件夾及文件
      <不是繼承的>

    硬盤或文件夾: C:\WINDOWS\system32\inetsrv\MetaBack
     
    主要權限部分: 其他權限部分:
    Administrators
    完全控制
    Users
    讀取和運行
     
    該文件夾,子文件夾及文件
     
    該文件夾,子文件夾及文件
      <不是繼承的>
     
    <不是繼承的>
    CREATOR OWNER
    完全控制
    IUSR_XXX
    或某個虛擬主機用戶組
     
     
    列出文件夾/讀取數據 :拒絕
     
    只有子文件夾及文件 該文件夾,子文件夾及文件
     
    <不是繼承的> <繼承于上一級目錄>
    SYSTEM
    完全控制
    虛擬主機用戶訪問組拒絕讀取,有助于保護系統數據
      該文件夾,子文件夾及文件
      <不是繼承的>

    Winwebmail 電子郵局安裝后權限舉例:目錄E:\
     
    主要權限部分: 其他權限部分:
    Administrators
    完全控制
    IUSR_XXXXXX
    這個用戶是WINWEBMAIL訪問WEB站點專用帳戶
     
     
    讀取和運行
     
    該文件夾,子文件夾及文件 該文件夾,子文件夾及文件
      <不是繼承的> <不是繼承的>
    CREATOR OWNER
    完全控制
     
     
    只有子文件夾及文件
     
    <不是繼承的>
    SYSTEM
    完全控制
      該文件夾,子文件夾及文件
      <不是繼承的>

    Winwebmail 電子郵局安裝后權限舉例:目錄E:\WinWebMail
     
    主要權限部分: 其他權限部分:
    Administrators
    完全控制
     
    IUSR_XXXXXX
    WINWEBMAIL訪問WEB站點專用帳戶
     
    讀取和運行
     
    該文件夾,子文件夾及文件 該文件夾,子文件夾及文件
      <繼承于E:\> <繼承于E:\>
    CREATOR OWNER
    完全控制
    Users
     
     
    修改/讀取運行/列出文件目錄/讀取/寫入
     
    只有子文件夾及文件 該文件夾,子文件夾及文件
     
    <繼承于E:\> <不是繼承的>
    SYSTEM
    完全控制
    IUSR_XXXXXX
    WINWEBMAIL訪問WEB站點專用帳戶
     
     
    修改/讀取運行/列出文件目錄/讀取/寫入
      該文件夾,子文件夾及文件 該文件夾,子文件夾及文件
      <繼承于E:\> <不是繼承的>
    IUSR_XXXXXXIWAM_XXXXXX
    是winwebmail專用的IIS用戶和應用程序池用戶
    單獨使用,安全性能高
    IWAM_XXXXXX
    WINWEBMAIL應用程序池專用帳戶
     
     
    修改/讀取運行/列出文件目錄/讀取/寫入
    該文件夾,子文件夾及文件
    <不是繼承的>

    如果有問題請聯系QQ: 473413

     


     

    2、服務器安全設置之--系統服務篇(設置完畢需要重新啟動)

       *除非特殊情況非開不可,下列系統服務要■停止并禁用■:

     
    Alerter
    服務名稱:
    Alerter
    顯示名稱:
    Alerter
    服務描述:
    通知選定的用戶和計算機管理警報。如果服務停止,使用管理警報的程序將不會收到它們。如果此服務被禁用,任何直接依賴它的服務都將不能啟動。
    可執行文件路徑:
    E:\WINDOWS\system32\svchost.exe -k LocalService
    其他補充:
     
     
    Application Layer Gateway Service
    服務名稱:
    ALG
    顯示名稱:
    Application Layer Gateway Service
    服務描述:
    為應用程序級協議插件提供支持并啟用網絡/協議連接。如果此服務被禁用,任何依賴它的服務將無法啟動。
    可執行文件路徑:
    E:\WINDOWS\System32\alg.exe
    其他補充:
     
     
    Background Intelligent Transfer Service
    服務名稱:
    BITS
    顯示名稱:
    Background Intelligent Transfer Service
    服務描述:
    服務描述:利用空閑的網絡帶寬在后臺傳輸文件。如果服務被停用,例如 Windows Update 和 MSN Explorer 的功能將無法自動下載程序和其他信息。如果此服務被禁用,任何依賴它的服務如果沒有容錯技術以直接通過 IE 傳輸文件,一旦 BITS 被禁用,就可能無法傳輸文件。
    可執行文件路徑:
    E:\WINDOWS\system32\svchost.exe -k netsvcs
    其他補充:
     
     
    Computer Browser
    服務名稱:
    服務名稱:Browser
    顯示名稱:
    顯示名稱:Computer Browser
    服務描述:
    服務描述:維護網絡上計算機的更新列表,并將列表提供給計算機指定瀏覽。如果服務停止,列表不會被更新或維護。如果服務被禁用,任何直接依賴于此服務的服務將無法啟動。
    可執行文件路徑:
    可執行文件路徑: E:\WINDOWS\system32\svchost.exe -k netsvcs
    其他補充:
     
     
    Distributed File System
    服務名稱:
    Dfs
    顯示名稱:
    Distributed File System
    服務描述:
    將分散的文件共享合并成一個邏輯名稱空間并在局域網或廣域網上管理這些邏輯卷。如果這個服務被停止,用戶則無法訪問文件共享。如果這個服務被禁用,任何依賴它的服務將無法啟動。
    可執行文件路徑:
    E:\WINDOWS\system32\Dfssvc.exe
    其他補充:
     
     
    Help and Support
    服務名稱:
    helpsvc
    顯示名稱:
    Help and Support
    服務描述:
    啟用在此計算機上運行幫助和支持中心。如果停止服務,幫助和支持中心將不可用。如果禁用服務,任何直接依賴于此服務的服務將無法啟動。
    可執行文件路徑:
    E:\WINDOWS\System32\svchost.exe -k netsvcs
    其他補充:
     
     
    Messenger
    服務名稱:
    Messenger
    顯示名稱:
    Messenger
    服務描述:
    傳輸客戶端和服務器之間的 NET SEND 和 警報器服務消息。此服務與 Windows Messenger 無關。如果服務停止,警報器消息不會被傳輸。如果服務被禁用,任何直接依賴于此服務的服務將無法啟動。
    可執行文件路徑:
    E:\WINDOWS\system32\svchost.exe -k netsvcs
    其他補充:
     
     
    NetMeeting Remote Desktop Sharing
    服務名稱:
    mnmsrvc
    顯示名稱:
    NetMeeting Remote Desktop Sharing
    服務描述:
    允許經過授權的用戶用 NetMeeting 在公司 intranet 上遠程訪問這臺計算機。如果服務被停止,遠程桌面共享將不可用。如果服務被禁用,依賴這個服務的任何服務都會無法啟動。
    可執行文件路徑:
    E:\WINDOWS\system32\mnmsrvc.exe
    其他補充:
     
     
    Print Spooler
    服務名稱:
    Spooler
    顯示名稱:
    Print Spooler
    服務描述:
    管理所有本地和網絡打印隊列及控制所有打印工作。如果此服務被停用,本地計算機上的打印將不可用。如果此服務被禁用,任何依賴于它的服務將無法啟用。
    可執行文件路徑:
    E:\WINDOWS\system32\spoolsv.exe
    其他補充:
     
     
    Remote Registry
    服務名稱:
    RemoteRegistry
    顯示名稱:
    Remote Registry
    服務描述:
    使遠程用戶能修改此計算機上的注冊表設置。如果此服務被終止,只有此計算機上的用戶才能修改注冊表。如果此服務被禁用,任何依賴它的服務將無法啟動。
    可執行文件路徑:
    E:\WINDOWS\system32\svchost.exe -k regsvc
    其他補充:
     
     
    Task Scheduler
    服務名稱:
    Schedule
    顯示名稱:
    Task Scheduler
    服務描述:
    使用戶能在此計算機上配置和計劃自動任務。如果此服務被終止,這些任務將無法在計劃時間里運行。如果此服務被禁用,任何依賴它的服務將無法啟動。
    可執行文件路徑:
    E:\WINDOWS\System32\svchost.exe -k netsvcs
    其他補充:
     
     
    TCP/IP NetBIOS Helper
    服務名稱:
    LmHosts
    顯示名稱:
    TCP/IP NetBIOS Helper
    服務描述:
    提供 TCP/IP (NetBT) 服務上的 NetBIOS 和網絡上客戶端的 NetBIOS 名稱解析的支持,從而使用戶能夠共享文件、打印和登錄到網絡。如果此服務被停用,這些功能可能不可用。如果此服務被禁用,任何依賴它的服務將無法啟動。
    可執行文件路徑:
    E:\WINDOWS\system32\svchost.exe -k LocalService
    其他補充:
     
     
    Telnet
    服務名稱:
    TlntSvr
    顯示名稱:
    Telnet
    服務描述:
    允許遠程用戶登錄到此計算機并運行程序,并支持多種 TCP/IP Telnet 客戶端,包括基于 UNIX 和 Windows 的計算機。如果此服務停止,遠程用戶就不能訪問程序,任何直接依賴于它的服務將會啟動失敗。
    可執行文件路徑:
    E:\WINDOWS\system32\tlntsvr.exe
    其他補充:
     
     
    Workstation
    服務名稱:
    lanmanworkstation
    顯示名稱:
    Workstation
    服務描述:
    創建和維護到遠程服務的客戶端網絡連接。如果服務停止,這些連接將不可用。如果服務被禁用,任何直接依賴于此服務的服務將無法啟動。
    可執行文件路徑:
    E:\WINDOWS\system32\svchost.exe -k netsvcs
    其他補充:
     

        以上是windows2003server標準服務當中需要停止的服務,作為IIS網絡服務器,以上服務務必要停止,如果需要SSL證書服務,則設置方法不同,如果有問題請聯系QQ: 473413


    3、服務器安全設置之--組件安全設置篇 (非常重要?。?!)

    A、卸載WScript.Shell Shell.application 組件,將下面的代碼保存為一個.BAT文件執行(分2000和2003系統)
    windows2000.bat
    windows2003.bat
    B、改名不安全組件,需要注意的是組件的名稱和Clsid都要改,并且要改徹底了,不要照抄,要自己改
     
    【開始→運行→regedit→回車】打開注冊表編輯器

    然后【編輯→查找→填寫Shell.application→查找下一個】

    用這個方法能找到兩個注冊表項:

    {13709620-C279-11CE-A49E-444553540000}Shell.application 。

    第一步:為了確保萬無一失,把這兩個注冊表項導出來,保存為xxxx.reg 文件。

    第二步:比如我們想做這樣的更改

    13709620-C279-11CE-A49E-444553540000 改名為 13709620-C279-11CE-A49E-444553540001

    Shell.application 改名為 Shell.application_nohack

    第三步:那么,就把剛才導出的.reg文件里的內容按上面的對應關系替換掉,然后把修改好的.reg文件導入到注冊表中(雙擊即可),導入了改名后的注冊表項之后,別忘記了刪除原有的那兩個項目。這里需要注意一點,Clsid中只能是十個數字和ABCDEF六個字母。

    其實,只要把對應注冊表項導出來備份,然后直接改鍵名就可以了,
    改好的例子
    建議自己改
    應該可一次成功
    老杜評論:
    WScript.ShellShell.application 組件是 腳本入侵過程中,提升權限的重要環節,這兩個組件的卸載和修改對應注冊鍵名,可以很大程度的提高虛擬主機的腳本安全性能,一般來說,ASP和php類腳本提升權限的功能是無法實現了,再加上一些系統服務、硬盤訪問權限、端口過濾、本地安全策略的設置,虛擬主機因該說,安全性能有非常大的提高,黑客入侵的可能性是非常低了。注銷了Shell組件之后,侵入者運行提升工具的可能性就很小了,但是prel等別的腳本語言也有shell能力,為防萬一,還是設置一下為好。下面是另外一種設置,大同小異。
      一、禁止使用FileSystemObject組件

      FileSystemObject可以對文件進行常規操作,可以通過修改注冊表,將此組件改名,來防止此類木馬的危害。

      HKEY_CLASSES_ROOT\Scripting.FileSystemObject\

      改名為其它的名字,如:改為 FileSystemObject_ChangeName

      自己以后調用的時候使用這個就可以正常調用此組件了

      也要將clsid值也改一下

      HKEY_CLASSES_ROOT\Scripting.FileSystemObject\CLSID\項目的值

      也可以將其刪除,來防止此類木馬的危害。

      2000注銷此組件命令:RegSrv32 /u C:\WINNT\SYSTEM\scrrun.dll

      2003注銷此組件命令:RegSrv32 /u C:\WINDOWS\SYSTEM\scrrun.dll

      如何禁止Guest用戶使用scrrun.dll來防止調用此組件?

      使用這個命令:cacls C:\WINNT\system32\scrrun.dll /e /d guests

      二、禁止使用WScript.Shell組件

      WScript.Shell可以調用系統內核運行DOS基本命令

      可以通過修改注冊表,將此組件改名,來防止此類木馬的危害。

      HKEY_CLASSES_ROOT\WScript.Shell\及HKEY_CLASSES_ROOT\WScript.Shell.1\

      改名為其它的名字,如:改為WScript.Shell_ChangeName WScript.Shell.1_ChangeName

      自己以后調用的時候使用這個就可以正常調用此組件了

      也要將clsid值也改一下

      HKEY_CLASSES_ROOT\WScript.Shell\CLSID\項目的值

      HKEY_CLASSES_ROOT\WScript.Shell.1\CLSID\項目的值

      也可以將其刪除,來防止此類木馬的危害。

      三、禁止使用Shell.Application組件

      Shell.Application可以調用系統內核運行DOS基本命令

      可以通過修改注冊表,將此組件改名,來防止此類木馬的危害。

      HKEY_CLASSES_ROOT\Shell.Application\

      及

      HKEY_CLASSES_ROOT\Shell.Application.1\


      改名為其它的名字,如:改為Shell.Application_ChangeName Shell.Application.1_ChangeName

      自己以后調用的時候使用這個就可以正常調用此組件了

      也要將clsid值也改一下

      HKEY_CLASSES_ROOT\Shell.Application\CLSID\項目的值

      HKEY_CLASSES_ROOT\Shell.Application\CLSID\項目的值

      也可以將其刪除,來防止此類木馬的危害。

      禁止Guest用戶使用shell32.dll來防止調用此組件。

      2000使用命令:cacls C:\WINNT\system32\shell32.dll /e /d guests
      2003使用命令:cacls C:\WINDOWS\system32\shell32.dll /e /d guests

      注:操作均需要重新啟動WEB服務后才會生效。

      四、調用Cmd.exe

      禁用Guests組用戶調用cmd.exe

      2000使用命令:cacls C:\WINNT\system32\Cmd.exe /e /d guests
      2003使用命令:cacls C:\WINDOWS\system32\Cmd.exe /e /d guests

      通過以上四步的設置基本可以防范目前比較流行的幾種木馬,但最有效的辦法還是通過綜合安全設置,將服務器、程序安全都達到一定標準,才可能將安全等級設置較高,防范更多非法入侵。

     

    C、防止Serv-U權限提升 (適用于 Serv-U6.0 以前版本,之后可以直接設置密碼)
     

    先停掉Serv-U服務

    Ultraedit打開ServUDaemon.exe

    查找 Ascii:LocalAdministrator#l@$ak#.lk;0@P

    修改成等長度的其它字符就可以了,ServUAdmin.exe也一樣處理。

    另外注意設置Serv-U所在的文件夾的權限,不要讓IIS匿名用戶有讀取的權限,否則人家下走你修改過的文件,照樣可以分析出你的管理員名和密碼。

    http://www.ajiang.net/products/aspcheck/ (可以測試組件安全性)

    如果有問題請聯系QQ: 473413

    4、服務器安全設置之--IIS用戶設置方法

    IIS安全訪問的例子

    IIS基本設置  
       
       
    主機頭
    主機腳本
    硬盤目錄
    IIS用戶名
    硬盤權限
    應用程序池
    主目錄
    應用程序配置
    www.1.com
    HTM
    D:\www.1.com\
    IUSR_1.com
    Administrators(完全控制)
    IUSR_1.com(讀)
     
    可共用
    讀取/純腳本
    啟用父路徑
    www.2.com
    ASP
    D:\www.2.com\
    IUSR_1.com
    Administrators(完全控制)
    IUSR_2.com(讀/寫)
    可共用
    讀取/純腳本
    啟用父路徑
    www.3.com
    NET
    D:\www.3.com\
    IUSR_1.com
    Administrators(完全控制)
    IWAM_3.com(讀/寫)
    IUSR_3.com(讀/寫)
    獨立池
    讀取/純腳本
    啟用父路徑
    www.4.com
    PHP
    D:\www.4.com\
    IUSR_1.com
    Administrators(完全控制)
    IWAM_4.com(讀/寫)
    IUSR_4.com(讀/寫)
    獨立池
    讀取/純腳本
    啟用父路徑
    其中 IWAM_3.comIWAM_4.com 分別是各自獨立應用程序池標識中的啟動帳戶

    主機腳本類型
    應用程序擴展名 (就是文件后綴名)對應主機腳本,只需要加載以下的應用程序擴展
    HTM
    STM | SHTM | SHTML | MDB
    ASP
    ASP | ASA | MDB
    NET
    ASPX | ASAX | ASCX| ASHX | ASMX | AXD | VSDISCO | REM | SOAP | CONFIG |
    CS |CSPROJ | VB | VBPROJ | WEBINFO | LICX | RESX | RESOURCES | MDB
    PHP
    PHP | PHP3 | PHP4

    MDB是共用映射,下面用紅色表示

    應用程序擴展
    映射文件 執行動作
    STM=.stm
    C:\WINDOWS\system32\inetsrv\ssinc.dll GET,POST
    SHTM=.shtm
    C:\WINDOWS\system32\inetsrv\ssinc.dll GET,POST
    SHTML=.shtml
    C:\WINDOWS\system32\inetsrv\ssinc.dll GET,POST
    ASP=.asp
    C:\WINDOWS\system32\inetsrv\asp.dll GET,HEAD,POST,TRACE
    ASA=.asa
    C:\WINDOWS\system32\inetsrv\asp.dll GET,HEAD,POST,TRACE
    ASPX=.aspx
    C:\WINDOWS\Microsoft.NET\Framework\v1.1.4322\aspnet_isapi.dll GET,HEAD,POST,DEBUG
    ASAX=.asax
    C:\WINDOWS\Microsoft.NET\Framework\v1.1.4322\aspnet_isapi.dll GET,HEAD,POST,DEBUG
    ASCX=.ascx
    C:\WINDOWS\Microsoft.NET\Framework\v1.1.4322\aspnet_isapi.dll GET,HEAD,POST,DEBUG
    ASHX=.ashx
    C:\WINDOWS\Microsoft.NET\Framework\v1.1.4322\aspnet_isapi.dll GET,HEAD,POST,DEBUG
    ASMX=.asmx
    C:\WINDOWS\Microsoft.NET\Framework\v1.1.4322\aspnet_isapi.dll GET,HEAD,POST,DEBUG
    AXD=.axd
    C:\WINDOWS\Microsoft.NET\Framework\v1.1.4322\aspnet_isapi.dll GET,HEAD,POST,DEBUG
    VSDISCO=.vsdisco
    C:\WINDOWS\Microsoft.NET\Framework\v1.1.4322\aspnet_isapi.dll GET,HEAD,POST,DEBUG
    REM=.rem
    C:\WINDOWS\Microsoft.NET\Framework\v1.1.4322\aspnet_isapi.dll GET,HEAD,POST,DEBUG
    SOAP=.soap
    C:\WINDOWS\Microsoft.NET\Framework\v1.1.4322\aspnet_isapi.dll GET,HEAD,POST,DEBUG
    CONFIG=.config
    C:\WINDOWS\Microsoft.NET\Framework\v1.1.4322\aspnet_isapi.dll GET,HEAD,POST,DEBUG
    CS=.cs
    C:\WINDOWS\Microsoft.NET\Framework\v1.1.4322\aspnet_isapi.dll GET,HEAD,POST,DEBUG
    CSPROJ=.csproj
    C:\WINDOWS\Microsoft.NET\Framework\v1.1.4322\aspnet_isapi.dll GET,HEAD,POST,DEBUG
    VB=.vb
    C:\WINDOWS\Microsoft.NET\Framework\v1.1.4322\aspnet_isapi.dll GET,HEAD,POST,DEBUG
    VBPROJ=.vbproj
    C:\WINDOWS\Microsoft.NET\Framework\v1.1.4322\aspnet_isapi.dll GET,HEAD,POST,DEBUG
    WEBINFO=.webinfo
    C:\WINDOWS\Microsoft.NET\Framework\v1.1.4322\aspnet_isapi.dll GET,HEAD,POST,DEBUG
    LICX=.licx
    C:\WINDOWS\Microsoft.NET\Framework\v1.1.4322\aspnet_isapi.dll GET,HEAD,POST,DEBUG
    RESX=.resx
    C:\WINDOWS\Microsoft.NET\Framework\v1.1.4322\aspnet_isapi.dll GET,HEAD,POST,DEBUG
    RESOURCES=.resources
    C:\WINDOWS\Microsoft.NET\Framework\v1.1.4322\aspnet_isapi.dll GET,HEAD,POST,DEBUG
    PHP=.php
    C:\php5\php5isapi.dll GET,HEAD,POST
    PHP3=.php3
    C:\php5\php5isapi.dll GET,HEAD,POST
    PHP4=.php4
    C:\php5\php5isapi.dll GET,HEAD,POST
    MDB=.mdb
    C:\WINDOWS\system32\inetsrv\ssinc.dll GET,POST

    ASP.NET 進程帳戶所需的 NTFS 權限

    目錄 所需權限

    Temporary ASP.NET Files%windir%\Microsoft.NET\Framework\{版本}Temporary ASP.NET Files

    進程帳戶和模擬標識:
    完全控制

    臨時目錄 (%temp%)

    進程帳戶
    完全控制

    .NET Framework 目錄%windir%\Microsoft.NET\Framework\{版本}

    進程帳戶和模擬標識:
    讀取和執行
    列出文件夾內容
    讀取

    .NET Framework 配置目錄%windir%\Microsoft.NET\Framework\{版本}\CONFIG

    進程帳戶和模擬標識:
    讀取和執行
    列出文件夾內容
    讀取

    網站根目錄
    C:\inetpub\wwwroot
    或默認網站指向的路徑

    進程帳戶:
    讀取

    系統根目錄
    %windir%\system32

    進程帳戶:
    讀取

    全局程序集高速緩存
    %windir%\assembly

    進程帳戶和模擬標識:
    讀取

    內容目錄
    C:\inetpub\wwwroot\YourWebApp
    (一般來說不用默認目錄,管理員可根據實際情況調整比如D:\wwwroot)

    進程帳戶:
    讀取和執行
    列出文件夾內容
    讀取
    注意 對于 .NET Framework 1.0,直到文件系統根目錄的所有父目錄也都需要上述權限。父目錄包括:
    C:\
    C:\inetpub\
    C:\inetpub\wwwroot\

    如果有問題請聯系QQ: 473413


    5、 服務器安全設置之--服務器安全和性能配置
    把下面文本保存為: windows2000-2003服務器安全和性能注冊表自動配置文件.reg 運行即可。
    功能:可抵御DDOS攻擊2-3萬包,提高服務器TCP-IP整體安全性能(效果等于軟件防火墻,節約了系統資源)

    6、服務器安全設置之--IP安全策略 (僅僅列出需要屏蔽或阻止的端口或協議)

    協議
    IP協議端口
    源地址
    目標地址
    描述
    方式
    ICMP -- -- --
    ICMP
    阻止
    UDP
    135
    任何IP地址
    我的IP地址
    135-UDP
    阻止
    UDP
    136
    任何IP地址
    我的IP地址
    136-UDP
    阻止
    UDP
    137
    任何IP地址
    我的IP地址
    137-UDP
    阻止
    UDP
    138
    任何IP地址
    我的IP地址
    138-UDP
    阻止
    UDP
    139
    任何IP地址
    我的IP地址
    139-UDP
    阻止
    TCP
    445
    任何IP地址-從任意端口
    我的IP地址-445
    445-TCP
    阻止
    UDP
    445
    任何IP地址-從任意端口
    我的IP地址-445
    445-UDP
    阻止
    UDP 69 任何IP地址-從任意端口 我的IP地址-69
    69-入
    阻止
    UDP 69 我的IP地址-69 任何IP地址-任意端口 69-出
    阻止
    TCP 4444 任何IP地址-從任意端口 我的IP地址-4444 4444-TCP
    阻止
    TCP 1026 我的IP地址-1026 任何IP地址-任意端口 灰鴿子-1026
    阻止
    TCP 1027 我的IP地址-1027 任何IP地址-任意端口 灰鴿子-1027
    阻止
    TCP 1028 我的IP地址-1028 任何IP地址-任意端口 灰鴿子-1028
    阻止
    UDP
    1026 我的IP地址-1026 任何IP地址-任意端口 灰鴿子-1026
    阻止
    UDP 1027 我的IP地址-1027 任何IP地址-任意端口 灰鴿子-1027
    阻止
    UDP 1028 我的IP地址-1028 任何IP地址-任意端口 灰鴿子-1028
    阻止
    TCP 21 我的IP地址-從任意端口 任何IP地址-到21端口 阻止tftp出站
    阻止
    TCP 99 我的IP地址-99 任何IP地址-任意端口 阻止99shell
    阻止

    以上是IP安全策略里的設置,可以根據實際情況,增加或刪除端口,如果不會設置,可以加我QQ,有償協助。
     


    7、服務器安全設置之--本地安全策略設置

    安全策略自動更新命令:GPUpdate /force (應用組策略自動生效不需重新啟動)


       開始菜單—>管理工具—>本地安全策略

       A、本地策略——>審核策略

      
    審核策略更改   成功 失敗  
       審核登錄事件   成功 失敗
       審核對象訪問      失敗
       審核過程跟蹤   無審核
       審核目錄服務訪問    失敗
       審核特權使用      失敗
       審核系統事件   成功 失敗
       審核賬戶登錄事件 成功 失敗
       審核賬戶管理   成功 失敗

      B、本地策略——>用戶權限分配

       關閉系統:只有Administrators組、其它全部刪除。
       通過終端服務拒絕登陸:加入Guests、(千萬不能加入User組,不然遠程無法登錄)
       通過終端服務允許登陸:只加入Administrators組,其他全部刪除

      C、本地策略——>安全選項

       交互式登陸:不顯示上次的用戶名       啟用
       網絡訪問:不允許SAM帳戶和共享的匿名枚舉   啟用
       網絡訪問:不允許為網絡身份驗證儲存憑證   啟用
       網絡訪問:可匿名訪問的共享         全部刪除
       網絡訪問:可匿名訪問的命          全部刪除
       網絡訪問:可遠程訪問的注冊表路徑      全部刪除
       網絡訪問:可遠程訪問的注冊表路徑和子路徑  全部刪除
       帳戶:重命名來賓帳戶            重命名一個帳戶
       帳戶:重命名系統管理員帳戶         重命名一個帳戶

     

    UI 中的設置名稱 企業客戶端臺式計算機 企業客戶端便攜式計算機 高安全級臺式計算機 高安全級便攜式計算機

    帳戶: 使用空白密碼的本地帳戶只允許進行控制臺登錄

    已啟用

    已啟用

    已啟用

    已啟用

    帳戶: 重命名系統管理員帳戶

    推薦

    推薦

    推薦

    推薦

    帳戶: 重命名來賓帳戶

    推薦

    推薦

    推薦

    推薦

    設備: 允許不登錄移除

    已禁用

    已啟用

    已禁用

    已禁用

    設備: 允許格式化和彈出可移動媒體

    Administrators, Interactive Users

    Administrators, Interactive Users

    Administrators

    Administrators

    設備: 防止用戶安裝打印機驅動程序

    已啟用

    已禁用

    已啟用

    已禁用

    設備: 只有本地登錄的用戶才能訪問 CD-ROM

    已禁用

    已禁用

    已啟用

    已啟用

    設備: 只有本地登錄的用戶才能訪問軟盤

    已啟用

    已啟用

    已啟用

    已啟用

    設備: 未簽名驅動程序的安裝操作

    允許安裝但發出警告

    允許安裝但發出警告

    禁止安裝

    禁止安裝

    域成員: 需要強 (Windows 2000 或以上版本) 會話密鑰

    已啟用

    已啟用

    已啟用

    已啟用

    交互式登錄: 不顯示上次的用戶名

    已啟用

    已啟用

    已啟用

    已啟用

    交互式登錄: 不需要按 CTRL+ALT+DEL

    已禁用

    已禁用

    已禁用

    已禁用

    交互式登錄: 用戶試圖登錄時消息文字

    此系統限制為僅授權用戶。嘗試進行未經授權訪問的個人將受到起訴。

    此系統限制為僅授權用戶。嘗試進行未經授權訪問的個人將受到起訴。

    此系統限制為僅授權用戶。嘗試進行未經授權訪問的個人將受到起訴。

    此系統限制為僅授權用戶。嘗試進行未經授權訪問的個人將受到起訴。

    交互式登錄: 用戶試圖登錄時消息標題

    繼續在沒有適當授權的情況下使用是違法行為。

    繼續在沒有適當授權的情況下使用是違法行為。

    繼續在沒有適當授權的情況下使用是違法行為。

    繼續在沒有適當授權的情況下使用是違法行為。

    交互式登錄: 可被緩存的前次登錄個數 (在域控制器不可用的情況下)

    2

    2

    0

    1

    交互式登錄: 在密碼到期前提示用戶更改密碼

    14 天

    14 天

    14 天

    14 天

    交互式登錄: 要求域控制器身份驗證以解鎖工作站

    已禁用

    已禁用

    已啟用

    已禁用

    交互式登錄: 智能卡移除操作

    鎖定工作站

    鎖定工作站

    鎖定工作站

    鎖定工作站

    Microsoft 網絡客戶: 數字簽名的通信(若服務器同意)

    已啟用

    已啟用

    已啟用

    已啟用

    Microsoft 網絡客戶: 發送未加密的密碼到第三方 SMB 服務器。

    已禁用

    已禁用

    已禁用

    已禁用

    Microsoft 網絡服務器: 在掛起會話之前所需的空閑時間

    15 分鐘

    15 分鐘

    15 分鐘

    15 分鐘

    Microsoft 網絡服務器: 數字簽名的通信(總是)

    已啟用

    已啟用

    已啟用

    已啟用

    Microsoft 網絡服務器: 數字簽名的通信(若客戶同意)

    已啟用

    已啟用

    已啟用

    已啟用

    Microsoft 網絡服務器: 當登錄時間用完時自動注銷用戶

    已啟用

    已禁用

    已啟用

    已禁用

    網絡訪問: 允許匿名 SID/名稱 轉換

    已禁用

    已禁用

    已禁用

    已禁用

    網絡訪問: 不允許 SAM 帳戶和共享的匿名枚舉

    已啟用

    已啟用

    已啟用

    已啟用

    網絡訪問: 不允許 SAM 帳戶和共享的匿名枚舉

    已啟用

    已啟用

    已啟用

    已啟用

    網絡訪問: 不允許為網絡身份驗證儲存憑據或 .NET Passports

    已啟用

    已啟用

    已啟用

    已啟用

    網絡訪問: 限制匿名訪問命名管道和共享

    已啟用

    已啟用

    已啟用

    已啟用

    網絡訪問: 本地帳戶的共享和安全模式

    經典 - 本地用戶以自己的身份驗證

    經典 - 本地用戶以自己的身份驗證

    經典 - 本地用戶以自己的身份驗證

    經典 - 本地用戶以自己的身份驗證

    網絡安全: 不要在下次更改密碼時存儲 LAN Manager 的哈希值

    已啟用

    已啟用

    已啟用

    已啟用

    網絡安全: 在超過登錄時間后強制注銷

    已啟用

    已禁用

    已啟用

    已禁用

    網絡安全: LAN Manager 身份驗證級別

    僅發送 NTLMv2 響應

    僅發送 NTLMv2 響應

    僅發送 NTLMv2 響應\拒絕 LM & NTLM

    僅發送 NTLMv2 響應\拒絕 LM & NTLM

    網絡安全: 基于 NTLM SSP(包括安全 RPC)客戶的最小會話安全

    沒有最小

    沒有最小

    要求 NTLMv2 會話安全 要求 128-位加密

    要求 NTLMv2 會話安全 要求 128-位加密

    網絡安全: 基于 NTLM SSP(包括安全 RPC)服務器的最小會話安全

    沒有最小

    沒有最小

    要求 NTLMv2 會話安全 要求 128-位加密

    要求 NTLMv2 會話安全 要求 128-位加密

    故障恢復控制臺: 允許自動系統管理級登錄

    已禁用

    已禁用

    已禁用

    已禁用

    故障恢復控制臺: 允許對所有驅動器和文件夾進行軟盤復制和訪問

    已啟用

    已啟用

    已禁用

    已禁用

    關機: 允許在未登錄前關機

    已禁用

    已禁用

    已禁用

    已禁用

    關機: 清理虛擬內存頁面文件

    已禁用

    已禁用

    已啟用

    已啟用

    系統加密: 使用 FIPS 兼容的算法來加密,哈希和簽名

    已禁用

    已禁用

    已禁用

    已禁用

    系統對象: 由管理員 (Administrators) 組成員所創建的對象默認所有者

    對象創建者

    對象創建者

    對象創建者

    對象創建者

    系統設置: 為軟件限制策略對 Windows 可執行文件使用證書規則

    已禁用

    已禁用

    已禁用

    已禁用


    8、防御PHP木馬攻擊的技巧

     

      PHP本身再老版本有一些問題,比如在 php4.3.10和php5.0.3以前有一些比較嚴重的bug,所以推薦使用新版。另外,目前鬧的轟轟烈烈的SQL   Injection也是在PHP上有很多利用方式,所以要保證
      安全,PHP代碼編寫是一方面,PHP的配置更是非常關鍵。
      我們php手手工安裝的,php的默認配置文件在 /usr/local/apache2/conf/php.ini,我們最主要就是要配置php.ini中的內容,讓我們執行  php能夠更安全。整個PHP中的安全設置主要是為了防止phpshell和SQL Injection的攻擊,一下我們慢慢探討。我們先使用任何編輯工具打開  /etc/local/apache2/conf/php.ini,如果你是采用其他方式安裝,配置文件可能不在該目錄。

      (1) 打開php的安全模式

      php的安全模式是個非常重要的內嵌的安全機制,能夠控制一些php中的函數,比如system(),
      同時把很多文件操作函數進行了權限控制,也不允許對某些關鍵文件的文件,比如/etc/passwd,
      但是默認的php.ini是沒有打開安全模式的,我們把它打開:
      safe_mode = on

      (2) 用戶組安全

      當safe_mode打開時,safe_mode_gid被關閉,那么php腳本能夠對文件進行訪問,而且相同
      組的用戶也能夠對文件進行訪問。
      建議設置為:

      safe_mode_gid = off

      如果不進行設置,可能我們無法對我們服務器網站目錄下的文件進行操作了,比如我們需要
      對文件進行操作的時候。

      (3) 安全模式下執行程序主目錄

      如果安全模式打開了,但是卻是要執行某些程序的時候,可以指定要執行程序的主目錄:

      safe_mode_exec_dir = D:/usr/bin

      一般情況下是不需要執行什么程序的,所以推薦不要執行系統程序目錄,可以指向一個目錄,
      然后把需要執行的程序拷貝過去,比如:

      safe_mode_exec_dir = D:/tmp/cmd

      但是,我更推薦不要執行任何程序,那么就可以指向我們網頁目錄:

      safe_mode_exec_dir = D:/usr/www

      (4) 安全模式下包含文件

      如果要在安全模式下包含某些公共文件,那么就修改一下選項:

      safe_mode_include_dir = D:/usr/www/include/

      其實一般php腳本中包含文件都是在程序自己已經寫好了,這個可以根據具體需要設置。

      (5) 控制php腳本能訪問的目錄

      使用open_basedir選項能夠控制PHP腳本只能訪問指定的目錄,這樣能夠避免PHP腳本訪問
      不應該訪問的文件,一定程度上限制了phpshell的危害,我們一般可以設置為只能訪問網站目錄:

      open_basedir = D:/usr/www

      (6) 關閉危險函數

      如果打開了安全模式,那么函數禁止是可以不需要的,但是我們為了安全還是考慮進去。比如,
      我們覺得不希望執行包括system()等在那的能夠執行命令的php函數,或者能夠查看php信息的
      phpinfo()等函數,那么我們就可以禁止它們:

      disable_functions = system,passthru,exec,shell_exec,popen,phpinfo

      如果你要禁止任何文件和目錄的操作,那么可以關閉很多文件操作

      disable_functions = chdir,chroot,dir,getcwd,opendir,readdir,scandir,fopen,unlink,delete,copy,mkdir,   rmdir,rename,file,file_get_contents,fputs,fwrite,chgrp,chmod,chown

      以上只是列了部分不叫常用的文件處理函數,你也可以把上面執行命令函數和這個函數結合,
      就能夠抵制大部分的phpshell了。

      (7) 關閉PHP版本信息在http頭中的泄漏

      我們為了防止黑客獲取服務器中php版本的信息,可以關閉該信息斜路在http頭中:

      expose_php = Off

      比如黑客在 telnet www.12345.com 80 的時候,那么將無法看到PHP的信息。

      (8) 關閉注冊全局變量

      在PHP中提交的變量,包括使用POST或者GET提交的變量,都將自動注冊為全局變量,能夠直接訪問,
      這是對服務器非常不安全的,所以我們不能讓它注冊為全局變量,就把注冊全局變量選項關閉:
      register_globals = Off
      當然,如果這樣設置了,那么獲取對應變量的時候就要采用合理方式,比如獲取GET提交的變量var,
      那么就要用$_GET['var']來進行獲取,這個php程序員要注意。

      (9) 打開magic_quotes_gpc來防止SQL注入

      SQL注入是非常危險的問題,小則網站后臺被入侵,重則整個服務器淪陷,

      所以一定要小心。php.ini中有一個設置:

      magic_quotes_gpc = Off

      這個默認是關閉的,如果它打開后將自動把用戶提交對sql的查詢進行轉換,
      比如把 ' 轉為 \'等,這對防止sql注射有重大作用。所以我們推薦設置為:

      magic_quotes_gpc = On

      (10) 錯誤信息控制

      一般php在沒有連接到數據庫或者其他情況下會有提示錯誤,一般錯誤信息中會包含php腳本當
      前的路徑信息或者查詢的SQL語句等信息,這類信息提供給黑客后,是不安全的,所以一般服務器建議禁止錯誤提示:

      display_errors = Off

      如果你卻是是要顯示錯誤信息,一定要設置顯示錯誤的級別,比如只顯示警告以上的信息:

      error_reporting = E_WARNING & E_ERROR

      當然,我還是建議關閉錯誤提示。

      (11) 錯誤日志

      建議在關閉display_errors后能夠把錯誤信息記錄下來,便于查找服務器運行的原因:

      log_errors = On

      同時也要設置錯誤日志存放的目錄,建議根apache的日志存在一起:

      error_log = D:/usr/local/apache2/logs/php_error.log

      注意:給文件必須允許apache用戶的和組具有寫的權限。


      MYSQL的降權運行

      新建立一個用戶比如mysqlstart

      net user mysqlstart fuckmicrosoft /add

      net localgroup users mysqlstart /del

      不屬于任何組

      如果MYSQL裝在d:\mysql ,那么,給 mysqlstart 完全控制 的權限

      然后在系統服務中設置,MYSQL的服務屬性,在登錄屬性當中,選擇此用戶 mysqlstart 然后輸入密碼,確定。

      重新啟動 MYSQL服務,然后MYSQL就運行在低權限下了。

      如果是在windos平臺下搭建的apache我們還需要注意一點,apache默認運行是system權限,
      這很恐怖,這讓人感覺很不爽.那我們就給apache降降權限吧。

      net user apache fuckmicrosoft /add

      net localgroup users apache /del

      ok.我們建立了一個不屬于任何組的用戶apche。

      我們打開計算機管理器,選服務,點apache服務的屬性,我們選擇log on,選擇this account,我們填入上面所建立的賬戶和密碼,
      重啟apache服務,ok,apache運行在低權限下了。

      實際上我們還可以通過設置各個文件夾的權限,來讓apache用戶只能執行我們想讓它能干的事情,給每一個目錄建立一個單獨能讀寫的用戶。
      這也是當前很多虛擬主機提供商的流行配置方法哦,不過這種方法用于防止這里就顯的有點大材小用了。

     

    有問題可以和我QQ聯系:473413

    9、MSSQL安全設置

    sql2000安全很重要


    將有安全問題的SQL過程刪除.比較全面.一切為了安全!

    刪除了調用shell,注冊表,COM組件的破壞權限

    use master
    EXEC sp_dropextendedproc 'xp_cmdshell'
    EXEC sp_dropextendedproc 'Sp_OACreate'
    EXEC sp_dropextendedproc 'Sp_OADestroy'
    EXEC sp_dropextendedproc 'Sp_OAGetErrorInfo'
    EXEC sp_dropextendedproc 'Sp_OAGetProperty'
    EXEC sp_dropextendedproc 'Sp_OAMethod'
    EXEC sp_dropextendedproc 'Sp_OASetProperty'
    EXEC sp_dropextendedproc 'Sp_OAStop'
    EXEC sp_dropextendedproc 'Xp_regaddmultistring'
    EXEC sp_dropextendedproc 'Xp_regdeletekey'
    EXEC sp_dropextendedproc 'Xp_regdeletevalue'
    EXEC sp_dropextendedproc 'Xp_regenumvalues'
    EXEC sp_dropextendedproc 'Xp_regread'
    EXEC sp_dropextendedproc 'Xp_regremovemultistring'
    EXEC sp_dropextendedproc 'Xp_regwrite'
    drop procedure sp_makewebtask

    全部復制到"SQL查詢分析器"

    點擊菜單上的--"查詢"--"執行",就會將有安全問題的SQL過程刪除(以上是7i24的正版用戶的技術支持)

    更改默認SA空密碼.數據庫鏈接不要使用SA帳戶.單數據庫單獨設使用帳戶.只給public和db_owner權限.

    數據庫不要放在默認的位置.

    SQL不要安裝在PROGRAM FILE目錄下面.

    最近的SQL2000補丁是SP4

    有問題可以和我QQ聯系:473413

    10、啟用WINDOWS自帶的防火墻
      
    啟用win防火墻

       桌面—>網上鄰居—>(右鍵)屬性—>本地連接—>(右鍵)屬性—>高級—>

     ?。ㄟx中)Internet 連接防火墻—>設置

       把服務器上面要用到的服務端口選中

       例如:一臺WEB服務器,要提供WEB(80)、FTP(21)服務及遠程桌面管理(3389)

       在“FTP 服務器”、“WEB服務器(HTTP)”、“遠程桌面”、“安全WEB服務器”前面打上對號

       如果你要提供服務的端口不在里面,你也可以點擊“添加”銨鈕來添加,SMTP和POP3根據需要打開

       具體參數可以參照系統里面原有的參數。

       然后點擊確定。注意:如果是遠程管理這臺服務器,請先確定遠程管理的端口是否選中或添加。

       一般需要打開的端口有:21、 25、 80、 110、 443、 3389、 等,根據需要開放需要的端口。

      
     

    有問題可以和我QQ聯系:473413

    11、用戶安全設置
      
    用戶安全設置

    用戶安全設置

    1、禁用Guest賬號

    在計算機管理的用戶里面把Guest賬號禁用。為了保險起見,最好給Guest加一個復雜的密碼。你可以打開記事本,在里面輸入一串包含特殊字符、數字、字母的長字符串,然后把它作為Guest用戶的密碼拷進去。

    2、限制不必要的用戶

    去掉所有的Duplicate User用戶、測試用戶、共享用戶等等。用戶組策略設置相應權限,并且經常檢查系統的用戶,刪除已經不再使用的用戶。這些用戶很多時候都是黑客們入侵系統的突破口。

    3、創建兩個管理員賬號

    創建一個一般權限用戶用來收信以及處理一些日常事物,另一個擁有Administrators 權限的用戶只在需要的時候使用。

    4、把系統Administrator賬號改名

    大家都知道,Windows 2000 的Administrator用戶是不能被停用的,這意味著別人可以一遍又一遍地嘗試這個用戶的密碼。盡量把它偽裝成普通用戶,比如改成Guesycludx。

    5、創建一個陷阱用戶

    什么是陷阱用戶?即創建一個名為“Administrator”的本地用戶,把它的權限設置成最低,什么事也干不了的那種,并且加上一個超過10位的超級復雜密碼。這樣可以讓那些 Hacker們忙上一段時間,借此發現它們的入侵企圖。

    6、把共享文件的權限從Everyone組改成授權用戶

    任何時候都不要把共享文件的用戶設置成“Everyone”組,包括打印共享,默認的屬性就是“Everyone”組的,一定不要忘了改。

    7、開啟用戶策略

    使用用戶策略,分別設置復位用戶鎖定計數器時間為20分鐘,用戶鎖定時間為20分鐘,用戶鎖定閾值為3次。

    8、不讓系統顯示上次登錄的用戶名

    默認情況下,登錄對話框中會顯示上次登錄的用戶名。這使得別人可以很容易地得到系統的一些用戶名,進而做密碼猜測。修改注冊表可以不讓對話框里顯示上次登錄的用戶名。方法為:打開注冊表編輯器并找到注冊表項“HKLMSoftwareMicrosoftWindows TCurrentVersionWinlogonDo, nt-DisplayLastUserName”,把REG_SZ的鍵值改成1。

    密碼安全設置

    1、使用安全密碼

    一些公司的管理員創建賬號的時候往往用公司名、計算機名做用戶名,然后又把這些用戶的密碼設置得太簡單,比如“welcome”等等。因此,要注意密碼的復雜性,還要記住經常改密碼。

    2、設置屏幕保護密碼

    這是一個很簡單也很有必要的操作。設置屏幕保護密碼也是防止內部人員破壞服務器的一個屏障。

    3、開啟密碼策略

    注意應用密碼策略,如啟用密碼復雜性要求,設置密碼長度最小值為6位 ,設置強制密碼歷史為5次,時間為42天。

    4、考慮使用智能卡來代替密碼

    對于密碼,總是使安全管理員進退兩難,密碼設置簡單容易受到黑客的攻擊,密碼設置復雜又容易忘記。如果條件允許,用智能卡來代替復雜的密碼是一個很好的解決方法。
     

    有問題可以和我QQ聯系:473413

    12、Windows2003 下安裝 WinWebMail 3.6.3.1 完全攻略手冊

    這段時間論壇上有朋友提及無法在WINDOWS2003+IIS6下面建立WINWEBMAIL郵件,遇到不一些問題,特意將這篇舊文重新發一次給大家

    1)查看硬盤:兩塊9.1G SCSI 硬盤(實容量8.46*2)

    2)分區
    系統分區X盤7.49G
    WEB 分區X盤1.0G
    郵件分區X盤8.46G(帶1000個100M的郵箱足夠了)

    3)安裝WINDOWS SERVER 2003

    4)打基本補丁(防毒)...在這之前一定不要接網線!

    5)在線打補丁

    6)卸載或禁用微軟的SMTP服務(Simple Mail Transpor Protocol),否則會發生端口沖突

    7)安裝WinWebMail,然后重啟服務器使WinWebMail完成安裝.并注冊.然后恢復WinWebMail數據.

    8)安裝Norton 8.0并按WinWebMail幫助內容設定,使Norton與WinWebMail聯合起到郵件殺毒作用(將Norton更新到最新的病毒庫)
    8.1 啟用Norton的實時防護功能
    8.2 必須要設置對于宏病毒和非宏病毒的第1步操作都必須是刪除被感染文件,并且必須關閉警告提示??!
    8.3 必須要在查毒設置中排除掉安裝目錄下的 \mail 及其所有子目錄,只針對WinWebMail安裝文件夾下的 \temp 文件夾進行實時查毒。注意:如果沒有 \temp 文件夾時,先手工創建此 \temp 文件夾,然后再進行此項設置。

    9)將WinWebMail的DNS設置為win2k3中網絡設置的DNS,切記,要想發的出去最好設置一個不同的備用DNS地址,對外發信的就全靠這些DNS地址了

    10)給予安裝 WinWebMail 的盤符以及父目錄以 Internet 來賓帳戶 (IUSR_*) 允許 [讀取\運行\列出文件夾目錄] 的權限.
    WinWebMail的安裝目錄,INTERNET訪問帳號完全控制
    給予[超級用戶/SYSTEM]在安裝盤和目錄中[完全控制]權限,重啟IIS以保證設定生效.

    11)防止外發垃圾郵件:
    11.1 在服務器上點擊右下角圖標,然后在彈出菜單的“系統設置”-->“收發規則”中選中“啟用SMTP發信認證功能”項,有效的防范外發垃圾郵件。
    11.2 在“系統設置”-->“收發規則”中選中“只允許系統內用戶對外發信”項。
    11.3 在服務器上點擊右下角圖標,然后在彈出菜單的“系統設置”-->“防護”頁選中“啟用外發垃圾郵件自動過濾功能”項,然后再啟用其設置中的“允許自動調整”項。
    11.4 “系統設置”-->“收發規則”中設置“最大收件人數”-----> 10.
    11.5 “系統設置”-->“防護”頁選中“啟用連接攻擊保護功能”項,然后再設置“啟用自動保護功能”.
    11.6 用戶級防付垃圾郵件,需登錄WebMail,在“選項 | 防垃圾郵件”中進行設置。

    12)打開IIS 6.0, 確認啟用支持 asp 功能, 然后在默認站點下建一個虛擬目錄(如: mail), 然后指向安裝 WinWebMail 目錄下的 \Web 子目錄, 打開瀏覽器就可以按下面的地址訪問webmail了:
    http://<;;你的IP或域名>/mail/什么? 嫌麻煩不想建? 那可要錯過WinWebMail強大的webmail功能了, 3分鐘的設置保證物超所值 :)

    13)Web基本設置:
    13.1 確認“系統設置”-->“資源使用設置”內沒有選中“公開申請的是含域名帳號”
    13.2 “系統設置”-->“收發規則”中設置Helo為您域名的MX記錄

    13.3.解決SERVER 2003不能上傳大附件的問題:
    13.3.1 在服務里關閉 iis admin service 服務。
    13.3.2 找到 windows\system32\inetsrv\ 下的 metabase.xml 文件。
    13.3.3 用純文本方式打開,找到 ASPMaxRequestEntityAllowed 把它修改為需要的值(可修改為10M即:10240000),默認為:204800,即:200K。
    13.3.4 存盤,然后重啟 iis admin service 服務。

    13.4.解決SERVER 2003無法下載超過4M的附件的問題
    13.4.1 先在服務里關閉 iis admin service 服務。
    13.4.2 找到 windows\system32\inetsrv\ 下的 metabase.xml 文件。
    13.4.3 用純文本方式打開,找到 AspBufferingLimit 把它修改為需要的值(可修改為20M即:20480000)。
    13.4.4 存盤,然后重啟 iis admin service 服務。

    13.5.解決大附件上傳容易超時失敗的問題.
    在IIS中調大一些腳本超時時間,操作方法是: 在IIS的“站點或(虛擬目錄)”的“主目錄”下點擊“配置”按鈕,設置腳本超時間為:300秒(注意:不是Session超時時間)。

    13.6.解決Windows 2003的IIS 6.0中,Web登錄時經常出現"[超時,請重試]"的提示.
    將WebMail所使用的應用程序池“屬性-->回收”中的“回收工作進程”以及"屬性-->性能"中的“在空閑此段時間后關閉工作進程”這兩個選項前的勾號去掉,然后重啟一下IIS即可解決.

    13.7.解決通過WebMail寫信時間較長后,按下發信按鈕就會回到系統登錄界面的問題.
    適當增加會話時間(Session)為 60分鐘。在IIS站點或虛擬目錄屬性的“主目錄”下點擊[配置---選項],就可以進行設置了(SERVER 2003默認為20分鐘).

    13.8.安裝后查看WinWebMail的安裝目錄下有沒有 \temp 目錄,如沒有,手工建立一個.

    14)做郵件收發及10M附件測試(內對外,內對內,外對內).

    15)打開2003自帶防火墻,并打開POP3.SMTP.WEB.遠程桌面.充許此4項服務, OK, 如果想用IMAP4或SSL的SMTP.POP3.IMAP4也需要打開相應的端口.

    16)再次做郵件收發測試(內對外,內對內,外對內).

    17)改名、加強壯口令,并禁用GUEST帳號。

    18)改名超級用戶、建立假administrator、建立第二個超級用戶。

    都搞定了!忙了半天, 現在終于可以來享受一把 WinWebMail 的超強 webmail 功能了, let's go!

     


    13、IIS+PHP+MySQL+Zend Optimizer+GD庫+phpMyAdmin安裝配置[完整修正實用版] 轉來的,非原創
    IIS+PHP+MySQL+Zend Optimizer+GD庫+phpMyAdmin安裝配置[完整修正實用版]

    IIS+PHP+MySQL+Zend Optimizer+GD庫+phpMyAdmin安裝配置[完整修正實用版]

    [補充]關于參照本貼配置這使用中使用的相關問題請參考
    關于WIN主機下配置PHP的若干問題解決方案總結這個帖子盡量自行解決,謝謝
    http://bbs.xqin.com/viewthread.php?tid=86

    一、軟件準備:以下均為截止2006-1-20的最新正式版本,下載地址也均長期有效

    1.PHP,推薦PHP4.4.0的ZIP解壓版本:

    PHP(4.4.0):http://cn.php.net/get/php-4.4.0-Win32.zip/from/a/mirror

    PHP(5.1.2):http://cn.php.net/get/php-5.1.2-Win32.zip/from/a/mirror

    2.MySQL,配合PHP4推薦MySQL4.0.26的WIN系統安裝版本:

    MySQL(4.0.26):http://download.discuz.net/mysql-4.0.26-win32.zip

    MySQL(4.1.16):http://www.skycn.com/soft/24418.html

    MySQL(5.0.18):http://download.discuz.net/mysql-4.0.26-win32.zip
     

    3.Zend Optimizer,當然選擇當前最新版本拉:

    Zend Optimizer(2.6.2):http://www.zend.com/store/free_download.php?pid=13

    (Zend軟件雖然免費下載,但需要注冊用戶,這里提供注冊好的帳戶名:xqincom和密碼:xqin.com,方便大家使用,請不要修改本帳號或將本帳戶用于其他費正當途徑,謝謝?。?br />
    登陸后選擇Windows x86的Platform版本,如最新版本2.6.2 https://www.zend.com/store/getfreefile.php?pid=13&zbid=995

    4.phpMyAdmin


    當然同樣選擇當前最新版本拉,注意選擇for Windows 的版本哦:

    phpMyAdmin(2.8.0.3):http://www.crsky.com/soft/4190.html

    假設 C:\ 為你現在所使用操作系統的系統盤,如果你目前操作系統不是安裝在 C:\ ,請自行對應修改相應路徑。同時由于C盤經常會因為各種原因重裝系統,數據放在該盤不易備份和轉移 選擇安裝目錄,故本文將所有PHP相關軟件均安裝到D:\php目錄下,這個路徑你可以自行設定,如果你安裝到不同目錄涉及到路徑的請對應修改以下的對應路徑即可

    二、安裝 PHP :本文PHP安裝路徑取為D:\php\php4\(為避混淆,PHP5.1.x版本安裝路徑取為D:\php\php5\)


    (1)、下載后得到 php-4.4.0-Win32.zip ,解壓至D:\php目錄,將得到二級目錄php-4.4.0-Win32,改名為 php4,
    也即得到PHP文件存放目錄D:\php\php4\

    [如果是PHP5.1.2,得到的文件是php-5.1.2-Win32.zip,直接全部接壓至D:\php\php5目錄即可得PHP文件存放目錄D:\php\php5\];


    (2)、再將D:\php\php4目錄和D:\php\php4\dlls目錄

    [PHP5為D:\php\php5\]下的所有dll文件 copy 到 c:\Windows\system32 (win2000系統為 c:/winnt/system32/)下,覆蓋已有的dll文件;
     


    (3)、將php.ini-dist用記事本打開,利用記事本的查找功能搜索并修改:


    搜索 register_globals = Off

    將 Off 改成 On ,即得到 register_globals = On

    注:這個對應PHP的全局變量功能,考慮有很多PHP程序需要全局變量功能故打開,打開后請注意-PHP程序的嚴謹性,如果不需要推薦不修改保持默認Off狀態
    搜索 extension_dir =

    這個是PHP擴展功能目錄 并將其路徑指到你的 PHP 目錄下的 extensions 目錄,比如:

    修改 extension_dir = "./" extension_dir = "D:/php/php4/extensions/"

    [PHP5對應修改為 extension_dir = "D:/php/php5/ext/" ]
    D:\php 下建立文件夾并命名為 tmp

    查找 upload_tmp_dir =

    ;upload_tmp_dir 該行的注釋符,即前面的分號" ;”去掉,

    使該行在php.ini文檔中起作用。upload_tmp_dir是用來定義上傳文件存放的臨時路徑,在這里你還可以修改并給其定義一個絕對路徑,這里設置的目錄必須有讀寫權限。

    這里我設置為 upload_tmp_dir = D:/php/tmp (即前面建立的這個文件夾呵)
    搜索 ; Windows Extensions

    將下面一些常用的項前面的 ; 去掉 ,紅色的必須,藍色的供選擇

    ;extension=php_mbstring.dll

    這個必須要

    ;extension=php_curl.dll

    ;extension=php_dbase.dll

    ;extension=php_gd2.dll
    這個是用來支持GD庫的,一般需要,必選



    ;extension=php_ldap.dll

    ;extension=php_zip.dll


    對于PHP5的版本還需要查找

    ;extension=php_mysql.dll

    并同樣去掉前面的";"

    這個是用來支持MYSQL的,由于PHP5將MySQL作為一個獨立的模塊來加載運行的,故要支持MYSQL必選


    查找 ;session.save_path =

    去掉前面 ; 號,本文這里將其設置置為

    session.save_path = D:/php/tmp

    其他的你可以選擇需要的去掉前面的;


    然后將該文件另存為為 php.ini C:\Windows ( Windows 2000 下為 C:\WINNT)目錄下,注意更改文件后綴名為ini,

    得到 C:\Windows\php.ini ( Windows 2000 下為 C:\WINNT\php.ini)


    若路徑等和本文相同可直接保存到C:\Windows ( Windows 2000 下為 C:\WINNT) 目錄下 使用



    一些朋友經常反映無法上傳較大的文件或者運行某些程序經常超時,那么可以找到C:\Windows ( Windows 2000 下為 C:\WINNT)目錄下的PHP.INI以下內容修改:

    max_execution_time = 30 ; 這個是每個腳本運行的最長時間,可以自己修改加長,單位秒
    max_input_time = 60 ; 這是每個腳本可以消耗的時間,單位也是秒
    memory_limit = 8M ; 這個是腳本運行最大消耗的內存,也可以自己加大
    upload_max_filesize = 2M ; 上載文件的最大許可大小 ,自己改吧,一些圖片論壇需要這個更大的值


    (4)、配置 IIS 使其支持 PHP :

    首先必須確定系統中已經正確安裝 IIS ,如果沒有安裝,需要先安裝 IIS ,安裝步驟如下:
    Windows 2000/XP 下的 IIS 安裝:

    用 Administrator 帳號登陸系統,將 Windows 2000 安裝光盤插入光盤驅動器,進入“控制面板”點擊“添加/刪除程序”,再點擊左側的“添加/刪除 Windows 組件”,在彈出的窗口中選擇“Internet 信息服務(IIS)”,點下面的“詳細信息”按鈕,選擇組件,以下組件是必須的:“Internet 服務管理器”、“World Wide Web 服務器”和“公用文件”,確定安裝。

    安裝完畢后,在“控制面板”的“管理工具”里打開“服務”,檢查“IIS Admin Service”和“World Wide Web Publishing Service”兩項服務,如果沒有啟動,將其啟動即可。

    Windows 2003 下的 IIS 安裝:

    由于 Windows 2003 的 IIS 6.0 集成在應用程序服務器中,因此安裝應用程序服務器就會默認安裝 IIS 6.0 ,在“開始”菜單中點擊“配置您的服務器”,在打開的“配置您的服務器向導”里左側選擇“應用程序服務器(IIS,ASP.NET)”,單擊“下一步”出現“應用程序服務器選項”,你可以選擇和應用程序服務器一起安裝的組件,默認全選即可,單擊“下一步”,出現“選擇總結界面”,提示了本次安裝中的選項,配置程序將自動按照“選擇總結”中的選項進行安裝和配置。

    打開瀏覽器,輸入:http://localhost/,看到成功頁面后進行下面的操作:

    PHP 支持 CGI 和 ISAPI 兩種安裝模式,CGI 更消耗資源,容易因為超時而沒有反映,但是實際上比較安全,負載能力強,節省資源,但是安全性略差于CGI,本人推薦使用 ISAPI 模式。故這里只解介紹 ISAPI 模式安裝方法:(以下的截圖因各個系統不同,窗口界面可能不同,但對應選項卡欄目是相同的,只需找到提到的對應選項卡即可)

    在“控制面板”的“管理工具”中選擇“Internet 服務管理器”,打開 IIS 后停止服務,對于WIN2000系統在”Internet 服務管理器“的下級樹一般為你的”計算機名“上單擊右鍵選擇“屬性”,再在屬性頁面選擇主屬性”WWW 服務“右邊的”編輯“
     

    對于XP/2003系統展開”Internet 服務管理器“的下級樹一般為你的”計算機名“選擇”網站“并單擊右鍵選擇“屬性”
     

    在彈出的屬性窗口上選擇“ISAPI 篩選器”選項卡找到并點擊“添加”按鈕,在彈出的“篩選器屬性”窗口中的“篩選器名稱”欄中輸入:

    PHP ,再將瀏覽可執行文件使路徑指向 php4isapi.dll 所在路徑,

    如本文中為:D:\php\php4\sapi\php4isapi.dll

    [PHP5對應路徑為 D:\php\php5\php5isapi.dll]
     

    打開“站點屬性”窗口的“主目錄”選項卡,找到并點擊“配置”按鈕

    在彈出的“應用程序配置”窗口中的”應用程序映射“選項卡找到并點擊“添加”按鈕新增一個擴展名映射,在彈出的窗口中單擊“瀏覽”將可執行文件指向 php4isapi.dll 所在路徑,如本文中為:D:\php\php4\sapi\php4isapi.dll[PHP5對應路徑為D:\php\php5\php5isapi.dll],擴展名為 .php ,動作限于”GET,HEAD,POST,TRACE“,將“腳本引擎”“確認文件是否存在”選中,然后一路確定即可。如果還想支持諸如 .php3 ,.phtml 等擴展名的 PHP 文件,可以重復“添加”步驟,對應擴展名設置為需要的即可如.PHPX。

    此步操作將使你服務器IIS下的所有站點都支持你所添加的PHP擴展文件,當然如果你只需要部分站點支持PHP,只需要在“你需要支持PHP的Web站點”比如“默認Web站點”上單擊右鍵選擇“屬性”,在打開的“ Web 站點屬性”“主目錄”選項卡,編輯或者添加PHP的擴展名映射即可或者將你步需要支持PHP的站點中的PHP擴展映射刪除即可
     

    再打開“站點屬性”窗口的“文檔”選項卡,找到并點擊“添加”按鈕,向默認的 Web 站點啟動文檔列表中添加 index.php 項。您可以將 index.php 升到最高優先級,這樣,訪問站點時就會首先自動尋找并打開 index.php 文檔。
     

    確定 Web 目錄的應用程序設置和執行許可中選擇為純腳本,然后關閉 Internet 信息服務管理器
    對于2003系統還需要在“Internet 服務管理器”左邊的“WEB服務擴展”中設置ISAPI 擴展允許,Active Server Pages 允許
     

    完成所有操作后,重新啟動IIS服務。
    在CMD命令提示符中執行如下命令:

    net stop w3svc
    net stop iisadmin
    net start w3svc

    到此,PHP的基本安裝已經完成,我們已經使網站支持PHP腳本。
    檢查方法是,在 IIS 根目錄下新建一個文本文件存為 php.php ,內容如下:
     

    <?php
    phpinfo();
    ?>


    打開瀏覽器,輸入:http://localhost/php.php,將顯示當前服務器所支持 PHP 的全部信息,可以看到 Server API的模式為:ISAPI 。
     

    或者利用PHP探針檢測http://xqin.com/index.rar下載后解壓到你的站點根目錄下并訪問即可


    三、安裝 MySQL :

    對于MySQL4.0.26下載得到的是mysql-4.0.26-win32.zip,解壓到mysql-4.0.26-win32目錄雙擊執行 Setup.exe 一路Next下一步,選擇安裝目錄為D:\php\MySQL和安裝方式為Custom自定義安裝,再一路Next下一步即可。
     

    安裝完畢后,在CMD命令行中輸入并運行:

    D:\php\MySQL\bin\mysqld-nt -install

    如果返回Service successfully installed.則說明系統服務成功安裝

    新建一文本文件存為MY.INI,編輯配置MY.INI,這里給出一個參考的配置

    [mysqld]
    basedir=D:/php/MySQL
    #MySQL所在目錄
    datadir=D:/php/MySQL/data
    #MySQL數據庫所在目錄,可以更改為其他你存放數據庫的目錄
    #language=D:/php/MySQL/share/your language directory
    #port=3306
    set-variable = max_connections=800
    skip-locking
    set-variable = key_buffer=512M
    set-variable = max_allowed_packet=4M
    set-variable = table_cache=1024
    set-variable = sort_buffer=2M
    set-variable = thread_cache=64
    set-variable = join_buffer_size=32M
    set-variable = record_buffer=32M
    set-variable = thread_concurrency=8
    set-variable = myisam_sort_buffer_size=64M
    set-variable = connect_timeout=10
    set-variable = wait_timeout=10
    server-id = 1
    [isamchk]
    set-variable = key_buffer=128M
    set-variable = sort_buffer=128M
    set-variable = read_buffer=2M
    set-variable = write_buffer=2M

    [myisamchk]
    set-variable = key_buffer=128M
    set-variable = sort_buffer=128M
    set-variable = read_buffer=2M
    set-variable = write_buffer=2M

    [WinMySQLadmin]
    Server=D:/php/MySQL/bin/mysqld-nt.exe




    保存后復制此MY.INI文件到C:\Windows ( Windows 2000 下為 C:\WINNT)目錄下
    回到CMD命令行中輸入并運行:

    net start mysql

    MySQL 服務正在啟動 .
    MySQL 服務已經啟動成功。


    將啟動 MySQL 服務;

    DOS下修改ROOT密碼:當然后面安裝PHPMYADMIN后修改密碼也可以通過PHPMYADMIN修改

    格式:mysqladmin -u用戶名 -p舊密碼 password 新密碼

    例:給root加個密碼xqin.com

    首先在進入CMD命令行,轉到MYSQL目錄下的bin目錄,然后鍵入以下命令

    mysqladmin -uroot password 你的密碼

    注:因為開始時root沒有密碼,所以-p舊密碼一項就可以省略了。

    D:\php\MySQL\bin>mysqladmin -uroot password 你的密碼


    回車后ROOT密碼就設置為你的密碼

    如果你下載的是 MySQL5.x或者MySQL4.1.x,例mysql-5.0.18-win32:解壓后雙擊執行 Setup.exe ,Next下一步后選擇Custom自定義安裝,再Next下一步選擇安裝路徑這里我們選擇D:\php\MySQL,繼續Next下一步跳過Sign UP完成安裝。


    安裝完成后會提示你是不是立即進行配置,選擇是即可進行配置。當然一般安裝后菜單里面也有配置向導MySQL Server Instance Config Wizar,運行后按下面步驟配置并設置ROOT密碼即可

    Next下一步后選擇Standard Configuration

    Next下一步,鉤選Include .. PATH

    Next下一步,設置ROOT密碼,建議社設置復雜點,確保服務器安全!

    Apply完成后將在D:\php\MySQL目錄下生成MY.INI配置文件,添加并啟動MySQL服務
     

    如果你的MySQL安裝出錯,并且卸載重裝仍無法解決,這里提供一個小工具系統服務管理器http://xqin.com/iis/ser.rar,用于卸載后刪除存在的MYSQL服務,重起后再按上述說明進行安裝一般即可成功安裝


    四、安裝 Zend Optimizer :

    下載后得到 ZendOptimizer-2.6.2-Windows-i386.exe ,直接雙擊安裝即可,安裝過程要你選擇 Web Server 時,選擇 IIS ,然后提示你是否 Restart Web Server,選擇是,完成安裝之前提示是否備份 php.ini ,點確定后安裝完成。我這里安裝到D:\php\Zend

    以下兩步的目錄根據你自己的默認WEB站點目錄來選,當然也可以選擇到D:\php\Zend目錄

    Zend Optimizer 的安裝向導會自動根據你的選擇來修改 php.ini 幫助你啟動這個引擎。下面簡單介紹一下 Zend Optimizer 的配置選項。以下為本人安裝完成后 php.ini 里的默認配置代碼(分號后面的內容為注釋):

    [zend]
    zend_extension_ts="D:\php\Zend\lib\ZendExtensionManager.dll"
    ;Zend Optimizer 模塊在硬盤上的安裝路徑。
    zend_extension_manager.optimizer_ts="D:\php\Zend\lib\Optimizer-2.6.2"
    ;優化器所在目錄,默認無須修改。
    zend_optimizer.optimization_level=1023
    ;優化程度,這里定義啟動多少個優化過程,默認值是 15 ,表示同時開啟 10 個優化過程中的 1-4 ,我們可以將這個值改為 1023 ,表示開啟全部10個優化過程。
     

    調用phpinfo()函數后顯示:

    Zend Engine v1.3.0, Copyright (c) 1998-2004 Zend Technologies with Zend Extension Manager v1.0.9, Copyright (c) 2003-2006, by Zend Technologies with Zend Optimizer v2.6.2, Copyright (c) 1998-2006, by Zend Technologies

    則表示安裝成功。


    五.安裝GD庫

    這一步在前面PHP.INI配置中去掉“;extension=php_gd2.dll”前面的;實際上已經安裝好了~

    [在php.ini里找到"extension=php_gd2.dll"這一行,并且去掉前面的分號,gd庫安裝完成,用 echophpinfo() ;測試是否成功! ]


    六、安裝 phpMyAdmin

    下載得到 phpMyAdmin-2.7.0.zip (如果需要這個版本可以找我QQ:473413 3300073),

    將其解壓到D:\php\或者 IIS 根目錄,改名phpMyAdmin-2.7.0為phpMyAdmin,


    并在IIS中建立新站點或者虛擬目錄指向該目錄以便通過WEB地址訪問,

    這里建立默認站點的phpMyAdmin虛擬目錄指向D:\php\phpMyAdmin目錄通過http://localhost/phpmyadmin/訪問

    找到并打開D:\php\phpMyAdmin目錄下的 config.default.php ,做以下修改:

    查找 $cfg['PmaAbsoluteUri']

    設置你的phpmyadmin的WEB訪問URL,比如本文中:$cfg['PmaAbsoluteUri'] = 'http://localhost/phpmyadmin/'; 注意這里假設phpmyadmin在默認站點的根目錄下


    查找 $cfg['blowfish_secret'] =

    設置COOKIES加密密匙,如xqin.com則設置為$cfg['blowfish_secret'] = 'xqin.com';

    查找 $cfg['Servers'][$i]['auth_type'] = ,

    默認為config,是不安全的,不推薦,推薦使用cookie,將其設置為 $cfg['Servers'][$i]['auth_type'] = 'cookie';

    注意這里如果設置為config請在下面設置用戶名和密碼!例如:

    $cfg['Servers'][$i]['user'] = 'root'; // MySQL user-----MySQL連接用戶

    $cfg['Servers'][$i]['password'] = 'xqin.com';


    搜索$cfg['DefaultLang'] ,將其設置為 zh-gb2312 ;

    搜索$cfg['DefaultCharset'] ,將其設置為 gb2312 ;

    打開瀏覽器,輸入:http://localhost/phpMyAdmin/ ,若 IIS 和 MySQL 均已啟動,輸入用戶ROOT密碼xqin.com(如沒有設置密碼則密碼留空)即可進入phpMyAdmin數據庫管理。

    首先點擊權限進入用戶管理,刪除除ROOT和主機不為localhost的用戶并重新讀取用戶權限表,這里同樣可以修改和設置ROOT的密碼,添加其他用戶等

    phpMyAdmin 的具體功能,請慢慢熟悉,這里不再贅述。
    至此所有安裝完畢。

    六、目錄結構以及MTFS格式下安全的目錄權限設置:
    當前目錄結構為

                   D:\php
                     |
       +—————+——————+———————+———————+
      php4(php5) tmp     MySQL       Zend    phpMyAdmin
     

    D:\php 設置為 Administrators和SYSTEM完全權限 即可,其他用戶均無權限

    對于其下的二級目錄

    D:\php\php4(或者D:\php\php5) 設置為 USERS 讀取/運行 權限


    D:\php\tmp 設置為 USERS 讀/寫/刪 權限

    D:\php\MySQL 、D:\php\Zend 設置為 Administrators和SYSTEM完全權限

    phpMyAdmin WEB匿名用戶讀取權限

    七、優化:

    參見 http://bbs.xqin.com/viewthread.php?tid=3831
    PHP 優化配置——加速你的VBB,phpwind,Discuz,IPB,MolyX.....  
     

    有問題可以和我QQ聯系:473413 3300073

    14、一般故障解決


    一般網站最容易發生的故障的解決方法


    1.出現提示網頁無法顯示,500錯誤的時候,又沒有詳細的提示信息

    可以進行下面的操作顯示詳細的提示信息:IE-工具-internet選項-高級-友好的http錯誤信息提示,將這選項前面不打勾,則可以看到詳細的提示信息了

    以下是解決500錯誤的方法。請復制以下信息并保存為: 解決IIS6.0的(asp不能訪問)請求的資源在使用中的辦法.bat

    然后在服務器上執行一下,你的ASP就又可以正常運行了。




    2.系統在安裝的時候提示數據庫連接錯誤

    一是檢查const文件的設置關于數據庫的路徑設置是否正確

    二是檢查服務器上面的數據庫的路徑和用戶名、密碼等是否正確


    3.IIS不支持ASP解決辦法:

    IIS的默認解析語言是否正確設定?將默認改為VBSCRIPT,進入IIS,右鍵單擊默認Web站點,選擇屬性,在目錄安全性選項卡的匿名訪問和身份驗證控制中,單擊編輯,在身份驗證方法屬性頁中,去掉匿名訪問的選擇試試.

    4.FSO沒有權限

    FSO的權限問題,可以在后臺測試是否能刪除文件,解決FSO組件是否開啟的方法如下:

    首先在系統盤中查找scrrun.dll,如果存在這個文件,請跳到第三步,如果沒有,請執行第二步。

    在安裝文件目錄i386中找到scrrun.dl_,用winrar解壓縮,得scrrun.dll,然后復制到(你的系統盤)C:\windows\system32\目錄中。 運行regsvr32 scrrun.dll即可。

    如果想關閉FSO組件,請運行regsvr32/u scrrun.dll即可

    關于服務器FSO權限設置的方法,給大家一個地址可以看看詳細的操作:http://www.upsdn.net/html/2005-01/314.html

    5.Microsoft JET Database Engine 錯誤 '80040e09' 不能更新。數據庫或對象為只讀

    原因分析:
    未打開數據庫目錄的讀寫權限

    解決方法:

    ( 1 )檢查是否在 IIS 中對整個網站打開了 “ 寫入 ” 權限,而不僅僅是數據庫文件。
    ( 2 )檢查是否在 WIN2000 的資源管理器中,將網站所在目錄對 EveryOne 用戶打開所有權限。具體方法是:
    打開 “ 我的電腦 ”---- 找到網站所在文件夾 ---- 在其上點右鍵 ---- 選 “ 屬性 ”----- 切換到 “ 安全性 ” 選項卡,在這里給 EveryOne 用戶所有權限。

    注意: 如果你的系統是 XP ,請先點 “ 工具 ”----“ 文件夾選項 ”----“ 查看 ”----- 去掉 “ 使用簡單文件共享 ” 前的勾,確定后,文件夾 “ 屬性 ” 對話框中才會有 “ 安全性 ” 這一個選項卡。

    6.驗證碼不能顯示

    原因分析:
    造成該問題的原因是 Service Pack 2 為了提高系統的穩定性,默認狀態下是屏蔽了對 XBM,也即是 x-bitmap 格式的圖片的顯示,而這些驗證碼恰恰是 XBM 格式的,所以顯示不出來了。

    解決辦法:
    解決的方法其實也很簡單,只需在系統注冊表中添加鍵值 "BlockXBM"=dword:00000000 就可以了,具體操作如下:

    1》打開系統注冊表;

    2》依次點開HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Internet Explorer\\Security;

    3》在屏幕右邊空白處點擊鼠標右鍵,選擇新建一個名為“BlockXBM”為的 DWORD 鍵,其值為默認的0。

    4》退出注冊表編輯器。

    如果操作系統是2003系統則看是否開啟了父路徑


    7.windows 2003配置IIS支持.shtml

    要使用 Shtml 的文件,則系統必須支持SSI,SSI必須是管理員通過Web 服務擴展啟用的
    windows 2003安裝好IIS之后默認是支持.shtml的,只要在“WEB服務擴展”允許“在服務器前端的包含文件”即可 (www.jz5u.com)



    8.如何去掉“處理 URL 時服務器出錯。請與系統管理員聯系。”

    如果是本地服務器的話,請右鍵點IIS默認網站,選屬性,在主目錄里點配置,選調試。 選中向客戶端發送詳細的ASP錯誤消息。 然后再調試程序,此時就可以顯示出正確的錯誤代碼。


    如果你是租用的空間的話,請和你的空間商聯系

     

    , /TD>
    該文件夾,子文件夾及文件
      <不是繼承的>

    硬盤或文件夾: C:\Program Files\Windows Media Player
     
    主要權限部分: 其他權限部分:
    Administrators
    完全控制

     
     
    該文件夾,子文件夾及文件
      <不是繼承的>
    CREATOR OWNER
    完全控制
     
    只有子文件夾及文件
     
    <不是繼承的>
    SYSTEM
    完全控制
      該文件夾,子文件夾及文件
      <不是繼承的>

    硬盤或文件夾: C:\Program Files\Windows NT\Accessories
     
    主要權限部分: 其他權限部分:
    Administrators
    完全控制

     
     
    該文件夾,子文件夾及文件
      <不是繼承的>
    CREATOR OWNER
    完全控制
     
    只有子文件夾及文件
     
    <不是繼承的>
    SYSTEM
    完全控制
      該文件夾,子文件夾及文件
      <不是繼承的>

    硬盤或文件夾: C:\Program Files\WindowsUpdate
     
    主要權限部分: 其他權限部分:
    Administrators
    完全控制

     
     
    該文件夾,子文件夾及文件
      <不是繼承的>
    CREATOR OWNER
    完全控制
     
    只有子文件夾及文件
     
    <不是繼承的>
    SYSTEM
    完全控制
      該文件夾,子文件夾及文件
      <不是繼承的>

    硬盤或文件夾: C:\WINDOWS
     
    主要權限部分: 其他權限部分:
    Administrators
    完全控制
    Users
    讀取和運行
     
    該文件夾,子文件夾及文件
     
    該文件夾,子文件夾及文件
      <不是繼承的>
     
    <不是繼承的>
    CREATOR OWNER
    完全控制    
     
    只有子文件夾及文件  
     
    <不是繼承的>  
    SYSTEM
    完全控制
     
      該文件夾,子文件夾及文件
      <不是繼承的>

    硬盤或文件夾: C:\WINDOWS\repair
     
    主要權限部分: 其他權限部分:
    Administrators
    完全控制
    IUSR_XXX
    或某個虛擬主機用戶組
     
    列出文件夾/讀取數據 :拒絕
     
    該文件夾,子文件夾及文件 該文件夾,子文件夾及文件
      <不是繼承的> <不是繼承的>
    CREATOR OWNER
    完全控制
     
     
    虛擬主機用戶訪問組拒絕讀取,有助于保護系統數據
    這里保護的是系統級數據SAM
     
    只有子文件夾及文件
     
    <不是繼承的>
    SYSTEM
    完全控制
      該文件夾,子文件夾及文件
      <不是繼承的>

    硬盤或文件夾: C:\WINDOWS\system32
     
    主要權限部分: 其他權限部分:
    Administrators
    完全控制
    Users
    讀取和運行
     
    該文件夾,子文件夾及文件
     
    該文件夾,子文件夾及文件
      <不是繼承的>
     
    <不是繼承的>
    CREATOR OWNER
    完全控制
    IUSR_XXX
    或某個虛擬主機用戶組
     
     
    列出文件夾/讀取數據 :拒絕
     
    只有子文件夾及文件 該文件夾,子文件夾及文件
     
    <不是繼承的> <不是繼承的>
    SYSTEM
    完全控制
    虛擬主機用戶訪問組拒絕讀取,有助于保護系統數據
      該文件夾,子文件夾及文件
      <不是繼承的>

    硬盤或文件夾: C:\WINDOWS\system32\config
     
    主要權限部分: 其他權限部分:
    Administrators
    完全控制
    Users
    讀取和運行
     
    該文件夾,子文件夾及文件
     
    該文件夾,子文件夾及文件
      <不是繼承的>
     
    <不是繼承的>
    CREATOR OWNER
    完全控制
    IUSR_XXX
    或某個虛擬主機用戶組
     
     
    列出文件夾/讀取數據 :拒絕
     
    只有子文件夾及文件 該文件夾,子文件夾及文件
     
    <不是繼承的> <繼承于上一級目錄>
    SYSTEM
    完全控制
    虛擬主機用戶訪問組拒絕讀取,有助于保護系統數據
      該文件夾,子文件夾及文件
      <不是繼承的>

    硬盤或文件夾: C:\WINDOWS\system32\inetsrv\
     
    主要權限部分: 其他權限部分:
    Administrators
    完全控制
    Users
    讀取和運行
     
    該文件夾,子文件夾及文件
     
    該文件夾,子文件夾及文件
      <不是繼承的>
     
    <不是繼承的>
    CREATOR OWNER
    完全控制
    IUSR_XXX
    或某個虛擬主機用戶組
     
     
    列出文件夾/讀取數據 :拒絕
     
    只有子文件夾及文件 只有該文件夾
     
    <不是繼承的> <繼承于上一級目錄>
    SYSTEM
    完全控制
    虛擬主機用戶訪問組拒絕讀取,有助于保護系統數據
      該文件夾,子文件夾及文件
      <不是繼承的>

    硬盤或文件夾: C:\WINDOWS\system32\inetsrv\ASP Compiled Templates
     
    主要權限部分: 其他權限部分:
    Administrators
    完全控制
    IIS_WPG
    完全控制
     
    該文件夾,子文件夾及文件   該文件夾,子文件夾及文件
      <不是繼承的>   <不是繼承的>
     
    IUSR_XXX
    或某個虛擬主機用戶組
     
     
    列出文件夾/讀取數據 :拒絕
    該文件夾,子文件夾及文件
    <繼承于上一級目錄>
    虛擬主機用戶訪問組拒絕讀取,有助于保護系統數據

    硬盤或文件夾: C:\WINDOWS\system32\inetsrv\iisadmpwd
     
    主要權限部分: 其他權限部分:
    Administrators
    完全控制
     
    該文件夾,子文件夾及文件
      <不是繼承的>
    CREATOR OWNER
    完全控制
     
    只有子文件夾及文件
     
    <不是繼承的>
    SYSTEM
    完全控制
      該文件夾,子文件夾及文件
      <不是繼承的>

    硬盤或文件夾: C:\WINDOWS\system32\inetsrv\MetaBack
     
    主要權限部分: 其他權限部分:
    Administrators
    完全控制
    Users
    讀取和運行
     
    該文件夾,子文件夾及文件
     
    該文件夾,子文件夾及文件
      <不是繼承的>
     
    <不是繼承的>
    CREATOR OWNER
    完全控制
    IUSR_XXX
    或某個虛擬主機用戶組
     
     
    列出文件夾/讀取數據 :拒絕
     
    只有子文件夾及文件 該文件夾,子文件夾及文件
     
    <不是繼承的> <繼承于上一級目錄>
    SYSTEM
    完全控制
    虛擬主機用戶訪問組拒絕讀取,有助于保護系統數據
      該文件夾,子文件夾及文件
      <不是繼承的>

    Winwebmail 電子郵局安裝后權限舉例:目錄E:\
     
    主要權限部分: 其他權限部分:
    Administrators
    完全控制
    IUSR_XXXXXX
    這個用戶是WINWEBMAIL訪問WEB站點專用帳戶
     
     
    讀取和運行
     
    該文件夾,子文件夾及文件 該文件夾,子文件夾及文件
      <不是繼承的> <不是繼承的>
    CREATOR OWNER
    完全控制
     
     
    只有子文件夾及文件
     
    <不是繼承的>
    SYSTEM
    完全控制
      該文件夾,子文件夾及文件
      <不是繼承的>

    Winwebmail 電子郵局安裝后權限舉例:目錄E:\WinWebMail
     
    主要權限部分: 其他權限部分:
    Administrators
    完全控制
     
    IUSR_XXXXXX
    WINWEBMAIL訪問WEB站點專用帳戶
     
    讀取和運行
     
    該文件夾,子文件夾及文件 該文件夾,子文件夾及文件
      <繼承于E:\> <繼承于E:\>
    CREATOR OWNER
    完全控制
    Users
     
     
    修改/讀取運行/列出文件目錄/讀取/寫入
     
    只有子文件夾及文件 該文件夾,子文件夾及文件
     
    <繼承于E:\> <不是繼承的>
    SYSTEM
    完全控制
    IUSR_XXXXXX
    WINWEBMAIL訪問WEB站點專用帳戶
     
     
    修改/讀取運行/列出文件目錄/讀取/寫入
      該文件夾,子文件夾及文件 該文件夾,子文件夾及文件
      <繼承于E:\> <不是繼承的>
    IUSR_XXXXXXIWAM_XXXXXX
    是winwebmail專用的IIS用戶和應用程序池用戶
    單獨使用,安全性能高
    IWAM_XXXXXX
    WINWEBMAIL應用程序池專用帳戶
     
     
    修改/讀取運行/列出文件目錄/讀取/寫入
    該文件夾,子文件夾及文件
    <不是繼承的>

    如果有問題請聯系QQ: 473413

     


     

    2、服務器安全設置之--系統服務篇(設置完畢需要重新啟動)

       *除非特殊情況非開不可,下列系統服務要■停止并禁用■:

     
    Alerter
    服務名稱:
    Alerter
    顯示名稱:
    Alerter
    服務描述:
    通知選定的用戶和計算機管理警報。如果服務停止,使用管理警報的程序將不會收到它們。如果此服務被禁用,任何直接依賴它的服務都將不能啟動。
    可執行文件路徑:
    E:\WINDOWS\system32\svchost.exe -k LocalService
    其他補充:
     
     
    Application Layer Gateway Service
    服務名稱:
    ALG
    顯示名稱:
    Application Layer Gateway Service
    服務描述:
    為應用程序級協議插件提供支持并啟用網絡/協議連接。如果此服務被禁用,任何依賴它的服務將無法啟動。
    可執行文件路徑:
    E:\WINDOWS\System32\alg.exe
    其他補充:
     
     
    Background Intelligent Transfer Service
    服務名稱:
    BITS
    顯示名稱:
    Background Intelligent Transfer Service
    服務描述:
    服務描述:利用空閑的網絡帶寬在后臺傳輸文件。如果服務被停用,例如 Windows Update 和 MSN Explorer 的功能將無法自動下載程序和其他信息。如果此服務被禁用,任何依賴它的服務如果沒有容錯技術以直接通過 IE 傳輸文件,一旦 BITS 被禁用,就可能無法傳輸文件。
    可執行文件路徑:
    E:\WINDOWS\system32\svchost.exe -k netsvcs
    其他補充:
     
     
    Computer Browser
    服務名稱:
    服務名稱:Browser
    顯示名稱:
    顯示名稱:Computer Browser
    服務描述:
    服務描述:維護網絡上計算機的更新列表,并將列表提供給計算機指定瀏覽。如果服務停止,列表不會被更新或維護。如果服務被禁用,任何直接依賴于此服務的服務將無法啟動。
    可執行文件路徑:
    可執行文件路徑: E:\WINDOWS\system32\svchost.exe -k netsvcs
    其他補充:
     
     
    Distributed File System
    服務名稱:
    Dfs
    顯示名稱:
    Distributed File System
    服務描述:
    將分散的文件共享合并成一個邏輯名稱空間并在局域網或廣域網上管理這些邏輯卷。如果這個服務被停止,用戶則無法訪問文件共享。如果這個服務被禁用,任何依賴它的服務將無法啟動。
    可執行文件路徑:
    E:\WINDOWS\system32\Dfssvc.exe
    其他補充:
     
     
    Help and Support
    服務名稱:
    helpsvc
    顯示名稱:
    Help and Support
    服務描述:
    啟用在此計算機上運行幫助和支持中心。如果停止服務,幫助和支持中心將不可用。如果禁用服務,任何直接依賴于此服務的服務將無法啟動。
    可執行文件路徑:
    E:\WINDOWS\System32\svchost.exe -k netsvcs
    其他補充:
     
     
    Messenger
    服務名稱:
    Messenger
    顯示名稱:
    Messenger
    服務描述:
    傳輸客戶端和服務器之間的 NET SEND 和 警報器服務消息。此服務與 Windows Messenger 無關。如果服務停止,警報器消息不會被傳輸。如果服務被禁用,任何直接依賴于此服務的服務將無法啟動。
    可執行文件路徑:
    E:\WINDOWS\system32\svchost.exe -k netsvcs
    其他補充:
     
     
    NetMeeting Remote Desktop Sharing
    服務名稱:
    mnmsrvc
    顯示名稱:
    NetMeeting Remote Desktop Sharing
    服務描述:
    允許經過授權的用戶用 NetMeeting 在公司 intranet 上遠程訪問這臺計算機。如果服務被停止,遠程桌面共享將不可用。如果服務被禁用,依賴這個服務的任何服務都會無法啟動。
    可執行文件路徑:
    E:\WINDOWS\system32\mnmsrvc.exe
    其他補充:
     
     
    Print Spooler
    服務名稱:
    Spooler
    顯示名稱:
    Print Spooler
    服務描述:
    管理所有本地和網絡打印隊列及控制所有打印工作。如果此服務被停用,本地計算機上的打印將不可用。如果此服務被禁用,任何依賴于它的服務將無法啟用。
    可執行文件路徑:
    E:\WINDOWS\system32\spoolsv.exe
    其他補充:
     
     
    Remote Registry
    服務名稱:
    RemoteRegistry
    顯示名稱:
    Remote Registry
    服務描述:
    使遠程用戶能修改此計算機上的注冊表設置。如果此服務被終止,只有此計算機上的用戶才能修改注冊表。如果此服務被禁用,任何依賴它的服務將無法啟動。
    可執行文件路徑:
    E:\WINDOWS\system32\svchost.exe -k regsvc
    其他補充:
     
     
    Task Scheduler
    服務名稱:
    Schedule
    顯示名稱:
    Task Scheduler
    服務描述:
    使用戶能在此計算機上配置和計劃自動任務。如果此服務被終止,這些任務將無法在計劃時間里運行。如果此服務被禁用,任何依賴它的服務將無法啟動。
    可執行文件路徑:
    E:\WINDOWS\System32\svchost.exe -k netsvcs
    其他補充:
     
     
    TCP/IP NetBIOS Helper
    服務名稱:
    LmHosts
    顯示名稱:
    TCP/IP NetBIOS Helper
    服務描述:
    提供 TCP/IP (NetBT) 服務上的 NetBIOS 和網絡上客戶端的 NetBIOS 名稱解析的支持,從而使用戶能夠共享文件、打印和登錄到網絡。如果此服務被停用,這些功能可能不可用。如果此服務被禁用,任何依賴它的服務將無法啟動。
    可執行文件路徑:
    E:\WINDOWS\system32\svchost.exe -k LocalService
    其他補充:
     
     
    Telnet
    服務名稱:
    TlntSvr
    顯示名稱:
    Telnet
    服務描述:
    允許遠程用戶登錄到此計算機并運行程序,并支持多種 TCP/IP Telnet 客戶端,包括基于 UNIX 和 Windows 的計算機。如果此服務停止,遠程用戶就不能訪問程序,任何直接依賴于它的服務將會啟動失敗。
    可執行文件路徑:
    E:\WINDOWS\system32\tlntsvr.exe
    其他補充:
     
     
    Workstation
    服務名稱:
    lanmanworkstation
    顯示名稱:
    Workstation
    服務描述:
    創建和維護到遠程服務的客戶端網絡連接。如果服務停止,這些連接將不可用。如果服務被禁用,任何直接依賴于此服務的服務將無法啟動。
    可執行文件路徑:
    E:\WINDOWS\system32\svchost.exe -k netsvcs
    其他補充:
     

        以上是windows2003server標準服務當中需要停止的服務,作為IIS網絡服務器,以上服務務必要停止,如果需要SSL證書服務,則設置方法不同,如果有問題請聯系QQ: 473413


    3、服務器安全設置之--組件安全設置篇 (非常重要?。?!)

    A、卸載WScript.Shell Shell.application 組件,將下面的代碼保存為一個.BAT文件執行(分2000和2003系統)
    windows2000.bat
    windows2003.bat
    B、改名不安全組件,需要注意的是組件的名稱和Clsid都要改,并且要改徹底了,不要照抄,要自己改
     
    【開始→運行→regedit→回車】打開注冊表編輯器

    然后【編輯→查找→填寫Shell.application→查找下一個】

    用這個方法能找到兩個注冊表項:

    {13709620-C279-11CE-A49E-444553540000}Shell.application 。

    第一步:為了確保萬無一失,把這兩個注冊表項導出來,保存為xxxx.reg 文件。

    第二步:比如我們想做這樣的更改

    13709620-C279-11CE-A49E-444553540000 改名為 13709620-C279-11CE-A49E-444553540001

    Shell.application 改名為 Shell.application_nohack

    第三步:那么,就把剛才導出的.reg文件里的內容按上面的對應關系替換掉,然后把修改好的.reg文件導入到注冊表中(雙擊即可),導入了改名后的注冊表項之后,別忘記了刪除原有的那兩個項目。這里需要注意一點,Clsid中只能是十個數字和ABCDEF六個字母。

    其實,只要把對應注冊表項導出來備份,然后直接改鍵名就可以了,
    改好的例子
    建議自己改
    應該可一次成功
    老杜評論:
    WScript.ShellShell.application 組件是 腳本入侵過程中,提升權限的重要環節,這兩個組件的卸載和修改對應注冊鍵名,可以很大程度的提高虛擬主機的腳本安全性能,一般來說,ASP和php類腳本提升權限的功能是無法實現了,再加上一些系統服務、硬盤訪問權限、端口過濾、本地安全策略的設置,虛擬主機因該說,安全性能有非常大的提高,黑客入侵的可能性是非常低了。注銷了Shell組件之后,侵入者運行提升工具的可能性就很小了,但是prel等別的腳本語言也有shell能力,為防萬一,還是設置一下為好。下面是另外一種設置,大同小異。
      一、禁止使用FileSystemObject組件

      FileSystemObject可以對文件進行常規操作,可以通過修改注冊表,將此組件改名,來防止此類木馬的危害。

      HKEY_CLASSES_ROOT\Scripting.FileSystemObject\

      改名為其它的名字,如:改為 FileSystemObject_ChangeName

      自己以后調用的時候使用這個就可以正常調用此組件了

      也要將clsid值也改一下

      HKEY_CLASSES_ROOT\Scripting.FileSystemObject\CLSID\項目的值

      也可以將其刪除,來防止此類木馬的危害。

      2000注銷此組件命令:RegSrv32 /u C:\WINNT\SYSTEM\scrrun.dll

      2003注銷此組件命令:RegSrv32 /u C:\WINDOWS\SYSTEM\scrrun.dll

      如何禁止Guest用戶使用scrrun.dll來防止調用此組件?

      使用這個命令:cacls C:\WINNT\system32\scrrun.dll /e /d guests

      二、禁止使用WScript.Shell組件

      WScript.Shell可以調用系統內核運行DOS基本命令

      可以通過修改注冊表,將此組件改名,來防止此類木馬的危害。

      HKEY_CLASSES_ROOT\WScript.Shell\及HKEY_CLASSES_ROOT\WScript.Shell.1\

      改名為其它的名字,如:改為WScript.Shell_ChangeName WScript.Shell.1_ChangeName

      自己以后調用的時候使用這個就可以正常調用此組件了

      也要將clsid值也改一下

      HKEY_CLASSES_ROOT\WScript.Shell\CLSID\項目的值

      HKEY_CLASSES_ROOT\WScript.Shell.1\CLSID\項目的值

      也可以將其刪除,來防止此類木馬的危害。

      三、禁止使用Shell.Application組件

      Shell.Application可以調用系統內核運行DOS基本命令

      可以通過修改注冊表,將此組件改名,來防止此類木馬的危害。

      HKEY_CLASSES_ROOT\Shell.Application\

      及

      HKEY_CLASSES_ROOT\Shell.Application.1\


      改名為其它的名字,如:改為Shell.Application_ChangeName Shell.Application.1_ChangeName

      自己以后調用的時候使用這個就可以正常調用此組件了

      也要將clsid值也改一下

      HKEY_CLASSES_ROOT\Shell.Application\CLSID\項目的值

      HKEY_CLASSES_ROOT\Shell.Application\CLSID\項目的值

      也可以將其刪除,來防止此類木馬的危害。

      禁止Guest用戶使用shell32.dll來防止調用此組件。

      2000使用命令:cacls C:\WINNT\system32\shell32.dll /e /d guests
      2003使用命令:cacls C:\WINDOWS\system32\shell32.dll /e /d guests

      注:操作均需要重新啟動WEB服務后才會生效。

      四、調用Cmd.exe

      禁用Guests組用戶調用cmd.exe

      2000使用命令:cacls C:\WINNT\system32\Cmd.exe /e /d guests
      2003使用命令:cacls C:\WINDOWS\system32\Cmd.exe /e /d guests

      通過以上四步的設置基本可以防范目前比較流行的幾種木馬,但最有效的辦法還是通過綜合安全設置,將服務器、程序安全都達到一定標準,才可能將安全等級設置較高,防范更多非法入侵。

     

    C、防止Serv-U權限提升 (適用于 Serv-U6.0 以前版本,之后可以直接設置密碼)
     

    先停掉Serv-U服務

    Ultraedit打開ServUDaemon.exe

    查找 Ascii:LocalAdministrator#l@$ak#.lk;0@P

    修改成等長度的其它字符就可以了,ServUAdmin.exe也一樣處理。

    另外注意設置Serv-U所在的文件夾的權限,不要讓IIS匿名用戶有讀取的權限,否則人家下走你修改過的文件,照樣可以分析出你的管理員名和密碼。

    http://www.ajiang.net/products/aspcheck/ (可以測試組件安全性)

    如果有問題請聯系QQ: 473413

    4、服務器安全設置之--IIS用戶設置方法

    IIS安全訪問的例子

    IIS基本設置  
       
       
    主機頭
    主機腳本
    硬盤目錄
    IIS用戶名
    硬盤權限
    應用程序池
    主目錄
    應用程序配置
    www.1.com
    HTM
    D:\www.1.com\
    IUSR_1.com
    Administrators(完全控制)
    IUSR_1.com(讀)
     
    可共用
    讀取/純腳本
    啟用父路徑
    www.2.com
    ASP
    D:\www.2.com\
    IUSR_1.com
    Administrators(完全控制)
    IUSR_2.com(讀/寫)
    可共用
    讀取/純腳本
    啟用父路徑
    www.3.com
    NET
    D:\www.3.com\
    IUSR_1.com
    Administrators(完全控制)
    IWAM_3.com(讀/寫)
    IUSR_3.com(讀/寫)
    獨立池
    讀取/純腳本
    啟用父路徑
    www.4.com
    PHP
    D:\www.4.com\
    IUSR_1.com
    Administrators(完全控制)
    IWAM_4.com(讀/寫)
    IUSR_4.com(讀/寫)
    獨立池
    讀取/純腳本
    啟用父路徑
    其中 IWAM_3.comIWAM_4.com 分別是各自獨立應用程序池標識中的啟動帳戶

    主機腳本類型
    應用程序擴展名 (就是文件后綴名)對應主機腳本,只需要加載以下的應用程序擴展
    HTM
    STM | SHTM | SHTML | MDB
    ASP
    ASP | ASA | MDB
    NET
    ASPX | ASAX | ASCX| ASHX | ASMX | AXD | VSDISCO | REM | SOAP | CONFIG |
    CS |CSPROJ | VB | VBPROJ | WEBINFO | LICX | RESX | RESOURCES | MDB
    PHP
    PHP | PHP3 | PHP4

    MDB是共用映射,下面用紅色表示

    應用程序擴展
    映射文件 執行動作
    STM=.stm
    C:\WINDOWS\system32\inetsrv\ssinc.dll GET,POST
    SHTM=.shtm
    C:\WINDOWS\system32\inetsrv\ssinc.dll GET,POST
    SHTML=.shtml
    C:\WINDOWS\system32\inetsrv\ssinc.dll GET,POST
    ASP=.asp
    C:\WINDOWS\system32\inetsrv\asp.dll GET,HEAD,POST,TRACE
    ASA=.asa
    C:\WINDOWS\system32\inetsrv\asp.dll GET,HEAD,POST,TRACE
    ASPX=.aspx
    C:\WINDOWS\Microsoft.NET\Framework\v1.1.4322\aspnet_isapi.dll GET,HEAD,POST,DEBUG
    ASAX=.asax
    C:\WINDOWS\Microsoft.NET\Framework\v1.1.4322\aspnet_isapi.dll GET,HEAD,POST,DEBUG
    ASCX=.ascx
    C:\WINDOWS\Microsoft.NET\Framework\v1.1.4322\aspnet_isapi.dll GET,HEAD,POST,DEBUG
    ASHX=.ashx
    C:\WINDOWS\Microsoft.NET\Framework\v1.1.4322\aspnet_isapi.dll GET,HEAD,POST,DEBUG
    ASMX=.asmx
    C:\WINDOWS\Microsoft.NET\Framework\v1.1.4322\aspnet_isapi.dll GET,HEAD,POST,DEBUG
    AXD=.axd
    C:\WINDOWS\Microsoft.NET\Framework\v1.1.4322\aspnet_isapi.dll GET,HEAD,POST,DEBUG
    VSDISCO=.vsdisco
    C:\WINDOWS\Microsoft.NET\Framework\v1.1.4322\aspnet_isapi.dll GET,HEAD,POST,DEBUG
    REM=.rem
    C:\WINDOWS\Microsoft.NET\Framework\v1.1.4322\aspnet_isapi.dll GET,HEAD,POST,DEBUG
    SOAP=.soap
    C:\WINDOWS\Microsoft.NET\Framework\v1.1.4322\aspnet_isapi.dll GET,HEAD,POST,DEBUG
    CONFIG=.config
    C:\WINDOWS\Microsoft.NET\Framework\v1.1.4322\aspnet_isapi.dll GET,HEAD,POST,DEBUG
    CS=.cs
    C:\WINDOWS\Microsoft.NET\Framework\v1.1.4322\aspnet_isapi.dll GET,HEAD,POST,DEBUG
    CSPROJ=.csproj
    C:\WINDOWS\Microsoft.NET\Framework\v1.1.4322\aspnet_isapi.dll GET,HEAD,POST,DEBUG
    VB=.vb
    C:\WINDOWS\Microsoft.NET\Framework\v1.1.4322\aspnet_isapi.dll GET,HEAD,POST,DEBUG
    VBPROJ=.vbproj
    C:\WINDOWS\Microsoft.NET\Framework\v1.1.4322\aspnet_isapi.dll GET,HEAD,POST,DEBUG
    WEBINFO=.webinfo
    C:\WINDOWS\Microsoft.NET\Framework\v1.1.4322\aspnet_isapi.dll GET,HEAD,POST,DEBUG
    LICX=.licx
    C:\WINDOWS\Microsoft.NET\Framework\v1.1.4322\aspnet_isapi.dll GET,HEAD,POST,DEBUG
    RESX=.resx
    C:\WINDOWS\Microsoft.NET\Framework\v1.1.4322\aspnet_isapi.dll GET,HEAD,POST,DEBUG
    RESOURCES=.resources
    C:\WINDOWS\Microsoft.NET\Framework\v1.1.4322\aspnet_isapi.dll GET,HEAD,POST,DEBUG
    PHP=.php
    C:\php5\php5isapi.dll GET,HEAD,POST
    PHP3=.php3
    C:\php5\php5isapi.dll GET,HEAD,POST
    PHP4=.php4
    C:\php5\php5isapi.dll GET,HEAD,POST
    MDB=.mdb
    C:\WINDOWS\system32\inetsrv\ssinc.dll GET,POST

    ASP.NET 進程帳戶所需的 NTFS 權限

    目錄 所需權限

    Temporary ASP.NET Files%windir%\Microsoft.NET\Framework\{版本}Temporary ASP.NET Files

    進程帳戶和模擬標識:
    完全控制

    臨時目錄 (%temp%)

    進程帳戶
    完全控制

    .NET Framework 目錄%windir%\Microsoft.NET\Framework\{版本}

    進程帳戶和模擬標識:
    讀取和執行
    列出文件夾內容
    讀取

    .NET Framework 配置目錄%windir%\Microsoft.NET\Framework\{版本}\CONFIG

    進程帳戶和模擬標識:
    讀取和執行
    列出文件夾內容
    讀取

    網站根目錄
    C:\inetpub\wwwroot
    或默認網站指向的路徑

    進程帳戶:
    讀取

    系統根目錄
    %windir%\system32

    進程帳戶:
    讀取

    全局程序集高速緩存
    %windir%\assembly

    進程帳戶和模擬標識:
    讀取

    內容目錄
    C:\inetpub\wwwroot\YourWebApp
    (一般來說不用默認目錄,管理員可根據實際情況調整比如D:\wwwroot)

    進程帳戶:
    讀取和執行
    列出文件夾內容
    讀取
    注意 對于 .NET Framework 1.0,直到文件系統根目錄的所有父目錄也都需要上述權限。父目錄包括:
    C:\
    C:\inetpub\
    C:\inetpub\wwwroot\

    如果有問題請聯系QQ: 473413


    5、 服務器安全設置之--服務器安全和性能配置

    把下面文本保存為: windows2000-2003服務器安全和性能注冊表自動配置文件.reg 運行即可。
    功能:可抵御DDOS攻擊2-3萬包,提高服務器TCP-IP整體安全性能(效果等于軟件防火墻,節約了系統資源)


    6、服務器安全設置之--IP安全策略 (僅僅列出需要屏蔽或阻止的端口或協議)

    協議
    IP協議端口
    源地址
    目標地址
    描述
    方式
    ICMP -- -- --
    ICMP
    阻止
    UDP
    135
    任何IP地址
    我的IP地址
    135-UDP
    阻止
    UDP
    136
    任何IP地址
    我的IP地址
    136-UDP
    阻止
    UDP
    137
    任何IP地址
    我的IP地址
    137-UDP
    阻止
    UDP
    138
    任何IP地址
    我的IP地址
    138-UDP
    阻止
    UDP
    139
    任何IP地址
    我的IP地址
    139-UDP
    阻止
    TCP
    445
    任何IP地址-從任意端口
    我的IP地址-445
    445-TCP
    阻止
    UDP
    445
    任何IP地址-從任意端口
    我的IP地址-445
    445-UDP
    阻止
    UDP 69 任何IP地址-從任意端口 我的IP地址-69
    69-入
    阻止
    UDP 69 我的IP地址-69 任何IP地址-任意端口 69-出
    阻止
    TCP 4444 任何IP地址-從任意端口 我的IP地址-4444 4444-TCP
    阻止
    TCP 1026 我的IP地址-1026 任何IP地址-任意端口 灰鴿子-1026
    阻止
    TCP 1027 我的IP地址-1027 任何IP地址-任意端口 灰鴿子-1027
    阻止
    TCP 1028 我的IP地址-1028 任何IP地址-任意端口 灰鴿子-1028
    阻止
    UDP
    1026 我的IP地址-1026 任何IP地址-任意端口 灰鴿子-1026
    阻止
    UDP 1027 我的IP地址-1027 任何IP地址-任意端口 灰鴿子-1027
    阻止
    UDP 1028 我的IP地址-1028 任何IP地址-任意端口 灰鴿子-1028
    阻止
    TCP 21 我的IP地址-從任意端口 任何IP地址-到21端口 阻止tftp出站
    阻止
    TCP 99 我的IP地址-99 任何IP地址-任意端口 阻止99shell
    阻止

    以上是IP安全策略里的設置,可以根據實際情況,增加或刪除端口,如果不會設置,可以加我QQ,有償協助。
     


    7、服務器安全設置之--本地安全策略設置

    安全策略自動更新命令:GPUpdate /force (應用組策略自動生效不需重新啟動)


       開始菜單—>管理工具—>本地安全策略

       A、本地策略——>審核策略

      
    審核策略更改   成功 失敗  
       審核登錄事件   成功 失敗
       審核對象訪問      失敗
       審核過程跟蹤   無審核
       審核目錄服務訪問    失敗
       審核特權使用      失敗
       審核系統事件   成功 失敗
       審核賬戶登錄事件 成功 失敗
       審核賬戶管理   成功 失敗

      B、本地策略——>用戶權限分配

       關閉系統:只有Administrators組、其它全部刪除。
       通過終端服務拒絕登陸:加入Guests、(千萬不能加入User組,不然遠程無法登錄)
       通過終端服務允許登陸:只加入Administrators組,其他全部刪除

      C、本地策略——>安全選項

       交互式登陸:不顯示上次的用戶名       啟用
       網絡訪問:不允許SAM帳戶和共享的匿名枚舉   啟用
       網絡訪問:不允許為網絡身份驗證儲存憑證   啟用
       網絡訪問:可匿名訪問的共享         全部刪除
       網絡訪問:可匿名訪問的命          全部刪除
       網絡訪問:可遠程訪問的注冊表路徑      全部刪除
       網絡訪問:可遠程訪問的注冊表路徑和子路徑  全部刪除
       帳戶:重命名來賓帳戶            重命名一個帳戶
       帳戶:重命名系統管理員帳戶         重命名一個帳戶

     

    UI 中的設置名稱 企業客戶端臺式計算機 企業客戶端便攜式計算機 高安全級臺式計算機 高安全級便攜式計算機

    帳戶: 使用空白密碼的本地帳戶只允許進行控制臺登錄

    已啟用

    已啟用

    已啟用

    已啟用

    帳戶: 重命名系統管理員帳戶

    推薦

    推薦

    推薦

    推薦

    帳戶: 重命名來賓帳戶

    推薦

    推薦

    推薦

    推薦

    設備: 允許不登錄移除

    已禁用

    已啟用

    已禁用

    已禁用

    設備: 允許格式化和彈出可移動媒體

    Administrators, Interactive Users

    Administrators, Interactive Users

    Administrators

    Administrators

    設備: 防止用戶安裝打印機驅動程序

    已啟用

    已禁用

    已啟用

    已禁用

    設備: 只有本地登錄的用戶才能訪問 CD-ROM

    已禁用

    已禁用

    已啟用

    已啟用

    設備: 只有本地登錄的用戶才能訪問軟盤

    已啟用

    已啟用

    已啟用

    已啟用

    設備: 未簽名驅動程序的安裝操作

    允許安裝但發出警告

    允許安裝但發出警告

    禁止安裝

    禁止安裝

    域成員: 需要強 (Windows 2000 或以上版本) 會話密鑰

    已啟用

    已啟用

    已啟用

    已啟用

    交互式登錄: 不顯示上次的用戶名

    已啟用

    已啟用

    已啟用

    已啟用

    交互式登錄: 不需要按 CTRL+ALT+DEL

    已禁用

    已禁用

    已禁用

    已禁用

    交互式登錄: 用戶試圖登錄時消息文字

    此系統限制為僅授權用戶。嘗試進行未經授權訪問的個人將受到起訴。

    此系統限制為僅授權用戶。嘗試進行未經授權訪問的個人將受到起訴。

    此系統限制為僅授權用戶。嘗試進行未經授權訪問的個人將受到起訴。

    此系統限制為僅授權用戶。嘗試進行未經授權訪問的個人將受到起訴。

    交互式登錄: 用戶試圖登錄時消息標題

    繼續在沒有適當授權的情況下使用是違法行為。

    繼續在沒有適當授權的情況下使用是違法行為。

    繼續在沒有適當授權的情況下使用是違法行為。

    繼續在沒有適當授權的情況下使用是違法行為。

    交互式登錄: 可被緩存的前次登錄個數 (在域控制器不可用的情況下)

    2

    2

    0

    1

    交互式登錄: 在密碼到期前提示用戶更改密碼

    14 天

    14 天

    14 天

    14 天

    交互式登錄: 要求域控制器身份驗證以解鎖工作站

    已禁用

    已禁用

    已啟用

    已禁用

    交互式登錄: 智能卡移除操作

    鎖定工作站

    鎖定工作站

    鎖定工作站

    鎖定工作站

    Microsoft 網絡客戶: 數字簽名的通信(若服務器同意)

    已啟用

    已啟用

    已啟用

    已啟用

    Microsoft 網絡客戶: 發送未加密的密碼到第三方 SMB 服務器。

    已禁用

    已禁用

    已禁用

    已禁用

    Microsoft 網絡服務器: 在掛起會話之前所需的空閑時間

    15 分鐘

    15 分鐘

    15 分鐘

    15 分鐘

    Microsoft 網絡服務器: 數字簽名的通信(總是)

    已啟用

    已啟用

    已啟用

    已啟用

    Microsoft 網絡服務器: 數字簽名的通信(若客戶同意)

    已啟用

    已啟用

    已啟用

    已啟用

    Microsoft 網絡服務器: 當登錄時間用完時自動注銷用戶

    已啟用

    已禁用

    已啟用

    已禁用

    網絡訪問: 允許匿名 SID/名稱 轉換

    已禁用

    已禁用

    已禁用

    已禁用

    網絡訪問: 不允許 SAM 帳戶和共享的匿名枚舉

    已啟用

    已啟用

    已啟用

    已啟用

    網絡訪問: 不允許 SAM 帳戶和共享的匿名枚舉

    已啟用

    已啟用

    已啟用

    已啟用

    網絡訪問: 不允許為網絡身份驗證儲存憑據或 .NET Passports

    已啟用

    已啟用

    已啟用

    已啟用

    網絡訪問: 限制匿名訪問命名管道和共享

    已啟用

    已啟用

    已啟用

    已啟用

    網絡訪問: 本地帳戶的共享和安全模式

    經典 - 本地用戶以自己的身份驗證

    經典 - 本地用戶以自己的身份驗證

    經典 - 本地用戶以自己的身份驗證

    經典 - 本地用戶以自己的身份驗證

    網絡安全: 不要在下次更改密碼時存儲 LAN Manager 的哈希值

    已啟用

    已啟用

    已啟用

    已啟用

    網絡安全: 在超過登錄時間后強制注銷

    已啟用

    已禁用

    已啟用

    已禁用

    網絡安全: LAN Manager 身份驗證級別

    僅發送 NTLMv2 響應

    僅發送 NTLMv2 響應

    僅發送 NTLMv2 響應\拒絕 LM & NTLM

    僅發送 NTLMv2 響應\拒絕 LM & NTLM

    網絡安全: 基于 NTLM SSP(包括安全 RPC)客戶的最小會話安全

    沒有最小

    沒有最小

    要求 NTLMv2 會話安全 要求 128-位加密

    要求 NTLMv2 會話安全 要求 128-位加密

    網絡安全: 基于 NTLM SSP(包括安全 RPC)服務器的最小會話安全

    沒有最小

    沒有最小

    要求 NTLMv2 會話安全 要求 128-位加密

    要求 NTLMv2 會話安全 要求 128-位加密

    故障恢復控制臺: 允許自動系統管理級登錄

    已禁用

    已禁用

    已禁用

    已禁用

    故障恢復控制臺: 允許對所有驅動器和文件夾進行軟盤復制和訪問

    已啟用

    已啟用

    已禁用

    已禁用

    關機: 允許在未登錄前關機

    已禁用

    已禁用

    已禁用

    已禁用

    關機: 清理虛擬內存頁面文件

    已禁用

    已禁用

    已啟用

    已啟用

    系統加密: 使用 FIPS 兼容的算法來加密,哈希和簽名

    已禁用

    已禁用

    已禁用

    已禁用

    系統對象: 由管理員 (Administrators) 組成員所創建的對象默認所有者

    對象創建者

    對象創建者

    對象創建者

    對象創建者

    系統設置: 為軟件限制策略對 Windows 可執行文件使用證書規則

    已禁用

    已禁用

    已禁用

    已禁用


    8、防御PHP木馬攻擊的技巧

     

      PHP本身再老版本有一些問題,比如在 php4.3.10和php5.0.3以前有一些比較嚴重的bug,所以推薦使用新版。另外,目前鬧的轟轟烈烈的SQL   Injection也是在PHP上有很多利用方式,所以要保證
      安全,PHP代碼編寫是一方面,PHP的配置更是非常關鍵。
      我們php手手工安裝的,php的默認配置文件在 /usr/local/apache2/conf/php.ini,我們最主要就是要配置php.ini中的內容,讓我們執行  php能夠更安全。整個PHP中的安全設置主要是為了防止phpshell和SQL Injection的攻擊,一下我們慢慢探討。我們先使用任何編輯工具打開  /etc/local/apache2/conf/php.ini,如果你是采用其他方式安裝,配置文件可能不在該目錄。

      (1) 打開php的安全模式

      php的安全模式是個非常重要的內嵌的安全機制,能夠控制一些php中的函數,比如system(),
      同時把很多文件操作函數進行了權限控制,也不允許對某些關鍵文件的文件,比如/etc/passwd,
      但是默認的php.ini是沒有打開安全模式的,我們把它打開:
      safe_mode = on

      (2) 用戶組安全

      當safe_mode打開時,safe_mode_gid被關閉,那么php腳本能夠對文件進行訪問,而且相同
      組的用戶也能夠對文件進行訪問。
      建議設置為:

      safe_mode_gid = off

      如果不進行設置,可能我們無法對我們服務器網站目錄下的文件進行操作了,比如我們需要
      對文件進行操作的時候。

      (3) 安全模式下執行程序主目錄

      如果安全模式打開了,但是卻是要執行某些程序的時候,可以指定要執行程序的主目錄:

      safe_mode_exec_dir = D:/usr/bin

      一般情況下是不需要執行什么程序的,所以推薦不要執行系統程序目錄,可以指向一個目錄,
      然后把需要執行的程序拷貝過去,比如:

      safe_mode_exec_dir = D:/tmp/cmd

      但是,我更推薦不要執行任何程序,那么就可以指向我們網頁目錄:

      safe_mode_exec_dir = D:/usr/www

      (4) 安全模式下包含文件

      如果要在安全模式下包含某些公共文件,那么就修改一下選項:

      safe_mode_include_dir = D:/usr/www/include/

      其實一般php腳本中包含文件都是在程序自己已經寫好了,這個可以根據具體需要設置。

      (5) 控制php腳本能訪問的目錄

      使用open_basedir選項能夠控制PHP腳本只能訪問指定的目錄,這樣能夠避免PHP腳本訪問
      不應該訪問的文件,一定程度上限制了phpshell的危害,我們一般可以設置為只能訪問網站目錄:

      open_basedir = D:/usr/www

      (6) 關閉危險函數

      如果打開了安全模式,那么函數禁止是可以不需要的,但是我們為了安全還是考慮進去。比如,
      我們覺得不希望執行包括system()等在那的能夠執行命令的php函數,或者能夠查看php信息的
      phpinfo()等函數,那么我們就可以禁止它們:

      disable_functions = system,passthru,exec,shell_exec,popen,phpinfo

      如果你要禁止任何文件和目錄的操作,那么可以關閉很多文件操作

      disable_functions = chdir,chroot,dir,getcwd,opendir,readdir,scandir,fopen,unlink,delete,copy,mkdir,   rmdir,rename,file,file_get_contents,fputs,fwrite,chgrp,chmod,chown

      以上只是列了部分不叫常用的文件處理函數,你也可以把上面執行命令函數和這個函數結合,
      就能夠抵制大部分的phpshell了。

      (7) 關閉PHP版本信息在http頭中的泄漏

      我們為了防止黑客獲取服務器中php版本的信息,可以關閉該信息斜路在http頭中:

      expose_php = Off

      比如黑客在 telnet www.12345.com 80 的時候,那么將無法看到PHP的信息。

      (8) 關閉注冊全局變量

      在PHP中提交的變量,包括使用POST或者GET提交的變量,都將自動注冊為全局變量,能夠直接訪問,
      這是對服務器非常不安全的,所以我們不能讓它注冊為全局變量,就把注冊全局變量選項關閉:
      register_globals = Off
      當然,如果這樣設置了,那么獲取對應變量的時候就要采用合理方式,比如獲取GET提交的變量var,
      那么就要用$_GET['var']來進行獲取,這個php程序員要注意。

      (9) 打開magic_quotes_gpc來防止SQL注入

      SQL注入是非常危險的問題,小則網站后臺被入侵,重則整個服務器淪陷,

      所以一定要小心。php.ini中有一個設置:

      magic_quotes_gpc = Off

      這個默認是關閉的,如果它打開后將自動把用戶提交對sql的查詢進行轉換,
      比如把 ' 轉為 \'等,這對防止sql注射有重大作用。所以我們推薦設置為:

      magic_quotes_gpc = On

      (10) 錯誤信息控制

      一般php在沒有連接到數據庫或者其他情況下會有提示錯誤,一般錯誤信息中會包含php腳本當
      前的路徑信息或者查詢的SQL語句等信息,這類信息提供給黑客后,是不安全的,所以一般服務器建議禁止錯誤提示:

      display_errors = Off

      如果你卻是是要顯示錯誤信息,一定要設置顯示錯誤的級別,比如只顯示警告以上的信息:

      error_reporting = E_WARNING & E_ERROR

      當然,我還是建議關閉錯誤提示。

      (11) 錯誤日志

      建議在關閉display_errors后能夠把錯誤信息記錄下來,便于查找服務器運行的原因:

      log_errors = On

      同時也要設置錯誤日志存放的目錄,建議根apache的日志存在一起:

      error_log = D:/usr/local/apache2/logs/php_error.log

      注意:給文件必須允許apache用戶的和組具有寫的權限。


      MYSQL的降權運行

      新建立一個用戶比如mysqlstart

      net user mysqlstart fuckmicrosoft /add

      net localgroup users mysqlstart /del

      不屬于任何組

      如果MYSQL裝在d:\mysql ,那么,給 mysqlstart 完全控制 的權限

      然后在系統服務中設置,MYSQL的服務屬性,在登錄屬性當中,選擇此用戶 mysqlstart 然后輸入密碼,確定。

      重新啟動 MYSQL服務,然后MYSQL就運行在低權限下了。

      如果是在windos平臺下搭建的apache我們還需要注意一點,apache默認運行是system權限,
      這很恐怖,這讓人感覺很不爽.那我們就給apache降降權限吧。

      net user apache fuckmicrosoft /add

      net localgroup users apache /del

      ok.我們建立了一個不屬于任何組的用戶apche。

      我們打開計算機管理器,選服務,點apache服務的屬性,我們選擇log on,選擇this account,我們填入上面所建立的賬戶和密碼,
      重啟apache服務,ok,apache運行在低權限下了。

      實際上我們還可以通過設置各個文件夾的權限,來讓apache用戶只能執行我們想讓它能干的事情,給每一個目錄建立一個單獨能讀寫的用戶。
      這也是當前很多虛擬主機提供商的流行配置方法哦,不過這種方法用于防止這里就顯的有點大材小用了。

     

    有問題可以和我QQ聯系:473413


    9、MSSQL安全設置

    sql2000安全很重要


    將有安全問題的SQL過程刪除.比較全面.一切為了安全!

    刪除了調用shell,注冊表,COM組件的破壞權限

    use master
    EXEC sp_dropextendedproc 'xp_cmdshell'
    EXEC sp_dropextendedproc 'Sp_OACreate'
    EXEC sp_dropextendedproc 'Sp_OADestroy'
    EXEC sp_dropextendedproc 'Sp_OAGetErrorInfo'
    EXEC sp_dropextendedproc 'Sp_OAGetProperty'
    EXEC sp_dropextendedproc 'Sp_OAMethod'
    EXEC sp_dropextendedproc 'Sp_OASetProperty'
    EXEC sp_dropextendedproc 'Sp_OAStop'
    EXEC sp_dropextendedproc 'Xp_regaddmultistring'
    EXEC sp_dropextendedproc 'Xp_regdeletekey'
    EXEC sp_dropextendedproc 'Xp_regdeletevalue'
    EXEC sp_dropextendedproc 'Xp_regenumvalues'
    EXEC sp_dropextendedproc 'Xp_regread'
    EXEC sp_dropextendedproc 'Xp_regremovemultistring'
    EXEC sp_dropextendedproc 'Xp_regwrite'
    drop procedure sp_makewebtask

    全部復制到"SQL查詢分析器"

    點擊菜單上的--"查詢"--"執行",就會將有安全問題的SQL過程刪除(以上是7i24的正版用戶的技術支持)

    更改默認SA空密碼.數據庫鏈接不要使用SA帳戶.單數據庫單獨設使用帳戶.只給public和db_owner權限.

    數據庫不要放在默認的位置.

    SQL不要安裝在PROGRAM FILE目錄下面.

    最近的SQL2000補丁是SP4

    有問題可以和我QQ聯系:473413


    10、啟用WINDOWS自帶的防火墻
      

    啟用win防火墻

       桌面—>網上鄰居—>(右鍵)屬性—>本地連接—>(右鍵)屬性—>高級—>

     ?。ㄟx中)Internet 連接防火墻—>設置

       把服務器上面要用到的服務端口選中

       例如:一臺WEB服務器,要提供WEB(80)、FTP(21)服務及遠程桌面管理(3389)

       在“FTP 服務器”、“WEB服務器(HTTP)”、“遠程桌面”、“安全WEB服務器”前面打上對號

       如果你要提供服務的端口不在里面,你也可以點擊“添加”銨鈕來添加,SMTP和POP3根據需要打開

       具體參數可以參照系統里面原有的參數。

       然后點擊確定。注意:如果是遠程管理這臺服務器,請先確定遠程管理的端口是否選中或添加。

       一般需要打開的端口有:21、 25、 80、 110、 443、 3389、 等,根據需要開放需要的端口。

      
     

    有問題可以和我QQ聯系:473413


    11、用戶安全設置
      

    用戶安全設置

    用戶安全設置

    1、禁用Guest賬號

    在計算機管理的用戶里面把Guest賬號禁用。為了保險起見,最好給Guest加一個復雜的密碼。你可以打開記事本,在里面輸入一串包含特殊字符、數字、字母的長字符串,然后把它作為Guest用戶的密碼拷進去。

    2、限制不必要的用戶

    去掉所有的Duplicate User用戶、測試用戶、共享用戶等等。用戶組策略設置相應權限,并且經常檢查系統的用戶,刪除已經不再使用的用戶。這些用戶很多時候都是黑客們入侵系統的突破口。

    3、創建兩個管理員賬號

    創建一個一般權限用戶用來收信以及處理一些日常事物,另一個擁有Administrators 權限的用戶只在需要的時候使用。

    4、把系統Administrator賬號改名

    大家都知道,Windows 2000 的Administrator用戶是不能被停用的,這意味著別人可以一遍又一遍地嘗試這個用戶的密碼。盡量把它偽裝成普通用戶,比如改成Guesycludx。

    5、創建一個陷阱用戶

    什么是陷阱用戶?即創建一個名為“Administrator”的本地用戶,把它的權限設置成最低,什么事也干不了的那種,并且加上一個超過10位的超級復雜密碼。這樣可以讓那些 Hacker們忙上一段時間,借此發現它們的入侵企圖。

    6、把共享文件的權限從Everyone組改成授權用戶

    任何時候都不要把共享文件的用戶設置成“Everyone”組,包括打印共享,默認的屬性就是“Everyone”組的,一定不要忘了改。

    7、開啟用戶策略

    使用用戶策略,分別設置復位用戶鎖定計數器時間為20分鐘,用戶鎖定時間為20分鐘,用戶鎖定閾值為3次。

    8、不讓系統顯示上次登錄的用戶名

    默認情況下,登錄對話框中會顯示上次登錄的用戶名。這使得別人可以很容易地得到系統的一些用戶名,進而做密碼猜測。修改注冊表可以不讓對話框里顯示上次登錄的用戶名。方法為:打開注冊表編輯器并找到注冊表項“HKLMSoftwareMicrosoftWindows TCurrentVersionWinlogonDo, nt-DisplayLastUserName”,把REG_SZ的鍵值改成1。

    密碼安全設置

    1、使用安全密碼

    一些公司的管理員創建賬號的時候往往用公司名、計算機名做用戶名,然后又把這些用戶的密碼設置得太簡單,比如“welcome”等等。因此,要注意密碼的復雜性,還要記住經常改密碼。

    2、設置屏幕保護密碼

    這是一個很簡單也很有必要的操作。設置屏幕保護密碼也是防止內部人員破壞服務器的一個屏障。

    3、開啟密碼策略

    注意應用密碼策略,如啟用密碼復雜性要求,設置密碼長度最小值為6位 ,設置強制密碼歷史為5次,時間為42天。

    4、考慮使用智能卡來代替密碼

    對于密碼,總是使安全管理員進退兩難,密碼設置簡單容易受到黑客的攻擊,密碼設置復雜又容易忘記。如果條件允許,用智能卡來代替復雜的密碼是一個很好的解決方法。
     

    有問題可以和我QQ聯系:473413


    12、Windows2003 下安裝 WinWebMail 3.6.3.1 完全攻略手冊

    這段時間論壇上有朋友提及無法在WINDOWS2003+IIS6下面建立WINWEBMAIL郵件,遇到不一些問題,特意將這篇舊文重新發一次給大家

    1)查看硬盤:兩塊9.1G SCSI 硬盤(實容量8.46*2)

    2)分區
    系統分區X盤7.49G
    WEB 分區X盤1.0G
    郵件分區X盤8.46G(帶1000個100M的郵箱足夠了)

    3)安裝WINDOWS SERVER 2003

    4)打基本補丁(防毒)...在這之前一定不要接網線!

    5)在線打補丁

    6)卸載或禁用微軟的SMTP服務(Simple Mail Transpor Protocol),否則會發生端口沖突

    7)安裝WinWebMail,然后重啟服務器使WinWebMail完成安裝.并注冊.然后恢復WinWebMail數據.

    8)安裝Norton 8.0并按WinWebMail幫助內容設定,使Norton與WinWebMail聯合起到郵件殺毒作用(將Norton更新到最新的病毒庫)
    8.1 啟用Norton的實時防護功能
    8.2 必須要設置對于宏病毒和非宏病毒的第1步操作都必須是刪除被感染文件,并且必須關閉警告提示??!
    8.3 必須要在查毒設置中排除掉安裝目錄下的 \mail 及其所有子目錄,只針對WinWebMail安裝文件夾下的 \temp 文件夾進行實時查毒。注意:如果沒有 \temp 文件夾時,先手工創建此 \temp 文件夾,然后再進行此項設置。

    9)將WinWebMail的DNS設置為win2k3中網絡設置的DNS,切記,要想發的出去最好設置一個不同的備用DNS地址,對外發信的就全靠這些DNS地址了

    10)給予安裝 WinWebMail 的盤符以及父目錄以 Internet 來賓帳戶 (IUSR_*) 允許 [讀取\運行\列出文件夾目錄] 的權限.
    WinWebMail的安裝目錄,INTERNET訪問帳號完全控制
    給予[超級用戶/SYSTEM]在安裝盤和目錄中[完全控制]權限,重啟IIS以保證設定生效.

    11)防止外發垃圾郵件:
    11.1 在服務器上點擊右下角圖標,然后在彈出菜單的“系統設置”-->“收發規則”中選中“啟用SMTP發信認證功能”項,有效的防范外發垃圾郵件。
    11.2 在“系統設置”-->“收發規則”中選中“只允許系統內用戶對外發信”項。
    11.3 在服務器上點擊右下角圖標,然后在彈出菜單的“系統設置”-->“防護”頁選中“啟用外發垃圾郵件自動過濾功能”項,然后再啟用其設置中的“允許自動調整”項。
    11.4 “系統設置”-->“收發規則”中設置“最大收件人數”-----> 10.
    11.5 “系統設置”-->“防護”頁選中“啟用連接攻擊保護功能”項,然后再設置“啟用自動保護功能”.
    11.6 用戶級防付垃圾郵件,需登錄WebMail,在“選項 | 防垃圾郵件”中進行設置。

    12)打開IIS 6.0, 確認啟用支持 asp 功能, 然后在默認站點下建一個虛擬目錄(如: mail), 然后指向安裝 WinWebMail 目錄下的 \Web 子目錄, 打開瀏覽器就可以按下面的地址訪問webmail了:
    http://<;;你的IP或域名>/mail/什么? 嫌麻煩不想建? 那可要錯過WinWebMail強大的webmail功能了, 3分鐘的設置保證物超所值 :)

    13)Web基本設置:
    13.1 確認“系統設置”-->“資源使用設置”內沒有選中“公開申請的是含域名帳號”
    13.2 “系統設置”-->“收發規則”中設置Helo為您域名的MX記錄

    13.3.解決SERVER 2003不能上傳大附件的問題:
    13.3.1 在服務里關閉 iis admin service 服務。
    13.3.2 找到 windows\system32\inetsrv\ 下的 metabase.xml 文件。
    13.3.3 用純文本方式打開,找到 ASPMaxRequestEntityAllowed 把它修改為需要的值(可修改為10M即:10240000),默認為:204800,即:200K。
    13.3.4 存盤,然后重啟 iis admin service 服務。

    13.4.解決SERVER 2003無法下載超過4M的附件的問題
    13.4.1 先在服務里關閉 iis admin service 服務。
    13.4.2 找到 windows\system32\inetsrv\ 下的 metabase.xml 文件。
    13.4.3 用純文本方式打開,找到 AspBufferingLimit 把它修改為需要的值(可修改為20M即:20480000)。
    13.4.4 存盤,然后重啟 iis admin service 服務。

    13.5.解決大附件上傳容易超時失敗的問題.
    在IIS中調大一些腳本超時時間,操作方法是: 在IIS的“站點或(虛擬目錄)”的“主目錄”下點擊“配置”按鈕,設置腳本超時間為:300秒(注意:不是Session超時時間)。

    13.6.解決Windows 2003的IIS 6.0中,Web登錄時經常出現"[超時,請重試]"的提示.
    將WebMail所使用的應用程序池“屬性-->回收”中的“回收工作進程”以及"屬性-->性能"中的“在空閑此段時間后關閉工作進程”這兩個選項前的勾號去掉,然后重啟一下IIS即可解決.

    13.7.解決通過WebMail寫信時間較長后,按下發信按鈕就會回到系統登錄界面的問題.
    適當增加會話時間(Session)為 60分鐘。在IIS站點或虛擬目錄屬性的“主目錄”下點擊[配置---選項],就可以進行設置了(SERVER 2003默認為20分鐘).

    13.8.安裝后查看WinWebMail的安裝目錄下有沒有 \temp 目錄,如沒有,手工建立一個.

    14)做郵件收發及10M附件測試(內對外,內對內,外對內).

    15)打開2003自帶防火墻,并打開POP3.SMTP.WEB.遠程桌面.充許此4項服務, OK, 如果想用IMAP4或SSL的SMTP.POP3.IMAP4也需要打開相應的端口.

    16)再次做郵件收發測試(內對外,內對內,外對內).

    17)改名、加強壯口令,并禁用GUEST帳號。

    18)改名超級用戶、建立假administrator、建立第二個超級用戶。

    都搞定了!忙了半天, 現在終于可以來享受一把 WinWebMail 的超強 webmail 功能了, let's go!

     


    13、IIS+PHP+MySQL+Zend Optimizer+GD庫+phpMyAdmin安裝配置[完整修正實用版] 轉來的,非原創


    IIS+PHP+MySQL+Zend Optimizer+GD庫+phpMyAdmin安裝配置[完整修正實用版]

    IIS+PHP+MySQL+Zend Optimizer+GD庫+phpMyAdmin安裝配置[完整修正實用版]

    [補充]關于參照本貼配置這使用中使用的相關問題請參考
    關于WIN主機下配置PHP的若干問題解決方案總結這個帖子盡量自行解決,謝謝
    http://bbs.xqin.com/viewthread.php?tid=86

    一、軟件準備:以下均為截止2006-1-20的最新正式版本,下載地址也均長期有效

    1.PHP,推薦PHP4.4.0的ZIP解壓版本:

    PHP(4.4.0):http://cn.php.net/get/php-4.4.0-Win32.zip/from/a/mirror

    PHP(5.1.2):http://cn.php.net/get/php-5.1.2-Win32.zip/from/a/mirror

    2.MySQL,配合PHP4推薦MySQL4.0.26的WIN系統安裝版本:

    MySQL(4.0.26):http://download.discuz.net/mysql-4.0.26-win32.zip

    MySQL(4.1.16):http://www.skycn.com/soft/24418.html

    MySQL(5.0.18):http://download.discuz.net/mysql-4.0.26-win32.zip
     

    3.Zend Optimizer,當然選擇當前最新版本拉:

    Zend Optimizer(2.6.2):http://www.zend.com/store/free_download.php?pid=13

    (Zend軟件雖然免費下載,但需要注冊用戶,這里提供注冊好的帳戶名:xqincom和密碼:xqin.com,方便大家使用,請不要修改本帳號或將本帳戶用于其他費正當途徑,謝謝?。?br />
    登陸后選擇Windows x86的Platform版本,如最新版本2.6.2 https://www.zend.com/store/getfreefile.php?pid=13&zbid=995

    4.phpMyAdmin


    當然同樣選擇當前最新版本拉,注意選擇for Windows 的版本哦:

    phpMyAdmin(2.8.0.3):http://www.crsky.com/soft/4190.html

    假設 C:\ 為你現在所使用操作系統的系統盤,如果你目前操作系統不是安裝在 C:\ ,請自行對應修改相應路徑。同時由于C盤經常會因為各種原因重裝系統,數據放在該盤不易備份和轉移 選擇安裝目錄,故本文將所有PHP相關軟件均安裝到D:\php目錄下,這個路徑你可以自行設定,如果你安裝到不同目錄涉及到路徑的請對應修改以下的對應路徑即可

    二、安裝 PHP :本文PHP安裝路徑取為D:\php\php4\(為避混淆,PHP5.1.x版本安裝路徑取為D:\php\php5\)


    (1)、下載后得到 php-4.4.0-Win32.zip ,解壓至D:\php目錄,將得到二級目錄php-4.4.0-Win32,改名為 php4,
    也即得到PHP文件存放目錄D:\php\php4\

    [如果是PHP5.1.2,得到的文件是php-5.1.2-Win32.zip,直接全部接壓至D:\php\php5目錄即可得PHP文件存放目錄D:\php\php5\];


    (2)、再將D:\php\php4目錄和D:\php\php4\dlls目錄

    [PHP5為D:\php\php5\]下的所有dll文件 copy 到 c:\Windows\system32 (win2000系統為 c:/winnt/system32/)下,覆蓋已有的dll文件;
     


    (3)、將php.ini-dist用記事本打開,利用記事本的查找功能搜索并修改:


    搜索 register_globals = Off

    將 Off 改成 On ,即得到 register_globals = On

    注:這個對應PHP的全局變量功能,考慮有很多PHP程序需要全局變量功能故打開,打開后請注意-PHP程序的嚴謹性,如果不需要推薦不修改保持默認Off狀態
    搜索 extension_dir =

    這個是PHP擴展功能目錄 并將其路徑指到你的 PHP 目錄下的 extensions 目錄,比如:

    修改 extension_dir = "./" extension_dir = "D:/php/php4/extensions/"

    [PHP5對應修改為 extension_dir = "D:/php/php5/ext/" ]
    D:\php 下建立文件夾并命名為 tmp

    查找 upload_tmp_dir =

    ;upload_tmp_dir 該行的注釋符,即前面的分號" ;”去掉,

    使該行在php.ini文檔中起作用。upload_tmp_dir是用來定義上傳文件存放的臨時路徑,在這里你還可以修改并給其定義一個絕對路徑,這里設置的目錄必須有讀寫權限。

    這里我設置為 upload_tmp_dir = D:/php/tmp (即前面建立的這個文件夾呵)
    搜索 ; Windows Extensions

    將下面一些常用的項前面的 ; 去掉 ,紅色的必須,藍色的供選擇

    ;extension=php_mbstring.dll

    這個必須要

    ;extension=php_curl.dll

    ;extension=php_dbase.dll

    ;extension=php_gd2.dll
    這個是用來支持GD庫的,一般需要,必選



    ;extension=php_ldap.dll

    ;extension=php_zip.dll


    對于PHP5的版本還需要查找

    ;extension=php_mysql.dll

    并同樣去掉前面的";"

    這個是用來支持MYSQL的,由于PHP5將MySQL作為一個獨立的模塊來加載運行的,故要支持MYSQL必選


    查找 ;session.save_path =

    去掉前面 ; 號,本文這里將其設置置為

    session.save_path = D:/php/tmp

    其他的你可以選擇需要的去掉前面的;


    然后將該文件另存為為 php.ini C:\Windows ( Windows 2000 下為 C:\WINNT)目錄下,注意更改文件后綴名為ini,

    得到 C:\Windows\php.ini ( Windows 2000 下為 C:\WINNT\php.ini)


    若路徑等和本文相同可直接保存到C:\Windows ( Windows 2000 下為 C:\WINNT) 目錄下 使用



    一些朋友經常反映無法上傳較大的文件或者運行某些程序經常超時,那么可以找到C:\Windows ( Windows 2000 下為 C:\WINNT)目錄下的PHP.INI以下內容修改:

    max_execution_time = 30 ; 這個是每個腳本運行的最長時間,可以自己修改加長,單位秒
    max_input_time = 60 ; 這是每個腳本可以消耗的時間,單位也是秒
    memory_limit = 8M ; 這個是腳本運行最大消耗的內存,也可以自己加大
    upload_max_filesize = 2M ; 上載文件的最大許可大小 ,自己改吧,一些圖片論壇需要這個更大的值


    (4)、配置 IIS 使其支持 PHP :

    首先必須確定系統中已經正確安裝 IIS ,如果沒有安裝,需要先安裝 IIS ,安裝步驟如下:
    Windows 2000/XP 下的 IIS 安裝:

    用 Administrator 帳號登陸系統,將 Windows 2000 安裝光盤插入光盤驅動器,進入“控制面板”點擊“添加/刪除程序”,再點擊左側的“添加/刪除 Windows 組件”,在彈出的窗口中選擇“Internet 信息服務(IIS)”,點下面的“詳細信息”按鈕,選擇組件,以下組件是必須的:“Internet 服務管理器”、“World Wide Web 服務器”和“公用文件”,確定安裝。

    安裝完畢后,在“控制面板”的“管理工具”里打開“服務”,檢查“IIS Admin Service”和“World Wide Web Publishing Service”兩項服務,如果沒有啟動,將其啟動即可。

    Windows 2003 下的 IIS 安裝:

    由于 Windows 2003 的 IIS 6.0 集成在應用程序服務器中,因此安裝應用程序服務器就會默認安裝 IIS 6.0 ,在“開始”菜單中點擊“配置您的服務器”,在打開的“配置您的服務器向導”里左側選擇“應用程序服務器(IIS,ASP.NET)”,單擊“下一步”出現“應用程序服務器選項”,你可以選擇和應用程序服務器一起安裝的組件,默認全選即可,單擊“下一步”,出現“選擇總結界面”,提示了本次安裝中的選項,配置程序將自動按照“選擇總結”中的選項進行安裝和配置。

    打開瀏覽器,輸入:http://localhost/,看到成功頁面后進行下面的操作:

    PHP 支持 CGI 和 ISAPI 兩種安裝模式,CGI 更消耗資源,容易因為超時而沒有反映,但是實際上比較安全,負載能力強,節省資源,但是安全性略差于CGI,本人推薦使用 ISAPI 模式。故這里只解介紹 ISAPI 模式安裝方法:(以下的截圖因各個系統不同,窗口界面可能不同,但對應選項卡欄目是相同的,只需找到提到的對應選項卡即可)

    在“控制面板”的“管理工具”中選擇“Internet 服務管理器”,打開 IIS 后停止服務,對于WIN2000系統在”Internet 服務管理器“的下級樹一般為你的”計算機名“上單擊右鍵選擇“屬性”,再在屬性頁面選擇主屬性”WWW 服務“右邊的”編輯“
     

    對于XP/2003系統展開”Internet 服務管理器“的下級樹一般為你的”計算機名“選擇”網站“并單擊右鍵選擇“屬性”
     

    在彈出的屬性窗口上選擇“ISAPI 篩選器”選項卡找到并點擊“添加”按鈕,在彈出的“篩選器屬性”窗口中的“篩選器名稱”欄中輸入:

    PHP ,再將瀏覽可執行文件使路徑指向 php4isapi.dll 所在路徑,

    如本文中為:D:\php\php4\sapi\php4isapi.dll

    [PHP5對應路徑為 D:\php\php5\php5isapi.dll]
     

    打開“站點屬性”窗口的“主目錄”選項卡,找到并點擊“配置”按鈕

    在彈出的“應用程序配置”窗口中的”應用程序映射“選項卡找到并點擊“添加”按鈕新增一個擴展名映射,在彈出的窗口中單擊“瀏覽”將可執行文件指向 php4isapi.dll 所在路徑,如本文中為:D:\php\php4\sapi\php4isapi.dll[PHP5對應路徑為D:\php\php5\php5isapi.dll],擴展名為 .php ,動作限于”GET,HEAD,POST,TRACE“,將“腳本引擎”“確認文件是否存在”選中,然后一路確定即可。如果還想支持諸如 .php3 ,.phtml 等擴展名的 PHP 文件,可以重復“添加”步驟,對應擴展名設置為需要的即可如.PHPX。

    此步操作將使你服務器IIS下的所有站點都支持你所添加的PHP擴展文件,當然如果你只需要部分站點支持PHP,只需要在“你需要支持PHP的Web站點”比如“默認Web站點”上單擊右鍵選擇“屬性”,在打開的“ Web 站點屬性”“主目錄”選項卡,編輯或者添加PHP的擴展名映射即可或者將你步需要支持PHP的站點中的PHP擴展映射刪除即可
     

    再打開“站點屬性”窗口的“文檔”選項卡,找到并點擊“添加”按鈕,向默認的 Web 站點啟動文檔列表中添加 index.php 項。您可以將 index.php 升到最高優先級,這樣,訪問站點時就會首先自動尋找并打開 index.php 文檔。
     

    確定 Web 目錄的應用程序設置和執行許可中選擇為純腳本,然后關閉 Internet 信息服務管理器
    對于2003系統還需要在“Internet 服務管理器”左邊的“WEB服務擴展”中設置ISAPI 擴展允許,Active Server Pages 允許
     

    完成所有操作后,重新啟動IIS服務。
    在CMD命令提示符中執行如下命令:

    net stop w3svc
    net stop iisadmin
    net start w3svc

    到此,PHP的基本安裝已經完成,我們已經使網站支持PHP腳本。
    檢查方法是,在 IIS 根目錄下新建一個文本文件存為 php.php ,內容如下:
     

    <?php
    phpinfo();
    ?>


    打開瀏覽器,輸入:http://localhost/php.php,將顯示當前服務器所支持 PHP 的全部信息,可以看到 Server API的模式為:ISAPI 。
     

    或者利用PHP探針檢測http://xqin.com/index.rar下載后解壓到你的站點根目錄下并訪問即可


    三、安裝 MySQL :

    對于MySQL4.0.26下載得到的是mysql-4.0.26-win32.zip,解壓到mysql-4.0.26-win32目錄雙擊執行 Setup.exe 一路Next下一步,選擇安裝目錄為D:\php\MySQL和安裝方式為Custom自定義安裝,再一路Next下一步即可。
     

    安裝完畢后,在CMD命令行中輸入并運行:

    D:\php\MySQL\bin\mysqld-nt -install

    如果返回Service successfully installed.則說明系統服務成功安裝

    新建一文本文件存為MY.INI,編輯配置MY.INI,這里給出一個參考的配置

    [mysqld]
    basedir=D:/php/MySQL
    #MySQL所在目錄
    datadir=D:/php/MySQL/data
    #MySQL數據庫所在目錄,可以更改為其他你存放數據庫的目錄
    #language=D:/php/MySQL/share/your language directory
    #port=3306
    set-variable = max_connections=800
    skip-locking
    set-variable = key_buffer=512M
    set-variable = max_allowed_packet=4M
    set-variable = table_cache=1024
    set-variable = sort_buffer=2M
    set-variable = thread_cache=64
    set-variable = join_buffer_size=32M
    set-variable = record_buffer=32M
    set-variable = thread_concurrency=8
    set-variable = myisam_sort_buffer_size=64M
    set-variable = connect_timeout=10
    set-variable = wait_timeout=10
    server-id = 1
    [isamchk]
    set-variable = key_buffer=128M
    set-variable = sort_buffer=128M
    set-variable = read_buffer=2M
    set-variable = write_buffer=2M

    [myisamchk]
    set-variable = key_buffer=128M
    set-variable = sort_buffer=128M
    set-variable = read_buffer=2M
    set-variable = write_buffer=2M

    [WinMySQLadmin]
    Server=D:/php/MySQL/bin/mysqld-nt.exe




    保存后復制此MY.INI文件到C:\Windows ( Windows 2000 下為 C:\WINNT)目錄下
    回到CMD命令行中輸入并運行:

    net start mysql

    MySQL 服務正在啟動 .
    MySQL 服務已經啟動成功。


    將啟動 MySQL 服務;

    DOS下修改ROOT密碼:當然后面安裝PHPMYADMIN后修改密碼也可以通過PHPMYADMIN修改

    格式:mysqladmin -u用戶名 -p舊密碼 password 新密碼

    例:給root加個密碼xqin.com

    首先在進入CMD命令行,轉到MYSQL目錄下的bin目錄,然后鍵入以下命令

    mysqladmin -uroot password 你的密碼

    注:因為開始時root沒有密碼,所以-p舊密碼一項就可以省略了。

    D:\php\MySQL\bin>mysqladmin -uroot password 你的密碼


    回車后ROOT密碼就設置為你的密碼

    如果你下載的是 MySQL5.x或者MySQL4.1.x,例mysql-5.0.18-win32:解壓后雙擊執行 Setup.exe ,Next下一步后選擇Custom自定義安裝,再Next下一步選擇安裝路徑這里我們選擇D:\php\MySQL,繼續Next下一步跳過Sign UP完成安裝。


    安裝完成后會提示你是不是立即進行配置,選擇是即可進行配置。當然一般安裝后菜單里面也有配置向導MySQL Server Instance Config Wizar,運行后按下面步驟配置并設置ROOT密碼即可

    Next下一步后選擇Standard Configuration

    Next下一步,鉤選Include .. PATH

    Next下一步,設置ROOT密碼,建議社設置復雜點,確保服務器安全!

    Apply完成后將在D:\php\MySQL目錄下生成MY.INI配置文件,添加并啟動MySQL服務
     

    如果你的MySQL安裝出錯,并且卸載重裝仍無法解決,這里提供一個小工具系統服務管理器http://xqin.com/iis/ser.rar,用于卸載后刪除存在的MYSQL服務,重起后再按上述說明進行安裝一般即可成功安裝


    四、安裝 Zend Optimizer :

    下載后得到 ZendOptimizer-2.6.2-Windows-i386.exe ,直接雙擊安裝即可,安裝過程要你選擇 Web Server 時,選擇 IIS ,然后提示你是否 Restart Web Server,選擇是,完成安裝之前提示是否備份 php.ini ,點確定后安裝完成。我這里安裝到D:\php\Zend

    以下兩步的目錄根據你自己的默認WEB站點目錄來選,當然也可以選擇到D:\php\Zend目錄

    Zend Optimizer 的安裝向導會自動根據你的選擇來修改 php.ini 幫助你啟動這個引擎。下面簡單介紹一下 Zend Optimizer 的配置選項。以下為本人安裝完成后 php.ini 里的默認配置代碼(分號后面的內容為注釋):

    [zend]
    zend_extension_ts="D:\php\Zend\lib\ZendExtensionManager.dll"
    ;Zend Optimizer 模塊在硬盤上的安裝路徑。
    zend_extension_manager.optimizer_ts="D:\php\Zend\lib\Optimizer-2.6.2"
    ;優化器所在目錄,默認無須修改。
    zend_optimizer.optimization_level=1023
    ;優化程度,這里定義啟動多少個優化過程,默認值是 15 ,表示同時開啟 10 個優化過程中的 1-4 ,我們可以將這個值改為 1023 ,表示開啟全部10個優化過程。
     

    調用phpinfo()函數后顯示:

    Zend Engine v1.3.0, Copyright (c) 1998-2004 Zend Technologies with Zend Extension Manager v1.0.9, Copyright (c) 2003-2006, by Zend Technologies with Zend Optimizer v2.6.2, Copyright (c) 1998-2006, by Zend Technologies

    則表示安裝成功。


    五.安裝GD庫

    這一步在前面PHP.INI配置中去掉“;extension=php_gd2.dll”前面的;實際上已經安裝好了~

    [在php.ini里找到"extension=php_gd2.dll"這一行,并且去掉前面的分號,gd庫安裝完成,用 echophpinfo() ;測試是否成功! ]


    六、安裝 phpMyAdmin

    下載得到 phpMyAdmin-2.7.0.zip (如果需要這個版本可以找我QQ:473413 3300073),

    將其解壓到D:\php\或者 IIS 根目錄,改名phpMyAdmin-2.7.0為phpMyAdmin,


    并在IIS中建立新站點或者虛擬目錄指向該目錄以便通過WEB地址訪問,

    這里建立默認站點的phpMyAdmin虛擬目錄指向D:\php\phpMyAdmin目錄通過http://localhost/phpmyadmin/訪問

    找到并打開D:\php\phpMyAdmin目錄下的 config.default.php ,做以下修改:

    查找 $cfg['PmaAbsoluteUri']

    設置你的phpmyadmin的WEB訪問URL,比如本文中:$cfg['PmaAbsoluteUri'] = 'http://localhost/phpmyadmin/'; 注意這里假設phpmyadmin在默認站點的根目錄下


    查找 $cfg['blowfish_secret'] =

    設置COOKIES加密密匙,如xqin.com則設置為$cfg['blowfish_secret'] = 'xqin.com';

    查找 $cfg['Servers'][$i]['auth_type'] = ,

    默認為config,是不安全的,不推薦,推薦使用cookie,將其設置為 $cfg['Servers'][$i]['auth_type'] = 'cookie';

    注意這里如果設置為config請在下面設置用戶名和密碼!例如:

    $cfg['Servers'][$i]['user'] = 'root'; // MySQL user-----MySQL連接用戶

    $cfg['Servers'][$i]['password'] = 'xqin.com';


    搜索$cfg['DefaultLang'] ,將其設置為 zh-gb2312 ;

    搜索$cfg['DefaultCharset'] ,將其設置為 gb2312 ;

    打開瀏覽器,輸入:http://localhost/phpMyAdmin/ ,若 IIS 和 MySQL 均已啟動,輸入用戶ROOT密碼xqin.com(如沒有設置密碼則密碼留空)即可進入phpMyAdmin數據庫管理。

    首先點擊權限進入用戶管理,刪除除ROOT和主機不為localhost的用戶并重新讀取用戶權限表,這里同樣可以修改和設置ROOT的密碼,添加其他用戶等

    phpMyAdmin 的具體功能,請慢慢熟悉,這里不再贅述。
    至此所有安裝完畢。

    六、目錄結構以及MTFS格式下安全的目錄權限設置:
    當前目錄結構為

                   D:\php
                     |
       +—————+——————+———————+———————+
      php4(php5) tmp     MySQL       Zend    phpMyAdmin
     

    D:\php 設置為 Administrators和SYSTEM完全權限 即可,其他用戶均無權限

    對于其下的二級目錄

    D:\php\php4(或者D:\php\php5) 設置為 USERS 讀取/運行 權限


    D:\php\tmp 設置為 USERS 讀/寫/刪 權限

    D:\php\MySQL 、D:\php\Zend 設置為 Administrators和SYSTEM完全權限

    phpMyAdmin WEB匿名用戶讀取權限

    七、優化:

    參見 http://bbs.xqin.com/viewthread.php?tid=3831
    PHP 優化配置——加速你的VBB,phpwind,Discuz,IPB,MolyX.....  
     

    有問題可以和我QQ聯系:473413 3300073


    14、一般故障解決


    一般網站最容易發生的故障的解決方法


    1.出現提示網頁無法顯示,500錯誤的時候,又沒有詳細的提示信息

    可以進行下面的操作顯示詳細的提示信息:IE-工具-internet選項-高級-友好的http錯誤信息提示,將這選項前面不打勾,則可以看到詳細的提示信息了

    以下是解決500錯誤的方法。請復制以下信息并保存為: 解決IIS6.0的(asp不能訪問)請求的資源在使用中的辦法.bat

    然后在服務器上執行一下,你的ASP就又可以正常運行了。




    2.系統在安裝的時候提示數據庫連接錯誤

    一是檢查const文件的設置關于數據庫的路徑設置是否正確

    二是檢查服務器上面的數據庫的路徑和用戶名、密碼等是否正確


    3.IIS不支持ASP解決辦法:

    IIS的默認解析語言是否正確設定?將默認改為VBSCRIPT,進入IIS,右鍵單擊默認Web站點,選擇屬性,在目錄安全性選項卡的匿名訪問和身份驗證控制中,單擊編輯,在身份驗證方法屬性頁中,去掉匿名訪問的選擇試試.

    4.FSO沒有權限

    FSO的權限問題,可以在后臺測試是否能刪除文件,解決FSO組件是否開啟的方法如下:

    首先在系統盤中查找scrrun.dll,如果存在這個文件,請跳到第三步,如果沒有,請執行第二步。

    在安裝文件目錄i386中找到scrrun.dl_,用winrar解壓縮,得scrrun.dll,然后復制到(你的系統盤)C:\windows\system32\目錄中。 運行regsvr32 scrrun.dll即可。

    如果想關閉FSO組件,請運行regsvr32/u scrrun.dll即可

    關于服務器FSO權限設置的方法,給大家一個地址可以看看詳細的操作:http://www.upsdn.net/html/2005-01/314.html

    5.Microsoft JET Database Engine 錯誤 '80040e09' 不能更新。數據庫或對象為只讀

    原因分析:
    未打開數據庫目錄的讀寫權限

    解決方法:

    ( 1 )檢查是否在 IIS 中對整個網站打開了 “ 寫入 ” 權限,而不僅僅是數據庫文件。
    ( 2 )檢查是否在 WIN2000 的資源管理器中,將網站所在目錄對 EveryOne 用戶打開所有權限。具體方法是:
    打開 “ 我的電腦 ”---- 找到網站所在文件夾 ---- 在其上點右鍵 ---- 選 “ 屬性 ”----- 切換到 “ 安全性 ” 選項卡,在這里給 EveryOne 用戶所有權限。

    注意: 如果你的系統是 XP ,請先點 “ 工具 ”----“ 文件夾選項 ”----“ 查看 ”----- 去掉 “ 使用簡單文件共享 ” 前的勾,確定后,文件夾 “ 屬性 ” 對話框中才會有 “ 安全性 ” 這一個選項卡。

    6.驗證碼不能顯示

    原因分析:
    造成該問題的原因是 Service Pack 2 為了提高系統的穩定性,默認狀態下是屏蔽了對 XBM,也即是 x-bitmap 格式的圖片的顯示,而這些驗證碼恰恰是 XBM 格式的,所以顯示不出來了。

    解決辦法:
    解決的方法其實也很簡單,只需在系統注冊表中添加鍵值 "BlockXBM"=dword:00000000 就可以了,具體操作如下:

    1》打開系統注冊表;

    2》依次點開HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Internet Explorer\\Security;

    3》在屏幕右邊空白處點擊鼠標右鍵,選擇新建一個名為“BlockXBM”為的 DWORD 鍵,其值為默認的0。

    4》退出注冊表編輯器。

    如果操作系統是2003系統則看是否開啟了父路徑


    7.windows 2003配置IIS支持.shtml

    要使用 Shtml 的文件,則系統必須支持SSI,SSI必須是管理員通過Web 服務擴展啟用的
    windows 2003安裝好IIS之后默認是支持.shtml的,只要在“WEB服務擴展”允許“在服務器前端的包含文件”即可 (www.jz5u.com)



    8.如何去掉“處理 URL 時服務器出錯。請與系統管理員聯系。”

    如果是本地服務器的話,請右鍵點IIS默認網站,選屬性,在主目錄里點配置,選調試。 選中向客戶端發送詳細的ASP錯誤消息。 然后再調試程序,此時就可以顯示出正確的錯誤代碼。


    如果你是租用的空間的話,請和你的空間商聯系!本站強烈推薦購買九網互聯的虛擬主機:www.9host.cn

    如沒特殊注明,文章均為中技互聯原創,轉載請注明來自www.gyyjhs.com.cn
    相關新聞

    CopyrightZJCOO technology Co., LTD. All Rights Reserved.    

    渝ICP 備11003429號

    • qq客服
    • 公眾號
    • 手機版
    • 新浪微博