六、IIS安全設(shè)置
IIS的相關(guān)設(shè)置：
    刪除默認(rèn)建立的站點(diǎn)的虛擬目錄，停止默認(rèn)web站點(diǎn)，刪除對應(yīng)的文件目錄c：inetpub，配置所有站點(diǎn)的公共設(shè)置，設(shè)置好相關(guān)的連接數(shù)限制，帶寬設(shè)置以及性能設(shè)置等其他設(shè)置。配置應(yīng)用程序映射，刪除所有不必要的應(yīng)用程序擴(kuò)展，只保留asp，php，cgi，pl，aspx應(yīng)用程序擴(kuò)展。對于php和cgi，推薦使用isapi方式解析，用exe解析對安全和性能有所影響。用戶程序調(diào)試設(shè)置發(fā)送文本錯(cuò)誤信息給戶。對于數(shù)據(jù)庫，盡量采用mdb后綴，不需要更改為asp，可在IIS中設(shè)置一個(gè)mdb的擴(kuò)展映射，將這個(gè)映射使用一個(gè)無關(guān)的dll文件如C：WINNTsystem32inetsrvssinc.dll來防止數(shù)據(jù)庫被下載。設(shè)置IIS的日志保存目錄，調(diào)整日志記錄信息。設(shè)置為發(fā)送文本錯(cuò)誤信息。修改403錯(cuò)誤頁面，將其轉(zhuǎn)向到其他頁，可防止一些掃描器的探測。另外為隱藏系統(tǒng)信息，防止telnet到80端口所泄露的系統(tǒng)版本信息可修改IIS的banner信息，可以使用winhex手工修改或者使用相關(guān)軟件如banneredit修改。
    對于用戶站點(diǎn)所在的目錄，在此說明一下，用戶的FTP根目錄下對應(yīng)三個(gè)文件佳，wwwroot，database，logfiles，分別存放站點(diǎn)文件，數(shù)據(jù)庫備份和該站點(diǎn)的日志。如果一旦發(fā)生入侵事件可對該用戶站點(diǎn)所在目錄設(shè)置具體的權(quán)限，圖片所在的目錄只給予列目錄的權(quán)限，程序所在目錄如果不需要生成文件（如生成html的程序）不給予寫入權(quán)限。因?yàn)槭翘摂M主機(jī)平常對腳本安全沒辦法做到細(xì)致入微的地步，更多的只能在方法用戶從腳本提升權(quán)限：
    ASP的安全設(shè)置：
    設(shè)置過權(quán)限和服務(wù)之后，防范asp木馬還需要做以下工作，在cmd窗口運(yùn)行以下命令：
    regsvr32/u C：\WINNT\System32\wshom.ocx
    del C：\WINNT\System32\wshom.ocx
    regsvr32/u C：\WINNT\system32\shell32.dll
    del C：\WINNT\system32\shell32.dll
    即可將WScript.Shell， Shell.application， WScript.Network組件卸載，可有效防止asp木馬通過wscript或shell.application執(zhí)行命令以及使用木馬查看一些系統(tǒng)敏感信息。另法：可取消以上文件的users用戶的權(quán)限，重新啟動(dòng)IIS即可生效。但不推薦該方法。
    另外，對于FSO由于用戶程序需要使用，服務(wù)器上可以不注銷掉該組件，這里只提一下FSO的防范，但并不需要在自動(dòng)開通空間的虛擬商服務(wù)器上使用，只適合于手工開通的站點(diǎn)�？梢葬槍π枰狥SO和不需要FSO的站點(diǎn)設(shè)置兩個(gè)組，對于需要FSO的用戶組給予c：winntsystem32scrrun.dll文件的執(zhí)行權(quán)限，不需要的不給權(quán)限。重新啟動(dòng)服務(wù)器即可生效。
    對于這樣的設(shè)置結(jié)合上面的權(quán)限設(shè)置，你會(huì)發(fā)現(xiàn)海陽木馬已經(jīng)在這里失去了作用！
    PHP的安全設(shè)置：
    默認(rèn)安裝的php需要有以下幾個(gè)注意的問題：
    C：\winnt\php.ini只給予users讀權(quán)限即可。在php.ini里需要做如下設(shè)置：
    Safe_mode=on
    register_globals = Off
    allow_url_fopen = Off
    display_errors = Off
    magic_quotes_gpc = On [默認(rèn)是on，但需檢查一遍]
    open_basedir =web目錄
    disable_functions =passthru，exec，shell_exec，system，phpinfo，get_cfg_var，popen，chmod
    默認(rèn)設(shè)置com.allow_dcom = true修改為false[修改前要取消掉前面的；]
    MySQL安全設(shè)置：
    如果服務(wù)器上啟用MySQL數(shù)據(jù)庫，MySQL數(shù)據(jù)庫需要注意的安全設(shè)置為：
    刪除mysql中的所有默認(rèn)用戶，只保留本地root帳戶，為root用戶加上一個(gè)復(fù)雜的密碼。賦予普通用戶updatedeletealertcreatedrop權(quán)限的時(shí)候，并限定到特定的數(shù)據(jù)庫，尤其要避免普通客戶擁有對mysql數(shù)據(jù)庫操作的權(quán)限。檢查mysql.user表，取消不必要用戶的shutdown_priv，relo
    ad_priv，process_priv和File_priv權(quán)限，這些權(quán)限可能泄漏更多的服務(wù)器信息包括非mysql的其它信息出去。可以為mysql設(shè)置一個(gè)啟動(dòng)用戶，該用戶只對mysql目錄有權(quán)限。設(shè)置安裝目錄的data數(shù)據(jù)庫的權(quán)限（此目錄存放了mysql數(shù)據(jù)庫的數(shù)據(jù)信息）。對于mysql安裝目錄給users加上讀取、列目錄和執(zhí)行權(quán)限。
    Serv-u安全問題：
    安裝程序盡量采用最新版本，避免采用默認(rèn)安裝目錄，設(shè)置好serv-u目錄所在的權(quán)限，設(shè)置一個(gè)復(fù)雜的管理員密碼。修改serv-u的banner信息，設(shè)置被動(dòng)模式端口范圍（4001—4003）在本地服務(wù)器中設(shè)置中做好相關(guān)安全設(shè)置：包括檢查匿名密碼，禁用反超時(shí)調(diào)度，攔截“FTP bounce”攻擊和FXP，對于在30秒內(nèi)連接超過3次的用戶攔截10分鐘。域中的設(shè)置為：要求復(fù)雜密碼，目錄只使用小寫字母，高級中設(shè)置取消允許使用MDTM命令更改文件的日期。
    更改serv-u的啟動(dòng)用戶：在系統(tǒng)中新建一個(gè)用戶，設(shè)置一個(gè)復(fù)雜點(diǎn)的密碼，不屬于任何組。將servu的安裝目錄給予該用戶完全控制權(quán)限。建立一個(gè)FTP根目錄，需要給予這個(gè)用戶該目錄完全控制權(quán)限，因?yàn)樗�有的ftp用戶上傳，刪除，更改文件都是繼承了該用戶的權(quán)限，否則無法操作文件。另外需要給該目錄以上的上級目錄給該用戶的讀取權(quán)限，否則會(huì)在連接的時(shí)候出現(xiàn)530 Not logged in， home directory does not exist.比如在測試的時(shí)候ftp根目錄為d：soft，必須給d盤該用戶的讀取權(quán)限，為了安全取消d盤其他文件夾的繼承權(quán)限。而一般的使用默認(rèn)的system啟動(dòng)就沒有這些問題，因?yàn)閟ystem一般都擁有這些權(quán)限的。
　　七、其它
1.隱藏重要文件/目錄可以修改注冊表實(shí)現(xiàn)完全隱藏：HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\ Current-Version\Explorer\Advanced\Folder\Hi-dden\SHOWALL”，鼠標(biāo)右擊 “CheckedValue”，選擇修改，把數(shù)值由1改為0
2.啟動(dòng)系統(tǒng)自帶的Internet連接防火墻，在設(shè)置服務(wù)選項(xiàng)中勾選Web服務(wù)器；
3.防止SYN洪水攻擊：
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters
新建DWORD值，名為SynAttackProtect，值為2
EnablePMTUDiscovery REG_DWORD 0
NoNameReleaseOnDemand REG_DWORD 1
EnableDeadGWDetect REG_DWORD 0
KeepAliveTime REG_DWORD 300，000
PerformRouterDiscovery REG_DWORD 0
EnableICMPRedirects REG_DWORD 0
4. 禁止響應(yīng)ICMP路由通告報(bào)文：
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\interface
新建DWORD值，名為PerformRouterDiscovery 值為0
5. 防止ICMP重定向報(bào)文的攻擊：
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters
將EnableICMPRedirects 值設(shè)為0
6. 不支持IGMP協(xié)議：
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters
新建DWORD值，名為IGMPLevel 值為0
7.修改終端服務(wù)端口：
運(yùn)行regedit，找到[HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Control \ Terminal Server \ Wds \ rdpwd \ Tds \ tcp]，看到右邊的PortNumber了嗎？在十進(jìn)制狀態(tài)下改成你想要的端口號吧，比如7126之類的，只要不與其它沖突即可。
第二處HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Control \ Terminal Server \ WinStations \ RDP-Tcp，方法同上，記得改的端口號和上面改的一樣就行了。
8.禁止IPC空連接：
cracker可以利用net use命令建立空連接，進(jìn)而入侵，還有net view，nbtstat這些都是基于空連接的，禁止空連接就好了。打開注冊表，找到Local_Machine\System\CurrentControlSet\Control\LSA-RestrictAnonymous 把這個(gè)值改成”1”即可。
9.更改TTL值：
cracker可以根據(jù)ping回的TTL值來大致判斷你的操作系統(tǒng)，如：
TTL=107（WINNT）;
TTL=108（win2000）;
TTL=127或128（win9x）;
TTL=240或241（linux）;
TTL=252（solaris）;
TTL=240（Irix）;
實(shí)際上你可以自己更改的：
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters：DefaultTTL REG_DWORD 0-0xff（0-255 十進(jìn)制，默認(rèn)值128）改成一個(gè)莫名其妙的數(shù)字如258，起碼讓那些小菜鳥暈上半天，就此放棄入侵你也不一定哦。
10. 刪除默認(rèn)共享：
有人問過我一開機(jī)就共享所有盤，改回來以后，重啟又變成了共享是怎么回事，這是2K為管理而設(shè)置的默認(rèn)共享，必須通過修改注冊表的方式取消它：HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters：AutoShareServer類型是REG_DWORD把值改為0即可
11. 禁止建立空連接：
默認(rèn)情況下，任何用戶通過通過空連接連上服務(wù)器，進(jìn)而枚舉出帳號，猜測密碼。我們可以通過修改注冊表來禁止建立空連接：
Local_Machine\System\CurrentControlSet\Control\LSA-RestrictAnonymous 的值改成”1”即可。
12.禁用TCP/IP上的NetBIOS
網(wǎng)上鄰居-屬性-本地連接-屬性-Internet協(xié)議（TCP/IP）屬性-高級-WINS面板-NetBIOS設(shè)置-禁用TCP/IP上的NetBIOS。這樣cracker就無法用nbtstat命令來讀取你的NetBIOS信息和網(wǎng)卡MAC地址了。
13. 賬戶安全
首先禁止一切賬戶，除了你自己，呵呵。然后把Administrator改名。我呢就順手又建了個(gè)Administrator賬戶，不過是什么權(quán)限都沒有的那種，然后打開記事本，一陣亂敲，復(fù)制，粘貼到“密碼”里去，呵呵，來破密碼吧~！破完了才發(fā)現(xiàn)是個(gè)低級賬戶，看你崩潰不？
創(chuàng)建2個(gè)管理員用帳號
雖然這點(diǎn)看上去和上面這點(diǎn)有些矛盾，但事實(shí)上是服從上面的規(guī)則的。 創(chuàng)建一個(gè)一般權(quán)限帳號用來收信以及處理一些日常事物，另一個(gè)擁有Administrators 權(quán)限的帳戶只在需要的時(shí)候使用。可以讓管理員使用 “ RunAS” 命令來執(zhí)行一些需要特權(quán)才能作的一些工作，以方便管理
14.更改C:\WINDOWS\Help\iisHelp\common\404b.htm內(nèi)容改為這樣，出錯(cuò)了自動(dòng)轉(zhuǎn)到首頁。
15.本地安全策略和組策略的設(shè)置，如果你在設(shè)置本地安全策略時(shí)設(shè)置錯(cuò)了，可以這樣恢復(fù)成它的默認(rèn)值
打開 %SystemRoot%\Security文件夾，創(chuàng)建一個(gè) "OldSecurity"子目錄，將%SystemRoot%\Security下所有的.log文件移到這個(gè)新建的子文件夾中
在%SystemRoot%\Security\database\下找到"Secedit.sdb"安全數(shù)據(jù)庫并將其改名，如改為"Secedit.old"
啟動(dòng)"安全配置和分析"MMC管理單元:"開始"->"運(yùn)行"->"MMC"，啟動(dòng)管理控制臺，"添加/刪除管理單元"，將"安全配置和分析"管理單元添加上
右擊"安全配置和分析"->"打開數(shù)據(jù)庫"，瀏覽"C:\WINNT\security\Database"文件夾，輸入文件名"secedit.sdb"，單擊"打開"
當(dāng)系統(tǒng)提示輸入一個(gè)模板時(shí)，選擇"Setup Security.inf"，單擊"打開"，如果系統(tǒng)提示"拒絕訪問數(shù)據(jù)庫"，不管他，你會(huì)發(fā)現(xiàn)在"C:\WINNT\security\Database"子文件夾中重新生成了新的安全數(shù)據(jù)庫，在"C:\WINNT\security"子文件夾下重新生成了log文件，安全數(shù)據(jù)庫重建成功。
16.禁用DCOM:
運(yùn)行中輸入 Dcomcnfg.exe。 回車， 單擊“控制臺根節(jié)點(diǎn)”下的“組件服務(wù)”。 打開“計(jì)算機(jī)”子文件夾。對于本地計(jì)算機(jī)，請以右鍵單擊“我的電腦”，然后選擇“屬性”。選擇“默認(rèn)屬性”選項(xiàng)卡。清除“在這臺計(jì)算機(jī)上啟用分布式 COM”復(fù)選框。

第二步：
盡管Windows 2003的功能在不斷增強(qiáng)，但是由于先天性的原因，它還存在不少安全隱患，要是不將這些隱患“堵住”，可能會(huì)給整個(gè)系統(tǒng)帶來不必要的麻煩；下面筆者就介紹Windows2003中不常見的安全隱患的防堵方法，希望能對各位帶來幫助！
堵住自動(dòng)保存隱患

　　Windows 2003操作系統(tǒng)在調(diào)用應(yīng)用程序出錯(cuò)時(shí)，系統(tǒng)中的Dr. Watson會(huì)自動(dòng)將一些重要的調(diào)試信息保存起來，以便日后維護(hù)系統(tǒng)時(shí)查看，不過這些信息很有可能被黑客“瞄上”，一旦瞄上的話，各種重要的調(diào)試信息就會(huì)暴露無疑，為了堵住Dr. Watson自動(dòng)保存調(diào)試信息的隱患，我們可以按如下步驟來實(shí)現(xiàn)：

　　1、打開開始菜單，選中“運(yùn)行”命令，在隨后打開的運(yùn)行對話框中，輸入注冊表編輯命令“ergedit”命令，打開一個(gè)注冊表編輯窗口；

　　2、在該窗口中，用鼠標(biāo)依次展開HKEY_local_machine＼software＼Microsoft＼WindowsdowsNT＼CurrentVersion＼AeDebug分支，在對應(yīng)AeDebug鍵值的右邊子窗口中，用鼠標(biāo)雙擊Auto值，在彈出的參數(shù)設(shè)置窗口中，將其數(shù)值重新設(shè)置為“0”，

　　3、打開系統(tǒng)的Windows資源管理器窗口，并在其中依次展開Documents and Settings文件夾、All Users文件夾、Shared Documents文件夾、DrWatson文件夾，最后將對應(yīng)DrWatson中的User.dmp文件、Drwtsn32.log文件刪除掉。

　　完成上面的設(shè)置后，重新啟動(dòng)一下系統(tǒng)，就可以堵住自動(dòng)保存隱患了。

堵住資源共享隱患

　　為了給局域網(wǎng)用戶相互之間傳輸信息帶來方便，Windows Server 2003系統(tǒng)很是“善解人意”地為各位提供了文件和打印共享功能，不過我們在享受該功能帶來便利的同時(shí)，共享功能也會(huì)“引狼入室”，“大度”地向黑客們敞開了不少漏洞，給服務(wù)器系統(tǒng)造成了很大的不安全性；所以，在用完文件或打印共享功能時(shí)，大家千萬要隨時(shí)將功能關(guān)閉喲，以便堵住資源共享隱患，下面就是關(guān)閉共享功能的具體步驟：

　　1、執(zhí)行控制面板菜單項(xiàng)下面的“網(wǎng)絡(luò)連接”命令，在隨后出現(xiàn)的窗口中，用鼠標(biāo)右鍵單擊一下“本地連接”圖標(biāo)；

　　2、在打開的快捷菜單中，單擊“屬性”命令，這樣就能打開一個(gè)“Internet協(xié)議(TCP/IP)”屬性設(shè)置對話框；

　　3、在該界面中取消“Microsoft網(wǎng)絡(luò)的文件和打印機(jī)共享”這個(gè)選項(xiàng)；

　　4、如此一來，本地計(jì)算機(jī)就沒有辦法對外提供文件與打印共享服務(wù)了，這樣黑客自然也就少了攻擊系統(tǒng)的“通道”。

堵住遠(yuǎn)程訪問隱患

　　在Windows2003系統(tǒng)下，要進(jìn)行遠(yuǎn)程網(wǎng)絡(luò)訪問連接時(shí)，該系統(tǒng)下的遠(yuǎn)程桌面功能可以將進(jìn)行網(wǎng)絡(luò)連接時(shí)輸入的用戶名以及密碼，通過普通明文內(nèi)容方式傳輸給對應(yīng)連接端的客戶端程序；在明文帳號傳輸過程中，實(shí)現(xiàn)“安插”在網(wǎng)絡(luò)通道上的各種嗅探工具，會(huì)自動(dòng)進(jìn)入“嗅探”狀態(tài)，這個(gè)明文帳號就很容易被“俘虜”了；明文帳號內(nèi)容一旦被黑客或其他攻擊者另謀他用的話，呵呵，小心自己的系統(tǒng)被“瘋狂”攻擊吧！為了杜絕這種安全隱患，我們可以按下面的方法來為系統(tǒng)“加固”：

　　1、點(diǎn)擊系統(tǒng)桌面上的“開始”按鈕，打開開始菜單；

　　2、從中執(zhí)行控制面板命令，從彈出的下拉菜單中，選中“系統(tǒng)”命令，打開一個(gè)系統(tǒng)屬性設(shè)置界面；

　　3、在該界面中，用鼠標(biāo)單擊“遠(yuǎn)程”標(biāo)簽；

　　4、在隨后出現(xiàn)的標(biāo)簽頁面中，將“允許用戶遠(yuǎn)程連接到這臺計(jì)算機(jī)”選項(xiàng)取消掉，這樣就可以將遠(yuǎn)程訪問連接功能屏蔽掉，從而堵住遠(yuǎn)程訪問隱患了。

堵住用戶切換隱患

　　Windows 2003系統(tǒng)為我們提供了快速用戶切換功能，利用該功能我們可以很輕松地登錄到系統(tǒng)中；不過在享受這種輕松時(shí)，系統(tǒng)也存在安裝隱患，例如我們要是執(zhí)行系統(tǒng)“開始”菜單中的“注銷”命令來，快速“切換用戶”時(shí)，再用傳統(tǒng)的方式來登錄系統(tǒng)的話，系統(tǒng)很有可能會(huì)本次登錄，錯(cuò)誤地當(dāng)作是對計(jì)算機(jī)系統(tǒng)的一次暴力“襲擊”，這樣Windows2003系統(tǒng)就可能將當(dāng)前登錄的帳號當(dāng)作非法帳號，將它鎖定起來，這顯然不是我們所需要的；不過，我們可以按如下步驟來堵住用戶切換時(shí)，產(chǎn)生的安全隱患：

　　在Windows 2003系統(tǒng)桌面中，打開開始菜單下面的控制面板命令，找到下面的“管理工具”命令，再執(zhí)行下級菜單中的“計(jì)算機(jī)管理”命令，找到“用戶帳戶”圖標(biāo)，并在隨后出現(xiàn)的窗口中單擊“更改用戶登錄或注銷的方式”；在打開的設(shè)置窗口中，將“使用快速用戶切換”選項(xiàng)取消掉就可以了。

堵住頁面交換隱患

　　Windows 2003操作系統(tǒng)即使在正常工作的情況下，也有可能會(huì)向黑客或者其他訪問者泄漏重要的機(jī)密信息，特別是一些重要的帳號信息。也許我們永遠(yuǎn)不會(huì)想到要查看一下，那些可能會(huì)泄漏隱私信息的文件，不過黑客對它們倒是很關(guān)心的喲！Windows 2003操作系統(tǒng)中的頁面交換文件中，其實(shí)就隱藏了不少重要隱私信息，這些信息都是在動(dòng)態(tài)中產(chǎn)生的，要是不及時(shí)將它們清除，就很有可能成為黑客的入侵突破口；為此，我們必須按照下面的方法，來讓W(xué)indows 2003操作系統(tǒng)在關(guān)閉系統(tǒng)時(shí)，自動(dòng)將系統(tǒng)工作時(shí)產(chǎn)生的頁面文件全部刪除掉：

　　1、在Windows 2003的“開始”菜單中，執(zhí)行“運(yùn)行”命令，打開運(yùn)行對話框，并在其中輸入“Regedit”命令，來打開注冊表窗口；

　　2、在該窗口的左邊區(qū)域中，用鼠標(biāo)依次單擊HKEY_local_machine＼system＼currentcontrolset＼control＼sessionmanager＼memory management鍵值，找到右邊區(qū)域中的ClearPageFileAtShutdown鍵值，并用鼠標(biāo)雙擊之，在隨后打開的數(shù)值設(shè)置窗口中，將該DWORD值重新修改為“1”；

　　3、完成設(shè)置后，退出注冊表編輯窗口，并重新啟動(dòng)計(jì)算機(jī)系統(tǒng)，就能讓上面的設(shè)置生效了。