百科解釋
目錄·系統(tǒng)配置概述·系統(tǒng)配置方法·系統(tǒng)配置文件·用活系統(tǒng)配置實(shí)用程序·系統(tǒng)配置實(shí)用程序三則·操作系統(tǒng)系統(tǒng)配置·Windows Server 2003配置·走出Windows權(quán)限迷魂陣 系統(tǒng)配置概述 系統(tǒng)配置是指保證MP4播放器和計(jì)算機(jī)可以正常連接使用所需要的最低系統(tǒng)要求,分軟件和硬件兩方面。軟件方面就是指MP4的驅(qū)動(dòng)程序是否能和目前市場(chǎng)上的各類操作系統(tǒng)良好兼容運(yùn)行,如windows98、windows2000、windowsXP、MAC OS、LINUX等操作系統(tǒng)等。硬件方面是指確保驅(qū)動(dòng)程序可以正常運(yùn)行對(duì)計(jì)算機(jī)硬件的要求。 系統(tǒng)配置方法 電腦在啟動(dòng)時(shí)會(huì)自動(dòng)尋找 config.sys這個(gè)文件,如果沒有它,電腦就按默認(rèn)的方式運(yùn)行,但這種默認(rèn)的方式在大部分情況下都不是最適合電腦使用的,所以我們應(yīng)對(duì)電腦進(jìn)行設(shè)置,比如設(shè)置對(duì)擴(kuò)展內(nèi)存的使用,加載光驅(qū)驅(qū)動(dòng)程序等。 如果您的電腦出現(xiàn)Windows使用不了、游戲報(bào)告內(nèi)存不夠、光驅(qū)找不到、無法連接網(wǎng)絡(luò)等等錯(cuò)誤,合理修改config.sys也許能解決一半以上的問題。 config.sys是文本文件,可以用任何編輯器編輯修改。如果你增添、更改或刪除config.sys文件中的任一配置命令,則這種改變只在下一次啟動(dòng)DOS時(shí)才有效。 系統(tǒng)配置文件 內(nèi)核本身也可以看成是一個(gè)“程序”。為什么內(nèi)核需要配置文件??jī)?nèi)核需要了解系統(tǒng)中用戶和組的列表,進(jìn)而管理文件權(quán)限(即根據(jù)權(quán)限判定特定用戶(UNIX_USERS)是否可以打開某個(gè)文件)。注意,這些文件不是明確地由程序讀取的,而是由系統(tǒng)庫(kù)所提供的一個(gè)函數(shù)讀取,并被內(nèi)核使用。例如,程序需要某個(gè)用戶的(加密過的)密碼時(shí)不應(yīng)該打開 /etc/passwd 文件。相反,程序應(yīng)該調(diào)用系統(tǒng)庫(kù)的 getpw() 函數(shù)。這種函數(shù)也被稱為系統(tǒng)調(diào)用。打開 /etc/passwd 文件和之后查找那個(gè)被請(qǐng)求的用戶的密碼都是由內(nèi)核(通過系統(tǒng)庫(kù))決定的。 除非另行指定,Red Hat Linux 系統(tǒng)中大多數(shù)配置文件都在 /etc 目錄中。配置文件可以大致分為下面幾類: 訪問文件 /etc/host.conf 告訴網(wǎng)絡(luò)域名服務(wù)器如何查找主機(jī)名。(通常是 /etc/hosts,然后就是名稱服務(wù)器;可通過 netconf 對(duì)其進(jìn)行更改。) /etc/hosts 包含(本地網(wǎng)絡(luò)中)已知主機(jī)的一個(gè)列表。如果系統(tǒng)的 IP 不是動(dòng)態(tài)生成,就可以使用它。對(duì)于簡(jiǎn)單的主機(jī)名解析(點(diǎn)分表示法),在請(qǐng)求 DNS 或 NIS 網(wǎng)絡(luò)名稱服務(wù)器之前,/etc/hosts.conf 通常會(huì)告訴解析程序先查看這里。 /etc/hosts.allow 請(qǐng)參閱 hosts_access 的聯(lián)機(jī)幫助頁(yè)。至少由 tcpd 讀取。 /etc/hosts.deny 請(qǐng)參閱 hosts_access 的聯(lián)機(jī)幫助頁(yè)。至少由 tcpd 讀取。 引導(dǎo)和登錄/注銷 /etc/issue & /etc/issue.net 這些文件由 mingetty(和類似的程序)讀取,用來向從終端(issue)或通過 telnet 會(huì)話(issue.net)連接的用戶顯示一個(gè)“welcome”字符串。 它們包括幾行聲明 Red Hat 版本號(hào)、名稱和內(nèi)核 ID 的信息。它們由 rc.local 使用。 /etc/redhat-release 包括一行聲明 Red Hat 版本號(hào)和名稱的信息。由 rc.local 使用。 /etc/rc.d/rc 通常在所有運(yùn)行級(jí)別運(yùn)行,級(jí)別作為參數(shù)傳送。 例如,要以圖形(Graphics)模式(X-Server)引導(dǎo)機(jī)器,請(qǐng)?jiān)诿钚羞\(yùn)行下面的命令:init 5。運(yùn)行級(jí)別 5 表示以圖形模式引導(dǎo)系統(tǒng)。 /etc/rc.d/rc.local 非正式的?梢詮 rc、rc.sysinit 或 /etc/inittab 調(diào)用。 /etc/rc.d/rc.sysinit 通常是所有運(yùn)行級(jí)別的第一個(gè)腳本。 /etc/rc.d/rc/rcX.d 從 rc 運(yùn)行的腳本(X 表示 1 到 5 之間的任意數(shù)字)。這些目錄是特定“運(yùn)行級(jí)別”的目錄。 當(dāng)系統(tǒng)啟動(dòng)時(shí),它會(huì)識(shí)別要啟動(dòng)的運(yùn)行級(jí)別,然后調(diào)用該運(yùn)行級(jí)別的特定目錄中存在的所有啟動(dòng)腳本。例如,系統(tǒng)啟動(dòng)時(shí)通常會(huì)在引導(dǎo)消息之后顯示“entering run-level 3”的消息;這意味著 /etc/rc.d/rc3.d/ 目錄中的所有初始化腳本都將被調(diào)用。 文件系統(tǒng) 內(nèi)核提供了一個(gè)接口,用來顯示一些它的數(shù)據(jù)結(jié)構(gòu),這些數(shù)據(jù)結(jié)構(gòu)對(duì)于決定諸如使用的中斷、初始化的設(shè)備和內(nèi)存統(tǒng)計(jì)信息之類的系統(tǒng)參數(shù)可能很有用。這個(gè)接口是作為一個(gè)獨(dú)立但虛擬的文件系統(tǒng)提供的,稱為 /proc 文件系統(tǒng)。很多系統(tǒng)實(shí)用程序都使用這個(gè)文件系統(tǒng)中存在的值來顯示系統(tǒng)統(tǒng)計(jì)信息。例如,/proc/modules 文件列舉系統(tǒng)中當(dāng)前加載的模塊。lsmod 命令讀取此信息,然后將其以人們可以看懂的格式顯示出來。 下面表格中指定的 mtab 文件以同樣的方式讀取包含當(dāng)前安裝的文件系統(tǒng)的 /proc/mount 文件。 /etc/mtab 這將隨著 /proc/mount 文件的改變而不斷改變。換句話說,文件系統(tǒng)被安裝和卸載時(shí),改變會(huì)立即反映到此文件中。 /etc/fstab 列舉計(jì)算機(jī)當(dāng)前“可以安裝”的文件系統(tǒng)。 這非常重要,因?yàn)橛?jì)算機(jī)引導(dǎo)時(shí)將運(yùn)行 mount -a 命令,該命令負(fù)責(zé)安裝 fstab 的倒數(shù)第二列中帶有“1”標(biāo)記的每一個(gè)文件系統(tǒng)。 /etc/mtools.conf DOS 類型的文件系統(tǒng)上所有操作(創(chuàng)建目錄、復(fù)制、格式化等等)的配置。 系統(tǒng)管理 /etc/group 包含有效的組名稱和指定組中包括的用戶。單一用戶如果執(zhí)行多個(gè)任務(wù),可以存在于多個(gè)組中。例如,如果一個(gè)“用戶”是“project 1”工程組的成員,同時(shí)也是管理員,那么在 group 文件中他的條目看起來就會(huì)是這樣的:user: * : group-id : project1 /etc/nologin 如果有 /etc/nologin 文件存在,login(1) 將只允許 root 用戶進(jìn)行訪問。它將對(duì)其它用戶顯示此文件的內(nèi)容并拒絕其登錄。 etc/passwd 請(qǐng)參閱“man passwd”。它包含一些用戶帳號(hào)信息,包括密碼(如果未被 shadow 程序加密過)。 /etc/rpmrc rpm 命令配置。所有的 rpm 命令行選項(xiàng)都可以在這個(gè)文件中一起設(shè)置,這樣,當(dāng)任何 rpm 命令在該系統(tǒng)中運(yùn)行時(shí),所有的選項(xiàng)都會(huì)全局適用。 /etc/securetty 包含設(shè)備名稱,由 tty 行組成(每行一個(gè)名稱,不包括前面的 /dev/),root 用戶在這里被允許登錄。 /etc/usertty /etc/shadow 包含加密后的用戶帳號(hào)密碼信息,還可以包括密碼時(shí)效信息。 /etc/shells 包含系統(tǒng)可用的可能的“shell”的列表。 /etc/motd 每日消息;在管理員希望向 Linux 服務(wù)器的所有用戶傳達(dá)某個(gè)消息時(shí)使用。 用活系統(tǒng)配置實(shí)用程序 初學(xué)者在使用電腦過程中,肯定會(huì)碰到各種各樣的問題:如怎么管理電腦的自啟動(dòng)程序、如何查看加載的系統(tǒng)服務(wù)、怎樣從安裝光盤提取丟失的系統(tǒng)文件等。為了解決類似問題,微軟在系統(tǒng)中提供了一個(gè)實(shí)用工具——系統(tǒng)配置實(shí)用程序(Msconfig)。 以系統(tǒng)管理員身份登錄系統(tǒng)后,單擊“開始→運(yùn)行”輸入“Msconfig”回車后即可啟動(dòng)系統(tǒng)配置實(shí)用程序 下面就結(jié)合幾個(gè)應(yīng)用實(shí)例來詳細(xì)介紹Msconfig的使用(以WinXP為例)。 “一般”選項(xiàng)不一般 1.選擇啟動(dòng)方式 默認(rèn)情況下,Windows采用的是正常啟動(dòng)模式(即加載所有驅(qū)動(dòng)和系統(tǒng)服務(wù)),但是有時(shí)候由于設(shè)備驅(qū)動(dòng)程序遭到破壞或服務(wù)故障,常常會(huì)導(dǎo)致啟動(dòng)出現(xiàn)一些問題,這時(shí)可以利用Msconfig的其它啟動(dòng)模式來解決問題。單擊 “一般”選項(xiàng),在“啟動(dòng)模式”選擇“診斷啟動(dòng)”,這種啟動(dòng)模式有助于我們快速找到啟動(dòng)故障原因。此外,還可以選擇“有選擇的啟動(dòng)模式”,按提示勾選需要啟動(dòng)的項(xiàng)目即可。 小提示:診斷啟動(dòng)是指系統(tǒng)啟動(dòng)時(shí)僅加載基本設(shè)備驅(qū)動(dòng)程序如顯卡驅(qū)動(dòng),而不加載Modem、網(wǎng)卡等設(shè)備,服務(wù)也僅是系統(tǒng)必須的一些服務(wù)。這時(shí)系統(tǒng)是最干凈的,如果啟動(dòng)沒有問題,可以依次加載設(shè)備和服務(wù)來判斷問題出在哪里。 2.從安裝光盤提取丟失系統(tǒng)文件 雖然WinXP具備強(qiáng)大的文件保護(hù)功能,不過有時(shí)候由于安裝/卸載軟件或誤操作,還是經(jīng)常會(huì)造成系統(tǒng)文件的丟失。一般重要的系統(tǒng)文件,在系統(tǒng)安裝光盤CAB文件中都可以找到。單擊上圖的“展開文件”,然后在彈出窗口中依次輸入要還原的文件(填入丟失文件名)、還原自(單擊“瀏覽自”,選擇安裝光盤的CAB壓縮文件)、保存文件到(選擇保存文件路徑,WinXP/2000一般為c:windowssystem32,Win98則為c:windowssystem),最后單擊“展開”,系統(tǒng)會(huì)自動(dòng)解壓CAB文件,將系統(tǒng)文件從安裝光盤提取到電腦。 小知識(shí): 可以先用系統(tǒng)的SFC命令來掃描系統(tǒng)文件的改動(dòng),找出變化的系統(tǒng)文件,命令格式:SFC [/SCANNOW] [/SCANONCE] [/SCANBOOT] [/REVERT] [/PURGECACHE] [/CACHESIZE=x] /SCANNOW:立即掃描所有受保護(hù)的系統(tǒng)文件! /SCANONCE:下次啟動(dòng)時(shí)掃描所有受保護(hù)的系統(tǒng)文件。 /SCANBOOT:每次啟動(dòng)時(shí)掃描所有受保護(hù)的系統(tǒng)文件。 /REVERT:將掃描返回到默認(rèn)設(shè)置! /PURGECACHE:清除文件緩存! /CACHESIZE=x:設(shè)置文件緩存大小。 系統(tǒng)配置實(shí)用程序三則 Windows 98提供了一款系統(tǒng)配置實(shí)用程序(Msconfig.exe),該工具允許你通過一系列復(fù)選框操作來修改系統(tǒng)配置,從而降低修改出錯(cuò)的風(fēng)險(xiǎn)。對(duì)于一些常見的疑難解答操作,采用人機(jī)會(huì)話的方式,特別適合于一般用戶。 一、備份系統(tǒng)配置文件 單擊Windows 98的“開始”按扭,選擇“運(yùn)行”,在“運(yùn)行”對(duì)話框中鍵入“msconfig.exe”,單擊“確定”按扭啟動(dòng)系統(tǒng)配置實(shí)用程序。 使用Msconfig可以將當(dāng)前的系統(tǒng)配置文件Config.sys、Autoexec.bat、System.ini 和 Win.ini分別備份成以.PSS為擴(kuò)展名的文件,備份文件與原始文件位于同一目錄下。這樣做的目的是確保此次對(duì)系統(tǒng)配置文件所作的修改是可以還原的。具體操作:?jiǎn)螕簟俺R?guī)”標(biāo)簽,單擊“創(chuàng)建備份”,然后單擊“確定”;若單擊“還原備份”,然后再單擊“確定”按扭即可恢復(fù)原系統(tǒng)配置文件。 二、常見疑難解答設(shè)置 1.對(duì)于一般用戶,也許希望在系統(tǒng)啟動(dòng)過程中,建立一個(gè)啟動(dòng)菜單,以減少因系統(tǒng)異常而需要安全模式啟動(dòng)時(shí),用戶不必在啟動(dòng)系統(tǒng)時(shí)按住CTRL(對(duì)于某些計(jì)算機(jī)是F8) 鍵就能顯示 Startup 菜單。具體操作:?jiǎn)螕簟俺R?guī)”標(biāo)簽的“高級(jí)”按扭,將“高級(jí)疑難解答設(shè)置”對(duì)話框中的“啟用‘啟動(dòng)’菜單”復(fù)選框選中。然后單擊確定“按扭”退出。重新啟機(jī)后設(shè)置生效。 2.系統(tǒng)掉電(或非正常關(guān)機(jī))重新啟動(dòng)機(jī)器時(shí),磁盤掃描程序便自動(dòng)運(yùn)行,當(dāng)你不喜歡這種啟動(dòng)方式時(shí),可以關(guān)閉磁盤掃描程序,具體操作:將“高級(jí)疑難解答設(shè)置”對(duì)話框中的“如果關(guān)機(jī)失敗,請(qǐng)禁用磁盤掃描程序”復(fù)選框選中。然后單擊“確定”按扭退出,重新啟機(jī)后設(shè)置生效。 3. 如當(dāng)惡作劇者(或其它原因)將你的機(jī)器內(nèi)存由32MB限制為16MB時(shí),將影響你的Windows及其應(yīng)用程序的運(yùn)行速度。解決方案是將“高級(jí)疑難解答設(shè)置”對(duì)話框中的“將內(nèi)存限制為”復(fù)選框選中,并且將右邊框中的值恢復(fù)為32MB,然后單擊“確定”按鈕退出,重新啟機(jī)后設(shè)置生效。 三、定制自啟動(dòng)程序 在Windows 98的桌面或者任務(wù)欄中,常常出現(xiàn)一些伴隨系統(tǒng)啟動(dòng)過程中自動(dòng)啟動(dòng)程序。你若想取消這些程序的自啟動(dòng),可以選擇“系統(tǒng)配置實(shí)用程序”對(duì)話框的“啟動(dòng)”標(biāo)簽,在列表框中用鼠標(biāo)取消自啟動(dòng)程序左側(cè)復(fù)選框的勾選,然后單擊“確定”按鈕,重新啟機(jī)使設(shè)置生效。 操作系統(tǒng)系統(tǒng)配置操作系統(tǒng) 最少需要的硬盤空間 最少需要的內(nèi)存容量 其它 DOS 50MB 32MB Windows 3.1 100MB 32MB Windows 95 500MB 32MB Windows 98 500MB 64MB Windows ME 2GB(由于存在系統(tǒng)還原) 96MB windows 2000 Professional 2GB 128MB 分別支持1個(gè) Windows 2000 Server 2GB 192MB 2個(gè) Windows 2000 Advanced Server 2GB 256MB 4個(gè)以上中央處理器 Windows XP Home 2GB 128MB Windows XP Professional 2GB 128MB Windows NT 4.0 Workstation 1GB 64MB Windows NT 4.0 Server 1GB 128MB Windows NT 4.0 Enterprise 2GB 192MB Linux 2GB 64MB Windows Server 2003配置一、系統(tǒng)的安裝 1、按照Windows2003安裝光盤的提示安裝,默認(rèn)情況下2003沒有把IIS6.0安裝在系統(tǒng)里面。 2、IIS6.0的安裝 開始菜單—>控制面板—>添加或刪除程序—>添加/刪除Windows組件 應(yīng)用程序 ———ASP.NET(可選) |——啟用網(wǎng)絡(luò) COM+ 訪問(必選) |——Internet 信息服務(wù)(IIS)———Internet 信息服務(wù)管理器(必選) |——公用文件(必選) |——萬維網(wǎng)服務(wù)———Active Server pages(必選) |——Internet 數(shù)據(jù)連接器(可選) |——WebDAV 發(fā)布(可選) |——萬維網(wǎng)服務(wù)(必選) |——在服務(wù)器端的包含文件(可選) 然后點(diǎn)擊確定—>下一步安裝。 3、系統(tǒng)補(bǔ)丁的更新 點(diǎn)擊開始菜單—>所有程序—>Windows Update 按照提示進(jìn)行補(bǔ)丁的安裝。 4、備份系統(tǒng) 用GHOST備份系統(tǒng)。 5、安裝常用的軟件 例如:殺毒軟件、解壓縮軟件等;安裝之后用GHOST再次備份系統(tǒng)。 二、系統(tǒng)權(quán)限的設(shè)置 1、磁盤權(quán)限 系統(tǒng)盤及所有磁盤只給 Administrators 組和 SYSTEM 的完全控制權(quán)限 系統(tǒng)盤Documents and Settings 目錄只給 Administrators 組和 SYSTEM 的完全控制權(quán)限 系統(tǒng)盤Documents and SettingsAll Users 目錄只給 Administrators 組和 SYSTEM 的完全控制權(quán)限 系統(tǒng)盤Inetpub 目錄及下面所有目錄、文件只給 Administrators 組和 SYSTEM 的完全控制權(quán)限 系統(tǒng)盤WindowsSystem32cacls.exe、cmd.exe、net.exe、net1.exe 文件只給 Administrators 組和 SYSTEM 的完全控制權(quán)限 2、本地安全策略設(shè)置 開始菜單—>管理工具—>本地安全策略 A、本地策略——>審核策略 審核策略更改 成功 失敗 審核登錄事件 成功 失敗 審核對(duì)象訪問 失敗 審核過程跟蹤 無審核 審核目錄服務(wù)訪問 失敗 審核特權(quán)使用 失敗 審核系統(tǒng)事件 成功 失敗 審核賬戶登錄事件 成功 失敗 審核賬戶管理 成功 失敗 B、 本地策略——>用戶權(quán)限分配 關(guān)閉系統(tǒng):只有Administrators組、其它全部刪除。 通過終端服務(wù)拒絕登陸:加入Guests、User組 通過終端服務(wù)允許登陸:只加入Administrators組,其他全部刪除 C、本地策略——>安全選項(xiàng) 交互式登陸:不顯示上次的用戶名 啟用 網(wǎng)絡(luò)訪問:不允許SAM帳戶和共享的匿名枚舉 啟用 網(wǎng)絡(luò)訪問:不允許為網(wǎng)絡(luò)身份驗(yàn)證儲(chǔ)存憑證 啟用 網(wǎng)絡(luò)訪問:可匿名訪問的共享 全部刪除 網(wǎng)絡(luò)訪問:可匿名訪問的命 全部刪除 網(wǎng)絡(luò)訪問:可遠(yuǎn)程訪問的注冊(cè)表路徑 全部刪除 網(wǎng)絡(luò)訪問:可遠(yuǎn)程訪問的注冊(cè)表路徑和子路徑 全部刪除 帳戶:重命名來賓帳戶 重命名一個(gè)帳戶 帳戶:重命名系統(tǒng)管理員帳戶 重命名一個(gè)帳戶 3、禁用不必要的服務(wù) 開始菜單—>管理工具—>服務(wù) Print Spooler Remote Registry TCP/IP NetBIOS Helper Server 以上是在Windows Server 2003 系統(tǒng)上面默認(rèn)啟動(dòng)的服務(wù)中禁用的,默認(rèn)禁用的服務(wù)如沒特別需要的話不要啟動(dòng)。 4、啟用防火墻 桌面—>網(wǎng)上鄰居—>(右鍵)屬性—>本地連接—>(右鍵)屬性—>高級(jí)—>(選中)Internet 連接防火墻—>設(shè)置 把服務(wù)器上面要用到的服務(wù)端口選中 例如:一臺(tái)WEB服務(wù)器,要提供WEB(80)、FTP(21)服務(wù)及遠(yuǎn)程桌面管理(3389) 在“FTP 服務(wù)器”、“WEB服務(wù)器(HTTP)”、“遠(yuǎn)程桌面”前面打上對(duì)號(hào) 如果你要提供服務(wù)的端口不在里面,你也可以點(diǎn)擊“添加”銨鈕來添加,具體參數(shù)可以參照系統(tǒng)里面原有的參數(shù)。 然后點(diǎn)擊確定。注意:如果是遠(yuǎn)程管理這臺(tái)服務(wù)器,請(qǐng)先確定遠(yuǎn)程管理的端口是否選中或添加。 走出Windows權(quán)限迷魂陣 在電腦應(yīng)用中經(jīng)常會(huì)看到"權(quán)限"這個(gè)詞,特別是Windows 2000/XP被越來越多的朋友裝進(jìn)電腦后,常常會(huì)有讀者問,什么是權(quán)限呢?它到底有什么用?下面我們將用幾個(gè)典型實(shí)例為大家講解windows中的權(quán)限應(yīng)用,讓你不僅可以在不安裝任何軟件的情況下,限制別人訪問你的文件夾、指定用戶不能使用的程序,而且還有來自微軟內(nèi)部的加強(qiáng)系統(tǒng)安全的絕招。 初識(shí)Windows的權(quán)限 首先,要完全使用windows權(quán)限的所有功能,請(qǐng)確保在應(yīng)用權(quán)限的分區(qū)為NTFS文件系統(tǒng)。本文將以windowsXP簡(jiǎn)體中文專業(yè)版+SP2作為范例講解。 1.什么是權(quán)限? 舉個(gè)形象的例子,windows就像一個(gè)實(shí)驗(yàn)室,其中有導(dǎo)師A、導(dǎo)師B;學(xué)生A、學(xué)生B.大家都能在實(shí)驗(yàn)室里面完成實(shí)驗(yàn)。但在這里又是分等級(jí)的.兩位導(dǎo)師可以指定學(xué)生能使用什么樣的實(shí)驗(yàn)工具,不能碰什么工具,從而使得實(shí)驗(yàn)室不會(huì)因?yàn)閷W(xué)生亂用實(shí)驗(yàn)工具.而出現(xiàn)問題。同時(shí).兩位導(dǎo)師又能互相限制對(duì)方對(duì)實(shí)驗(yàn)工具的使用。因此.windows中的權(quán)限就是對(duì)某個(gè)用戶或同等級(jí)的用戶進(jìn)行權(quán)力分配和限制的方法。正是有了它的出現(xiàn),windows中的用戶要遵循這種"不平等"的制度,而正是這個(gè)制度,才使得windows可以更好地為多個(gè)用戶的使用創(chuàng)造了良好,穩(wěn)定的運(yùn)行環(huán)境。 2.權(quán)限都包含有什么? 在以NT內(nèi)核為基礎(chǔ)的Windows 2000/XP中,權(quán)限主要分為七大類完全控制、修改,讀取和運(yùn)行、列出文件夾目錄、讀取、寫入、特別的權(quán)限。 其中完全控制包含了其他六大權(quán)限.只要擁有它,就等同于擁有了另外六大權(quán)限,其余復(fù)選框會(huì)被自動(dòng)選中.屬于“最高等級(jí)”的權(quán)限。 而其他權(quán)限的等級(jí)高低分別是:特別的權(quán)限>讀取和運(yùn)行>修改>寫入>讀取。 默認(rèn)情況下,Windows XP將啟用"簡(jiǎn)單文件共享",這意味著安全性選項(xiàng)卡和針對(duì)權(quán)限的高級(jí)選項(xiàng)都不可用.也就不能進(jìn)行本文所述的那些權(quán)限應(yīng)用操作了。請(qǐng)現(xiàn)在就右擊任意文件或文件夾.選擇“屬性”,如果沒有看到“安全”選項(xiàng)卡,你可以通過如下方法打開它。 打開“我的電腦”,點(diǎn)擊“工具→文件夾選項(xiàng)→查看”,接著在然后單擊取消“使用簡(jiǎn)單文件共享(推薦)”復(fù)選框即可。 實(shí)戰(zhàn)權(quán)限“正面”應(yīng)用 以下應(yīng)用的前提,是被限制的用戶不在Administrators組,否則將可能發(fā)生越權(quán)訪問,后面"反面應(yīng)用"會(huì)講到。執(zhí)行權(quán)限設(shè)置的用戶至少需要為Power Users組的成員,才有足夠權(quán)限進(jìn)行設(shè)置。 實(shí)例1:我的文檔你別看-保護(hù)你的文件或文件夾 假設(shè)A電腦中有三個(gè)用戶,用戶名分別為User1、User2、User3。Userl不想讓User2和User3查看和操作自己的“test”文件夾。 第一步:右擊"test"文件夾并選擇"屬性",進(jìn)入"安全"選項(xiàng)卡,你將會(huì)看到"組或用戶名稱"欄里有Administrators(AAdministrators)、CREATOR OWNER、SYSTEM Users(AUsers)、User1(A User1)。他們分別表示名為A電腦的管理員組,創(chuàng)建、所有者組,系統(tǒng)組,用戶組以及用戶User1對(duì)此文件夾的權(quán)限設(shè)置。當(dāng)然,不同的電腦設(shè)置和軟件安裝情況,此欄里的用戶或用戶組信息不一定就是和我描述的一樣.但正常情況下最少將包含3項(xiàng)之一:Administrators、SYSTEM、Users或Everyone。 第二步:依次選中并刪除Administrators、CREATOR OWNER、SYSTEM、Users,僅保留自己使用的Userl賬戶。在操作中可能會(huì)遇到的提示框。 其實(shí)只要單擊"高級(jí)"按鈕,在"權(quán)限"選項(xiàng)卡中,取消"從父項(xiàng)繼承那些可以應(yīng)用到子對(duì)象的權(quán)限項(xiàng)目,包括那些在此明確定義的項(xiàng)目"的復(fù)選框,在彈出對(duì)話框中單擊"刪除"即可。該操作使此文件夾清除了從上一級(jí)目錄繼承來的權(quán)限設(shè)置,儀保留了你使用的User1賬戶。 就這么輕松,你就實(shí)現(xiàn)了其他用戶,甚至系統(tǒng)權(quán)限都無法訪問"test"文件夾的目的。 ★需要注意的是,如果這個(gè)文件夾中需要安裝軟件,那么就不要?jiǎng)h除"SYSTEM",不然可能引起系統(tǒng)訪問出錯(cuò) ★Administrator并不是最高指揮官:你可能會(huì)問,為什么這里會(huì)有一個(gè)"SYSTEM"賬戶呢?同時(shí)許多朋友認(rèn)為windows2000/XP中的Administrator是擁有權(quán)限最高的用戶,其實(shí)不然,這個(gè)"SYSTEM"才具有系統(tǒng)最高權(quán)限,因?yàn)樗?quot;作為操作系統(tǒng)的一部分工作",任何用戶通過某種方法獲取了此權(quán)限,就能凌駕一切。 實(shí)例2:上班時(shí)間別聊天-禁止用戶使用某程序 第一步:找到聊天程序的主程序,如QQ,其主程序就是安裝目錄下的QQ.exe,打開它的屬性對(duì)話框,進(jìn)入"安全"選項(xiàng)卡,選中或添加你要限制的用戶,如User3。 第二步:接著選擇"完全控制"為"拒絕","讀取和運(yùn)行"也為"拒絕"。 第三步:?jiǎn)螕?quot;高級(jí)"按鈕進(jìn)入高級(jí)權(quán)限沒置,選中User3,點(diǎn)"編輯"按鈕,進(jìn)入權(quán)限項(xiàng)目。在這里的"拒絕"欄中選中"更改權(quán)限"和"取得所有權(quán)"的復(fù)選框。 也可以使用組策略編輯器來實(shí)現(xiàn)此功能,但安全性沒有上面方法高。點(diǎn)擊"開始→運(yùn)行",輸入"gpedit.msc",回車后打開組策略編輯器,進(jìn)入"計(jì)算機(jī)設(shè)置→windows設(shè)置→安全設(shè)置→軟件限制策略→其他規(guī)則",右擊,選擇"所有任務(wù)→新路徑規(guī)則",接著根據(jù)提示設(shè)置想要限制的軟件的主程序路徑,然后設(shè)定想要的安全級(jí)別,是"不允許的"還是"受限制的"。 實(shí)例3:來者是客--微軟內(nèi)部增強(qiáng)系統(tǒng)安全的秘技 本實(shí)戰(zhàn)內(nèi)容將需要管理員權(quán)限。所謂入侵,無非就是利用某種方法獲取到管理員級(jí)別的權(quán)限或系統(tǒng)級(jí)的權(quán)限,以便進(jìn)行下一步操作,如添加自己的用戶。如果想要使入侵者"進(jìn)來"之后不能進(jìn)行任何操作呢?永遠(yuǎn)只能是客人權(quán)限或比這個(gè)權(quán)限更低,就算本地登錄,連關(guān)機(jī)都不可以。那么,他將不能實(shí)施任何破壞活動(dòng)。 注意:此法有較高的危險(xiǎn)性.建議完全不知道以下程序用途的讀者不要嘗試.以免誤操作引起系統(tǒng)不能進(jìn)入或出現(xiàn)很多錯(cuò)誤。 第一步:確定要設(shè)置的程序 搜索系統(tǒng)目錄下的危險(xiǎn)程序,它們可以用來創(chuàng)建用戶奪取及提升低權(quán)限用戶的權(quán)限,格式化硬盤,引起電腦崩潰等惡意操作:cmd.exe、regedit.exe、regsvr32.exe、regedt32.exe、gpedit.msc、format.com、compmgmt.msc、mmc.exe、telnet.exe、tftp.exe、ftp.exe、XCOPY.EXE、at.exe、cacls.exe、edlin.exe、rsh.exe、finger.exe、runas.exe、net.exe、tracert.exe、netsh.exe、tskill.exe、poledit.exe、regini.exe、cs cript.exe、netstat.exe、issync.exe、runonce.exe、debug.exe、rexec.exe、ws cript.exe、command.com、comsdupd.exe 第二步:按系統(tǒng)調(diào)用的可能性分組設(shè)置 按照下面分組.設(shè)置這些程序權(quán)限。完成一組后,建議重啟電腦確認(rèn)系統(tǒng)運(yùn)行是否一切正常,查看"事件查看器",是否有錯(cuò)誤信息("控制面板→管理工具→事件查看器")。 (1)cmd.exe、net.exe gpedit.msc telnet.exe command.com (僅保留你自己的用戶,SYSTEM也刪除) (2)mmc.exe、tftp.exe、ftp.exe、XCOPY.EXE、comsdupd.exe (僅保留你自己的用戶,SYSTEM也刪除) (3)regedit.exe、regedt32.exe、format.com、compmgmt.msc、at.exe、cacls.exe、edlin.exe、rsh.exe、finger.exe、runas.exe、debug.exe、ws cript.exe、cs cript.exe、rexec.exe (保留你自己的用戶和SYSTEM) (4)tracert.exe、netsh.exe、tskill.exe、poledit.exe、regini.exe、netstat.exe、issync.exe、runonce.exe、regsvr32.exe (保留你自己的用戶和SYSTEM) 第三步:用戶名欺騙 這個(gè)方法騙不了經(jīng)驗(yàn)豐富的入侵者,但卻可以讓不夠高明的偽黑客們弄個(gè)一頭霧水。 打開"控制面板一管理工具一計(jì)算機(jī)管理",找到"用戶",將默認(rèn)的Administrator和Guest的名稱互換,包括描述信息也換掉。完成后,雙擊假的"Administrator"用戶,也就是以前的Guest用戶.在其"屬性"窗口中把隸屬于列表里的Guests組刪除.這樣.這個(gè)假的"管理員"賬號(hào)就成了"無黨派人士",不屬于任何組,也就不會(huì)繼承其權(quán)限。此用戶的權(quán)限幾乎等于0,連關(guān)機(jī)都不可以,對(duì)電腦的操作幾乎都會(huì)被拒絕。如果有誰(shuí)處心積慮地獲取了這個(gè)用戶的權(quán)限,那么他肯定吐血。 第四步:集權(quán)控制,提高安全性 打開了組策略編輯器,找到"計(jì)算機(jī)設(shè)置→windows設(shè)置→安全設(shè)置→本地策略→用戶權(quán)利指派",接著根據(jù)下面的提示進(jìn)行設(shè)置。 (1)減少可訪問此計(jì)算機(jī)的用戶數(shù),減少被攻擊機(jī)會(huì) 找到并雙擊"從網(wǎng)絡(luò)訪問此計(jì)算機(jī)",刪除賬戶列表中用戶組,只剩下"Administrators"; 找到并雙擊"拒絕本地登錄",刪除列表中的"Guest"用戶,添加用戶組"Guests"。 (2)確定不想要從網(wǎng)絡(luò)訪問的用戶,加入到此"黑名單"內(nèi) 找到并雙擊"拒絕從剛絡(luò)訪問這臺(tái)計(jì)算機(jī)",刪除賬戶列表中的"Guest"用戶,添加用戶組"Guests"; 找到并雙擊"取得文件或其他對(duì)象的所有權(quán)",添加你常用的賬戶和以上修改過名稱為"Guest"的管理員賬戶,再刪除列表中"Administrators"。 (3)防止跨文件夾操作 找到并雙擊"跳過遍歷檢查",添加你所使用的賬戶和以上修改過名稱為"Guest"的管理員賬戶,再刪除賬戶列表中的"Administrators"、"Everyone"和"Users"用戶組。 (4)防止通過終端服務(wù)進(jìn)行的密碼猜解嘗試 找到并雙擊"通過終端服務(wù)拒絕登錄",添加假的管理員賬戶"Administrator";找到"通過終端服務(wù)允許登錄",雙擊,添加你常用的賬戶和以上修改過名稱為"Guest"的管理員賬戶,再刪除賬戶列表中的"Administrators","Remote Desktop User"和"HelpAssistant"(如果你不用遠(yuǎn)程協(xié)助功能的話才可刪除此用戶)。 (5)避免拒絕服務(wù)攻擊 找到并雙擊"調(diào)整進(jìn)程的內(nèi)存配額",添加你常用的賬戶,再刪除賬戶列表中的"Administrators" 實(shí)例4:"你的文檔"別獨(dú)享——突破文件夾"私有"的限制 windows XP安裝完成并進(jìn)入系統(tǒng)時(shí),會(huì)詢問是否將"我的文檔"設(shè)為私有(專用),如果選擇了"是",那將使該用戶下的"我的文檔"文件夾不能被其他用戶訪問,刪除,修改。其實(shí)這就是利用權(quán)限設(shè)置將此文件夾的訪問控制列表中的用戶和用戶組刪除到了只剩下系統(tǒng)和你的用戶,所有者也設(shè)置成了那個(gè)用戶所有,Administrators組的用戶也不能直接訪問。如果你把這個(gè)文件夾曾經(jīng)設(shè)置為專用,但又在該盤重裝了系統(tǒng),此文件夾不能被刪除或修改?砂凑障旅娌襟E解決這些問題,讓你對(duì)這個(gè)文件夾的訪問,暢通無阻。 第一步:登錄管理員權(quán)限的賬戶,如系統(tǒng)默認(rèn)的Administrator,找到被設(shè)為專用的"我的文檔",進(jìn)入其"屬性"的"安全"選項(xiàng)卡,你將會(huì)看到你的用戶不在里面,但也無法添加和刪除。 第二步:?jiǎn)螕?quot;高級(jí)"按鈕,進(jìn)入高級(jí)權(quán)限設(shè)置,選擇"所有者"選項(xiàng)卡,在"將所有者更改為"下面的列表中選中你現(xiàn)在使用的用戶,如"Userl(AUserl)",然后再選中"替換子容器及對(duì)象的所有者"的復(fù)選框,然后單擊"應(yīng)用",等待操作完成。 第三步:再進(jìn)入這個(gè)文件夾看看,是不是不會(huì)有任何權(quán)限的提示了?可以自由訪問了?查看里面的文件,復(fù)制、刪除試試看.是不是一切都和"自己的"一樣了?嘿嘿。如果你想要?jiǎng)h除整個(gè)文件夾,也不會(huì)有什么阻止你了。 SYSTEMCurrentControlSetControlTerminal ServerWinStationsRDP-Tcp 改3389 的 Windows2003基本的web服務(wù)器安全設(shè)置 基本的服務(wù)器安全設(shè)置 1、安裝補(bǔ)丁 安裝好操作系統(tǒng)之后,最好能在托管之前就完成補(bǔ)丁的安裝,配置好網(wǎng)絡(luò)后,如果是2000則確定安裝上了SP4,如果是2003,則最好安裝上SP1,然后點(diǎn)擊開始→Windows Update,安裝所有的關(guān)鍵更新。 2、安裝殺毒軟件 至于殺毒軟件目前我使用有兩款,一款是瑞星,一款是諾頓,瑞星殺木馬的效果比諾頓要強(qiáng),我測(cè)試過病毒包,瑞星要多殺出很多,但是裝瑞星的話會(huì)有一個(gè)問題就是會(huì)出現(xiàn)ASP動(dòng)態(tài)不能訪問,這時(shí)候需要重新修復(fù)一下,具體操作步驟是: 關(guān)閉殺毒軟件的所有的實(shí)時(shí)監(jiān)控,腳本監(jiān)控。 ╭═══════════════╮╭═══════════════╮ 在Dos命令行狀態(tài)下分別輸入下列命令并按回車(Enter)鍵: regsvr32 js cript.dll (命令功能:修復(fù)Java動(dòng)態(tài)鏈接庫(kù)) regsvr32 vbs cript.dll (命令功能:修復(fù)VB動(dòng)態(tài)鏈接庫(kù)) ╰═══════════════╯╰═══════════════╯ 不要指望殺毒軟件殺掉所有的木馬,因?yàn)锳SP木馬的特征是可以通過一定手段來避開殺毒軟件的查殺。 3、設(shè)置端口保護(hù)和防火 2003的端口屏蔽可以通過自身防火墻來解決,這樣比較好,比篩選更有靈活性,桌面—>網(wǎng)上鄰居—>(右鍵)屬性—>本地連接—>(右鍵)屬性—>高級(jí)—>(選中)Internet 連接防火墻—>設(shè)置 把服務(wù)器上面要用到的服務(wù)端口選中 例如:一臺(tái)WEB服務(wù)器,要提供WEB(80)、FTP(21)服務(wù)及遠(yuǎn)程桌面管理(3389) 在“FTP 服務(wù)器”、“WEB服務(wù)器(HTTP)”、“遠(yuǎn)程桌面”前面打上對(duì)號(hào) 如果你要提供服務(wù)的端口不在里面,你也可以點(diǎn)擊“添加”銨鈕來添加,具體參數(shù)可以參照系統(tǒng)里面原有的參數(shù)。 然后點(diǎn)擊確定。注意:如果是遠(yuǎn)程管理這臺(tái)服務(wù)器,請(qǐng)先確定遠(yuǎn)程管理的端口是否選中或添加。 權(quán)限設(shè)置 權(quán)限設(shè)置的原理 ?WINDOWS用戶,在WINNT系統(tǒng)中大多數(shù)時(shí)候把權(quán)限按用戶(組)來劃分。在【開始→程序→管理工具→計(jì)算機(jī)管理→本地用戶和組】管理系統(tǒng)用戶和用戶組。 ?NTFS權(quán)限設(shè)置,請(qǐng)記住分區(qū)的時(shí)候把所有的硬盤都分為NTFS分區(qū),然后我們可以確定每個(gè)分區(qū)對(duì)每個(gè)用戶開放的權(quán)限!疚募▕A)上右鍵→屬性→安全】在這里管理NTFS文件(夾)權(quán)限。 ?IIS匿名用戶,每個(gè)IIS站點(diǎn)或者虛擬目錄,都可以設(shè)置一個(gè)匿名訪問用戶(現(xiàn)在暫且把它叫“IIS匿名用戶”),當(dāng)用戶訪問你的網(wǎng)站的.ASP文件的時(shí)候,這個(gè).ASP文件所具有的權(quán)限,就是這個(gè)“IIS匿名用戶”所具有的權(quán)限。 權(quán)限設(shè)置 磁盤權(quán)限 系統(tǒng)盤及所有磁盤只給 Administrators 組和 SYSTEM 的完全控制權(quán)限 系統(tǒng)盤Documents and Settings 目錄只給 Administrators 組和 SYSTEM 的完全控制權(quán)限 系統(tǒng)盤Documents and SettingsAll Users 目錄只給 Administrators 組和 SYSTEM 的完全控制權(quán)限 系統(tǒng)盤Inetpub 目錄及下面所有目錄、文件只給 Administrators 組和 SYSTEM 的完全控制權(quán)限 系統(tǒng)盤WindowsSystem32cacls.exe、cmd.exe、net.exe、net1.exe 文件只給 Administrators 組和 SYSTEM 的完全控制權(quán)限 4、禁用不必要的服務(wù) 開始菜單—>管理工具—>服務(wù) Print Spooler Remote Registry TCP/IP NetBIOS Helper Server 以上是在Windows Server 2003 系統(tǒng)上面默認(rèn)啟動(dòng)的服務(wù)中禁用的,默認(rèn)禁用的服務(wù)如沒特別需要的話不要啟動(dòng)。 改名或卸載不安全組件 不安全組件不驚人 在阿江探針1.9里加入了不安全組件檢測(cè)功能(其實(shí)這是參考7i24的代碼寫的,只是把界面改的友好了一點(diǎn),檢測(cè)方法和他是基本一樣的),這個(gè)功能讓很多站長(zhǎng)吃驚不小,因?yàn)樗l(fā)現(xiàn)他的服務(wù)器支持很多不安全組件。 其實(shí),只要做好了上面的權(quán)限設(shè)置,那么FSO、XML、strem都不再是不安全組件了,因?yàn)樗麄兌紱]有跨出自己的文件夾或者站點(diǎn)的權(quán)限。那個(gè)歡樂時(shí)光更不用怕,有殺毒軟件在還怕什么時(shí)光啊。 最危險(xiǎn)的組件是WSH和Shell,因?yàn)樗梢赃\(yùn)行你硬盤里的EXE等程序,比如它可以運(yùn)行提升程序來提升SERV-U權(quán)限甚至用SERVU來運(yùn)行更高權(quán)限的系統(tǒng)程序。 謹(jǐn)慎決定是否卸載一個(gè)組件 組件是為了應(yīng)用而出現(xiàn)的,而不是為了不安全而出現(xiàn)的,所有的組件都有它的用處,所以在卸載一個(gè)組件之前,你必須確認(rèn)這個(gè)組件是你的網(wǎng)站程序不需要的,或者即使去掉也不關(guān)大體的。否則,你只能留著這個(gè)組件并在你的ASP程序本身上下工夫,防止別人進(jìn)來,而不是防止別人進(jìn)來后SHELL。 比如,F(xiàn)SO和XML是非常常用的組件之一,很多程序會(huì)用到他們。WSH組件會(huì)被一部分主機(jī)管理程序用到,也有的打包程序也會(huì)用到。 5、卸載最不安全的組件 最簡(jiǎn)單的辦法是直接卸載后刪除相應(yīng)的程序文件。將下面的代碼保存為一個(gè).BAT文件,( 以下均以 WIN2000 為例,如果使用2003,則系統(tǒng)文件夾應(yīng)該是 C:WINDOWS ) regsvr32/u C:WINNTSystem32wshom.ocx del C:WINNTSystem32wshom.ocx regsvr32/u C:WINNTsystem32shell32.dll del C:WINNTsystem32shell32.dll 然后運(yùn)行一下,Ws cript.Shell, Shell.application, Ws cript.Network就會(huì)被卸載了。可能會(huì)提示無法刪除文件,不用管它,重啟一下服務(wù)器,你會(huì)發(fā)現(xiàn)這三個(gè)都提示“×安全”了。 改名不安全組件 需要注意的是組件的名稱和Clsid都要改,并且要改徹底了。下面以Shell.application為例來介紹方法。 打開注冊(cè)表編輯器【開始→運(yùn)行→regedit回車】,然后【編輯→查找→填寫Shell.application→查找下一個(gè)】,用這個(gè)方法能找到兩個(gè)注冊(cè)表項(xiàng):“”和“Shell.application”。為了確保萬無一失,把這兩個(gè)注冊(cè)表項(xiàng)導(dǎo)出來,保存為 .reg 文件。 比如我們想做這樣的更改 13709620-C279-11CE-A49E-444553540000 改名為 13709620-C279-11CE-A49E-444553540001 Shell.application 改名為 Shell.application_ajiang 那么,就把剛才導(dǎo)出的.reg文件里的內(nèi)容按上面的對(duì)應(yīng)關(guān)系替換掉,然后把修改好的.reg文件導(dǎo)入到注冊(cè)表中(雙擊即可),導(dǎo)入了改名后的注冊(cè)表項(xiàng)之后,別忘記了刪除原有的那兩個(gè)項(xiàng)目。這里需要注意一點(diǎn),Clsid中只能是十個(gè)數(shù)字和ABCDEF六個(gè)字母。 下面是我修改后的代碼(兩個(gè)文件我合到一起了): Windows Registry Editor Version 5.00 [HKEY_CLASSES_ROOTCLSID] @="Shell Automation Service" [HKEY_CLASSES_ROOTCLSID\InProcServer32] @="C:\WINNT\system32\shell32.dll" "ThreadingModel"="Apartment" [HKEY_CLASSES_ROOTCLSID\ProgID] @="Shell.Application_ajiang.1" [HKEY_CLASSES_ROOTCLSID\TypeLib] @="" [HKEY_CLASSES_ROOTCLSID\Version] @="1.1" [HKEY_CLASSES_ROOTCLSID\VersionIndependentProgID] @="Shell.Application_ajiang" [HKEY_CLASSES_ROOTShell.Application_ajiang] @="Shell Automation Service" [HKEY_CLASSES_ROOTShell.Application_ajiangCLSID] @="" [HKEY_CLASSES_ROOTShell.Application_ajiangCurVer] @="Shell.Application_ajiang.1" 你可以把這個(gè)保存為一個(gè).reg文件運(yùn)行試一下,但是可別就此了事,因?yàn)槿f一黑客也看了我的這篇文章,他會(huì)試驗(yàn)我改出來的這個(gè)名字的。 6、防止列出用戶組和系統(tǒng)進(jìn)程 在阿江ASP探針1.9中結(jié)合7i24的方法利用getobject("WINNT")獲得了系統(tǒng)用戶和系統(tǒng)進(jìn)程的列表,這個(gè)列表可能會(huì)被黑客利用,我們應(yīng)當(dāng)隱藏起來,方法是: 【開始→程序→管理工具→服務(wù)】,找到Workstation,停止它,禁用它。 防止Serv-U權(quán)限提升 其實(shí),注銷了Shell組件之后,侵入者運(yùn)行提升工具的可能性就很小了,但是prel等別的腳本語(yǔ)言也有shell能力,為防萬一,還是設(shè)置一下為好。 用Ultraedit打開ServUDaemon.exe查找Ascii:LocalAdministrator,和#l@$ak#.lk;0@P,修改成等長(zhǎng)度的其它字符就可以了,ServUAdmin.exe也一樣處理。 另外注意設(shè)置Serv-U所在的文件夾的權(quán)限,不要讓IIS匿名用戶有讀取的權(quán)限,否則人家下走你修改過的文件,照樣可以分析出你的管理員名和密碼。 利用ASP漏洞攻擊的常見方法及防范 一般情況下,黑客總是瞄準(zhǔn)論壇等程序,因?yàn)檫@些程序都有上傳功能,他們很容易的就可以上傳ASP木馬,即使設(shè)置了權(quán)限,木馬也可以控制當(dāng)前站點(diǎn)的所有文件了。另外,有了木馬就然后用木馬上傳提升工具來獲得更高的權(quán)限,我們關(guān)閉shell組件的目的很大程度上就是為了防止攻擊者運(yùn)行提升工具。 如果論壇管理員關(guān)閉了上傳功能,則黑客會(huì)想辦法獲得超管密碼,比如,如果你用動(dòng)網(wǎng)論壇并且數(shù)據(jù)庫(kù)忘記了改名,人家就可以直接下載你的數(shù)據(jù)庫(kù)了,然后距離找到論壇管理員密碼就不遠(yuǎn)了。 作為管理員,我們首先要檢查我們的ASP程序,做好必要的設(shè)置,防止網(wǎng)站被黑客進(jìn)入。另外就是防止攻擊者使用一個(gè)被黑的網(wǎng)站來控制整個(gè)服務(wù)器,因?yàn)槿绻愕姆⻊?wù)器上還為朋友開了站點(diǎn),你可能無法確定你的朋友會(huì)把他上傳的論壇做好安全設(shè)置。這就用到了前面所說的那一大堆東西,做了那些權(quán)限設(shè)置和防提升之后,黑客就算是進(jìn)入了一個(gè)站點(diǎn),也無法破壞這個(gè)網(wǎng)站以外的東西。 QUOTE: c: administrators 全部 system 全部 iis_wpg 只有該文件夾 列出文件夾/讀數(shù)據(jù) 讀屬性 讀擴(kuò)展屬性 讀取權(quán)限 c:inetpubmailroot administrators 全部 system 全部 service 全部 c:inetpubftproot everyone 只讀和運(yùn)行 c:windows administrators 全部 Creator owner 不是繼承的 只有子文件夾及文件 完全 Power Users 修改,讀取和運(yùn)行,列出文件夾目錄,讀取,寫入 system 全部 IIS_WPG 讀取和運(yùn)行,列出文件夾目錄,讀取 Users 讀取和運(yùn)行(此權(quán)限最后調(diào)整完成后可以取消) C:WINDOWSMicrosoft.Net administrators 全部 Creator owner 不是繼承的 只有子文件夾及文件 完全 Power Users 修改,讀取和運(yùn)行,列出文件夾目錄,讀取,寫入 system 全部 Users 讀取和運(yùn)行,列出文件夾目錄,讀取 C:WINDOWSMicrosoft.Net administrators 全部 Creator owner 不是繼承的 只有子文件夾及文件 完全 Power Users 修改,讀取和運(yùn)行,列出文件夾目錄,讀取,寫入 system 全部 Users 讀取和運(yùn)行,列出文件夾目錄,讀取 C:WINDOWSMicrosoft.Net emporary ASP.NET Files administrators 全部 Creator owner 不是繼承的 只有子文件夾及文件 完全 Power Users 修改,讀取和運(yùn)行,列出文件夾目錄,讀取,寫入 system 全部 Users 全部 c:Program Files Everyone 只有該文件夾 不是繼承的 列出文件夾/讀數(shù)據(jù) administrators 全部 iis_wpg 只有該文件夾 列出文件/讀數(shù)據(jù) 讀屬性 讀擴(kuò)展屬性 讀取權(quán)限 c:windows emp Administrator 全部權(quán)限 System 全部權(quán)限 users 全部權(quán)限 c:Program FilesCommon Files administrators 全部 Creator owner 不是繼承的 只有子文件夾及文件 完全 Power Users 修改,讀取和運(yùn)行,列出文件夾目錄,讀取,寫入 system 全部 TERMINAL SERVER Users(如果有這個(gè)用戶) 修改,讀取和運(yùn)行,列出文件夾目錄,讀取,寫入 Users 讀取和運(yùn)行,列出文件夾目錄,讀取 如果安裝了我們的軟件: c:Program FilesLIWEIWENSOFT Everyone 讀取和運(yùn)行,列出文件夾目錄,讀取 administrators 全部 system 全部 IIS_WPG 讀取和運(yùn)行,列出文件夾目錄,讀取 c:Program FilesDimac(如果有這個(gè)目錄) Everyone 讀取和運(yùn)行,列出文件夾目錄,讀取 administrators 全部 c:Program FilesComPlus Applications (如果有) administrators 全部 c:Program FilesGflSDK (如果有) administrators 全部 Creator owner 不是繼承的 只有子文件夾及文件 完全 Power Users 修改,讀取和運(yùn)行,列出文件夾目錄,讀取,寫入 system 全部 TERMINAL SERVER Users 修改,讀取和運(yùn)行,列出文件夾目錄,讀取,寫入 Users 讀取和運(yùn)行,列出文件夾目錄,讀取 Everyone 讀取和運(yùn)行,列出文件夾目錄,讀取 c:Program FilesInstallShield Installation Information (如果有) c:Program FilesInternet Explorer (如果有) c:Program FilesNetMeeting (如果有) administrators 全部 c:Program FilesWindowsUpdate Creator owner 不是繼承的 只有子文件夾及文件 完全 administrators 全部 Power Users 修改,讀取和運(yùn)行,列出文件夾目錄,讀取,寫入 system 全部 c:Program FilesMicrosoft SQL(如果SQL安裝在這個(gè)目錄) administrators 全部 Service 全部 system 全部 c:Main (如果主控端網(wǎng)站放在這個(gè)目錄) administrators 全部 system 全部 IUSR_*,默認(rèn)的Internet來賓帳戶(或?qū)S玫倪\(yùn)行用戶) 讀取和運(yùn)行 d: (如果用戶網(wǎng)站內(nèi)容放置在這個(gè)分區(qū)中) administrators 全部權(quán)限 d:FreeHost (如果此目錄用來放置用戶網(wǎng)站內(nèi)容) administrators 全部權(quán)限 SERVICE 讀取與運(yùn)行 system 讀取與運(yùn)行(全部權(quán)限,如果安裝了一流信息監(jiān)控) F: (如果此分區(qū)用來放置SQL2000用戶數(shù)據(jù)庫(kù)) administrators 全部權(quán)限 System 全部權(quán)限 SQL2000的運(yùn)行用 只有該文件夾 列出文件夾/讀數(shù)據(jù) 讀屬性 讀擴(kuò)展屬性 讀取權(quán)限 F:SQLDATA (如果此目錄用來放置SQL2000用戶數(shù)據(jù)庫(kù)) administrators 全部權(quán)限 System 全部權(quán)限 SQL2000的運(yùn)行用戶全部權(quán)限 從安全角度,我們建議WebEasyMail(WinWebMail)安裝在獨(dú)立的盤中,例如E: E:(如果webeasymail安裝在這個(gè)盤中) administrators 全部權(quán)限 system 全部權(quán)限 IUSR_*,默認(rèn)的Internet來賓帳戶(或?qū)S玫倪\(yùn)行用戶) 只有該文件夾 列出文件夾/讀數(shù)據(jù) 讀屬性 讀擴(kuò)展屬性 讀取權(quán)限 E:WebEasyMail (如果webeasymail安裝在這個(gè)目錄中) administrators 全部 system 全部權(quán)限 SERVICE 全部 IUSR_*,默認(rèn)的Internet來賓帳戶 (或?qū)S玫倪\(yùn)行用戶) 全部權(quán)限 C:phpuploadtemp C:phpsessiondata everyone 全部 C:php administrators 全部 system 全部權(quán)限 SERVICE 全部 Users 只讀和運(yùn)行 c:windowsphp.ini administrators 全部 system 全部權(quán)限 SERVICE 全部 Users 只讀和運(yùn)行
移動(dòng)通信網(wǎng) | 通信人才網(wǎng) | 更新日志 | 團(tuán)隊(duì)博客 | 免責(zé)聲明 | 關(guān)于詞典 | 幫助