Your fish’s some stories

　　防止webshell执行权限，在windows服务器上卸载这些危险组件的方法

　　卸载wscript.shell对象，在cmd下或直接运行：regsvr32 /u %windir%\system32\WSHom.Ocx

　　卸载FSO对象,在cmd下或直接运行：regsvr32.exe /u %windir%\system32\scrrun.dll

　　卸载stream对象,在cmd下或直接运行： regsvr32 /s /u "C:\Program Files\Common Files\System\ado\msado15.dll"

　　如果想恢复的话只需要去掉 /U 即可重新再注册以上相关ASP组件例如：regsvr32.exe %windir%\system32\scrrun.dll

　　防止海洋木马列出WIN服务器的用户和进程

　　禁用服务里面倒数第二个 workstation 服务，可以防止列出用户和服务

　　c:\

　　administrators 全部

　　system 全部

　　iis_wpg 只有该文件夹

　　列出文件夹/读数据

　　读属性

　　读扩展属性

　　读取权限

　　c:\inetpub\mailroot

　　administrators 全部

　　system 全部

　　service 全部

　　c:\inetpub\ftproot

　　everyone 只读和运行

　　c:\windows

　　administrators 全部

　　Creator owner

　　不是继承的

　　只有子文件夹及文件

　　完全

　　Power Users

　　修改，读取和运行，列出文件夹目录，读取，写入

　　system 全部

　　IIS_WPG 读取和运行，列出文件夹目录，读取

　　Users 读取和运行(此权限最后调整完成后可以取消)

　　C:\WINDOWS\Microsoft.Net

　　administrators 全部

　　Creator owner

　　不是继承的

　　只有子文件夹及文件

　　完全

　　Power Users

　　修改，读取和运行，列出文件夹目录，读取，写入

　　system 全部

　　Users 读取和运行，列出文件夹目录，读取

　　'www.knowsky.com

　　C:\WINDOWS\Microsoft.Net

　　administrators 全部

　　Creator owner

　　不是继承的

　　只有子文件夹及文件

　　完全

　　Power Users

　　修改，读取和运行，列出文件夹目录，读取，写入

　　system 全部

　　Users 读取和运行，列出文件夹目录，读取

　　C:\WINDOWS\Microsoft.Net\temporary ASP.NET Files

　　administrators 全部

　　Creator owner

　　不是继承的

　　只有子文件夹及文件

　　完全

　　Power Users

　　修改，读取和运行，列出文件夹目录，读取，写入

　　system 全部

　　Users 全部

　　c:\Program Files

　　Everyone 只有该文件夹

　　不是继承的

　　列出文件夹/读数据

　　administrators 全部

　　iis_wpg 只有该文件夹

　　列出文件/读数据

　　读属性

　　读扩展属性

　　读取权限

　　c:\windows\temp

　　Administrator 全部权限

　　System全部权限

　　users 全部权限

　　c:\Program Files\Common Files

　　administrators 全部

　　Creator owner

　　不是继承的

　　只有子文件夹及文件

　　完全

　　Power Users

　　修改，读取和运行，列出文件夹目录，读取，写入

　　system 全部

　　TERMINAL SERVER Users(如果有这个用户)

　　修改，读取和运行，列出文件夹目录，读取，写入

　　Users 读取和运行，列出文件夹目录，读取

　　c:\Program Files\Dimac(如果有这个目录)

　　Everyone 读取和运行，列出文件夹目录，读取

　　administrators 全部

　　c:\Program Files\ComPlus Applications (如果有)

　　administrators 全部

　　c:\Program Files\GflSDK (如果有)

　　administrators 全部

　　Creator owner

　　不是继承的

　　只有子文件夹及文件

　　完全

　　Power Users

　　修改，读取和运行，列出文件夹目录，读取，写入

　　system 全部

　　TERMINAL SERVER Users

　　修改，读取和运行，列出文件夹目录，读取，写入

　　Users 读取和运行，列出文件夹目录，读取

　　Everyone 读取和运行，列出文件夹目录，读取

　　c:\Program Files\InstallShield Installation Information (如果有)

　　c:\Program Files\Internet Explorer (如果有)

　　c:\Program Files\NetMeeting (如果有)

　　administrators 全部

　　c:\Program Files\WindowsUpdate

　　Creator owner

　　不是继承的

　　只有子文件夹及文件

　　完全

　　administrators 全部

　　Power Users

　　修改，读取和运行，列出文件夹目录，读取，写入

　　system 全部

　　c:\Program Files\Microsoft SQL(如果SQL安装在这个目录)

　　administrators 全部

　　Service 全部

　　system 全部

　　d:\ (如果用户网站内容放置在这个分区中)

　　administrators 全部权限

　　d:\FreeHost (如果此目录用来放置用户网站内容)

　　administrators 全部权限

　　SERVICE 读取与运行

　　从安全角度，我们建议WebEasyMail(WinWebMail)安装在独立的盘中，例如E:

　　E:\(如果webeasymail安装在这个盘中)

　　administrators 全部权限

　　system 全部权限

　　IUSR_*，默认的Internet来宾帐户(或专用的运行用户)

　　读取与运行

　　E:\WebEasyMail (如果webeasymail安装在这个目录中)

　　administrators 全部

　　system 全部权限

　　SERVICE全部

　　IUSR_*，默认的Internet来宾帐户 (或专用的运行用户)

　　全部权限

　　C:\php\uploadtemp

　　C:\php\sessiondata

　　everyone

　　全部

　　C:\php\

　　administrators 全部

　　system 全部权限

　　SERVICE全部

　　Users 只读和运行

　　c:\windows\php.ini

　　administrators 全部

　　system 全部权限

　　SERVICE全部

　　Users 只读和运行

　　修改该Clsid的值而禁用该组件，如将注册表中HKEY_CLASSES_ROOT\Scripting.FileSystemObject\CLSID的值0D43FE01-F093-11CF-8940-00A0C9054228改成0D43FE01-F093-11CF-8940-00A0C9054229(改了最后面一位)，这时候的写法为：

　　CF-8940-00A0C9054229">

　　服务器安全配置实例

　　一.磁盘权限的设置

　　c:\

　　Administrators 完全控制

　　System 完全控制

　　Users 读取 读取运行 列出文件夹目录(为了让防盗链能正常运行)

　　Guest 拒绝所有权限.并只应用到“只有该文件夹”

　　C:\Documents and Settings

　　Administrators 完全控制

　　System 完全控制

　　C:\Documents and Settings\All Users

　　Administrators 完全控制

　　System 完全控制

　　C:\php

　　读取 读取运行 列出文件夹目录

　　C:\Program Files

　　Administrators 完全控制

　　System 完全控制

　　C:\Program Files\Common Files\System

　　把Everyone权限加上去，赋予 读取 读取运行 列出文件夹目录权限

　　C:\WINDOWS

　　Administrators 完全控制

　　System 完全控制

　　IIS_WPG 读取 读取运行 列出文件夹目录,并应用到“只有子文件夹及文件”

　　Users 读取 读取运行 列出文件夹目录,并应用到“只有该文件夹”

　　C:\WINDOWS\system32

　　Administrators 完全控制 System 完全控制

　　Everyone 读取 读取运行 列出文件夹目录,并应用到“只有子文件夹及文件”

　　搜索 cmd.exe net.exe net1.exe cacls.exe tftp.exe ftp.exe

　　赋予Administrators完全控制权限.并将C:\WINDOWS\ServicePackFiles\i386目录下面多余的删掉!

　　D盘看不到，不用管

　　E:\

　　Administrators 完全控制

　　E:\web

　　Administrators 完全控制

　　e:\web下面是网站目录，每个站点使用独立的匿名用户，这个不用多说了.

　　F:\

　　Administrators 完全控制

　　f:\web

　　administrators 完全控制

　　f:\web下面也是用户目录。。。自己设置权限去...

　　服务器上有2个PHP的站点.因为PHP的安全机制

　　设置的权限有所不同.

　　F:\web\www.nideyu.cn　　administrators 完全控制

　　system 完全控制

　　everyone 完全控制，不是继承的.点高级-把那个勾去掉

　　F:\web\www.nideyu.cn\sb 是网站目录

　　administrators 完全控制

　　system 完全控制

　    www.nideyu.cn除了完全控制以外，全部赋予

　　F:\web\www.yubeta.cn 这个也是PHP的，设置权限如上，不再重复.

　　另：E:\web\IIS备份 此目录下是IIS站点配置备份.建立站点时直接导入就可，E:\2盘\bak\建立网站用户的批处理.BAT 直接运行就会自动建立网站匿名帐户.

　　二.系统安全设置

　　1.启用Windows自带防火墙，并开放80 21 3306 52013 端口.(想开什么端口自己加)

　　2.删除以下的注册表主键:

　　WScript.Shell

　　WScript.Shell.1

　　Shell.application

　　Shell.application.1

　　WSCRIPT.NETWORK

　　WSCRIPT.NETWORK.1

　　regsvr32 /u wshom.ocx回车、regsvr32 /u wshext.dll回车

　　3.删除没有必要的储存过程

　　use master

　　EXEC sp_dropextendedproc 'xp_cmdshell'

　　EXEC sp_dropextendedproc 'Sp_OACreate'

　　EXEC sp_dropextendedproc 'Sp_OADestroy'

　　EXEC sp_dropextendedproc 'Sp_OAGetErrorInfo'

　　EXEC sp_dropextendedproc 'Sp_OAGetProperty'

　　EXEC sp_dropextendedproc 'Sp_OAMethod'

　　EXEC sp_dropextendedproc 'Sp_OASetProperty'

　　EXEC sp_dropextendedproc 'Sp_OAStop'

　　EXEC sp_dropextendedproc 'Xp_regaddmultistring'

　　EXEC sp_dropextendedproc 'Xp_regdeletekey'

　　EXEC sp_dropextendedproc 'Xp_regdeletevalue'

　　EXEC sp_dropextendedproc 'Xp_regenumvalues'

　　EXEC sp_dropextendedproc 'Xp_regread'

　　EXEC sp_dropextendedproc 'Xp_regremovemultistring'

　　EXEC sp_dropextendedproc 'Xp_regwrite'

　　drop procedure sp_makewebtask

　　(本人建议直接找对应的DLL文件删除比较保险)

　　4.禁用Workstation服务，防止ASP木马列出用户.

　　5.关闭默认共享防止LAN内IPC入侵。可以用批处理来实现.如下：

　　echo off

　　net share c$ /del

　　net share d$ /del

　　net share e$ /del

　　net share f$ /del

　　保存为bat放到C:\Documents and Settings\All Users\「开始」菜单\程序\启动 即可

　　6.定时重启IIS服务及SQL服务.释放资源.可以用计划任务来实现.怎么弄自己想去。

　　7.设置终端登陆权限，只允许授权用户登陆.开始-程序-管理工具-终端服务配置-RDP-属性-权限

　　Administrator

　　chadmin

　　system

　　完全控制,不过尽管这样还是有一定的不安全,克隆个帐户就得了.建议限制IP登陆.尽管这样还是不安全滴,人家可以映射终端端口.最好的就是把服务器搞得上没得网.用IP安全策略可以做到.

　　8.Serv-U改一下本地管理密码，防止本地溢出.设置一下FTP域安全性，选择允许SSL/TLS和规则会话.

　　OK.就照着这样设置就行了，又安全又不影响第三方软件使用.每台服务器的权限配置都不一样

　　防止CMD SHELL权限被夺方法

　　一台电脑被入侵往往会先取得主机的CMD SHELL权限，Cmd Shell的获取大多是利用溢出攻击实现的，其实我们经过手工设置可以对溢出攻击进行有效的防御。

　　1.对于Windows 2000/2003系统用户来说，可以先打开C:\WINNT\System32(系统安装在C盘)，然后找到“cmd.exe”，用右键选择“属性”项，再在“安全”标签下修改“cmd.exe”的访问权限，只保留刚刚新建立的用户对“cmd.exe”的完全控制权限，将其他用户全部删除，尤其是Everyone。

　　之后，找到“net.exe”文件，按照上述方法进行设置。如果还发现了“net1.exe”，也要设置一样的权限。

　　2.在Windows XP下，“cmd.exe”的“属性”选项里已经没有了“安全”标签。可以点击“开始→运行”，输入“gpedit.msc”，打开“组策略”窗口。在组策略中，依次展开“计算机配置→Windows 设置→软件限制策略”，右击后，选择“创建新的策略”。然后，继续展开“软件限制策略→其他规则”项，右击该项，选择“新键散列规则”。在弹出窗口中点击“浏览”按钮，选择C:\WINNT\System32下的“cmd.exe”文件，设置“安全级别”为“不允许的”。

　　对“net.exe”文件执行同样的操作，进行限制。这样就禁止了CMD SHELL权限。