windows共享端口 2003共享文档里的表格显示灰色,请问怎么解决?如图
点击联系发帖人
时间:2014-11-26 14:31
Office常见问题及解决方法 内容详尽,但请以实际操作为准,欢迎下载使用
扫扫二维码,随身浏览文档
手机或平板扫扫即可继续访问
Office常见问题及解决方法
举报该文档为侵权文档。
举报该文档含有违规或不良信息。
反馈该文档无法正常浏览。
举报该文档为重复文档。
推荐理由:
将文档分享至:
分享完整地址
文档地址:
粘贴到BBS或博客
flash地址:
支持嵌入FLASH地址的网站使用
html代码:
&embed src='/DocinViewer-4.swf' width='100%' height='600' type=application/x-shockwave-flash ALLOWFULLSCREEN='true' ALLOWSCRIPTACCESS='always'&&/embed&
450px*300px480px*400px650px*490px
支持嵌入HTML代码的网站使用
您的内容已经提交成功
您所提交的内容需要审核后才能发布,请您等待!
3秒自动关闭窗口温馨提示!由于新浪微博认证机制调整,您的新浪微博帐号绑定已过期,请重新绑定!&&|&&
LOFTER精选
阅读(815)|
用微信&&“扫一扫”
将文章分享到朋友圈。
用易信&&“扫一扫”
将文章分享到朋友圈。
历史上的今天
loftPermalink:'',
id:'fks_',
blogTitle:'共享文档查看时打不开的解决方法',
blogAbstract:'问题描述:打开网上邻居后点击查看工作组老显示work group无法访问,你可能没有权限使用网络资源,请与这台服务器的管理员联系以查明您是否有访问的权限,此工作组的服务器列表当前无法使用。 \r\n解决方法::“网上邻居”无法互访问题解决方法大全 “网上邻居”无法互访的问题实在是太常见了,无论在学校,网吧还是家里多台电脑联机,都有可能遇到网上邻居无法互访的故展。“网上邻居”无法访问的故障多种多样,总结起来基本上有下面的几个: 1,没有共享资源/共享服务未启用。 症状:电脑与电脑间可以Ping通,但无法访问共享资源,在“计算机管理”中查看“本地共享”后会弹出“没有启动服务器服务”的错误对话框。 ',
blogTag:'',
blogUrl:'blog/static/4',
isPublished:1,
istop:false,
modifyTime:0,
publishTime:4,
permalink:'blog/static/4',
commentCount:0,
mainCommentCount:0,
recommendCount:0,
bsrk:-100,
publisherId:0,
recomBlogHome:false,
currentRecomBlog:false,
attachmentsFileIds:[],
groupInfo:{},
friendstatus:'none',
followstatus:'unFollow',
pubSucc:'',
visitorProvince:'',
visitorCity:'',
visitorNewUser:false,
postAddInfo:{},
mset:'000',
remindgoodnightblog:false,
isBlackVisitor:false,
isShowYodaoAd:false,
hostIntro:'',
hmcon:'1',
selfRecomBlogCount:'0',
lofter_single:''
{list a as x}
{if x.moveFrom=='wap'}
{elseif x.moveFrom=='iphone'}
{elseif x.moveFrom=='android'}
{elseif x.moveFrom=='mobile'}
${a.selfIntro|escape}{if great260}${suplement}{/if}
{list a as x}
推荐过这篇日志的人:
{list a as x}
{if !!b&&b.length>0}
他们还推荐了:
{list b as y}
转载记录:
{list d as x}
{list a as x}
{list a as x}
{list a as x}
{list a as x}
{if x_index>4}{break}{/if}
${fn2(x.publishTime,'yyyy-MM-dd HH:mm:ss')}
{list a as x}
{if !!(blogDetail.preBlogPermalink)}
{if !!(blogDetail.nextBlogPermalink)}
{list a as x}
{if defined('newslist')&&newslist.length>0}
{list newslist as x}
{if x_index>7}{break}{/if}
{list a as x}
{var first_option =}
{list x.voteDetailList as voteToOption}
{if voteToOption==1}
{if first_option==false},{/if}&&“${b[voteToOption_index]}”&&
{if (x.role!="-1") },“我是${c[x.role]}”&&{/if}
&&&&&&&&${fn1(x.voteTime)}
{if x.userName==''}{/if}
网易公司版权所有&&
{list x.l as y}
{if defined('wl')}
{list wl as x}{/list}一、服务器安全设置 1. IIS6.0的安装和设置 1.1 开始菜单—&控制面板—&添加或删除程序—&添加/删除Windows组件
应用程序 ———ASP.NET(可选)
|——启用网络 COM+ 访问(必选)
|——Internet 信息服务(IIS)———Internet 信息服务管理器(必选)
|——公用文件(必选)
|——万维网服务———Active Server pages(必选)
|——Internet 数据连接器(可选)
|——WebDAV 发布(可选)
|——万维网服务(必选)
|——在服务器端的包含文件(可选)
在”网络连接”里,把不需要的协议和服务都删掉,这里只安装了基本的Internet协议(TCP/IP)和Microsoft网络客户端。在高级tcp/ip设置里--&NetBIOS&设置&禁用tcp/IP上的NetBIOS(S)&。
在“本地连接”打开Windows 2003 自带的防火墙,可以屏蔽端口,基本达到一个IPSec的功能,只保留有用的端口,比如远程(3389)和 Web(80),Ftp(21),邮件服务器(25,110),https(443),SQL(1433)
1.2. IIS (Internet信息服务器管理器) 在&主目录&选项设置以下
脚本源访问 不允许
目录浏览 建议关闭
记录访问 建议关闭
索引资源 建议关闭
执行权限 推荐选择 “纯脚本”
建议使用W 3C扩充日志文件格式,每天记录客户IP地址,用户名,服务器端口,方法,URI字根,HTTP状态,用户代理,而且每天均要审查日志。
(最好不要使用缺省的目录,建议更换一个记日志的路径,同时设置日志的访问权限,只允许管理员和system为Full Control)。
1.3. 在IIS6.0 -本地计算机 - 属性- 允许直接编辑配置数据库
在IIS中 属性-&主目录-&配置-&选项中,在网站“启用父路径”前面打上勾
1.4. 在IIS中的Web服务扩展中选中Active Server Pages,点击“允许” 1.5. 优化IIS6应用程序池
1、取消“在空闲此段时间后关闭工作进程(分钟)”
2、勾选“回收工作进程(请求数目)”
3、取消“快速失败保护”
1.6. 解决SERVER 2003不能上传大附件的问题
在“服务”里关闭 iis admin service 服务。
找到 windows\system32\inetsrv\ 下的 metabase.xml 文件。
找到 ASPMaxRequestEntityAllowed 把它修改为需要的值(可修改为 20M即:)
存盘,然后重启 iis admin service 服务。
1.7. 解决SERVER 2003无法下载超过 4M的附件问题
在“服务”里关闭 iis admin service 服务。
找到 windows\system32\inetsrv\ 下的 metabase.xml 文件。
找到 AspBufferingLimit 把它修改为需要的值(可修改为 20M即:)
存盘,然后重启 iis admin service 服务。
1.8. 超时问题
解决大附件上传容易超时失败的问题
在IIS中调大一些脚本超时时间,操作方法是: 在IIS的“站点或虚拟目录”的“主目录”下点击“配置”按钮,
设置脚本超时时间为:300秒 (注意:不是Session超时时间)
解决通过WebMail写信时间较长后,按下发信按钮就会回到系统登录界面的问题
适当增加会话时间(Session)为 60分钟。在IIS站点或虚拟目录属性的“主目录”下点击“配置--&选项”,
就可以进行设置了(Windows 2003默认为20分钟)
2. WEB目录权限设置
Everyone:顾名思义,所有的用户,这个计算机上的所有用户都属于这个组。
最好在C盘以外(如D,E,F.....)的根目录建立到三级目录,一级目录只给Administrator权限,二级目录给Administrator完全控制权限和Everyone除了完全控制,更改,取得,其它全部打勾的权限和IUSR只有该文件夹的完全拒绝权限,三级目录是每个客户的虚拟主机网站,给Administrator完全控制权限和Everyone除了完全控制,更改,取得,其它全部打勾的权限即可.
3. SQL权限设置
3.1. 一个数据库,一个帐号和密码,比如建立了一个数据库,只给PUBLIC和DB_OWNER权限,SA帐号基本是不使用的,因为SA实在是太危险了.
3.2. 更改 sa 密码为你都不知道的超长密码,在任何情况下都不要用 sa 这个帐户.
3.3. Web登录时经常出现&[超时,请重试]&的问题:如果安装了 SQL Server 时,一定要启用“服务器网络实用工具”中的“多协议”项。
3.4.将有安全问题的SQL扩展存储过程删除. 以下命令删除了调用shell,注册表,COM组件的破坏权限,比较全面.一切为了安全!
将以下代码全部复制到&SQL查询分析器&,单击菜单上的--&查询&--&执行&,即可
use master
EXEC sp_dropextendedproc 'xp_cmdshell'
EXEC sp_dropextendedproc 'Sp_OACreate'
EXEC sp_dropextendedproc 'Sp_OADestroy'
EXEC sp_dropextendedproc 'Sp_OAGetErrorInfo'
EXEC sp_dropextendedproc 'Sp_OAGetProperty'
EXEC sp_dropextendedproc 'Sp_OAMethod'
EXEC sp_dropextendedproc 'Sp_OASetProperty'
EXEC sp_dropextendedproc 'Sp_OAStop'
EXEC sp_dropextendedproc 'Xp_regaddmultistring'
EXEC sp_dropextendedproc 'Xp_regdeletekey'
EXEC sp_dropextendedproc 'Xp_regdeletevalue'
EXEC sp_dropextendedproc 'Xp_regenumvalues'
EXEC sp_dropextendedproc 'Xp_regread'
EXEC sp_dropextendedproc 'Xp_regremovemultistring'
EXEC sp_dropextendedproc 'Xp_regwrite'
drop procedure sp_makewebtask
恢复的命令是
EXEC sp_addextendedproc 存储过程的名称,@dllname ='存储过程的dll'
例如:恢复存储过程xp_cmdshell
EXEC sp_addextendedproc xp_cmdshell,@dllname ='xplog70.dll'
注意,恢复时如果xplog70.dll已删除需要copy一个。
二、系统常规安全设置 4. 系统补丁的更新
点击开始菜单—&所有程序—&Windows Update
按照提示进行补丁的安装。
5. 备份系统
用GHOST备份系统。
6. 安装常用的软件
例如:杀毒软件、防火墙、解压缩软件等;安装完毕后,配置杀毒软件,扫描系统漏洞,安装之后用GHOST再次备份系统。
7. 先关闭不需要的端口,开启防火墙 导入IPSEC策略
在”网络连接”里,把不需要的协议和服务都删掉,这里只安装了基本的Internet协议(TCP/IP),由于要控制带宽流量服务,额外安装了Qos数据包计划程序。在高级tcp/ip设置里--&NetBIOS&设置&禁用tcp/IP上的NetBIOS(S)&。在高级选项里,使用&Internet连接防火墙&,这是windows 2003 自带的防火墙,在2000系统里没有的功能,虽然没什么功能,但可以屏蔽端口,这样已经基本达到了一个IPSec的功能。
8. win2003服务器防止海洋木马的安全设置
删除以下的注册表主键:
WScript.Shell
WScript.Shell.1
Shell.application
Shell.application.1
WSCRIPT.NETWORK
WSCRIPT.NETWORK.1
regsvr32/u wshom.ocx回车、regsvr32/u wshext.dll回车
regsvr32/u C:\WINNT\System32\wshom.ocx
del C:\WINNT\System32\wshom.ocx
regsvr32/u C:\WINNT\system32\shell32.dll
del C:\WINNT\system32\shell32.dll
再把以上2个文件权限设置为ADMINISTRATOR组完全权限所有
这里只提一下FSO的防范,但并不需要在自动开通空间的虚拟商服务器上使用,只适合于手工开通的站点。可以针对需要FSO和不需要FSO的站点设置两个组,对于需要FSO的用户组给予c:winnt\system32\scrrun.dll文件的执行权限,不需要的不给权限。重新启动服务器即可生效。
对于这样的设置结合上面的权限设置,你会发现海阳木马已经在这里失去了作用!
9. 改名不安全组件
需要注意的是组件的名称和Clsid都要改,并且要改彻底了。下面以Shell.application为例来介绍方法。
打开注册表编辑器【开始→运行→regedit回车】,然后【编辑→查找→填写Shell.application→查找下一个】,用这个方法能找到两个注册表项:“{9-11CE-A49E-}”和“Shell.application”。为了确保万无一失,把这两个注册表项导出来,保存为 .reg 文件。
比如我们想做这样的更改
9-11CE-A49E- 改名为 9-11CE-A49E-
Shell.application 改名为 Shell.application_ajiang
那么,就把刚才导出的.reg文件里的内容按上面的对应关系替换掉,然后把修改好的.reg文件导入到注册表中(双击即可),导入了改名后的注册表项之后,别忘记了删除原有的那两个项目。这里需要注意一点,Clsid中只能是十个数字和ABCDEF六个字母。
下面是我修改后的代码(两个文件我合到一起了):
Windows Registry Editor Version 5.00
[HKEY_CLASSES_ROOT\CLSID\{9-11CE-A49E-}]
@=&Shell Automation Service&
[HKEY_CLASSES_ROOT\CLSID\{9-11CE-A49E-}\InProcServer32]
@=&C:\\WINNT\\system32\\shell32.dll&
&ThreadingModel&=&Apartment&
[HKEY_CLASSES_ROOT\CLSID\{9-11CE-A49E-}\ProgID]
@=&Shell.Application_ajiang.1&
[HKEY_CLASSES_ROOT\CLSID\{9-11CE-A49E-}\TypeLib]
@=&{ 50a7e9b0-70ef-11d1-b 75a -00a 0c90564fe}&
[HKEY_CLASSES_ROOT\CLSID\{9-11CE-A49E-}\Version]
[HKEY_CLASSES_ROOT\CLSID\{9-11CE-A49E-}\VersionIndependentProgID]
@=&Shell.Application_ajiang&
[HKEY_CLASSES_ROOT\Shell.Application_ajiang]
@=&Shell Automation Service&
[HKEY_CLASSES_ROOT\Shell.Application_ajiang\CLSID]
@=&{9-11CE-A49E-}&
[HKEY_CLASSES_ROOT\Shell.Application_ajiang\CurVer]
@=&Shell.Application_ajiang.1&
你可以把这个保存为一个.reg文件运行试一下,但是可别就此了事,因为万一黑客也看了我的这篇文章,他会试验我改出来的这个名字的。
10. 系统安全策略
A.账户策略 密码策略:
B.密码设定最小值不能少于10位
C.密码设定需要保证复杂性
D.登陆计数器需要开启
E.本地策略 审核策略:
F.审核策略更改:成功
G.审核登陆事件:成功、失败
H.审核目录服务访问:成功
I.审核特权使用:成功
J.审核系统事件:成功、失败
K.审核账户登陆事件:成功、失败
M.审核账户管理:成功
N.本地策略 本地策略:
O.不显示上次的登陆名:启用
P.只有本地用户才能访问cd-rom:启用
Q.只有本地用户才能访问软驱:启用
11. 网络设置[这里针对网卡参数进行设置]
PCI网络适配器。
分别为 Public,Private
实际使用中会改为相关IP
11.1. 网卡顺序调整为外网卡优先,顺序为:
a) 公用网络
b) 专用网络
c) 远程访问连接
11.2. 公网网卡设置:
1.配置:Link Speed/Duplex Mode:auto mode
高级 WINS:禁用TCP/IP NetBios
高级 选项 TCP/IP筛选:启用TCP/IP筛选,只开放所需TCP端口
删除文件和打印机共享协议[File and Printer Sharing for Microsoft Networks]
1.启用Internet Connection Firewall---settings---Remote Desktop
2.Security Logging,ICMP协议的设置
12. PHP安全
c:\windows\php.ini
administrators 全部
system 全部权限
SERVICE 全部
Users 只读和运行
13. 修改3389远程连接端口
修改注册表
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\Wds\rdpwd\Tds\tcp]
&portNumber&=dword:0000端口号 ;键值中 PortNumber 改为你想用的端口号.注意使用十进制(例 10000 )
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp]
&portNumber&=dword:0000端口号 ;键值中 PortNumber 改为你想用的端口号.注意使用十进制(例 10000 )
注意:别忘了在WINDOWS2003自带的防火墙给+上10000端口,也就是你所修改的那个端口号
设置这两个注册表的权限, 添加“IUSR”的完全拒绝 禁止显示端口号
修改完毕.重新启动服务器.设置生效.
14. 本地策略---&用户权限分配
关闭系统:只有Administrators组、其它全部删除。
通过终端服务允许登陆:只加入Administrators,Remote Desktop Users组,其他全部删除
15. 在安全设置里 本地策略-用户权利分配,通过终端服务拒绝登陆 加入
NETWORK SERVICE
(注意不要添加进user组和administrators组 添加进去以后就没有办法远程登陆了)
16. 计算机管理的本地用户和组
禁用终端服务(TsInternetUser), SQL服务(SQLDebugger), SUPPORT_
17. 删除默认共享
制作以下批处理程序运行:
::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::
:: 先列举存在的分区,然后再逐个删除以分区名命名的共享;
:: 通过修改注册表防止admin$共享在下次开机时重新加载;
:: IPC$共享需要administritor权限才能成功删除
::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::
title 默认共享删除器
echo ------------------------------------------------------
echo 开始删除每个分区下的默认共享.
for %%a in (C D E F G H I J K L M N O P Q R S T U V W X Y Z) do @(
if exist %%a:\nul (
net share %%a$ /delete&nul 2&nul && echo 成功删除名为 %%a$ 的默认共享 || echo 名为 %%a$ 的默认共享不存在
net share admin$ /delete&nul 2&nul && echo 成功删除名为 admin$ 的默认共享 || echo 名为 admin$ 的默认共享不存在
echo ------------------------------------------------------
net stop Server /y&nul 2&nul && echo Server服务已停止.
net start Server&nul 2&nul && echo Server服务已启动.
echo ------------------------------------------------------
echo 修改注册表以更改系统默认设置.
echo 正在创建注册表文件.
echo Windows Registry Editor Version 5.00& c:\delshare.reg
:: 通过注册表禁止Admin$共享,以防重启后再次加载
echo [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters]&& c:\delshare.reg
echo &AutoShareWks&=dword:&& c:\delshare.reg
echo &AutoShareServer&=dword:&& c:\delshare.reg
:: 删除IPC$共享,本功能需要administritor权限才能成功删除
echo [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa]&& c:\delshare.reg
echo &restrictanonymous&=dword:&& c:\delshare.reg
echo 正在导入注册表文件以更改系统默认设置.
regedit /s c:\delshare.reg
del c:\delshare.reg && echo 临时文件已经删除.
echo ------------------------------------------------------
echo 程序已经成功删除所有的默认共享.
echo 按任意键退出...
18.常用DOS命令安全设置
打开C:\Windows目录 搜索以下DOS命令文件
NET.EXE,NET1.EXE,CMD.EXE,FTP.EXE,ATTRIB.EXE,CACLS.EXE,AT.,
TELNET.,NETSTAT.EXE,REGEDIT.EXE,ARP.EXE,NBTSTAT.EXE
把以上命令文件通通只给Administrators 和SYSTEM为完全控制权限
19. 卸载删除具有CMD命令功能的危险组件
WSHOM.OCX对应于WScript.Shell组件
HKEY_CLASSES_ROOT\WScript.Shell\
HKEY_CLASSES_ROOT\WScript.Shell.1\
添加IUSR用户完全拒绝权限
Shell32.dll对应于Shell.Application组件
HKEY_CLASSES_ROOT\Shell.Application\
HKEY_CLASSES_ROOT\Shell.Application.1\
添加IUSR用户完全拒绝权限
regsvr32/u C:\Windows\System32\wshom.ocx
regsvr32/u C:\Windows\System32\shell32.dll
WSHOM.OCXx和Shell32.dl这两个文件只给Administrator完全权限
20.用户安全设置
20.1. 禁用Guest账号
在计算机管理的用户里面把Guest账号禁用。为了保险起见,最好给Guest加一个复杂的密码。你可以打开记事本,在里面输入一串包含特殊字符、数字、字母的长字符串,然后把它作为Guest用户的密码拷进去。
20.1. 限制不必要的用户
去掉所有的Duplicate User用户、测试用户、共享用户等等。用户组策略设置相应权限,并且经常检查系统的用户,删除已经不再使用的用户。这些用户很多时候都是黑客们入侵系统的突破口。
20.2. 把系统Administrator账号改名
大家都知道,Windows 2003 的Administrator用户是不能被停用的,这意味着别人可以一遍又一遍地尝试这个用户的密码。尽量把它伪装成普通用户,比如改成Guesycludx。
20.3. 创建一个陷阱用户
什么是陷阱用户?即创建一个名为“Administrator”的本地用户,把它的权限设置成最低,什么事也干不了的那种,并且加上一个超过10位的超级复杂密码。这样可以让那些 Hacker们忙上一段时间,借此发现它们的入侵企图。
20.4. 把共享文件的权限从Everyone组改成授权用户
20.5. 开启用户策略
使用用户策略,分别设置复位用户锁定计数器时间为20分钟,用户锁定时间为20分钟,用户锁定阈值为3次。 (该项为可选)
20.6. 不让系统显示上次登录的用户名
默认情况下,登录对话框中会显示上次登录的用户名。这使得别人可以很容易地得到系统的一些用户名,进而做密码猜测。修改注册表可以不让对话框里显示上次登录的用户名。方法为:打开注册表编辑器并找到注册表“HKLM\Software\Microsoft\Windows T\CurrentVersion\Winlogon\Dont-DisplayLastUserName”,把REG_SZ的键值改成1。
21. 密码安全设置
20.1. 使用安全密码
一些公司的管理员创建账号的时候往往用公司名、计算机名做用户名,然后又把这些用户的密码设置得太简单,比如“welcome”等等。因此,要注意密码的复杂性,还要记住经常改密码。
20.2.设置屏幕保护密码
这是一个很简单也很有必要的操作。设置屏幕保护密码也是防止内部人员破坏服务器的一个屏障。
20.3.开启密码策略
注意应用密码策略,如启用密码复杂性要求,设置密码长度最小值为6位 ,设置强制密码历史为5次,时间为42天。
20.4.考虑使用智能卡来代替密码
对于密码,总是使安全管理员进退两难,密码设置简单容易受到黑客的攻击,密码设置复杂又容易忘记。如果条件允许,用智能卡来代替复杂的密码是一个很好的解决方法。
22. 磁盘权限设置
系统盘及所有磁盘只给 Administrators 组和 SYSTEM 的完全控制权限
系统盘\Documents and Settings 目录只给 Administrators 组和 SYSTEM 的完全控制权限
系统盘\Documents and Settings\All Users 目录只给 Administrators 组和 SYSTEM 的完全控制权限
系统盘\Windows\System32\cacls.exe、cmd.exe、net.exe、net1.exe、ftp.exe、tftp.exe、telnet.exe 、 netstat.exe、regedit.exe、at.exe、attrib.exe、、del文件只给 Administrators 组和SYSTEM 的完全 控制权限
另将\System32\cmd.exe、、ftp.exe转移到其他目录或更名
Documents and Settings下所有些目录都设置只给adinistrators权限。并且要一个一个目录查看,包括下面的所有子目录。
删除c:\inetpub目录
23. 本地安全策略设置
开始菜单—&管理工具—&本地安全策略
23.1. 本地策略——&审核策略
审核策略更改 成功 失败
审核登录事件 成功 失败
审核对象访问 失败
审核过程跟踪 无审核
审核目录服务访问 失败
审核特权使用 失败
审核系统事件 成功 失败
审核账户登录事件 成功 失败
审核账户管理 成功 失败
23.2. 本地策略——&用户权限分配
关闭系统:只有Administrators组、其它全部删除。
通过终端服务允许登陆:只加入Administrators,Remote Desktop Users组,其他全部删除
23.3. 本地策略——&安全选项
交互式登陆:不显示上次的用户名 启用
网络访问:不允许SAM帐户的匿名枚举 启用
网络访问:不允许SAM帐户和共享的匿名枚举 启用
网络访问.限制匿名访问命名管道和共享,更改为&已启用& ;
网络访问.不允许存储网络身份验证的凭据或 .NET Passports 启用& ;
网络访问:可匿名访问的共享 将后面的值全部删除
网络访问:可匿名访问的命名管道 将后面的值全部删除
网络访问:可远程访问的注册表路径 将后面的值全部删除
网络访问:可远程访问的注册表路径和子路径 将后面的值全部删除
帐户:重命名来宾帐户 重命名一个帐户
帐户:重命名系统管理员帐户 重命名一个帐户
帐户.重命名来宾帐户guest
帐户.重命名系统管理员帐户
24. 终端服务配置Terminal Service Configration
24.1. RDP设置中删除系统管理员组(administrators group)的用户登陆权限,只允许系统管理员单一账户登陆[Permissions]
24.2. 权限-高级中配置安全审核,记录登录、注销等所有事件
25. 禁用不必要的服务
开始-运行-services.msc
TCP/IPNetBIOS Helper 提供 TCP/IP 服务上的 NetBIOS 和网络上客户端的 NetBIOS 名称解析的支持而使用户能够共享文件、打印和登录到网络
Server 支持此计算机通过网络的文件、打印、和命名管道共享
Computer Browser 维护网络上计算机的最新列表以及提供这个列表
Task scheduler 允许程序在指定时间运行
Messenger 传输客户端和服务器之间的 NET SEND 和 警报器服务消息
Distributed File System 局域网管理共享文件,不需要可禁用
Distributed linktracking client 用于局域网更新连接信息,不需要可禁用
Error reporting service 禁止发送错误报告
Microsoft Serch 提供快速的单词搜索,不需要可禁用
NTLMSecuritysupportprovide telnet服务和Microsoft Serch用的,不需要可禁用
PrintSpooler 如果没有打印机可禁用
Remote Registry 禁止远程修改注册表
Remote Desktop Help Session Manager 禁止远程协助
Workstation 关闭的话远程NET命令列不出用户组
以上是在Windows Server 2003 系统上面默认启动的服务中禁用的,默认禁用的服务如没特别需要的话不要启动。
另外,也可用以下批处理文件来禁用不必要的服务:
sc config AeLookupSvc start= AUTO
sc config Alerter start= DISABLED
sc config ALG start= DISABLED
sc config AppMgmt start= DEMAND
sc config aspnet_state start= DEMAND
sc config AudioSrv start= DISABLED
sc config BITS start= DEMAND
sc config Browser start= DEMAND
sc config CiSvc start= DISABLED
sc config ClipSrv start= DISABLED
sc config clr_optimization_v2.0.50727_32 start= DEMAND
sc config COMSysApp start= DEMAND
sc config CryptSvc start= AUTO
sc config DcomLaunch start= AUTO
sc config Dfs start= DEMAND
sc config Dhcp start= AUTO
sc config dmadmin start= DEMAND
sc config dmserver start= AUTO
sc config Dnscache start= AUTO
sc config ERSvc start= DISABLED
sc config Eventlog start= AUTO
sc config EventSystem start= AUTO
sc config helpsvc start= DISABLED
sc config HidServ start= AUTO
sc config HTTPFilter start= DEMAND
sc config IISADMIN start= AUTO
sc config ImapiService start= DISABLED
sc config IsmServ start= DISABLED
sc config kdc start= DISABLED
sc config lanmanworkstation start= DISABLED
sc config LicenseService start= DISABLED
sc config LmHosts start= DISABLED
sc config Messenger start= DISABLED
sc config mnmsrvc start= DISABLED
sc config MSDTC start= AUTO
sc config MSIServer start= DEMAND
sc config MSSEARCH start= AUTO
sc config MSSQLSERVER start= AUTO
sc config MSSQLServerADHelper start= DEMAND
sc config NetDDE start= DISABLED
sc config NetDDEdsdm start= DISABLED
sc config Netlogon start= DEMAND
sc config Netman start= DEMAND
sc config Nla start= DEMAND
sc config NtFrs start= DEMAND
sc config NtLmSsp start= DEMAND
sc config NtmsSvc start= DEMAND
sc config PlugPlay start= AUTO
sc config PolicyAgent start= AUTO
sc config ProtectedStorage start= AUTO
sc config RasAuto start= DEMAND
sc config RasMan start= DEMAND
sc config RDSessMgr start= DEMAND
sc config RemoteAccess start= DISABLED
sc config RemoteRegistry start= DISABLED
sc config RpcLocator start= DEMAND
sc config RpcSs start= AUTO
sc config RSoPProv start= DEMAND
sc config sacsvr start= DEMAND
sc config SamSs start= AUTO
sc config SCardSvr start= DEMAND
sc config Schedule start= AUTO
sc config seclogon start= AUTO
sc config SENS start= AUTO
sc config SharedAccess start= DISABLED
sc config ShellHWDetection start= AUTO
sc config SMTPSVC start= AUTO
sc config Spooler start= DISABLED
sc config SQLSERVERAGENT start= AUTO
sc config stisvc start= DISABLED
sc config swprv start= DEMAND
sc config SysmonLog start= AUTO
sc config TapiSrv start= DEMAND
sc config TermService start= AUTO
sc config Themes start= DISABLED
sc config TlntSvr start= DISABLED
sc config TrkSvr start= DISABLED
sc config TrkWks start= AUTO
sc config Tssdis start= DISABLED
sc config UMWdf start= DEMAND
sc config UPS start= DEMAND
sc config vds start= DEMAND
sc config VSS start= DEMAND
sc config W32Time start= AUTO
sc config W3SVC start= AUTO
sc config WebClient start= DISABLED
sc config WinHttpAutoProxySvc start= DEMAND
sc config winmgmt start= AUTO
sc config WmdmPmSN start= DEMAND
sc config Wmi start= DEMAND
sc config WmiApSrv start= DEMAND
sc config wuauserv start= DISABLED
sc config WZCSVC start= DISABLED
sc config xmlprov start= DEMAND
26. 修改注册表
修改注册表,让系统更强壮
26.1. 隐藏重要文件/目录可以修改注册表实现完全隐藏
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\ Current-Version\Explorer\Advanced\Folder\Hi-dden\SHOWALL”,鼠标右击 “CheckedValue”,选择修改,把数值由1改为0
26.2. 防止SYN洪水攻击
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters
新建DWORD值,名为SynAttackProtect,值为2
新建EnablePMTUDiscovery REG_DWORD 0
新建NoNameReleaseOnDemand REG_DWORD 1
新建EnableDeadGWDetect REG_DWORD 0
新建KeepAliveTime REG_DWORD 300,000
新建PerformRouterDiscovery REG_DWORD 0
新建EnableICMPRedirects REG_DWORD 0
26.3. 禁止响应ICMP路由通告报文
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\interface
新建DWORD值,名为PerformRouterDiscovery 值为0
26.4. 防止ICMP重定向报文的攻击
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters
将EnableICMPRedirects 值设为0
26.5. 不支持IGMP协议
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters
新建DWORD值,名为IGMPLevel 值为0
26.6. 禁止IPC空连接:
cracker可以利用net use命令建立空连接,进而入侵,还有net view,nbtstat这些都是基于空连接的,禁止空连接就好了。
Local_Machine\System\CurrentControlSet\Control\LSA-RestrictAnonymous 把这个值改成” 1”即可。
26.7. 更改TTL值
cracker可以根据ping回的TTL值来大致判断你的操作系统,如:
TTL=107(WINNT);
TTL=108(win2000);
TTL=127或128(win9x);
TTL=240或241(linux);
TTL=252(solaris);
TTL=240(Irix);
实际上你可以自己改的:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters:DefaultTTL REG_DWORD 0-0xff(0-255 十进制,默认&#)改成一个莫名其妙的数字如258,起码让那些小菜鸟晕上半天,就此放弃入侵你也不一定哦
26.8. 删除默认共享
有人问过我一开机就共享所有盘,改回来以后,重启又变成了共享是怎么回事,这是2K为管理而设置的默认共享,HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters:AutoShareServer类型是REG_DWORD把值改为0即可
26.9. 禁止建立空连接
默认情况下,任何用户通过空连接连上服务器,进而枚举出帐号,猜测密码。我们可以通过修改注册表来禁止建立空连接:
Local_Machine\System\CurrentControlSet\Control\LSA-RestrictAnonymous 的值改成” 1”即可。
26.10. 建立一个记事本,填上以下代码。保存为*.bat并加到启动项目中
net share c$Content$/ del
net share d$Content$/ del
net share e$Content$/ del
net share f$Content$/ del
net share ipc$Content$/ del
net share admin$Content$/ del
27. 系统DOS命令保护和转移
方法一:转移目录
将WIN2003系统盘下的C:\WINDOWS\system32下的DOS命令转移:
CMD/CMDKEY.exe、FTP/TFTP.exe、NET/NET1.exe、、AT.exe、ARP.exe、ATTRIB.exe、CACLS.exe、SYSKEY.exe、SHUTDOWN/RESTART/LOGOFF.exe等至备份文件夹内
必须使用时[such as runas .bat files]可以重新copy到原目录下,使用完毕后需删除
方法二:DOS重命名
比如:ren c:\windows\system32\md.exe c:\windows\system32\pchmd.exe
ren c:\windows\system32\at.exe c:\windows\system32\pchat.exe
自己维护的时候就用改名的DOS命名执行即可。
方法三:使用doskey保护DOS命令
比如: doskey format='format'
执行format之后系统提示: ''format'' 不是内部或外部命令,也不是可运行的程序或批处理文件。
如需正常运行该命令则执行doskey format=format
可做一个修改过的BAT:
doskey format='format'
doskey del=' del'
doskey attrib='attrib'
doskey ftp='ftp' =号后面的内容可设置为任意字符,比如:doskey format=123,不知道的HACK FORMAT后一定会晕。
再做一个恢复的正常BAT文件:
doskey format=format
doskey del= del
doskey attrib=attrib
doskey ftp=ftp
需要的时候用恢复BAT即可,用完做回DOSKEY的保护方式。
28.系统目录权限详细设置
C盘的目录权限以表格的方式来说明,简单明了。
硬盘或文件夹: C:\ D:\ E:\ F:\ 类推
主要权限部分:
其他权限部分:
Administrators
如果安装了其他运行环境,比如PHP等,则根据PHP的环境功能要求来设置硬盘权限,一般是安装目录加上users读取运行权限就足够了,比如c:\php的话,就在根目录权限继承的情况下加上users读取运行权限,需要写入数据的比如tmp文件夹,则把users的写删权限加上,运行权限不要,然后把虚拟主机用户的读权限拒绝即可。如果是mysql的话,用一个独立用户运行MYSQL会更安全,下面会有介绍。如果是winwebmail,则最好建立独立的应用程序池和独立IIS用户,然后整个安装目录有winwebmail进程用户的读/运行/写/权限,IIS用户则相同,这个IIS用户就只用在winwebmail的WEB访问中,其他IIS站点切勿使用,安装了winwebmail的服务器硬盘权限设置后面举例
该文件夹,子文件夹及文件
&不是继承的&
CREATOR OWNER
只有子文件夹及文件
&不是继承的&
该文件夹,子文件夹及文件
&不是继承的&
硬盘或文件夹: C:\Inetpub\
主要权限部分:
其他权限部分:
Administrators
该文件夹,子文件夹及文件
&继承于c:\&
CREATOR OWNER
只有子文件夹及文件
&继承于c:\&
该文件夹,子文件夹及文件
&继承于c:\&
硬盘或文件夹: C:\Inetpub\AdminScripts
主要权限部分:
其他权限部分:
Administrators
该文件夹,子文件夹及文件
&不是继承的&
该文件夹,子文件夹及文件
&不是继承的&
硬盘或文件夹: C:\Inetpub\wwwroot
主要权限部分:
其他权限部分:
Administrators
读取运行/列出文件夹目录/读取
该文件夹,子文件夹及文件
该文件夹,子文件夹及文件
&不是继承的&
&不是继承的&
读取运行/列出文件夹目录/读取
该文件夹,子文件夹及文件
该文件夹,子文件夹及文件
&不是继承的&
&不是继承的&
这里可以把虚拟主机用户组加上同Internet 来宾帐户一样的权限拒绝权限
Internet 来宾帐户
创建文件/写入数据/:拒绝
创建文件夹/附加数据/:拒绝
写入属性/:拒绝
写入扩展属性/:拒绝
删除子文件夹及文件/:拒绝
删除/:拒绝
该文件夹,子文件夹及文件
&不是继承的&
硬盘或文件夹: C:\Inetpub\wwwroot\aspnet_client
主要权限部分:
其他权限部分:
Administrators
该文件夹,子文件夹及文件
该文件夹,子文件夹及文件
&不是继承的&
&不是继承的&
该文件夹,子文件夹及文件
&不是继承的&
硬盘或文件夹: C:\Documents and Settings
主要权限部分:
其他权限部分:
Administrators
该文件夹,子文件夹及文件
&不是继承的&
该文件夹,子文件夹及文件
&不是继承的&
硬盘或文件夹: C:\Documents and Settings\All Users
主要权限部分:
其他权限部分:
Administrators
读取和运行
该文件夹,子文件夹及文件
该文件夹,子文件夹及文件
&不是继承的&
&不是继承的&
USERS组的权限仅仅限制于读取和运行,绝对不能加上写入权限
该文件夹,子文件夹及文件
&不是继承的&
硬盘或文件夹: C:\Documents and Settings\All Users\「开始」菜单
主要权限部分:
其他权限部分:
Administrators
该文件夹,子文件夹及文件
&不是继承的&
该文件夹,子文件夹及文件
&不是继承的&
硬盘或文件夹: C:\Documents and Settings\All Users\Application Data
主要权限部分:
其他权限部分:
Administrators
读取和运行
该文件夹,子文件夹及文件
该文件夹,子文件夹及文件
&不是继承的&
&不是继承的&
CREATOR OWNER
只有子文件夹及文件
该文件夹,子文件夹
&不是继承的&
&不是继承的&
两个并列权限同用户组需要分开列权限
该文件夹,子文件夹及文件
&不是继承的&
硬盘或文件夹: C:\Documents and Settings\All Users\Application Data\Microsoft
主要权限部分:
其他权限部分:
Administrators
读取和运行
该文件夹,子文件夹及文件
该文件夹,子文件夹及文件
&不是继承的&
&不是继承的&
此文件夹包含 Microsoft 应用程序状态数据
该文件夹,子文件夹及文件
&不是继承的&
硬盘或文件夹: C:\Documents and Settings\All Users\Application Data\Microsoft\Crypto\RSA\MachineKeys
主要权限部分:
其他权限部分:
Administrators
列出文件夹、读取属性、读取扩展属性、创建文件、创建文件夹、写入属性、写入扩展属性、读取权限
只有该文件夹
Everyone这里只有读写权限,不能加运行和删除权限,仅限该文件夹
只有该文件夹
&不是继承的&
&不是继承的&
硬盘或文件夹: C:\Documents and Settings\All Users\Application Data\Microsoft\Crypto\DSS\MachineKeys
主要权限部分:
其他权限部分:
Administrators
列出文件夹、读取属性、读取扩展属性、创建文件、创建文件夹、写入属性、写入扩展属性、读取权限
只有该文件夹
Everyone这里只有读写权限,不能加运行和删除权限,仅限该文件夹
只有该文件夹
&不是继承的&
&不是继承的&
硬盘或文件夹: C:\Documents and Settings\All Users\Application Data\Microsoft\HTML Help
主要权限部分:
其他权限部分:
Administrators
读取和运行
该文件夹,子文件夹及文件
该文件夹,子文件夹及文件
&不是继承的&
&不是继承的&
该文件夹,子文件夹及文件
&不是继承的&
硬盘或文件夹: C:\Documents and Settings\All Users\Application Data\Microsoft\Network\Connections\Cm
主要权限部分:
其他权限部分:
Administrators
读取和运行
该文件夹,子文件夹及文件
该文件夹,子文件夹及文件
&不是继承的&
&不是继承的&
Everyone这里只有读和运行权限
该文件夹,子文件夹及文件
&不是继承的&
硬盘或文件夹: C:\Documents and Settings\All Users\Application Data\Microsoft\Network\Downloader
主要权限部分:
其他权限部分:
Administrators
该文件夹,子文件夹及文件
&不是继承的&
该文件夹,子文件夹及文件
&不是继承的&
硬盘或文件夹: C:\Documents and Settings\All Users\Application Data\Microsoft\Media Index
主要权限部分:
其他权限部分:
Administrators
读取和运行
该文件夹,子文件夹及文件
该文件夹,子文件夹及文件
&不是继承的&
&继承于上一级文件夹&
创建文件/写入数据创建文件夹/附加数据写入属性写入扩展属性读取权限
该文件夹,子文件夹及文件
只有该文件夹
&不是继承的&
&不是继承的&
创建文件/写入数据创建文件夹/附加数据写入属性写入扩展属性
只有该子文件夹和文件
&不是继承的&
硬盘或文件夹: C:\Documents and Settings\All Users\DRM
主要权限部分:
其他权限部分:
这里需要把GUEST用户组和IIS访问用户组全部禁止Everyone的权限比较特殊,默认安装后已经带了主要是要把IIS访问的用户组加上所有权限都禁止
读取和运行
该文件夹,子文件夹及文件
&不是继承的&
该文件夹,子文件夹及文件
&不是继承的&
该文件夹,子文件夹及文件
&不是继承的&
IUSR_XXX或某个虚拟主机用户组
该文件夹,子文件夹及文件
&不是继承的&
硬盘或文件夹: C:\Documents and Settings\All Users\Documents (共享文档)
主要权限部分:
其他权限部分:
Administrators
该文件夹,子文件夹及文件
&不是继承的&
CREATOR OWNER
只有子文件夹及文件
&不是继承的&
该文件夹,子文件夹及文件
&不是继承的&
硬盘或文件夹: C:\Program Files
主要权限部分:
其他权限部分:
Administrators
读取和运行
该文件夹,子文件夹及文件
该文件夹,子文件夹及文件
&不是继承的&
&不是继承的&
CREATOR OWNER
IUSR_XXX或某个虚拟主机用户组
列出文件夹/读取数据 :拒绝
只有子文件夹及文件
该文件夹,子文件夹及文件
&不是继承的&
&不是继承的&
IIS虚拟主机用户组禁止列目录,可有效防止FSO类木马如果安装了aspjepg和aspupload
该文件夹,子文件夹及文件
&不是继承的&
硬盘或文件夹: C:\Program Files\Common Files
主要权限部分:
其他权限部分:
Administrators
读取和运行
该文件夹,子文件夹及文件
该文件夹,子文件夹及文件
&不是继承的&
&继承于上级目录&
CREATOR OWNER
读取和运行
只有子文件夹及文件
该文件夹,子文件夹及文件
&不是继承的&
&不是继承的&
复合权限,为IIS提供快速安全的运行环境
该文件夹,子文件夹及文件
&不是继承的&
硬盘或文件夹: C:\Program Files\Common Files\Microsoft Shared\web server extensions
主要权限部分:
其他权限部分:
Administrators
该文件夹,子文件夹及文件
&不是继承的&
CREATOR OWNER
只有子文件夹及文件
&不是继承的&
该文件夹,子文件夹及文件
&不是继承的&
硬盘或文件夹: C:\Program Files\Microsoft SQL Server\MSSQL (程序部分默认装在C:盘)
主要权限部分:
其他权限部分:
Administrators
该文件夹,子文件夹及文件
&不是继承的&
硬盘或文件夹: E:\Program Files\Microsoft SQL Server\MSSQL (数据库部分装在E:盘的情况)
主要权限部分:
其他权限部分:
Administrators
该文件夹,子文件夹及文件
&不是继承的&
硬盘或文件夹: C:\Program Files\Internet Explorer\iexplore.exe
主要权限部分:
其他权限部分:
Administrators
该文件夹,子文件夹及文件
&不是继承的&
硬盘或文件夹: C:\Program Files\Outlook Express
主要权限部分:
其他权限部分:
Administrators
该文件夹,子文件夹及文件
&不是继承的&
CREATOR OWNER
只有子文件夹及文件
&不是继承的&
该文件夹,子文件夹及文件
&不是继承的&
硬盘或文件夹: C:\Program Files\PowerEasy\ (如果装了动易组件的话)
主要权限部分:
其他权限部分:
Administrators
该文件夹,子文件夹及文件
&不是继承的&
CREATOR OWNER
只有子文件夹及文件
&不是继承的&
该文件夹,子文件夹及文件
&不是继承的&
硬盘或文件夹: C:\Program Files\Radmin (如果装了Radmin远程控制的话)
主要权限部分:
其他权限部分:
Administrators
对应的c:\windows\system32里面有两个文件r_server.exe和AdmDll.dll要把Users读取运行权限去掉默认权限只要administrators和system全部权限
该文件夹,子文件夹及文件
&不是继承的&
CREATOR OWNER
只有子文件夹及文件
&不是继承的&
该文件夹,子文件夹及文件
&不是继承的&
硬盘或文件夹: C:\Program Files\Serv-U (如果装了Serv-U服务器的话)
主要权限部分:
其他权限部分:
Administrators
这里常是提权入侵的一个比较大的漏洞点一定要按这个方法设置目录名字根据Serv-U版本也可能是C:\Program \Serv-U
该文件夹,子文件夹及文件
&不是继承的&
CREATOR OWNER
只有子文件夹及文件
&不是继承的&
该文件夹,子文件夹及文件
&不是继承的&
硬盘或文件夹: C:\Program Files\Windows Media Player
主要权限部分:
其他权限部分:
Administrators
该文件夹,子文件夹及文件
&不是继承的&
CREATOR OWNER
只有子文件, 夹及文件
&不是继承的&
该文件夹,子文件夹及文件
&不是继承的&
硬盘或文件夹: C:\Program Files\Windows, NT\Accessories
主要权限部分:
其他权限部分:
Administrators
该文件夹,子文件夹及文件
&不是继承的&
CREATOR OWNER
只有子文件夹及文件
&不是继承的&
该文件夹,子文件夹及文件
&不是继承的&
硬盘或文件夹: C:\Program Files\WindowsUpdate
主要权限部分:
其他权限部分:
Administrators
该文件夹,子文件夹及文件
&不是继承的&
CREATOR OWNER
只有子文件夹及文件
&不是继承的&
该文件夹,子文件夹及文件
&不是继承的&
硬盘或文件夹: C:\WINDOWS
主要权限部分:
其他权限部分:
Administrators
读取和运行
该文件夹,子文件夹及文件
该文件夹,子文件夹及文件
&不是继承的&
&不是继承的&
CREATOR OWNER
只有子文件夹及文件
&不是继承的&
该文件夹,子文件夹及文件
&不是继承的&
硬盘或文件夹: C:\WINDOWS\repair
主要权限部分:
其他权限部分:
Administrators
IUSR_XXX或某个虚拟主机用户组
列出文件夹/读取数据 :拒绝
该文件夹,子文件夹及文件
该文件夹,子文件夹及文件
&不是继承的&
&不是继承的&
CREATOR OWNER
虚拟主机用户访问组拒绝读取,有助于保护系统数据这里保护的是系统级数据SAM
只有子文件夹及文件
&不是继承的&
该文件夹,子文件夹及文件
&不是继承的&
硬盘或文件夹: C:\WINDOWS\IIS Temporary Compressed Files
主要权限部分:
其他权限部分:
Administrators
读取和写入/删除
该文件夹,子文件夹及文件
该文件夹,子文件夹及文件
&继承于C:\windows&
&不是继承的&
CREATOR OWNER
读取和写入/删除
只有子文件夹及文件
该文件夹,子文件夹及文件
&继承于C:\windows&
&不是继承的&
建议装了MCAFEE或NOD的用户把此文件夹,禁止写入一些文件类型比如*.EXE和*.com等可执行文件或vbs类脚本
该文件夹,子文件夹及文件
&继承于C:\windows&
IUSR_XXX或某个虚拟主机用户组
列出文件夹/读取数据 :拒绝
该文件夹,子文件夹及文件
&不是继承的&
列出文件夹/读取数据 :拒绝
该文件夹,子文件夹及文件
&不是继承的&
硬盘或文件夹: C:\WINDOWS\Microsoft.NET\Framework\版本\Temporary ASP.NET Files
主要权限部分:
其他权限部分:
Administrators
ASP.NET 计算机帐户
读取和运行
该文件夹,子文件夹及文件
该文件夹,子文件夹及文件
&继承于C:\windows&
&继承于C:\windows&
CREATOR OWNER
ASP.NET 计算机帐户
只有子文件夹及文件
该文件夹,子文件夹及文件
&继承于C:\windows&
&不是继承的&
读取和运行
该文件夹,子文件夹及文件
该文件夹,子文件夹及文件
&继承于C:\windows&
&继承于C:\windows&
IUSR_XXX或某个虚拟主机用户组
列出文件夹/读取数据 :拒绝
写入(原来有删除权限要去掉)
该文件夹,子文件夹及文件
该文件夹,子文件夹及文件
&不是继承的&
&不是继承的&
列出文件夹/读取数据 :拒绝
LOCAL SERVICE
读取和运行
该文件夹,子文件夹及文件
该文件夹,子文件夹及文件
&不是继承的&
&继承于C:\windows&
读取和运行
LOCAL SERVICE
该文件夹,子文件夹及文件
该文件夹,子文件夹及文件
&继承于C:\windows&
&不是继承的&
NETWORK SERVICE
读取和运行
该文件夹,子文件夹及文件
&继承于C:\windows&
建议装了MCAFEE或NOD的用户把此文件夹,禁止写入一些文件类型,比如*.EXE和*.com等可执行文件或vbs类脚本
NETWORK SERVICE
该文件夹,子文件夹及文件
&不是继承的&
硬盘或文件夹: C:\WINDOWS\system32
主要权限部分:
其他权限部分:
Administrators
读取和运行
该文件夹,子文件夹及文件
该文件夹,子文件夹及文件
&不是继承的&
&不是继承的&
CREATOR OWNER
IUSR_XXX或某个虚拟主机用户组
列出文件夹/读取数据 :拒绝
只有子文件夹及文件
该文件夹,子文件夹及文件
&不是继承的&
&不是继承的&
虚拟主机用户访问组拒绝读取,有助于保护系统数据
该文件夹,子文件夹及文件
&不是继承的&
硬盘或文件夹: C:\WINDOWS\system32\config
主要权限部分:
其他权限部分:
Administrators
读取和运行
该文件夹,子文件夹及文件
该文件夹,子文件夹及文件
&不是继承的&
&不是继承的&
CREATOR OWNER
IUSR_XXX或某个虚拟主机用户组
列出文件夹/读取数据 :拒绝
只有子文件夹及文件
该文件夹,子文件夹及文件
&不是继承的&
&继承于上一级目录&
虚拟主机用户访问组拒绝读取,有助于保护系统数据
该文件夹,子文件夹及文件
&不是继承的&
硬盘或文件夹: C:\WINDOWS\system32\inetsrv\
主要权限部分:
其他权限部分:
Administrators
读取和运行
该文件夹,子文件夹及文件
该文件夹,子文件夹及文件
&不是继承的&
&不是继承的&
CREATOR OWNER
IUSR_XXX或某个虚拟主机用户组
列出文件夹/读取数据 :拒绝
只有子文件夹及文件
只有该文件夹
&不是继承的&
&继承于上一级目录&
虚拟主机用户访问组拒绝读取,有助于保护系统数据
该文件夹,子文件夹及文件
&不是继承的&
硬盘或文件夹: C:\WINDOWS\system32\inetsrv\ASP Compiled Templates
主要权限部分:
其他权限部分:
Administrators
该文件夹,子文件夹及文件
该文件夹,子文件夹及文件
&不是继承的&
&不是继承的&
IUSR_XXX或某个虚拟主机用户组
列出文件夹/读取数据 :拒绝
该文件夹,子文件夹及文件
&继承于上一级目录&
虚拟主机用户访问组拒绝读取,有助于保护系统数据
硬盘或文件夹: C:\WINDOWS\system32\inetsrv\iisadmpwd
主要权限部分:
其他权限部分:
Administrators
该文件夹,子文件夹及文件
&不是继承的&
CREATOR OWNER
只有子文件夹及文件
&不是继承的&
该文件夹,子文件夹及文件
&不是继承的&
硬盘或文件夹: C:\WINDOWS\system32\inetsrv\MetaBack
主要权限部分:
其他权限部分:
Administrators
读取和运行
该文件夹,子文件夹及文件
该文件夹,子文件夹及文件
&不是继承的&
&不是继承的&
CREATOR OWNER
IUSR_XXX或某个虚拟主机用户组
列出文件夹/读取数据 :拒绝
只有子文件夹及文件
该文件夹,子文件夹及文件
&不是继承的&
&继承于上一级目录&
虚拟主机用户访问组拒绝读取,有助于保护系统数据
该文件夹,子文件夹及文件
&不是继承的&
* 以上用户言论只代表其个人观点,不代表CSDN网站的观点或立场
访问:42097次
积分:1182
积分:1182
排名:第16563名
原创:72篇
转载:33篇
(1)(4)(47)(53)}
扫扫二维码,随身浏览文档
手机或平板扫扫即可继续访问
Office常见问题及解决方法
举报该文档为侵权文档。
举报该文档含有违规或不良信息。
反馈该文档无法正常浏览。
举报该文档为重复文档。
推荐理由:
将文档分享至:
分享完整地址
文档地址:
粘贴到BBS或博客
flash地址:
支持嵌入FLASH地址的网站使用
html代码:
&embed src='/DocinViewer-4.swf' width='100%' height='600' type=application/x-shockwave-flash ALLOWFULLSCREEN='true' ALLOWSCRIPTACCESS='always'&&/embed&
450px*300px480px*400px650px*490px
支持嵌入HTML代码的网站使用
您的内容已经提交成功
您所提交的内容需要审核后才能发布,请您等待!
3秒自动关闭窗口温馨提示!由于新浪微博认证机制调整,您的新浪微博帐号绑定已过期,请重新绑定!&&|&&
LOFTER精选
阅读(815)|
用微信&&“扫一扫”
将文章分享到朋友圈。
用易信&&“扫一扫”
将文章分享到朋友圈。
历史上的今天
loftPermalink:'',
id:'fks_',
blogTitle:'共享文档查看时打不开的解决方法',
blogAbstract:'问题描述:打开网上邻居后点击查看工作组老显示work group无法访问,你可能没有权限使用网络资源,请与这台服务器的管理员联系以查明您是否有访问的权限,此工作组的服务器列表当前无法使用。 \r\n解决方法::“网上邻居”无法互访问题解决方法大全 “网上邻居”无法互访的问题实在是太常见了,无论在学校,网吧还是家里多台电脑联机,都有可能遇到网上邻居无法互访的故展。“网上邻居”无法访问的故障多种多样,总结起来基本上有下面的几个: 1,没有共享资源/共享服务未启用。 症状:电脑与电脑间可以Ping通,但无法访问共享资源,在“计算机管理”中查看“本地共享”后会弹出“没有启动服务器服务”的错误对话框。 ',
blogTag:'',
blogUrl:'blog/static/4',
isPublished:1,
istop:false,
modifyTime:0,
publishTime:4,
permalink:'blog/static/4',
commentCount:0,
mainCommentCount:0,
recommendCount:0,
bsrk:-100,
publisherId:0,
recomBlogHome:false,
currentRecomBlog:false,
attachmentsFileIds:[],
groupInfo:{},
friendstatus:'none',
followstatus:'unFollow',
pubSucc:'',
visitorProvince:'',
visitorCity:'',
visitorNewUser:false,
postAddInfo:{},
mset:'000',
remindgoodnightblog:false,
isBlackVisitor:false,
isShowYodaoAd:false,
hostIntro:'',
hmcon:'1',
selfRecomBlogCount:'0',
lofter_single:''
{list a as x}
{if x.moveFrom=='wap'}
{elseif x.moveFrom=='iphone'}
{elseif x.moveFrom=='android'}
{elseif x.moveFrom=='mobile'}
${a.selfIntro|escape}{if great260}${suplement}{/if}
{list a as x}
推荐过这篇日志的人:
{list a as x}
{if !!b&&b.length>0}
他们还推荐了:
{list b as y}
转载记录:
{list d as x}
{list a as x}
{list a as x}
{list a as x}
{list a as x}
{if x_index>4}{break}{/if}
${fn2(x.publishTime,'yyyy-MM-dd HH:mm:ss')}
{list a as x}
{if !!(blogDetail.preBlogPermalink)}
{if !!(blogDetail.nextBlogPermalink)}
{list a as x}
{if defined('newslist')&&newslist.length>0}
{list newslist as x}
{if x_index>7}{break}{/if}
{list a as x}
{var first_option =}
{list x.voteDetailList as voteToOption}
{if voteToOption==1}
{if first_option==false},{/if}&&“${b[voteToOption_index]}”&&
{if (x.role!="-1") },“我是${c[x.role]}”&&{/if}
&&&&&&&&${fn1(x.voteTime)}
{if x.userName==''}{/if}
网易公司版权所有&&
{list x.l as y}
{if defined('wl')}
{list wl as x}{/list}一、服务器安全设置 1. IIS6.0的安装和设置 1.1 开始菜单—&控制面板—&添加或删除程序—&添加/删除Windows组件
应用程序 ———ASP.NET(可选)
|——启用网络 COM+ 访问(必选)
|——Internet 信息服务(IIS)———Internet 信息服务管理器(必选)
|——公用文件(必选)
|——万维网服务———Active Server pages(必选)
|——Internet 数据连接器(可选)
|——WebDAV 发布(可选)
|——万维网服务(必选)
|——在服务器端的包含文件(可选)
在”网络连接”里,把不需要的协议和服务都删掉,这里只安装了基本的Internet协议(TCP/IP)和Microsoft网络客户端。在高级tcp/ip设置里--&NetBIOS&设置&禁用tcp/IP上的NetBIOS(S)&。
在“本地连接”打开Windows 2003 自带的防火墙,可以屏蔽端口,基本达到一个IPSec的功能,只保留有用的端口,比如远程(3389)和 Web(80),Ftp(21),邮件服务器(25,110),https(443),SQL(1433)
1.2. IIS (Internet信息服务器管理器) 在&主目录&选项设置以下
脚本源访问 不允许
目录浏览 建议关闭
记录访问 建议关闭
索引资源 建议关闭
执行权限 推荐选择 “纯脚本”
建议使用W 3C扩充日志文件格式,每天记录客户IP地址,用户名,服务器端口,方法,URI字根,HTTP状态,用户代理,而且每天均要审查日志。
(最好不要使用缺省的目录,建议更换一个记日志的路径,同时设置日志的访问权限,只允许管理员和system为Full Control)。
1.3. 在IIS6.0 -本地计算机 - 属性- 允许直接编辑配置数据库
在IIS中 属性-&主目录-&配置-&选项中,在网站“启用父路径”前面打上勾
1.4. 在IIS中的Web服务扩展中选中Active Server Pages,点击“允许” 1.5. 优化IIS6应用程序池
1、取消“在空闲此段时间后关闭工作进程(分钟)”
2、勾选“回收工作进程(请求数目)”
3、取消“快速失败保护”
1.6. 解决SERVER 2003不能上传大附件的问题
在“服务”里关闭 iis admin service 服务。
找到 windows\system32\inetsrv\ 下的 metabase.xml 文件。
找到 ASPMaxRequestEntityAllowed 把它修改为需要的值(可修改为 20M即:)
存盘,然后重启 iis admin service 服务。
1.7. 解决SERVER 2003无法下载超过 4M的附件问题
在“服务”里关闭 iis admin service 服务。
找到 windows\system32\inetsrv\ 下的 metabase.xml 文件。
找到 AspBufferingLimit 把它修改为需要的值(可修改为 20M即:)
存盘,然后重启 iis admin service 服务。
1.8. 超时问题
解决大附件上传容易超时失败的问题
在IIS中调大一些脚本超时时间,操作方法是: 在IIS的“站点或虚拟目录”的“主目录”下点击“配置”按钮,
设置脚本超时时间为:300秒 (注意:不是Session超时时间)
解决通过WebMail写信时间较长后,按下发信按钮就会回到系统登录界面的问题
适当增加会话时间(Session)为 60分钟。在IIS站点或虚拟目录属性的“主目录”下点击“配置--&选项”,
就可以进行设置了(Windows 2003默认为20分钟)
2. WEB目录权限设置
Everyone:顾名思义,所有的用户,这个计算机上的所有用户都属于这个组。
最好在C盘以外(如D,E,F.....)的根目录建立到三级目录,一级目录只给Administrator权限,二级目录给Administrator完全控制权限和Everyone除了完全控制,更改,取得,其它全部打勾的权限和IUSR只有该文件夹的完全拒绝权限,三级目录是每个客户的虚拟主机网站,给Administrator完全控制权限和Everyone除了完全控制,更改,取得,其它全部打勾的权限即可.
3. SQL权限设置
3.1. 一个数据库,一个帐号和密码,比如建立了一个数据库,只给PUBLIC和DB_OWNER权限,SA帐号基本是不使用的,因为SA实在是太危险了.
3.2. 更改 sa 密码为你都不知道的超长密码,在任何情况下都不要用 sa 这个帐户.
3.3. Web登录时经常出现&[超时,请重试]&的问题:如果安装了 SQL Server 时,一定要启用“服务器网络实用工具”中的“多协议”项。
3.4.将有安全问题的SQL扩展存储过程删除. 以下命令删除了调用shell,注册表,COM组件的破坏权限,比较全面.一切为了安全!
将以下代码全部复制到&SQL查询分析器&,单击菜单上的--&查询&--&执行&,即可
use master
EXEC sp_dropextendedproc 'xp_cmdshell'
EXEC sp_dropextendedproc 'Sp_OACreate'
EXEC sp_dropextendedproc 'Sp_OADestroy'
EXEC sp_dropextendedproc 'Sp_OAGetErrorInfo'
EXEC sp_dropextendedproc 'Sp_OAGetProperty'
EXEC sp_dropextendedproc 'Sp_OAMethod'
EXEC sp_dropextendedproc 'Sp_OASetProperty'
EXEC sp_dropextendedproc 'Sp_OAStop'
EXEC sp_dropextendedproc 'Xp_regaddmultistring'
EXEC sp_dropextendedproc 'Xp_regdeletekey'
EXEC sp_dropextendedproc 'Xp_regdeletevalue'
EXEC sp_dropextendedproc 'Xp_regenumvalues'
EXEC sp_dropextendedproc 'Xp_regread'
EXEC sp_dropextendedproc 'Xp_regremovemultistring'
EXEC sp_dropextendedproc 'Xp_regwrite'
drop procedure sp_makewebtask
恢复的命令是
EXEC sp_addextendedproc 存储过程的名称,@dllname ='存储过程的dll'
例如:恢复存储过程xp_cmdshell
EXEC sp_addextendedproc xp_cmdshell,@dllname ='xplog70.dll'
注意,恢复时如果xplog70.dll已删除需要copy一个。
二、系统常规安全设置 4. 系统补丁的更新
点击开始菜单—&所有程序—&Windows Update
按照提示进行补丁的安装。
5. 备份系统
用GHOST备份系统。
6. 安装常用的软件
例如:杀毒软件、防火墙、解压缩软件等;安装完毕后,配置杀毒软件,扫描系统漏洞,安装之后用GHOST再次备份系统。
7. 先关闭不需要的端口,开启防火墙 导入IPSEC策略
在”网络连接”里,把不需要的协议和服务都删掉,这里只安装了基本的Internet协议(TCP/IP),由于要控制带宽流量服务,额外安装了Qos数据包计划程序。在高级tcp/ip设置里--&NetBIOS&设置&禁用tcp/IP上的NetBIOS(S)&。在高级选项里,使用&Internet连接防火墙&,这是windows 2003 自带的防火墙,在2000系统里没有的功能,虽然没什么功能,但可以屏蔽端口,这样已经基本达到了一个IPSec的功能。
8. win2003服务器防止海洋木马的安全设置
删除以下的注册表主键:
WScript.Shell
WScript.Shell.1
Shell.application
Shell.application.1
WSCRIPT.NETWORK
WSCRIPT.NETWORK.1
regsvr32/u wshom.ocx回车、regsvr32/u wshext.dll回车
regsvr32/u C:\WINNT\System32\wshom.ocx
del C:\WINNT\System32\wshom.ocx
regsvr32/u C:\WINNT\system32\shell32.dll
del C:\WINNT\system32\shell32.dll
再把以上2个文件权限设置为ADMINISTRATOR组完全权限所有
这里只提一下FSO的防范,但并不需要在自动开通空间的虚拟商服务器上使用,只适合于手工开通的站点。可以针对需要FSO和不需要FSO的站点设置两个组,对于需要FSO的用户组给予c:winnt\system32\scrrun.dll文件的执行权限,不需要的不给权限。重新启动服务器即可生效。
对于这样的设置结合上面的权限设置,你会发现海阳木马已经在这里失去了作用!
9. 改名不安全组件
需要注意的是组件的名称和Clsid都要改,并且要改彻底了。下面以Shell.application为例来介绍方法。
打开注册表编辑器【开始→运行→regedit回车】,然后【编辑→查找→填写Shell.application→查找下一个】,用这个方法能找到两个注册表项:“{9-11CE-A49E-}”和“Shell.application”。为了确保万无一失,把这两个注册表项导出来,保存为 .reg 文件。
比如我们想做这样的更改
9-11CE-A49E- 改名为 9-11CE-A49E-
Shell.application 改名为 Shell.application_ajiang
那么,就把刚才导出的.reg文件里的内容按上面的对应关系替换掉,然后把修改好的.reg文件导入到注册表中(双击即可),导入了改名后的注册表项之后,别忘记了删除原有的那两个项目。这里需要注意一点,Clsid中只能是十个数字和ABCDEF六个字母。
下面是我修改后的代码(两个文件我合到一起了):
Windows Registry Editor Version 5.00
[HKEY_CLASSES_ROOT\CLSID\{9-11CE-A49E-}]
@=&Shell Automation Service&
[HKEY_CLASSES_ROOT\CLSID\{9-11CE-A49E-}\InProcServer32]
@=&C:\\WINNT\\system32\\shell32.dll&
&ThreadingModel&=&Apartment&
[HKEY_CLASSES_ROOT\CLSID\{9-11CE-A49E-}\ProgID]
@=&Shell.Application_ajiang.1&
[HKEY_CLASSES_ROOT\CLSID\{9-11CE-A49E-}\TypeLib]
@=&{ 50a7e9b0-70ef-11d1-b 75a -00a 0c90564fe}&
[HKEY_CLASSES_ROOT\CLSID\{9-11CE-A49E-}\Version]
[HKEY_CLASSES_ROOT\CLSID\{9-11CE-A49E-}\VersionIndependentProgID]
@=&Shell.Application_ajiang&
[HKEY_CLASSES_ROOT\Shell.Application_ajiang]
@=&Shell Automation Service&
[HKEY_CLASSES_ROOT\Shell.Application_ajiang\CLSID]
@=&{9-11CE-A49E-}&
[HKEY_CLASSES_ROOT\Shell.Application_ajiang\CurVer]
@=&Shell.Application_ajiang.1&
你可以把这个保存为一个.reg文件运行试一下,但是可别就此了事,因为万一黑客也看了我的这篇文章,他会试验我改出来的这个名字的。
10. 系统安全策略
A.账户策略 密码策略:
B.密码设定最小值不能少于10位
C.密码设定需要保证复杂性
D.登陆计数器需要开启
E.本地策略 审核策略:
F.审核策略更改:成功
G.审核登陆事件:成功、失败
H.审核目录服务访问:成功
I.审核特权使用:成功
J.审核系统事件:成功、失败
K.审核账户登陆事件:成功、失败
M.审核账户管理:成功
N.本地策略 本地策略:
O.不显示上次的登陆名:启用
P.只有本地用户才能访问cd-rom:启用
Q.只有本地用户才能访问软驱:启用
11. 网络设置[这里针对网卡参数进行设置]
PCI网络适配器。
分别为 Public,Private
实际使用中会改为相关IP
11.1. 网卡顺序调整为外网卡优先,顺序为:
a) 公用网络
b) 专用网络
c) 远程访问连接
11.2. 公网网卡设置:
1.配置:Link Speed/Duplex Mode:auto mode
高级 WINS:禁用TCP/IP NetBios
高级 选项 TCP/IP筛选:启用TCP/IP筛选,只开放所需TCP端口
删除文件和打印机共享协议[File and Printer Sharing for Microsoft Networks]
1.启用Internet Connection Firewall---settings---Remote Desktop
2.Security Logging,ICMP协议的设置
12. PHP安全
c:\windows\php.ini
administrators 全部
system 全部权限
SERVICE 全部
Users 只读和运行
13. 修改3389远程连接端口
修改注册表
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\Wds\rdpwd\Tds\tcp]
&portNumber&=dword:0000端口号 ;键值中 PortNumber 改为你想用的端口号.注意使用十进制(例 10000 )
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp]
&portNumber&=dword:0000端口号 ;键值中 PortNumber 改为你想用的端口号.注意使用十进制(例 10000 )
注意:别忘了在WINDOWS2003自带的防火墙给+上10000端口,也就是你所修改的那个端口号
设置这两个注册表的权限, 添加“IUSR”的完全拒绝 禁止显示端口号
修改完毕.重新启动服务器.设置生效.
14. 本地策略---&用户权限分配
关闭系统:只有Administrators组、其它全部删除。
通过终端服务允许登陆:只加入Administrators,Remote Desktop Users组,其他全部删除
15. 在安全设置里 本地策略-用户权利分配,通过终端服务拒绝登陆 加入
NETWORK SERVICE
(注意不要添加进user组和administrators组 添加进去以后就没有办法远程登陆了)
16. 计算机管理的本地用户和组
禁用终端服务(TsInternetUser), SQL服务(SQLDebugger), SUPPORT_
17. 删除默认共享
制作以下批处理程序运行:
::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::
:: 先列举存在的分区,然后再逐个删除以分区名命名的共享;
:: 通过修改注册表防止admin$共享在下次开机时重新加载;
:: IPC$共享需要administritor权限才能成功删除
::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::
title 默认共享删除器
echo ------------------------------------------------------
echo 开始删除每个分区下的默认共享.
for %%a in (C D E F G H I J K L M N O P Q R S T U V W X Y Z) do @(
if exist %%a:\nul (
net share %%a$ /delete&nul 2&nul && echo 成功删除名为 %%a$ 的默认共享 || echo 名为 %%a$ 的默认共享不存在
net share admin$ /delete&nul 2&nul && echo 成功删除名为 admin$ 的默认共享 || echo 名为 admin$ 的默认共享不存在
echo ------------------------------------------------------
net stop Server /y&nul 2&nul && echo Server服务已停止.
net start Server&nul 2&nul && echo Server服务已启动.
echo ------------------------------------------------------
echo 修改注册表以更改系统默认设置.
echo 正在创建注册表文件.
echo Windows Registry Editor Version 5.00& c:\delshare.reg
:: 通过注册表禁止Admin$共享,以防重启后再次加载
echo [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters]&& c:\delshare.reg
echo &AutoShareWks&=dword:&& c:\delshare.reg
echo &AutoShareServer&=dword:&& c:\delshare.reg
:: 删除IPC$共享,本功能需要administritor权限才能成功删除
echo [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa]&& c:\delshare.reg
echo &restrictanonymous&=dword:&& c:\delshare.reg
echo 正在导入注册表文件以更改系统默认设置.
regedit /s c:\delshare.reg
del c:\delshare.reg && echo 临时文件已经删除.
echo ------------------------------------------------------
echo 程序已经成功删除所有的默认共享.
echo 按任意键退出...
18.常用DOS命令安全设置
打开C:\Windows目录 搜索以下DOS命令文件
NET.EXE,NET1.EXE,CMD.EXE,FTP.EXE,ATTRIB.EXE,CACLS.EXE,AT.,
TELNET.,NETSTAT.EXE,REGEDIT.EXE,ARP.EXE,NBTSTAT.EXE
把以上命令文件通通只给Administrators 和SYSTEM为完全控制权限
19. 卸载删除具有CMD命令功能的危险组件
WSHOM.OCX对应于WScript.Shell组件
HKEY_CLASSES_ROOT\WScript.Shell\
HKEY_CLASSES_ROOT\WScript.Shell.1\
添加IUSR用户完全拒绝权限
Shell32.dll对应于Shell.Application组件
HKEY_CLASSES_ROOT\Shell.Application\
HKEY_CLASSES_ROOT\Shell.Application.1\
添加IUSR用户完全拒绝权限
regsvr32/u C:\Windows\System32\wshom.ocx
regsvr32/u C:\Windows\System32\shell32.dll
WSHOM.OCXx和Shell32.dl这两个文件只给Administrator完全权限
20.用户安全设置
20.1. 禁用Guest账号
在计算机管理的用户里面把Guest账号禁用。为了保险起见,最好给Guest加一个复杂的密码。你可以打开记事本,在里面输入一串包含特殊字符、数字、字母的长字符串,然后把它作为Guest用户的密码拷进去。
20.1. 限制不必要的用户
去掉所有的Duplicate User用户、测试用户、共享用户等等。用户组策略设置相应权限,并且经常检查系统的用户,删除已经不再使用的用户。这些用户很多时候都是黑客们入侵系统的突破口。
20.2. 把系统Administrator账号改名
大家都知道,Windows 2003 的Administrator用户是不能被停用的,这意味着别人可以一遍又一遍地尝试这个用户的密码。尽量把它伪装成普通用户,比如改成Guesycludx。
20.3. 创建一个陷阱用户
什么是陷阱用户?即创建一个名为“Administrator”的本地用户,把它的权限设置成最低,什么事也干不了的那种,并且加上一个超过10位的超级复杂密码。这样可以让那些 Hacker们忙上一段时间,借此发现它们的入侵企图。
20.4. 把共享文件的权限从Everyone组改成授权用户
20.5. 开启用户策略
使用用户策略,分别设置复位用户锁定计数器时间为20分钟,用户锁定时间为20分钟,用户锁定阈值为3次。 (该项为可选)
20.6. 不让系统显示上次登录的用户名
默认情况下,登录对话框中会显示上次登录的用户名。这使得别人可以很容易地得到系统的一些用户名,进而做密码猜测。修改注册表可以不让对话框里显示上次登录的用户名。方法为:打开注册表编辑器并找到注册表“HKLM\Software\Microsoft\Windows T\CurrentVersion\Winlogon\Dont-DisplayLastUserName”,把REG_SZ的键值改成1。
21. 密码安全设置
20.1. 使用安全密码
一些公司的管理员创建账号的时候往往用公司名、计算机名做用户名,然后又把这些用户的密码设置得太简单,比如“welcome”等等。因此,要注意密码的复杂性,还要记住经常改密码。
20.2.设置屏幕保护密码
这是一个很简单也很有必要的操作。设置屏幕保护密码也是防止内部人员破坏服务器的一个屏障。
20.3.开启密码策略
注意应用密码策略,如启用密码复杂性要求,设置密码长度最小值为6位 ,设置强制密码历史为5次,时间为42天。
20.4.考虑使用智能卡来代替密码
对于密码,总是使安全管理员进退两难,密码设置简单容易受到黑客的攻击,密码设置复杂又容易忘记。如果条件允许,用智能卡来代替复杂的密码是一个很好的解决方法。
22. 磁盘权限设置
系统盘及所有磁盘只给 Administrators 组和 SYSTEM 的完全控制权限
系统盘\Documents and Settings 目录只给 Administrators 组和 SYSTEM 的完全控制权限
系统盘\Documents and Settings\All Users 目录只给 Administrators 组和 SYSTEM 的完全控制权限
系统盘\Windows\System32\cacls.exe、cmd.exe、net.exe、net1.exe、ftp.exe、tftp.exe、telnet.exe 、 netstat.exe、regedit.exe、at.exe、attrib.exe、、del文件只给 Administrators 组和SYSTEM 的完全 控制权限
另将\System32\cmd.exe、、ftp.exe转移到其他目录或更名
Documents and Settings下所有些目录都设置只给adinistrators权限。并且要一个一个目录查看,包括下面的所有子目录。
删除c:\inetpub目录
23. 本地安全策略设置
开始菜单—&管理工具—&本地安全策略
23.1. 本地策略——&审核策略
审核策略更改 成功 失败
审核登录事件 成功 失败
审核对象访问 失败
审核过程跟踪 无审核
审核目录服务访问 失败
审核特权使用 失败
审核系统事件 成功 失败
审核账户登录事件 成功 失败
审核账户管理 成功 失败
23.2. 本地策略——&用户权限分配
关闭系统:只有Administrators组、其它全部删除。
通过终端服务允许登陆:只加入Administrators,Remote Desktop Users组,其他全部删除
23.3. 本地策略——&安全选项
交互式登陆:不显示上次的用户名 启用
网络访问:不允许SAM帐户的匿名枚举 启用
网络访问:不允许SAM帐户和共享的匿名枚举 启用
网络访问.限制匿名访问命名管道和共享,更改为&已启用& ;
网络访问.不允许存储网络身份验证的凭据或 .NET Passports 启用& ;
网络访问:可匿名访问的共享 将后面的值全部删除
网络访问:可匿名访问的命名管道 将后面的值全部删除
网络访问:可远程访问的注册表路径 将后面的值全部删除
网络访问:可远程访问的注册表路径和子路径 将后面的值全部删除
帐户:重命名来宾帐户 重命名一个帐户
帐户:重命名系统管理员帐户 重命名一个帐户
帐户.重命名来宾帐户guest
帐户.重命名系统管理员帐户
24. 终端服务配置Terminal Service Configration
24.1. RDP设置中删除系统管理员组(administrators group)的用户登陆权限,只允许系统管理员单一账户登陆[Permissions]
24.2. 权限-高级中配置安全审核,记录登录、注销等所有事件
25. 禁用不必要的服务
开始-运行-services.msc
TCP/IPNetBIOS Helper 提供 TCP/IP 服务上的 NetBIOS 和网络上客户端的 NetBIOS 名称解析的支持而使用户能够共享文件、打印和登录到网络
Server 支持此计算机通过网络的文件、打印、和命名管道共享
Computer Browser 维护网络上计算机的最新列表以及提供这个列表
Task scheduler 允许程序在指定时间运行
Messenger 传输客户端和服务器之间的 NET SEND 和 警报器服务消息
Distributed File System 局域网管理共享文件,不需要可禁用
Distributed linktracking client 用于局域网更新连接信息,不需要可禁用
Error reporting service 禁止发送错误报告
Microsoft Serch 提供快速的单词搜索,不需要可禁用
NTLMSecuritysupportprovide telnet服务和Microsoft Serch用的,不需要可禁用
PrintSpooler 如果没有打印机可禁用
Remote Registry 禁止远程修改注册表
Remote Desktop Help Session Manager 禁止远程协助
Workstation 关闭的话远程NET命令列不出用户组
以上是在Windows Server 2003 系统上面默认启动的服务中禁用的,默认禁用的服务如没特别需要的话不要启动。
另外,也可用以下批处理文件来禁用不必要的服务:
sc config AeLookupSvc start= AUTO
sc config Alerter start= DISABLED
sc config ALG start= DISABLED
sc config AppMgmt start= DEMAND
sc config aspnet_state start= DEMAND
sc config AudioSrv start= DISABLED
sc config BITS start= DEMAND
sc config Browser start= DEMAND
sc config CiSvc start= DISABLED
sc config ClipSrv start= DISABLED
sc config clr_optimization_v2.0.50727_32 start= DEMAND
sc config COMSysApp start= DEMAND
sc config CryptSvc start= AUTO
sc config DcomLaunch start= AUTO
sc config Dfs start= DEMAND
sc config Dhcp start= AUTO
sc config dmadmin start= DEMAND
sc config dmserver start= AUTO
sc config Dnscache start= AUTO
sc config ERSvc start= DISABLED
sc config Eventlog start= AUTO
sc config EventSystem start= AUTO
sc config helpsvc start= DISABLED
sc config HidServ start= AUTO
sc config HTTPFilter start= DEMAND
sc config IISADMIN start= AUTO
sc config ImapiService start= DISABLED
sc config IsmServ start= DISABLED
sc config kdc start= DISABLED
sc config lanmanworkstation start= DISABLED
sc config LicenseService start= DISABLED
sc config LmHosts start= DISABLED
sc config Messenger start= DISABLED
sc config mnmsrvc start= DISABLED
sc config MSDTC start= AUTO
sc config MSIServer start= DEMAND
sc config MSSEARCH start= AUTO
sc config MSSQLSERVER start= AUTO
sc config MSSQLServerADHelper start= DEMAND
sc config NetDDE start= DISABLED
sc config NetDDEdsdm start= DISABLED
sc config Netlogon start= DEMAND
sc config Netman start= DEMAND
sc config Nla start= DEMAND
sc config NtFrs start= DEMAND
sc config NtLmSsp start= DEMAND
sc config NtmsSvc start= DEMAND
sc config PlugPlay start= AUTO
sc config PolicyAgent start= AUTO
sc config ProtectedStorage start= AUTO
sc config RasAuto start= DEMAND
sc config RasMan start= DEMAND
sc config RDSessMgr start= DEMAND
sc config RemoteAccess start= DISABLED
sc config RemoteRegistry start= DISABLED
sc config RpcLocator start= DEMAND
sc config RpcSs start= AUTO
sc config RSoPProv start= DEMAND
sc config sacsvr start= DEMAND
sc config SamSs start= AUTO
sc config SCardSvr start= DEMAND
sc config Schedule start= AUTO
sc config seclogon start= AUTO
sc config SENS start= AUTO
sc config SharedAccess start= DISABLED
sc config ShellHWDetection start= AUTO
sc config SMTPSVC start= AUTO
sc config Spooler start= DISABLED
sc config SQLSERVERAGENT start= AUTO
sc config stisvc start= DISABLED
sc config swprv start= DEMAND
sc config SysmonLog start= AUTO
sc config TapiSrv start= DEMAND
sc config TermService start= AUTO
sc config Themes start= DISABLED
sc config TlntSvr start= DISABLED
sc config TrkSvr start= DISABLED
sc config TrkWks start= AUTO
sc config Tssdis start= DISABLED
sc config UMWdf start= DEMAND
sc config UPS start= DEMAND
sc config vds start= DEMAND
sc config VSS start= DEMAND
sc config W32Time start= AUTO
sc config W3SVC start= AUTO
sc config WebClient start= DISABLED
sc config WinHttpAutoProxySvc start= DEMAND
sc config winmgmt start= AUTO
sc config WmdmPmSN start= DEMAND
sc config Wmi start= DEMAND
sc config WmiApSrv start= DEMAND
sc config wuauserv start= DISABLED
sc config WZCSVC start= DISABLED
sc config xmlprov start= DEMAND
26. 修改注册表
修改注册表,让系统更强壮
26.1. 隐藏重要文件/目录可以修改注册表实现完全隐藏
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\ Current-Version\Explorer\Advanced\Folder\Hi-dden\SHOWALL”,鼠标右击 “CheckedValue”,选择修改,把数值由1改为0
26.2. 防止SYN洪水攻击
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters
新建DWORD值,名为SynAttackProtect,值为2
新建EnablePMTUDiscovery REG_DWORD 0
新建NoNameReleaseOnDemand REG_DWORD 1
新建EnableDeadGWDetect REG_DWORD 0
新建KeepAliveTime REG_DWORD 300,000
新建PerformRouterDiscovery REG_DWORD 0
新建EnableICMPRedirects REG_DWORD 0
26.3. 禁止响应ICMP路由通告报文
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\interface
新建DWORD值,名为PerformRouterDiscovery 值为0
26.4. 防止ICMP重定向报文的攻击
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters
将EnableICMPRedirects 值设为0
26.5. 不支持IGMP协议
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters
新建DWORD值,名为IGMPLevel 值为0
26.6. 禁止IPC空连接:
cracker可以利用net use命令建立空连接,进而入侵,还有net view,nbtstat这些都是基于空连接的,禁止空连接就好了。
Local_Machine\System\CurrentControlSet\Control\LSA-RestrictAnonymous 把这个值改成” 1”即可。
26.7. 更改TTL值
cracker可以根据ping回的TTL值来大致判断你的操作系统,如:
TTL=107(WINNT);
TTL=108(win2000);
TTL=127或128(win9x);
TTL=240或241(linux);
TTL=252(solaris);
TTL=240(Irix);
实际上你可以自己改的:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters:DefaultTTL REG_DWORD 0-0xff(0-255 十进制,默认&#)改成一个莫名其妙的数字如258,起码让那些小菜鸟晕上半天,就此放弃入侵你也不一定哦
26.8. 删除默认共享
有人问过我一开机就共享所有盘,改回来以后,重启又变成了共享是怎么回事,这是2K为管理而设置的默认共享,HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters:AutoShareServer类型是REG_DWORD把值改为0即可
26.9. 禁止建立空连接
默认情况下,任何用户通过空连接连上服务器,进而枚举出帐号,猜测密码。我们可以通过修改注册表来禁止建立空连接:
Local_Machine\System\CurrentControlSet\Control\LSA-RestrictAnonymous 的值改成” 1”即可。
26.10. 建立一个记事本,填上以下代码。保存为*.bat并加到启动项目中
net share c$Content$/ del
net share d$Content$/ del
net share e$Content$/ del
net share f$Content$/ del
net share ipc$Content$/ del
net share admin$Content$/ del
27. 系统DOS命令保护和转移
方法一:转移目录
将WIN2003系统盘下的C:\WINDOWS\system32下的DOS命令转移:
CMD/CMDKEY.exe、FTP/TFTP.exe、NET/NET1.exe、、AT.exe、ARP.exe、ATTRIB.exe、CACLS.exe、SYSKEY.exe、SHUTDOWN/RESTART/LOGOFF.exe等至备份文件夹内
必须使用时[such as runas .bat files]可以重新copy到原目录下,使用完毕后需删除
方法二:DOS重命名
比如:ren c:\windows\system32\md.exe c:\windows\system32\pchmd.exe
ren c:\windows\system32\at.exe c:\windows\system32\pchat.exe
自己维护的时候就用改名的DOS命名执行即可。
方法三:使用doskey保护DOS命令
比如: doskey format='format'
执行format之后系统提示: ''format'' 不是内部或外部命令,也不是可运行的程序或批处理文件。
如需正常运行该命令则执行doskey format=format
可做一个修改过的BAT:
doskey format='format'
doskey del=' del'
doskey attrib='attrib'
doskey ftp='ftp' =号后面的内容可设置为任意字符,比如:doskey format=123,不知道的HACK FORMAT后一定会晕。
再做一个恢复的正常BAT文件:
doskey format=format
doskey del= del
doskey attrib=attrib
doskey ftp=ftp
需要的时候用恢复BAT即可,用完做回DOSKEY的保护方式。
28.系统目录权限详细设置
C盘的目录权限以表格的方式来说明,简单明了。
硬盘或文件夹: C:\ D:\ E:\ F:\ 类推
主要权限部分:
其他权限部分:
Administrators
如果安装了其他运行环境,比如PHP等,则根据PHP的环境功能要求来设置硬盘权限,一般是安装目录加上users读取运行权限就足够了,比如c:\php的话,就在根目录权限继承的情况下加上users读取运行权限,需要写入数据的比如tmp文件夹,则把users的写删权限加上,运行权限不要,然后把虚拟主机用户的读权限拒绝即可。如果是mysql的话,用一个独立用户运行MYSQL会更安全,下面会有介绍。如果是winwebmail,则最好建立独立的应用程序池和独立IIS用户,然后整个安装目录有winwebmail进程用户的读/运行/写/权限,IIS用户则相同,这个IIS用户就只用在winwebmail的WEB访问中,其他IIS站点切勿使用,安装了winwebmail的服务器硬盘权限设置后面举例
该文件夹,子文件夹及文件
&不是继承的&
CREATOR OWNER
只有子文件夹及文件
&不是继承的&
该文件夹,子文件夹及文件
&不是继承的&
硬盘或文件夹: C:\Inetpub\
主要权限部分:
其他权限部分:
Administrators
该文件夹,子文件夹及文件
&继承于c:\&
CREATOR OWNER
只有子文件夹及文件
&继承于c:\&
该文件夹,子文件夹及文件
&继承于c:\&
硬盘或文件夹: C:\Inetpub\AdminScripts
主要权限部分:
其他权限部分:
Administrators
该文件夹,子文件夹及文件
&不是继承的&
该文件夹,子文件夹及文件
&不是继承的&
硬盘或文件夹: C:\Inetpub\wwwroot
主要权限部分:
其他权限部分:
Administrators
读取运行/列出文件夹目录/读取
该文件夹,子文件夹及文件
该文件夹,子文件夹及文件
&不是继承的&
&不是继承的&
读取运行/列出文件夹目录/读取
该文件夹,子文件夹及文件
该文件夹,子文件夹及文件
&不是继承的&
&不是继承的&
这里可以把虚拟主机用户组加上同Internet 来宾帐户一样的权限拒绝权限
Internet 来宾帐户
创建文件/写入数据/:拒绝
创建文件夹/附加数据/:拒绝
写入属性/:拒绝
写入扩展属性/:拒绝
删除子文件夹及文件/:拒绝
删除/:拒绝
该文件夹,子文件夹及文件
&不是继承的&
硬盘或文件夹: C:\Inetpub\wwwroot\aspnet_client
主要权限部分:
其他权限部分:
Administrators
该文件夹,子文件夹及文件
该文件夹,子文件夹及文件
&不是继承的&
&不是继承的&
该文件夹,子文件夹及文件
&不是继承的&
硬盘或文件夹: C:\Documents and Settings
主要权限部分:
其他权限部分:
Administrators
该文件夹,子文件夹及文件
&不是继承的&
该文件夹,子文件夹及文件
&不是继承的&
硬盘或文件夹: C:\Documents and Settings\All Users
主要权限部分:
其他权限部分:
Administrators
读取和运行
该文件夹,子文件夹及文件
该文件夹,子文件夹及文件
&不是继承的&
&不是继承的&
USERS组的权限仅仅限制于读取和运行,绝对不能加上写入权限
该文件夹,子文件夹及文件
&不是继承的&
硬盘或文件夹: C:\Documents and Settings\All Users\「开始」菜单
主要权限部分:
其他权限部分:
Administrators
该文件夹,子文件夹及文件
&不是继承的&
该文件夹,子文件夹及文件
&不是继承的&
硬盘或文件夹: C:\Documents and Settings\All Users\Application Data
主要权限部分:
其他权限部分:
Administrators
读取和运行
该文件夹,子文件夹及文件
该文件夹,子文件夹及文件
&不是继承的&
&不是继承的&
CREATOR OWNER
只有子文件夹及文件
该文件夹,子文件夹
&不是继承的&
&不是继承的&
两个并列权限同用户组需要分开列权限
该文件夹,子文件夹及文件
&不是继承的&
硬盘或文件夹: C:\Documents and Settings\All Users\Application Data\Microsoft
主要权限部分:
其他权限部分:
Administrators
读取和运行
该文件夹,子文件夹及文件
该文件夹,子文件夹及文件
&不是继承的&
&不是继承的&
此文件夹包含 Microsoft 应用程序状态数据
该文件夹,子文件夹及文件
&不是继承的&
硬盘或文件夹: C:\Documents and Settings\All Users\Application Data\Microsoft\Crypto\RSA\MachineKeys
主要权限部分:
其他权限部分:
Administrators
列出文件夹、读取属性、读取扩展属性、创建文件、创建文件夹、写入属性、写入扩展属性、读取权限
只有该文件夹
Everyone这里只有读写权限,不能加运行和删除权限,仅限该文件夹
只有该文件夹
&不是继承的&
&不是继承的&
硬盘或文件夹: C:\Documents and Settings\All Users\Application Data\Microsoft\Crypto\DSS\MachineKeys
主要权限部分:
其他权限部分:
Administrators
列出文件夹、读取属性、读取扩展属性、创建文件、创建文件夹、写入属性、写入扩展属性、读取权限
只有该文件夹
Everyone这里只有读写权限,不能加运行和删除权限,仅限该文件夹
只有该文件夹
&不是继承的&
&不是继承的&
硬盘或文件夹: C:\Documents and Settings\All Users\Application Data\Microsoft\HTML Help
主要权限部分:
其他权限部分:
Administrators
读取和运行
该文件夹,子文件夹及文件
该文件夹,子文件夹及文件
&不是继承的&
&不是继承的&
该文件夹,子文件夹及文件
&不是继承的&
硬盘或文件夹: C:\Documents and Settings\All Users\Application Data\Microsoft\Network\Connections\Cm
主要权限部分:
其他权限部分:
Administrators
读取和运行
该文件夹,子文件夹及文件
该文件夹,子文件夹及文件
&不是继承的&
&不是继承的&
Everyone这里只有读和运行权限
该文件夹,子文件夹及文件
&不是继承的&
硬盘或文件夹: C:\Documents and Settings\All Users\Application Data\Microsoft\Network\Downloader
主要权限部分:
其他权限部分:
Administrators
该文件夹,子文件夹及文件
&不是继承的&
该文件夹,子文件夹及文件
&不是继承的&
硬盘或文件夹: C:\Documents and Settings\All Users\Application Data\Microsoft\Media Index
主要权限部分:
其他权限部分:
Administrators
读取和运行
该文件夹,子文件夹及文件
该文件夹,子文件夹及文件
&不是继承的&
&继承于上一级文件夹&
创建文件/写入数据创建文件夹/附加数据写入属性写入扩展属性读取权限
该文件夹,子文件夹及文件
只有该文件夹
&不是继承的&
&不是继承的&
创建文件/写入数据创建文件夹/附加数据写入属性写入扩展属性
只有该子文件夹和文件
&不是继承的&
硬盘或文件夹: C:\Documents and Settings\All Users\DRM
主要权限部分:
其他权限部分:
这里需要把GUEST用户组和IIS访问用户组全部禁止Everyone的权限比较特殊,默认安装后已经带了主要是要把IIS访问的用户组加上所有权限都禁止
读取和运行
该文件夹,子文件夹及文件
&不是继承的&
该文件夹,子文件夹及文件
&不是继承的&
该文件夹,子文件夹及文件
&不是继承的&
IUSR_XXX或某个虚拟主机用户组
该文件夹,子文件夹及文件
&不是继承的&
硬盘或文件夹: C:\Documents and Settings\All Users\Documents (共享文档)
主要权限部分:
其他权限部分:
Administrators
该文件夹,子文件夹及文件
&不是继承的&
CREATOR OWNER
只有子文件夹及文件
&不是继承的&
该文件夹,子文件夹及文件
&不是继承的&
硬盘或文件夹: C:\Program Files
主要权限部分:
其他权限部分:
Administrators
读取和运行
该文件夹,子文件夹及文件
该文件夹,子文件夹及文件
&不是继承的&
&不是继承的&
CREATOR OWNER
IUSR_XXX或某个虚拟主机用户组
列出文件夹/读取数据 :拒绝
只有子文件夹及文件
该文件夹,子文件夹及文件
&不是继承的&
&不是继承的&
IIS虚拟主机用户组禁止列目录,可有效防止FSO类木马如果安装了aspjepg和aspupload
该文件夹,子文件夹及文件
&不是继承的&
硬盘或文件夹: C:\Program Files\Common Files
主要权限部分:
其他权限部分:
Administrators
读取和运行
该文件夹,子文件夹及文件
该文件夹,子文件夹及文件
&不是继承的&
&继承于上级目录&
CREATOR OWNER
读取和运行
只有子文件夹及文件
该文件夹,子文件夹及文件
&不是继承的&
&不是继承的&
复合权限,为IIS提供快速安全的运行环境
该文件夹,子文件夹及文件
&不是继承的&
硬盘或文件夹: C:\Program Files\Common Files\Microsoft Shared\web server extensions
主要权限部分:
其他权限部分:
Administrators
该文件夹,子文件夹及文件
&不是继承的&
CREATOR OWNER
只有子文件夹及文件
&不是继承的&
该文件夹,子文件夹及文件
&不是继承的&
硬盘或文件夹: C:\Program Files\Microsoft SQL Server\MSSQL (程序部分默认装在C:盘)
主要权限部分:
其他权限部分:
Administrators
该文件夹,子文件夹及文件
&不是继承的&
硬盘或文件夹: E:\Program Files\Microsoft SQL Server\MSSQL (数据库部分装在E:盘的情况)
主要权限部分:
其他权限部分:
Administrators
该文件夹,子文件夹及文件
&不是继承的&
硬盘或文件夹: C:\Program Files\Internet Explorer\iexplore.exe
主要权限部分:
其他权限部分:
Administrators
该文件夹,子文件夹及文件
&不是继承的&
硬盘或文件夹: C:\Program Files\Outlook Express
主要权限部分:
其他权限部分:
Administrators
该文件夹,子文件夹及文件
&不是继承的&
CREATOR OWNER
只有子文件夹及文件
&不是继承的&
该文件夹,子文件夹及文件
&不是继承的&
硬盘或文件夹: C:\Program Files\PowerEasy\ (如果装了动易组件的话)
主要权限部分:
其他权限部分:
Administrators
该文件夹,子文件夹及文件
&不是继承的&
CREATOR OWNER
只有子文件夹及文件
&不是继承的&
该文件夹,子文件夹及文件
&不是继承的&
硬盘或文件夹: C:\Program Files\Radmin (如果装了Radmin远程控制的话)
主要权限部分:
其他权限部分:
Administrators
对应的c:\windows\system32里面有两个文件r_server.exe和AdmDll.dll要把Users读取运行权限去掉默认权限只要administrators和system全部权限
该文件夹,子文件夹及文件
&不是继承的&
CREATOR OWNER
只有子文件夹及文件
&不是继承的&
该文件夹,子文件夹及文件
&不是继承的&
硬盘或文件夹: C:\Program Files\Serv-U (如果装了Serv-U服务器的话)
主要权限部分:
其他权限部分:
Administrators
这里常是提权入侵的一个比较大的漏洞点一定要按这个方法设置目录名字根据Serv-U版本也可能是C:\Program \Serv-U
该文件夹,子文件夹及文件
&不是继承的&
CREATOR OWNER
只有子文件夹及文件
&不是继承的&
该文件夹,子文件夹及文件
&不是继承的&
硬盘或文件夹: C:\Program Files\Windows Media Player
主要权限部分:
其他权限部分:
Administrators
该文件夹,子文件夹及文件
&不是继承的&
CREATOR OWNER
只有子文件, 夹及文件
&不是继承的&
该文件夹,子文件夹及文件
&不是继承的&
硬盘或文件夹: C:\Program Files\Windows, NT\Accessories
主要权限部分:
其他权限部分:
Administrators
该文件夹,子文件夹及文件
&不是继承的&
CREATOR OWNER
只有子文件夹及文件
&不是继承的&
该文件夹,子文件夹及文件
&不是继承的&
硬盘或文件夹: C:\Program Files\WindowsUpdate
主要权限部分:
其他权限部分:
Administrators
该文件夹,子文件夹及文件
&不是继承的&
CREATOR OWNER
只有子文件夹及文件
&不是继承的&
该文件夹,子文件夹及文件
&不是继承的&
硬盘或文件夹: C:\WINDOWS
主要权限部分:
其他权限部分:
Administrators
读取和运行
该文件夹,子文件夹及文件
该文件夹,子文件夹及文件
&不是继承的&
&不是继承的&
CREATOR OWNER
只有子文件夹及文件
&不是继承的&
该文件夹,子文件夹及文件
&不是继承的&
硬盘或文件夹: C:\WINDOWS\repair
主要权限部分:
其他权限部分:
Administrators
IUSR_XXX或某个虚拟主机用户组
列出文件夹/读取数据 :拒绝
该文件夹,子文件夹及文件
该文件夹,子文件夹及文件
&不是继承的&
&不是继承的&
CREATOR OWNER
虚拟主机用户访问组拒绝读取,有助于保护系统数据这里保护的是系统级数据SAM
只有子文件夹及文件
&不是继承的&
该文件夹,子文件夹及文件
&不是继承的&
硬盘或文件夹: C:\WINDOWS\IIS Temporary Compressed Files
主要权限部分:
其他权限部分:
Administrators
读取和写入/删除
该文件夹,子文件夹及文件
该文件夹,子文件夹及文件
&继承于C:\windows&
&不是继承的&
CREATOR OWNER
读取和写入/删除
只有子文件夹及文件
该文件夹,子文件夹及文件
&继承于C:\windows&
&不是继承的&
建议装了MCAFEE或NOD的用户把此文件夹,禁止写入一些文件类型比如*.EXE和*.com等可执行文件或vbs类脚本
该文件夹,子文件夹及文件
&继承于C:\windows&
IUSR_XXX或某个虚拟主机用户组
列出文件夹/读取数据 :拒绝
该文件夹,子文件夹及文件
&不是继承的&
列出文件夹/读取数据 :拒绝
该文件夹,子文件夹及文件
&不是继承的&
硬盘或文件夹: C:\WINDOWS\Microsoft.NET\Framework\版本\Temporary ASP.NET Files
主要权限部分:
其他权限部分:
Administrators
ASP.NET 计算机帐户
读取和运行
该文件夹,子文件夹及文件
该文件夹,子文件夹及文件
&继承于C:\windows&
&继承于C:\windows&
CREATOR OWNER
ASP.NET 计算机帐户
只有子文件夹及文件
该文件夹,子文件夹及文件
&继承于C:\windows&
&不是继承的&
读取和运行
该文件夹,子文件夹及文件
该文件夹,子文件夹及文件
&继承于C:\windows&
&继承于C:\windows&
IUSR_XXX或某个虚拟主机用户组
列出文件夹/读取数据 :拒绝
写入(原来有删除权限要去掉)
该文件夹,子文件夹及文件
该文件夹,子文件夹及文件
&不是继承的&
&不是继承的&
列出文件夹/读取数据 :拒绝
LOCAL SERVICE
读取和运行
该文件夹,子文件夹及文件
该文件夹,子文件夹及文件
&不是继承的&
&继承于C:\windows&
读取和运行
LOCAL SERVICE
该文件夹,子文件夹及文件
该文件夹,子文件夹及文件
&继承于C:\windows&
&不是继承的&
NETWORK SERVICE
读取和运行
该文件夹,子文件夹及文件
&继承于C:\windows&
建议装了MCAFEE或NOD的用户把此文件夹,禁止写入一些文件类型,比如*.EXE和*.com等可执行文件或vbs类脚本
NETWORK SERVICE
该文件夹,子文件夹及文件
&不是继承的&
硬盘或文件夹: C:\WINDOWS\system32
主要权限部分:
其他权限部分:
Administrators
读取和运行
该文件夹,子文件夹及文件
该文件夹,子文件夹及文件
&不是继承的&
&不是继承的&
CREATOR OWNER
IUSR_XXX或某个虚拟主机用户组
列出文件夹/读取数据 :拒绝
只有子文件夹及文件
该文件夹,子文件夹及文件
&不是继承的&
&不是继承的&
虚拟主机用户访问组拒绝读取,有助于保护系统数据
该文件夹,子文件夹及文件
&不是继承的&
硬盘或文件夹: C:\WINDOWS\system32\config
主要权限部分:
其他权限部分:
Administrators
读取和运行
该文件夹,子文件夹及文件
该文件夹,子文件夹及文件
&不是继承的&
&不是继承的&
CREATOR OWNER
IUSR_XXX或某个虚拟主机用户组
列出文件夹/读取数据 :拒绝
只有子文件夹及文件
该文件夹,子文件夹及文件
&不是继承的&
&继承于上一级目录&
虚拟主机用户访问组拒绝读取,有助于保护系统数据
该文件夹,子文件夹及文件
&不是继承的&
硬盘或文件夹: C:\WINDOWS\system32\inetsrv\
主要权限部分:
其他权限部分:
Administrators
读取和运行
该文件夹,子文件夹及文件
该文件夹,子文件夹及文件
&不是继承的&
&不是继承的&
CREATOR OWNER
IUSR_XXX或某个虚拟主机用户组
列出文件夹/读取数据 :拒绝
只有子文件夹及文件
只有该文件夹
&不是继承的&
&继承于上一级目录&
虚拟主机用户访问组拒绝读取,有助于保护系统数据
该文件夹,子文件夹及文件
&不是继承的&
硬盘或文件夹: C:\WINDOWS\system32\inetsrv\ASP Compiled Templates
主要权限部分:
其他权限部分:
Administrators
该文件夹,子文件夹及文件
该文件夹,子文件夹及文件
&不是继承的&
&不是继承的&
IUSR_XXX或某个虚拟主机用户组
列出文件夹/读取数据 :拒绝
该文件夹,子文件夹及文件
&继承于上一级目录&
虚拟主机用户访问组拒绝读取,有助于保护系统数据
硬盘或文件夹: C:\WINDOWS\system32\inetsrv\iisadmpwd
主要权限部分:
其他权限部分:
Administrators
该文件夹,子文件夹及文件
&不是继承的&
CREATOR OWNER
只有子文件夹及文件
&不是继承的&
该文件夹,子文件夹及文件
&不是继承的&
硬盘或文件夹: C:\WINDOWS\system32\inetsrv\MetaBack
主要权限部分:
其他权限部分:
Administrators
读取和运行
该文件夹,子文件夹及文件
该文件夹,子文件夹及文件
&不是继承的&
&不是继承的&
CREATOR OWNER
IUSR_XXX或某个虚拟主机用户组
列出文件夹/读取数据 :拒绝
只有子文件夹及文件
该文件夹,子文件夹及文件
&不是继承的&
&继承于上一级目录&
虚拟主机用户访问组拒绝读取,有助于保护系统数据
该文件夹,子文件夹及文件
&不是继承的&
* 以上用户言论只代表其个人观点,不代表CSDN网站的观点或立场
访问:42097次
积分:1182
积分:1182
排名:第16563名
原创:72篇
转载:33篇
(1)(4)(47)(53)}
我要回帖
更多推荐
- ·如何入侵别人的网站,获取数据获取方式有哪些?
- ·如何怎么进入别人网站管理页面网站后台?
- ·因为比较胖,多 囊 多囊卵巢最快受孕方法不孕吗?
- ·按照西周时的规定,周天子可以享天子用九鼎诸侯用七鼎是什么制度,这种情况反应了什么问题_百度知 ...
- ·库怎么组词?组五笔怎么打出来?
- ·apec水立方晚宴直播apec晚宴场景开放到什么时候
- ·成为教练型经理人黄晓云译得怎样成为健身教练
- ·篮球赛8个队大循环结果胜场一样排位胜点加的少怎么办办?
- ·av小次郎郎 武术搏击 黑人 很矮
- ·关于运动会的英语周记200字带翻译,带翻译的
- ·身体瘦小练可以练听力的美剧什么武术?
- ·周杰伦 鞋子特大号无意间都坏有什么预意
- ·高尔夫悬挂7的后悬挂和皮袋的更改会影响车的性能不?
- ·BB体育运动有哪些有哪些
- ·打牛牛数码怎么洗牌赢钱
- ·谁知道宣威师范毕业的范美珠
- ·nba季前赛对7岁儿童身高体重有要求吗
- ·2014冬季英格伦风格2014年鞋子流行趋势贵吗
- ·nba林书豪比赛视频在一次nba篮球比赛中,20投16中独得30分
- ·幽灵行动未来战士电影4未来战士 英伟达geforce experience 查找不到这个游戏 有没有什么解决办法
- ·windows共享端口 2003共享文档里的表格显示灰色,请问怎么解决?如图
- ·酷派8702格机怎样设置安装位置
- ·秘鲁玛卡效果怎么样怎么样?
- ·科比比特币 比特币 网络 工厂 具体是做什么的呢?真的只需挂机就能挣钱吗?有没有知情的
- ·米影机顶盒只出现smart tv box刷机tvbox是怎么回事..
- ·风林木雨重启后桌面文件丢失提示几个字母不动了
- ·创维50寸液晶电视电视50寸e200卖多少钱
- ·手机上有多个微信软件微信怎么发朋友圈圈图片默认发到哪个号码
- ·为什么头抬高减少回心血不足量
- ·教育养成漫画作文怎么写写?简写
- ·运用3个或3个以上的写比喻句句写一段100字左右的话
- ·积分积分,快疯了,如图,实在不会就选b。。。
- ·英语作文!!!
- ·儿童数学题第6题解释下为什么这么做
- ·打算做某事 英语来打算啊
- ·谢谢侬了!
