安裝win2K,安裝IIS
Indexing Service,
FrontPage 2000 Server Extensions,
Internet Service Manager (HTML)
這幾個(gè)別裝,還有其它的一些,總之不用的都別裝。
(根據(jù)安全原則,最少的服務(wù)+最小的權(quán)限=最大的安全。)
首先,打開(kāi)internet管理器(開(kāi)始-->程序-->管理-->Internet服務(wù)管理)
如果照上面所安裝的,里面有一個(gè)默認(rèn)站點(diǎn)和一個(gè)smtp的服務(wù)項(xiàng)
選默認(rèn)站點(diǎn),刪除其下面的所有目錄。(按慵?躺系膁elete鍵)
停掉iis,最簡(jiǎn)單的方法:開(kāi)始-->運(yùn)行-->打入net stop iisadmin 選擇Y回車 (啟動(dòng)的命令是:net start w3svc)
把C盤的Inetpub目錄徹底刪掉(停掉iis后才能刪),在其它盤新建一個(gè)目錄
在IIS管理器中將默認(rèn)站點(diǎn)的主目錄指向剛才新建的目錄
如果你需要什么權(quán)限的目錄可以自己慢慢建,需要什么權(quán)限開(kāi)什么。
( 特別注意寫(xiě)權(quán)限和執(zhí)行程序的權(quán)限,沒(méi)有絕對(duì)的必要千萬(wàn)不要給,默認(rèn)是沒(méi)給的,所以你不用研究,呵呵..)
應(yīng)用程序配置:在IIS管理器中刪除必須之外的任何無(wú)用映射,
留下ASP, ASA和其他你確實(shí)需要用到的文件類型,(除了cgi,php,其它的我想你都沒(méi)用,刪除htw, htr, idq, ida……)
不知道在哪刪嗎??方法:打開(kāi)Internet服務(wù)管理->選擇站點(diǎn)->屬性->WWW服務(wù)->編輯->主目錄->配置->應(yīng)用程序映射,
然后就開(kāi)始一個(gè)個(gè)刪吧(沒(méi)有全選的,真麻煩)。 接著在剛剛那個(gè)窗口的應(yīng)用程序調(diào)試書(shū)簽內(nèi)將腳本錯(cuò)誤消息改為發(fā)送文本(除非你想ASP出錯(cuò)的時(shí)候用戶知道你的程序/網(wǎng)絡(luò)/數(shù)據(jù)庫(kù)結(jié)構(gòu))錯(cuò)誤文本寫(xiě)什么? 隨便你喜歡,自己看著辦。點(diǎn)擊確定退出時(shí)別忘了讓虛擬目錄繼承你設(shè)定的屬性。
為了對(duì)付日益增多的cgi漏洞掃描器,還有一個(gè)小技巧可以參考, 在IIS中將HTTP404 Object Not Found出錯(cuò)頁(yè)面通過(guò)URL重定向到一個(gè)定制HTM文件, 可以讓目前絕大多數(shù)CGI漏洞掃描器失靈。其實(shí)原因很簡(jiǎn)單, 大多數(shù)CGI掃描器在編寫(xiě)時(shí)為了方便,都是通過(guò)查看返回頁(yè)面的HTTP代碼來(lái)判斷漏洞是否存在的,例如,著名的IDQ漏洞一般都是通過(guò)取1.idq來(lái)檢驗(yàn),如果返回HTTP200,就認(rèn)為是有這個(gè)漏洞, 反之如果返回HTTP404就認(rèn)為沒(méi)有,如果你通過(guò)URL將HTTP404出錯(cuò)信息重定向到HTTP404.htm文件, 那么所有的掃描無(wú)論存不存在漏洞都會(huì)返回HTTP200,90%的CGI掃描器會(huì)認(rèn)為你什么漏洞都有, 結(jié)果反而掩蓋了你真正的漏洞,讓入侵者茫然無(wú)處下手,不過(guò)從個(gè)人角度來(lái)說(shuō),我還是認(rèn)為扎扎實(shí)實(shí)做好安全設(shè)置比這樣的小技巧重要的多。
Win2000的賬號(hào)安全是另一個(gè)重點(diǎn),首先,Win2000的默認(rèn)安裝允許任何用戶通過(guò)空用戶得到系統(tǒng)所有賬號(hào)/共享列表, 這個(gè)本來(lái)是為了方便局域網(wǎng)用戶共享文件的,但是一個(gè)遠(yuǎn)程用戶也可以得到你的用戶列表并使用暴力法破解用戶密碼。 很多朋友都知道可以通過(guò)更改注冊(cè)表Local_MachineSystemCurrentControlSetControlLSA-RestrictAnonymous = 1來(lái)禁止139空連接, 實(shí)際上win2000的本地安全策略(如果是域服務(wù)器就是在域服務(wù)器安全和域安全策略中)就有這樣的選項(xiàng)RestrictAnonymous(匿名連接的額外限制), 這個(gè)選項(xiàng)有三個(gè)值:
0:None. Rely on default permissions(無(wú),取決于默認(rèn)的權(quán)限)
1:Do not allow enumeration of SAM accounts and shares(不允許枚舉SAM帳號(hào)和共享)
2:No access without explicit anonymous permissions(沒(méi)有顯式匿名權(quán)限就不允許訪問(wèn))
0這個(gè)值是系統(tǒng)默認(rèn)的,什么限制都沒(méi)有,遠(yuǎn)程用戶可以知道你機(jī)器上所有的賬號(hào)、組信息、共享目錄、網(wǎng)絡(luò)傳輸列表(NetServerTransportEnum等等,對(duì)服務(wù)器來(lái)說(shuō)這樣的設(shè)置非常危險(xiǎn)。 1這個(gè)值是只允許非NULL用戶存取SAM賬號(hào)信息和共享信息。 2這個(gè)值是在win2000中才支持的,需要注意的是,如果你一旦使用了這個(gè)值,你的共享估計(jì)就全部完蛋了,所以我推薦你還是設(shè)為1比較好。
好了,入侵者現(xiàn)在沒(méi)有辦法拿到我們的用戶列表,我們的賬戶安全了……慢著,至少還有一個(gè)賬戶是可以跑密碼的,這就是系統(tǒng)內(nèi)建的administrator,怎么辦?我改改改,在計(jì)算機(jī)管理->用戶賬號(hào)中右擊administrator然后改名,改成什么隨便你,只要能記得就行了。
改了超管理用戶名后,在Terminal Service的登錄界面還是可以看到的(你登錄過(guò)就自已記住啦),
修改方法:
運(yùn)行regedit,找到HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsNTCurrentVersionwinlogon
項(xiàng)中的Don’t Display Last User Name串?dāng)?shù)據(jù)改成1,這樣系統(tǒng)不會(huì)自動(dòng)顯示上次的登錄用戶名。
為了安全,你還可以打開(kāi)TCP/IP篩選,桌面上右擊網(wǎng)上鄰居->屬性->右擊你要配置的網(wǎng)卡->屬性->TCP/IP->高級(jí)->選項(xiàng)->TCP/IP過(guò)濾, 這里有三個(gè)過(guò)濾器,分別為:TCP端口、UDP端口和IP協(xié)議TCP端口,點(diǎn)擊"只允許",然后在下面加上你需要開(kāi)的端口,一般來(lái)說(shuō)WEB服務(wù)器只需要開(kāi)80(www), FTP服務(wù)器需要開(kāi)20(FTP Data),21(FTP Control),3306(Mysql),3389(遠(yuǎn)程終端控制,如果你的主機(jī)托管在別人機(jī)房里,不能直接*作,就需要這個(gè)) 郵件服務(wù)器可能需要打開(kāi)25(SMTP),110(POP3),我對(duì)端口沒(méi)研究,但如果照本文所提供的服務(wù),你只要開(kāi)以上幾個(gè)就行了。(80,20,21,25,3306,3389)
--cgi支持
下載activeperl (可www.perl.com下載最新版)
1、解壓,運(yùn)行install.exe,默認(rèn)是安裝在 C:PERL 下,不過(guò)為了方便,請(qǐng)最好安裝到 C:USR 目錄下,(這樣寫(xiě) Perl 解釋器的路徑就可以直接用 #!/usr/bin/perl 了,可以保持單機(jī)環(huán)境和網(wǎng)絡(luò)環(huán)境路徑一致。 安裝時(shí)一路按Y即可。)
2、安裝好后,按照下面三步來(lái)修改注冊(cè)表: 運(yùn)行 RegEdit,搜尋: HKEY_LOCAL_MACHINESystemCurrentcontrlsetServicesW3svcParametersscriptMap 鍵名,
然后增加鍵名:".cgi",鍵值:"C:USRBINperl.exe %s %s" 和鍵名:".pl",鍵值:"C:USRBINperl.exe %s %s" (不懂得建?那么:在右邊的框內(nèi)--->點(diǎn)右鍵--->新建-->字符串值 名稱改為.cgi,雙擊該鍵即可輸入數(shù)值數(shù)據(jù),也就是上面說(shuō)的鍵值)因?yàn)橐屵@臺(tái)主機(jī)支持php,所以順便在這里添加上php和php3的支持(以后新建站點(diǎn)時(shí)可省事)增加鍵名".php",鍵值:"C:phpphp.exe %s %s"
增加鍵名".php3",鍵值:"C:phpphp.exe %s %s" OK,重啟后即生效!cgi支持搞定!以后新建站點(diǎn)后,在應(yīng)用程序配置里面默認(rèn)就會(huì)加上php和cgi的支持(不給這個(gè)權(quán)限的話刪掉就是了)。
cgi支持搞定!
--mysql支持
下載mysql (可www.mysql.com下載最新版本)
1、解壓,運(yùn)行setup.exe完全安裝,默認(rèn)安裝路徑為:c:mysql;
2、安裝完成后,打開(kāi)“開(kāi)始”按鈕中的“運(yùn)行”,輸入命令:C:mysqlinmysqld-nt.exe --install,并執(zhí)行;
3、開(kāi)始-->程序-->管理工具-->服務(wù)-->找到mysql-->啟動(dòng)它;
4、mysql安裝完成,重啟win2000
5、重啟后打開(kāi)C:mysqlinwinmysqladmin.exe,在第一次用它時(shí),需要建立管理員名及密碼,分別設(shè)置用戶名和密碼,設(shè)定后,系統(tǒng)托盤會(huì)出現(xiàn)一個(gè)“紅綠燈”的小圖標(biāo)(以后系統(tǒng)啟動(dòng)時(shí)均會(huì)自動(dòng)加載)。
6、OK,mysql支持搞定!
--php支持
下載PHP (可http://www.php.net下載最新版本)
1、將 php 4.0.4 解壓到 c:php;
2、將PHP目錄內(nèi)的 php.ini-dist 文件拷貝到WinNT目錄內(nèi),改名為 php.ini; (這是php的配置文件,無(wú)需更改即可運(yùn)行,我沒(méi)仔細(xì)研究)
3、根據(jù)需要修改 php.ini 文件內(nèi)容,如要使用 session 功能,請(qǐng)建立 c: mp 目錄,并將 php.ini 文檔內(nèi) session.save_path 的值設(shè)置成為絕對(duì)路徑:c:/tmp;
4、將PHP目錄內(nèi)的 Php4ts.dll 文件復(fù)制到 WinNtSystem32 目錄內(nèi);
5、在控制面板中的管理工具里啟動(dòng)“Internet 服務(wù)管理器”(IIS);
6、打開(kāi)站點(diǎn)屬性,在 ’ISAPI 篩選器’選項(xiàng)中, 增加新的篩選器,用 ’PHP’ 作為篩選器名稱,在“可執(zhí)行文件”欄中填入php4isapi.dll及其路徑 (c:phpsapiphp4isapi.dll)。
7、在屬性的"文檔"選項(xiàng)中"啟用默認(rèn)文檔"加入"index.php“
