WindowsServer2003 + IIS6.0 + ASP + NET + PHP + PERL + MSSQL + MYSQL 最新服務器安全設置技術實例
1、服務器安全設置之--硬盤權限篇
? 這裏着重談需要的權限,也就是最終文件夾或硬盤需要的權限,可以防禦各種木馬入侵,提權攻擊,跨站攻擊等。本實例經過多次試驗,安全性能很好,服務器基本沒有被木馬威脅的擔憂了。
硬盤或文件夾: C:/ D:/ E:/ F:/ 類推
主要權限部分: 其他權限部分:
Administrators 完全控制 無
如果安裝了其他運行環境,比如PHP等,則根據PHP的環境功能要求來設置硬盤權限,一般是安裝目錄加上users讀取運行權限就足夠了,比如c:/php的話,就在根目錄權限繼承的情況下加上users讀取運行權限,需要寫入數據的比如tmp文件夾,則把users的寫刪權限加上,運行權限不要,然後把虛擬主機用戶的讀權限拒絕即可。如果是mysql的話,用一個獨立用戶運行MYSQL會更安全,下面會有介紹。如果是winwebmail,則最好建立獨立的應用程序池和獨立IIS用戶,然後整個安裝目錄有users用戶的讀/運行/寫/權限,IIS用戶則相同,這個IIS用戶就只用在winwebmail的WEB訪問中,其他IIS站點切勿使用,安裝了winwebmail的服務器硬盤權限設置後面舉例
該文件夾,子文件夾及文件
<不是繼承的>
CREATOR OWNER 完全控制
只有子文件夾及文件
<不是繼承的>
SYSTEM 完全控制
該文件夾,子文件夾及文件
<不是繼承的>
硬盤或文件夾: C:/Inetpub/
主要權限部分: 其他權限部分:
Administrators 完全控制 無
該文件夾,子文件夾及文件
<繼承於c:/>
CREATOR OWNER 完全控制
只有子文件夾及文件
<繼承於c:/>
SYSTEM 完全控制
該文件夾,子文件夾及文件
<繼承於c:/>
硬盤或文件夾: C:/Inetpub/AdminScripts
主要權限部分: 其他權限部分:
Administrators 完全控制 無
該文件夾,子文件夾及文件
<不是繼承的>
SYSTEM 完全控制
該文件夾,子文件夾及文件
<不是繼承的>
硬盤或文件夾: C:/Inetpub/wwwroot
主要權限部分: 其他權限部分:
Administrators 完全控制 IIS_WPG 讀取運行/列出文件夾目錄/讀取
該文件夾,子文件夾及文件 該文件夾,子文件夾及文件
<不是繼承的> <不是繼承的>
SYSTEM 完全控制 Users 讀取運行/列出文件夾目錄/讀取
該文件夾,子文件夾及文件 該文件夾,子文件夾及文件
<不是繼承的> <不是繼承的>
這裏可以把虛擬主機用戶組加上
同Internet 來賓帳戶一樣的權限
拒絕權限 Internet 來賓帳戶 創建文件/寫入數據/:拒絕
創建文件夾/附加數據/:拒絕
寫入屬性/:拒絕
寫入擴展屬性/:拒絕
刪除子文件夾及文件/:拒絕
刪除/:拒絕
該文件夾,子文件夾及文件
<不是繼承的>
硬盤或文件夾: C:/Inetpub/wwwroot/aspnet_client
主要權限部分: 其他權限部分:
Administrators 完全控制 Users 讀取
該文件夾,子文件夾及文件 該文件夾,子文件夾及文件
<不是繼承的> <不是繼承的>
SYSTEM 完全控制 ?
該文件夾,子文件夾及文件
<不是繼承的>
硬盤或文件夾: C:/Documents and Settings
主要權限部分: 其他權限部分:
Administrators 完全控制 無
該文件夾,子文件夾及文件
<不是繼承的>
SYSTEM 完全控制
該文件夾,子文件夾及文件
<不是繼承的>
硬盤或文件夾: C:/Documents and Settings/All Users
主要權限部分: 其他權限部分:
Administrators 完全控制 Users 讀取和運行
該文件夾,子文件夾及文件 該文件夾,子文件夾及文件
<不是繼承的> <不是繼承的>
SYSTEM 完全控制 USERS組的權限僅僅限制於讀取和運行,
絕對不能加上寫入權限
該文件夾,子文件夾及文件
<不是繼承的>
硬盤或文件夾: C:/Documents and Settings/All Users/「開始」菜單
主要權限部分: 其他權限部分:
Administrators 完全控制 無
該文件夾,子文件夾及文件
<不是繼承的>
SYSTEM 完全控制
該文件夾,子文件夾及文件
<不是繼承的>
硬盤或文件夾: C:/Documents and Settings/All Users/Application Data
主要權限部分: 其他權限部分:
Administrators 完全控制 Users 讀取和運行
該文件夾,子文件夾及文件 該文件夾,子文件夾及文件
<不是繼承的> <不是繼承的>
CREATOR OWNER 完全控制 Users 寫入
只有子文件夾及文件 該文件夾,子文件夾
<不是繼承的> <不是繼承的>
SYSTEM 完全控制 兩個並列權限同用戶組需要分開列權限
該文件夾,子文件夾及文件
<不是繼承的>
硬盤或文件夾: C:/Documents and Settings/All Users/Application Data/Microsoft
主要權限部分: 其他權限部分:
Administrators 完全控制 Users 讀取和運行
該文件夾,子文件夾及文件 該文件夾,子文件夾及文件
<不是繼承的> <不是繼承的>
SYSTEM 完全控制 此文件夾包含 Microsoft 應用程序狀態數據
該文件夾,子文件夾及文件
<不是繼承的>
硬盤或文件夾: C:/Documents and Settings/All Users/Application Data/Microsoft/Crypto/RSA/MachineKeys
主要權限部分: 其他權限部分:
Administrators 完全控制 Everyone 列出文件夾、讀取屬性、讀取擴展屬性、創建文件、創建文件夾、寫入屬性、寫入擴展屬性、讀取權限
只有該文件夾 Everyone這裏只有讀寫權限,不能加運行和刪除權限,僅限該文件夾 只有該文件夾
<不是繼承的> <不是繼承的>
硬盤或文件夾: C:/Documents and Settings/All Users/Application Data/Microsoft/Crypto/DSS/MachineKeys
主要權限部分: 其他權限部分:
Administrators 完全控制 Everyone 列出文件夾、讀取屬性、讀取擴展屬性、創建文件、創建文件夾、寫入屬性、寫入擴展屬性、讀取權限
只有該文件夾 Everyone這裏只有讀寫權限,不能加運行和刪除權限,僅限該文件夾 只有該文件夾
<不是繼承的> <不是繼承的>
硬盤或文件夾: C:/Documents and Settings/All Users/Application Data/Microsoft/HTML Help
主要權限部分: 其他權限部分:
Administrators 完全控制 Users 讀取和運行
該文件夾,子文件夾及文件 該文件夾,子文件夾及文件
<不是繼承的> <不是繼承的>
SYSTEM 完全控制
該文件夾,子文件夾及文件
<不是繼承的>
硬盤或文件夾: C:/Documents and Settings/All Users/Application Data/Microsoft/Network/Connections/Cm
主要權限部分: 其他權限部分:
Administrators 完全控制 Everyone 讀取和運行
該文件夾,子文件夾及文件 該文件夾,子文件夾及文件
<不是繼承的> <不是繼承的>
SYSTEM 完全控制 Everyone這裏只有讀和運行權限
該文件夾,子文件夾及文件
<不是繼承的>
硬盤或文件夾: C:/Documents and Settings/All Users/Application Data/Microsoft/Network/Downloader
主要權限部分: 其他權限部分:
Administrators 完全控制 無
該文件夾,子文件夾及文件
<不是繼承的>
SYSTEM 完全控制
該文件夾,子文件夾及文件
<不是繼承的>
硬盤或文件夾: C:/Documents and Settings/All Users/Application Data/Microsoft/Media Index
主要權限部分: 其他權限部分:
Administrators 完全控制 Users 讀取和運行
該文件夾,子文件夾及文件 該文件夾,子文件夾及文件
<不是繼承的> <繼承於上一級文件夾>
SYSTEM 完全控制 Users 創建文件/寫入數據
創建文件夾/附加數據
寫入屬性
寫入擴展屬性
讀取權限
該文件夾,子文件夾及文件 只有該文件夾
<不是繼承的> <不是繼承的>
Users 創建文件/寫入數據
創建文件夾/附加數據
寫入屬性
寫入擴展屬性
只有該子文件夾和文件
<不是繼承的>
硬盤或文件夾: C:/Documents and Settings/All Users/DRM
主要權限部分: 其他權限部分:
這裏需要把GUEST用戶組和IIS訪問用戶組全部禁止
Everyone的權限比較特殊,默認安裝後已經帶了
主要是要把IIS訪問的用戶組加上所有權限都禁止 Users 讀取和運行
該文件夾,子文件夾及文件
<不是繼承的>
Guests 拒絕所有
該文件夾,子文件夾及文件
<不是繼承的>
Guest 拒絕所有
該文件夾,子文件夾及文件
<不是繼承的>
IUSR_XXX
或某個虛擬主機用戶組 拒絕所有
該文件夾,子文件夾及文件
<不是繼承的>
硬盤或文件夾: C:/Documents and Settings/All Users/Documents (共享文檔)
主要權限部分: 其他權限部分:
Administrators 完全控制 無
該文件夾,子文件夾及文件
<不是繼承的>
CREATOR OWNER 完全控制
只有子文件夾及文件
<不是繼承的>
SYSTEM 完全控制
該文件夾,子文件夾及文件
<不是繼承的>
硬盤或文件夾: C:/Program Files
主要權限部分: 其他權限部分:
Administrators 完全控制 IIS_WPG 讀取和運行
該文件夾,子文件夾及文件 該文件夾,子文件夾及文件
<不是繼承的> <不是繼承的>
CREATOR OWNER 完全控制 IUSR_XXX
或某個虛擬主機用戶組 列出文件夾/讀取數據 :拒絕
只有子文件夾及文件 該文件夾,子文件夾及文件
<不是繼承的> <不是繼承的>
SYSTEM 完全控制 IIS虛擬主機用戶組禁止列目錄,可有效防止FSO類木馬
如果安裝了aspjepg和aspupload
該文件夾,子文件夾及文件
<不是繼承的>
硬盤或文件夾: C:/Program Files/Common Files
主要權限部分: 其他權限部分:
Administrators 完全控制 IIS_WPG 讀取和運行
該文件夾,子文件夾及文件 該文件夾,子文件夾及文件
<不是繼承的> <繼承於上級目錄>
CREATOR OWNER 完全控制 Users 讀取和運行
只有子文件夾及文件 該文件夾,子文件夾及文件
<不是繼承的> <不是繼承的>
SYSTEM 完全控制 複合權限,爲IIS提供快速安全的運行環境
該文件夾,子文件夾及文件
<不是繼承的>
硬盤或文件夾: C:/Program Files/Common Files/Microsoft Shared/web server extensions
主要權限部分: 其他權限部分:
Administrators 完全控制 無
該文件夾,子文件夾及文件
<不是繼承的>
CREATOR OWNER 完全控制
只有子文件夾及文件
<不是繼承的>
SYSTEM 完全控制
該文件夾,子文件夾及文件
<不是繼承的>
硬盤或文件夾: C:/Program Files/Microsoft SQL Server/MSSQL (程序部分默認裝在C:盤)
主要權限部分: 其他權限部分:
Administrators 完全控制 無
該文件夾,子文件夾及文件
<不是繼承的>
硬盤或文件夾: E:/Program Files/Microsoft SQL Server (數據庫部分裝在E:盤的情況)
主要權限部分: 其他權限部分:
Administrators 完全控制 無
該文件夾,子文件夾及文件
<不是繼承的>
CREATOR OWNER 完全控制
只有子文件夾及文件
<不是繼承的>
SYSTEM 完全控制
該文件夾,子文件夾及文件
<不是繼承的>
硬盤或文件夾: E:/Program Files/Microsoft SQL Server/MSSQL (數據庫部分裝在E:盤的情況)
主要權限部分: 其他權限部分:
Administrators 完全控制 無
該文件夾,子文件夾及文件
<不是繼承的>
硬盤或文件夾: C:/Program Files/Internet Explorer/iexplore.exe
主要權限部分: 其他權限部分:
Administrators 完全控制 無
該文件夾,子文件夾及文件
<不是繼承的>
硬盤或文件夾: C:/Program Files/Outlook Express
主要權限部分: 其他權限部分:
Administrators 完全控制 無
該文件夾,子文件夾及文件
<不是繼承的>
CREATOR OWNER 完全控制
只有子文件夾及文件
<不是繼承的>
SYSTEM 完全控制
該文件夾,子文件夾及文件
<不是繼承的>
硬盤或文件夾: C:/Program Files/PowerEasy5 (如果裝了動易組件的話)
主要權限部分: 其他權限部分:
Administrators 完全控制 無
該文件夾,子文件夾及文件
<不是繼承的>
CREATOR OWNER 完全控制
只有子文件夾及文件
<不是繼承的>
SYSTEM 完全控制
該文件夾,子文件夾及文件
<不是繼承的>
硬盤或文件夾: C:/Program Files/Radmin (如果裝了Radmin遠程控制的話)
主要權限部分: 其他權限部分:
Administrators 完全控制 無
對應的c:/windows/system32裏面有兩個文件
r_server.exe和AdmDll.dll
要把Users讀取運行權限去掉
默認權限只要administrators和system全部權限
該文件夾,子文件夾及文件
<不是繼承的>
CREATOR OWNER 完全控制
只有子文件夾及文件
<不是繼承的>
SYSTEM 完全控制
該文件夾,子文件夾及文件
<不是繼承的>
硬盤或文件夾: C:/Program Files/Serv-U (如果裝了Serv-U服務器的話)
主要權限部分: 其他權限部分:
Administrators 完全控制 無
這裏常是提權入侵的一個比較大的漏洞點
一定要按這個方法設置
目錄名字根據Serv-U版本也可能是
C:/Program Files/RhinoSoft.com/Serv-U
該文件夾,子文件夾及文件
<不是繼承的>
CREATOR OWNER 完全控制
只有子文件夾及文件
<不是繼承的>
SYSTEM 完全控制
該文件夾,子文件夾及文件
<不是繼承的>
硬盤或文件夾: C:/Program Files/Windows Media Player
主要權限部分: 其他權限部分:
Administrators 完全控制 無
該文件夾,子文件夾及文件
<不是繼承的>
CREATOR OWNER 完全控制
只有子文件夾及文件
<不是繼承的>
SYSTEM 完全控制
該文件夾,子文件夾及文件
<不是繼承的>
硬盤或文件夾: C:/Program Files/Windows NT/Accessories
主要權限部分: 其他權限部分:
Administrators 完全控制 無
該文件夾,子文件夾及文件
<不是繼承的>
CREATOR OWNER 完全控制
只有子文件夾及文件
<不是繼承的>
SYSTEM 完全控制
該文件夾,子文件夾及文件
<不是繼承的>
硬盤或文件夾: C:/Program Files/WindowsUpdate
主要權限部分: 其他權限部分:
Administrators 完全控制 無
該文件夾,子文件夾及文件
<不是繼承的>
CREATOR OWNER 完全控制
只有子文件夾及文件
<不是繼承的>
SYSTEM 完全控制
該文件夾,子文件夾及文件
<不是繼承的>
硬盤或文件夾: C:/WINDOWS
主要權限部分: 其他權限部分:
Administrators 完全控制 Users 讀取和運行
該文件夾,子文件夾及文件 該文件夾,子文件夾及文件
<不是繼承的> <不是繼承的>
CREATOR OWNER 完全控制 ?
只有子文件夾及文件 ?
<不是繼承的> ?
SYSTEM 完全控制
該文件夾,子文件夾及文件
<不是繼承的>
硬盤或文件夾: C:/WINDOWS/repair
主要權限部分: 其他權限部分:
Administrators 完全控制 IUSR_XXX
或某個虛擬主機用戶組 列出文件夾/讀取數據 :拒絕
該文件夾,子文件夾及文件 該文件夾,子文件夾及文件
<不是繼承的> <不是繼承的>
CREATOR OWNER 完全控制 虛擬主機用戶訪問組拒絕讀取,有助於保護系統數據
這裏保護的是系統級數據SAM
只有子文件夾及文件
<不是繼承的>
SYSTEM 完全控制
該文件夾,子文件夾及文件
<不是繼承的>
硬盤或文件夾: C:/WINDOWS/system32
主要權限部分: 其他權限部分:
Administrators 完全控制 Users 讀取和運行
該文件夾,子文件夾及文件 該文件夾,子文件夾及文件
<不是繼承的> <不是繼承的>
CREATOR OWNER 完全控制 IUSR_XXX
或某個虛擬主機用戶組 列出文件夾/讀取數據 :拒絕
只有子文件夾及文件 該文件夾,子文件夾及文件
<不是繼承的> <不是繼承的>
SYSTEM 完全控制 虛擬主機用戶訪問組拒絕讀取,有助於保護系統數據
該文件夾,子文件夾及文件
<不是繼承的>
硬盤或文件夾: C:/WINDOWS/system32/config
主要權限部分: 其他權限部分:
Administrators 完全控制 Users 讀取和運行
該文件夾,子文件夾及文件 該文件夾,子文件夾及文件
<不是繼承的> <不是繼承的>
CREATOR OWNER 完全控制 IUSR_XXX
或某個虛擬主機用戶組 列出文件夾/讀取數據 :拒絕
只有子文件夾及文件 該文件夾,子文件夾及文件
<不是繼承的> <繼承於上一級目錄>
SYSTEM 完全控制 虛擬主機用戶訪問組拒絕讀取,有助於保護系統數據
該文件夾,子文件夾及文件
<不是繼承的>
硬盤或文件夾: C:/WINDOWS/system32/inetsrv/
主要權限部分: 其他權限部分:
Administrators 完全控制 Users 讀取和運行
該文件夾,子文件夾及文件 該文件夾,子文件夾及文件
<不是繼承的> <不是繼承的>
CREATOR OWNER 完全控制 IUSR_XXX
或某個虛擬主機用戶組 列出文件夾/讀取數據 :拒絕
只有子文件夾及文件 只有該文件夾
<不是繼承的> <繼承於上一級目錄>
SYSTEM 完全控制 虛擬主機用戶訪問組拒絕讀取,有助於保護系統數據
該文件夾,子文件夾及文件
<不是繼承的>
硬盤或文件夾: C:/WINDOWS/system32/inetsrv/ASP Compiled Templates
主要權限部分: 其他權限部分:
Administrators 完全控制 IIS_WPG 完全控制
該文件夾,子文件夾及文件 ? 該文件夾,子文件夾及文件
<不是繼承的> ? <不是繼承的>
IUSR_XXX
或某個虛擬主機用戶組 列出文件夾/讀取數據 :拒絕
該文件夾,子文件夾及文件
<繼承於上一級目錄>
虛擬主機用戶訪問組拒絕讀取,有助於保護系統數據
硬盤或文件夾: C:/WINDOWS/system32/inetsrv/iisadmpwd
主要權限部分: 其他權限部分:
Administrators 完全控制 無
該文件夾,子文件夾及文件
<不是繼承的>
CREATOR OWNER 完全控制
只有子文件夾及文件
<不是繼承的>
SYSTEM 完全控制
該文件夾,子文件夾及文件
<不是繼承的>
硬盤或文件夾: C:/WINDOWS/system32/inetsrv/MetaBack
主要權限部分: 其他權限部分:
Administrators 完全控制 Users 讀取和運行
該文件夾,子文件夾及文件 該文件夾,子文件夾及文件
<不是繼承的> <不是繼承的>
CREATOR OWNER 完全控制 IUSR_XXX
或某個虛擬主機用戶組 列出文件夾/讀取數據 :拒絕
只有子文件夾及文件 該文件夾,子文件夾及文件
<不是繼承的> <繼承於上一級目錄>
SYSTEM 完全控制 虛擬主機用戶訪問組拒絕讀取,有助於保護系統數據
該文件夾,子文件夾及文件
<不是繼承的>
Winwebmail 電子郵局安裝後權限舉例:目錄E:/
主要權限部分: 其他權限部分:
Administrators 完全控制 IUSR_XXXXXX
這個用戶是WINWEBMAIL訪問WEB站點專用帳戶 讀取和運行
該文件夾,子文件夾及文件 該文件夾,子文件夾及文件
<不是繼承的> <不是繼承的>
CREATOR OWNER 完全控制
只有子文件夾及文件
<不是繼承的>
SYSTEM 完全控制
該文件夾,子文件夾及文件
<不是繼承的>
Winwebmail 電子郵局安裝後權限舉例:目錄E:/WinWebMail
主要權限部分: 其他權限部分:
Administrators 完全控制 IUSR_XXXXXX
WINWEBMAIL訪問WEB站點專用帳戶 讀取和運行
該文件夾,子文件夾及文件 該文件夾,子文件夾及文件
<繼承於E:/> <繼承於E:/>
CREATOR OWNER 完全控制 Users 修改/讀取運行/列出文件目錄/讀取/寫入
只有子文件夾及文件 該文件夾,子文件夾及文件
<繼承於E:/> <不是繼承的>
SYSTEM 完全控制 IUSR_XXXXXX
WINWEBMAIL訪問WEB站點專用帳戶 修改/讀取運行/列出文件目錄/讀取/寫入
該文件夾,子文件夾及文件 該文件夾,子文件夾及文件
<繼承於E:/> <不是繼承的>
IUSR_XXXXXX和IWAM_XXXXXX
是winwebmail專用的IIS用戶和應用程序池用戶
單獨使用,安全性能高 IWAM_XXXXXX
WINWEBMAIL應用程序池專用帳戶 修改/讀取運行/列出文件目錄/讀取/寫入
該文件夾,子文件夾及文件
<不是繼承的>
2、服務器安全設置之--系統服務篇(設置完畢需要重新啓動)
*除非特殊情況非開不可,下列系統服務要■停止並禁用■:
Alerter
服務名稱: Alerter
顯示名稱: Alerter
服務描述: 通知選定的用戶和計算機管理警報。如果服務停止,使用管理警報的程序將不會收到它們。如果此服務被禁用,任何直接依賴它的服務都將不能啓動。
可執行文件路徑: E:/WINDOWS/system32/svchost.exe -k LocalService
其他補充: ?
Application Layer Gateway Service
服務名稱: ALG
顯示名稱: Application Layer Gateway Service
服務描述: 爲應用程序級協議插件提供支持並啓用網絡/協議連接。如果此服務被禁用,任何依賴它的服務將無法啓動。
可執行文件路徑: E:/WINDOWS/System32/alg.exe
其他補充: ?
Background Intelligent Transfer Service
服務名稱: BITS
顯示名稱: Background Intelligent Transfer Service
服務描述: 服務描述:利用空閒的網絡帶寬在後臺傳輸文件。如果服務被停用,例如 Windows Update 和 MSN Explorer 的功能將無法自動下載程序和其他信息。如果此服務被禁用,任何依賴它的服務如果沒有容錯技術以直接通過 IE 傳輸文件,一旦 BITS 被禁用,就可能無法傳輸文件。
可執行文件路徑: E:/WINDOWS/system32/svchost.exe -k netsvcs
其他補充: ?
Computer Browser
服務名稱: 服務名稱:Browser
顯示名稱: 顯示名稱:Computer Browser
服務描述: 服務描述:維護網絡上計算機的更新列表,並將列表提供給計算機指定瀏覽。如果服務停止,列表不會被更新或維護。如果服務被禁用,任何直接依賴於此服務的服務將無法啓動。
可執行文件路徑: 可執行文件路徑: E:/WINDOWS/system32/svchost.exe -k netsvcs
其他補充: ?
Distributed File System
服務名稱: Dfs
顯示名稱: Distributed File System
服務描述: 將分散的文件共享合併成一個邏輯名稱空間並在局域網或廣域網上管理這些邏輯卷。如果這個服務被停止,用戶則無法訪問文件共享。如果這個服務被禁用,任何依賴它的服務將無法啓動。
可執行文件路徑: E:/WINDOWS/system32/Dfssvc.exe
其他補充: ?
Help and Support
服務名稱: helpsvc
顯示名稱: Help and Support
服務描述: 啓用在此計算機上運行幫助和支持中心。如果停止服務,幫助和支持中心將不可用。如果禁用服務,任何直接依賴於此服務的服務將無法啓動。
可執行文件路徑: E:/WINDOWS/System32/svchost.exe -k netsvcs
其他補充: ?
Messenger
服務名稱: Messenger
顯示名稱: Messenger
服務描述: 傳輸客戶端和服務器之間的 NET SEND 和 警報器服務消息。此服務與 Windows Messenger 無關。如果服務停止,警報器消息不會被傳輸。如果服務被禁用,任何直接依賴於此服務的服務將無法啓動。
可執行文件路徑: E:/WINDOWS/system32/svchost.exe -k netsvcs
其他補充: ?
NetMeeting Remote Desktop Sharing
服務名稱: mnmsrvc
顯示名稱: NetMeeting Remote Desktop Sharing
服務描述: 允許經過授權的用戶用 NetMeeting 在公司 intranet 上遠程訪問這臺計算機。如果服務被停止,遠程桌面共享將不可用。如果服務被禁用,依賴這個服務的任何服務都會無法啓動。
可執行文件路徑: E:/WINDOWS/system32/mnmsrvc.exe
其他補充: ?
Print Spooler
服務名稱: Spooler
顯示名稱: Print Spooler
服務描述: 管理所有本地和網絡打印隊列及控制所有打印工作。如果此服務被停用,本地計算機上的打印將不可用。如果此服務被禁用,任何依賴於它的服務將無法啓用。
可執行文件路徑: E:/WINDOWS/system32/spoolsv.exe
其他補充: ?
Remote Registry
服務名稱: RemoteRegistry
顯示名稱: Remote Registry
服務描述: 使遠程用戶能修改此計算機上的註冊表設置。如果此服務被終止,只有此計算機上的用戶才能修改註冊表。如果此服務被禁用,任何依賴它的服務將無法啓動。
可執行文件路徑: E:/WINDOWS/system32/svchost.exe -k regsvc
其他補充: ?
Task Scheduler
服務名稱: Schedule
顯示名稱: Task Scheduler
服務描述: 使用戶能在此計算機上配置和計劃自動任務。如果此服務被終止,這些任務將無法在計劃時間裏運行。如果此服務被禁用,任何依賴它的服務將無法啓動。
可執行文件路徑: E:/WINDOWS/System32/svchost.exe -k netsvcs
其他補充: ?
TCP/IP NetBIOS Helper
服務名稱: LmHosts
顯示名稱: TCP/IP NetBIOS Helper
服務描述: 提供 TCP/IP (NetBT) 服務上的 NetBIOS 和網絡上客戶端的 NetBIOS 名稱解析的支持,從而使用戶能夠共享文件、打印和登錄到網絡。如果此服務被停用,這些功能可能不可用。如果此服務被禁用,任何依賴它的服務將無法啓動。
可執行文件路徑: E:/WINDOWS/system32/svchost.exe -k LocalService
其他補充: ?
Telnet
服務名稱: TlntSvr
顯示名稱: Telnet
服務描述: 允許遠程用戶登錄到此計算機並運行程序,並支持多種 TCP/IP Telnet 客戶端,包括基於 UNIX 和 Windows 的計算機。如果此服務停止,遠程用戶就不能訪問程序,任何直接依賴於它的服務將會啓動失敗。
可執行文件路徑: E:/WINDOWS/system32/tlntsvr.exe
其他補充: ?
Workstation
服務名稱: lanmanworkstation
顯示名稱: Workstation
服務描述: 創建和維護到遠程服務的客戶端網絡連接。如果服務停止,這些連接將不可用。如果服務被禁用,任何直接依賴於此服務的服務將無法啓動。
可執行文件路徑: E:/WINDOWS/system32/svchost.exe -k netsvcs
其他補充: ?
? 以上是windows2003server標準服務當中需要停止的服務,作爲IIS網絡服務器,以上服務務必要停止,如果需要SSL證書服務,則設置方法不同
3、服務器安全設置之--組件安全設置篇 (非常重要!!!)
A、卸載WScript.Shell 和 Shell.application 組件,將下面的代碼保存爲一個.BAT文件執行(分2000和2003系統)
windows2000.bat regsvr32/u C:/WINNT/System32/wshom.ocx
del C:/WINNT/System32/wshom.ocx
regsvr32/u C:/WINNT/system32/shell32.dll
del C:/WINNT/system32/shell32.dll
windows2003.bat regsvr32/u C:/WINDOWS/System32/wshom.ocx
del C:/WINDOWS/System32/wshom.ocx
regsvr32/u C:/WINDOWS/system32/shell32.dll
del C:/WINDOWS/system32/shell32.dll
B、改名不安全組件,需要注意的是組件的名稱和Clsid都要改,並且要改徹底了,不要照抄,要自己改
【開始→運行→regedit→回車】打開註冊表編輯器
然後【編輯→查找→填寫Shell.application→查找下一個】
用這個方法能找到兩個註冊表項:
{13709620-C279-11CE-A49E-444553540000} 和 Shell.application 。
第一步:爲了確保萬無一失,把這兩個註冊表項導出來,保存爲xxxx.reg 文件。
第二步:比如我們想做這樣的更改
13709620-C279-11CE-A49E-444553540000 改名爲 13709620-C279-11CE-A49E-444553540001
Shell.application 改名爲 Shell.application_nohack
第三步:那麼,就把剛纔導出的.reg文件裏的內容按上面的對應關係替換掉,然後把修改好的.reg文件導入到註冊表中(雙擊即可),導入了改名後的註冊表項之後,別忘記了刪除原有的那兩個項目。這裏需要注意一點,Clsid中只能是十個數字和ABCDEF六個字母。
其實,只要把對應註冊表項導出來備份,然後直接改鍵名就可以了,
改好的例子建議自己改應該可一次成功
Windows Registry Editor Version 5.00
[HKEY_CLASSES_ROOT/CLSID/{13709620-C279-11CE-A49E-444553540001}]
@="Shell Automation Service"
[HKEY_CLASSES_ROOT/CLSID/{13709620-C279-11CE-A49E-444553540001}/InProcServer32]
@="C://WINNT//system32//shell32.dll"
"ThreadingModel"="Apartment"
[HKEY_CLASSES_ROOT/CLSID/{13709620-C279-11CE-A49E-444553540001}/ProgID]
@="Shell.Application_nohack.1"
[HKEY_CLASSES_ROOT/CLSID/{13709620-C279-11CE-A49E-444553540001}/TypeLib]
@="{50a7e9b0-70ef-11d1-b75a-00a0c90564fe}"
[HKEY_CLASSES_ROOT/CLSID/{13709620-C279-11CE-A49E-444553540001}/Version]
@="1.1"
[HKEY_CLASSES_ROOT/CLSID/{13709620-C279-11CE-A49E-444553540001}/VersionIndependentProgID]
@="Shell.Application_nohack"
[HKEY_CLASSES_ROOT/Shell.Application_nohack]
@="Shell Automation Service"
[HKEY_CLASSES_ROOT/Shell.Application_nohack/CLSID]
@="{13709620-C279-11CE-A49E-444553540001}"
[HKEY_CLASSES_ROOT/Shell.Application_nohack/CurVer]
@="Shell.Application_nohack.1"
老杜評論: WScript.Shell 和 Shell.application 組件是 腳本入侵過程中,提升權限的重要環節,這兩個組件的卸載和修改對應註冊鍵名,可以很大程度的提高虛擬主機的腳本安全性能,一般來說,ASP和php類腳本提升權限的功能是無法實現了,再加上一些系統服務、硬盤訪問權限、端口過濾、本地安全策略的設置,虛擬主機因該說,安全性能有非常大的提高,黑客入侵的可能性是非常低了。註銷了Shell組件之後,侵入者運行提升工具的可能性就很小了,但是prel等別的腳本語言也有shell能力,爲防萬一,還是設置一下爲好。下面是另外一種設置,大同小異。
一、禁止使用FileSystemObject組件
FileSystemObject可以對文件進行常規操作,可以通過修改註冊表,將此組件改名,來防止此類木馬的危害。
HKEY_CLASSES_ROOT/Scripting.FileSystemObject/
改名爲其它的名字,如:改爲 FileSystemObject_ChangeName
自己以後調用的時候使用這個就可以正常調用此組件了
也要將clsid值也改一下
HKEY_CLASSES_ROOT/Scripting.FileSystemObject/CLSID/項目的值
也可以將其刪除,來防止此類木馬的危害。
2000註銷此組件命令:RegSrv32 /u C:/WINNT/SYSTEM/scrrun.dll
2003註銷此組件命令:RegSrv32 /u C:/WINDOWS/SYSTEM/scrrun.dll
如何禁止Guest用戶使用scrrun.dll來防止調用此組件?
使用這個命令:cacls C:/WINNT/system32/scrrun.dll /e /d guests
二、禁止使用WScript.Shell組件
WScript.Shell可以調用系統內核運行DOS基本命令
可以通過修改註冊表,將此組件改名,來防止此類木馬的危害。
HKEY_CLASSES_ROOT/WScript.Shell/及HKEY_CLASSES_ROOT/WScript.Shell.1/
改名爲其它的名字,如:改爲WScript.Shell_ChangeName 或 WScript.Shell.1_ChangeName
自己以後調用的時候使用這個就可以正常調用此組件了
也要將clsid值也改一下
HKEY_CLASSES_ROOT/WScript.Shell/CLSID/項目的值
HKEY_CLASSES_ROOT/WScript.Shell.1/CLSID/項目的值
也可以將其刪除,來防止此類木馬的危害。
三、禁止使用Shell.Application組件
Shell.Application可以調用系統內核運行DOS基本命令
可以通過修改註冊表,將此組件改名,來防止此類木馬的危害。
HKEY_CLASSES_ROOT/Shell.Application/
及
HKEY_CLASSES_ROOT/Shell.Application.1/
改名爲其它的名字,如:改爲Shell.Application_ChangeName 或 Shell.Application.1_ChangeName
自己以後調用的時候使用這個就可以正常調用此組件了
也要將clsid值也改一下
HKEY_CLASSES_ROOT/Shell.Application/CLSID/項目的值
HKEY_CLASSES_ROOT/Shell.Application/CLSID/項目的值
也可以將其刪除,來防止此類木馬的危害。
禁止Guest用戶使用shell32.dll來防止調用此組件。
2000使用命令:cacls C:/WINNT/system32/shell32.dll /e /d guests
2003使用命令:cacls C:/WINDOWS/system32/shell32.dll /e /d guests
注:操作均需要重新啓動WEB服務後纔會生效。
四、調用Cmd.exe
禁用Guests組用戶調用cmd.exe
2000使用命令:cacls C:/WINNT/system32/Cmd.exe /e /d guests
2003使用命令:cacls C:/WINDOWS/system32/Cmd.exe /e /d guests
通過以上四步的設置基本可以防範目前比較流行的幾種木馬,但最有效的辦法還是通過綜合安全設置,將服務器、程序安全都達到一定標準,纔可能將安全等級設置較高,防範更多非法入侵。
C、防止Serv-U權限提升 (適用於 Serv-U6.0 以前版本,之後可以直接設置密碼)
先停掉Serv-U服務
用Ultraedit打開ServUDaemon.exe
查找 Ascii:LocalAdministrator 和 #l@$ak#.lk;0@P
修改成等長度的其它字符就可以了,ServUAdmin.exe也一樣處理。
另外注意設置Serv-U所在的文件夾的權限,不要讓IIS匿名用戶有讀取的權限,否則人家下走你修改過的文件,照樣可以分析出你的管理員名和密碼。
阿江ASP探針 http://www.ajiang.net/products/aspcheck/ (可以測試組件安全性)
4、服務器安全設置之--IIS用戶設置方法
IIS安全訪問的例子
IIS基本設置 ?
?
?
這裏舉例4個不同類型腳本的虛擬主機 權限設置例子
主機頭 主機腳本 硬盤目錄 IIS用戶名 硬盤權限 應用程序池 主目錄 應用程序配置
www.1.com HTM D:/www.1.com/ IUSR_1.com Administrators(完全控制)
IUSR_1.com(讀)
可共用 讀取/純腳本 啓用父路徑
www.2.com ASP D:/www.2.com/ IUSR_1.com Administrators(完全控制)
IUSR_2.com(讀/寫) 可共用 讀取/純腳本 啓用父路徑
www.3.com NET D:/www.3.com/ IUSR_1.com Administrators(完全控制)
IWAM_3.com(讀/寫)
IUSR_3.com(讀/寫) 獨立池 讀取/純腳本 啓用父路徑
www.4.com PHP D:/www.4.com/ IUSR_1.com Administrators(完全控制)
IWAM_4.com(讀/寫)
IUSR_4.com(讀/寫) 獨立池 讀取/純腳本 啓用父路徑
其中 IWAM_3.com 和 IWAM_4.com 分別是各自獨立應用程序池標識中的啓動帳戶
主機腳本類型 應用程序擴展名 (就是文件後綴名)對應主機腳本,只需要加載以下的應用程序擴展
HTM STM | SHTM | SHTML | MDB
ASP ASP | ASA | MDB
NET ASPX | ASAX | ASCX| ASHX | ASMX | AXD | VSDISCO | REM | SOAP | CONFIG |
CS |CSPROJ | VB | VBPROJ | WEBINFO | LICX | RESX | RESOURCES | MDB
PHP PHP | PHP3 | PHP4
MDB是共用映射,下面用紅色表示
應用程序擴展 映射文件 執行動作
STM=.stm C:/WINDOWS/system32/inetsrv/ssinc.dll GET,POST
SHTM=.shtm C:/WINDOWS/system32/inetsrv/ssinc.dll GET,POST
SHTML=.shtml C:/WINDOWS/system32/inetsrv/ssinc.dll GET,POST
ASP=.asp C:/WINDOWS/system32/inetsrv/asp.dll GET,HEAD,POST,TRACE
ASA=.asa C:/WINDOWS/system32/inetsrv/asp.dll GET,HEAD,POST,TRACE
ASPX=.aspx C:/WINDOWS/Microsoft.NET/Framework/v1.1.4322/aspnet_isapi.dll GET,HEAD,POST,DEBUG
ASAX=.asax C:/WINDOWS/Microsoft.NET/Framework/v1.1.4322/aspnet_isapi.dll GET,HEAD,POST,DEBUG
ASCX=.ascx C:/WINDOWS/Microsoft.NET/Framework/v1.1.4322/aspnet_isapi.dll GET,HEAD,POST,DEBUG
ASHX=.ashx C:/WINDOWS/Microsoft.NET/Framework/v1.1.4322/aspnet_isapi.dll GET,HEAD,POST,DEBUG
ASMX=.asmx C:/WINDOWS/Microsoft.NET/Framework/v1.1.4322/aspnet_isapi.dll GET,HEAD,POST,DEBUG
AXD=.axd C:/WINDOWS/Microsoft.NET/Framework/v1.1.4322/aspnet_isapi.dll GET,HEAD,POST,DEBUG
VSDISCO=.vsdisco C:/WINDOWS/Microsoft.NET/Framework/v1.1.4322/aspnet_isapi.dll GET,HEAD,POST,DEBUG
REM=.rem C:/WINDOWS/Microsoft.NET/Framework/v1.1.4322/aspnet_isapi.dll GET,HEAD,POST,DEBUG
SOAP=.soap C:/WINDOWS/Microsoft.NET/Framework/v1.1.4322/aspnet_isapi.dll GET,HEAD,POST,DEBUG
CONFIG=.config C:/WINDOWS/Microsoft.NET/Framework/v1.1.4322/aspnet_isapi.dll GET,HEAD,POST,DEBUG
CS=.cs C:/WINDOWS/Microsoft.NET/Framework/v1.1.4322/aspnet_isapi.dll GET,HEAD,POST,DEBUG
CSPROJ=.csproj C:/WINDOWS/Microsoft.NET/Framework/v1.1.4322/aspnet_isapi.dll GET,HEAD,POST,DEBUG
VB=.vb C:/WINDOWS/Microsoft.NET/Framework/v1.1.4322/aspnet_isapi.dll GET,HEAD,POST,DEBUG
VBPROJ=.vbproj C:/WINDOWS/Microsoft.NET/Framework/v1.1.4322/aspnet_isapi.dll GET,HEAD,POST,DEBUG
WEBINFO=.webinfo C:/WINDOWS/Microsoft.NET/Framework/v1.1.4322/aspnet_isapi.dll GET,HEAD,POST,DEBUG
LICX=.licx C:/WINDOWS/Microsoft.NET/Framework/v1.1.4322/aspnet_isapi.dll GET,HEAD,POST,DEBUG
RESX=.resx C:/WINDOWS/Microsoft.NET/Framework/v1.1.4322/aspnet_isapi.dll GET,HEAD,POST,DEBUG
RESOURCES=.resources C:/WINDOWS/Microsoft.NET/Framework/v1.1.4322/aspnet_isapi.dll GET,HEAD,POST,DEBUG
PHP=.php C:/php5/php5isapi.dll GET,HEAD,POST
PHP3=.php3 C:/php5/php5isapi.dll GET,HEAD,POST
PHP4=.php4 C:/php5/php5isapi.dll GET,HEAD,POST
MDB=.mdb C:/WINDOWS/system32/inetsrv/ssinc.dll GET,POST
ASP.NET 進程帳戶所需的 NTFS 權限
目錄 所需權限
Temporary ASP.NET Files%windir%/Microsoft.NET/Framework/{版本}Temporary ASP.NET Files
進程帳戶和模擬標識:
完全控制
臨時目錄 (%temp%)
進程帳戶
完全控制
.NET Framework 目錄%windir%/Microsoft.NET/Framework/{版本}
進程帳戶和模擬標識:
讀取和執行
列出文件夾內容
讀取
.NET Framework 配置目錄%windir%/Microsoft.NET/Framework/{版本}/CONFIG
進程帳戶和模擬標識:
讀取和執行
列出文件夾內容
讀取
網站根目錄
C:/inetpub/wwwroot
或默認網站指向的路徑
進程帳戶:
讀取
系統根目錄
%windir%/system32
進程帳戶:
讀取
全局程序集高速緩存
%windir%/assembly
進程帳戶和模擬標識:
讀取
內容目錄
C:/inetpub/wwwroot/YourWebApp
(一般來說不用默認目錄,管理員可根據實際情況調整比如D:/wwwroot)
進程帳戶:
讀取和執行
列出文件夾內容
讀取
注意 對於 .NET Framework 1.0,直到文件系統根目錄的所有父目錄也都需要上述權限。父目錄包括:
C:/
C:/inetpub/
C:/inetpub/wwwroot/
5、 服務器安全設置之--服務器安全和性能配置
把下面文本保存爲: windows2000-2003服務器安全和性能註冊表自動配置文件.reg 運行即可。
Windows Registry Editor Version 5.00
[HKEY_CURRENT_USER/Software/Microsoft/Windows/CurrentVersion/Policies/Explorer]
"NoRecentDocsMenu"=hex:01,00,00,00
"NoRecentDocsHistory"=hex:01,00,00,00
[HKEY_LOCAL_MACHINE/Software/Microsoft/Windows NT/CurrentVersion/Winlogon]
"DontDisplayLastUserName"="1"
[HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Control/Lsa]
"restrictanonymous"=dword:00000001
[HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services/lanmanserver/Parameters]
"AutoShareServer"=dword:00000000
"AutoShareWks"=dword:00000000
[HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services/Tcpip/Parameters]
"EnableICMPRedirect"=dword:00000000
"KeepAliveTime"=dword:000927c0
"SynAttackProtect"=dword:00000002
"TcpMaxHalfOpen"=dword:000001f4
"TcpMaxHalfOpenRetried"=dword:00000190
"TcpMaxConnectResponseRetransmissions"=dword:00000001
"TcpMaxDataRetransmissions"=dword:00000003
"TCPMaxPortsExhausted"=dword:00000005
"DisableIPSourceRouting"=dword:00000002
"TcpTimedWaitDelay"=dword:0000001e
"TcpNumConnections"=dword:00004e20
"EnablePMTUDiscovery"=dword:00000000
"NoNameReleaseOnDemand"=dword:00000001
"EnableDeadGWDetect"=dword:00000000
"PerformRouterDiscovery"=dword:00000000
"EnableICMPRedirects"=dword:00000000
[HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services/NetBT/Parameters]
"BacklogIncrement"=dword:00000005
"MaxConnBackLog"=dword:000007d0
[HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services/AFD/Parameters]
"EnableDynamicBacklog"=dword:00000001
"MinimumDynamicBacklog"=dword:00000014
"MaximumDynamicBacklog"=dword:00007530
"DynamicBacklogGrowthDelta"=dword:0000000a
功能:可抵禦DDOS攻擊2-3萬包,提高服務器TCP-IP整體安全性能(效果等於軟件防火牆,節約了系統資源)
6、服務器安全設置之--IP安全策略 (僅僅列出需要屏蔽或阻止的端口或協議)
協議 IP協議端口 源地址 目標地址 描述 方式
ICMP -- -- -- ICMP 阻止
UDP 135 任何IP地址 我的IP地址 135-UDP 阻止
UDP 136 任何IP地址 我的IP地址 136-UDP 阻止
UDP 137 任何IP地址 我的IP地址 137-UDP 阻止
UDP 138 任何IP地址 我的IP地址 138-UDP 阻止
UDP 139 任何IP地址 我的IP地址 139-UDP 阻止
TCP 445 任何IP地址-從任意端口 我的IP地址-445 445-TCP 阻止
UDP 445 任何IP地址-從任意端口 我的IP地址-445 445-UDP 阻止
UDP 69 任何IP地址-從任意端口 我的IP地址-69 69-入 阻止
UDP 69 我的IP地址-69 任何IP地址-任意端口 69-出 阻止
TCP 4444 任何IP地址-從任意端口 我的IP地址-4444 4444-TCP 阻止
TCP 1026 我的IP地址-1026 任何IP地址-任意端口 灰鴿子-1026 阻止
TCP 1027 我的IP地址-1027 任何IP地址-任意端口 灰鴿子-1027 阻止
TCP 1028 我的IP地址-1028 任何IP地址-任意端口 灰鴿子-1028 阻止
UDP 1026 我的IP地址-1026 任何IP地址-任意端口 灰鴿子-1026 阻止
UDP 1027 我的IP地址-1027 任何IP地址-任意端口 灰鴿子-1027 阻止
UDP 1028 我的IP地址-1028 任何IP地址-任意端口 灰鴿子-1028 阻止
TCP 21 我的IP地址-從任意端口 任何IP地址-到21端口 阻止tftp出站 阻止
TCP 99 我的IP地址-99 任何IP地址-任意端口 阻止99shell 阻止
以上是IP安全策略裏的設置,可以根據實際情況,增加或刪除端口
7、服務器安全設置之--本地安全策略設置
安全策略自動更新命令:GPUpdate /force (應用組策略自動生效不需重新啓動)
開始菜單—>管理工具—>本地安全策略
A、本地策略——>審覈策略
審覈策略更改 成功 失敗
審覈登錄事件 成功 失敗
審覈對象訪問 失敗
審覈過程跟蹤 無審覈
審覈目錄服務訪問 失敗
審覈特權使用 失敗
審覈系統事件 成功 失敗
審覈賬戶登錄事件 成功 失敗
審覈賬戶管理 成功 失敗
B、本地策略——>用戶權限分配
關閉系統:只有Administrators組、其它全部刪除。
通過終端服務拒絕登陸:加入Guests、User組
通過終端服務允許登陸:只加入Administrators組,其他全部刪除
C、本地策略——>安全選項
交互式登陸:不顯示上次的用戶名 啓用
網絡訪問:不允許SAM帳戶和共享的匿名枚舉 啓用
網絡訪問:不允許爲網絡身份驗證儲存憑證 啓用
網絡訪問:可匿名訪問的共享 全部刪除
網絡訪問:可匿名訪問的命 全部刪除
網絡訪問:可遠程訪問的註冊表路徑 全部刪除
網絡訪問:可遠程訪問的註冊表路徑和子路徑 全部刪除
帳戶:重命名來賓帳戶 重命名一個帳戶
帳戶:重命名系統管理員帳戶 重命名一個帳戶
UI 中的設置名稱 企業客戶端臺式計算機 企業客戶端便攜式計算機 高安全級臺式計算機 高安全級便攜式計算機
帳戶: 使用空白密碼的本地帳戶只允許進行控制檯登錄
已啓用
已啓用
已啓用
已啓用
帳戶: 重命名系統管理員帳戶
推薦
推薦
推薦
推薦
帳戶: 重命名來賓帳戶
推薦
推薦
推薦
推薦
設備: 允許不登錄移除
已禁用
已啓用
已禁用
已禁用
設備: 允許格式化和彈出可移動媒體
Administrators, Interactive Users
Administrators, Interactive Users
Administrators
Administrators
設備: 防止用戶安裝打印機驅動程序
已啓用
已禁用
已啓用
已禁用
設備: 只有本地登錄的用戶才能訪問 CD-ROM
已禁用
已禁用
已啓用
已啓用
設備: 只有本地登錄的用戶才能訪問軟盤
已啓用
已啓用
已啓用
已啓用
設備: 未簽名驅動程序的安裝操作
允許安裝但發出警告
允許安裝但發出警告
禁止安裝
禁止安裝
域成員: 需要強 (Windows 2000 或以上版本) 會話密鑰
已啓用
已啓用
已啓用
已啓用
交互式登錄: 不顯示上次的用戶名
已啓用
已啓用
已啓用
已啓用
交互式登錄: 不需要按 CTRL+ALT+DEL
已禁用
已禁用
已禁用
已禁用
交互式登錄: 用戶試圖登錄時消息文字
此係統限制爲僅授權用戶。嘗試進行未經授權訪問的個人將受到起訴。
此係統限制爲僅授權用戶。嘗試進行未經授權訪問的個人將受到起訴。
此係統限制爲僅授權用戶。嘗試進行未經授權訪問的個人將受到起訴。
此係統限制爲僅授權用戶。嘗試進行未經授權訪問的個人將受到起訴。
交互式登錄: 用戶試圖登錄時消息標題
繼續在沒有適當授權的情況下使用是違法行爲。
繼續在沒有適當授權的情況下使用是違法行爲。
繼續在沒有適當授權的情況下使用是違法行爲。
繼續在沒有適當授權的情況下使用是違法行爲。
交互式登錄: 可被緩存的前次登錄個數 (在域控制器不可用的情況下)
2
2
0
1
交互式登錄: 在密碼到期前提示用戶更改密碼
14 天
14 天
14 天
14 天
交互式登錄: 要求域控制器身份驗證以解鎖工作站
已禁用
已禁用
已啓用
已禁用
交互式登錄: 智能卡移除操作
鎖定工作站
鎖定工作站
鎖定工作站
鎖定工作站
Microsoft 網絡客戶: 數字簽名的通信(若服務器同意)
已啓用
已啓用
已啓用
已啓用
Microsoft 網絡客戶: 發送未加密的密碼到第三方 SMB 服務器。
已禁用
已禁用
已禁用
已禁用
Microsoft 網絡服務器: 在掛起會話之前所需的空閒時間
15 分鐘
15 分鐘
15 分鐘
15 分鐘
Microsoft 網絡服務器: 數字簽名的通信(總是)
已啓用
已啓用
已啓用
已啓用
Microsoft 網絡服務器: 數字簽名的通信(若客戶同意)
已啓用
已啓用
已啓用
已啓用
Microsoft 網絡服務器: 當登錄時間用完時自動註銷用戶
已啓用
已禁用
已啓用
已禁用
網絡訪問: 允許匿名 SID/名稱 轉換
已禁用
已禁用
已禁用
已禁用
網絡訪問: 不允許 SAM 帳戶和共享的匿名枚舉
已啓用
已啓用
已啓用
已啓用
網絡訪問: 不允許 SAM 帳戶和共享的匿名枚舉
已啓用
已啓用
已啓用
已啓用
網絡訪問: 不允許爲網絡身份驗證儲存憑據或 .NET Passports
已啓用
已啓用
已啓用
已啓用
網絡訪問: 限制匿名訪問命名管道和共享
已啓用
已啓用
已啓用
已啓用
網絡訪問: 本地帳戶的共享和安全模式
經典 - 本地用戶以自己的身份驗證
經典 - 本地用戶以自己的身份驗證
經典 - 本地用戶以自己的身份驗證
經典 - 本地用戶以自己的身份驗證
網絡安全: 不要在下次更改密碼時存儲 LAN Manager 的哈希值
已啓用
已啓用
已啓用
已啓用
網絡安全: 在超過登錄時間後強制註銷
已啓用
已禁用
已啓用
已禁用
網絡安全: LAN Manager 身份驗證級別
僅發送 NTLMv2 響應
僅發送 NTLMv2 響應
僅發送 NTLMv2 響應/拒絕 LM & NTLM
僅發送 NTLMv2 響應/拒絕 LM & NTLM
網絡安全: 基於 NTLM SSP(包括安全 RPC)客戶的最小會話安全
沒有最小
沒有最小
要求 NTLMv2 會話安全 要求 128-位加密
要求 NTLMv2 會話安全 要求 128-位加密
網絡安全: 基於 NTLM SSP(包括安全 RPC)服務器的最小會話安全
沒有最小
沒有最小
要求 NTLMv2 會話安全 要求 128-位加密
要求 NTLMv2 會話安全 要求 128-位加密
故障恢復控制檯: 允許自動系統管理級登錄
已禁用
已禁用
已禁用
已禁用
故障恢復控制檯: 允許對所有驅動器和文件夾進行軟盤複製和訪問
已啓用
已啓用
已禁用
已禁用
關機: 允許在未登錄前關機
已禁用
已禁用
已禁用
已禁用
關機: 清理虛擬內存頁面文件
已禁用
已禁用
已啓用
已啓用
系統加密: 使用 FIPS 兼容的算法來加密,哈希和簽名
已禁用
已禁用
已禁用
已禁用
系統對象: 由管理員 (Administrators) 組成員所創建的對象默認所有者
對象創建者
對象創建者
對象創建者
對象創建者
系統設置: 爲軟件限制策略對 Windows 可執行文件使用證書規則
已禁用
已禁用
已禁用
已禁用
8、防禦PHP木馬攻擊的技巧
PHP本身再老版本有一些問題,比如在 php4.3.10和php5.0.3以前有一些比較嚴重的bug,所以推薦使用新版。另外,目前鬧的轟轟烈烈的SQL Injection也是在PHP上有很多利用方式,所以要保證
安全,PHP代碼編寫是一方面,PHP的配置更是非常關鍵。
我們php手手工安裝的,php的默認配置文件在 /usr/local/apache2/conf/php.ini,我們最主要就是要配置php.ini中的內容,讓我們執行 php能夠更安全。整個PHP中的安全設置主要是爲了防止phpshell和SQL Injection的攻擊,一下我們慢慢探討。我們先使用任何編輯工具打開 /etc/local/apache2/conf/php.ini,如果你是採用其他方式安裝,配置文件可能不在該目錄。
(1) 打開php的安全模式
php的安全模式是個非常重要的內嵌的安全機制,能夠控制一些php中的函數,比如system(),
同時把很多文件操作函數進行了權限控制,也不允許對某些關鍵文件的文件,比如/etc/passwd,
但是默認的php.ini是沒有打開安全模式的,我們把它打開:
safe_mode = on
(2) 用戶組安全
當safe_mode打開時,safe_mode_gid被關閉,那麼php腳本能夠對文件進行訪問,而且相同
組的用戶也能夠對文件進行訪問。
建議設置爲:
safe_mode_gid = off
如果不進行設置,可能我們無法對我們服務器網站目錄下的文件進行操作了,比如我們需要
對文件進行操作的時候。
(3) 安全模式下執行程序主目錄
如果安全模式打開了,但是卻是要執行某些程序的時候,可以指定要執行程序的主目錄:
safe_mode_exec_dir = D:/usr/bin
一般情況下是不需要執行什麼程序的,所以推薦不要執行系統程序目錄,可以指向一個目錄,
然後把需要執行的程序拷貝過去,比如:
safe_mode_exec_dir = D:/tmp/cmd
但是,我更推薦不要執行任何程序,那麼就可以指向我們網頁目錄:
safe_mode_exec_dir = D:/usr/www
(4) 安全模式下包含文件
如果要在安全模式下包含某些公共文件,那麼就修改一下選項:
safe_mode_include_dir = D:/usr/www/include/
其實一般php腳本中包含文件都是在程序自己已經寫好了,這個可以根據具體需要設置。
(5) 控制php腳本能訪問的目錄
使用open_basedir選項能夠控制PHP腳本只能訪問指定的目錄,這樣能夠避免PHP腳本訪問
不應該訪問的文件,一定程度上限制了phpshell的危害,我們一般可以設置爲只能訪問網站目錄:
open_basedir = D:/usr/www
(6) 關閉危險函數
如果打開了安全模式,那麼函數禁止是可以不需要的,但是我們爲了安全還是考慮進去。比如,
我們覺得不希望執行包括system()等在那的能夠執行命令的php函數,或者能夠查看php信息的
phpinfo()等函數,那麼我們就可以禁止它們:
disable_functions = system,passthru,exec,shell_exec,popen,phpinfo
如果你要禁止任何文件和目錄的操作,那麼可以關閉很多文件操作
disable_functions = chdir,chroot,dir,getcwd,opendir,readdir,scandir,fopen,unlink,delete,copy,mkdir, rmdir,rename,file,file_get_contents,fputs,fwrite,chgrp,chmod,chown
以上只是列了部分不叫常用的文件處理函數,你也可以把上面執行命令函數和這個函數結合,
就能夠抵制大部分的phpshell了。
(7) 關閉PHP版本信息在http頭中的泄漏
我們爲了防止黑客獲取服務器中php版本的信息,可以關閉該信息斜路在http頭中:
expose_php = Off
比如黑客在 telnet www.12345.com 80 的時候,那麼將無法看到PHP的信息。
(8) 關閉註冊全局變量
在PHP中提交的變量,包括使用POST或者GET提交的變量,都將自動註冊爲全局變量,能夠直接訪問,
這是對服務器非常不安全的,所以我們不能讓它註冊爲全局變量,就把註冊全局變量選項關閉:
register_globals = Off
當然,如果這樣設置了,那麼獲取對應變量的時候就要採用合理方式,比如獲取GET提交的變量var,
那麼就要用$_GET['var']來進行獲取,這個php程序員要注意。
(9) 打開magic_quotes_gpc來防止SQL注入
SQL注入是非常危險的問題,小則網站後臺被入侵,重則整個服務器淪陷,
所以一定要小心。php.ini中有一個設置:
magic_quotes_gpc = Off
這個默認是關閉的,如果它打開後將自動把用戶提交對sql的查詢進行轉換,
比如把 ' 轉爲 /'等,這對防止sql注射有重大作用。所以我們推薦設置爲:
magic_quotes_gpc = On
(10) 錯誤信息控制
一般php在沒有連接到數據庫或者其他情況下會有提示錯誤,一般錯誤信息中會包含php腳本當
前的路徑信息或者查詢的SQL語句等信息,這類信息提供給黑客後,是不安全的,所以一般服務器建議禁止錯誤提示:
display_errors = Off
如果你卻是是要顯示錯誤信息,一定要設置顯示錯誤的級別,比如只顯示警告以上的信息:
error_reporting = E_WARNING & E_ERROR
當然,我還是建議關閉錯誤提示。
(11) 錯誤日誌
建議在關閉display_errors後能夠把錯誤信息記錄下來,便於查找服務器運行的原因:
log_errors = On
同時也要設置錯誤日誌存放的目錄,建議根apache的日誌存在一起:
error_log = D:/usr/local/apache2/logs/php_error.log
注意:給文件必須允許apache用戶的和組具有寫的權限。
MYSQL的降權運行
新建立一個用戶比如mysqlstart
net user mysqlstart fuckmicrosoft /add
net localgroup users mysqlstart /del
不屬於任何組
如果MYSQL裝在d:/mysql ,那麼,給 mysqlstart 完全控制 的權限
然後在系統服務中設置,MYSQL的服務屬性,在登錄屬性當中,選擇此用戶 mysqlstart 然後輸入密碼,確定。
重新啓動 MYSQL服務,然後MYSQL就運行在低權限下了。
如果是在windos平臺下搭建的apache我們還需要注意一點,apache默認運行是system權限,
這很恐怖,這讓人感覺很不爽.那我們就給apache降降權限吧。
net user apache fuckmicrosoft /add
net localgroup users apache /del
ok.我們建立了一個不屬於任何組的用戶apche。
我們打開計算機管理器,選服務,點apache服務的屬性,我們選擇log on,選擇this account,我們填入上面所建立的賬戶和密碼,
重啓apache服務,ok,apache運行在低權限下了。
實際上我們還可以通過設置各個文件夾的權限,來讓apache用戶只能執行我們想讓它能幹的事情,給每一個目錄建立一個單獨能讀寫的用戶。
這也是當前很多虛擬主機提供商的流行配置方法哦,不過這種方法用於防止這裏就顯的有點大材小用了。
9、MSSQL安全設置
sql2000安全很重要
將有安全問題的SQL過程刪除.比較全面.一切爲了安全!
刪除了調用shell,註冊表,COM組件的破壞權限
use master
EXEC sp_dropextendedproc 'xp_cmdshell'
EXEC sp_dropextendedproc 'Sp_OACreate'
EXEC sp_dropextendedproc 'Sp_OADestroy'
EXEC sp_dropextendedproc 'Sp_OAGetErrorInfo'
EXEC sp_dropextendedproc 'Sp_OAGetProperty'
EXEC sp_dropextendedproc 'Sp_OAMethod'
EXEC sp_dropextendedproc 'Sp_OASetProperty'
EXEC sp_dropextendedproc 'Sp_OAStop'
EXEC sp_dropextendedproc 'Xp_regaddmultistring'
EXEC sp_dropextendedproc 'Xp_regdeletekey'
EXEC sp_dropextendedproc 'Xp_regdeletevalue'
EXEC sp_dropextendedproc 'Xp_regenumvalues'
EXEC sp_dropextendedproc 'Xp_regread'
EXEC sp_dropextendedproc 'Xp_regremovemultistring'
EXEC sp_dropextendedproc 'Xp_regwrite'
drop procedure sp_makewebtask
全部複製到"SQL查詢分析器"
點擊菜單上的--"查詢"--"執行",就會將有安全問題的SQL過程刪除(以上是7i24的正版用戶的技術支持)
更改默認SA空密碼.數據庫鏈接不要使用SA帳戶.單數據庫單獨設使用帳戶.只給public和db_owner權限.
數據庫不要放在默認的位置.
SQL不要安裝在PROGRAM FILE目錄下面.
最近的SQL2000補丁是SP4
10、啓用WINDOWS自帶的防火牆
啓用win防火牆
桌面—>網上鄰居—>(右鍵)屬性—>本地連接—>(右鍵)屬性—>高級—>
(選中)Internet 連接防火牆—>設置
把服務器上面要用到的服務端口選中
例如:一臺WEB服務器,要提供WEB(80)、FTP(21)服務及遠程桌面管理(3389)
在“FTP 服務器”、“WEB服務器(HTTP)”、“遠程桌面”、“安全WEB服務器”前面打上對號
如果你要提供服務的端口不在裏面,你也可以點擊“添加”銨鈕來添加,SMTP和POP3根據需要打開
具體參數可以參照系統裏面原有的參數。
然後點擊確定。注意:如果是遠程管理這臺服務器,請先確定遠程管理的端口是否選中或添加。
一般需要打開的端口有:21、 25、 80、 110、 443、 3389、 等,根據需要開放需要的端口。
11、用戶安全設置
用戶安全設置
用戶安全設置
1、禁用Guest賬號
在計算機管理的用戶裏面把Guest賬號禁用。爲了保險起見,最好給Guest加一個複雜的密碼。你可以打開記事本,在裏面輸入一串包含特殊字符、數字、字母的長字符串,然後把它作爲Guest用戶的密碼拷進去。
2、限制不必要的用戶
去掉所有的Duplicate User用戶、測試用戶、共享用戶等等。用戶組策略設置相應權限,並且經常檢查系統的用戶,刪除已經不再使用的用戶。這些用戶很多時候都是黑客們入侵系統的突破口。
3、創建兩個管理員賬號
創建一個一般權限用戶用來收信以及處理一些日常事物,另一個擁有Administrators 權限的用戶只在需要的時候使用。
4、把系統Administrator賬號改名
大家都知道,Windows 2000 的Administrator用戶是不能被停用的,這意味着別人可以一遍又一遍地嘗試這個用戶的密碼。儘量把它僞裝成普通用戶,比如改成Guesycludx。
5、創建一個陷阱用戶
什麼是陷阱用戶?即創建一個名爲“Administrator”的本地用戶,把它的權限設置成最低,什麼事也幹不了的那種,並且加上一個超過10位的超級複雜密碼。這樣可以讓那些 Hacker們忙上一段時間,藉此發現它們的入侵企圖。
6、把共享文件的權限從Everyone組改成授權用戶
任何時候都不要把共享文件的用戶設置成“Everyone”組,包括打印共享,默認的屬性就是“Everyone”組的,一定不要忘了改。
7、開啓用戶策略
使用用戶策略,分別設置復位用戶鎖定計數器時間爲20分鐘,用戶鎖定時間爲20分鐘,用戶鎖定閾值爲3次。
8、不讓系統顯示上次登錄的用戶名
默認情況下,登錄對話框中會顯示上次登錄的用戶名。這使得別人可以很容易地得到系統的一些用戶名,進而做密碼猜測。修改註冊表可以不讓對話框裏顯示上次登錄的用戶名。方法爲:打開註冊表編輯器並找到註冊表項“HKLMSoftwareMicrosoftWindows TCurrentVersionWinlogonDont-DisplayLastUserName”,把REG_SZ的鍵值改成1。
密碼安全設置
1、使用安全密碼
一些公司的管理員創建賬號的時候往往用公司名、計算機名做用戶名,然後又把這些用戶的密碼設置得太簡單,比如“welcome”等等。因此,要注意密碼的複雜性,還要記住經常改密碼。
2、設置屏幕保護密碼
這是一個很簡單也很有必要的操作。設置屏幕保護密碼也是防止內部人員破壞服務器的一個屏障。
3、開啓密碼策略
注意應用密碼策略,如啓用密碼複雜性要求,設置密碼長度最小值爲6位 ,設置強制密碼歷史爲5次,時間爲42天。
4、考慮使用智能卡來代替密碼
對於密碼,總是使安全管理員進退兩難,密碼設置簡單容易受到黑客的攻擊,密碼設置複雜又容易忘記。如果條件允許,用智能卡來代替複雜的密碼是一個很好的解決方法。
12、Windows2003 下安裝 WinWebMail 3.6.3.1 完全攻略手冊
這段時間論壇上有朋友提及無法在WINDOWS2003+IIS6下面建立WINWEBMAIL郵件,遇到不一些問題,特意將這篇舊文重新發一次給大家
1)查看硬盤:兩塊9.1G SCSI 硬盤(實容量8.46*2)
2)分區
系統分區X盤7.49G
WEB 分區X盤1.0G
郵件分區X盤8.46G(帶1000個100M的郵箱足夠了)
3)安裝WINDOWS SERVER 2003
4)打基本補丁(防毒)...在這之前一定不要接網線!
5)在線打補丁
6)卸載或禁用微軟的SMTP服務(Simple Mail Transpor Protocol),否則會發生端口衝突
7)安裝WinWebMail,然後重啓服務器使WinWebMail完成安裝.並註冊.然後恢復WinWebMail數據.
8)安裝Norton 8.0並按WinWebMail幫助內容設定,使Norton與WinWebMail聯合起到郵件殺毒作用(將Norton更新到最新的病毒庫)
8.1 啓用Norton的實時防護功能
8.2 必須要設置對於宏病毒和非宏病毒的第1步操作都必須是刪除被感染文件,並且必須關閉警告提示!!
8.3 必須要在查毒設置中排除掉安裝目錄下的 /mail 及其所有子目錄,只針對WinWebMail安裝文件夾下的 /temp 文件夾進行實時查毒。注意:如果沒有 /temp 文件夾時,先手工創建此 /temp 文件夾,然後再進行此項設置。
9)將WinWebMail的DNS設置爲win2k3中網絡設置的DNS,切記,要想發的出去最好設置一個不同的備用DNS地址,對外發信的就全靠這些DNS地址了
10)給予安裝 WinWebMail 的盤符以及父目錄以 Internet 來賓帳戶 (IUSR_*) 允許 [讀取/運行/列出文件夾目錄] 的權限.
WinWebMail的安裝目錄,INTERNET訪問帳號完全控制
給予[超級用戶/SYSTEM]在安裝盤和目錄中[完全控制]權限,重啓IIS以保證設定生效.
11)防止外發垃圾郵件:
11.1 在服務器上點擊右下角圖標,然後在彈出菜單的“系統設置”-->“收發規則”中選中“啓用SMTP發信認證功能”項,有效的防範外發垃圾郵件。
11.2 在“系統設置”-->“收發規則”中選中“只允許系統內用戶對外發信”項。
11.3 在服務器上點擊右下角圖標,然後在彈出菜單的“系統設置”-->“防護”頁選中“啓用外發垃圾郵件自動過濾功能”項,然後再啓用其設置中的“允許自動調整”項。
11.4 “系統設置”-->“收發規則”中設置“最大收件人數”-----> 10.
11.5 “系統設置”-->“防護”頁選中“啓用連接攻擊保護功能”項,然後再設置“啓用自動保護功能”.
11.6 用戶級防付垃圾郵件,需登錄WebMail,在“選項 | 防垃圾郵件”中進行設置。
12)打開IIS 6.0, 確認啓用支持 asp 功能, 然後在默認站點下建一個虛擬目錄(如: mail), 然後指向安裝 WinWebMail 目錄下的 /Web 子目錄, 打開瀏覽器就可以按下面的地址訪問webmail了:
http://<;;你的IP或域名>/mail/什麼? 嫌麻煩不想建? 那可要錯過WinWebMail強大的webmail功能了, 3分鐘的設置保證物超所值 :)
13)Web基本設置:
13.1 確認“系統設置”-->“資源使用設置”內沒有選中“公開申請的是含域名帳號”
13.2 “系統設置”-->“收發規則”中設置Helo爲您域名的MX記錄
13.3.解決SERVER 2003不能上傳大附件的問題:
13.3.1 在服務裏關閉 iis admin service 服務。
13.3.2 找到 windows/system32/inetsrv/ 下的 metabase.xml 文件。
13.3.3 用純文本方式打開,找到 ASPMaxRequestEntityAllowed 把它修改爲需要的值(可修改爲10M即:10240000),默認爲:204800,即:200K。
13.3.4 存盤,然後重啓 iis admin service 服務。
13.4.解決SERVER 2003無法下載超過4M的附件的問題
13.4.1 先在服務裏關閉 iis admin service 服務。
13.4.2 找到 windows/system32/inetsrv/ 下的 metabase.xml 文件。
13.4.3 用純文本方式打開,找到 AspBufferingLimit 把它修改爲需要的值(可修改爲20M即:20480000)。
13.4.4 存盤,然後重啓 iis admin service 服務。
13.5.解決大附件上傳容易超時失敗的問題.
在IIS中調大一些腳本超時時間,操作方法是: 在IIS的“站點或(虛擬目錄)”的“主目錄”下點擊“配置”按鈕,設置腳本超時間爲:300秒(注意:不是Session超時時間)。
13.6.解決Windows 2003的IIS 6.0中,Web登錄時經常出現"[超時,請重試]"的提示.
將WebMail所使用的應用程序池“屬性-->回收”中的“回收工作進程”以及"屬性-->性能"中的“在空閒此段時間後關閉工作進程”這兩個選項前的勾號去掉,然後重啓一下IIS即可解決.
13.7.解決通過WebMail寫信時間較長後,按下發信按鈕就會回到系統登錄界面的問題.
適當增加會話時間(Session)爲 60分鐘。在IIS站點或虛擬目錄屬性的“主目錄”下點擊[配置---選項],就可以進行設置了(SERVER 2003默認爲20分鐘).
13.8.安裝後查看WinWebMail的安裝目錄下有沒有 /temp 目錄,如沒有,手工建立一個.
14)做郵件收發及10M附件測試(內對外,內對內,外對內).
15)打開2003自帶防火牆,並打開POP3.SMTP.WEB.遠程桌面.充許此4項服務, OK, 如果想用IMAP4或SSL的SMTP.POP3.IMAP4也需要打開相應的端口.
16)再次做郵件收發測試(內對外,內對內,外對內).
17)改名、加強壯口令,並禁用GUEST帳號。
18)改名超級用戶、建立假administrator、建立第二個超級用戶。
都搞定了!忙了半天, 現在終於可以來享受一把 WinWebMail 的超強 webmail 功能了, let's go!
13、IIS+PHP+MySQL+Zend Optimizer+GD庫+phpMyAdmin安裝配置[完整修正實用版]
IIS+PHP+MySQL+Zend Optimizer+GD庫+phpMyAdmin安裝配置[完整修正實用版]
IIS+PHP+MySQL+Zend Optimizer+GD庫+phpMyAdmin安裝配置[完整修正實用版]
[補充]關於參照本貼配置這使用中使用的相關問題請參考
關於WIN主機下配置PHP的若干問題解決方案總結這個帖子儘量自行解決,謝謝
http://bbs.xqin.com/viewthread.php?tid=86
一、軟件準備:以下均爲截止2006-1-20的最新正式版本,下載地址也均長期有效
1.PHP,推薦PHP4.4.0的ZIP解壓版本:
PHP(4.4.0):http://cn.php.net/get/php-4.4.0-Win32.zip/from/a/mirror
PHP(5.1.2):http://cn.php.net/get/php-5.1.2-Win32.zip/from/a/mirror
2.MySQL,配合PHP4推薦MySQL4.0.26的WIN系統安裝版本:
MySQL(4.0.26):http://download.discuz.net/mysql-4.0.26-win32.zip
MySQL(4.1.16):http://www.skycn.com/soft/24418.html
MySQL(5.0.18):http://download.discuz.net/mysql-4.0.26-win32.zip
3.Zend Optimizer,當然選擇當前最新版本拉:
Zend Optimizer(2.6.2):http://www.zend.com/store/free_download.php?pid=13
(Zend軟件雖然免費下載,但需要註冊用戶,這裏提供註冊好的帳戶名:xqincom和密碼:xqin.com,方便大家使用,請不要修改本帳號或將本帳戶用於其他費正當途徑,謝謝!)
登陸後選擇Windows x86的Platform版本,如最新版本2.6.2 https://www.zend.com/store/getfreefile.php?pid=13&zbid=995
4.phpMyAdmin
當然同樣選擇當前最新版本拉,注意選擇for Windows 的版本哦:
phpMyAdmin(2.8.0.3):http://www.crsky.com/soft/4190.html
假設 C:/ 爲你現在所使用操作系統的系統盤,如果你目前操作系統不是安裝在 C:/ ,請自行對應修改相應路徑。同時由於C盤經常會因爲各種原因重裝系統,數據放在該盤不易備份和轉移 選擇安裝目錄,故本文將所有PHP相關軟件均安裝到D:/php目錄下,這個路徑你可以自行設定,如果你安裝到不同目錄涉及到路徑的請對應修改以下的對應路徑即可
二、安裝 PHP :本文PHP安裝路徑取爲D:/php/php4/(爲避混淆,PHP5.1.x版本安裝路徑取爲D:/php/php5/)
--------------------------------------------------------------------------------
(1)、下載後得到 php-4.4.0-Win32.zip ,解壓至D:/php目錄,將得到二級目錄php-4.4.0-Win32,改名爲 php4,
也即得到PHP文件存放目錄D:/php/php4/
[如果是PHP5.1.2,得到的文件是php-5.1.2-Win32.zip,直接全部接壓至D:/php/php5目錄即可得PHP文件存放目錄D:/php/php5/];
--------------------------------------------------------------------------------
(2)、再將D:/php/php4目錄和D:/php/php4/dlls目錄
[PHP5爲D:/php/php5/]下的所有dll文件 copy 到 c:/Windows/system32 (win2000系統爲 c:/winnt/system32/)下,覆蓋已有的dll文件;
--------------------------------------------------------------------------------
(3)、將php.ini-dist用記事本打開,利用記事本的查找功能搜索並修改:
--------------------------------------------------------------------------------
搜索 register_globals = Off
將 Off 改成 On ,即得到 register_globals = On
注:這個對應PHP的全局變量功能,考慮有很多PHP程序需要全局變量功能故打開,打開後請注意-PHP程序的嚴謹性,如果不需要推薦不修改保持默認Off狀態
--------------------------------------------------------------------------------
搜索 extension_dir =
這個是PHP擴展功能目錄 並將其路徑指到你的 PHP 目錄下的 extensions 目錄,比如:
修改 extension_dir = "./" 爲 extension_dir = "D:/php/php4/extensions/"
[PHP5對應修改爲 extension_dir = "D:/php/php5/ext/" ]
--------------------------------------------------------------------------------
在D:/php 下建立文件夾並命名爲 tmp
查找 upload_tmp_dir =
將 ;upload_tmp_dir 該行的註釋符,即前面的分號" ;”去掉,
使該行在php.ini文檔中起作用。upload_tmp_dir是用來定義上傳文件存放的臨時路徑,在這裏你還可以修改並給其定義一個絕對路徑,這裏設置的目錄必須有讀寫權限。
這裏我設置爲 upload_tmp_dir = D:/php/tmp (即前面建立的這個文件夾呵)
--------------------------------------------------------------------------------
搜索 ; Windows Extensions
將下面一些常用的項前面的 ; 去掉 ,紅色的必須,藍色的供選擇
;extension=php_mbstring.dll
這個必須要
;extension=php_curl.dll
;extension=php_dbase.dll
;extension=php_gd2.dll
這個是用來支持GD庫的,一般需要,必選
;extension=php_ldap.dll
;extension=php_zip.dll
對於PHP5的版本還需要查找
;extension=php_mysql.dll
並同樣去掉前面的";"
這個是用來支持MYSQL的,由於PHP5將MySQL作爲一個獨立的模塊來加載運行的,故要支持MYSQL必選
--------------------------------------------------------------------------------
查找 ;session.save_path =
去掉前面 ; 號,本文這裏將其設置置爲
session.save_path = D:/php/tmp
--------------------------------------------------------------------------------
其他的你可以選擇需要的去掉前面的;
然後將該文件另存爲爲 php.ini 到 C:/Windows ( Windows 2000 下爲 C:/WINNT)目錄下,注意更改文件後綴名爲ini,
得到 C:/Windows/php.ini ( Windows 2000 下爲 C:/WINNT/php.ini)
若路徑等和本文相同可直接保存到C:/Windows ( Windows 2000 下爲 C:/WINNT) 目錄下 使用
--------------------------------------------------------------------------------
一些朋友經常反映無法上傳較大的文件或者運行某些程序經常超時,那麼可以找到C:/Windows ( Windows 2000 下爲 C:/WINNT)目錄下的PHP.INI以下內容修改:
max_execution_time = 30 ; 這個是每個腳本運行的最長時間,可以自己修改加長,單位秒
max_input_time = 60 ; 這是每個腳本可以消耗的時間,單位也是秒
memory_limit = 8M ; 這個是腳本運行最大消耗的內存,也可以自己加大
upload_max_filesize = 2M ; 上載文件的最大許可大小 ,自己改吧,一些圖片論壇需要這個更大的值
--------------------------------------------------------------------------------
(4)、配置 IIS 使其支持 PHP :
首先必須確定系統中已經正確安裝 IIS ,如果沒有安裝,需要先安裝 IIS ,安裝步驟如下:
Windows 2000/XP 下的 IIS 安裝:
用 Administrator 帳號登陸系統,將 Windows 2000 安裝光盤插入光盤驅動器,進入“控制面板”點擊“添加/刪除程序”,再點擊左側的“添加/刪除 Windows 組件”,在彈出的窗口中選擇“Internet 信息服務(IIS)”,點下面的“詳細信息”按鈕,選擇組件,以下組件是必須的:“Internet 服務管理器”、“World Wide Web 服務器”和“公用文件”,確定安裝。
安裝完畢後,在“控制面板”的“管理工具”裏打開“服務”,檢查“IIS Admin Service”和“World Wide Web Publishing Service”兩項服務,如果沒有啓動,將其啓動即可。
Windows 2003 下的 IIS 安裝:
由於 Windows 2003 的 IIS 6.0 集成在應用程序服務器中,因此安裝應用程序服務器就會默認安裝 IIS 6.0 ,在“開始”菜單中點擊“配置您的服務器”,在打開的“配置您的服務器嚮導”裏左側選擇“應用程序服務器(IIS,ASP.NET)”,單擊“下一步”出現“應用程序服務器選項”,你可以選擇和應用程序服務器一起安裝的組件,默認全選即可,單擊“下一步”,出現“選擇總結界面”,提示了本次安裝中的選項,配置程序將自動按照“選擇總結”中的選項進行安裝和配置。
打開瀏覽器,輸入:http://localhost/,看到成功頁面後進行下面的操作:
PHP 支持 CGI 和 ISAPI 兩種安裝模式,CGI 更消耗資源,容易因爲超時而沒有反映,但是實際上比較安全,負載能力強,節省資源,但是安全性略差於CGI,本人推薦使用 ISAPI 模式。故這裏只解介紹 ISAPI 模式安裝方法:(以下的截圖因各個系統不同,窗口界面可能不同,但對應選項卡欄目是相同的,只需找到提到的對應選項卡即可)
在“控制面板”的“管理工具”中選擇“Internet 服務管理器”,打開 IIS 後停止服務,對於WIN2000系統在”Internet 服務管理器“的下級樹一般爲你的”計算機名“上單擊右鍵選擇“屬性”,再在屬性頁面選擇主屬性”WWW 服務“右邊的”編輯“
對於XP/2003系統展開”Internet 服務管理器“的下級樹一般爲你的”計算機名“選擇”網站“並單擊右鍵選擇“屬性”
在彈出的屬性窗口上選擇“ISAPI 篩選器”選項卡找到並點擊“添加”按鈕,在彈出的“篩選器屬性”窗口中的“篩選器名稱”欄中輸入:
PHP ,再將瀏覽可執行文件使路徑指向 php4isapi.dll 所在路徑,
如本文中爲:D:/php/php4/sapi/php4isapi.dll
[PHP5對應路徑爲 D:/php/php5/php5isapi.dll]
打開“站點屬性”窗口的“主目錄”選項卡,找到並點擊“配置”按鈕
在彈出的“應用程序配置”窗口中的”應用程序映射“選項卡找到並點擊“添加”按鈕新增一個擴展名映射,在彈出的窗口中單擊“瀏覽”將可執行文件指向 php4isapi.dll 所在路徑,如本文中爲:D:/php/php4/sapi/php4isapi.dll[PHP5對應路徑爲D:/php/php5/php5isapi.dll],擴展名爲 .php ,動作限於”GET,HEAD,POST,TRACE“,將“腳本引擎”“確認文件是否存在”選中,然後一路確定即可。如果還想支持諸如 .php3 ,.phtml 等擴展名的 PHP 文件,可以重複“添加”步驟,對應擴展名設置爲需要的即可如.PHPX。
此步操作將使你服務器IIS下的所有站點都支持你所添加的PHP擴展文件,當然如果你只需要部分站點支持PHP,只需要在“你需要支持PHP的Web站點”比如“默認Web站點”上單擊右鍵選擇“屬性”,在打開的“ Web 站點屬性”“主目錄”選項卡,編輯或者添加PHP的擴展名映射即可或者將你步需要支持PHP的站點中的PHP擴展映射刪除即可
再打開“站點屬性”窗口的“文檔”選項卡,找到並點擊“添加”按鈕,向默認的 Web 站點啓動文檔列表中添加 index.php 項。您可以將 index.php 升到最高優先級,這樣,訪問站點時就會首先自動尋找並打開 index.php 文檔。
確定 Web 目錄的應用程序設置和執行許可中選擇爲純腳本,然後關閉 Internet 信息服務管理器
對於2003系統還需要在“Internet 服務管理器”左邊的“WEB服務擴展”中設置ISAPI 擴展允許,Active Server Pages 允許
完成所有操作後,重新啓動IIS服務。
在CMD命令提示符中執行如下命令:
net stop w3svc
net stop iisadmin
net start w3svc
到此,PHP的基本安裝已經完成,我們已經使網站支持PHP腳本。
檢查方法是,在 IIS 根目錄下新建一個文本文件存爲 php.php ,內容如下:
<?php
phpinfo();
?>
打開瀏覽器,輸入:http://localhost/php.php,將顯示當前服務器所支持 PHP 的全部信息,可以看到 Server API的模式爲:ISAPI 。
或者利用PHP探針檢測http://xqin.com/index.rar下載後解壓到你的站點根目錄下並訪問即可
--------------------------------------------------------------------------------
三、安裝 MySQL :
對於MySQL4.0.26下載得到的是mysql-4.0.26-win32.zip,解壓到mysql-4.0.26-win32目錄雙擊執行 Setup.exe 一路Next下一步,選擇安裝目錄爲D:/php/MySQL和安裝方式爲Custom自定義安裝,再一路Next下一步即可。
安裝完畢後,在CMD命令行中輸入並運行:
D:/php/MySQL/bin/mysqld-nt -install
如果返回Service successfully installed.則說明系統服務成功安裝
新建一文本文件存爲MY.INI,編輯配置MY.INI,這裏給出一個參考的配置
[mysqld]
basedir=D:/php/MySQL
#MySQL所在目錄
datadir=D:/php/MySQL/data
#MySQL數據庫所在目錄,可以更改爲其他你存放數據庫的目錄
#language=D:/php/MySQL/share/your language directory
#port=3306
set-variable = max_connections=800
skip-locking
set-variable = key_buffer=512M
set-variable = max_allowed_packet=4M
set-variable = table_cache=1024
set-variable = sort_buffer=2M
set-variable = thread_cache=64
set-variable = join_buffer_size=32M
set-variable = record_buffer=32M
set-variable = thread_concurrency=8
set-variable = myisam_sort_buffer_size=64M
set-variable = connect_timeout=10
set-variable = wait_timeout=10
server-id = 1
[isamchk]
set-variable = key_buffer=128M
set-variable = sort_buffer=128M
set-variable = read_buffer=2M
set-variable = write_buffer=2M
[myisamchk]
set-variable = key_buffer=128M
set-variable = sort_buffer=128M
set-variable = read_buffer=2M
set-variable = write_buffer=2M
[WinMySQLadmin]
Server=D:/php/MySQL/bin/mysqld-nt.exe
保存後複製此MY.INI文件到C:/Windows ( Windows 2000 下爲 C:/WINNT)目錄下
回到CMD命令行中輸入並運行:
net start mysql
MySQL 服務正在啓動 .
MySQL 服務已經啓動成功。
將啓動 MySQL 服務;
DOS下修改ROOT密碼:當然後面安裝PHPMYADMIN後修改密碼也可以通過PHPMYADMIN修改
格式:mysqladmin -u用戶名 -p舊密碼 password 新密碼
例:給root加個密碼xqin.com
首先在進入CMD命令行,轉到MYSQL目錄下的bin目錄,然後鍵入以下命令
mysqladmin -uroot password 你的密碼
注:因爲開始時root沒有密碼,所以-p舊密碼一項就可以省略了。
D:/php/MySQL/bin>mysqladmin -uroot password 你的密碼
回車後ROOT密碼就設置爲你的密碼了
如果你下載的是 MySQL5.x或者MySQL4.1.x,例mysql-5.0.18-win32:解壓後雙擊執行 Setup.exe ,Next下一步後選擇Custom自定義安裝,再Next下一步選擇安裝路徑這裏我們選擇D:/php/MySQL,繼續Next下一步跳過Sign UP完成安裝。
--------------------------------------------------------------------------------
安裝完成後會提示你是不是立即進行配置,選擇是即可進行配置。當然一般安裝後菜單裏面也有配置嚮導MySQL Server Instance Config Wizar,運行後按下面步驟配置並設置ROOT密碼即可
Next下一步後選擇Standard Configuration
Next下一步,鉤選Include .. PATH
Next下一步,設置ROOT密碼,建議社設置複雜點,確保服務器安全!
Apply完成後將在D:/php/MySQL目錄下生成MY.INI配置文件,添加並啓動MySQL服務
如果你的MySQL安裝出錯,並且卸載重裝仍無法解決,這裏提供一個小工具系統服務管理器http://xqin.com/iis/ser.rar,用於卸載後刪除存在的MYSQL服務,重起後再按上述說明進行安裝一般即可成功安裝
--------------------------------------------------------------------------------
四、安裝 Zend Optimizer :
下載後得到 ZendOptimizer-2.6.2-Windows-i386.exe ,直接雙擊安裝即可,安裝過程要你選擇 Web Server 時,選擇 IIS ,然後提示你是否 Restart Web Server,選擇是,完成安裝之前提示是否備份 php.ini ,點確定後安裝完成。我這裏安裝到D:/php/Zend
以下兩步的目錄根據你自己的默認WEB站點目錄來選,當然也可以選擇到D:/php/Zend目錄
Zend Optimizer 的安裝嚮導會自動根據你的選擇來修改 php.ini 幫助你啓動這個引擎。下面簡單介紹一下 Zend Optimizer 的配置選項。以下爲本人安裝完成後 php.ini 裏的默認配置代碼(分號後面的內容爲註釋):
[zend]
zend_extension_ts="D:/php/Zend/lib/ZendExtensionManager.dll"
;Zend Optimizer 模塊在硬盤上的安裝路徑。
zend_extension_manager.optimizer_ts="D:/php/Zend/lib/Optimizer-2.6.2"
;優化器所在目錄,默認無須修改。
zend_optimizer.optimization_level=1023
;優化程度,這裏定義啓動多少個優化過程,默認值是 15 ,表示同時開啓 10 個優化過程中的 1-4 ,我們可以將這個值改爲 1023 ,表示開啓全部10個優化過程。
調用phpinfo()函數後顯示:
Zend Engine v1.3.0, Copyright (c) 1998-2004 Zend Technologies with Zend Extension Manager v1.0.9, Copyright (c) 2003-2006, by Zend Technologies with Zend Optimizer v2.6.2, Copyright (c) 1998-2006, by Zend Technologies
則表示安裝成功。
--------------------------------------------------------------------------------
五.安裝GD庫
這一步在前面PHP.INI配置中去掉“;extension=php_gd2.dll”前面的;實際上已經安裝好了~
[在php.ini裏找到"extension=php_gd2.dll"這一行,並且去掉前面的分號,gd庫安裝完成,用 echophpinfo() ;測試是否成功! ]
--------------------------------------------------------------------------------
六、安裝 phpMyAdmin
下載得到 phpMyAdmin-2.7.0.zip (如果需要這個版本可以找我QQ:4615825 3300073),
將其解壓到D:/php/或者 IIS 根目錄,改名phpMyAdmin-2.7.0爲phpMyAdmin,
--------------------------------------------------------------------------------
並在IIS中建立新站點或者虛擬目錄指向該目錄以便通過WEB地址訪問,
這裏建立默認站點的phpMyAdmin虛擬目錄指向D:/php/phpMyAdmin目錄通過http://localhost/phpmyadmin/訪問
找到並打開D:/php/phpMyAdmin目錄下的 config.default.php ,做以下修改:
--------------------------------------------------------------------------------
查找 $cfg['PmaAbsoluteUri']
設置你的phpmyadmin的WEB訪問URL,比如本文中:$cfg['PmaAbsoluteUri'] = 'http://localhost/phpmyadmin/'; 注意這裏假設phpmyadmin在默認站點的根目錄下
--------------------------------------------------------------------------------
查找 $cfg['blowfish_secret'] =
設置COOKIES加密密匙,如xqin.com則設置爲$cfg['blowfish_secret'] = 'xqin.com';
--------------------------------------------------------------------------------
查找 $cfg['Servers'][$i]['auth_type'] = ,
默認爲config,是不安全的,不推薦,推薦使用cookie,將其設置爲 $cfg['Servers'][$i]['auth_type'] = 'cookie';
注意這裏如果設置爲config請在下面設置用戶名和密碼!例如:
$cfg['Servers'][$i]['user'] = 'root'; // MySQL user-----MySQL連接用戶
$cfg['Servers'][$i]['password'] = 'xqin.com';
--------------------------------------------------------------------------------
搜索$cfg['DefaultLang'] ,將其設置爲 zh-gb2312 ;
搜索$cfg['DefaultCharset'] ,將其設置爲 gb2312 ;
--------------------------------------------------------------------------------
打開瀏覽器,輸入:http://localhost/phpMyAdmin/ ,若 IIS 和 MySQL 均已啓動,輸入用戶ROOT密碼xqin.com(如沒有設置密碼則密碼留空)即可進入phpMyAdmin數據庫管理。
首先點擊權限進入用戶管理,刪除除ROOT和主機不爲localhost的用戶並重新讀取用戶權限表,這裏同樣可以修改和設置ROOT的密碼,添加其他用戶等
phpMyAdmin 的具體功能,請慢慢熟悉,這裏不再贅述。
至此所有安裝完畢。
六、目錄結構以及MTFS格式下安全的目錄權限設置:
當前目錄結構爲
D:/php
|
+—————+——————+———————+———————+
php4(php5) tmp MySQL Zend phpMyAdmin
D:/php 設置爲 Administrators和SYSTEM完全權限 即可,其他用戶均無權限
對於其下的二級目錄
D:/php/php4(或者D:/php/php5) 設置爲 USERS 讀取/運行 權限
D:/php/tmp 設置爲 USERS 讀/寫/刪 權限
D:/php/MySQL 、D:/php/Zend 設置爲 Administrators和SYSTEM完全權限
phpMyAdmin WEB匿名用戶讀取權限
七、優化:
參見 http://bbs.xqin.com/viewthread.php?tid=3831
PHP 優化配置——加速你的VBB,phpwind,Discuz,IPB,MolyX.....
14、一般故障解決
一般網站最容易發生的故障的解決方法
--------------------------------------------------------------------------------
1.出現提示網頁無法顯示,500錯誤的時候,又沒有詳細的提示信息
可以進行下面的操作顯示詳細的提示信息:IE-工具-internet選項-高級-友好的http錯誤信息提示,將這選項前面不打勾,則可以看到詳細的提示信息了
以下是解決500錯誤的方法。請複製以下信息並保存爲: 解決IIS6.0的(asp不能訪問)請求的資源在使用中的辦法.bat
然後在服務器上執行一下,你的ASP就又可以正常運行了。
echo off
echo 文件說明:解決IIS6.0的: 請求的資源在使用中的最佳解決方法
echo 聯繫
echo 正在恢復IIS的500錯誤,請稍等......
net stop iisadmin /y
regsvr32 %windir%/system32/jscript.dll
regsvr32 %windir%/system32/vbscript.dll
net start w3svc
ECHO.
ECHO ? ?恭喜你!500錯誤解決成功!
ECHO.
pause
exit
2.系統在安裝的時候提示數據庫連接錯誤
一是檢查const文件的設置關於數據庫的路徑設置是否正確
二是檢查服務器上面的數據庫的路徑和用戶名、密碼等是否正確
3.IIS不支持ASP解決辦法:
IIS的默認解析語言是否正確設定?將默認改爲VBSCRIPT,進入IIS,右鍵單擊默認Web站點,選擇屬性,在目錄安全性選項卡的匿名訪問和身份驗證控制中,單擊編輯,在身份驗證方法屬性頁中,去掉匿名訪問的選擇試試.
4.FSO沒有權限
FSO的權限問題,可以在後臺測試是否能刪除文件,解決FSO組件是否開啓的方法如下:
首先在系統盤中查找scrrun.dll,如果存在這個文件,請跳到第三步,如果沒有,請執行第二步。
在安裝文件目錄i386中找到scrrun.dl_,用winrar解壓縮,得scrrun.dll,然後複製到(你的系統盤)C:/windows/system32/目錄中。 運行regsvr32 scrrun.dll即可。
如果想關閉FSO組件,請運行regsvr32/u scrrun.dll即可
關於服務器FSO權限設置的方法,給大家一個地址可以看看詳細的操作:http://www.upsdn.net/html/2005-01/314.html
5.Microsoft JET Database Engine 錯誤 '80040e09' 不能更新。數據庫或對象爲只讀
原因分析:
未打開數據庫目錄的讀寫權限
解決方法:
( 1 )檢查是否在 IIS 中對整個網站打開了 “ 寫入 ” 權限,而不僅僅是數據庫文件。
( 2 )檢查是否在 WIN2000 的資源管理器中,將網站所在目錄對 EveryOne 用戶打開所有權限。具體方法是:
打開 “ 我的電腦 ”---- 找到網站所在文件夾 ---- 在其上點右鍵 ---- 選 “ 屬性 ”----- 切換到 “ 安全性 ” 選項卡,在這裏給 EveryOne 用戶所有權限。
注意: 如果你的系統是 XP ,請先點 “ 工具 ”----“ 文件夾選項 ”----“ 查看 ”----- 去掉 “ 使用簡單文件共享 ” 前的勾,確定後,文件夾 “ 屬性 ” 對話框中纔會有 “ 安全性 ” 這一個選項卡。
6.驗證碼不能顯示
原因分析:
造成該問題的原因是 Service Pack 2 爲了提高系統的穩定性,默認狀態下是屏蔽了對 XBM,也即是 x-bitmap 格式的圖片的顯示,而這些驗證碼恰恰是 XBM 格式的,所以顯示不出來了。
解決辦法:
解決的方法其實也很簡單,只需在系統註冊表中添加鍵值 "BlockXBM"=dword:00000000 就可以了,具體操作如下:
1》打開系統註冊表;
2》依次點開HKEY_LOCAL_MACHINE//SOFTWARE//Microsoft//Internet Explorer//Security;
3》在屏幕右邊空白處點擊鼠標右鍵,選擇新建一個名爲“BlockXBM”爲的 DWORD 鍵,其值爲默認的0。
4》退出註冊表編輯器。
如果操作系統是2003系統則看是否開啓了父路徑
7.windows 2003配置IIS支持.shtml
要使用 Shtml 的文件,則系統必須支持SSI,SSI必須是管理員通過Web 服務擴展啓用的
windows 2003安裝好IIS之後默認是支持.shtml的,只要在“WEB服務擴展”允許“在服務器前端的包含文件”即可 (www.jz5u.com)
8.如何去掉“處理 URL 時服務器出錯。請與系統管理員聯繫。”
如果是本地服務器的話,請右鍵點IIS默認網站,選屬性,在主目錄裏點配置,選調試。 選中向客戶端發送詳細的ASP錯誤消息。 然後再調試程序,此時就可以顯示出正確的錯誤代碼。
WindowsServer2003 + IIS6.0 + ASP + NET + PHP + PERL + MSSQL + MYSQL 最新服務器安全設置技術實例
發表評論
所有評論
還沒有人評論,想成為第一個評論的人麼? 請在上方評論欄輸入並且點擊發布.
相關文章