1.爲了打造一個安全的虛擬主機,在asp sql環境下,我們要做的是封殺asp webshell.封殺serv-u提權漏洞和sql注入的威脅
2.默認安裝的win主機上webshell功能十分強大,我們要封殺webshell的哪些功能 也就是不讓webshell查看系統服務信息,執行cmd命令和略覽文件目錄,我們要實現的功能是每個用戶只能訪問自己的目錄,而且可以用fso等asp組件,在這裏我以海洋木馬和win200爲例給大家演示一下.好多資料都是網上收集而來,在這表示感謝.
3.現在我們先設置好win的目錄訪問權限 設置所有分區爲administrator system這兩個系統用戶擁有所有權、刪除erveryone
具體操作方式:選擇系統盤我們這裏爲c->按右鍵選擇屬性-安全添加一個administrator和system所有權限,刪除erveryone用戶我已經都設置過了,就不重複了,設置權限的時候很慢,具體的看我下面的說明吧
4.選擇重置所有子對象的權限並允許傳播可繼承權限
具體操作方式:接第3步->選擇高級->選擇重置所有子對象的權限並允許傳播可繼承權限打鉤選定按應用->提示是否繼續選擇‘是’繼續 如果發現有提示問題就按繼續按鈕繼續
5.設置everyone用戶可以讀取的目錄(使得可以執行perl asp jmail)
[設置asp可以使用]具體操作:進入c:/promgram files目錄 把common files目錄,設置everyone可以讀、運行、列目錄 c:/program files/common files 都是一些系統文件,如果你裝了一些別的組件,比如maill,php等 也按同樣的設置 就是剛纔那個目錄,系統出了毛病,設置權限的時候十分慢
6.設置取消繼承,功能:爲了使用戶不能越權刪除而asp可以正常使用
具體操作方式:進入winnt/system32/選中所有目錄,除了inetsrv certsrv 兩個目錄不要選擇(備註:這兩個是asp要用的dll)
選擇屬性->安全->高級->權限->把允許來自父系的繼承取消打鉤->按複製
進入winnt目錄->選中所有目錄 除web, temp, tasks, system32 ,offine web pages ,
iis temporay compressed file ,help,download promgram 同上取消繼承->按複製
選擇winnt->設置安全,添加everyone 讀取運行 列出文件目錄 讀取
進入winnt->選擇temp屬性設置安全 ,everyone完全控制,再點高級,編輯,把運行權限去掉
動畫斷了,奇怪了
這樣2000目錄權限基本設置完成,2003的目錄設置可以看最下面,我就是這麼設置的,沒出問題,有問題找我,看來還沒設置好,終於好了,累啊
d盤看不見了吧.
7.剛纔動畫斷了,新建一個用戶leilei,設置密碼,要設置密碼永不過期,把他加到guest用戶組裏去,然後在iis設置他的虛擬站點,我這用的是默認站點,設置虛擬目錄e:/網站資源/bbsxp 5.12 正式版 ]/bbsxp,再點屬性-目錄安全性-編輯.匿名訪問打上勾,然後設置用戶名和密碼,然後到e:/網站資源/bbsxp 5.12 正式版 ]/bbsxp裏設置權限,給leilei訪問權.ok,現在告了一段落,leilei這個用戶只能訪問自己的目錄了刪掉不用的腳本映射.*.htr這是一個比較厲害的文件,刪掉好了。否則,任何人都可以通過你的web來進行非法操作,甚至格式化 掉你的硬盤。 *.hta 刪掉吧。 *.idc 所以刪掉他。 *.printer這個是打印機文件。去掉他好了 *.htw , *.ida *.idq這些都是索引文件,可以去掉了。 其實只要有用的保留,比如asp,asa,php,cgi,給保留着,其它全部刪除就行啦!!!:)
我們來看一下網站
怎麼樣,fso正常使用吧
8. 這裏有時候會遇見asp不能訪問,提示the requested resource is in use和the remote procedure call failed and did not execute.
我就遇見了,找了找網上的帖子,有的說御載瑞星2005,再同步iwam帳號,同步同步iwam帳號請看 http://www.gamepa.com/announce/announce.asp?boardid=8000