关于Windows Internet服务器安全配置(3)
2008-02-23 07:05:09来源:互联网 阅读 ()
现在WebShell就无法在系统目录内写入文件了。当然也可以使用更严格的权限。在Windows下分别目录设置权限,可是比较复杂,效果也并不明显。
4.IIS
在IIS 6下,应用程序扩展内的文件类型对应ISAPI的类型已经去掉了IDQ、PRINT等等危险的脚本类型,在IIS 5下我们需要把除了ASP以及ASA以外所有类型删除。
安装URLSCAN
在[DenyExtensions]中,一般加入以下内容:
|
这样入侵者就无法下载.mdb数据库。这种方法比外面一些在文件头加入特殊字符的方法更加彻底,因为即便文件头加入特殊字符,还是可以通过编码构造出来的。
5.WEB目录权限
作为虚拟主机,会有许多独立客户。比较保险的做法就是为每个客户,建立一个Windows用户。然后在IIS的响应的站点项内,把IIS执行的匿名用户绑定成这个用户,并且把他指向的目录,权限变更为
|
单独建立的用户(或者IUSER) 选择高级->打开除“完全控制”,“遍历文件夹/运行程序”,“取得所有权”3个外的其他权限。
如果服务器上站点不多,并且有论坛。我们可以把每个论坛的上传目录,去掉此用户的执行权限,只有读写权限。这样入侵者即便绕过论坛文件类型检测上传了webshell,也是无法运行的。
6.MS SQL SERVER2000
使用系统帐户登陆查询分析器,运行以下脚本:
|
删除所有危险的扩展。
7.修改CMD.EXE以及NET.EXE权限
将两个文件的权限修改到特定管理员才能访问,比如本例中,我们如下修改:
|
这样就能防止非法访问,还可以使用例子中提供的comlog程序。将com.exe改名_com.exe,然后替换com文件。这样可以记录所有执行的命令行指令。
8.备份
使用ntbackup软件,备份系统状态。使用reg.exe 备份系统关键数据,如reg export HKLM\SOFTWARE\ODBC e:\backup\system\odbc。reg /y
来备份系统的ODBC。
9.杀毒
这里介绍MCAFEE 8i 中文企业版,因为这个版本对于国内的许多恶意代码和木马都能够及时的更新。比如已经能够检测到海阳顶端2006,而且能够杀除IMAIL等SMTP软件使用的队列中MIME编码的病毒文件。而很多人喜欢安装诺顿企业版,而诺顿企业版,对于WEBSHELL基本都是没有反应的,而且无法对于MIME编码的文件进行杀毒。在MCAFEE中,我们还能够加入规则,阻止在Windows目录建立和修改EXE、DLL文件等。我们在软件中加入对WEB目录的杀毒计划,每天执行一次,并且打开实时监控。
标签:
版权申明:本站文章部分自网络,如有侵权,请联系:west999com@outlook.com
特别注意:本站所有转载文章言论不代表本站观点,本站所提供的摄影照片,插画,设计作品,如需使用,请与原作者联系,版权归原作者所有
IDC资讯: 主机资讯 注册资讯 托管资讯 vps资讯 网站建设
网站运营: 建站经验 策划盈利 搜索优化 网站推广 免费资源
网络编程: Asp.Net编程 Asp编程 Php编程 Xml编程 Access Mssql Mysql 其它
服务器技术: Web服务器 Ftp服务器 Mail服务器 Dns服务器 安全防护
软件技巧: 其它软件 Word Excel Powerpoint Ghost Vista QQ空间 QQ FlashGet 迅雷
网页制作: FrontPages Dreamweaver Javascript css photoshop fireworks Flash
