win2003 服务器 安全设置 技术实例(比较安全的方法)

Administrators

无
如果安装了其他运行环境，比如PHP等，则根据PHP的环境功能要求来设置硬盘权限，一般是安装目录加上users读取运行权限就足够了，比如c:\php的话，就在根目录权限继承的情况下加上users读取运行权限，需要写入数据的比如tmp文件夹，则把users的写删权限加上，运行权限不要，然后把虚拟主机用户的读权限拒绝即可。如果是mysql的话，用一个独立用户运行MYSQL会更安全，下面会有介绍。如果是winwebmail，则最好建立独立的应用程序池和独立IIS用户，然后整个安装目录有users用户的读/运行/写/权限，IIS用户则相同，这个IIS用户就只用在winwebmail的WEB访问中，其他IIS站点切勿使用，安装了winwebmail的服务器硬盘权限设置后面举例

CREATOR OWNER

SYSTEM

Administrators

无

CREATOR OWNER

SYSTEM

Administrators

无

SYSTEM

Administrators

IIS_WPG

读取运行/列出文件夹目录/读取

该文件夹，子文件夹及文件

SYSTEM

Users

这里可以把虚拟主机用户组加上
同Internet 来宾帐户一样的权限
拒绝权限

Internet 来宾帐户

Administrators

Users

SYSTEM

Administrators

无

SYSTEM

Administrators

Users

SYSTEM

USERS组的权限仅仅限制于读取和运行，
绝对不能加上写入权限

Administrators

无

SYSTEM

Administrators

Users

CREATOR OWNER

Users

SYSTEM

两个并列权限同用户组需要分开列权限

Administrators

Users

SYSTEM

此文件夹包含 Microsoft 应用程序状态数据

Administrators

Everyone

列出文件夹、读取属性、读取扩展属性、创建文件、创建文件夹、写入属性、写入扩展属性、读取权限

Everyone这里只有读写权限，不能加运行和删除权限，仅限该文件夹

Administrators

Everyone

列出文件夹、读取属性、读取扩展属性、创建文件、创建文件夹、写入属性、写入扩展属性、读取权限

Everyone这里只有读写权限，不能加运行和删除权限，仅限该文件夹

Administrators

Users

SYSTEM

Administrators

Everyone

SYSTEM

Everyone这里只有读和运行权限

Administrators

无

SYSTEM

Administrators

Users

SYSTEM

Users

Users

这里需要把GUEST用户组和IIS访问用户组全部禁止
Everyone的权限比较特殊，默认安装后已经带了
主要是要把IIS访问的用户组加上所有权限都禁止

Users

Guests

Guest

IUSR_XXX
或某个虚拟主机用户组

Administrators

无

CREATOR OWNER

SYSTEM

Administrators

IIS_WPG

CREATOR OWNER

IUSR_XXX
或某个虚拟主机用户组

SYSTEM

IIS虚拟主机用户组禁止列目录，可有效防止FSO类木马
如果安装了aspjepg和aspupload

Administrators

IIS_WPG

CREATOR OWNER

Users

SYSTEM

复合权限，为IIS提供快速安全的运行环境

Administrators

无

CREATOR OWNER

SYSTEM

Administrators

无

Administrators

无

CREATOR OWNER

SYSTEM

Administrators

无

Administrators

无

Administrators

无

CREATOR OWNER

SYSTEM

Administrators

无

CREATOR OWNER

SYSTEM

Administrators

无
对应的c:\windows\system32里面有两个文件
r_server.exe和AdmDll.dll
要把Users读取运行权限去掉
默认权限只要administrators和system全部权限

CREATOR OWNER

SYSTEM

Administrators

无
这里常是提权入侵的一个比较大的漏洞点
一定要按这个方法设置
目录名字根据Serv-U版本也可能是
C:\Program Files\RhinoSoft.com\Serv-U

CREATOR OWNER

SYSTEM

Administrators

无

CREATOR OWNER

SYSTEM

Administrators

无

CREATOR OWNER

SYSTEM

Administrators

无

CREATOR OWNER

SYSTEM

Administrators

Users

CREATOR OWNER

SYSTEM

Administrators

IUSR_XXX
或某个虚拟主机用户组

CREATOR OWNER

虚拟主机用户访问组拒绝读取，有助于保护系统数据
这里保护的是系统级数据SAM

SYSTEM

Administrators

Users

CREATOR OWNER

IUSR_XXX
或某个虚拟主机用户组

SYSTEM

虚拟主机用户访问组拒绝读取，有助于保护系统数据

Administrators

Users

CREATOR OWNER

IUSR_XXX
或某个虚拟主机用户组

SYSTEM

虚拟主机用户访问组拒绝读取，有助于保护系统数据

Administrators

Users

CREATOR OWNER

IUSR_XXX
或某个虚拟主机用户组

SYSTEM

虚拟主机用户访问组拒绝读取，有助于保护系统数据

Administrators

IIS_WPG

IUSR_XXX
或某个虚拟主机用户组

虚拟主机用户访问组拒绝读取，有助于保护系统数据

Administrators

无

CREATOR OWNER

SYSTEM

Administrators

Users

CREATOR OWNER

IUSR_XXX
或某个虚拟主机用户组

SYSTEM

虚拟主机用户访问组拒绝读取，有助于保护系统数据

Administrators

IUSR_XXXXXX
这个用户是WINWEBMAIL访问WEB站点专用帐户

CREATOR OWNER

SYSTEM

Administrators

IUSR_XXXXXX
WINWEBMAIL访问WEB站点专用帐户

CREATOR OWNER

Users

SYSTEM

IUSR_XXXXXX
WINWEBMAIL访问WEB站点专用帐户

IUSR_XXXXXX和IWAM_XXXXXX
是winwebmail专用的IIS用户和应用程序池用户
单独使用，安全性能高

IWAM_XXXXXX
WINWEBMAIL应用程序池专用帐户

服务名称:

显示名称:

服务描述:

可执行文件路径:

其他补充:

服务名称:

显示名称:

服务描述:

可执行文件路径:

其他补充:

服务名称:

显示名称:

服务描述:

可执行文件路径:

其他补充:

服务名称:

显示名称:

服务描述:

可执行文件路径:

其他补充:

服务名称:

显示名称:

服务描述:

可执行文件路径:

其他补充:

服务名称:

显示名称:

服务描述:

可执行文件路径:

其他补充:

服务名称:

显示名称:

服务描述:

可执行文件路径:

其他补充:

服务名称:

显示名称:

服务描述:

可执行文件路径:

其他补充:

服务名称:

显示名称:

服务描述:

可执行文件路径:

其他补充:

服务名称:

显示名称:

服务描述:

可执行文件路径:

其他补充:

服务名称:

显示名称:

服务描述:

可执行文件路径:

其他补充:

服务名称:

显示名称:

服务描述:

可执行文件路径:

其他补充:

服务名称:

显示名称:

服务描述:

可执行文件路径:

其他补充:

服务名称:

显示名称:

服务描述:

可执行文件路径:

其他补充:

然后【编辑→查找→填写Shell.application→查找下一个】

用这个方法能找到两个注册表项：

{13709620-C279-11CE-A49E-444553540000} 和 Shell.application 。

第一步：为了确保万无一失，把这两个注册表项导出来，保存为xxxx.reg 文件。

第二步：比如我们想做这样的更改

13709620-C279-11CE-A49E-444553540000 改名为 13709620-C279-11CE-A49E-444553540001

Shell.application 改名为 Shell.application_nohack

第三步：那么，就把刚才导出的.reg文件里的内容按上面的对应关系替换掉，然后把修改好的.reg文件导入到注册表中（双击即可），导入了改名后的注册表项之后，别忘记了删除原有的那两个项目。这里需要注意一点，Clsid中只能是十个数字和ABCDEF六个字母。

其实，只要把对应注册表项导出来备份，然后直接改键名就可以了，

改好的例子
建议自己改
应该可一次成功

老杜评论：

　　FileSystemObject可以对文件进行常规操作,可以通过修改注册表，将此组件改名，来防止此类木马的危害。

HKEY_CLASSES_ROOT\Scripting.FileSystemObject\

改名为其它的名字，如：改为 FileSystemObject_ChangeName

自己以后调用的时候使用这个就可以正常调用此组件了

也要将clsid值也改一下

HKEY_CLASSES_ROOT\Scripting.FileSystemObject\CLSID\项目的值

　　也可以将其删除，来防止此类木马的危害。

　　2000注销此组件命令：RegSrv32 /u C:\WINNT\SYSTEM\scrrun.dll

　　2003注销此组件命令：RegSrv32 /u C:\WINDOWS\SYSTEM\scrrun.dll

　　如何禁止Guest用户使用scrrun.dll来防止调用此组件？

　　使用这个命令：cacls C:\WINNT\system32\scrrun.dll /e /d guests

　　二、禁止使用WScript.Shell组件

　　WScript.Shell可以调用系统内核运行DOS基本命令

　　可以通过修改注册表，将此组件改名，来防止此类木马的危害。

　　HKEY_CLASSES_ROOT\WScript.Shell\及HKEY_CLASSES_ROOT\WScript.Shell.1\

　　改名为其它的名字，如：改为WScript.Shell_ChangeName 或 WScript.Shell.1_ChangeName

　　自己以后调用的时候使用这个就可以正常调用此组件了

　　也要将clsid值也改一下

　　HKEY_CLASSES_ROOT\WScript.Shell\CLSID\项目的值

　　HKEY_CLASSES_ROOT\WScript.Shell.1\CLSID\项目的值

　　也可以将其删除，来防止此类木马的危害。

　　三、禁止使用Shell.Application组件

　　Shell.Application可以调用系统内核运行DOS基本命令

　　可以通过修改注册表，将此组件改名，来防止此类木马的危害。

　　HKEY_CLASSES_ROOT\Shell.Application\

及

HKEY_CLASSES_ROOT\Shell.Application.1\

改名为其它的名字，如：改为Shell.Application_ChangeName 或 Shell.Application.1_ChangeName

　　自己以后调用的时候使用这个就可以正常调用此组件了

　　也要将clsid值也改一下

　　HKEY_CLASSES_ROOT\Shell.Application\CLSID\项目的值

HKEY_CLASSES_ROOT\Shell.Application\CLSID\项目的值

　　也可以将其删除，来防止此类木马的危害。

　　禁止Guest用户使用shell32.dll来防止调用此组件。

　　2000使用命令：cacls C:\WINNT\system32\shell32.dll /e /d guests
2003使用命令：cacls C:\WINDOWS\system32\shell32.dll /e /d guests

注：操作均需要重新启动WEB服务后才会生效。

　　四、调用Cmd.exe

　　禁用Guests组用户调用cmd.exe

2000使用命令：cacls C:\WINNT\system32\Cmd.exe /e /d guests
2003使用命令：cacls C:\WINDOWS\system32\Cmd.exe /e /d guests

　　通过以上四步的设置基本可以防范目前比较流行的几种木马，但最有效的办法还是通过综合安全设置，将服务器、程序安全都达到一定标准，才可能将安全等级设置较高，防范更多非法入侵。

先停掉Serv-U服务

用Ultraedit打开ServUDaemon.exe

查找 Ascii：LocalAdministrator 和 #l@$ak#.lk;0@P

修改成等长度的其它字符就可以了，ServUAdmin.exe也一样处理。

另外注意设置Serv-U所在的文件夹的权限，不要让IIS匿名用户有读取的权限，否则人家下走你修改过的文件，照样可以分析出你的管理员名和密码。

阿江ASP探针

主机头

主机脚本

硬盘目录

IIS用户名

硬盘权限

应用程序池

主目录

应用程序配置

www.1.com

HTM

D:\www.1.com\

IUSR_1.com

Administrators(完全控制)
IUSR_1.com(读)

可共用

读取/纯脚本

启用父路径

www.2.com

ASP

D:\www.2.com\

IUSR_1.com

Administrators(完全控制)
IUSR_2.com(读/写)

可共用

读取/纯脚本

启用父路径

www.3.com

NET

D:\www.3.com\

IUSR_1.com

Administrators(完全控制)
IWAM_3.com(读/写)
IUSR_3.com(读/写)

独立池

读取/纯脚本

启用父路径

www.4.com

PHP

D:\www.4.com\

IUSR_1.com

Administrators(完全控制)
IWAM_4.com(读/写)
IUSR_4.com(读/写)

独立池

读取/纯脚本

启用父路径

其中 IWAM_3.com 和 IWAM_4.com 分别是各自独立应用程序池标识中的启动帐户

主机脚本类型

HTM

ASP

NET

PHP

应用程序扩展

STM=.stm

SHTM=.shtm

SHTML=.shtml

ASP=.asp

ASA=.asa

ASPX=.aspx

ASAX=.asax

ASCX=.ascx

ASHX=.ashx

ASMX=.asmx

AXD=.axd

VSDISCO=.vsdisco

REM=.rem

SOAP=.soap

CONFIG=.config

CS=.cs

CSPROJ=.csproj

VB=.vb

VBPROJ=.vbproj

WEBINFO=.webinfo

LICX=.licx

RESX=.resx

RESOURCES=.resources

PHP=.php

PHP3=.php3

PHP4=.php4

MDB=.mdb

Temporary ASP.NET Files%windir%\Microsoft.NET\Framework\{版本}Temporary ASP.NET Files

进程帐户和模拟标识：
完全控制

临时目录 (%temp%)

进程帐户
完全控制

.NET Framework 目录%windir%\Microsoft.NET\Framework\{版本}

进程帐户和模拟标识：
读取和执行
列出文件夹内容
读取

.NET Framework 配置目录%windir%\Microsoft.NET\Framework\{版本}\CONFIG

进程帐户和模拟标识：
读取和执行
列出文件夹内容
读取

网站根目录
C:\inetpub\wwwroot
或默认网站指向的路径

进程帐户：
读取

系统根目录
%windir%\system32

进程帐户：
读取

全局程序集高速缓存
%windir%\assembly

进程帐户和模拟标识：
读取

内容目录
C:\inetpub\wwwroot\YourWebApp
(一般来说不用默认目录，管理员可根据实际情况调整比如D:\wwwroot)

进程帐户：
读取和执行
列出文件夹内容
读取
注意 对于 .NET Framework 1.0，直到文件系统根目录的所有父目录也都需要上述权限。父目录包括：
C:\
C:\inetpub\
C:\inetpub\wwwroot\

把下面文本保存为: windows2000-2003服务器安全和性能注册表自动配置文件.reg 运行即可。

功能：可抵御DDOS攻击2-3万包，提高服务器TCP-IP整体安全性能（效果等于软件防火墙，节约了系统资源）

协议

IP协议端口

源地址

目标地址

描述

方式

ICMP

阻止

UDP

135

任何IP地址

我的IP地址

135-UDP

阻止

UDP

136

任何IP地址

我的IP地址

136-UDP

阻止

UDP

137

任何IP地址

我的IP地址

137-UDP

阻止

UDP

138

任何IP地址

我的IP地址

138-UDP

阻止

UDP

139

任何IP地址

我的IP地址

139-UDP

阻止

TCP

445

任何IP地址-从任意端口

我的IP地址-445

445-TCP

阻止

UDP

任何IP地址-从任意端口

我的IP地址-445

445-UDP

阻止

69-入

阻止

阻止

阻止

阻止

阻止

阻止

UDP

阻止

阻止

阻止

阻止

阻止

帐户: 使用空白密码的本地帐户只允许进行控制台登录

已启用

已启用

已启用

已启用

帐户: 重命名系统管理员帐户

推荐

推荐

推荐

推荐

帐户: 重命名来宾帐户

推荐

推荐

推荐

推荐

设备: 允许不登录移除

已禁用

已启用

已禁用

已禁用

设备: 允许格式化和弹出可移动媒体

Administrators, Interactive Users

Administrators, Interactive Users

Administrators

Administrators

设备: 防止用户安装打印机驱动程序

已启用

已禁用

已启用

已禁用

设备: 只有本地登录的用户才能访问 CD-ROM

已禁用

已禁用

已启用

已启用

设备: 只有本地登录的用户才能访问软盘

已启用

已启用

已启用

已启用

设备: 未签名驱动程序的安装操作

允许安装但发出警告

允许安装但发出警告

禁止安装

禁止安装

域成员: 需要强 (Windows 2000 或以上版本) 会话密钥

已启用

已启用

已启用

已启用

交互式登录: 不显示上次的用户名

已启用

已启用

已启用

已启用

交互式登录: 不需要按 CTRL+ALT+DEL

已禁用

已禁用

已禁用

已禁用

交互式登录: 用户试图登录时消息文字

此系统限制为仅授权用户。尝试进行未经授权访问的个人将受到起诉。

此系统限制为仅授权用户。尝试进行未经授权访问的个人将受到起诉。

此系统限制为仅授权用户。尝试进行未经授权访问的个人将受到起诉。

此系统限制为仅授权用户。尝试进行未经授权访问的个人将受到起诉。

交互式登录: 用户试图登录时消息标题

继续在没有适当授权的情况下使用是违法行为。

继续在没有适当授权的情况下使用是违法行为。

继续在没有适当授权的情况下使用是违法行为。

继续在没有适当授权的情况下使用是违法行为。

交互式登录: 可被缓存的前次登录个数 (在域控制器不可用的情况下)

2

2

0

1

交互式登录: 在密码到期前提示用户更改密码

14 天

14 天

14 天

14 天

交互式登录: 要求域控制器身份验证以解锁工作站

已禁用

已禁用

已启用

已禁用

交互式登录: 智能卡移除操作

锁定工作站

锁定工作站

锁定工作站

锁定工作站

Microsoft 网络客户: 数字签名的通信（若服务器同意）

已启用

已启用

已启用

已启用

Microsoft 网络客户: 发送未加密的密码到第三方 SMB 服务器。

已禁用

已禁用

已禁用

已禁用

Microsoft 网络服务器: 在挂起会话之前所需的空闲时间

15 分钟

15 分钟

15 分钟

15 分钟

Microsoft 网络服务器: 数字签名的通信（总是）

已启用

已启用

已启用

已启用

Microsoft 网络服务器: 数字签名的通信（若客户同意）

已启用

已启用

已启用

已启用

Microsoft 网络服务器: 当登录时间用完时自动注销用户

已启用

已禁用

已启用

已禁用

网络访问: 允许匿名 SID/名称 转换

已禁用

已禁用

已禁用

已禁用

网络访问: 不允许 SAM 帐户和共享的匿名枚举

已启用

已启用

已启用

已启用

网络访问: 不允许 SAM 帐户和共享的匿名枚举

已启用

已启用

已启用

已启用

网络访问: 不允许为网络身份验证储存凭据或 .NET Passports

已启用

已启用

已启用

已启用

网络访问: 限制匿名访问命名管道和共享

已启用

已启用

已启用

已启用

网络访问: 本地帐户的共享和安全模式

经典 - 本地用户以自己的身份验证

经典 - 本地用户以自己的身份验证

经典 - 本地用户以自己的身份验证

经典 - 本地用户以自己的身份验证

网络安全: 不要在下次更改密码时存储 LAN Manager 的哈希值

已启用

已启用

已启用

已启用

网络安全: 在超过登录时间后强制注销

已启用

已禁用

已启用

已禁用

网络安全: LAN Manager 身份验证级别

仅发送 NTLMv2 响应

仅发送 NTLMv2 响应

仅发送 NTLMv2 响应\拒绝 LM & NTLM

仅发送 NTLMv2 响应\拒绝 LM & NTLM

网络安全: 基于 NTLM SSP（包括安全 RPC）客户的最小会话安全

没有最小

没有最小

要求 NTLMv2 会话安全 要求 128-位加密

要求 NTLMv2 会话安全 要求 128-位加密

网络安全: 基于 NTLM SSP(包括安全 RPC)服务器的最小会话安全

没有最小

没有最小

要求 NTLMv2 会话安全 要求 128-位加密

要求 NTLMv2 会话安全 要求 128-位加密

故障恢复控制台: 允许自动系统管理级登录

已禁用

已禁用

已禁用

已禁用

故障恢复控制台: 允许对所有驱动器和文件夹进行软盘复制和访问

已启用

已启用

已禁用

已禁用

关机: 允许在未登录前关机

已禁用

已禁用

已禁用

已禁用

关机: 清理虚拟内存页面文件

已禁用

已禁用

已启用

已启用

系统加密: 使用 FIPS 兼容的算法来加密，哈希和签名

已禁用

已禁用

已禁用

已禁用

系统对象: 由管理员 (Administrators) 组成员所创建的对象默认所有者

对象创建者

对象创建者

对象创建者

对象创建者

系统设置: 为软件限制策略对 Windows 可执行文件使用证书规则

已禁用

已禁用

已禁用

已禁用

　　PHP本身再老版本有一些问题，比如在 php4.3.10和php5.0.3以前有一些比较严重的bug，所以推荐使用新版。另外，目前闹的轰轰烈烈的SQL 　　Injection也是在PHP上有很多利用方式，所以要保证
安全，PHP代码编写是一方面，PHP的配置更是非常关键。
我们php手手工安装的，php的默认配置文件在 /usr/local/apache2/conf/php.ini，我们最主要就是要配置php.ini中的内容，让我们执行　　php能够更安全。整个PHP中的安全设置主要是为了防止phpshell和SQL Injection的攻击，一下我们慢慢探讨。我们先使用任何编辑工具打开　　/etc/local/apache2/conf/php.ini，如果你是采用其他方式安装，配置文件可能不在该目录。

　　(1) 打开php的安全模式

　　php的安全模式是个非常重要的内嵌的安全机制，能够控制一些php中的函数，比如system()，
同时把很多文件操作函数进行了权限控制，也不允许对某些关键文件的文件，比如/etc/passwd，
但是默认的php.ini是没有打开安全模式的，我们把它打开：
safe_mode = on

　　(2) 用户组安全

当safe_mode打开时，safe_mode_gid被关闭，那么php脚本能够对文件进行访问，而且相同
组的用户也能够对文件进行访问。
建议设置为：

safe_mode_gid = off

　　如果不进行设置，可能我们无法对我们服务器网站目录下的文件进行操作了，比如我们需要
对文件进行操作的时候。

　　(3) 安全模式下执行程序主目录

如果安全模式打开了，但是却是要执行某些程序的时候，可以指定要执行程序的主目录：

safe_mode_exec_dir = D:/usr/bin

一般情况下是不需要执行什么程序的，所以推荐不要执行系统程序目录，可以指向一个目录，
然后把需要执行的程序拷贝过去，比如：

safe_mode_exec_dir = D:/tmp/cmd

但是，我更推荐不要执行任何程序，那么就可以指向我们网页目录：

safe_mode_exec_dir = D:/usr/www

　　(4) 安全模式下包含文件

如果要在安全模式下包含某些公共文件，那么就修改一下选项：

safe_mode_include_dir = D:/usr/www/include/

　　其实一般php脚本中包含文件都是在程序自己已经写好了，这个可以根据具体需要设置。

　　(5) 控制php脚本能访问的目录

使用open_basedir选项能够控制PHP脚本只能访问指定的目录，这样能够避免PHP脚本访问
不应该访问的文件，一定程度上限制了phpshell的危害，我们一般可以设置为只能访问网站目录：

open_basedir = D:/usr/www

　　(6) 关闭危险函数

如果打开了安全模式，那么函数禁止是可以不需要的，但是我们为了安全还是考虑进去。比如，
我们觉得不希望执行包括system()等在那的能够执行命令的php函数，或者能够查看php信息的
phpinfo()等函数，那么我们就可以禁止它们：

disable_functions = system,passthru,exec,shell_exec,popen,phpinfo

　　如果你要禁止任何文件和目录的操作，那么可以关闭很多文件操作

disable_functions = chdir,chroot,dir,getcwd,opendir,readdir,scandir,fopen,unlink,delete,copy,mkdir, 　　rmdir,rename,file,file_get_contents,fputs,fwrite,chgrp,chmod,chown

以上只是列了部分不叫常用的文件处理函数，你也可以把上面执行命令函数和这个函数结合，
就能够抵制大部分的phpshell了。

　　(7) 关闭PHP版本信息在http头中的泄漏

我们为了防止黑客获取服务器中php版本的信息，可以关闭该信息斜路在http头中：

expose_php = Off

　　比如黑客在 telnet www.12345.com 80 的时候，那么将无法看到PHP的信息。

　　(8) 关闭注册全局变量

在PHP中提交的变量，包括使用POST或者GET提交的变量，都将自动注册为全局变量，能够直接访问，
这是对服务器非常不安全的，所以我们不能让它注册为全局变量，就把注册全局变量选项关闭：
register_globals = Off
当然，如果这样设置了，那么获取对应变量的时候就要采用合理方式，比如获取GET提交的变量var，
那么就要用$_GET['var']来进行获取，这个php程序员要注意。

　　(9) 打开magic_quotes_gpc来防止SQL注入

SQL注入是非常危险的问题，小则网站后台被入侵，重则整个服务器沦陷，

所以一定要小心。php.ini中有一个设置：

magic_quotes_gpc = Off

这个默认是关闭的，如果它打开后将自动把用户提交对sql的查询进行转换，
比如把 ' 转为 \'等，这对防止sql注射有重大作用。所以我们推荐设置为：

magic_quotes_gpc = On

　　(10) 错误信息控制

一般php在没有连接到数据库或者其他情况下会有提示错误，一般错误信息中会包含php脚本当
前的路径信息或者查询的SQL语句等信息，这类信息提供给黑客后，是不安全的，所以一般服务器建议禁止错误提示：

display_errors = Off

　　如果你却是是要显示错误信息，一定要设置显示错误的级别，比如只显示警告以上的信息：

error_reporting = E_WARNING & E_ERROR

　　当然，我还是建议关闭错误提示。

　　(11) 错误日志

建议在关闭display_errors后能够把错误信息记录下来，便于查找服务器运行的原因：

log_errors = On

　　同时也要设置错误日志存放的目录，建议根apache的日志存在一起：

error_log = D:/usr/local/apache2/logs/php_error.log

　　注意：给文件必须允许apache用户的和组具有写的权限。

MYSQL的降权运行

　　新建立一个用户比如mysqlstart

　　net user mysqlstart ****microsoft /add

　　net localgroup users mysqlstart /del

　　不属于任何组

　　如果MYSQL装在d:\mysql ，那么，给 mysqlstart 完全控制 的权限

　　然后在系统服务中设置，MYSQL的服务属性，在登录属性当中，选择此用户 mysqlstart 然后输入密码，确定。

　　重新启动 MYSQL服务，然后MYSQL就运行在低权限下了。

　　如果是在windos平台下搭建的apache我们还需要注意一点，apache默认运行是system权限，
这很恐怖，这让人感觉很不爽.那我们就给apache降降权限吧。

　　net user apache ****microsoft /add

　　net localgroup users apache /del

　　ok.我们建立了一个不属于任何组的用户apche。

　　我们打开计算机管理器，选服务，点apache服务的属性，我们选择log on，选择this account，我们填入上面所建立的账户和密码，
重启apache服务，ok，apache运行在低权限下了。

　　实际上我们还可以通过设置各个文件夹的权限，来让apache用户只能执行我们想让它能干的事情，给每一个目录建立一个单独能读写的用户。
这也是当前很多虚拟主机提供商的流行配置方法哦，不过这种方法用于防止这里就显的有点大材小用了。

sql2000安全很重要

将有安全问题的SQL过程删除.比较全面.一切为了安全!

删除了调用shell，注册表，COM组件的破坏权限

use master
EXEC sp_dropextendedproc 'xp_cmdshell'
EXEC sp_dropextendedproc 'Sp_OACreate'
EXEC sp_dropextendedproc 'Sp_OADestroy'
EXEC sp_dropextendedproc 'Sp_OAGetErrorInfo'
EXEC sp_dropextendedproc 'Sp_OAGetProperty'
EXEC sp_dropextendedproc 'Sp_OAMethod'
EXEC sp_dropextendedproc 'Sp_OASetProperty'
EXEC sp_dropextendedproc 'Sp_OAStop'
EXEC sp_dropextendedproc 'Xp_regaddmultistring'
EXEC sp_dropextendedproc 'Xp_regdeletekey'
EXEC sp_dropextendedproc 'Xp_regdeletevalue'
EXEC sp_dropextendedproc 'Xp_regenumvalues'
EXEC sp_dropextendedproc 'Xp_regread'
EXEC sp_dropextendedproc 'Xp_regremovemultistring'
EXEC sp_dropextendedproc 'Xp_regwrite'
drop procedure sp_makewebtask

全部复制到"SQL查询分析器"

点击菜单上的--"查询"--"执行"，就会将有安全问题的SQL过程删除(以上是7i24的正版用户的技术支持)

更改默认SA空密码.数据库链接不要使用SA帐户.单数据库单独设使用帐户.只给public和db_owner权限.

数据库不要放在默认的位置.

SQL不要安装在PROGRAM FILE目录下面.

最近的SQL2000补丁是SP4

启用win防火墙

　　 桌面—>网上邻居—>（右键）属性—>本地连接—>（右键）属性—>高级—>

（选中）Internet 连接防火墙—>设置

把服务器上面要用到的服务端口选中

例如：一台WEB服务器，要提供WEB（80）、FTP（21）服务及远程桌面管理（3389）

在“FTP 服务器”、“WEB服务器（HTTP）”、“远程桌面”、“安全WEB服务器”前面打上对号

如果你要提供服务的端口不在里面，你也可以点击“添加”铵钮来添加，SMTP和POP3根据需要打开

具体参数可以参照系统里面原有的参数。

然后点击确定。注意：如果是远程管理这台服务器，请先确定远程管理的端口是否选中或添加。

　　 一般需要打开的端口有：21、 25、 80、 110、 443、 3389、 等，根据需要开放需要的端口。

用户安全设置

用户安全设置

1、禁用Guest账号

在计算机管理的用户里面把Guest账号禁用。为了保险起见，最好给Guest加一个复杂的密码。你可以打开记事本，在里面输入一串包含特殊字符、数字、字母的长字符串，然后把它作为Guest用户的密码拷进去。

2、限制不必要的用户

去掉所有的Duplicate User用户、测试用户、共享用户等等。用户组策略设置相应权限，并且经常检查系统的用户，删除已经不再使用的用户。这些用户很多时候都是黑客们入侵系统的突破口。

3、创建两个管理员账号

创建一个一般权限用户用来收信以及处理一些日常事物，另一个拥有Administrators 权限的用户只在需要的时候使用。

4、把系统Administrator账号改名

大家都知道，Windows 2000 的Administrator用户是不能被停用的，这意味着别人可以一遍又一遍地尝试这个用户的密码。尽量把它伪装成普通用户，比如改成Guesycludx。

5、创建一个陷阱用户

什么是陷阱用户?即创建一个名为“Administrator”的本地用户，把它的权限设置成最低，什么事也干不了的那种，并且加上一个超过10位的超级复杂密码。这样可以让那些 Hacker们忙上一段时间，借此发现它们的入侵企图。

6、把共享文件的权限从Everyone组改成授权用户

任何时候都不要把共享文件的用户设置成“Everyone”组，包括打印共享，默认的属性就是“Everyone”组的，一定不要忘了改。

7、开启用户策略

使用用户策略，分别设置复位用户锁定计数器时间为20分钟，用户锁定时间为20分钟，用户锁定阈值为3次。

8、不让系统显示上次登录的用户名

默认情况下，登录对话框中会显示上次登录的用户名。这使得别人可以很容易地得到系统的一些用户名，进而做密码猜测。修改注册表可以不让对话框里显示上次登录的用户名。方法为：打开注册表编辑器并找到注册表项“HKLMSoftwareMicrosoftWindows TCurrentVersionWinlogonDont-DisplayLastUserName”，把REG_SZ的键值改成1。

密码安全设置

1、使用安全密码

一些公司的管理员创建账号的时候往往用公司名、计算机名做用户名，然后又把这些用户的密码设置得太简单，比如“welcome”等等。因此，要注意密码的复杂性，还要记住经常改密码。

2、设置屏幕保护密码

这是一个很简单也很有必要的操作。设置屏幕保护密码也是防止内部人员破坏服务器的一个屏障。

3、开启密码策略

注意应用密码策略，如启用密码复杂性要求，设置密码长度最小值为6位 ，设置强制密码历史为5次，时间为42天。

4、考虑使用智能卡来代替密码

对于密码，总是使安全管理员进退两难，密码设置简单容易受到黑客的攻击，密码设置复杂又容易忘记。如果条件允许，用智能卡来代替复杂的密码是一个很好的解决方法。

这段时间论坛上有朋友提及无法在WINDOWS2003+IIS6下面建立WINWEBMAIL邮件,遇到不一些问题,特意将这篇旧文重新发一次给大家

1)查看硬盘:两块9.1G SCSI 硬盘(实容量8.46*2)

2)分区
系统分区X盘7.49G
WEB 分区X盘1.0G
邮件分区X盘8.46G（带１０００个１００Ｍ的邮箱足够了）

3)安装WINDOWS SERVER 2003

4)打基本补丁(防毒)．．．在这之前一定不要接网线！

5)在线打补丁

6)卸载或禁用微软的SMTP服务(Simple Mail Transpor Protocol)，否则会发生端口冲突

7)安装WinWebMail,然后重启服务器使WinWebMail完成安装.并注册.然后恢复WinWebMail数据.

8)安装Norton 8.0并按WinWebMail帮助内容设定,使Norton与WinWebMail联合起到邮件杀毒作用(将Norton更新到最新的病毒库)
8.1 启用Norton的实时防护功能
8.2 必须要设置对于宏病毒和非宏病毒的第1步操作都必须是删除被感染文件，并且必须关闭警告提示！！
8.3 必须要在查毒设置中排除掉安装目录下的 \mail 及其所有子目录，只针对WinWebMail安装文件夹下的 \temp 文件夹进行实时查毒。注意：如果没有 \temp 文件夹时，先手工创建此 \temp 文件夹，然后再进行此项设置。

9)将WinWebMail的DNS设置为win2k3中网络设置的DNS，切记，要想发的出去最好设置一个不同的备用DNS地址，对外发信的就全靠这些DNS地址了

10)给予安装 WinWebMail 的盘符以及父目录以 Internet 来宾帐户 (IUSR_*) 允许 [读取\运行\列出文件夹目录] 的权限.
WinWebMail的安装目录,INTERNET访问帐号完全控制
给予[超级用户/SYSTEM]在安装盘和目录中[完全控制]权限,重启IIS以保证设定生效.

11)防止外发垃圾邮件:
11.1 在服务器上点击右下角图标，然后在弹出菜单的“系统设置”-->“收发规则”中选中“启用SMTP发信认证功能”项，有效的防范外发垃圾邮件。
11.2 在“系统设置”-->“收发规则”中选中“只允许系统内用户对外发信”项。
11.3 在服务器上点击右下角图标，然后在弹出菜单的“系统设置”-->“防护”页选中“启用外发垃圾邮件自动过滤功能”项，然后再启用其设置中的“允许自动调整”项。
11.4 “系统设置”-->“收发规则”中设置“最大收件人数”-----> 10.
11.5 “系统设置”-->“防护”页选中“启用连接攻击保护功能”项，然后再设置“启用自动保护功能”.
11.6 用户级防付垃圾邮件，需登录WebMail，在“选项 | 防垃圾邮件”中进行设置。

12)打开IIS 6.0, 确认启用支持 asp 功能, 然后在默认站点下建一个虚拟目录(如: mail), 然后指向安装 WinWebMail 目录下的 \Web 子目录, 打开浏览器就可以按下面的地址访问webmail了:
http://<;;你的IP或域名>/mail/什么? 嫌麻烦不想建? 那可要错过WinWebMail强大的webmail功能了, 3分钟的设置保证物超所值 :)

13)Web基本设置:
13.1 确认“系统设置”-->“资源使用设置”内没有选中“公开申请的是含域名帐号”
13.2 “系统设置”-->“收发规则”中设置Helo为您域名的MX记录

13.3.解决SERVER 2003不能上传大附件的问题:
13.3.1 在服务里关闭 iis admin service 服务。
13.3.2 找到 windows\system32\inetsrv\ 下的 metabase.xml 文件。
13.3.3 用纯文本方式打开，找到 ASPMaxRequestEntityAllowed 把它修改为需要的值（可修改为10M即：10240000），默认为：204800，即：200K。
13.3.4 存盘，然后重启 iis admin service 服务。