装好前面我说的一大堆什么IIS SERV-U SQL2000 PHP MYSQL这些东西.
一般人,也就是用这些服务吧???
1,本地安全策略或者网卡那里做端口限制
本地安全策略:
外->本地 80
外->本地 20
外->本地 21
外->本地 PASV所用到的一些端口(SERV-U,一般开放9000-9049这50个端口)
外->本地 3389
然后按照具体情况.打开SQL SERVER和MYSQL的端口
外->本地 1433
外->本地 3306
本地->外 80
除了明确允许的一律阻止.这个是安全规则的关键.
外->本地 所有协议 阻止
网卡端口限制:
<img src="attachments/month_0703/k200731715121.jpg" border="0" alt=""/>
填写相应的TCP端口,如WEB用到80端口,SERV-U用到21端口,远程桌面用3389端口,SQLSERVER开放外网连接,用到1433端口,MYSQL开放远程连接,用
到3306端口等,
切记:如果是开了远程,一定要开3389端口啊,要不你就连不上远程了..(如果你改了3389端口,就另外填写你改的那个)
2,更改默认管理员的帐户名
将administrator改名为你好记的名字,密码设长点,,最少8位以上,,大小写,字符等.
3,磁盘权限设置..
将所有盘符的权限(如C,D,E等),全部改为只有
administrators组 全部权限
system 全部权限
如图:
主要设置C盘权限:
C盘的所有子目录和子文件继承C盘的administrator(组或用户)和SYSTEM所有权限的两个权限
修改
C:/Program Files/Common Files 开放Everyone 默认的读取及运行 列出文件目录 读取三个权限
C:/WINDOWS/ 开放Everyone 默认的读取及运行 列出文件目录 读取三个权限
C:/WINDOWS/Temp 开放Everyone 修改,读取及运行,列出文件目录,读取,写入权限
如图:
这三个目录权限都是这样设置
Everyone 权限,很多地方都有,现在,我们一个一个找他们出来,删了!!
C:/Documents and Settings下All Users/Default User目录及其子目录,这个比较烦,要认真找找喔.
C:/WINDOWS/PCHealth
C:/windows/Installer
现在WebShell就无法在系统目录内写入任何文件了,如木马,EXE等等.
当然也可以使用更严格的权限.
在WINDOWS下分别目录设置权限.
可是比较复杂.效果也并不明显.而且,,还会很容易头晕..(比如我 ^O^)
4,设置系统EXE文件权限
打开c:/windows 搜索:
net.exe;cmd.exe;netstat.exe;regedit.exe;at.exe;cacls.exe;regsvr32.exe;xcopy.exe;wscript.exe;cscript.exe;
ftp.exe;telnet.exe;arp.exe;edlin.exe;ping.exe;route.exe;finger.exe;posix.exe;rsh.exe;atsvc.exe;qbasic.exe;
runonce.exe;syskey.exe
修改权限,删除所有的用户只保存Administrators 和SYSTEM为所有权限
如图: