設(shè)置.net1.1安全:
修改C:\WINDOWS\Microsoft.net\Framework\v1.1.4322\CONFIG\machine.config
文件.
<identity impersonate=”false” userName=”" password=”"/>
改為
<identity impersonate=”true” userName=”" password=”"/>
參考資料：http://msdn.microsoft.com/zh-cn/library/72wdk8cc(VS.80).aspx
設(shè)置.net2.0安全.
打開IIS->找到一個(gè)默認(rèn)站點(diǎn)->右鍵屬性->asp.net->確認(rèn).net版本選擇的是.ne2.0(如果不是.net2.0,編輯全局配置這
個(gè)按扭是灰色的)->編輯全局配置->應(yīng)用程序,把”本地模擬”前面的勾打上
IIS Spy。點(diǎn)擊以后可以看到所有站點(diǎn)所在的物理路徑。
防御方法：
%SystemRoot%/ServicePackFiles/i386/activeds.dll
%SystemRoot%/system32/activeds.dll
%SystemRoot%/system32/activeds.tlb
搜索activeds.dll和activeds.tlb這兩個(gè)文件，把USER組和POWERS組去掉，只保留administrators和system權(quán)限。如果還有其它組請(qǐng)全部去掉，這樣就能防止這種木馬列出所有站點(diǎn)的物理路徑</code>
設(shè)置C:\WINDOWS\system32\inetsrv目錄下的adsiis.dll的權(quán)限也可以禁止遍歷IIS

====================================================================
剛在網(wǎng)上看到的一篇文章 歸納到一起


關(guān)于禁止IISSPY的弊端.測(cè)試環(huán)境：Windows2003SP2+IIS6.0+ASP.Net 3.5
IISSPY危害
前段時(shí)間發(fā)現(xiàn)Bin大牛發(fā)布了ASPXSPY V2009，利用此Webshell的iisspy功能可以成功列出服務(wù)器的所有網(wǎng)站的賬號(hào)、密碼、站點(diǎn)路徑等信息。
網(wǎng)上解決方案
去掉%windir%/system32/activeds.dll和%windir%/system32/activeds.tlb這兩個(gè)文件的Users組和Power Users組的讀取權(quán)限。
造成的弊端
當(dāng)我們?nèi)サ暨@兩個(gè)文件的Users組和Power Users組的讀取權(quán)限時(shí)，我們?cè)偈褂肐ISSPY功能時(shí)，它會(huì)顯示“加載類型庫/DLL 時(shí)出錯(cuò)。”，且不能顯示出服務(wù)器上所有的網(wǎng)站信息，但我們將服務(wù)器進(jìn)行重啟后，會(huì)發(fā)現(xiàn)系統(tǒng)里所有的服務(wù)都不能停止，也不能啟動(dòng)。它的錯(cuò)誤信息都是“在 本地計(jì)算機(jī) 無法啟動(dòng) XXX服務(wù)。錯(cuò)誤 1053：服務(wù)沒有及時(shí)響應(yīng)啟動(dòng)或控制請(qǐng)求。”，而且最要命的是它不會(huì)在系統(tǒng)日志里面顯示詳細(xì)的錯(cuò)誤信息。
最終解決方案
僅將%windir%/system32/activeds.tlb文件的Users組和Power Users組的讀取權(quán)限去掉。保留Users組和Power Users組對(duì)%windir%/system32/activeds.dll文件的讀取權(quán)限。這樣既能讓IISSPY功能失效，又能讓系統(tǒng)里的服務(wù)正常啟動(dòng)和停止。



==========================================================
添加一點(diǎn)服務(wù)器安全設(shè)置
=========================================================
限制目錄的文件執(zhí)行權(quán)限保障服務(wù)器安全
對(duì)于一個(gè)web目錄來說。 根本不需要運(yùn)行可執(zhí)行文件的權(quán)限。這里教大家一種方法。
利用gpedit.msc(組策略)禁止目錄執(zhí)行某些文件。
首先:
運(yùn)行-----輸入 gpedit.msc ----計(jì)算機(jī)配置---windows 設(shè)置----安全設(shè)置↓
----軟件限制策略(如果旁邊沒有什么東西。點(diǎn)右鍵創(chuàng)建一個(gè)策略)---其他規(guī)則----(點(diǎn)右鍵)新建立一個(gè)路徑規(guī)則(p)。
如圖1:

這樣d:\wwwroot\目錄就無法執(zhí)行任何exe.bat.com文件了。 不管你是什么權(quán)限。即使是system都無法執(zhí)行。
這樣大大的提高了被使用exp提升權(quán)限的安全性。
當(dāng)然這里提一個(gè)思路。 。大家都知道c:\windows\temp\是臨時(shí)文件夾。 基本都是所有用戶都可以寫的。它是不需要執(zhí)行權(quán)限的。
當(dāng)然我們這里可以給他加一個(gè)規(guī)則。讓c:\windows\temp\無執(zhí)行權(quán)限。 方法如上。
--------------------------------------------
apache下 取消上傳目錄php腳本執(zhí)行權(quán)限
----------------------------------------------
一般CMS都支持上傳圖片、附件等文件,然而這個(gè)目錄不需要php腳本執(zhí)行支持,如果你沒有加以禁止的話,會(huì)給主機(jī)帶來安全隱患,Blinux的網(wǎng)站曾經(jīng)遭遇到壞壞注入.
今天介紹如何取消apache主機(jī)指定目錄的php腳本執(zhí)行權(quán)限,注意哦,并非Linux下文件的執(zhí)行權(quán)限x.下面提供幾種不同作業(yè)環(huán)境的解決方案.
1.如果你只有編輯.htaccess文件的權(quán)限
你可以在上傳目錄添加一個(gè).htaccess文件,比如在Wordpress的/wp-content/uploads/目錄,Discuz的/attachments/目錄,.htaccess文件的內(nèi)容可以是
<Files ~ ".php">
Order allow,deny
Deny from all
</Files>
或者是（這個(gè)是bigcat透露的 ）
RewriteEngine on
RewriteCond % !^$
RewriteRule \.(php)$ - [F]
2.如果你有編輯httpd.conf文件的權(quán)限
<Directory /var/www/bbs/attachments>
<Files ~ ".php">
Order allow,deny
Deny from all
</Files>
</Directory>
---------------------------------------------------------------------------
FCKEditor編輯器安全配置
-----------------------------------------------------
如果你的網(wǎng)站使用了FckEditor編輯器還沒有進(jìn)行正確的配置是很容易被別人通過上傳得到webshell,下面我就分享一下我在用Fckeditro時(shí)一點(diǎn)技巧.
環(huán)境：vs2005
首先在vs中配置Fckeditor編輯器。
關(guān)于Fckeditor下載后的文件請(qǐng)參考：
徹底禁用fckEditor的上傳功能(含防止Type漏洞問題)
在Fckeditor 2.6.3前的版本中　在　fckeditor"editor"filemanager"connectors"aspx"config.ascx 文件中的上傳驗(yàn)證沒有安全的驗(yàn)證就直接可上傳，在后續(xù)的版本中修改這個(gè)地方，必須得用手動(dòng)設(shè)置
private bool CheckAuthentication()
{
// WARNING : DO NOT simply return "true". By doing so, you are allowing
// "anyone" to upload and list the files in your server. You must implement
// some kind of session validation here. Even something very simple as...
//
// return ( Session[ "IsAuthorized" ] != null && (bool)Session[ "IsAuthorized" ] == true );
//
// ... where Session[ "IsAuthorized" ] is set to "true" as soon as the
// user logs in your system.
return false; <-- true
}
復(fù)制代碼
返回值為true.
但是這樣是不安全的。
參考 徹底禁用fckEditor的上傳功能(含防止Type漏洞問題)
fckeditor 可以從地址欄直接輸入漏洞地址還可上傳文件。
解決方法很簡(jiǎn)單就是在用戶登錄時(shí)加入是否可上傳文件的Session標(biāo)志。其實(shí)Fckeditor已經(jīng)寫好了。直接把驗(yàn)證函數(shù)CheckAuthentication()中的注釋段中
return ( Session[ "IsAuthorized" ] != null && (bool)Session[ "IsAuthorized" ] == true );
注釋去掉。在登錄成功加入Session[“IsAuthorized”] = true;就可以了。
如果網(wǎng)站沒有用到上傳到服務(wù)器的文件瀏覽的話把fckeditor"editor"filemanager　中的browser　目錄也刪除。
---------------------------------------------------------------------------------------------------------------------------------------------
SQL關(guān)閉外網(wǎng)對(duì)1433端口的訪問
------------------------------------------------
如果不是做虛擬主機(jī)的服務(wù)器。我們強(qiáng)列建意關(guān)閉1433端口。因此百分之九十的黑客是通過數(shù)據(jù)庫提權(quán)建利管理員帳號(hào)和密碼。
一.創(chuàng)建IP篩選器和篩選器操作
1.”開始”->”程序”->”管理工具”->”本地安全策略”。微軟建議使用本地安全策略進(jìn)行IPsec的設(shè)置，因?yàn)楸镜匕踩呗灾粦?yīng)用到本地計(jì)算機(jī)上，而通常ipsec都是針對(duì)某臺(tái)計(jì)算機(jī)量身定作的。
2.右擊”Ip安全策略，在本地機(jī)器”，選擇”管理 IP 篩選器表和篩選器操作”，啟動(dòng)管理 IP 篩選器表和篩選器操作對(duì)話框。我們要先創(chuàng)建一個(gè)IP篩選器和相關(guān)操作才能夠建立一個(gè)相應(yīng)的IPsec安全策略。
3.在”管理 IP 篩選器表”中，按”添加”按鈕建立新的IP篩選器:
1)在跳出的IP篩選器列表對(duì)話框內(nèi)，填上合適的名稱，我們這兒使用”tcp1433″，描述隨便填寫.單擊右側(cè)的”添加”按鈕，啟動(dòng)IP篩選器向?qū)А?
2)跳過歡迎對(duì)話框，下一步。
3)在IP通信源頁面，源地方選”任何IP地址”，因?yàn)槲覀円柚箓魅氲脑L問。下一步。
4)在IP通信目標(biāo)頁面，目標(biāo)地址選”我的IP地址”。下一步。
5)在IP協(xié)議類型頁面，選擇”TCP”。下一步。
6)在IP協(xié)議端口頁面，選擇”到此端口”并設(shè)置為”1433″，其它不變。下一步。
7)完成。關(guān)閉IP篩選器列表對(duì)話框。會(huì)發(fā)現(xiàn)tcp1433IP篩選器出現(xiàn)在IP篩選器列表中。
4.選擇”管理篩選器操作”標(biāo)簽，創(chuàng)建一個(gè)拒絕操作:
1)單擊”添加”按鈕，啟動(dòng)”篩選器操作向?qū)?rdquo;，跳過歡迎頁面，下一步。
2)在篩選器操作名稱頁面，填寫名稱，這兒填寫”拒絕”。下一步。
3)在篩選器操作常規(guī)選項(xiàng)頁面，將行為設(shè)置為”阻止”。下一步。
4)完成。
5.關(guān)閉”管理 IP 篩
選器表和篩選器操作”對(duì)話框。
------------------------------------------------------------------------------------------------------
MSSQL 2005降低權(quán)限運(yùn)行的方法
----------------------------------------------
在服務(wù)器安全方面.MSSQL server的sa提權(quán)是一定要防的.比如刪存儲(chǔ)過程(入侵者可以恢復(fù))和刪DLL都是個(gè)方法(入侵這可以自己上傳).但最徹底的辦法.我覺得還是用非system權(quán)限來啟動(dòng)SQL Server是最好的辦法.絕對(duì)直接杜絕sa提權(quán)(當(dāng)然牛人自有辦法.不在此討論范圍).就算溢出SQL Server也得到不了系統(tǒng)權(quán)限.先說下我的失敗之路:
　　本以為.MSSQL2005和2000差不多.只要把安裝路徑有讀取權(quán)限.MDF文件有寫權(quán)限就可以了.可是啟動(dòng)服務(wù)的時(shí)候.來了個(gè)17058號(hào)錯(cuò)誤.不知道為什么.跟傻子說了很久.后來還是自己摸索到了一個(gè)辦法.期間還有另一個(gè)失敗導(dǎo)致的結(jié)果是服務(wù)啟動(dòng)后又退出了.忘了當(dāng)時(shí)是怎么設(shè)置的了.不過只要按下面的過程走.就絕對(duì)沒問題:
　　1.新建個(gè)用戶sqluser.刪除users組的權(quán)限.也就是不屬于任何組.然后給MSSQL Server安裝目錄給上讀取和運(yùn)行權(quán)限.
　　2.點(diǎn)開SQL Server的配置工具下的SQL Server Configuration Manager(直譯:SQL Server配置管理器.呵呵).然后點(diǎn)SQL Server2005服務(wù).在SQL Server(EXPRESS)上雙擊.在這里把sqluser的用戶填上.密碼填上.然后確定就是了.
　　其實(shí)經(jīng)過測(cè)試.一開始就知道.直接在服務(wù)管理器里填上sqluser的話.啟動(dòng)不了.因?yàn)楸萵etwork用戶少了點(diǎn)權(quán)限.具體少什么不知道.但是如果用SQL Server配置管理器.會(huì)發(fā)現(xiàn)sqluser屬于SQLServer2005MSSQLUser$MEDIA$SQLEXPRESS組了.其中$$之間的是服務(wù)器名字.那么也就自然知道了純手工的辦法.就是在服務(wù)器管理器里把啟動(dòng)帳戶改成SQLUSER后.還需要把sqluser加如到SQLServer2005MSSQLUser$MEDIA$SQLEXPRESS組中.呵呵...你服務(wù)器上這個(gè)組是什么名字.自己看吧.呵呵..

海外服務(wù)器租用

版權(quán)聲明：本站文章來源標(biāo)注為YINGSOO的內(nèi)容版權(quán)均為本站所有，歡迎引用、轉(zhuǎn)載，請(qǐng)保持原文完整并注明來源及原文鏈接。禁止復(fù)制或仿造本網(wǎng)站，禁止在非www.sddonglingsh.com所屬的服務(wù)器上建立鏡像，否則將依法追究法律責(zé)任。本站部分內(nèi)容來源于網(wǎng)友推薦、互聯(lián)網(wǎng)收集整理而來，僅供學(xué)習(xí)參考，不代表本站立場(chǎng)，如有內(nèi)容涉嫌侵權(quán)，請(qǐng)聯(lián)系alex-e#qq.com處理。