防止跨站攻击-权限管理.pdfVIP

除了自身的硬件条件外,还需要对你的服务器做出安全设置控制,用2003 系统来说下具体 安全设置如下: 1、服务器安全设置之--硬盘权限篇 这里着重谈需要的权限，也就是最终文件夹或硬盘需要的权限，可以防御各种木马入侵， 提权攻击，跨站攻击等。本实例经过多次试验，安全性能很好，服务器基本没有被木马威 胁的担忧了。 硬盘或文件夹: C:\ D:\ E:\ F:\ 类推 主要权限部分： Administrators 完全控制 无 该文件夹，子文件夹及文件 不是继承的 CREATOR OWNER 完全控制 只有子文件夹及文件 不是继承的 SYSTEM 完全控制 该文件夹，子文件夹及文件 不是继承的 其他权限部分： 如果安装了其他运行环境，比如PHP 等，则根据PHP 的环境功能要求来设置硬盘权限， 一般是安装目录加上users 读取运行权限就足够了，比如c:\php 的话，就在根目录权限继 承的情况下加上users 读取运行权限，需要写入数据的比如tmp 文件夹，则把users 的写 删权限加上，运行权限不要，然后把虚拟主机用户的读权限拒绝即可。如果是mysql 的 话，用一个独立用户运行MYSQL 会更安全，下面会有介绍。如果是winwebmail ，则最好 建立独立的应用程序池和独立IIS 用户，然后整个安装目录有users 用户的读/运行/写/权 限，IIS 用户则相同，这个IIS 用户就只用在winwebmail 的WEB 访问中，其他IIS 站点切 勿使用 硬盘设置需要根据你的实际需要来设置权限！ 2、服务器安全设置之--系统服务篇(设置完毕需要重新启动) *除非特殊情况非开不可，下列系统服务要停止并禁用： 1、Alerter 2 、Application Layer Gateway Service 3 、 Background Intelligent Transfer Service 4 、Computer Browser 5、Distributed File System 6、Help and Support 7、Messenger 8、NetMeeting Remote Desktop Sharing 9、Print Spooler 10、Remote Registry 11、 Task Scheduler 12、TCP/IP NetBIOS Helper 13、Telnet 14、Workstation 以上是 windows2003server 标准服务当中需要停止的服务，作为IIS 网络服务器，以上服务务必 要停止，如果需要SSL 证书服务，则设置方法不同。如果你装有虚拟主机系统，设置当然 也不一样！更详细设置可以根据自己的需要找更详细的参考资料。 3、服务器安全设置之--组件安全设置篇 (非常重要！！！) A 、卸载WScript.Shell 和 Shell.application 组件，将下面的代码保存为一个.BAT 文件执 行（分2000 和2003 系统） win2000 regsvr32/u C:\WINNT\System32\wshom.ocx del C:\WINNT\System32\wshom.ocx regsvr32/u C:\WINNT\system32\shell32.dll del C:\WINNT\system32\shell32.dll win2003 regsvr32/u C:\WINDOWS\System32\wshom.ocx del C:\WINDOWS\System32\wshom.ocx regsvr32/u C:\WINDOWS\system32\shell32.dll del C:\WINDOWS\system32\shell32.dll B、改名不安全组件，需要注意的是组件的名称和Clsid 都要改，并且要改彻底了，不要照 抄，要自己改 【开始→运行→regedit→回车】打开注册表编辑器 然后【编辑→查找→填写Shell.application→查找下一个】 用这个方法能找到两个注册表项： C279-11CE-A49E-444553540000} 和 Shell.application 。 第一步：为了确保万无一失，把这两个注册表项导出来，保存为xxxx.reg 文件。 第二步：比如我们想做这样的更改 C279-11CE-A49E-444553540000 改名为 C279-11CE-A49E- 444553540001 Shell.application 改