服务器安全配置教程.doc

服务器基本安全配置- 做自已的安全,让别人去破吧如果您的操作系统是Windows2003系统，请检查是否已经打了SP2以上补丁，同时更新所有系统补丁（可以使用360安全卫士等软件打补丁），并建议您打开系统自带防火墙，对端口进行过滤，只开放您的服务端口。具体的端口关闭可以使用系统防火墙和组策略里面的本地安全策略。关闭端口安全策略见第八部分。根据对服务器的观察：elsa（95）开放了一下端口：TCP：21/ftp 80/http 1366/netware-csp 3389/cms-tern-servUDP：53/domain 161/snmp根据自己的需求关闭不必要的端口。同时对常用的远程控制端口3389进行修改。（强烈推荐）2003修改系统远程桌面连接端口的方法：a、在运行里面输入：”regedit”，进入注册表，然后找到HKEY_LOCAL_MACHINE SYSTEM CurrentControlSet Control Terminal Server Wds rdpwd Tds tcp这一项。b、找到“PortNumber”处，鼠标右键选择“修改”，选择十进制，换成你想修改的端口（范围在1024到65535）而且不能冲突，否则下次就无法正常启动系统了。c、然后找到HKEY_LOCAL_MACHINE SYSTEM CurrentControlSet Control Terminal Server WinStations RDP-Tcp。d、在右侧找到” PortNumber处”。 注意，这次的端口要和上次修改的端口一致。e、然后系统重新启动下，就可以用3389连接器远程连接操作了，3389连接器打开方法：XP/2003下在运行里输入”mstsc”）即可。连接的时候格式为：IP:修改后的端口。如果您操作系统安装有SQL Server 2000数据库，请检查是否已经打了SP4补丁，并为sa用户设置了密码我们建议您更改Windows系统默认帐户Administrator的名称，并把管理员组成员用户名密码设置的尽量复杂；同时对账户设置密码策略。详细情况见服务器安全设置之-本地安全策略设置如果您的系统是Linux系列系统，我们建议您的root用户密码尽量复杂；如果通过SSH远程登录管理，我们建议您更改默认的22端口为其他端口。同时登陆的的时候不要使用root账户，ssh登录后再su切换账户。一，服务器安全设置之-系统服务篇(设置完毕需要重新启动)*除非特殊情况非开不可，下列系统服务要停止并禁用：Alerter 服务名称: Alerter 显示名称: Alerter 服务描述: 通知选定的用户和计算机管理警报。如果服务停止，使用管理警报的程序将不会收到它们。如果此服务被禁用，任何直接依赖它的服务都将不能启动。 可执行文件路径: E:windowssystem32svchost.exe -k LocalService 其他补充: Application Layer Gateway Service 服务名称: ALG 显示名称: Application Layer Gateway Service 服务描述: 为应用程序级协议插件提供支持并启用网络/协议连接。如果此服务被禁用，任何依赖它的服务将无法启动。 可执行文件路径: E:windowsSystem32alg.exe 其他补充: Background Intelligent Transfer Service 服务名称: BITS 显示名称: Background Intelligent Transfer Service 服务描述: 服务描述:利用空闲的网络带宽在后台传输文件。如果服务被停用，例如 windows Update 和 MSN Explorer 的功能将无法自动下载程序和其他信息。如果此服务被禁用，任何依赖它的服务如果没有容错技术以直接通过 IE 传输文件，一旦 BITS 被禁用，就可能无法传输文件。 可执行文件路径: E:windowssystem32svchost.exe -k netsvcs 其他补充: Computer Browser 服务名称: 服务名称:Browser 显示名称: 显示名称:Computer Browser 服务描述: 服务描述:维护网络上计算机的更新列表，并将列表提供给计算机指定浏览。如果服务停止，列表不会被更新或维护。如果服务被禁用，任何直接依赖于此服务的服务将无法启动。 可执行文件路径: 可执行文件路径: E:windowssystem32svchost.exe -k netsvcs 其他补充: Distributed File System 服务名称: Dfs 显示名称: Distributed File System 服务描述: 将分散的文件共享合并成一个逻辑名称空间并在局域网或广域网上管理这些逻辑卷。如果这个服务被停止，用户则无法访问文件共享。如果这个服务被禁用，任何依赖它的服务将无法启动。 可执行文件路径: E:windowssystem32Dfssvc.exe 其他补充: Help and Support 服务名称: helpsvc 显示名称: Help and Support 服务描述: 启用在此计算机上运行帮助和支持中心。如果停止服务，帮助和支持中心将不可用。如果禁用服务，任何直接依赖于此服务的服务将无法启动。 可执行文件路径: E:windowsSystem32svchost.exe -k netsvcs 其他补充: Messenger 服务名称: Messenger 显示名称: Messenger 服务描述: 传输客户端和服务器之间的 NET SEND 和 警报器服务消息。此服务与 windows Messenger 无关。如果服务停止，警报器消息不会被传输。如果服务被禁用，任何直接依赖于此服务的服务将无法启动。 可执行文件路径: E:windowssystem32svchost.exe -k netsvcs 其他补充: NetMeeting Remote Desktop Sharing 服务名称: mnmsrvc 显示名称: NetMeeting Remote Desktop Sharing 服务描述: 允许经过授权的用户用 NetMeeting 在公司 intranet 上远程访问这台计算机。如果服务被停止，远程桌面共享将不可用。如果服务被禁用，依赖这个服务的任何服务都会无法启动。 可执行文件路径: E:windowssystem32mnmsrvc.exe 其他补充: Print Spooler 服务名称: Spooler 显示名称: Print Spooler 服务描述: 管理所有本地和网络打印队列及控制所有打印工作。如果此服务被停用，本地计算机上的打印将不可用。如果此服务被禁用，任何依赖于它的服务将无法启用。 可执行文件路径: E:windowssystem32spoolsv.exe 其他补充: Remote Registry 服务名称: RemoteRegistry 显示名称: Remote Registry 服务描述: 使远程用户能修改此计算机上的注册表设置。如果此服务被终止，只有此计算机上的用户才能修改注册表。如果此服务被禁用，任何依赖它的服务将无法启动。 可执行文件路径: E:windowssystem32svchost.exe -k regsvc 其他补充: Task Scheduler 服务名称: Schedule 显示名称: Task Scheduler 服务描述: 使用户能在此计算机上配置和计划自动任务。如果此服务被终止，这些任务将无法在计划时间里运行。如果此服务被禁用，任何依赖它的服务将无法启动。 可执行文件路径: E:windowsSystem32svchost.exe -k netsvcs 其他补充: TCP/IP NetBIOS Helper 服务名称: LmHosts 显示名称: TCP/IP NetBIOS Helper 服务描述: 提供 TCP/IP (NetBT) 服务上的 NetBIOS 和网络上客户端的 NetBIOS 名称解析的支持，从而使用户能够共享文件、打印和登录到网络。如果此服务被停用，这些功能可能不可用。如果此服务被禁用，任何依赖它的服务将无法启动。 可执行文件路径: E:windowssystem32svchost.exe -k LocalService 其他补充: Telnet 服务名称: TlntSvr 显示名称: Telnet 服务描述: 允许远程用户登录到此计算机并运行程序，并支持多种 TCP/IP Telnet 客户端，包括基于 UNIX 和 windows 的计算机。如果此服务停止，远程用户就不能访问程序，任何直接依赖于它的服务将会启动失败。 可执行文件路径: E:windowssystem32tlntsvr.exe 其他补充: Workstation 服务名称: lanmanworkstation 显示名称: Workstation 服务描述: 创建和维护到远程服务的客户端网络连接。如果服务停止，这些连接将不可用。如果服务被禁用，任何直接依赖于此服务的服务将无法启动。 可执行文件路径: E:windowssystem32svchost.exe -k netsvcs 其他补充: 以上是windows2003server标准服务当中需要停止的服务，作为IIS网络服务器，以上服务务必要停止，如果需要SSL证书服务，则设置方法不同 二，服务器安全设置之-本地安全策略设置安全策略自动更新命令：GPUpdate /force (应用组策略自动生效不需重新启动) 开始菜单管理工具本地安全策略 A、本地策略审核策略 审核策略更改成功失败 审核登录事件成功失败 审核对象访问失败 审核过程跟踪无审核 审核目录服务访问失败 审核特权使用失败 审核系统事件成功失败 审核账户登录事件成功失败 审核账户管理成功失败 B、本地策略用户权限分配 关闭系统：只有Administrators组、其它全部删除。 通过终端服务拒绝登陆：加入Guests、User组 通过终端服务允许登陆：只加入Administrators组，其他全部删除C、本地策略安全选项 交互式登陆：不显示上次的用户名启用 网络访问：不允许SAM帐户和共享的匿名枚举 启用 网络访问：不允许为网络身份验证储存凭证启用 网络访问：可匿名访问的共享全部删除 网络访问：可匿名访问的命全部删除 网络访问：可远程访问的注册表路径全部删除 网络访问：可远程访问的注册表路径和子路径全部删除 帐户：重命名来宾帐户重命名一个帐户 帐户：重命名系统管理员帐户重命名一个帐户UI 中的设置名称 企业客户端台式计算机 企业客户端便携式计算机 高安全级台式计算机 高安全级便携式计算机 帐户: 使用空白密码的本地帐户只允许进行控制台登录 已启用 已启用 已启用 已启用 帐户: 重命名系统管理员帐户 推荐 推荐 推荐 推荐 帐户: 重命名来宾帐户 推荐 推荐 推荐 推荐 设备: 允许不登录移除 已禁用 已启用 已禁用 已禁用 设备: 允许格式化和弹出可移动媒体 Administrators, Interactive Users Administrators, Interactive Users Administrators Administrators 设备: 防止用户安装打印机驱动程序 已启用 已禁用 已启用 已禁用 设备: 只有本地登录的用户才能访问 CD-ROM 已禁用 已禁用 已启用 已启用 设备: 只有本地登录的用户才能访问软盘 已启用 已启用 已启用 已启用 设备: 未签名驱动程序的安装操作 允许安装但发出警告 允许安装但发出警告 禁止安装 禁止安装 域成员: 需要强 (windows 2000 或以上版本) 会话* 已启用 已启用 已启用 已启用 交互式登录: 不显示上次的用户名 已启用 已启用 已启用 已启用 交互式登录: 不需要按 CTRL+ALT+DEL 已禁用 已禁用 已禁用 已禁用 交互式登录: 用户试图登录时消息文字 此系统限制为仅授权用户。尝试进行未经授权访问的个人将受到起诉。 此系统限制为仅授权用户。尝试进行未经授权访问的个人将受到起诉。 此系统限制为仅授权用户。尝试进行未经授权访问的个人将受到起诉。 此系统限制为仅授权用户。尝试进行未经授权访问的个人将受到起诉。 交互式登录: 用户试图登录时消息标题 继续在没有适当授权的情况下使用是违法行为。 继续在没有适当授权的情况下使用是违法行为。 继续在没有适当授权的情况下使用是违法行为。 继续在没有适当授权的情况下使用是违法行为。 交互式登录: 可被缓存的前次登录个数 (在域控制器不可用的情况下) 2 2 0 1 交互式登录: 在密码到期前提示用户更改密码 14 天 14 天 14 天 14 天 交互式登录: 要求域控制器身份验证以解锁工作站 已禁用 已禁用 已启用 已禁用 交互式登录: 智能卡移除操作 锁定工作站 锁定工作站 锁定工作站 锁定工作站 Microsoft 网络客户: 数字签名的通信（若服务器同意） 已启用 已启用 已启用 已启用 Microsoft 网络客户: 发送未加密的密码到第三方 SMB 服务器。 已禁用 已禁用 已禁用 已禁用 Microsoft 网络服务器: 在挂起会话之前所需的空闲时间 15 分钟 15 分钟 15 分钟 15 分钟 Microsoft 网络服务器: 数字签名的通信（总是） 已启用 已启用 已启用 已启用 Microsoft 网络服务器: 数字签名的通信（若客户同意） 已启用 已启用 已启用 已启用 Microsoft 网络服务器: 当登录时间用完时自动注销用户 已启用 已禁用 已启用 已禁用 网络访问: 允许匿名 SID/名称 转换 已禁用 已禁用 已禁用 已禁用 网络访问: 不允许 SAM 帐户和共享的匿名枚举 已启用 已启用 已启用 已启用 网络访问: 不允许 SAM 帐户和共享的匿名枚举 已启用 已启用 已启用 已启用 网络访问: 不允许为网络身份验证储存凭据或 .NET Passports 已启用 已启用 已启用 已启用 网络访问: 限制匿名访问命名管道和共享 已启用 已启用 已启用 已启用 网络访问: 本地帐户的共享和安全模式 经典 - 本地用户以自己的身份验证 经典 - 本地用户以自己的身份验证 经典 - 本地用户以自己的身份验证 经典 - 本地用户以自己的身份验证 网络安全: 不要在下次更改密码时存储 LAN Manager 的哈希值 已启用 已启用 已启用 已启用 网络安全: 在超过登录时间后强制注销 已启用 已禁用 已启用 已禁用 网络安全: LAN Manager 身份验证级别 仅发送 NTLMv2 响应 仅发送 NTLMv2 响应 仅发送 NTLMv2 响应拒绝 LM & NTLM 仅发送 NTLMv2 响应拒绝 LM & NTLM 网络安全: 基于 NTLM SSP（包括安全 RPC）客户的最小会话安全 没有最小 没有最小 要求 NTLMv2 会话安全 要求 128-位加密 要求 NTLMv2 会话安全 要求 128-位加密 网络安全: 基于 NTLM SSP(包括安全 RPC)服务器的最小会话安全 没有最小 没有最小 要求 NTLMv2 会话安全 要求 128-位加密 要求 NTLMv2 会话安全 要求 128-位加密 故障恢复控制台: 允许自动系统管理级登录 已禁用 已禁用 已禁用 已禁用 故障恢复控制台: 允许对所有驱动器和文件夹进行软盘复制和访问 已启用 已启用 已禁用 已禁用 关机: 允许在未登录前关机 已禁用 已禁用 已禁用 已禁用 关机: 清理虚拟内存页面文件 已禁用 已禁用 已启用 已启用 系统加密: 使用 FIPS 兼容的算法来加密，哈希和签名 已禁用 已禁用 已禁用 已禁用 系统对象: 由管理员 (Administrators) 组成员所创建的对象默认所有者 对象创建者 对象创建者 对象创建者 对象创建者 系统设置: 为软件限制策略对 windows 可执行文件使用证书规则 已禁用 已禁用 已禁用 已禁用三，服务器安全设置之-IP安全策略 (仅仅列出需要屏蔽或阻止的端口或协议)协议 IP协议端口 源地址 目标地址 描述 方式 ICMP - - - ICMP 阻止 UDP 135 任何IP地址 我的IP地址 135-UDP 阻止 UDP 136 任何IP地址 我的IP地址 136-UDP 阻止 UDP 137 任何IP地址 我的IP地址 137-UDP 阻止 UDP 138 任何IP地址 我的IP地址 138-UDP 阻止 UDP 139 任何IP地址 我的IP地址 139-UDP 阻止 TCP 445 任何IP地址-从任意端口 我的IP地址-445 445-TCP 阻止 UDP 445 任何IP地址-从任意端口 我的IP地址-445 445-UDP 阻止 UDP 69 任何IP地址-从任意端口 我的IP地址-69 69-入 阻止 UDP 69 我的IP地址-69 任何IP地址-任意端口 69-出 阻止 TCP 4444 任何IP地址-从任意端口 我的IP地址-4444 4444-TCP 阻止 TCP 1026 我的IP地址-1026 任何IP地址-任意端口 灰鸽子-1026 阻止 TCP 1027 我的IP地址-1027 任何IP地址-任意端口 灰鸽子-1027 阻止 TCP 1028 我的IP地址-1028 任何IP地址-任意端口 灰鸽子-1028 阻止 UDP 1026 我的IP地址-1026 任何IP地址-任意端口 灰鸽子-1026 阻止 UDP 1027 我的IP地址-1027 任何IP地址-任意端口 灰鸽子-1027 阻止 UDP 1028 我的IP地址-1028 任何IP地址-任意端口 灰鸽子-1028 阻止 TCP 21 我的IP地址-从任意端口 任何IP地址-到21端口 阻止tftp出站 阻止 TCP 99 我的IP地址-99 任何IP地址-任意端口 阻止99shell 阻止 以上是IP安全策略里的设置，可以根据实际情况，增加或删除端口四：服务器安全设置之-IIS用户设置方法IS安全访问的例子 IIS基本设置这里举例4个不同类型脚本的虚拟主机 权限设置例子主机头 主机脚本 硬盘目录 IIS用户名 硬盘权限 应用程序池 主目录 应用程序配置 / HTM D:/ IUSR_1.com Administrators(完全控制)IUSR_1.com(读)可共用 读取/纯脚本 启用父路径 / ASP D:/ IUSR_1.com Administrators(完全控制)IUSR_2.com(读/写) 可共用 读取/纯脚本 启用父路径 / NET D:/ IUSR_1.com Administrators(完全控制) IWAM_3.com(读/写)IUSR_3.com(读/写) 独立池 读取/纯脚本 启用父路径 / PHP D:/ IUSR_1.com Administrators(完全控制) IWAM_4.com(读/写)IUSR_4.com(读/写) 独立池 读取/纯脚本 启用父路径 其中 IWAM_3.com 和 IWAM_4.com 分别是各自独立应用程序池标识中的启动帐户 主机脚本类型 应用程序扩展名 （就是文件后缀名）对应主机脚本，只需要加载以下的应用程序扩展 HTM STM | SHTM | SHTML | MDB ASP ASP | ASA | MDB NET ASPX | ASAX | ASCX| ASHX | ASMX | AXD | VSDISCO | REM | SOAP | CONFIG |CS |CSPROJ | VB | VBPROJ | WebINFO | LICX | RESX | RESOURCES | MDB PHP PHP | PHP3 | PHP4 MDB是共用映射，下面用红色表示应用程序扩展 映射文件 执行动作 STM=.stm C:windowssystem32inetsrvssinc.dll GET,POST SHTM=.shtm C:windowssystem32inetsrvssinc.dll GET,POST SHTML=.shtml C:windowssystem32inetsrvssinc.dll GET,POST ASP=.asp C:windowssystem32inetsrvasp.dll GET,HEAD,POST,TRACE ASA=.asa C:windowssystem32inetsrvasp.dll GET,HEAD,POST,TRACE ASPX=.aspx C:windowsMicrosoft.NETFrameworkv1.1.4322aspnet_isapi.dll GET,HEAD,POST,DEBUG ASAX=.asax C:windowsMicrosoft.NETFrameworkv1.1.4322aspnet_isapi.dll GET,HEAD,POST,DEBUG ASCX=.ascx C:windowsMicrosoft.NETFrameworkv1.1.4322aspnet_isapi.dll GET,HEAD,POST,DEBUG ASHX=.ashx C:windowsMicrosoft.NETFrameworkv1.1.4322aspnet_isapi.dll GET,HEAD,POST,DEBUG ASMX=.asmx C:windowsMicrosoft.NETFrameworkv1.1.4322aspnet_isapi.dll GET,HEAD,POST,DEBUG AXD=.axd C:windowsMicrosoft.NETFrameworkv1.1.4322aspnet_isapi.dll GET,HEAD,POST,DEBUG VSDISCO=.vsdisco C:windowsMicrosoft.NETFrameworkv1.1.4322aspnet_isapi.dll GET,HEAD,POST,DEBUG REM=.rem C:windowsMicrosoft.NETFrameworkv1.1.4322aspnet_isapi.dll GET,HEAD,POST,DEBUG SOAP=.soap C:windowsMicrosoft.NETFrameworkv1.1.4322aspnet_isapi.dll GET,HEAD,POST,DEBUG CONFIG=.config C:windowsMicrosoft.NETFrameworkv1.1.4322aspnet_isapi.dll GET,HEAD,POST,DEBUG CS=.cs C:windowsMicrosoft.NETFrameworkv1.1.4322aspnet_isapi.dll GET,HEAD,POST,DEBUG CSPROJ=.csproj C:windowsMicrosoft.NETFrameworkv1.1.4322aspnet_isapi.dll GET,HEAD,POST,DEBUG VB=.vb C:windowsMicrosoft.NETFrameworkv1.1.4322aspnet_isapi.dll GET,HEAD,POST,DEBUG VBPROJ=.vbproj C:windowsMicrosoft.NETFrameworkv1.1.4322aspnet_isapi.dll GET,HEAD,POST,DEBUG WEBINFO=.Webinfo C:windowsMicrosoft.NETFrameworkv1.1.4322aspnet_isapi.dll GET,HEAD,POST,DEBUG LICX=.licx C:windowsMicrosoft.NETFrameworkv1.1.4322aspnet_isapi.dll GET,HEAD,POST,DEBUG RESX=.resx C:windowsMicrosoft.NETFrameworkv1.1.4322aspnet_isapi.dll GET,HEAD,POST,DEBUG RESOURCES=.resources C:windowsMicrosoft.NETFrameworkv1.1.4322aspnet_isapi.dll GET,HEAD,POST,DEBUG PHP=.php C:php5php5isapi.dll GET,HEAD,POST PHP3=.php3 C:php5php5isapi.dll GET,HEAD,POST PHP4=.php4 C:php5php5isapi.dll GET,HEAD,POST MDB=.mdb C:windowssystem32inetsrvssinc.dll GET,POST ASP.NET 进程帐户所需的 NTFS 权限目录 所需权限 Temporary ASP.NET Files%windir%Microsoft.NETFramework版本Temporary ASP.NET Files 进程帐户和模拟标识： 完全控制 临时目录 (%temp%) 进程帐户 完全控制 .NET Framework 目录%windir%Microsoft.NETFramework版本 进程帐户和模拟标识： 读取和执行 列出文件夹内容 读取 .NET Framework 配置目录%windir%Microsoft.NETFramework版本CONFIG 进程帐户和模拟标识： 读取和执行 列出文件夹内容 读取 网站根目录 C:inetpubwwwroot 或默认网站指向的路径 进程帐户： 读取 系统根目录 %windir%system32 进程帐户： 读取 全局程序集高速缓存 %windir%assembly 进程帐户和模拟标识： 读取 内容目录C:inetpubwwwrootYourWebApp (一般来说不用默认目录，管理员可根据实际情况调整比如D:wwwroot) 进程帐户： 读取和执行 列出文件夹内容 读取 注意 对于 .NET Framework 1.0，直到文件系统根目录的所有父目录也都需要上述权限。父目录包括： C: C:inetpub C:inetpubwwwroot五：服务器安全设置之-组件安全设置篇 (非常重要！)A、卸载WScript.Shell 和 Shell.application 组件，将下面的代码保存为一个.BAT文件执行（分2000和2003系统） windows2000.batregsvr32/u C:WINNTSystem32wshom.ocxdel C:WINNTSystem32wshom.ocxregsvr32/u C:WINNTsystem32shell32.dlldel C:WINNTsystem32shell32.dll windows2003.batregsvr32/u C:windowsSystem32wshom.ocxdel C:windowsSystem32wshom.ocxregsvr32/u C:windowssystem32shell32.dlldel C:windowssystem32shell32.dll B、改名不安全组件，需要注意的是组件的名称和Clsid都要改，并且要改彻底了，不要照抄，要自己改 【开始运行regedit回车】打开注册表编辑器然后【编辑查找填写Shell.application查找下一个】用这个方法能找到两个注册表项：13709620-C279-11CE-A49E-444553540000 和 Shell.application 。第一步：为了确保万无一失，把这两个注册表项导出来，保存为xxxx.reg 文件。第二步：比如我们想做这样的更改13709620-C279-11CE-A49E-444553540000 改名为 13709620-C279-11CE-A49E-444553540001Shell.application 改名为 Shell.application_nohack第三步：那么，就把刚才导出的.reg文件里的内容按上面的对应关系替换掉，然后把修改好的.reg文件导入到注册表中（双击即可），导入了改名后的注册表项之后，别忘记了删除原有的那两个项目。这里需要注意一点，Clsid中只能是十个数字和ABCDEF六个字母。其实，只要把对应注册表项导出来备份，然后直接改键名就可以了， 改好的例子建议自己改应该可一次成功windows Registry Editor Version 5.00HKEY_CLASSES_ROOTCLSID13709620-C279-11CE-A49E-444553540001=Shell Automation ServiceHKEY_CLASSES_ROOTCLSID13709620-C279-11CE-A49E-444553540001InProcServer32=C:WINNTsystem32shell32.dllThreadingModel=ApartmentHKEY_CLASSES_ROOTCLSID13709620-C279-11CE-A49E-444553540001ProgID=Shell.Application_nohack.1HKEY_CLASSES_ROOTCLSID13709620-C279-11CE-A49E-444553540001TypeLib=50a7e9b0-70ef-11d1-b75a-00a0c90564feHKEY_CLASSES_ROOTCLSID13709620-C279-11CE-A49E-444553540001Version=1.1HKEY_CLASSES_ROOTCLSID13709620-C279-11CE-A49E-444553540001VersionIndependentProgID=Shell.Application_nohackHKEY_CLASSES_ROOTShell.Application_nohack=Shell Automation ServiceHKEY_CLASSES_ROOTShell.Application_nohackCLSID=13709620-C279-11CE-A49E-444553540001HKEY_CLASSES_ROOTShell.Application_nohackCurVer=Shell.Application_nohack.1评论： WScript.Shell 和 Shell.application 组件是 脚本入侵过程中，提升权限的重要环节，这两个组件的卸载和修改对应注册键名，可以很大程度的提高虚拟主机的脚本安全性能，一般来说，ASP和php类脚本提升权限的功能是无法实现了，再加上一些系统服务、硬盘访问权限、端口过滤、本地安全策略的设置，虚拟主机因该说，安全性能有非常大的提高，黑客入侵的可能性是非常低了。注销了Shell组件之后，侵入者运行提升工具的可能性就很小了，但是prel等别的脚本语言也有shell能力，为防万一，还是设置一下为好。下面是另外一种设置，大同小异。 一、禁止使用FileSystemObject组件 FileSystemObject可以对文件进行常规操作,可以通过修改注册表，将此组件改名，来防止此类木马的危害。HKEY_CLASSES_ROOTScripting.FileSystemObject改名为其它的名字，如：改为 FileSystemObject_ChangeName自己以后调用的时候使用这个就可以正常调用此组件了也要将clsid值也改一下HKEY_CLASSES_ROOTScripting.FileSystemObjectCLSID项目的值也可以将其删除，来防止此类木马的危害。2000注销此组件命令：RegSrv32 /u C:WINNTSYSTEMscrrun.dll 2003注销此组件命令：RegSrv32 /u C:windowsSYSTEMscrrun.dll 如何禁止Guest用户使用scrrun.dll来防止调用此组件？使用这个命令：cacls C:WINNTsystem32scrrun.dll /e /d guests二、禁止使用WScript.Shell组件WScript.Shell可以调用系统内核运行DOS基本命令可以通过修改注册表，将此组件改名，来防止此类木马的危害。HKEY_CLASSES_ROOTWScript.Shell及HKEY_CLASSES_ROOTWScript.Shell.1改名为其它的名字，如：改为WScript.Shell_ChangeName 或 WScript.Shell.1_ChangeName自己以后调用的时候使用这个就可以正常调用此组件了也要将clsid值也改一下HKEY_CLASSES_ROOTWScript.ShellCLSID项目的值HKEY_CLASSES_ROOTWScript.Shell.1CLSID项目的值也可以将其删除，来防止此类木马的危害。三、禁止使用Shell.Application组件Shell.Application可以调用系统内核运行DOS基本命令可以通过修改注册表，将此组件改名，来防止此类木马的危害。HKEY_CLASSES_ROOTShell.Application及HKEY_CLASSES_ROOTShell.Application.1改名为其它的名字，如：改为Shell.Application_ChangeName 或 Shell.Application.1_ChangeName自己以后调用的时候使用这个就可以正常调用此组件了也要将clsid值也改一下HKEY_CLASSES_ROOTShell.ApplicationCLSID项目的值HKEY_CLASSES_ROOTShell.ApplicationCLSID项目的值也可以将其删除，来防止此类木马的危害。禁止Guest用户使用shell32.dll来防止调用此组件。2000使用命令：cacls C:WINNTsystem32shell32.dll /e /d guests2003使用命令：cacls C:windowssystem32shell32.dll /e /d guests注：操作均需要重新启动Web服务后才会生效。四、调用Cmd.exe禁用Guests组用户调用cmd.exe2000使用命令：cacls C:WINNTsystem32Cmd.exe /e /d guests2003使用命令：cacls C:windowssystem32Cmd.exe /e /d guests通过以上四步的设置基本可以防范目前比较流行的几种木马，但最有效的办法还是通过综合安全设置，将服务器、程序安全都达到一定标准，才可能将安全等级设置较高，防范更多非法入侵。 C、防止Serv-U权限提升 (适用于 Serv-U6.0 以前版本，之后可以直接设置密码) 先停掉Serv-U服务用Ultraedit打开ServUDaemon.exe查找 Ascii：LocalAdministrator 和 #l$ak#.lk;0P修改成等长度的其它字符就可以了，ServUAdmin.exe也一样处理。另外注意设置Serv-U所在的文件夹的权限，不要让IIS匿名用户有读取的权限，否则人家下走你修改过的文件，照样可以分析出你的管理员名和密码。阿江ASP探针 /products/aspcheck/ (可以测试组件安全性)六，服务器安全设置之-服务器安全和性能配置把下面文本保存为: windows2000-2003服务器安全和性能注册表自动配置文件.reg 运行即可。windows Registry Editor Version 5.00HKEY_CURRENT_USERSoftwareMicrosoftwindowsCurrentVersionPoliciesExplorerNoRecentDocsMenu=hex:01,00,00,00NoRecentDocsHistory=hex:01,00,00,00HKEY_LOCAL_MACHINESoftwareMicrosoftwindows NTCurrentVersionWinlogonDontDisplayLastUserName=1HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlLsarestrictanonymous=dWord:00000001HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServiceslanmanserverParametersAutoShareServer=dWord:00000000AutoShareWks=dWord:00000000HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesTcpipParametersEnableICMPRedirect=dWord:00000000KeepAliveTime=dWord:000927c0SynAttackProtect=dWord:00000002TcpMaxHalfOpen=dWord:000001f4TcpMaxHalfOpenRetried=dWord:00000190TcpMaxConnectResponseRetransmissions=