运行asp,建立数据库连接需要使用C:\Program Files\Common Files目录下面的文件。在这里,设置C:\Program Files\Common Files权限,加入everyone,权限为读取,列出文件夹目录,读取及运行。还可以使用高级标签进行更加严格的设置,但是我没有做过,不敢胡说。
运行php,需要设置c:\winnt\phpini的权限,让everyone有读取权限即可。如果php的session目录设置为c:\winnt\temp目录,此目录应该让everyone有读取写入权限。为提高性能,php设置为使用isapi解析,d:\php目录让everyone有读取,列出文件夹目录,读取及运行权限。至于phpini的设置,这里我就不说了。第一我不很懂,第二我只讲系统权限设置。
运行cgi,设置d:\perl让everyone有读取,列出文件夹目录,读取及运行权限。顺便说下,cgi设置为使用isapi方式解析有利于安全和性能。
现在说下让人头大的Serv-U的设置了。这东西功能确实强大,但是安全性不怎么好,需要我们来改造。最首先的是溢出攻击,5011好象已经没有这个缺陷了。其次是修改ini配置文件,这里已经没有权限修改了,略过不提。据我所知现在唯一的办法就是使用默认的管理帐号和密码添加有写入执行权限的帐号来执行木马了。把默认帐号密码修改掉就完了,这个东西直接使用editplus之类的编辑器打开ServUDaemonexe和ServUAdminexe修改就可以了。如果懒得麻烦,随便什么语言写个程序都很容易作到。我以前写过一个这样的东西,方便自己设置。现在Serv-U基本上没有什么问题了。
至于数据库,权限已经不用设置了,直接继承d盘根目录就可以。至于里面的帐号密码该怎么设置,我也懒得说了。
现在最后一点,就是设置c:\winnt\system32目录和他下面的一些东西了。很多程序运行需要这里的动态连接库,而且这里文件太多,我也没有弄明白所有的,把目录c:\winnt\system32给everyone赋予读取,列出文件夹目录,读取及运行即可。其实,这样做是不安全的,但是别慌,我们还没有完。在这个目录下面,我们还需要对几个特别程序进行单独的设置。首先就是caclsexe,嘿嘿,先把这个设置了在说别的。这东东是设置权限用的,让它不继承父目录权限,并且让它拒绝任何人访问,因为我们一般不使用这个鸟东西。其他的要设置的程序列表如下: netexe,cmdexe,ftpexe,tftpexe,telnetexe,这几个程序设置成只允许改名后的administrator访问对系统可执行程序作出限制,可以通过修改系统组策略来实现,如下:
a运行,键入"gpeditmsc"
b窗口左侧显示“本地计算机策略”,依次展开“用户配置”——“管理模板”——“系统”项目
c此时右侧栏目会出现配置项列表,最重要的是修改“不要运行指定的Windows程序”和“只运行指定的Windows程序”,默认“未被配置”双击可进行修改
d如果要禁用QQ、TM、MSN等IM工具,可以启用“不要运行指定的Windows程序”,在进程列表中输入程序的进程名,如"qqexe"、"msnexe"等依次添加。其它类似,可以在任务管理器中查找应用程序的进程名,添加予以限制。
e若限制比较严格,可使用“只运行指定的Windows程序”,就可以把非法程序全毙掉了先要知道自己的电脑系统是NTFS格式,还是FAT32格式,因为两种格式不同,设置的方法也是不同的。
如果你的分区是NTFS格式的话,请按下面的步骤进行 *** 作:
1双击我的电脑,选择:工具--文件夹选项--查看,去掉“使用简单的文件共享”前的勾;
2右击需要限制的文件夹,选择“共享和安全”选项,在选择“安全”选项卡,将用户和组内所有用户的权限在下面的权限分配表里都设置里去掉“完全控制”“修改”“写入”三项。
点击“确定”,即可
如果自己要随时修改该文件夹的内容的话,最好添加管理员用户的权限“完全控制”
注意:对Windows、system32这些重要的系统文件夹不要进行这样 *** 作的话,否则可能会导致有些系统不能正常运行1,新建两个用户,都设为计算机管理员并设上密码,这样两用户都具有同样个系统配置和软件配置,
控制面板-用户帐户-创建新帐户-起名-计算机管理员-ok
2,将存放我的文档的盘改为ntfs格式
3,点我的文档文件夹-右键属性-共享-将这个文件夹设为专用钩上,这样就算其他用户看到你的文件夹也打不开的
欢迎分享,转载请注明来源:内存溢出
微信扫一扫
支付宝扫一扫
评论列表(0条)