技术 Tech

判断是否全为英文字母 c#

andy — Mon, 05 May 2008 04:31:00 GMT

/********************************************************** 
* 函数名： IsEnglishCharacter 
* 机能概要: 判断是否全为英文字母 
* 
* 参数： strin 
* 返回值： True 全为英文字母 
* False 不全为英文字母 
*********************************************************/
public static boolean IsEnglishCharacter(String strin)
{
 char c;
 for( int i=0 ; i<strin.length() ; i++ ){
 c = strin.charAt (i);
 if (( c <= 0x007A && c >= 0x0061 ) == false &&
 ( c <= 0x005A && c >= 0x0041 ) == false )
 return false;
 }
 return true;

}

查看 SQL Server 2000 中数据表所占用的磁盘空间

andy — Thu, 01 May 2008 14:53:00 GMT

1、查看整个数据库

create table tmp (name varchar(50),rows int,reserved varchar(50),
data varchar(50),index_size varchar(50),unused varchar(50))
insert into tmp (name,rows,reserved,
data,index_size,unused) exec sp_msforeachTable @Command1="sp_spaceused '?'"--sp_spaceused 't_vehicle'
select * from tmp order by data desc
drop table tmp

2、看单个表, 占用数据的情况

sp_spaceused 'retail11'

3、查看整个数据库所有表占用空间的情况但发现从sysindexes中取表, 会少一部分数据表(无主键,无索引的表)

select object_name(id) tablename,8*reserved/1024 reserved,rtrim(8*dpages/1024)+'Mb' used,8*(reserved-dpages)/1024 unused,8*dpages/1024-rows/1024*minlen/1024 free,
rows,* from sysindexes
where indid=1
order by reserved desc

4、查看整个数据库所有表占用空间的情况但看起来比较麻烦

exec sp_MSforeachtable "exec sp_spaceused '?'"

103个Windows XP运行命令

andy — Sat, 19 May 2007 06:58:00 GMT

在Windows系统中，我们打开一些程序都是通过鼠标一步一步的点击来打开，但是以下列出的这些命令，可以让你在Windows XP的“运行”窗口中运行应用程序。

运行程序运行命令
辅助功能选项
access.cpl

添加硬件向导
hdwwiz.cpl

添加或删除程序
appwiz.cpl

管理工具
control admintools

自动更新
wuaucpl.cpl

Bluetooth文件传送向导
fsquirt

计算器
calc

证书管理控制台
certmgr.msc

字符映射表
charmap

磁盘检查工具
chkdsk

剪贴簿查看器
clipbrd

命令行提示符
cmd

组件服务
dcomcnfg

计算机管理
compmgmt.msc

日期和时间属性
timedate.cpl

DDE共享
ddeshare

设备管理器
devmgmt.msc

Direct X控制面板(如果已经安装)*
directx.cpl

Direct X诊断工具
dxdiag

磁盘清理工具
cleanmgr

磁盘碎片整理程序
dfrg.msc

磁盘管理
diskmgmt.msc

磁盘分区管理器
diskpart

显示属性
control desktop

显示属性
desk.cpl

显示属性的外观选项卡
control color

Dr. Watson系统诊断工具
drwtsn32

Driver Verifier Manager
verifier

事件查看器
eventvwr.msc

文件签名验证
sigverif

快速查找
findfast.cpl

文件夹选项
control folders

字体文件夹
control fonts

字体文件夹
fonts

空档接龙游戏
freecell

游戏控制
joy.cpl

组策略编辑器(XP专业版)
gpedit.msc

红心大战游戏
mshearts

Iexpress向导
iexpress

索引服务
ciadv.msc

Internet属性
inetcpl.cpl

IP配置实用程序(显示连接配置) ipconfig /all
IP配置实用程序(显示DNS缓存内容) ipconfig /displaydns
IP配置实用程序(删除DNS缓存内容) ipconfig /flushdns
IP配置实用程序(释放全部(或指定)适配器的由DHCP分配的动态IP地址) ipconfig /release
IP配置实用程序(为全部适配器重新分配IP地址) ipconfig /renew
IP配置实用程序(刷新DHCP并重新注册DNS) ipconfig /registerdns
IP配置实用程序(显示DHCP Class ID) ipconfig /showclassid
IP配置实用程序(修改DHCP Class ID) ipconfig /setclassid
Java控制面板(如果已经安装)
jpicpl32.cpl

Java控制面板(如果已经安装)
javaws

键盘属性
control keyboard

本地安全设置
secpol.msc

本地用户和组
lusrmgr.msc

从Windows注销
logoff

微软聊天程序
winchat

扫雷游戏
winmine

鼠标属性
control mouse

鼠标属性
main.cpl

网络连接
control netconnections

网络连接
ncpa.cpl

网络安装向导
netsetup.cpl

记事本 notepad
Nview桌面管理器(如果已经安装)
nvtuicpl.cpl

对象包装程序
packager

ODBC数据源管理器
odbccp32.cpl

屏幕键盘
osk

AC3解码器(如果已经安装)
ac3filter.cpl

密码属性
password.cpl

性能
perfmon.msc

性能
perfmon

电话与调制解调器选项
telephon.cpl

电源选项属性
powercfg.cpl

打印机和传真
control printers

打印机文件夹
printers

TrueType造字程序
eudcedit

Quicktime(如果已经安装)
QuickTime.cpl

区域和语言选项
intl.cpl

注册表编辑器
regedit

注册表编辑器
regedit32

远程桌面 mstsc
可移动存储
ntmsmgr.msc

可移动存储操作请求
ntmsoprq.msc

策略的结果集 (XP专业版)
rsop.msc

扫描仪与相机
sticpl.cpl

任务计划
control schedtasks

Windows安全中心
wscui.cpl

服务
services.msc

共享文件夹
fsmgmt.msc

关闭Windows
shutdown

声音和音频设备属性
mmsys.cpl

蜘蛛牌游戏
spider

SQL Client客户端网络实用工具
cliconfg

系统配置编辑器
sysedit

系统配置实用程序
msconfig

系统文件检查工具(立即扫描) sfc /scannow
系统文件检查工具(下次启动时扫描) sfc /scanonce
系统文件检查工具(每次启动时扫描) sfc /scanboot
系统文件检查工具(返回默认设置) sfc /revert
系统文件检查工具(清除文件缓存) sfc /purgecache
系统文件检查工具(设置缓存大小=x)
sfc /cachesize=x

系统属性
sysdm.cpl

任务管理器
taskmgr

Telnet客户端
telnet

用户帐户管理
nusrmgr.cpl

辅助工具管理器
utilman

Windows防火墙
firewall.cpl

Windows放大镜
magnify

Windows管理体系结构
wmimgmt.msc

Windows系统安全工具
syskey

运行Windows更新
wupdmgr

漫游Windows XP
tourstart

写字板
write

xp在线更新后系统提示盗版！点点鼠标轻松解决

andy — Mon, 30 Apr 2007 10:04:00 GMT

微软最新一次自动更新为用户强制安装了Windows Genuine Advantage正版验证工具，部分盗版用户的系统出现了“Windows 副本未通过正版验证或 Windows 验证过程无法完成。您可能是软件盗版的受害者”的盗版提示。这给绝大部分中国用户造成了不便。越来越多的网友在本版提出此问题。现提供解决方案。

对于使用VOL免激活版（上海政府、xx银行等）的用户，可以使用替换序列号的简单办法。因为目前尚有部分VOL序列号未被封，并且可以通过正版验证。
HCQ9D-TVCWX-X9QRG-J4B2Y-GR2TT （番茄花园版就是使用的这个序列号）
MRX3F-47B9T-2487J-KWKMF-RPWBY（工行版）
QC986-27D34-6M3TY-JJXP9-TBGMD（台湾交大学生版）

点击下载此文件

替换后请到C:\Documents and Settings\All Users\Application Data下删除Windows Genuine Advantage文件夹。以后即可通过正版验证。

如果XP是很老的破解版本（比如零售版的破解版本）用户，无法使用上述序列号，请下载RemoveWGA工具。该工具可以移除WGA验证工具的提示功能。虽然系统仍是破解的，但将不会再有任何提示，和以前没有变化。
注：该工具会被部分杀毒软件识别为病毒。如须使用，下载前可能需要暂时禁用或者关闭一下病毒防火墙。使用过后再恢复。

VBScript查看远程终端的状态并修改!

andy — Mon, 26 Feb 2007 05:08:00 GMT

下面的代码复制到文本文件中，保存为get3389.vbs
'功能：查看远程终端的状态并修改
'使用方法：命令行下 cscript get3389.vbs

Dim OperationRegistry
Set OperationRegistry=WScript.createObject("WScript.Shell")
WScript.Echo()
Dim TSPort,TSState,TSRegPath
TSRegPath="HKLM\System\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp\PortNumber"
TSPort=OperationRegistry.RegRead(TSRegPath)
WScript.Echo("终端端口为"&TSPort)
WScript.Echo()
TSRegPath="HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\fDenyTSConnections"
TSState=OperationRegistry.RegRead(TSRegPath)
If TSState=0 Then
WScript.Echo("终端可以连接")
Else
WScript.Echo("终端无法连接,请稍后...")
OperationRegistry.RegWrite TSRegPath,0,"REG_DWORD"
WScript.Echo("终端状态已改为可连接,可能需要重启")
End If

全力打造安全主机加固脆弱的IIS服务

andy — Sun, 25 Feb 2007 15:51:00 GMT

难道IIS（Internet Information Services）就真是“脆弱”的吗？难道拥有全球市场排名第一的Apache就坚不可摧？其实这些问题只是我们对服务器安全问题的曲解，在IIS 6没有推出以前，我一直忙着对IIS 5 修修补补，也确实过了一段提心吊胆的日子。我们完全有理由相信，经过调整后的IIS足以让我们值得信赖。

　　解释几个常见漏洞

　　1．缓冲区溢出

　　简单解释一下，缓冲区溢出主要因为提交的数据长度超出了服务器正常要求，导致服务器检查代码错误。而溢出的方法有可以分为：基于堆栈的溢出和基于堆的溢出。在IIS 6以前的版本，Web服务是运行在LocalSystem账户下，当某个黑客利用缓冲区溢出的漏洞入侵后，当然就可以执行大部分的管理员命令了。

　　利用该漏洞比较名的病毒是“红色代码（Redcode）”和“尼姆达（Nimda）”。eEye Digital Security 公司早于1996年就发现了这类漏洞的代表作HTR缓冲区漏洞。eEye发现，IIS抵抗力十分脆弱。如果攻击传递给IIS，那么输入值将不是一串字母而是可以执行的系统命令。HTR文件的解释程序是将一个以.htr结尾的超长文件在ism.dll中造成输入缓冲区溢出。

　　我们早已用不到HTR了（笔者个人的理解），那只是早些时候，微软脚本编程用到的，早已经被ASP技术取代。

　　说明：根据上文的说明我们知道一个漏洞的根源就是．htr文件与System32目录下的ism．dll存在着关联，如果将ism．dll和．htr文件之间存在的映射关系断开，或者删除了ism．dll，就可以解决了。

　　2．臭名昭著的Unicode

　　首先要知道什么是Unicode二次解码漏洞？打开IE，选择“查看→编码→Unicode（UTF-8）”，在没有创造Unicode之前，没有一个编码可以包含足够的字符来容纳数百种的数字编码。比如我们要看一个繁体中文（BIG5）的网页，在你的简体中文版的Windows 系统上，没有Unicode的支持就不可能实现。

　　如果非法用户提交一些特殊的编码，将导致IIS错误地打开或者执行某些Web根目录以外的文件。那么，未经授权的用户可以利用IUSR_machinename账号访问用户目录的任何文件。同时，我们有知道这个账号在默认情况下属于Everyone和Users组，Windows 2000 Server默认的安全权限是“Everyone完全控制”因此任何能被这些用户组访问的文件都可能被删除、修改或执行。

　　说明：可以限制网络用户访问和调用CMD命令的权限；若没必要使用Scripts和Msadc目录，可以删除或者重新命名；还有一个问题，安装Windows NT系统时不使用默认的WINNT路径。

　　3． FrontPage 服务器扩展漏洞

　　对于安装FrontPage服务器的网站，通常会在Web目录（缺省）下有若干个以字母“_vti”开头的目录，正是这些目录为黑客提供了可乘之机。我们可以从搜索引擎上搜索默认的Frontpage目录，这时我们能从引擎上返回大量的信息。

　　说明：你真的需要FrontPage 服务器扩展吗？我是从来没有用过，这都是默认安装的时候为我们带来的隐患。如果不需要，直接卸载了该服务就没问题了。

　　IIS加固策略的建议

　　你得到的网站源代码不会完全一样，而大多数程序员不会为你只提供一种类型的代码。所以不要完全按照下面的加固列表操作，尤其在加固之前要和程序的提供商取得联系。在得到他们确认后，修改本文中涉及到服务器扩展内容。

　　1．调整IIS日志

　　当您希望确定服务器是否被攻击时，日志记录是极其重要的。默认的日志不会为我们搜索黑客记录提供很大的帮助，所以我们必须扩展 W3C日志记录格式，步骤如下：

　　★检查是否启用了日志记录，右键单击所述站点，然后从上菜单中选择启用“属性→Web 站点→启用日志记录”复选框。

　　★更改日志的默认路径，黑客成功入侵一个系统后，临走时要做的一件事就是清除日志，如果以图形界面的远程控制软件或是从终端登录进入，我们自然是无法保护日志的。不过，现在比较流行的日志清除工具，大多以命令行方式删除默认的W3C日志记录，所以可以将图1所示的路径改写，达到简单保护的功能。

　　★从“活动日志格式”下拉列表中选择“W3C 扩展日志文件格式”。单击“属性→扩展属性”选项卡，然后添加以下信息的记录：客户IP 地址、用户名、方法、URI 资源、HTTP 状态、Win32 状态、用户代理、服务器 IP 地址、服务器端口。

　　日志记录是我们被入侵后惟一能够找到自身漏洞的地方。就比如有些人钟爱的“动网上传文件”漏洞，如果你能在日志当中发现“HTTP GET 200（文件上传成功）”，没什么可以辩解的，肯定是没有升级补丁或者开放了上传权限。所以说日志防护是每个管理员必备的知识。

　　2．删除IIS所有默认示例

　　这是一个在Windows 2000和Windows Server 2003上都在安装的时候保留的内容，因为只能从本地访问这些文件，所以这些默认的示例不会为服务器带来威胁。如果不需要它们作为建立站时的参照以及远程的管理帮助，可以删除它们，同时起到优化系统的功能（需要关闭IIS服务）。

　　3．删除不必要扩展映射

　　IIS 5被预先配置为支持如.asp这样的动态程序文件，但除了我们常用的几个文件格式之外，还支持了本文中提到的可能造成缓冲区溢出的文件类型。IIS 接收到这些类型的文件请求时，该调用由 DLL 处理，所以最好删除它们。

　　选择“WWW服务→编辑→主目录→应用程序配置”，参照下表有针对性的选择删除对象：

　　IIS 6 的全新奉献

　　我们常在网上看到关于Windows Server 2003 已经非常安全的报道，但是我们的管理员不是每天做个补丁更新的工作吗？其实，Windows Server 2003中给我带来最直接的感觉就是IIS 6的安全性，直到现在为止笔者确实没有发现IIS 6中有什么重大的漏洞可以被黑客利用。

　　工作进程隔离（Worker Process Isolation）以及URL的授权访问，我在以前版本里面根本就没有奢念。不仅如此，最主要的改进就是IIS本身的“默认可用性”和“默认锁定扩展服务” （如图2）。

　　当把服务器升级到Windows Server 2003的时候，如果你没有运行IISLockdown工具，服务器竟然禁止我们提供Web服务。

让你的IIS无懈可击

andy — Sun, 25 Feb 2007 15:51:00 GMT

如果你的电脑新安装了NT4/Win2000以后，并不是说就可以直接用来作Internet服务器了。尽管微软的补丁打了一大堆，但还是有些漏洞。现在我们就简单的谈一下如何使用IIS建立一个高安全性能的服务器。

一、以Windows NT的安全机制为基础

1、NT打SP6补丁、2K打SP4补丁。把磁盘的文件系统转换成NTFS（安装系统的分区可以在安装系统的时候转换，也可以安装完系统以后，用工具转换）。同时把使用权限里有关Everyone的写、修改的权限去掉，关键目录：如Winnt\Repair连读的权限也去掉。

2、共享权限的修改。在NT下到开始菜单--》程序--》管理工具--》系统策略编辑器，然后打开系统策略里文件菜单里的“打开注册表”修改其中的windows NT 网络把其中勾去掉。 2K下可以写个net share c$ /delete的bat文件，放到机器的启动任务里。

3、为系统管理员账号更名。同时把系统管理员的密码改成强加密：密码长度在10位以上，并且密码要包括数字、字母、！等各种字符。

4、废止TCP/IP上的NetBIOS。通过网络属性的绑定选项，废止NetBIOS与TCP/IP之间的绑定。

5、安装其他服务。应该尽量不在同台服务器上安装数据库的别的服务，如果装了的话，最主要一点是数据库密码不能跟系统的登陆密码一样。

二、设置IIS的安全机制

1、解决IIS4以及之前的版本受到D.O.S攻击会停止服务。运行Regedt32.exe 在：HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\w3svc\parameters 增加一个值： Value Name: MaxClientRequestBuffer Data Type: REG_DWORD 设置为十进制具体数值设置为你想设定的IIS允许接受的URL最大长度。CNNS的设置为256。

2、删除HTR脚本映射。

3、将IIS web server下的 /_vti_bin 目录设置成禁止远程访问。

4、在IIS管理控制台中，点 web站点，属性，选择主目录，配置（起始点），应用程序映射，将htw与webhits.dll的映射删除。

5、删除:c:\Program Files\Common Files\System\Msadc\msadcs.dll。

6、如果不需要使用Index Server，禁止或卸载该服务。如果你使用了Index Server，请将包含敏感信息的目录的“Index this resource”的选项禁止。

8、解决unicode漏洞： 2K安装2kunicode.exe、NT安装ntunicode86.exe。

经过以上的设置之后,我还是不敢说它就完全安全了,你可不要回去睡大觉呀!不过你可以放松一下了!

微软的产品虽然好用,但是它的漏洞和同类比起来是漏洞最多的一个.作为一个网管要时刻的注意新漏洞的出现,及时的采取相应的措施,做到有备无患!

Windows下权限设置详解

andy — Sun, 25 Feb 2007 15:48:00 GMT

随着动网论坛的广泛应用和动网上传漏洞的被发现以及SQL注入式攻击越来越多的被使用，WEBSHELL让防火墙形同虚设，一台即使打了所有微软补丁、只让80端口对外开放的WEB服务器也逃不过被黑的命运。难道我们真的无能为力了吗？其实，只要你弄明白了NTFS系统下的权限设置问题，我们可以对crackers们说：NO!

    要打造一台安全的WEB服务器，那么这台服务器就一定要使用NTFS和Windows NT/2000/2003。众所周知，Windows是一个支持多用户、多任务的操作系统，这是权限设置的基础，一切权限设置都是基于用户和进程而言的，不同的用户在访问这台计算机时，将会有不同的权限。DOS是个单任务、单用户的操作系统。但是我们能说DOS没有权限吗？不能！当我们打开一台装有DOS操作系统的计算机的时候，我们就拥有了这个操作系统的管理员权限，而且，这个权限无处不在。所以，我们只能说DOS不支持权限的设置，不能说它没有权限。随着人们安全意识的提高，权限设置随着NTFS的发布诞生了。

    Windows NT里，用户被分成许多组，组和组之间都有不同的权限，当然，一个组的用户和用户之间也可以有不同的权限。下面我们来谈谈NT中常见的用户组。

    Administrators,管理员组，默认情况下，Administrators中的用户对计算机/域有不受限制的完全访问权。分配给该组的默认权限允许对整个系统进行完全控制。所以，只有受信任的人员才可成为该组的成员。
Power Users，高级用户组，Power Users 可以执行除了为 Administrators 组保留的任务外的其他任何操作系统任务。分配给 Power Users 组的默认权限允许 Power Users 组的成员修改整个计算机的设置。但Power Users 不具有将自己添加到 Administrators 组的权限。在权限设置中，这个组的权限是仅次于Administrators的。

    Users:普通用户组，这个组的用户无法进行有意或无意的改动。因此，用户可以运行经过验证的应用程序，但不可以运行大多数旧版应用程序。Users 组是最安全的组，因为分配给该组的默认权限不允许成员修改操作系统的设置或用户资料。Users 组提供了一个最安全的程序运行环境。在经过 NTFS 格式化的卷上，默认安全设置旨在禁止该组的成员危及操作系统和已安装程序的完整性。用户不能修改系统注册表设置、操作系统文件或程序文件。Users 可以关闭工作站，但不能关闭服务器。Users 可以创建本地组，但只能修改自己创建的本地组。

    Guests:来宾组，按默认值，来宾跟普通Users的成员有同等访问权，但来宾帐户的限制更多。

    Everyone:顾名思义，所有的用户，这个计算机上的所有用户都属于这个组。

    其实还有一个组也很常见，它拥有和Administrators一样、甚至比其还高的权限，但是这个组不允许任何用户的加入，在察看用户组的时候，它也不会被显示出来，它就是SYSTEM组。系统和系统级的服务正常运行所需要的权限都是靠它赋予的。由于该组只有这一个用户SYSTEM，也许把该组归为用户的行列更为贴切。

    权限是有高低之分的，有高权限的用户可以对低权限的用户进行操作，但除了Administrators之外，其他组的用户不能访问 NTFS 卷上的其他用户资料，除非他们获得了这些用户的授权。而低权限的用户无法对高权限的用户进行任何操作。

    我们平常使用计算机的过程当中不会感觉到有权限在阻挠你去做某件事情，这是因为我们在使用计算机的时候都用的是Administrators中的用户登陆的。这样有利也有弊，利当然是你能去做你想做的任何一件事情而不会遇到权限的限制。弊就是以 Administrators 组成员的身份运行计算机将使系统容易受到特洛伊木马、病毒及其他安全风险的威胁。访问 Internet 站点或打开电子邮件附件的简单行动都可能破坏系统。不熟悉的 Internet 站点或电子邮件附件可能有特洛伊木马代码，这些代码可以下载到系统并被执行。如果以本地计算机的管理员身份登录，特洛伊木马可能使用管理访问权重新格式化您的硬盘，造成不可估量的损失，所以在没有必要的情况下，最好不用Administrators中的用户登陆。Administrators中有一个在系统安装时就创建的默认用户----Administrator，Administrator 帐户具有对服务器的完全控制权限，并可以根据需要向用户指派用户权利和访问控制权限。因此强烈建议将此帐户设置为使用强密码。永远也不可以从 Administrators 组删除 Administrator 帐户，但可以重命名或禁用该帐户。由于大家都知道“管理员”存在于许多版本的 Windows 上，所以重命名或禁用此帐户将使恶意用户尝试并访问该帐户变得更为困难。对于一个好的服务器管理员来说，他们通常都会重命名或禁用此帐户。Guests用户组下，也有一个默认用户----Guest,但是在默认情况下，它是被禁用的。如果没有特别必要，无须启用此账户。我们可以通过“控制面板”--“管理工具”--“计算机管理”--“用户和用户组”来查看用户组及该组下的用户。

    我们用鼠标右键单击一个NTFS卷或NTFS卷下的一个目录，选择“属性”--“安全”就可以对一个卷，或者一个卷下面的目录进行权限设置，此时我们会看到以下七种权限：完全控制、修改、读取和运行、列出文件夹目录、读取、写入、和特别的权限。“完全控制”就是对此卷或目录拥有不受限制的完全访问。地位就像Administrators在所有组中的地位一样。选中了“完全控制”，下面的五项属性将被自动被选中。“修改”则像Power users，选中了“修改”，下面的四项属性将被自动被选中。下面的任何一项没有被选中时，“修改”条件将不再成立。“读取和运行”就是允许读取和运行在这个卷或目录下的任何文件，“列出文件夹目录”和“读取”是“读取和运行”的必要条件。“列出文件夹目录”是指只能浏览该卷或目录下的子目录，不能读取，也不能运行。“读取”是能够读取该卷或目录下的数据。“写入”就是能往该卷或目录下写入数据。而“特别”则是对以上的六种权限进行了细分。读者可以自行对“特别”进行更深的研究，鄙人在此就不过多赘述了。

    下面我们对一台刚刚安装好操作系统和服务软件的WEB服务器系统和其权限进行全面的刨析。服务器采用Windows 2000 Server版，安装好了SP4及各种补丁。WEB服务软件则是用了Windows 2000自带的IIS 5.0，删除了一切不必要的映射。整个硬盘分为四个NTFS卷，C盘为系统卷，只安装了系统和驱动程序；D盘为软件卷，该服务器上所有安装的软件都在D盘中；E盘是WEB程序卷，网站程序都在该卷下的WWW目录中；F盘是网站数据卷，网站系统调用的所有数据都存放在该卷的WWWDATABASE目录下。这样的分类还算是比较符合一台安全服务器的标准了。希望各个新手管理员能合理给你的服务器数据进行分类，这样不光是查找起来方便，更重要的是这样大大的增强了服务器的安全性，因为我们可以根据需要给每个卷或者每个目录都设置不同的权限，一旦发生了网络安全事故，也可以把损失降到最低。当然，也可以把网站的数据分布在不同的服务器上，使之成为一个服务器群，每个服务器都拥有不同的用户名和密码并提供不同的服务，这样做的安全性更高。不过愿意这样做的人都有一个特点----有钱:)。好了，言归正传，该服务器的数据库为MS-SQL，MS-SQL的服务软件SQL2000安装在d:\ms-sqlserver2K目录下，给SA账户设置好了足够强度的密码，安装好了SP3补丁。为了方便网页制作员对网页进行管理，该网站还开通了FTP服务，FTP服务软件使用的是SERV-U 5.1.0.0，安装在d:\ftpservice\serv-u目录下。杀毒软件和防火墙用的分别是Norton Antivirus和BlackICE,路径分别为d:\nortonAV和d:\firewall\blackice,病毒库已经升级到最新，防火墙规则库定义只有80端口和21端口对外开放。网站的内容是采用动网7.0的论坛,网站程序在e:\www\bbs下。细心的读者可能已经注意到了，安装这些服务软件的路径我都没有采用默认的路径或者是仅仅更改盘符的默认路径，这也是安全上的需要，因为一个黑客如果通过某些途径进入了你的服务器，但并没有获得管理员权限，他首先做的事情将是查看你开放了哪些服务以及安装了哪些软件，因为他需要通过这些来提升他的权限。一个难以猜解的路径加上好的权限设置将把他阻挡在外。相信经过这样配置的WEB服务器已经足够抵挡大部分学艺不精的黑客了。读者可能又会问了：“这根本没用到权限设置嘛！我把其他都安全工作都做好了，权限设置还有必要吗？”当然有！智者千虑还必有一失呢，就算你现在已经把系统安全做的完美无缺，你也要知道新的安全漏洞总是在被不断的发现。权限将是你的最后一道防线！那我们现在就来对这台没有经过任何权限设置，全部采用Windows默认权限的服务器进行一次模拟攻击，看看其是否真的固若金汤。

    假设服务器外网域名为http://www.webserver.com，用扫描软件对其进行扫描后发现开放WWW和FTP服务，并发现其服务软件使用的是IIS 5.0和Serv-u 5.1，用一些针对他们的溢出工具后发现无效，遂放弃直接远程溢出的想法。打开网站页面，发现使用的是动网的论坛系统，于是在其域名后面加个/upfile.asp，发现有文件上传漏洞，便抓包，把修改过的ASP木马用NC提交，提示上传成功，成功得到WEBSHELL，打开刚刚上传的ASP木马，发现有MS-SQL、Norton Antivirus和BlackICE在运行，判断是防火墙上做了限制，把SQL服务端口屏蔽了。通过ASP木马查看到了Norton Antivirus和BlackICE的PID，又通过ASP木马上传了一个能杀掉进程的文件，运行后杀掉了Norton Antivirus和BlackICE。再扫描，发现1433端口开放了，到此，便有很多种途径获得管理员权限了，可以查看网站目录下的conn.asp得到SQL的用户名密码，再登陆进SQL执行添加用户，提管理员权限。也可以抓SERV-U下的ServUDaemon.ini修改后上传，得到系统管理员权限。还可以传本地溢出SERV-U的工具直接添加用户到Administrators等等。大家可以看到，一旦黑客找到了切入点，在没有权限限制的情况下，黑客将一帆风顺的取得管理员权限。

    那我们现在就来看看Windows 2000的默认权限设置到底是怎样的。对于各个卷的根目录，默认给了Everyone组完全控制权。这意味着任何进入电脑的用户将不受限制的在这些根目录中为所欲为。系统卷下有三个目录比较特殊，系统默认给了他们有限制的权限，这三个目录是Documents and settings、Program files和Winnt。对于Documents and settings，默认的权限是这样分配的：Administrators拥有完全控制权；Everyone拥有读&运，列和读权限；Power users拥有读&运，列和读权限；SYSTEM同Administrators;Users拥有读&运，列和读权限。对于Program files，Administrators拥有完全控制权；Creator owner拥有特殊权限;Power users有完全控制权;SYSTEM同Administrators;Terminal server users拥有完全控制权，Users有读&运，列和读权限。对于Winnt，Administrators拥有完全控制权；Creator owner拥有特殊权限;Power users有完全控制权;SYSTEM同Administrators;Users有读&运，列和读权限。而非系统卷下的所有目录都将继承其父目录的权限，也就是Everyone组完全控制权！

   现在大家知道为什么我们刚刚在测试的时候能一帆风顺的取得管理员权限了吧？权限设置的太低了！一个人在访问网站的时候，将被自动赋予IUSR用户，它是隶属于Guest组的。本来权限不高，但是系统默认给的Everyone组完全控制权却让它“身价倍增”，到最后能得到Administrators了。那么，怎样设置权限给这台WEB服务器才算是安全的呢？大家要牢记一句话：“最少的服务+最小的权限=最大的安全”对于服务，不必要的话一定不要装，要知道服务的运行是SYSTEM级的哦，对于权限，本着够用就好的原则分配就是了。对于WEB服务器，就拿刚刚那台服务器来说，我是这样设置权限的，大家可以参考一下：各个卷的根目录、Documents and settings以及Program files，只给Administrator完全控制权，或者干脆直接把Program files给删除掉；给系统卷的根目录多加一个Everyone的读、写权；给e:\www目录，也就是网站目录读、写权。最后，还要把cmd.exe这个文件给挖出来，只给Administrator完全控制权。经过这样的设置后，再想通过我刚刚的方法入侵这台服务器就是不可能完成的任务了。可能这时候又有读者会问：“为什么要给系统卷的根目录一个Everyone的读、写权？网站中的ASP文件运行不需要运行权限吗？”问的好，有深度。是这样的，系统卷如果不给Everyone的读、写权的话，启动计算机的时候，计算机会报错，而且会提示虚拟内存不足。当然这也有个前提----虚拟内存是分配在系统盘的，如果把虚拟内存分配在其他卷上，那你就要给那个卷Everyone的读、写权。ASP文件的运行方式是在服务器上执行，只把执行的结果传回最终用户的浏览器，这没错，但ASP文件不是系统意义上的可执行文件，它是由WEB服务的提供者----IIS来解释执行的，所以它的执行并不需要运行的权限。

    经过上面的讲解以后，你一定对权限有了一个初步了了解了吧？想更深入的了解权限，那么权限的一些特性你就不能不知道了，权限是具有继承性、累加性、优先性、交叉性的。

    继承性是说下级的目录在没有经过重新设置之前，是拥有上一级目录权限设置的。这里还有一种情况要说明一下，在分区内复制目录或文件的时候，复制过去的目录和文件将拥有它现在所处位置的上一级目录权限设置。但在分区内移动目录或文件的时候，移动过去的目录和文件将拥有它原先的权限设置。

    累加是说如一个组GROUP1中有两个用户USER1、USER2，他们同时对某文件或目录的访问权限分别为“读取”和“写入”，那么组GROUP1对该文件或目录的访问权限就为USER1和USER2的访问权限之和，实际上是取其最大的那个，即“读取”+“写入”=“写入”。又如一个用户USER1同属于组GROUP1和GROUP2，而GROUP1对某一文件或目录的访问权限为“只读”型的，而GROUP2对这一文件或文件夹的访问权限为“完全控制”型的，则用户USER1对该文件或文件夹的访问权限为两个组权限累加所得，即：“只读”+“完全控制”=“完全控制”。

    优先性，权限的这一特性又包含两种子特性，其一是文件的访问权限优先目录的权限，也就是说文件权限可以越过目录的权限，不顾上一级文件夹的设置。另一特性就是“拒绝”权限优先其它权限，也就是说“拒绝”权限可以越过其它所有其它权限，一旦选择了“拒绝”权限，则其它权限也就不能取任何作用，相当于没有设置。

    交叉性是指当同一文件夹在为某一用户设置了共享权限的同时又为用户设置了该文件夹的访问权限，且所设权限不一致时，它的取舍原则是取两个权限的交集，也即最严格、最小的那种权限。如目录A为用户USER1设置的共享权限为“只读”，同时目录A为用户USER1设置的访问权限为“完全控制”，那用户USER1的最终访问权限为“只读”。
权限设置的问题我就说到这了，在最后我还想给各位读者提醒一下，权限的设置必须在NTFS分区中才能实现的，FAT32是不支持权限设置的。同时还想给各位管理员们一些建议：

1.养成良好的习惯，给服务器硬盘分区的时候分类明确些，在不使用服务器的时候将服务器锁定，经常更新各种补丁和升级杀毒软件。

2.设置足够强度的密码，这是老生常谈了，但总有管理员设置弱密码甚至空密码。

3.尽量不要把各种软件安装在默认的路径下

4.在英文水平不是问题的情况下，尽量安装英文版操作系统。

5.切忌在服务器上乱装软件或不必要的服务。

6.牢记：没有永远安全的系统，经常更新你的知识。

虚拟主机防范入侵常见问答

andy — Sun, 25 Feb 2007 15:47:00 GMT

1.如何让asp脚本以system权限运行?

　　修改你asp脚本所对应的虚拟目录，把"应用程序保护"修改为"低"....

　　2.如何防止asp木马?

　　基于FileSystemObject组件的asp木马

　　cacls %systemroot%\system32\scrrun.dll /e /d guests //禁止guests使用

　　regsvr32 scrrun.dll /u /s //删除

　　基于shell.application组件的asp木马

　　cacls %systemroot%\system32\shell32.dll /e /d guests //禁止guests使用

　　regsvr32 shell32.dll /u /s //删除

　　3.如何加密asp文件?

　　从微软免费下载到sce10chs.exe 直接运行即可完成安装过程。

　　安装完毕后，将生成screnc.exe文件，这是一个运行在DOS PROMAPT的命令工具。

　　运行screnc - l vbscript source.asp destination.asp

　　生成包含密文ASP脚本的新文件destination.asp

　　用记事本打开看凡是""之内的，不管是否注解，都变成不可阅读的密文了

　　但无法加密中文。

　　4.如何从IISLockdown中提取urlscan?

　　iislockd.exe /q /c /t:c:\urlscan

　　5.如何防止Content-Location标头暴露了web服务器的内部IP地址?

　　执行

　　cscript c:\inetpub\adminscripts\adsutil.vbs set w3svc/UseHostName True

　　最后需要重新启动iis

　　6.如何解决HTTP500内部错误?

　　iis http500内部错误大部分原因

　　主要是由于iwam账号的密码不同步造成的。

　　我们只要同步iwam_myserver账号在com+应用程序中的密码即可解决问题。

　　执行 cscript c:\inetpub\adminscripts\synciwam.vbs -v

7.如何增强iis防御SYN Flood的能力?

　　Windows Registry Editor Version 5.00

　　[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters]

　　启动syn攻击保护。缺省项值为0，表示不开启攻击保护，项值为1和2表示启动syn攻击保护，设成2之后　安全级别更高，对何种状况下认为是攻击，则需要根据下面的TcpMaxHalfOpen和TcpMaxHalfOpenRetried值　设定的条件来触发启动了。这里需要注意的是，NT4.0必须设为1，设为2后在某种特殊数据包下会导致系统重启。

　　"SynAttackProtect"=dword:00000002

　　同时允许打开的半连接数量。所谓半连接，表示未完整建立的TCP会话，用netstat命令可以看到呈SYN_RCVD状态的就是。这里使用微软建议值，服务器设为100，高级服务器设为500。建议可以设稍微小一点。

　　"TcpMaxHalfOpen"=dword:00000064

　　判断是否存在攻击的触发点。这里使用微软建议值，服务器为80，高级服务器为400。

　　"TcpMaxHalfOpenRetried"=dword:00000050

　　设置等待SYN-ACK时间。缺省项值为3，缺省这一过程消耗时间45秒。项值为2，消耗时间为21秒。

　　项值为1，消耗时间为9秒。最低可以设为0，表示不等待，消耗时间为3秒。这个值可以根据遭受攻击规模修改。

　　微软站点安全推荐为2。

　　"TcpMaxConnectResponseRetransmissions"=dword:00000001

　　设置TCP重传单个数据段的次数。缺省项值为5，缺省这一过程消耗时间240秒。微软站点安全推荐为3。

　　"TcpMaxDataRetransmissions"=dword:00000003

　　设置syn攻击保护的临界点。当可用的backlog变为0时，此参数用于控制syn攻击保护的开启，微软站点安全推荐为5。

　　"TCPMaxPortsExhausted"=dword:00000005

　　禁止IP源路由。缺省项值为1，表示不转发源路由包，项值设为0，表示全部转发，设置为2，表示丢弃所有接受的源路由包，微软站点安全推荐为2。

　　"DisableIPSourceRouting"=dword:0000002

　　限制处于TIME_WAIT状态的最长时间。缺省为240秒，最低为30秒，最高为300秒。建议设为30秒。

　　"TcpTimedWaitDelay"=dword:0000001e

　　8.如何避免*mdb文件被下载?

　　安装ms发布的urlscan工具，可以从根本上解决这个问题。

　　同时它也是一个强大的安全工具，你可以从ms的网站上获取更为详细的信息。

9.如何让iis的最小ntfs权限运行?

　　依次做下面的工作:

　　a.选取整个硬盘:

　　ystem:完全控制

　　administrator:完全控制

　　(允许将来自父系的可继承性权限传播给对象)

　　.\program files\common files:

　　everyone:读取及运行

　　列出文件目录

　　读取

　　(允许将来自父系的可继承性权限传播给对象)

　　c.\inetpub\wwwroot:

　　iusr_machine:读取及运行

　　列出文件目录

　　读取

　　(允许将来自父系的可继承性权限传播给对象)

　　e.\winnt\system32:

　　选择除inetsrv和centsrv以外的所有目录，

　　去除“允许将来自父系的可继承性权限传播给对象”选框，复制。

　　f.\winnt:

　　选择除了downloaded program files、help、iis temporary compressed files、

　　offline web pages、system32、tasks、temp、web以外的所有目录

　　去除“允许将来自父系的可继承性权限传播给对象”选框，复制。

　　g.\winnt:

　　everyone:读取及运行

　　列出文件目录

　　读取(允许将来自父系的可继承性权限传播给对象)

　　h.\winnt\temp:(允许访问数据库并显示在asp页面上)

　　everyone:修改

　　(允许将来自父系的可继承性权限传播给对象)

　　10.如何隐藏iis版本?

　　一个黑客可以可以轻易的telnet到你的web端口，发送get命令来获取很多信息

　　iis存放IIS BANNER的所对应的dll文件如下:

　　WEB:C:\WINNT\SYSTEM32\INETSRV\W3SVC.DLL

　　FTP:C:\WINNT\SYSTEM32\INETSRV\FTPSVC2.DLL

　　SMTP:C:\WINNT\SYSTEM32\INETSRV\SMTPSVC.DLL

　　你可以用16进制编辑器去修改那些dll文件的关键字，比如iis的Microsoft-IIS/5.0

　　具体过程如下:

　　1.停掉iis iisreset /stop

　　2.删除%SYSTEMROOT%\system32\dllcache目录下的同名文件

　　3.修改

服务器终极安全设置与优化指南(2)

andy — Sun, 25 Feb 2007 15:42:00 GMT

防止ACCESS mdb 数据库有可能被下载的漏洞
在用ACCESS做后台数据库时，如果有人通过各种方法知道或者猜到了服务器的ACCESS数据库的路径和数据库名称，那么他能够下载这个ACCESS数据库文件，这是非常危险的。
解决方法：
(1) 为你的数据库文件名称起个复杂的非常规的名字，并把他放在几目录下。所谓 "非常规"，打个比方：比如有个数据库要保存的是有关书籍的信息，可不要把他起个"book.mdb"的名字，起个怪怪的名称，比如d34ksfslf.mdb，再把他放在如./kdslf/i44/studi/ 的几层目录下，这样黑客要想通过猜的方式得到你的ACCESS数据库文件就难上加难了。
(2)不要把数据库名写在程序中。有些人喜欢把DSN写在程序中，比如：
DBPath = Server.MapPath("cmddb.mdb")
conn.Open "driver={Microsoft Access Driver (*.mdb)};dbq=" & DBPath
假如万一给人拿到了源程序，你的ACCESS数据库的名字就一览无余。因此建议你在ODBC里设置数据源，再在程序中这样写：
conn.open "shujiyuan"
(3)使用ACCESS来为数据库文件编码及加密。首先在选取 "工具->安全->加密/解密数据库，选取数据库（如：employer.mdb），然后接确定，接着会出现 "数据库加密后另存为"的窗口，存为：employer1.mdb。接着employer.mdb就会被编码，然后存为employer1.mdb..
要注意的是，以上的动作并不是对数据库设置密码，而只是对数据库文件加以编码，目的是为了防止他人使用别的工具来查看数据库文件的内容。
接下来我们为数据库加密，首先以打开经过编码了的 employer1.mdb，在打开时，选择"独占"方式。然后选取功能表的"工具->安全->设置数据库密码"，接着输入密码即可。这样即使他人得到了employer1.mdb文件，没有密码他是无法看到 employer1.mdb的。

23.SQL SERVER的安全

SQL SERVER是NT平台上用的最多的数据库系统，但是它的安全问题也必须引起重视。数据库中往往存在着最有价值的信息，一旦数据被窃后果不堪设想。

及时更新补丁程序。
说明：与NT一样，SQL SERVER的许多漏洞会由补丁程序来弥补。建议在安装补丁程序之前先在测试机器上做测试，同时提前做好目标服务器的数据备份。

给SA一个复杂的口令。
说明：SA具有对SQL SERVER数据库操作的全部权限。遗憾的是，一部分网管对数据库并不熟悉，建立数据库的工作由编程人员完成，而这部分人员往往只注重编写SQL 语句本身，对SQL SERVER数据库的管理不熟悉，这样很有可能造成SA口令为空。这对数据库安全是一个严重威胁。目前具有这种隐患的站点不在少数。

严格控制数据库用户的权限，轻易不要给让用户对表有直接的查询、更改、插入、删除权限，可以通过给用户以访问视图的权限，以及只具有执行存储过程的权限。
说明：用户如果对表有直接的操作权限，就会存在数据被破坏的危险。

制订完整的数据库备份与恢复策略。

24. PCANYwhere的安全：

目前，PCANYwhere是最流行的基于NT与2000的远程控制工具，同样也需要注意安全问题。

建议采用单独的用户名与口令，最好采用加密手段。千万不要采用与NT管理员一样的用户名与口令，也不要使用与NT集成的口令。同时在服务器端的设置时务必采用security options中的强加密方式，拒绝低加密水平的连接，同时采用口令加密与传输过程中的用户名与口令加密，以防止被嗅探到，还要限制连接次数，另外很重要的一点就是一定在protect item中设置高强度的口令，同时一定限制不能够让别人看到你的host端的任何设置，即便是要察看主机端的相关设置也必须要输入口令！
说明：PCANYwhere 口令是远程控制的第一个关口，如果与NT的一样，就失去了安全屏障。被攻破后就毫无安全可言。而如果采用单独的口令，即使攻破了PCANYwhere，NT还有一个口令屏障。
及时安装较新的版本。

2.中级篇: IIS的安全与性能调整

实际上，安全和应用在很多时候是矛盾的，因此，你需要在其中找到平衡点，毕竟服务器是给用户用而不是做OPEN HACK的，如果安全原则妨碍了系统应用，那么这个安全原则也不是一个好的原则。网络安全是一项系统工程，它不仅有空间的跨度，还有时间的跨度。很多朋友（包括部分系统管理员）认为进行了安全配置的主机就是安全的，其实这其中有个误区：我们只能说一台主机在一定的情况一定的时间上是安全的随着网络结构的变化、新的漏洞的发现，管理员/用户的操作，主机的安全状况是随时随地变化着的，只有让安全意识和安全制度贯穿整个过程才能做到真正的安全。

提高IIS 5.0网站伺服器的执行效率的八种方法　
以下是提高IIS 5.0网站伺服器的执行效率的八种方法：
1. 启用HTTP的持续作用可以改善15~20%的执行效率。　
2. 不启用记录可以改善5~8%的执行效率。　
3. 使用 [独立] 的处理程序会损失20%的执行效率。　
4. 增加快取记忆体的保存档案数量，可提高Active Server Pages之效能。　
5. 勿使用CGI程式。　
6. 增加IIS 5.0电脑CPU数量。　
7. 勿启用ASP侦错功能。　
8. 静态网页采用HTTP 压缩，大约可以减少20%的传输量。　

简单介绍如下。　
1、启用HTTP的持续作用　
启用HTTP的持续作用（Keep-Alive）时，IIS与浏览器的连线不会断线，可以改善执行效率，直到浏览器关闭时连线才会断线。因为维持「Keep-Alive」状态时，於每次用户端请求时都不须重新建立一个新的连接，所以将改善伺服器的效率。此功能为HTTP1.1预设的功能，HTTP 1.0加上Keep-Alive header也可以提供HTTP的持续作用功能。
　

2、启用HTTP的持续作用可以改善15~20%的执行效率。　
如何启用HTTP的持续作用呢？步骤如下：在 [Internet服务管理员] 中，选取整个IIS电脑、或Web站台，於 [内容] 之 [主目录] 页，勾选 [HTTP的持续作用] 选项。
　

3、不启用记录　
不启用记录可以改善5~8%的执行效率。如何设定不启用记录呢？步骤如下：　
在 [Internet服务管理员] 中，选取整个IIS电脑、或Web站台，於 [内容] 之 [主目录] 页，不勾选 [启用记录] 选项。设定非独立的处理程序使用 [独立] 的处理程序会损失20%的执行效率，此处所谓独立」系指将 [主目录]、[虚拟目录] 页之应用程式保护选项设定为 [高（独立的）] 时。因此 [应用程式保护] 设定为 [低 (IIS处理程序)] 时执行效率较高如何设定非「独立」的处理程序呢？步骤如下：在 [Internet服务管理员] 中，选取整个IIS电脑、Web站台、或应用程式的起始目录。於 [内容] 之 [主目录]、[虚拟目录] 页，设定应用程式保护选项为 [低 (IIS处理程序)] 。　

4、调整快取（Cache）记忆体　
IIS 5.0将静态的网页资料暂存於快取（Cache）记忆体当中；IIS 4.0则将静态的网页资料暂存於档案当中。调整快取（Cache）记忆体的保存档案数量可以改善执行效率。ASP指令档案执行过後，会在暂存於快取（Cache）记忆体中以提高执行效能。增加快取记忆体的保存档案数量，可提高Active Server Pages之效能。可以设定所有在整个IIS电脑、「独立」Web站台、或「独立」应用程式上执行之应用程式的快取记忆体档案数量。如何设定快取（Cache）功能呢？步骤如下：在 [Internet服务管理员] 中选取整个IIS电脑、「独立」Web站台、或「独立」应用程式的起始目录。於 [内容] 之 [主目录]、[虚拟目录] 页，按下 [设定] 按钮时，即可由 [处理程序选项] 页设定[指令档快取记忆体] 。如何设定快取（Cache）记忆体档案数量呢？步骤如下：在[Internet服务管理员] 中，选取整个IIS电脑、或Web站台的起始目录。於 [内容] 之[伺服器扩充程式] 页，按下 [设定] 按钮。即可设定快取（Cache）记忆体档案数量。

5、勿使用CGI程式　
使用CGI程式时，因为处理程序（Process）须不断地产生与摧毁，造成执行效率不佳。一般而言，执行效率比较如下：静态网页（Static）：100 ISAPI：50 ASP：10 CGI：1 　换句话说，ASP比CGI可能快10倍，因此勿使用CGI程式可以改善IIS的执行效率。以弹性（Flexibility）而言：ASP > CGI > ISAPI > 静态网页（Static）。以安全（Security）而言：ASP（独立） = ISAPI（独立）= CGI > ASP（非独立） = ISAPI（非独立）= 静态网页（Static）

6、增加IIS 5.0电脑CPU数量　
根据微软的测试报告，增加IIS 4.0电脑CPU数量，执行效率并不会改善多少；但是增加IIS 5.0电脑CPU数量，执行效率会几乎成正比地提供，换句话说，两颗CPU的IIS5.0电脑执行效率几乎是一颗CPU电脑的两倍，四颗CPU的IIS 5.0电脑执行效率几乎是一颗CPU电脑的四倍IIS 5.0将静态的网页资料暂存於快取（Cache）记忆体当中；IIS 4.0 则将静态的网页资料暂存於档案当中。调整快取（Cache）记忆体的保存档案数量可以改善执行效率。　

7、启用ASP侦错功能　
勿启用ASP侦错功能可以改善执行效率。如何勿启用ASP侦错功能呢？步骤如下：於[Internet服务管理员] 中，选取Web站台、或应用程式的起始目录，按右键选择[内容]，按 [主目录]、[虚拟目录] 或 [目录] 页，按下 [设定] 按钮，选择 [应用程式侦错] 页，不勾选 [启用ASP伺服器端指令侦错]、[启用ASP用户端指令侦错] 选项。

8、静态网页采用HTTP 压缩　
静态网页采用HTTP 压缩，大约可以减少20%的传输量。HTTP压缩功能启用或关闭，系针对整台IIS伺服器来设定。用户端使用IE 5.0浏览器连线到已经启用HTTP压缩IIS5.0之Web伺服器，才有HTTP压缩功能。如何启用HTTP压缩功能呢？步骤如下：若要启用HTTP 压缩功能，方法为在 [Internet服务管理员] 中，选取电脑之 [内容]，於 [主要内容] 之下选取 [WWW服务]。然後按一下 [编辑] 按钮，於 [服务] 页上，选取 [压缩静态档案] 可以压缩静态档案，不选取 [压缩应用程式档案] 。　动态产生的内容档案（压缩应用程式档案）也可以压缩，但是须耗费额外CPU处理时间，若%Processor Time已经百分之八十或更多时，建议不要压缩

以上是对采用IIS作为WEB服务器的一些安全相关的设置与其性能调整的参数设置，可以最大化的优化你的IIS，不过个人认为如果不存在障碍，还是采用apache比较好一些，漏洞少，建议采用apache 1.3.24版本，因为最近经测试，apache 1.3.23之前的版本都存在溢出漏洞，不要怕，这种漏洞很少的，呵呵。另外，个人建议不要采用ASP安全性总不叫人放心，个人认为还是采用JSP好一些，安全性好，功能强大，绝对超值，呵呵，因为PHP也存在不少的洞洞

附：IIS安全工具及其使用说明

一、IIS Lock Tool，快速设置IIS安全属性

　　IIS Lock Tool的推出，还要感谢红色代码，因为正是红色代码的大面积传播，致使微软设计发布这款帮助管理员们设置IIS安全性的工具。

（一）、IIS Lock Tool具有以下功能和特点

　　１、最基本功能，帮助管理员设置IIS安全性；

　　２、此工具可以在IIS4和IIS5上使用；

　　３、即使系统没有及时安装所有补丁，也能有效防止IIS4和IIS5的已知漏洞；

　　４、帮助管理员去掉对本网站不必要的一些服务，使IIS在满足本网站需求的情况下运行最少的服务；

　　５、具有两种使用模式：快捷模式和高级模式。快捷模式直接帮助管理员设置好IIS安全性，这种模式只适合于只有HTML和HTM静态网页的网站使用，因为设置完成以后，ASP不能运行；高级模式允许管理员自己设置各种属性，设置得当，对IIS系统任何功能均没有影响。

（二）、IIS Lock Tool的使用

　　１、软件下载和安装

　　IIS Lock Tool在微软网站下载，下载地址：
http://www.microsoft.com/Downloads/Release.asp?ReleaseID=32362

　　安装很简单，需要注意的是，安装以后，程序不会在系统的【程序】菜单出现，也不会在【管理工具】出现，需要安装者在安装目录寻找运行该程序。

　　２、软件的使用

　　在以下的介绍中，我们将详细介绍每一步设置的意义和推荐设置，之所以详细介绍，是为了我们明白这些设置到底意味着什么，同时，和我们原来的安全设置相对照，避免出现设置完成以后，系统出现障碍。

　运行该软件，首先出现以下界面（图一）：

图一

　　以上界面介绍了IIS Lock Tool的一些基本情况和使用时需要注意的地方：1）使用时应该选择针对本网站最少的服务，去掉不必要的服务；2）设置完成以后，建议对网站进行彻底检查，以确定设置对本网站是否合适；

　　在以上界面，点击【下一步】按钮，出现以下界面（图二）：

图二

　　以上界面选择快捷模式还是高级模式来运行软件，在这里，软件介绍了两者模式的区别：

　快捷模式：此设置模式关闭了IIS的一些高级服务属性，其中包括动态网页属性（ASP）；所以，我们需要再重复一遍，选择快捷模式只适合提供静态页面的网站，当然，这种模式是相对最安全的。

　　高级模式：此模式运行安装者自定义各种属性，同时允许高级属性的运行。

　　快捷模式设置我们不必介绍，点击【下一步】按钮就可以设置完成。我们选择【Advanced Lockdown】（高级设置），点击【下一步】按钮，出现以下界面（图三）：

图三

　　以上界面帮助管理员设置各种脚本映射，我们来看每一种影射应该怎样设置：

　　1）Disable support Active Server Pages(ASP)，选择这种设置将使IIS不支持ASP功能；可以根据网站具体情况选择，一般不选择此项，因为网站一般要求运行ASP程序；

　　2）Disable support Index Server Web Interface(.idq,.htw,.ida)，选择这一项将不支持索引服务，具体就是不支持.idq,.htw,.ida这些文件。我们先来看看到底什么是索引服务，然后来决定取舍。索引服务是IIS4中包含的内容索引引擎。你可以对它进行ADO调用并搜索你的站点，它为你提供了一个很好的web 搜索引擎。如果你的网站没有利用索引服务对网站进行全文检索，也就可以取消网站的这个功能，取消的好处是：1）减轻系统负担；2）有效防止利用索引服务漏洞的病毒和黑客，因为索引服务器漏洞可能使攻击者控制网站服务器，同时，暴露网页文件在服务器上的物理位置（利用.ida、.idq）。因此，我们一般建议在这一项前面打勾，也就是取消索引服务；

　3）Disable support for Server Side Includes（.shtml,.shtm,.stm），取消服务器端包含；先来看看什么叫服务器端包含，SSI就是HTML文件中，可以通过注释行调用的命令或指针。SSI 具有强大的功能，只要使用一条简单的SSI 命令就可以实现整个网站的内容更新，动态显示时间和日期，以及执行shell和CGI脚本程序等复杂的功能。一般而言，我们没有用到这个功能，所以，建议取消；取消可以防止一些IIS潜在地漏洞；

　　4）Disable for Internet Data Connector(.idc)，取消Internet数据库连接；先看Internet数据库连接的作用，它允许HTML页面和后台数据库建立连接，实现动态页面。需要注意的是，IIS4和IIS5中基本已经不使用idc，所以，建议在此项打勾，取消idc；

　　5）Disable support for Internet Printing (.printer)，取消Internet打印；这一功能我们一般没有使用，建议取消；取消的好处是可以避免.printer远程缓存溢出漏洞，这个漏洞使攻击者可以利用这个漏洞远程入侵IIS 服务器，并以系统管理员(system)身份执行任意命令；

　　6）Disable support for .HTR Scripting（.htr），取消htr映射；攻击者通过htr构造特殊的URL请求，可能导致网站部分文件源代码暴露（包括ASP），建议在此项前面打勾，取消映射；

　　理解以上各项设置以后，我们可以根据本网站情况来决定取舍，一般网站除了ASP要求保留以外，其他均可以取消，也就是全消第一项前面的勾，其他全部打勾，按【下一步】按钮，出现以下界面（图四）

图四

　　以上界面设置可以让管理员选择一些IIS默认安装文件的保留与否，我们来看怎样选择：

　　1）Remove sample web files，删除web例子文件；建议删除，因为一般我们不需要在服务器上阅读这些文件，而且，这些文件可能让攻击者利用来阅读部分网页源程序代码（包括ASP）；

　　2）Remove the Scripts vitual directory，删除脚本虚拟目录；建议删除；

　　3）Remove the MSDAC virtual directory，删除MSDAC虚拟目录，建议删除；

　　4）Disable Distribauted Authoring and Versioning(WebDAV)，删除WEBDAV，WebDav主要允许管理者远程编写和修改页面，一般我们不会用到，建议删除，删除的好处是可以避免IIS5的一个WebDav漏洞，该漏洞可能导致服务器停止。

　　5）Set file permissions to prevent the IIS anouymous user from executing system utilities(such as cmd.exe,tftp.exe)，防止匿名用户运行可执行文件，比如cmd.exe和tftp.exe；建议选择此项，因为红色代码和尼姆达均利用了以上所说的匿名执行可执行文件的功能；

　　6）Set file permissions to prevent the IIS anouymous user from writing to content directories，防止匿名用户对目录具有写权限，这个不要解释，建议选择；

　　设置以上选项以后，按【下一步】按钮，出现以下界面（图五）：

图五

　　要求确认是否接受以上设置，选择【是】，出现以下界面（图六）开始对系统执行设置：

图六

　　在以上界面中，我们可以看到对IIS的详细设置情况。设置完成以后，建议重新启动IIS。

二、URLScan Tool――过滤非法URL访问

　　仔细观察IIS的漏洞，我们几乎可以得出这样一个结论，所有利用这些漏洞实现对网站攻击的手段均是构造特殊的URL来访问网站，一般有以下几种类型的URL可以利用漏洞：

　　１、特别长的URL，比如红色代码攻击网站的URL就是这样：

GET/default.idaXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX%u9090%u6858%ucbd3%u7801%u
9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%u7801%u9090%u9090%u8190%u
00c3%u0003%u8b00%u531b%u53ff%u0078%u0000%u00=a 200；

　２、特殊字符或者字符串的URL，比如在URL后面加::$DATA可以看到网页（ASP）源代码；

　　３、URL中含有可执行文件名，最常见的就是有cmd.exe；

　　既然这些攻击利用特殊的URL来实现，所以，微软提供了这款专门过滤非法URL的安全工具，可以达到御敌于国门之外的效果，这款工具有以下特点和功能：

　　１、基本功能：过滤非法URL请求；

　　２、设定规则，辨别那些URL请求是合法的；这样，就可以针对本网站来制定专门的URL请求规则；同时，当有新的漏洞出现时，可以更改这个规则，达到防御新漏洞的效果；

　　３、程序提供一套URL请求规则，这个规则包含已经发现的漏洞利用特征，帮助管理员设置规则；

（一）、软件的下载与安装

　　URLScan可以在微软的网站上下载，地址如下：

http://download.microsoft.com/download/iis50/Utility/1.0/NT45XP/EN-US/UrlScan.exe

　　和一般软件一样安装，但是，此软件不能选择安装路径，安装完成以后，我们可以在System32/InetSvr/URLScan目录下找到以下文件：

　　urlscan.dll：动态连接库文件；
　　urlscan.inf：安装信息文件；
　　urlscan.txt：软件说明文件；
　　urlscan.ini：软件配置文件，这个文件很只要，因为对URLScan的所有配置，均有这个文件来完成。

（二）、软件的配置

　　软件的配置由urlscan.ini文件来完成，在配置此文件以前，我们需要了解一些基本知识。

　１、urlscan配置文件的构造形式

　　urlscan配置文件必须遵从以下规则：

　　（1）此文件名必须为urlscan.ini；

　　（2）配置文件必须和urlscan.dll在同一目录；

　　（3）配置文件必须是标准ini文件结构，也就是由节，串和值组成；

　　（4）配置文件修改以后，必须重新启动IIS，使配置生效；

　　（5）配置文件由以下各节组成：

　　[Option]节，主要设置节；
　　[AllowVerbs]节，配置认定为合法URL规则设定，此设定与Option节有关；
　　[DenyVerbs]节，配置认定为非法URL规则设定，此设定与Option节有关；
　　[DenyHeaders]节，配置认定为非法的header在设立设置；
　　[AllowExtensions]节，配置认定为合法的文件扩展名在这里设置，此设定与Option节有关；
　　[DenyExtensions]节，配置认定为非法的文件扩展名在这里设置，此设定与Option节有关；

　　２、具体配置

　　（1）Option节的配置，因为Option节的设置直接影响到以后的配置，因此，这一节的设置特别重要。此节主要进行以下属性的设置：

　　UseAllowVerbs：使用允许模式检查URL请求，如果设置为1,所有没有在[AllowVerbs]节设置的请求都被拒绝；如果设置为0，所有没有在[DenyVerbs]设置的URL请求都认为合法；默认为1;

　　UseAllowExtensions：使用允许模式检测文件扩展名；如果设置为 1,所有没在[AllowExtensions]节设置的文件扩展名均认为是非法请求；如果设置为0,所有没在[DenyExtensions]节设置的扩展名均被认为是合法请求；默认为0;

　　EnableLogging：是否允许使用Log文件，如果为1,将在urlscan.dll的相同目录设置名为urlscan.log的文件记录所有过滤；

　　AllowLateScanning：允许其他URL过滤在URLScan过滤之前进行，系统默认为不允许0;

　　alternateServerName：使用服务名代替；如果此节存在而且[RemoveServerHeader]节设置为0,IIS将在这里设置的服务器名代替默认的"Server"；

　　NormalizeUrlBeforeScan：在检测URL之前规格化URL；如果为1，URLScan将在IIS编码URL之前URL进行检测；需要提醒的是，只有管理员对URL解析非常熟悉的情况下才可以将其设置为0；默认为1；

　　VerifyNormalization：如果设置为1，UrlScan将校验URL规则，默认为1；此节设定与NormalizeUrlBeforeScan有关；

　　AllowHighBitCharacters：如果设置为1,将允许URL中存在所有字节，如果为0，含有非ASCII字符的URL将拒绝；默认为1；

　　AllowDotInPath：如果设置为1，将拒绝所有含有多个"."的URL请求，由于URL检测在IIS解析URL之前，所以，对这一检测的准确性不能保证，默认为0；

　　RemoveServerHeader：如果设置为1，将把所有应答的服务头清除，默认为0;

　　（2）[AllowVerbs]节配置

　　如果UseAllowVerbs设置为1,此节设置的所有请求将被允许，一般设置以下请求：

　　GET、HEAD、POST

　　（3）[DenyVerbs]节配置

　　如果UseAllowVerbs设置为0，此节设置的所有请求将拒绝，一般设置以下请求：

　　PROPFIND、PROPPATCH、MKCOL、delete、PUT、COPY、MOVE、LOCK、UNLOCK

　　（4）[AllowExtensions]节设置

　　在这一节设置的所有扩展名文件将被允许请求，一般设置以下请求：

　　.asp、.htm、.html、.txt、.jpg、.jpeg、.gif，如果需要提供文件下载服务，需要增加.rar、.zip

　　（5）[DenyExtensions]节设置

　　在这一节设置的所有扩展名文件请求将被拒绝，根据已经发现的漏洞，我们可以在这一节增加内容，一般为以下设置：
.asa、可执行文件、批处理文件、日志文件、罕见扩展如：shtml、.printer等。

三、总结

　　以上两个工具功能强大，可以真正实现对IIS的保护。IIS Lock Tool简单，相对而言，只是被动的防卫；UrlScan设置比较难，建议对IIS非常熟悉的管理员使用，只要设置得当，UrlScan的功能更加强大。在使用UrlScan的时候，切记不要设置一次万事大吉，需要不停跟踪新出现的漏洞，随时修改URLScan的配置文件。

3。高级篇：NT/2000的高级安全设置

1.禁用空连接，禁止匿名获得用户名列表

Win2000的默认安装允许任何用户通过空用户得到系统所有账号/共享列表，这个本来是为了方便局域网用户共享文件的，但是一个远程用户也可以得到你的用户列表并使用暴力法破解用户密码。很多朋友都知道可以通过更改注册表Local_Machine\System\CurrentControlSet\Control\LSA-RestrictAnonymous = 1来禁止139空连接，实际上win2000的本地安全策略（如果是域服务器就是在域服务器安全和域安全策略中）就有这样的选项RestrictAnonymous（匿名连接的额外限制），这个选项有三个值： 0：None. Rely on default permissions（无，取决于默认的权限 1 ：Do not allow enumeration of SAM accounts and shares（不允许枚举SAM帐号和共享） 2：No access without explicit anonymous permissions（没有显式匿名权限就不允许访问） 0这个值是系统默认的，什么限制都没有，远程用户可以知道你机器上所有的账号、组信息、共享目录、网络传输列表(NetServerTransportEnum等等，对服务器来说这样的设置非常危险。 1这个值是只允许非NULL用户存取SAM账号信息和共享信息。 2这个值是在win2000中才支持的，需要注意的是，如果你一旦使用了这个值，你的共享估计就全部完蛋了，所以我推荐你还是设为1比较好。好了，入侵者现在没有办法拿到我们的用户列表，我们的账户安全了
2。禁止显示上次登陆的用户名HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\winlogon项中的Don't Display Last User Name串数据改成1，这样系统不会自动显示上次的登录用户名。将服务器注册表HKEY_LOCAL_ MACHINE\SOFTWARE\Microsoft\
WindowsNT\CurrentVersion\Winlogon项中的Don't Display Last User Name串数据修改为1，隐藏上次登陆控制台的用户名。其实，在2000的本地安全策略中也存在该选项
Winnt4.0修改注册表：
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\Current Version\Winlogon 中增加DontDisplayLastUserName，将其值设为1。

2.预防DoS：

在注册表HKLM\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters中更改以下值可以帮助你防御一定强度的DoS攻击 SynAttackProtect REG_DWORD 2
EnablePMTUDiscovery REG_DWORD 0 NoNameReleaseOnDemand REG_DWORD 1
EnableDeadGWDetect REG_DWORD 0 KeepAliveTime REG_DWORD 300,000
PerFORMRouterDiscovery REG_DWORD 0 EnableICMPRedirects REG_DWORD 0

在Win2000中如何关闭ICMP(Ping)

　　3.针对ICMP攻击
ICMP的全名是Internet Control and Message Protocal即因特网控制消息/错误报文协议，这个协议主要是用来进行错误信息和控制信息的传递，例如著名的Ping和Tracert工具都是利用ICMP协议中的ECHO request报文进行的（请求报文ICMP ECHO类型8代码0，应答报文ICMP ECHOREPLY类型0代码0）。
　　ICMP协议有一个特点---它是无连结的，也就是说只要发送端完成ICMP报文的封装并传递给路由器，这个报文将会象邮包一样自己去寻找目的地址，这个特点使得ICMP协议非常灵活快捷，但是同时也带来一个致命的缺陷---易伪造（邮包上的寄信人地址是可以随便写的），任何人都可以伪造一个ICMP报文并发送出去，伪造者可以利用SOCK_RAW编程直接改写报文的ICMP首部和IP首部，这样的报文携带的源地址是伪造的，在目的端根本无法追查，（攻击者不怕被抓那还不有恃无恐？）根据这个原理，外面出现了不少基于ICMP的攻击软件，有通过网络架构缺陷制造ICMP风暴的，有使用非常大的报文堵塞网络的，有利用ICMP碎片攻击消耗服务器CPU的，甚至如果将ICMP协议用来进行通讯，可以制作出不需要任何TCP/UDP端口的木马（参见揭开木马的神秘面纱三）......既然ICMP协议这么危险，我们为什么不关掉它呢？

　　我们都知道，Win2000在网络属性中自带了一个TCP/IP过滤器，我们来看看能不能通过这里关掉ICMP协议，桌面上右击网上邻居->属性->右击你要配置的网卡->属性->TCP/IP->高级->选项->TCP/IP过滤，这里有三个过滤器，分别为：TCP端口、UDP端口和IP协议，我们先允许TCP/IP过滤，然后一个一个来配置，先是TCP端口，点击"只允许"，然后在下面加上你需要开的端口，一般来说WEB服务器只需要开80(www)，FTP服务器需要开20(FTP Data)，21(FTP Control)，邮件服务器可能需要打开25(SMTP),110(POP3)，以此类推......接着是UDP，UDP协议和ICMP协议一样是基于无连结的，一样容易伪造，所以如果不是必要（例如要从UDP提供DNS服务之类）应该选择全部不允许，避免受到洪水（Flood）或碎片（Fragment）攻击。最右边的一个编辑框是定义IP协议过滤的，我们选择只允许TCP协议通过，添加一个6（6是TCP在IP协议中的代码，IPPROTO_TCP=6）,从道理上来说，只允许TCP协议通过时无论UDP还是ICMP都不应该能通过，可惜的是这里的IP协议过滤指的是狭义的IP协议，从架构上来说虽然ICMP协议和IGMP协议都是IP协议的附属协议，但是从网络7层结构上ICMP/IGMP协议与IP协议同属一层，所以微软在这里的IP协议过滤是不包括ICMP协议的，也就是说即使你设置了"只允许TCP协议通过"，ICMP报文仍然可以正常通过，所以如果我们要过滤ICMP协议还需要另想办法。

　　刚刚在我们进行TCP/IP过滤时，还有另外一个选项：IP安全机制（IP Security)，我们过滤ICMP的想法就要着落在它身上。

打开本地安全策略，选择IP安全策略，在这里我们可以定义自己的IP安全策略。一个IP安全过滤器由两个部分组成：过滤策略和过滤操作，过滤策略决定哪些报文应当引起过滤器的关注，过滤操作决定过滤器是"允许"还是"拒绝"报文的通过。要新建IP安全过滤器，必须新建自己的过滤策略和过滤操作：右击本机的IP安全策略，选择管理IP过滤器，在IP过滤器管理列表中建立一个新的过滤规则：ICMP_ANY_IN，源地址选任意IP，目标地址选本机，协议类型是ICMP，切换到管理过滤器操作，增加一个名为Deny的操作，操作类型为"阻止"（Block）。这样我们就有了一个关注所有进入ICMP报文的过滤策略和丢弃所有报文的过滤操作了。需要注意的是，在地址选项中有一个镜像选择，如果选中镜像，那么将会建立一个对称的过滤策略，也就是说当你关注any IP->my IP的时候，由于镜像的作用，实际上你也同时关注了my IP->any IP，你可以根据自己的需要选择或者放弃镜像。再次右击本机的IP安全策略，选择新建IP过滤策略，建立一个名称为ICMP Filter的过滤器，通过增加过滤规则向导，我们把刚刚定义的ICMP_ANY_IN过滤策略指定给ICMP Filter，然后在操作选框中选择我们刚刚定义的Deny操作，退出向导窗口，右击ICMP Filter并启用它，现在任何地址进入的ICMP报文都会被丢弃了。
　　虽然用IP sec能够对ICMP报文进行过滤，不过操作起来太麻烦，而且如果你只需要过滤特定的ICMP报文，还要保留一些常用报文（如主机不可达、网络不可达等），IP sec策略就力不从心了，我们可以利用Win2000的另一个强大工具路由与远程访问控制（Routing & Remote Access）来完成这些复杂的过滤操作。

　　路由与远程访问控制是Win2000用来管理路由表、配置VPN、控制远程访问、进行IP报文过滤的工具，默认情况下并没有安装，所以首先你需要启用它，打开"管理工具"->"路由与远程访问"，右击服务器（如果没有则需要添加本机）选择"配置并启用路由及远程访问"，这时配置向导会让你选择是什么样的服务器，一般来说，如果你不需要配置VPN服务器，那么选择"手动配置"就可以了，配置完成后，主机下将出现一个IP路由的选项，在"常规"中选择你想配置的网卡（如果你有多块网卡，你可以选择关闭某一块的ICMP），在网卡属性中点击"输入筛选器"，添加一条过滤策略"from:ANY　to:ANY　协议:ICMP　类型:8 :编码:0　丢弃"就可以了（类型8编码0就是Ping使用的ICMP_ECHO报文，如果要过滤所有的ICMP报文只需要将类型和编码都设置为255）

　　细心的朋友刚才可能已经发现，在输入、输出过滤器的下面，还有一个"碎片检查"功能，这个功能使用来应付IP碎片攻击的，这已经超出了本文所讨论的范围，我会在以后的拒绝服务攻击的文章中继续和大家一起探讨的。Win2000的路由及远程访问是一个功能非常强大的工具集

4.改变windows系统的一些默认值（例如：数据包的生存时间(TTL)值，不同系统有不同的值，有经验的人可以根据TTL的不同的值判断对方使用的是何种操作系统（例如windows 2000默认值128），我改改改，看你怎么看)

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters

DefaultTTL REG_DWORD 0-0xff(0-255 十进制,默认值128)

说明:指定传出IP数据包中设置的默认生存时间(TTL)值.TTL决定了IP数据包在到达
目标前在网络中生存的最大时间.它实际上限定了IP数据包在丢弃前允许通过的路由
器数量.有时利用此数值来探测远程主机操作系统.

5.防止ICMP重定向报文的攻击
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters

EnableICMPRedirects REG_DWORD 0x0(默认值为0x1)

说明:该参数控制Windows 2000是否会改变其路由表以响应网络设备(如路由器)发送给它的ICMP重定向消息,有时会被利用来干坏事.Win2000中默认值为1,表示响应ICMP重定向报文.

6.禁止响应ICMP路由通告报文
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\interface
PerFORMRouterDiscovery REG_DWORD 0x0(默认值为0x2)

说明:"ICMP路由公告"功能可造成他人计算机的网络连接异常,数据被窃听,计算机被用于流量攻击等严重后果.此问题曾导致校园网某些局域网大面积,长时间的网络异常.因此建议关闭响应ICMP路由通告报文.Win2000中默认值为2,表示当DHCP发送路由器发现选项时启用

7.防止SYN洪水攻击
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters

SynAttackProtect REG_DWORD 0x2(默认值为0x0)

说明:SYN攻击保护包括减少SYN-ACK重新传输次数,以减少分配资源所保留的时
间.路由缓存项资源分配延迟,直到建立连接为止.如果synattackprotect=2,
则AFD的连接指示一直延迟到三路握手完成为止.注意,仅在TcpMaxHalfOpen和
TcpMaxHalfOpenRetried设置超出范围时,保护机制才会采取措施.

8.禁止C$、D$一类的缺省共享
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters
AutoShareServer、REG_DWORD、0x0

9.禁止ADMIN$缺省共享
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters
AutoShareWks、REG_DWORD、0x0
10.限制IPC$缺省共享
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa

restrictanonymous REG_DWORD 0x0 缺省
0x1 匿名用户无法列举本机用户列表
0x2 匿名用户无法连接本机IPC$共享
说明:不建议使用2，否则可能会造成你的一些服务无法启动，如SQL Server

11.不支持IGMP协议
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters

IGMPLevel REG_DWORD 0x0(默认值为0x2)

说明:记得Win9x下有个bug,就是用可以用IGMP使别人蓝屏,修改注册表可以修正这个
bug.Win2000虽然没这个bug了,但IGMP并不是必要的,因此照样可以去掉.改成0后用
route print将看不到那个讨厌的224.0.0.0项了.

12.设置arp缓存老化时间设置
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services:\Tcpip\Parameters

ArpCacheLife REG_DWORD 0-0xFFFFFFFF(秒数,默认值为120秒)
ArpCacheMinReferencedLife REG_DWORD 0-0xFFFFFFFF(秒数,默认值为600)

说明:如果ArpCacheLife大于或等于ArpCacheMinReferencedLife,则引用或未引用的ARP缓存项在ArpCacheLife秒后到期.如果ArpCacheLife小于阿ARPCacheMinReferencedLife,未引用项在ArpCacheLife秒后到期,而引用项在ArpCacheMinReferencedLife秒后到期.每次将出站数据包发送到项的IP地址时,就会引用ARP缓存中的项。

13.禁止死网关监测技术
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services:\Tcpip\Parameters

EnableDeadGWDetect REG_DWORD 0x0(默认值为ox1)

说明:如果你设置了多个网关,那么你的机器在处理多个连接有困难时,就会自动改用备份网关.有时候这并不是一项好主意,建议禁止死网关监测.

14.不支持路由功能
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services:\Tcpip\Parameters

IPEnableRouter REG_DWORD 0x0(默认值为0x0)

说明:把值设置为0x1可以使Win2000具备路由功能,由此带来不必要的问题.

15.做NAT时放大转换的对外端口最大值
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services:\Tcpip\Parameters

MaxUserPort REG_DWORD 5000-65534(十进制)(默认值0x1388--十进制为5000)

说明:当应用程序从系统请求可用的用户端口数时,该参数控制所使用的最大端口数.正常情况下,短期端口的分配数量为1024-5000.将该参数设置到有效范围以外时,就会使用最接近的有效数值(5000或65534).使用NAT时建议把值放大点.
16.修改MAC地址
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Class\

找到右窗口的说明为"网卡"的目录,
比如说是{4D36E972-E325-11CE-BFC1-08002BE10318}

展开之,在其下的0000,0001,0002...的分支中找到"DriverDesc"的键值为你网卡的说明,比如说"DriverDesc"的值为"Intel(R) 82559 Fast Ethernet LAN on Motherboard"然后在右窗口新建一字符串值,名字为"Networkaddress",内容为你想要的MAC值，比如说是"004040404040"然后重起计算机，ipconfig /all看看.

17.防止密码被DUMP，你只需在服务里面关掉Remote regisitery services

技术 Tech

判断是否全为英文字母 c#

查看 SQL Server 2000 中数据表所占用的磁盘空间

103个Windows XP运行命令

xp在线更新后系统提示盗版！点点鼠标轻松解决

VBScript查看远程终端的状态并修改!

全力打造安全主机 加固脆弱的IIS服务

让你的IIS无懈可击

Windows下权限设置详解

虚拟主机防范入侵常见问答

服务器终极安全设置与优化指南(2)

全力打造安全主机加固脆弱的IIS服务