win2033安全配置---WEB设置【转自www.bitsCN.com】

提到这个WEB就头痛哈，最容易出问题的地方，上传、注入，等等到处都是，面对众多的ASP 、PHP 、JSP等等后门木马我们怎么办，尤其大型网站诸多版块要是你去一个一个测试那可是长期的工作了，上传漏洞多数因为网站程序本身对后缀的过滤不严格，注入一般是因为网站程序的字符过滤问题，在这里笔者着重于说明的是如何配置安全服务器，对于网站程序本身的漏洞就不解释了，笔者也不专业，笔者用了一款比较流行的ASP后门做的测试，相对相对设置如下：

 

   首先设置：所有盘、windows、Documents and Settings、Program Files 等只允许系统管理员用户访问，其他删除，这样就可以防止ASP木马浏览你的系统盘了，（系统盘为NTFS）也可以单独建立一个用户，此用户设置权限为最低，然后指派给此用户专门就给WEB单独工作。    

一、禁用服务里面workstation 服务，可以防止列出用户和服务。

    二、使用WScript.Shell组件
    WScript.Shell可以调用系统内核运行DOS基本命令 可以通过修改注册表，将此组件改名，来防止此类木马的危害。将注册表下的HKEY_CLASSES_ROOT\WScript.Shell\及HKEY_CLASSES_ROOT\WScript.Shell.1\ 改名为其它的名字，如：改为WScript.Shell_ChangeName或 WScript.Shell.1_ChangeName。自己以后调用的时候使用这个就可以正常调用此组件了，同时也要将clsid值也改动 HKEY_CLASSES_ROOT\WScript.Shell\CLSID\项目的值 ，HKEY_CLASSES_ROOT\WScript.Shell.1\CLSID\项目的值，并禁止使用Guest用户使用shell32.dll来防止调用此组件。使用命令：regsvr32 WSHom.Ocx /u也可以将其删除，来防止此类木马的危害。

三、使用Shell.Application组件
    由于Shell.Application可以调用系统内核运行DOS基本命令 ，这里可以通过修改注册表HKEY_CLASSES_ROOT\Shell.Application\ 及 HKEY_CLASSES_ROOT\Shell.Application.1\ 改名为其它的名字，如：改为Shell.Application_ChangeName或 Shell.Application.1_ChangeName来防止此类木马的危害。同时要将也要将clsid值也改一下，即HKEY_CLASSES_ROOT\Shell.Application\CLSID\项目的值，HKEY_CLASSES_ROOT\Shell.Application\CLSID\项目的值，这里也可以将其删除，来防止此类木马的危害。并禁止Guest用户使用shell32.dll来防止调用此组件， 使用命令：cacls C:\WINNT\system32\shell32.dll /e /d  guests
    注：操作均需要重新启动WEB服务后才会生效。

 

    四、调用Cmd.exe
    禁用Guests组用户调用cmd.exe，命令为cacls C:\WINNT\system32\Cmd.exe /e /d guests， 最后设置上传存放上传文件的文件夹禁止运行ASP，例外：如果服务器安装S U FTP工具千万要安装6.0以上版本修改默认密码防止提权，FTP、SA、等密码一定要设得复杂些，目前很多人都设置为“默认”。      由于我们设置该文件夹禁止运行ASP， 如果对方通过WBE漏洞想利用上传ASP文件进入的话，那是无用的，这里假设对方通过某种手段运行了ASP后门，那么管理人员也可以在了解一ASP后门的基本功后能，采用相对的应付方法即可防范，如下： 中国网管联盟www、bitsCN、com

    1、查看系统盘符：设置了USERS组无法访问或使用的专门用户没有权限。
    2、查看Documents and Settings、Program Files 文件夹：设置无权限。
    3、列用户组与进程：禁用了workstation 服务。
    4、调用CMD：设置USERS用户组没有权限调用行为。
    5、调用WScript.Shell与Shell.Application ：删除或者进行修改。
    6、S U提权：改动密码。
    大体就这些以上几种我们都相对设置了应付方案，在WEB方面既可保证相对的服务器安全。     总结：网络安全是不容忽视的，不要等到事情发生之后才去补救，同样网络安全是无极限的，技术的比拼就是一场没有硝烟的战争。有句话很经典：在网络中只有相对的安全没有绝对的安全，要想打好一场战争就要知己知彼，只有在了解了入侵手法后才能做的更好的防范。 中国