初識(shí)Windows的權(quán)限
首先,要完全使用windows權(quán)限的所有功能,請(qǐng)確保在應(yīng)用權(quán)限的分區(qū)為NTFS文件系統(tǒng)。本文將以windowsXP簡(jiǎn)體中文專業(yè)版+SP2作為范例講解。
1.什么是權(quán)限?
舉個(gè)形象的例子,windows就像一個(gè)實(shí)驗(yàn)室,其中有導(dǎo)師A、導(dǎo)師B;學(xué)生A、學(xué)生B.大家都能在實(shí)驗(yàn)室里面完成實(shí)驗(yàn)。但在這里又是分等級(jí)的.兩位導(dǎo)師可以指定學(xué)生能使用什么樣的實(shí)驗(yàn)工具,不能碰什么工具,從而使得實(shí)驗(yàn)室不會(huì)因?yàn)閷W(xué)生亂用實(shí)驗(yàn)工具.而出現(xiàn)問題。同時(shí).兩位導(dǎo)師又能互相限制對(duì)方對(duì)實(shí)驗(yàn)工具的使用。因此.windows中的權(quán)限就是對(duì)某個(gè)用戶或同等級(jí)的用戶進(jìn)行權(quán)力分配和限制的方法。正是有了它的出現(xiàn),windows中的用戶要遵循這種"不平等"的制度,而正是這個(gè)制度,才使得windows可以更好地為多個(gè)用戶的使用創(chuàng)造了良好,穩(wěn)定的運(yùn)行環(huán)境。
2.權(quán)限都包含有什么?
在以NT內(nèi)核為基礎(chǔ)的Windows 2000/XP中,權(quán)限主要分為七大類完全控制、修改,讀取和運(yùn)行、列出文件夾目錄、讀取、寫入、特別的權(quán)限(見圖1)。
其中完全控制包含了其他六大權(quán)限.只要擁有它,就等同于擁有了另外六大權(quán)限,其余復(fù)選框會(huì)被自動(dòng)選中.屬于"最高等級(jí)"的權(quán)限。
而其他權(quán)限的等級(jí)高低分別是:特別的權(quán)限>讀取和運(yùn)行>修改>寫入>讀取。
默認(rèn)情況下,Windows XP將啟用"簡(jiǎn)單文件共享",這意味著安全性選項(xiàng)卡和針對(duì)權(quán)限的高級(jí)選項(xiàng)都不可用.也就不能進(jìn)行本文所述的那些權(quán)限應(yīng)用操作了。請(qǐng)現(xiàn)在就右擊任意文件或文件夾.選擇"屬性",如果沒有看到"安全"選項(xiàng)卡,你可以通過如下方法打開它。
打開"我的電腦",點(diǎn)擊"工具→文件夾選項(xiàng)→查看",接著在然后單擊取消"使用簡(jiǎn)單文件共享(推薦)"復(fù)選框即可。
實(shí)戰(zhàn)權(quán)限"正面"應(yīng)用
以下應(yīng)用的前提,是被限制的用戶不在Administrators組,否則將可能發(fā)生越權(quán)訪問,后面"反面應(yīng)用"會(huì)講到。執(zhí)行權(quán)限設(shè)置的用戶至少需要為Power Users組的成員,才有足夠權(quán)限進(jìn)行設(shè)置。
實(shí)例1:我的文檔你別看-保護(hù)你的文件或文件夾
假設(shè)A電腦中有三個(gè)用戶,用戶名分別為User1、User2、User3。Userl不想讓User2和User3查看和操作自己的"test"文件夾。
第一步:右擊"test"文件夾并選擇"屬性",進(jìn)入"安全"選項(xiàng)卡,你將會(huì)看到"組或用戶名稱"欄里有Administrators(A\Administrators)、CREATOR OWNER、SYSTEM Users(A\Users)、User1(A\ User1)。他們分別表示名為A電腦的管理員組,創(chuàng)建、所有者組,系統(tǒng)組,用戶組以及用戶User1對(duì)此文件夾的權(quán)限設(shè)置。當(dāng)然,不同的電腦設(shè)置和軟件安裝情況,此欄里的用戶或用戶組信息不一定就是和我描述的一樣.但正常情況下最少將包含3項(xiàng)之一:Administrators、SYSTEM、Users或Everyone(見圖2)。
第二步:依次選中并刪除Administrators、CREATOR OWNER、SYSTEM、Users,僅保留自己使用的Userl賬戶。在操作中可能會(huì)遇到如圖3的提示框。
其實(shí)只要單擊"高級(jí)"按鈕,在"權(quán)限"選項(xiàng)卡中,取消"從父項(xiàng)繼承那些可以應(yīng)用到子對(duì)象的權(quán)限項(xiàng)目,包括那些在此明確定義的項(xiàng)目"的復(fù)選框,在彈出對(duì)話框中單擊"刪除"即可。該操作使此文件夾清除了從上一級(jí)目錄繼承來的權(quán)限設(shè)置,儀保留了你使用的User1賬戶。
就這么輕松,你就實(shí)現(xiàn)了其他用戶,甚至系統(tǒng)權(quán)限都無法訪問"test"文件夾的目的。
★需要注意的是,如果這個(gè)文件夾中需要安裝軟件,那么就不要?jiǎng)h除"SYSTEM",不然可能引起系統(tǒng)訪問出錯(cuò)
★Administrator并不是最高指揮官:你可能會(huì)問,為什么這里會(huì)有一個(gè)"SYSTEM"賬戶呢?同時(shí)許多朋友認(rèn)為windows2000/XP中的Administrator是擁有權(quán)限最高的用戶,其實(shí)不然,這個(gè)"SYSTEM"才具有系統(tǒng)最高權(quán)限,因?yàn)樗?作為操作系統(tǒng)的一部分工作",任何用戶通過某種方法獲取了此權(quán)限,就能凌駕一切。
--------------------------------------------------------------------------------
實(shí)例2:上班時(shí)間別聊天-禁止用戶使用某程序
第一步:找到聊天程序的主程序,如QQ,其主程序就是安裝目錄下的QQ.exe,打開它的屬性對(duì)話框,進(jìn)入"安全"選項(xiàng)卡,選中或添加你要限制的用戶,如User3。
第二步:接著選擇"完全控制"為"拒絕","讀取和運(yùn)行"也為"拒絕"。
第三步:?jiǎn)螕?高級(jí)"按鈕進(jìn)入高級(jí)權(quán)限沒置,選中User3,點(diǎn)"編輯"按鈕,進(jìn)入權(quán)限項(xiàng)目。在這里的"拒絕"欄中選中"更改權(quán)限"和"取得所有權(quán)"的復(fù)選框。
也可以使用組策略編輯器來實(shí)現(xiàn)此功能,但安全性沒有上面方法高。點(diǎn)擊"開始→運(yùn)行",輸入"gpedit.msc",回車后打開組策略編輯器,進(jìn)入"計(jì)算機(jī)設(shè)置→windows設(shè)置→安全設(shè)置→軟件限制策略→其他規(guī)則",右擊,選擇"所有任務(wù)→新路徑規(guī)則",接著根據(jù)提示設(shè)置想要限制的軟件的主程序路徑,然后設(shè)定想要的安全級(jí)別,是"不允許的"還是"受限制的"。
--------------------------------------------------------------------------------
實(shí)例3:來者是客--微軟內(nèi)部增強(qiáng)系統(tǒng)安全的秘技
本實(shí)戰(zhàn)內(nèi)容將需要管理員權(quán)限。所謂入侵,無非就是利用某種方法獲取到管理員級(jí)別的權(quán)限或系統(tǒng)級(jí)的權(quán)限,以便進(jìn)行下一步操作,如添加自己的用戶。如果想要使入侵者"進(jìn)來"之后不能進(jìn)行任何操作呢?永遠(yuǎn)只能是客人權(quán)限或比這個(gè)權(quán)限更低,就算本地登錄,連關(guān)機(jī)都不可以。那么,他將不能實(shí)施任何破壞活動(dòng)。
注意:此法有較高的危險(xiǎn)性.建議完全不知道以下程序用途的讀者不要嘗試.以免誤操作引起系統(tǒng)不能進(jìn)入或出現(xiàn)很多錯(cuò)誤。
第一步:確定要設(shè)置的程序
搜索系統(tǒng)目錄下的危險(xiǎn)程序,它們可以用來創(chuàng)建用戶奪取及提升低權(quán)限用戶的權(quán)限,格式化硬盤,引起電腦崩潰等惡意操作:cmd.exe、regedit.exe、regsvr32.exe、regedt32.exe、gpedit.msc、format.com、compmgmt.msc、mmc.exe、telnet.exe、tftp.exe、ftp.exe、XCOPY.EXE、at.exe、cacls.exe、edlin.exe、rsh.exe、finger.exe、runas.exe、net.exe、tracert.exe、netsh.exe、tskill.exe、poledit.exe、regini.exe、cscript.exe、netstat.exe、issync.exe、runonce.exe、debug.exe、rexec.exe、wscript.exe、command.com、comsdupd.exe
第二步:按系統(tǒng)調(diào)用的可能性分組設(shè)置
按照下面分組.設(shè)置這些程序權(quán)限。完成一組后,建議重啟電腦確認(rèn)系統(tǒng)運(yùn)行是否一切正常,查看"事件查看器",是否有錯(cuò)誤信息("控制面板→管理工具→事件查看器")。
(1)cmd.exe、net.exe gpedit.msc telnet.exe command.com
(僅保留你自己的用戶,SYSTEM也刪除)
(2)mmc.exe、tftp.exe、ftp.exe、XCOPY.EXE、comsdupd.exe
(僅保留你自己的用戶,SYSTEM也刪除)
(3)regedit.exe、regedt32.exe、format.com、compmgmt.msc、at.exe、cacls.exe、edlin.exe、rsh.exe、finger.exe、runas.exe、debug.exe、wscript.exe、cscript.exe、rexec.exe
(保留你自己的用戶和SYSTEM)
(4)tracert.exe、netsh.exe、tskill.exe、poledit.exe、regini.exe、netstat.exe、issync.exe、runonce.exe、regsvr32.exe
(保留你自己的用戶和SYSTEM)
第三步:用戶名欺騙
這個(gè)方法騙不了經(jīng)驗(yàn)豐富的入侵者,但卻可以讓不夠高明的偽黑客們弄個(gè)一頭霧水。
打開"控制面板一管理工具一計(jì)算機(jī)管理",找到"用戶",將默認(rèn)的Administrator和Guest的名稱互換,包括描述信息也換掉。完成后,雙擊假的"Administrator"用戶,也就是以前的Guest用戶.在其"屬性"窗口中把隸屬于列表里的Guests組刪除.這樣.這個(gè)假的"管理員"賬號(hào)就成了"無黨派人士",不屬于任何組,也就不會(huì)繼承其權(quán)限。此用戶的權(quán)限幾乎等于0,連關(guān)機(jī)都不可以,對(duì)電腦的操作幾乎都會(huì)被拒絕。如果有誰處心積慮地獲取了這個(gè)用戶的權(quán)限,那么他肯定吐血。
第四步:集權(quán)控制,提高安全性
打開了組策略編輯器,找到"計(jì)算機(jī)設(shè)置→windows設(shè)置→安全設(shè)置→本地策略→用戶權(quán)利指派"(見圖4),接著根據(jù)下面的提示進(jìn)行設(shè)置。
(1)減少可訪問此計(jì)算機(jī)的用戶數(shù),減少被攻擊機(jī)會(huì)
找到并雙擊"從網(wǎng)絡(luò)訪問此計(jì)算機(jī)",刪除賬戶列表中用戶組,只剩下"Administrators";
找到并雙擊"拒絕本地登錄",刪除列表中的"Guest"用戶,添加用戶組"Guests"。
(2)確定不想要從網(wǎng)絡(luò)訪問的用戶,加入到此"黑名單"內(nèi)
找到并雙擊"拒絕從剛絡(luò)訪問這臺(tái)計(jì)算機(jī)",刪除賬戶列表中的"Guest"用戶,添加用戶組"Guests";
找到并雙擊"取得文件或其他對(duì)象的所有權(quán)",添加你常用的賬戶和以上修改過名稱為"Guest"的管理員賬戶,再刪除列表中"Administrators"。
(3)防止跨文件夾操作
找到并雙擊"跳過遍歷檢查",添加你所使用的賬戶和以上修改過名稱為"Guest"的管理員賬戶,再刪除賬戶列表中的"Administrators"、"Everyone"和"Users"用戶組。
(4)防止通過終端服務(wù)進(jìn)行的密碼猜解嘗試
找到并雙擊"通過終端服務(wù)拒絕登錄",添加假的管理員賬戶"Administrator";找到"通過終端服務(wù)允許登錄",雙擊,添加你常用的賬戶和以上修改過名稱為"Guest"的管理員賬戶,再刪除賬戶列表中的"Administrators","Remote Desktop User"和"HelpAssistant"(如果你不用遠(yuǎn)程協(xié)助功能的話才可刪除此用戶)。
(5)避免拒絕服務(wù)攻擊
找到并雙擊"調(diào)整進(jìn)程的內(nèi)存配額",添加你常用的賬戶,再刪除賬戶列表中的"Administrators"
--------------------------------------------------------------------------------
實(shí)例4:"你的文檔"別獨(dú)享——突破文件夾"私有"的限制
windows XP安裝完成并進(jìn)入系統(tǒng)時(shí),會(huì)詢問是否將"我的文檔"設(shè)為私有(專用),如果選擇了"是",那將使該用戶下的"我的文檔"文件夾不能被其他用戶訪問,刪除,修改。其實(shí)這就是利用權(quán)限設(shè)置將此文件夾的訪問控制列表中的用戶和用戶組刪除到了只剩下系統(tǒng)和你的用戶,所有者也設(shè)置成了那個(gè)用戶所有,Administrators組的用戶也不能直接訪問。如果你把這個(gè)文件夾曾經(jīng)設(shè)置為專用,但又在該盤重裝了系統(tǒng),此文件夾不能被刪除或修改。可按照下面步驟解決這些問題,讓你對(duì)這個(gè)文件夾的訪問,暢通無阻。
第一步:登錄管理員權(quán)限的賬戶,如系統(tǒng)默認(rèn)的Administrator,找到被設(shè)為專用的"我的文檔",進(jìn)入其"屬性"的"安全"選項(xiàng)卡,你將會(huì)看到你的用戶不在里面,但也無法添加和刪除。
第二步:?jiǎn)螕?高級(jí)"按鈕,進(jìn)入高級(jí)權(quán)限設(shè)置,選擇"所有者"選項(xiàng)卡,在"將所有者更改為"下面的列表中選中你現(xiàn)在使用的用戶,如"Userl(A\Userl)",然后再選中"替換子容器及對(duì)象的所有者"的復(fù)選框,然后單擊"應(yīng)用",等待操作完成。
第三步:再進(jìn)入這個(gè)文件夾看看,是不是不會(huì)有任何權(quán)限的提示了?可以自由訪問了?查看里面的文件,復(fù)制、刪除試試看.是不是一切都和"自己的"一樣了?嘿嘿。如果你想要?jiǎng)h除整個(gè)文件夾,也不會(huì)有什么阻止你了。
SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp 改3389 的
Windows2003基本的web服務(wù)器安全設(shè)置
欄目: | 作者:青鳥南飛 | 點(diǎn)擊:164 | 回復(fù):0 | 2006-6-26 14:40:39
基本的服務(wù)器安全設(shè)置
1、安裝補(bǔ)丁
安裝好操作系統(tǒng)之后,最好能在托管之前就完成補(bǔ)丁的安裝,配置好網(wǎng)絡(luò)后,如果是2000則確定安裝上了SP4,如果是2003,則最好安裝上SP1,然后點(diǎn)擊開始→Windows Update,安裝所有的關(guān)鍵更新。
2、安裝殺毒軟件
至于殺毒軟件目前我使用有兩款,一款是瑞星,一款是諾頓,瑞星殺木馬的效果比諾頓要強(qiáng),我測(cè)試過病毒包,瑞星要多殺出很多,但是裝瑞星的話會(huì)有一個(gè)問題就是會(huì)出現(xiàn)ASP動(dòng)態(tài)不能訪問,這時(shí)候需要重新修復(fù)一下,具體操作步驟是:
關(guān)閉殺毒軟件的所有的實(shí)時(shí)監(jiān)控,腳本監(jiān)控。
╭═══════════════╮╭═══════════════╮
在Dos命令行狀態(tài)下分別輸入下列命令并按回車(Enter)鍵:
regsvr32 jscript.dll (命令功能:修復(fù)Java動(dòng)態(tài)鏈接庫(kù))
regsvr32 vbscript.dll (命令功能:修復(fù)VB動(dòng)態(tài)鏈接庫(kù))
╰═══════════════╯╰═══════════════╯
不要指望殺毒軟件殺掉所有的木馬,因?yàn)锳SP木馬的特征是可以通過一定手段來避開殺毒軟件的查殺。
3、設(shè)置端口保護(hù)和防火
2003的端口屏蔽可以通過自身防火墻來解決,這樣比較好,比篩選更有靈活性,桌面—>網(wǎng)上鄰居—>(右鍵)屬性—>本地連接—>(右鍵)屬性—>高級(jí)—>(選中)Internet 連接防火墻—>設(shè)置
把服務(wù)器上面要用到的服務(wù)端口選中
例如:一臺(tái)WEB服務(wù)器,要提供WEB(80)、FTP(21)服務(wù)及遠(yuǎn)程桌面管理(3389)
在“FTP 服務(wù)器”、“WEB服務(wù)器(HTTP)”、“遠(yuǎn)程桌面”前面打上對(duì)號(hào)
如果你要提供服務(wù)的端口不在里面,你也可以點(diǎn)擊“添加”銨鈕來添加,具體參數(shù)可以參照系統(tǒng)里面原有的參數(shù)。
然后點(diǎn)擊確定。注意:如果是遠(yuǎn)程管理這臺(tái)服務(wù)器,請(qǐng)先確定遠(yuǎn)程管理的端口是否選中或添加。
權(quán)限設(shè)置
權(quán)限設(shè)置的原理
?WINDOWS用戶,在WINNT系統(tǒng)中大多數(shù)時(shí)候把權(quán)限按用戶(組)來劃分。在【開始→程序→管理工具→計(jì)算機(jī)管理→本地用戶和組】管理系統(tǒng)用戶和用戶組。
?NTFS權(quán)限設(shè)置,請(qǐng)記住分區(qū)的時(shí)候把所有的硬盤都分為NTFS分區(qū),然后我們可以確定每個(gè)分區(qū)對(duì)每個(gè)用戶開放的權(quán)限。【文件(夾)上右鍵→屬性→安全】在這里管理NTFS文件(夾)權(quán)限。
?IIS匿名用戶,每個(gè)IIS站點(diǎn)或者虛擬目錄,都可以設(shè)置一個(gè)匿名訪問用戶(現(xiàn)在暫且把它叫“IIS匿名用戶”),當(dāng)用戶訪問你的網(wǎng)站的.ASP文件的時(shí)候,這個(gè).ASP文件所具有的權(quán)限,就是這個(gè)“IIS匿名用戶”所具有的權(quán)限。
權(quán)限設(shè)置
磁盤權(quán)限
系統(tǒng)盤及所有磁盤只給 Administrators 組和 SYSTEM 的完全控制權(quán)限
系統(tǒng)盤\Documents and Settings 目錄只給 Administrators 組和 SYSTEM 的完全控制權(quán)限
系統(tǒng)盤\Documents and Settings\All Users 目錄只給 Administrators 組和 SYSTEM 的完全控制權(quán)限
系統(tǒng)盤\Inetpub 目錄及下面所有目錄、文件只給 Administrators 組和 SYSTEM 的完全控制權(quán)限
系統(tǒng)盤\Windows\System32\cacls.exe、cmd.exe、net.exe、net1.exe 文件只給 Administrators 組和 SYSTEM 的完全控制權(quán)限
4、禁用不必要的服務(wù)
開始菜單—>管理工具—>服務(wù)
Print Spooler
Remote Registry
TCP/IP NetBIOS Helper
Server
以上是在Windows Server 2003 系統(tǒng)上面默認(rèn)啟動(dòng)的服務(wù)中禁用的,默認(rèn)禁用的服務(wù)如沒特別需要的話不要啟動(dòng)。
改名或卸載不安全組件
不安全組件不驚人
在阿江探針1.9里加入了不安全組件檢測(cè)功能(其實(shí)這是參考7i24的代碼寫的,只是把界面改的友好了一點(diǎn),檢測(cè)方法和他是基本一樣的),這個(gè)功能讓很多站長(zhǎng)吃驚不小,因?yàn)樗l(fā)現(xiàn)他的服務(wù)器支持很多不安全組件。
其實(shí),只要做好了上面的權(quán)限設(shè)置,那么FSO、XML、strem都不再是不安全組件了,因?yàn)樗麄兌紱]有跨出自己的文件夾或者站點(diǎn)的權(quán)限。那個(gè)歡樂時(shí)光更不用怕,有殺毒軟件在還怕什么時(shí)光啊。
最危險(xiǎn)的組件是WSH和Shell,因?yàn)樗梢赃\(yùn)行你硬盤里的EXE等程序,比如它可以運(yùn)行提升程序來提升SERV-U權(quán)限甚至用SERVU來運(yùn)行更高權(quán)限的系統(tǒng)程序。
謹(jǐn)慎決定是否卸載一個(gè)組件
組件是為了應(yīng)用而出現(xiàn)的,而不是為了不安全而出現(xiàn)的,所有的組件都有它的用處,所以在卸載一個(gè)組件之前,你必須確認(rèn)這個(gè)組件是你的網(wǎng)站程序不需要的,或者即使去掉也不關(guān)大體的。否則,你只能留著這個(gè)組件并在你的ASP程序本身上下工夫,防止別人進(jìn)來,而不是防止別人進(jìn)來后SHELL。
比如,F(xiàn)SO和XML是非常常用的組件之一,很多程序會(huì)用到他們。WSH組件會(huì)被一部分主機(jī)管理程序用到,也有的打包程序也會(huì)用到。
5、卸載最不安全的組件
最簡(jiǎn)單的辦法是直接卸載后刪除相應(yīng)的程序文件。將下面的代碼保存為一個(gè).BAT文件,( 以下均以 WIN2000 為例,如果使用2003,則系統(tǒng)文件夾應(yīng)該是 C:\WINDOWS\ )
regsvr32/u C:\WINNT\System32\wshom.ocx
del C:\WINNT\System32\wshom.ocx
regsvr32/u C:\WINNT\system32\shell32.dll
del C:\WINNT\system32\shell32.dll
然后運(yùn)行一下,WScript.Shell, Shell.application, WScript.Network就會(huì)被卸載了。可能會(huì)提示無法刪除文件,不用管它,重啟一下服務(wù)器,你會(huì)發(fā)現(xiàn)這三個(gè)都提示“×安全”了。
改名不安全組件
需要注意的是組件的名稱和Clsid都要改,并且要改徹底了。下面以Shell.application為例來介紹方法。
打開注冊(cè)表編輯器【開始→運(yùn)行→regedit回車】,然后【編輯→查找→填寫Shell.application→查找下一個(gè)】,用這個(gè)方法能找到兩個(gè)注冊(cè)表項(xiàng):“{13709620-C279-11CE-A49E-444553540000}”和“Shell.application”。為了確保萬無一失,把這兩個(gè)注冊(cè)表項(xiàng)導(dǎo)出來,保存為 .reg 文件。
比如我們想做這樣的更改
13709620-C279-11CE-A49E-444553540000 改名為 13709620-C279-11CE-A49E-444553540001
Shell.application 改名為 Shell.application_ajiang
那么,就把剛才導(dǎo)出的.reg文件里的內(nèi)容按上面的對(duì)應(yīng)關(guān)系替換掉,然后把修改好的.reg文件導(dǎo)入到注冊(cè)表中(雙擊即可),導(dǎo)入了改名后的注冊(cè)表項(xiàng)之后,別忘記了刪除原有的那兩個(gè)項(xiàng)目。這里需要注意一點(diǎn),Clsid中只能是十個(gè)數(shù)字和ABCDEF六個(gè)字母。
下面是我修改后的代碼(兩個(gè)文件我合到一起了):
Windows Registry Editor Version 5.00
[HKEY_CLASSES_ROOT\CLSID\{13709620-C279-11CE-A49E-444553540001}]
@="Shell Automation Service"
[HKEY_CLASSES_ROOT\CLSID\{13709620-C279-11CE-A49E-444553540001}\InProcServer32]
@="C:\\WINNT\\system32\\shell32.dll"
"ThreadingModel"="Apartment"
[HKEY_CLASSES_ROOT\CLSID\{13709620-C279-11CE-A49E-444553540001}\ProgID]
@="Shell.Application_ajiang.1"
[HKEY_CLASSES_ROOT\CLSID\{13709620-C279-11CE-A49E-444553540001}\TypeLib]
@="{50a7e9b0-70ef-11d1-b75a-00a0c90564fe}"
[HKEY_CLASSES_ROOT\CLSID\{13709620-C279-11CE-A49E-444553540001}\Version]
@="1.1"
[HKEY_CLASSES_ROOT\CLSID\{13709620-C279-11CE-A49E-444553540001}\VersionIndependentProgID]
@="Shell.Application_ajiang"
[HKEY_CLASSES_ROOT\Shell.Application_ajiang]
@="Shell Automation Service"
[HKEY_CLASSES_ROOT\Shell.Application_ajiang\CLSID]
@="{13709620-C279-11CE-A49E-444553540001}"
[HKEY_CLASSES_ROOT\Shell.Application_ajiang\CurVer]
@="Shell.Application_ajiang.1"
你可以把這個(gè)保存為一個(gè).reg文件運(yùn)行試一下,但是可別就此了事,因?yàn)槿f一黑客也看了我的這篇文章,他會(huì)試驗(yàn)我改出來的這個(gè)名字的。
6、防止列出用戶組和系統(tǒng)進(jìn)程
在阿江ASP探針1.9中結(jié)合7i24的方法利用getobject("WINNT")獲得了系統(tǒng)用戶和系統(tǒng)進(jìn)程的列表,這個(gè)列表可能會(huì)被黑客利用,我們應(yīng)當(dāng)隱藏起來,方法是:
【開始→程序→管理工具→服務(wù)】,找到Workstation,停止它,禁用它。
防止Serv-U權(quán)限提升
其實(shí),注銷了Shell組件之后,侵入者運(yùn)行提升工具的可能性就很小了,但是prel等別的腳本語言也有shell能力,為防萬一,還是設(shè)置一下為好。
用Ultraedit打開ServUDaemon.exe查找Ascii:LocalAdministrator,和#l@$ak#.lk;0@P,修改成等長(zhǎng)度的其它字符就可以了,ServUAdmin.exe也一樣處理。
另外注意設(shè)置Serv-U所在的文件夾的權(quán)限,不要讓IIS匿名用戶有讀取的權(quán)限,否則人家下走你修改過的文件,照樣可以分析出你的管理員名和密碼。
利用ASP漏洞攻擊的常見方法及防范
一般情況下,黑客總是瞄準(zhǔn)論壇等程序,因?yàn)檫@些程序都有上傳功能,他們很容易的就可以上傳ASP木馬,即使設(shè)置了權(quán)限,木馬也可以控制當(dāng)前站點(diǎn)的所有文件了。另外,有了木馬就然后用木馬上傳提升工具來獲得更高的權(quán)限,我們關(guān)閉shell組件的目的很大程度上就是為了防止攻擊者運(yùn)行提升工具。
如果論壇管理員關(guān)閉了上傳功能,則黑客會(huì)想辦法獲得超管密碼,比如,如果你用動(dòng)網(wǎng)論壇并且數(shù)據(jù)庫(kù)忘記了改名,人家就可以直接下載你的數(shù)據(jù)庫(kù)了,然后距離找到論壇管理員密碼就不遠(yuǎn)了。
作為管理員,我們首先要檢查我們的ASP程序,做好必要的設(shè)置,防止網(wǎng)站被黑客進(jìn)入。另外就是防止攻擊者使用一個(gè)被黑的網(wǎng)站來控制整個(gè)服務(wù)器,因?yàn)槿绻愕姆⻊?wù)器上還為朋友開了站點(diǎn),你可能無法確定你的朋友會(huì)把他上傳的論壇做好安全設(shè)置。這就用到了前面所說的那一大堆東西,做了那些權(quán)限設(shè)置和防提升之后,黑客就算是進(jìn)入了一個(gè)站點(diǎn),也無法破壞這個(gè)網(wǎng)站以外的東西。
