楼主您
创新互联建站专注为客户提供全方位的互联网综合服务,包含不限于网站建设、做网站、彭山网络推广、小程序制作、彭山网络营销、彭山企业策划、彭山品牌公关、搜索引擎seo、人物专访、企业宣传片、企业代运营等,从售前售中售后,我们都将竭诚为您服务,您的肯定,是我们最大的嘉奖;创新互联建站为所有大学生创业者提供彭山建站搭建服务,24小时服务热线:18980820575,官方网址:www.cdcxhl.com
礼
我专业IDC服务器工作员我帮帮您
确设置磁盘安全性,具体(虚拟机安全设置我asp程序例)重点:
1、系统盘权限设置
C:区部:
c:\
administrators 全部(该文件夹文件夹及文件)
CREATOR OWNER 全部(文件及文件)
system 全部(该文件夹文件夹及文件)
IIS_WPG 创建文件/写入数据(该文件夹)
IIS_WPG(该文件夹文件夹及文件)
遍历文件夹/运行文件
列文件夹/读取数据
读取属性
创建文件夹/附加数据
读取权限
c:\Documents and Settings
administrators 全部(该文件夹文件夹及文件)
Power Users (该文件夹文件夹及文件)
读取运行
列文件夹目录
读取
SYSTEM全部(该文件夹文件夹及文件)
C:\Program Files
administrators 全部(该文件夹文件夹及文件)
CREATOR OWNER全部(文件及文件)
IIS_WPG (该文件夹文件夹及文件)
读取运行
列文件夹目录
读取
Power Users(该文件夹文件夹及文件)
修改权限
SYSTEM全部(该文件夹文件夹及文件)
TERMINAL SERVER USER (该文件夹文件夹及文件)
修改权限
2、网站及虚拟机权限设置(比网站E盘)
说明:我假设网站全部E盘wwwsite目录并且每虚拟机创建guest用户用户名vhost1...vhostn并且创建webuser组所vhost用户全部加入webuser组面便管理
E:\
Administrators全部(该文件夹文件夹及文件)
E:\wwwsite
Administrators全部(该文件夹文件夹及文件)
system全部(该文件夹文件夹及文件)
service全部(该文件夹文件夹及文件)
E:\wwwsite\vhost1
Administrators全部(该文件夹文件夹及文件)
system全部(该文件夹文件夹及文件)
vhost1全部(该文件夹文件夹及文件)
3、数据备份盘
数据备份盘指定特定用户完全操作权限
比F盘数据备份盘我指定管理员完全操作权限
4、其权限设置
请找c盘些文件安全性设置特定管理员完全操作权限
列些文件允许administrators访问
net.exe
net1.exet
cmd.exe
t
netstat.exe
regedit.exe
at.exe
attrib.exe
cacls.exe
format.com
5.删除c:\inetpub目录删除iis必要映射建立陷阱帐号更改描述
第三招:禁用必要服务提高安全性系统效率
Computer Browser 维护网络计算机新列表及提供列表
Task scheduler 允许程序指定间运行
Routing and Remote Access 局域网及广域网环境企业提供路由服务
Removable storage 管理移媒体、驱程序库
Remote Registry Service 允许远程注册表操作
Print Spooler 文件加载内存便打印要用打印机朋友能禁用项
IPSEC Policy Agent 管理IP安全策略及启ISAKMP/OakleyIKE)IP安全驱程序
Distributed Link Tracking Client 文件网络域NTFS卷移发送通知
Com+ Event System 提供事件自发布订阅COM组件
Alerter 通知选定用户计算机管理警报
Error Reporting Service 收集、存储向 Microsoft 报告异应用程序
Messenger 传输客户端服务器间 NET SEND 警报器服务消息
Telnet 允许远程用户登录计算机并运行程序
第四招:修改注册表让系统更强壮
1、 隐藏重要文件/目录修改注册表实现完全隐藏:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\ Current-Version\Explorer\Advanced\Folder\Hi-dden\SHOWALL鼠标右击 CheckedValue选择修改数值由1改0
2、启系统自带Internet连接_blank"防火墙设置服务选项勾选Web服务器
3、防止SYN洪水攻击
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters
新建DWORD值名SynAttackProtect值2
EnablePMTUDiscovery REG_DWORD 0
NoNameReleaseOnDemand REG_DWORD 1
EnableDeadGWDetect REG_DWORD 0
KeepAliveTime REG_DWORD 300,000
PerformRouterDiscovery REG_DWORD 0
EnableICMPRedirects REG_DWORD 0
4. 禁止响应ICMP路由通告报文
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\interface
新建DWORD值名PerformRouterDiscovery 值0
5. 防止ICMP重定向报文攻击
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters
EnableICMPRedirects 值设0
6. 支持IGMP协议
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters
新建DWORD值名IGMPLevel 值0
7.修改终端服务端口
运 行regedit找[HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Control \ Terminal Server \ Wds \ rdpwd \ Tds \ tcp]看右边PortNumber十进制状态改想要端口号吧比7126类要与其冲突即
2、 第二处HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Control \ Terminal Server \ WinStations \ RDP-Tcp同记改端口号面改行
8、禁止IPC空连接:
cracker 利用net use命令建立空连接进入侵net viewnbtstat些都基于空连接禁止空连接打注册表找Local_Machine\System\ CurrentControlSet\Control\LSA-RestrictAnonymous 值改1即
9、更改TTL值
cracker根据pingTTL值致判断操作系统:
TTL=107(WINNT);
TTL=108(win2000);
TTL=127或128(win9x);
TTL=240或241(linux);
TTL=252(solaris);
TTL=240(Irix);
实 际自更改:HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\ Parameters:DefaultTTL REG_DWORD 0-0xff(0-255 十进制,默认值128)改莫名其妙数字258起码让些菜鸟晕半放弃入侵定哦
10. 删除默认共享
问我机共享所盘改重启变共享事2K管理设置默认共享必须通修改注册表式取消: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters: AutoShareServer类型REG_DWORD值改0即
11. 禁止建立空连接
默认情况任何用户通通空连接连服务器进枚举帐号猜测密码我通修改注册表禁止建立空连接:
Local_Machine\System\CurrentControlSet\Control\LSA-RestrictAnonymous 值改1即
第五招:其安全手段
1.禁用TCP/IPNetBIOS
网邻居-属性-本连接-属性-Internet协议(TCP/IP)属性-高级-WINS面板-NetBIOS设置-禁用TCP/IPNetBIOScracker用nbtstat命令读取NetBIOS信息网卡MAC址
2. 账户安全
首 先禁止切账户除自呵呵Administrator改名我呢顺手建Administrator账户权限都没 种打记事本阵乱敲复制粘贴密码呵呵破密码吧~破完才发现低级账户看崩溃
创建2管理员用帐号
虽 点看面点些矛盾事实服面规则 创建般权限帐号用收信及处理些*事物另拥Administrators 权限帐户需要候使用让管理员使用 RunAS 命令执行些需要特权才能作些工作便管理
3.更改C:\WINDOWS\Help\iisHelp\common\404b.htm内容改 错自转首页
4. 安全志
我遇情况台主机别入侵系统管理员请我追查凶手我登录进看:安全志空倒请记住:Win2000默认安装任何安全审核请本安全策略-审核策略打相应审核推荐审核:
账户管理 功 失败
登录事件 功 失败
象访问 失败
策略更改 功 失败
特权使用 失败
系统事件 功 失败
目录服务访问 失败
账户登录事件 功 失败
审核项目少缺点万想看发现没记录点都没辙;审核项目太仅占用系统资源且导致根本没空看失审核意义
5. 运行防毒软件
我 见Win2000/Nt服务器没见安装防毒软件其实点非重要些杀毒软件仅能杀掉些著名病毒能查杀量木马 门程序黑客使用些名木马毫用武要忘经升级病毒库,我推荐mcafree杀毒软件+ blackice_blank"防火墙
6.sqlserver数据库服务器安全serv-u ftp服务器安全配置更改默认端口管理密码
7.设置ip筛选、用blackice禁止木马用端口
般禁用端口
135 138 139 443 445 4000 4899 7626
8.本安全策略组策略设置,设置本安全策略设置错恢复默认值.
打 %SystemRoot%\Security文件夹,创建 "OldSecurity"目录,%SystemRoot%\Security所.log文件移新建文件夹.
%SystemRoot%\Security\database\找"Secedit.sdb"安全数据库并其改名,改"Secedit.old".
启"安全配置析"MMC管理单元:"始"-"运行"-"MMC",启管理控制台,"添加/删除管理单元","安全配置析"管理单元添加.
右击"安全配置析"-"打数据库",浏览"C:\WINNT\security\Database"文件夹,输入文件名"secedit.sdb",单击"打".
系统提示输入模板,选择"Setup Security.inf",单击"打".
系统提示"拒绝访问数据库",管.
发现"C:\WINNT\security\Database"文件夹重新新安全数据库,
"C:\WINNT\security"文件夹重新log文件.安全数据库重建功.
高兴您解答明白欢迎与我咨询海腾数据---尉
楼主您
礼
我专业IDC服务器工作员我帮帮您
确设置磁盘安全性,具体(虚拟机安全设置我asp程序例)重点:
1、系统盘权限设置
C:区部:
c:\
administrators 全部(该文件夹文件夹及文件)
CREATOR OWNER 全部(文件及文件)
system 全部(该文件夹文件夹及文件)
IIS_WPG 创建文件/写入数据(该文件夹)
IIS_WPG(该文件夹文件夹及文件)
遍历文件夹/运行文件
列文件夹/读取数据
读取属性
创建文件夹/附加数据
读取权限
c:\Documents and Settings
administrators 全部(该文件夹文件夹及文件)
Power Users (该文件夹文件夹及文件)
读取运行
列文件夹目录
读取
SYSTEM全部(该文件夹文件夹及文件)
C:\Program Files
administrators 全部(该文件夹文件夹及文件)
CREATOR OWNER全部(文件及文件)
IIS_WPG (该文件夹文件夹及文件)
读取运行
列文件夹目录
读取
Power Users(该文件夹文件夹及文件)
修改权限
SYSTEM全部(该文件夹文件夹及文件)
TERMINAL SERVER USER (该文件夹文件夹及文件)
修改权限
2、网站及虚拟机权限设置(比网站E盘)
说明:我假设网站全部E盘wwwsite目录并且每虚拟机创建guest用户用户名vhost1...vhostn并且创建webuser组所vhost用户全部加入webuser组面便管理
E:\
Administrators全部(该文件夹文件夹及文件)
E:\wwwsite
Administrators全部(该文件夹文件夹及文件)
system全部(该文件夹文件夹及文件)
service全部(该文件夹文件夹及文件)
E:\wwwsite\vhost1
Administrators全部(该文件夹文件夹及文件)
system全部(该文件夹文件夹及文件)
vhost1全部(该文件夹文件夹及文件)
3、数据备份盘
数据备份盘指定特定用户完全操作权限
比F盘数据备份盘我指定管理员完全操作权限
4、其权限设置
请找c盘些文件安全性设置特定管理员完全操作权限
列些文件允许administrators访问
net.exe
net1.exet
cmd.exe
t
netstat.exe
regedit.exe
at.exe
attrib.exe
cacls.exe
format.com
5.删除c:\inetpub目录删除iis必要映射建立陷阱帐号更改描述
第三招:禁用必要服务提高安全性系统效率
Computer Browser 维护网络计算机新列表及提供列表
Task scheduler 允许程序指定间运行
Routing and Remote Access 局域网及广域网环境企业提供路由服务
Removable storage 管理移媒体、驱程序库
Remote Registry Service 允许远程注册表操作
Print Spooler 文件加载内存便打印要用打印机朋友能禁用项
IPSEC Policy Agent 管理IP安全策略及启ISAKMP/OakleyIKE)IP安全驱程序
Distributed Link Tracking Client 文件网络域NTFS卷移发送通知
Com+ Event System 提供事件自发布订阅COM组件
Alerter 通知选定用户计算机管理警报
Error Reporting Service 收集、存储向 Microsoft 报告异应用程序
Messenger 传输客户端服务器间 NET SEND 警报器服务消息
Telnet 允许远程用户登录计算机并运行程序
第四招:修改注册表让系统更强壮
1、 隐藏重要文件/目录修改注册表实现完全隐藏:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\ Current-Version\Explorer\Advanced\Folder\Hi-dden\SHOWALL鼠标右击 CheckedValue选择修改数值由1改0
2、启系统自带Internet连接_blank"防火墙设置服务选项勾选Web服务器
3、防止SYN洪水攻击
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters
新建DWORD值名SynAttackProtect值2
EnablePMTUDiscovery REG_DWORD 0
NoNameReleaseOnDemand REG_DWORD 1
EnableDeadGWDetect REG_DWORD 0
KeepAliveTime REG_DWORD 300,000
PerformRouterDiscovery REG_DWORD 0
EnableICMPRedirects REG_DWORD 0
4. 禁止响应ICMP路由通告报文
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\interface
新建DWORD值名PerformRouterDiscovery 值0
5. 防止ICMP重定向报文攻击
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters
EnableICMPRedirects 值设0
6. 支持IGMP协议
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters
新建DWORD值名IGMPLevel 值0
7.修改终端服务端口
运 行regedit找[HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Control \ Terminal Server \ Wds \ rdpwd \ Tds \ tcp]看右边PortNumber十进制状态改想要端口号吧比7126类要与其冲突即
2、 第二处HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Control \ Terminal Server \ WinStations \ RDP-Tcp同记改端口号面改行
8、禁止IPC空连接:
cracker 利用net use命令建立空连接进入侵net viewnbtstat些都基于空连接禁止空连接打注册表找Local_Machine\System\ CurrentControlSet\Control\LSA-RestrictAnonymous 值改1即
9、更改TTL值
cracker根据pingTTL值致判断操作系统:
TTL=107(WINNT);
TTL=108(win2000);
TTL=127或128(win9x);
TTL=240或241(linux);
TTL=252(solaris);
TTL=240(Irix);
实 际自更改:HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\ Parameters:DefaultTTL REG_DWORD 0-0xff(0-255 十进制,默认值128)改莫名其妙数字258起码让些菜鸟晕半放弃入侵定哦
10. 删除默认共享
问我机共享所盘改重启变共享事2K管理设置默认共享必须通修改注册表式取消: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters: AutoShareServer类型REG_DWORD值改0即
11. 禁止建立空连接
默认情况任何用户通通空连接连服务器进枚举帐号猜测密码我通修改注册表禁止建立空连接:
Local_Machine\System\CurrentControlSet\Control\LSA-RestrictAnonymous 值改1即
第五招:其安全手段
1.禁用TCP/IPNetBIOS
网邻居-属性-本连接-属性-Internet协议(TCP/IP)属性-高级-WINS面板-NetBIOS设置-禁用TCP/IPNetBIOScracker用nbtstat命令读取NetBIOS信息网卡MAC址
2. 账户安全
首 先禁止切账户除自呵呵Administrator改名我呢顺手建Administrator账户权限都没 种打记事本阵乱敲复制粘贴密码呵呵破密码吧~破完才发现低级账户看崩溃
创建2管理员用帐号
虽 点看面点些矛盾事实服面规则 创建般权限帐号用收信及处理些*事物另拥Administrators 权限帐户需要候使用让管理员使用 RunAS 命令执行些需要特权才能作些工作便管理
3.更改C:\WINDOWS\Help\iisHelp\common\404b.htm内容改 错自转首页
4. 安全志
我遇情况台主机别入侵系统管理员请我追查凶手我登录进看:安全志空倒请记住:Win2000默认安装任何安全审核请本安全策略-审核策略打相应审核推荐审核:
账户管理 功 失败
登录事件 功 失败
象访问 失败
策略更改 功 失败
特权使用 失败
系统事件 功 失败
目录服务访问 失败
账户登录事件 功 失败
审核项目少缺点万想看发现没记录点都没辙;审核项目太仅占用系统资源且导致根本没空看失审核意义
5. 运行防毒软件
我 见Win2000/Nt服务器没见安装防毒软件其实点非重要些杀毒软件仅能杀掉些著名病毒能查杀量木马 门程序黑客使用些名木马毫用武要忘经升级病毒库,我推荐mcafree杀毒软件+ blackice_blank"防火墙
6.sqlserver数据库服务器安全serv-u ftp服务器安全配置更改默认端口管理密码
7.设置ip筛选、用blackice禁止木马用端口
般禁用端口
135 138 139 443 445 4000 4899 7626
8.本安全策略组策略设置,设置本安全策略设置错恢复默认值.
打 %SystemRoot%\Security文件夹,创建 "OldSecurity"目录,%SystemRoot%\Security所.log文件移新建文件夹.
%SystemRoot%\Security\database\找"Secedit.sdb"安全数据库并其改名,改"Secedit.old".
启"安全配置析"MMC管理单元:"始"-"运行"-"MMC",启管理控制台,"添加/删除管理单元","安全配置析"管理单元添加.
右击"安全配置析"-"打数据库",浏览"C:\WINNT\security\Database"文件夹,输入文件名"secedit.sdb",单击"打".
系统提示输入模板,选择"Setup Security.inf",单击"打".
系统提示"拒绝访问数据库",管.
发现"C:\WINNT\security\Database"文件夹重新新安全数据库,
"C:\WINNT\security"文件夹重新log文件.安全数据库重建功.
高兴您解答明白欢迎与我咨询海腾数据---尉
你说关公和秦琼那个厉害?张飞和徐达那个厉害?
------------------------------------------------------------
恭喜你!总算知道我要说什么了!不是一个时期的东西呀!
LINQ TO SQL 只是 一种理念.一种ORM模型, 在CLR运行时进行转化,可以转化为IL, LINQ TO SQL 就可以转化为SQL报文!然后发送给数据库! 这种技术比较新! 07年开始盛行!
cs 代码写 CRUD也是 借用ADO.NET等技术. LINQ TO SQL 底层也是这个!只是高层封装了一些理念. ADO.NET本身也不错!可以直接调用指令, linq to sql 调用原始sql 指令比较麻烦. 有类型转化和安全的限制,所以linq to sql 技术是有弊病的!
cs 借助 ado.net写代码有历史沉积!所以资源多!稳定性也高!
存储过程是数据库提供的技术,跟CLR一点关系也没有. 这个历史更久了! 比net都早!
总结一下吧:
Linq to sql本质实现也是ADO.NET,是一种ORM技术!是一种理念.当然 linq to xml 等是借助CLR集合操作等技术实现. Linq to sql 运行时转化 成SQL报文 .然后发送.
代码中 的CRUD就是 ADO.NET等系列技术实现,代码发送SQL报文
存储过程的实现SQL封存在数据库,所以向数据库发送的只是调用指令. 速度体现在SQL计划编译,
指令网络传输.
到底那个优秀要看你的需要了! 比如你的数据库机器维护成本高!你不可能总让外围指令传入吧!
至少中间有个缓冲层吧! 比如报盘软件,1秒读取数据库 500万次! 靠存储过程提速那就喝西北风去吧!
存储过程如果有bug 那就是数据库灾难,你可知道sqlserver时间类型转化出错后,日志可是不能恢复的.
所以写程序找好层次也是很重要的事情!
以上都是本人所写,没有COPY任何网站的数据. 原稿原创!
设置和管理账户
1、系统管理员账户最好少建,更改默认的管理员帐户名(Administrator)和描述,密码最好采用数字加大小写字母加数字的上档键组合,长度最好不少于14位。
2、新建一个名为Administrator的陷阱帐号,为其设置最小的权限,然后随便输入组合的最好不低于20位的密码
3、将Guest账户禁用并更改名称和描述,然后输入一个复杂的密码,当然现在也有一个DelGuest的工具,也许你也可以利用它来删除Guest账户,但我没有试过。
4、在运行中输入gpedit.msc回车,打开组策略编辑器,选择计算机配置-Windows设置-安全设置-账户策略-账户锁定策略,将账户设为“三次登陆无效”,“锁定时渖栉?0分钟”,“复位锁定计数设为30分钟”。
5、在安全设置-本地策略-安全选项中将“不显示上次的用户名”设为启用
6、在安全设置-本地策略-用户权利分配中将“从网络访问此计算机”中只保留Internet来宾账户、启动IIS进程账户。如果你使用了Asp.net还要保留Aspnet账户。
7、创建一个User账户,运行系统,如果要运行特权命令使用Runas命令。
三、网络服务安全管理
1、禁止C$、D$、ADMIN$一类的缺省共享
打开注册表,HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters,在右边的窗口中新建Dword值,名称设为AutoShareServer值设为0
2、 解除NetBios与TCP/IP协议的绑定
右击网上邻居-属性-右击本地连接-属性-双击Internet协议-高级-Wins-禁用TCP/IP上的NETBIOS
3、关闭不需要的服务,以下为建议选项
Computer Browser:维护网络计算机更新,禁用
Distributed File System: 局域网管理共享文件,不需要禁用
Distributed linktracking client:用于局域网更新连接信息,不需要禁用
Error reporting service:禁止发送错误报告
Microsoft Serch:提供快速的单词搜索,不需要可禁用
NTLMSecuritysupportprovide:telnet服务和Microsoft Serch用的,不需要禁用
PrintSpooler:如果没有打印机可禁用
Remote Registry:禁止远程修改注册表
Remote Desktop Help Session Manager:禁止远程协助
四、打开相应的审核策略
在运行中输入gpedit.msc回车,打开组策略编辑器,选择计算机配置-Windows设置-安全设置-审核策略在创建审核项目时需要注意的是如果审核的项目太多,生成的事件也就越多,那么要想发现严重的事件也越难当然如果审核的太少也会影响你发现严重的事件,你需要根据情况在这二者之间做出选择。
推荐的要审核的项目是:
登录事件 成功 失败
账户登录事件 成功 失败
系统事件 成功 失败
策略更改 成功 失败
对象访问 失败
目录服务访问 失败
特权使用 失败
五、其它安全相关设置
1、隐藏重要文件/目录
可以修改注册表实现完全隐藏:“HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Current-Version\Explorer\Advanced\Folder\Hi-dden\SHOWALL”,鼠标右击“CheckedValue”,选择修改,把数值由1改为0
2、启动系统自带的Internet连接防火墙,在设置服务选项中勾选Web服务器。
3、防止SYN洪水攻击
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters
新建DWORD值,名为SynAttackProtect,值为2
4. 禁止响应ICMP路由通告报文
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters \Interfaces\interface
新建DWORD值,名为PerformRouterDiscovery 值为0
5. 防止ICMP重定向报文的攻击
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters
将EnableICMPRedirects 值设为0
6. 不支持IGMP协议
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters
新建DWORD值,名为IGMPLevel 值为0
7、禁用DCOM:
运行中输入 Dcomcnfg.exe。 回车, 单击“控制台根节点”下的“组件服务”。 打开“计算机”子文件夹。
对于本地计算机,请以右键单击“我的电脑”,然后选择“属性”。选择“默认属性”选项卡。
清除“在这台计算机上启用分布式 COM”复选框。
注:3-6项内容我采用的是Server2000设置,没有测试过对2003是否起作用。但有一点可以肯定我用了一段的时间没有发现其它副面的影响。
六、配置 IIS 服务:
1、不使用默认的Web站点,如果使用也要将 将IIS目录与系统磁盘分开。
2、删除IIS默认创建的Inetpub目录(在安装系统的盘上)。
3、删除系统盘下的虚拟目录,如:_vti_bin、IISSamples、Scripts、IIShelp、IISAdmin、IIShelp、MSADC。
4、删除不必要的IIS扩展名映射。
右键单击“默认Web站点→属性→主目录→配置”,打开应用程序窗口,去掉不必要的应用程序映射。主要为.shtml, .shtm, .stm
5、更改IIS日志的路径
右键单击“默认Web站点→属性-网站-在启用日志记录下点击属性
6、如果使用的是2000可以使用iislockdown来保护IIS,在2003运行的IE6.0的版本不需要。
7、使用UrlScan
UrlScan是一个ISAPI筛选器,它对传入的HTTP数据包进行分析并可以拒绝任何可疑的通信量。目前最新的版本是2.5,如果是2000Server需要先安装1.0或2.0的版本。下载地址见页未的链接
如果没有特殊的要求采用UrlScan默认配置就可以了。
但如果你在服务器运行ASP.NET程序,并要进行调试你需打开要%WINDIR%\System32\Inetsrv\URLscan
文件夹中的URLScan.ini 文件,然后在UserAllowVerbs节添加debug谓词,注意此节是区分大小写的。
如果你的网页是.asp网页你需要在DenyExtensions删除.asp相关的内容。
如果你的网页使用了非ASCII代码,你需要在Option节中将AllowHighBitCharacters的值设为1
在对URLScan.ini 文件做了更改后,你需要重启IIS服务才能生效,快速方法运行中输入iisreset
如果你在配置后出现什么问题,你可以通过添加/删除程序删除UrlScan。
8、利用WIS (Web Injection Scanner)工具对整个网站进行SQL Injection 脆弱性扫描.
下载地址:VB.NET爱好者
七、配置Sql服务器
1、System Administrators 角色最好不要超过两个
2、如果是在本机最好将身份验证配置为Win登陆
3、不要使用Sa账户,为其配置一个超级复杂的密码
4、删除以下的扩展存储过程格式为:
use master
sp_dropextendedproc '扩展存储过程名'
xp_cmdshell:是进入操作系统的最佳捷径,删除
访问注册表的存储过程,删除
Xp_regaddmultistring Xp_regdeletekey Xp_regdeletevalue Xp_regenumvalues
Xp_regread Xp_regwrite Xp_regremovemultistring
OLE自动存储过程,不需要删除
Sp_OACreate Sp_OADestroy Sp_OAGetErrorInfo Sp_OAGetProperty
Sp_OAMethod Sp_OASetProperty Sp_OAStop
5、隐藏 SQL Server、更改默认的1433端口
右击实例选属性-常规-网络配置中选择TCP/IP协议的属性,选择隐藏 SQL Server 实例,并改原默认的1433端口。
八、如果只做服务器,不进行其它操作,使用IPSec
1、管理工具—本地安全策略—右击IP安全策略—管理IP筛选器表和筛选器操作—在管理IP筛选器表选项下点击
添加—名称设为Web筛选器—点击添加—在描述中输入Web服务器—将源地址设为任何IP地址——将目标地址设为我的IP地址——协议类型设为Tcp——IP协议端口第一项设为从任意端口,第二项到此端口80——点击完成——点击确定。
2、再在管理IP筛选器表选项下点击
添加—名称设为所有入站筛选器—点击添加—在描述中输入所有入站筛选—将源地址设为任何IP地址——将目标地址设为我的IP地址——协议类型设为任意——点击下一步——完成——点击确定。
3、在管理筛选器操作选项下点击添加——下一步——名称中输入阻止——下一步——选择阻止——下一步——完成——关闭管理IP筛选器表和筛选器操作窗口
4、右击IP安全策略——创建IP安全策略——下一步——名称输入数据包筛选器——下一步——取消默认激活响应原则——下一步——完成
5、在打开的新IP安全策略属性窗口选择添加——下一步——不指定隧道——下一步——所有网络连接——下一步——在IP筛选器列表中选择新建的Web筛选器——下一步——在筛选器操作中选择许可——下一步——完成——在IP筛选器列表中选择新建的阻止筛选器——下一步——在筛选器操作中选择阻止——下一步——完成——确定
6、在IP安全策略的右边窗口中右击新建的数据包筛选器,点击指派,不需要重启,IPSec就可生效.
九、建议
如果你按本文去操作,建议每做一项更改就测试一下服务器,如果有问题可以马上撤消更改。而如果更改的项数多,才发现出问题,那就很难判断问题是出在哪一步上了。
十、运行服务器记录当前的程序和开放的端口
1、将当前服务器的进程抓图或记录下来,将其保存,方便以后对照查看是否有不明的程序。
2、将当前开放的端口抓图或记录下来,保存,方便以后对照查看是否开放了不明的端口。当然如果你能分辨每一个进程,和端口这一步可以省略。
改3389
将下列两个注册表键中的 PortNumber 均改成自定义的端口即可:
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Terminal Server\Wds\Repwd\Tds\Tcp
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp
要了解三次握手四次挥手的过程,就需要对TCP的报头以及有限状态机的概念有所了解,本文将介绍TCP报头的字段的含义,以及有限状态机各个状态的意义,最后对三次握手和四次挥手的过程做介绍
TCP(Transmission Control Protocol 传输控制协议)是一种面向连接的、可靠的、基于字节流的传输层通信协议,由IETF的RFC 793定义。在简化的计算机网络OSI模型中,它完成第四层传输层所指定的功能,用户数据报协议(UDP)是同一层内另一个重要的传输协议。在因特网协议族(Internet protocol suite)中,TCP层是位于IP层之上,应用层之下的中间层。不同主机的应用层之间经常需要可靠的、像管道一样的连接,但是IP层不提供这样的流机制,而是提供不可靠的包交换。
这里将介绍TCP报头的特性以及TCP报头各个字段的含义
.工作在传输层面向连接协议
.全双工协议
.半关闭
.错误检查
.将数据打包成段,排序
.确认机制
.数据恢复,重传
.流量控制,滑动窗口
.拥塞控制,慢启动和拥塞避免算法
.源端口、目标端口 :计算机上的进程要和其他进程通信是要通过计算机端口的,而一个计算机端口某个时刻只能被一个进程占用,所以通过指定源端口和目标端口,就可以知道是哪两个进程需要通信。源端口、目标端口是用16位表示的,可推算计算机的端口个数为2^16个
. 序列号 :表示本报文段所发送数据的第一个字节的编号。在TCP连接中所传送的字节流的每一个字节都会按顺序编号。由于序列号由32位表示,所以每2^32个字节,就会出现序列号回绕,再次从0 开始
. 确认号 :表示接收方期望收到发送方下一个报文段的第一个字节数据的编号。也就是告诉发送发:我希望你(指发送方)下次发送的数据的第一个字节数据的编号是这个确认号
. 数据偏移 :表示TCP报文段的首部长度,共4位,由于TCP首部包含一个长度可变的选项部分,需要指定这个TCP报文段到底有多长。它指出TCP 报文段的数据起始处距离TCP 报文段的起始处有多远。该字段的单位是32位(即4个字节为计算单位),4位二进制最大表示15,所以数据偏移也就是TCP首部最大60字节
. URG :表示本报文段中发送的数据是否包含紧急数据。后面的紧急指针字段(urgent pointer)只有当URG=1时才有效
. ACK :表示是否前面的确认号字段是否有效。ACK=1,表示有效。只有当ACK=1时,前面的确认号字段才有效。TCP规定,连接建立后,ACK必须为1,带ACK标志的TCP报文段称为确认报文段
. PSH :提示接收端应用程序应该立即从TCP接收缓冲区中读走数据,为接收后续数据腾出空间。如果为1,则表示对方应当立即把数据提交给上层应用,而不是缓存起来,如果应用程序不将接收到的数据读走,就会一直停留在TCP接收缓冲区中
. RST :如果收到一个RST=1的报文,说明与主机的连接出现了严重错误(如主机崩溃),必须释放连接,然后再重新建立连接。或者说明上次发送给主机的数据有问题,主机拒绝响应,带RST标志的TCP报文段称为复位报文段
. SYN :在建立连接时使用,用来同步序号。当SYN=1,ACK=0时,表示这是一个请求建立连接的报文段;当SYN=1,ACK=1时,表示对方同意建立连接。SYN=1,说明这是一个请求建立连接或同意建立连接的报文。只有在前两次握手中SYN才置为1,带SYN标志的TCP报文段称为同步报文段
. FIN :表示通知对方本端要关闭连接了,标记数据是否发送完毕。如果FIN=1,即告诉对方:“我的数据已经发送完毕,你可以释放连接了”,带FIN标志的TCP报文段称为结束报文段
. 窗口大小 :表示现在充许对方发送的数据量,也就是告诉对方,从本报文段的确认号开始允许对方发送的数据量
. 校验和 :提供额外的可靠性
. 紧急指针 :标记紧急数据在数据字段中的位置
. 选项部分 :其最大长度可根据TCP首部长度进行推算。TCP首部长度用4位表示,选项部分最长为:(2^4-1)*4-20=40字节
常见选项 :
.最大报文段长度:MaxiumSegment Size,MSS
.窗口扩大:Windows Scaling
.时间戳:Timestamps
.a 最大报文段长度
指明自己期望对方发送TCP报文段时那个数据字段的长度。默认是536字节。数据字段的长度加上TCP首部的长度才等于整个TCP报文段的长度。MSS不宜设的太大也不宜设的太小。若选择太小,极端情况下,TCP报文段只含有1字节数据,在IP层传输的数据报的开销至少有40字节(包括TCP报文段的首部和IP数据报的首部)。这样,网络的利用率就不会超过1/41。若TCP报文段非常长,那么在IP层传输时就有可能要分解成多个短数据报片。在终点要把收到的各个短数据报片装配成原来的TCP报文段。当传输出错时还要进行重传,这些也都会使开销增大。因此MSS应尽可能大,只要在IP层传输时不需要再分片就行。在连接建立过程中,双方都把自己能够支持的MSS接入这一字段。MSS只出现在SYN报文中。即:MSS出现在SYN=1的报文段中
.b 窗口扩大
为了扩大窗口,由于TCP首部的窗口大小字段长度是16位,所以其表示的最大数是65535。但是随着时延和带宽比较大的通信产
生(如卫星通信),需要更大的窗口来满足性能和吞吐率,所以产生了这个窗口扩大选项
.c 时间戳
可以用来计算RTT(往返时间),发送方发送TCP报文时,把当前的时间值放入时间戳字段,接收方收到后发送确认报文时,把这个时间戳字段的值复制到确认报文中,当发送方收到确认报文后即可计算出RTT。也可以用来防止回绕序号PAWS,也可以说可以用来区分相同序列号的不同报文。因为序列号用32为表示,每2^32个序列号就会产生回绕,那么使用时间戳字段就很容易区分相同序列号的不同报文
2.3 TCP协议PORT
.传输层通过port号,确定应用层协议
.Port number:
. tcp :0-65535,传输控制协议,面向连接的协议;通信前需要建立虚拟链路;结束后拆除链路.
. udp :0-65535,User Datagram Protocol,无连接的协议.
. IANA :互联网数字分配机构(负责域名,数字资源,协议分配)
0-1023:系统端口或特权端口(仅管理员可用) ,众所周知,永久的分配给固定的系统应用使用,22/tcp(ssh), 80/tcp(http), 443/tcp(https)
1024-49151:用户端口或注册端口,但要求并不严格,分配给程序注册为某应用使用,1433/tcp(SqlServer),1521/tcp(oracle),
3306/tcp(mysql),11211/tcp/udp(memcached)
49152-65535:动态端口或私有端口,客户端程序随机使用的端口
其范围的定义:/proc/sys/net/ipv4/ip_local_port_range
有限状态机,(英语:Finite-state machine, FSM),又称有限状态自动机,简称状态机,是表示有限个状态以及在这些状态之间的转移和动作等行为的数学模型。
常见的计算机就是使用有限状态机作为计算模型的:对于内存的不同状态,CPU通过读取内存值进行计算,更新内存中的状态。CPU还通过消息总线接受外部输入设备(如键盘、鼠标)的指令,计算后更改内存中的状态,计算结果输出到外部显示设备(如显示器),以及持久化存储在硬盘。
TCP协议也存在有限状态机的概念,TCP 协议的操作可以使用一个具有 11 种状态的有限状态机来表示
.CLOSED 没有任何连接状态
.LISTEN 侦听状态,等待来自远方TCP端口的连接请求
.SYN-SENT 在发送连接请求后,等待对方确认
.SYN-RECEIVED 在收到和发送一个连接请求后,等待对方确认
.ESTABLISHED 代表传输连接建立,双方进入数据传送状态
.FIN-WAIT-1 主动关闭,主机已发送关闭连接请求,等待对方确认
.FIN-WAIT-2 主动关闭,主机已收到对方关闭传输连接确认,等待对方发送关闭传输连接请求
.TIME-WAIT 完成双向传输连接关闭,等待所有分组消失
.CLOSE-WAIT 被动关闭,收到对方发来的关闭连接请求,并已确认
.LAST-ACK 被动关闭,等待最后一个关闭传输连接确认,并等待所有分组消失
.CLOSING 双方同时尝试关闭传输连接,等待对方确认
.客户端通过connect系统调用主动与服务器建立连接connect系统调用首先给服务器发送一个同步报文段,使连接转移到SYN_SENT状态。
.此后connect系统调用可能因为如下两个原因失败返回:
.1、如果connect连接的目标端口不存在(未被任何进程监听),或者该端口仍被处于TIME_WAIT状态的连接所占用(见后文),则服务器将给客户端发送一个复位报文段,connect调用失败。
.2、如果目标端口存在,但connect在超时时间内未收到服务器的确认报文段,则connect调用失败。
.connect调用失败将使连接立即返回到初始的CLOSED状态。如果客户端成功收到服务器的同步报文段和确认,则connect调用成功返回,连接转移至ESTABLISHED状态
.当客户端执行主动关闭时,它将向服务器发送一个结束报文段FIN,同时连接进入FIN_WAIT_1状态。若此时客户端收到服务器专门用于确认目的的确认报文段,则连接转移至FIN_WAIT_2状态。当客户端处于FIN_WAIT_2状态时,服务器处于CLOSE_WAIT状态,这一对状态是可能发生半关闭的状态。此时如果服务器也关闭连接(发送结束报文段),则客户端将给予确认并进入TIME_WAIT状态
.客户端从FIN_WAIT_1状态可能直接进入TIME_WAIT状态(不经过FIN_WAIT_2状态),前提是处于FIN_WAIT_1状态的服务器直接收到带确认信息的结束报文段(而不是先收到确认报文段,再收到结束报文段)
注意,客户端先发送一个FIN给服务端,自己进入了FIN_WAIT_1状态,这时等待接收服务端的报文,该报文会有三种可能:
a 只有服务端的ACK,只收到服务器的ACK,客户端会进入FIN_WAIT_2状态,后续当收到服务端的FIN时,回应发送一个ACK,会进入到TIME_WAIT状态,这个状态会持续2MSL(TCP报文段在网络中的最大生存时间,RFC 1122标准的建议值是2min).客户端等待2MSL,是为了当最后一个ACK丢失时,可以再发送一次。因为服务端在等待超时后会再发送一个FIN给客户端,进而客户端知道ACK已丢失
b 只有服务端的FIN,回应一个ACK给服务端,进入CLOSING状态,然后接收到服务端的ACK时,进入TIME_WAIT状态
c 同时收到服务端的ACK和FIN,直接进入TIME_WAIT状态
.收到服务器ACK后,客户端处于FIN_WAIT_2状态,此时需要等待服务器发送结束报文段,才能转移至TIME_WAIT状态,否则它将一直停留在这个状态。如果不是为了在半关闭状态下继续接收数据,连接长时间地停留在FIN_WAIT_2状态并无益处。连接停留在FIN_WAIT_2状态的情况可能发生在:客户端执行半关闭后,未等服务器关闭连接就强行退出了。此时客户端连接由内核来接管,可称之为孤儿连接(和孤儿进程类似)。
.Linux为了防止孤儿连接长时间存留在内核中,定义了两个内核参数:
./proc/sys/net/ipv4/tcp_max_orphans 指定内核能接管的孤儿连接数目
./proc/sys/net/ipv4/tcp_fin_timeout指定孤儿连接在内核中生存的时间
TCP协议中的三次握手和四次挥手
客户机端的三次握手和四次挥手
服务器端的三次握手和四次挥手
1 client 首先发送一个连接试探,此时ACK=0,表示确认号无效,SYN=1表示这是一个请求连接或连接接受报文,同时表示这个数据包不携带数据,seq=x表示此时client自己数据的初始序号是x,这时候client进入syn_sent状态,表示客户端等等服务器的回复
2 server 监听到连接请求报文后,如同意建立连接,则向client发送确认,将TCP报文首部的SYN和ACK都置为1,因为client上一个请求连接的报文中seq=x,所以服务器端这次就发ack=x+1,表示服务器端希望客户端下一个报文段的第一个数据字节序号是x+1,同时表示x为止的所有数据都已经正确收到了,其中,此时服务器端发送seq=y表示server自己的初始序号是y,这时服务器进入了SYN_RCVD状态,表示服务器已经收到了客户端的请求,等待client的确认。
3 client收到确认后还要再次给服务器端发送确认,同时携带要发给server的数据。ACK=1表示确认号ack=y+1有效,client这时的序号seq为x+1
一旦client确认后,这个TCP连接的client 和 server 都直接进入到established状态,可以发起http请求了
4.2 四次挥手详解
第一次挥手:client向server,发送FIN报文段,表示关闭数据传送,此时ACK=0,seq=u,表示客户端此时数据的报文序号是u,此时,client进入FIN_WAIT_1状态,表示没有数据要传输了
第二次挥手:server收到FIN报文段后进入CLOSE_WAIT状态(被动关闭),然后发送ACK确认,表示同意你关闭请求了,主机到主机的数据链路关闭,同时发送seq=v,表示此时server端的数据包字节序号是v,ack=u+1,表示希望client发送的下一个包的序号是u+1,表示确认了序号u之前的包都已经收到,客户端收到server的ACK报文后,进入FIN_WAIT_2状态
第三次挥手:server等待client发送完数据,发送FIN=1,ACK=1到client请求关闭,server进入LAST_ACK状态。此时发送的seq有变化,因为上一个ACK的后server端可能又发送了一些数据,说以数据字节序号发送了变化,为w,但是ack还是保持不变
第四次挥手:client收到server发送的FIN后,回复ACK确认到server,client进入TIME_WAIT状态。发送ack=w+1,表示希望服务器下个发送的报文的字节序号是w+1,确认了服务器之前发送的w字节都已经正确收到,发送seq=u+1表示当前client的字节序号是u+1.server收到client的ACK后就关闭连接了,状态为CLOSED。client等待2MSL,仍然没有收到server的回复,说明server已经正常关闭了,client关闭连接。
其中,MSL(Maximum Segment Lifetime):报文最大生存时间,是任何报文段被丢弃前在网络内的最长时间。当client回复server的FIN后,等待(2-4分钟),即使两端的应用程序结束。
TIME_WAIT状态需要经过2MSL(最大报文段生存时间)才能返回到CLOSE状态的原因是如果client直接进入CLOSED状态,由于IP协议不可靠性或网络问题,导致client最后发出的ACK报文未被server接收到,那么server在超时后继续向client重新发送FIN,而client已经关闭,那么找不到向client发送FIN的连接,server这时收到RST并把错误报告给高层,不符合TCP协议的可靠性特点。如果client直接进入CLOSED状态,而server还有数据滞留在网络中,当有一个新连接的端口和原来server的相同,那么当原来滞留的数据到达后,client认为这些数据是新连接的。等待2MSL确保本次连接所有数据消失。
当客户端等待2MSL后服务器端没有再次发送确认的报文后,client认为该次断开连接已经正常结束,client进入closed状态。四次挥手正式结束
