【正文】 相關(guān)工作人員幫忙手工重新啟動(dòng)，必要時(shí)可要求讓連接上顯示器確認(rèn)是否已啟動(dòng)起來；后者需要遠(yuǎn)程登陸上服務(wù)器進(jìn)行原因查找并根據(jù)原因嘗試恢復(fù)服務(wù)。一切后果由發(fā)表者負(fù)責(zé)Web專用網(wǎng)站服務(wù)器的安全設(shè)置(4)來源：中國(guó)紅盟 時(shí)間：20101226 10:56:00 點(diǎn)擊：3 今日評(píng)論：0 條第四部分 服務(wù)器管理 服務(wù)器日常管理安排服務(wù)器管理工作必須規(guī)范嚴(yán)謹(jǐn)，尤其在不是只有一位管理員的時(shí)候，日常管理工作包括：1．服務(wù)器的定時(shí)重啟。解決辦法：關(guān)于installer的錯(cuò)誤，可能還有其他錯(cuò)誤提示，可嘗試以下解決辦法：首先確認(rèn)是否是權(quán)限方面的問題，提示信息會(huì)提供相關(guān)信息，如果是權(quán)限問題，給予winnt目錄everyone權(quán)限即可[安裝完把權(quán)限改回來即可]。然后把新數(shù)據(jù)庫(kù)上傳到服務(wù)器上。 直接原因：有一個(gè)或多個(gè)ACCESS數(shù)據(jù)庫(kù)在多次讀寫過程中損壞， MDAC系統(tǒng)在寫入這個(gè)損壞的ACCESS文件時(shí)，ASP線程處于BLOCK狀態(tài)，結(jié)果其他線程只能等待，IIS被死鎖了，全部的CPU時(shí)間都消耗在DLLHOST中。解決方法：，編輯內(nèi)容（如果沒有該文件，則新建一個(gè)），至少包含basedir，datadir這兩個(gè)基本的配置。命令行中，輸入“cd winnt\system32\inetsrv”字符串命令，單擊回車鍵后，再執(zhí)行“rundll32 ,createIISPackage”命令，接著再依次執(zhí)行“regsvr32 ”命令、“iisreset”命令，最后重新啟動(dòng)一下計(jì)算機(jī)操作系統(tǒng)，這樣IIS服務(wù)器就能重新正確響應(yīng)ASP腳本頁(yè)面了。2．ASP500錯(cuò)誤解決辦法：首先確定該問題是否是單一站點(diǎn)存在還是所有站點(diǎn)存在，如果是單一站點(diǎn)存在該問題，則是網(wǎng)站程序的問題，可打開該站點(diǎn)的錯(cuò)誤提示，把IE的“顯示友好HTTP錯(cuò)誤”信息取消，查看具體錯(cuò)誤信息，然后對(duì)應(yīng)修改相關(guān)程序?？墒褂胮ipeboost進(jìn)行設(shè)置。使用NTFS有助于減少碎片。，注意是多個(gè)“物理磁盤”，分布在多個(gè)分區(qū)上是無效的。, 輸入CPU的耗用百分比4．提高IIS的處理效率應(yīng)用程序設(shè)置”處的“應(yīng)用程序保護(hù)”下拉按鈕，從彈出的下拉列表中，選中“低（IIS進(jìn)程）”選項(xiàng),IIS服務(wù)器處理程序的效率可以提高20%左右。如果你的服務(wù)器網(wǎng)絡(luò)通訊繁忙，并且有足夠的內(nèi)存空間，可以考慮增大該值。IIS通過高速緩存系統(tǒng)句柄、目錄列表以及其他常用數(shù)據(jù)的值來提高系統(tǒng)的性能。最小化C盤文件。因基本上采用的都是全備份方法，對(duì)于數(shù)據(jù)的保留周期可以只保留該次備份和上次備份數(shù)據(jù)兩份即可。另外查看該用戶站點(diǎn)對(duì)應(yīng)的安全日志，找出漏洞原因，協(xié)助用戶修補(bǔ)程序漏洞。root 給web用戶讀取、寫入權(quán)限。如采用實(shí)地處理，在發(fā)現(xiàn)入侵的第一時(shí)間通知機(jī)房關(guān)閉服務(wù)器，待處理人員趕到機(jī)房時(shí)斷開網(wǎng)線，再進(jìn)入系統(tǒng)進(jìn)行檢查?？梢允褂肁Reporter來檢查開機(jī)自啟動(dòng)的程序。c:documents and Settings。c:winnt。8．檢查安全策略是否更改打開本地連接的屬性，查看“常規(guī)”中是否只勾選了“TCP/IP協(xié)議”，打開“TCP/IP”協(xié)議設(shè)置，點(diǎn)“高級(jí)”==》“選項(xiàng)”，查看“IP安全機(jī)制”是否是設(shè)定的IP策略，查看“TCP/IP”篩選允許的端口有沒有被更改。7．檢查系統(tǒng)文件主要檢查系統(tǒng)盤的exe和dll文件，建議系統(tǒng)安裝完畢之后用dir *.exe /s ，然后每次檢查的時(shí)候再用該命令生成一份當(dāng)時(shí)的列表，用fc比較兩個(gè)文件，同樣如此針對(duì)dll文件做相關(guān)檢查。對(duì)于一些后門由于采用了hook系統(tǒng)API技術(shù)，添加的服務(wù)項(xiàng)目在服務(wù)管理器中是無法看到的，這時(shí)需要打開注冊(cè)表中的HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServices項(xiàng)進(jìn)行查找，通過查看各服務(wù)的名稱、對(duì)應(yīng)的執(zhí)行文件來確定是否是后門、木馬程序等。5．檢查系統(tǒng)服務(wù)，檢查處于已啟動(dòng)狀態(tài)的服務(wù)，查看是否有新加的未知服務(wù)并確定服務(wù)的用途。3．檢查系統(tǒng)帳號(hào)打開計(jì)算機(jī)管理，展開本地用戶和組選項(xiàng)，查看組選項(xiàng)，查看administrators組是否添加有新帳號(hào)，檢查是否有克隆帳號(hào)。2．檢查當(dāng)前進(jìn)程情況切換“任務(wù)管理器”到進(jìn)程，查找有無可疑的應(yīng)用程序或后臺(tái)進(jìn)程在運(yùn)行。系統(tǒng)的安全性遵循木桶原理，木桶原理指的是：一個(gè)木桶由許多塊木板組成，如果組成木桶的這些木板長(zhǎng)短不一，那么這個(gè)木桶的最大容量不取決于長(zhǎng)的木板，而取決于最短的那塊木板。另外注意設(shè)置好各個(gè)數(shù)據(jù)庫(kù)用戶的權(quán)限，對(duì)于這些用戶只給予所在數(shù)據(jù)庫(kù)的一些權(quán)限。對(duì)于MSSQL首先需要為sa設(shè)置一個(gè)強(qiáng)壯的密碼，使用混合身份驗(yàn)證,加強(qiáng)數(shù)據(jù)庫(kù)日志的記錄,審核數(shù)據(jù)庫(kù)登陸事件的”成功和失敗”.刪除一些不需要的和危險(xiǎn)的OLE自動(dòng)存儲(chǔ)過程(會(huì)造成企業(yè)管理器中部分功能不能使用),這些過程包括如下:Sp_OAcreate Sp_OADestroy Sp_OAGetErrorInfo Sp_OAGetProperty Sp_OAMethod Sp_OASetProperty Sp_OAStop 去掉不需要的注冊(cè)表訪問過程,包括有:Xp_regaddmultistring Xp_regdeletekey Xp_regdeletevalue Xp_regenumvalues Xp_regread Xp_regremovemultistring Xp_regwrite 去掉其他系統(tǒng)存儲(chǔ)過程，如果認(rèn)為還有威脅，當(dāng)然要小心drop這些過程，可以在測(cè)試機(jī)器上測(cè)試，保證正常的系統(tǒng)能完成工作，這些過程包括：xp_cmdshell xp_dirtree xp_dropwebtask sp_addsrvrolememberxp_makewebtask xp_runwebtask xp_subdirs sp_addloginsp_addextendedproc 在實(shí)例屬性中選擇TCP/IP協(xié)議的屬性。另外需要給該目錄以上的上級(jí)目錄給該用戶的讀取權(quán)限，否則會(huì)在連接的時(shí)候出現(xiàn)530 Not logged in, home directory does not exist。域中的設(shè)置為：要求復(fù)雜密碼，目錄只使用小寫字母，高級(jí)中設(shè)置取消允許使用MDTM命令更改文件的日期。設(shè)置安裝目錄的data數(shù)據(jù)庫(kù)的權(quán)限(此目錄存放了mysql數(shù)據(jù)庫(kù)的數(shù)據(jù)信息)。：Safe_mode=on 原為：Onregister_globals = Offallow_url_fopen = Off 原為：Ondisplay_errors = Off magic_quotes_gpc = On [默認(rèn)是on，但需檢查一遍] 原為：Offopen_basedir =web目錄disable_functions =passthru,exec,shell_exec,system,phpinfo,get_cfg_var,popen,chmod 原為：空 = true修改為false[修改前要取消掉前面的；]MySQL安全設(shè)置：如果服務(wù)器上啟用MySQL數(shù)據(jù)庫(kù)，MySQL數(shù)據(jù)庫(kù)需要注意的安全設(shè)置為：刪除mysql中的所有默認(rèn)用戶，只保留本地root帳戶，為root用戶加上一個(gè)復(fù)雜的密碼。另外，對(duì)于FSO由于用戶程序需要使用，服務(wù)器上可以不注銷掉該組件，這里只提一下FSO的防范，但并不需要在自動(dòng)開通空間的虛擬商服務(wù)器上使用，只適合于手工開通的站點(diǎn)。因?yàn)槭翘摂M主機(jī)平常對(duì)腳本安全沒辦法做到細(xì)致入微的地步。修改403錯(cuò)誤頁(yè)面，將其轉(zhuǎn)向到其他頁(yè)，可防止一些掃描器的探測(cè)。用戶程序調(diào)試設(shè)置發(fā)送文本錯(cuò)誤信息給客戶。這不僅滿足業(yè)務(wù)需求和信任要求，而且驗(yàn)證了他們的方法是正確的?？偨Y(jié)隨著Windows Server 2008的發(fā)布，微軟最終提供了權(quán)限管理功能，能夠創(chuàng)建復(fù)雜的用戶權(quán)限分組，卻不需要復(fù)雜的管理技術(shù)。當(dāng)啟用這些政策時(shí)，企業(yè)有多種選擇：可以讓它們產(chǎn)生成功事件，失敗事件或者兩者都產(chǎn)生，這取決于公司政策。因?yàn)檫@些插件是值得信賴的擴(kuò)展操作系統(tǒng)的代碼模塊，Windows加載每個(gè)插件時(shí)都會(huì)做記錄，使用從這個(gè)分類中的事件。結(jié)合該政策，加上審計(jì)登錄事件和審計(jì)對(duì)象訪問事件，以及在這些不同的事件描述中使用Logon ID, Process ID 和Handle ID等，我們就可以詳細(xì)地描繪出用戶活動(dòng)了。（注意：如果服務(wù)器的對(duì)象太多，該政策可能會(huì)大大影響該服務(wù)器的性能。審計(jì)登錄事件——記錄本地計(jì)算機(jī)上的登錄嘗試，無論使用域帳戶還是本地帳戶登錄。審計(jì)目錄服務(wù)訪問——提供Active Directory中對(duì)象變化的低級(jí)別審計(jì)跟蹤。開啟這項(xiàng)政策以后，工作站或者成員服務(wù)器會(huì)記錄所有使用計(jì)算機(jī)SAM中存儲(chǔ)的本地帳戶的登錄嘗試。點(diǎn)擊本地政策（Local Policies），然后選擇用戶權(quán)利分配（User Rights Assignment），就能夠編輯所有的39個(gè)登錄權(quán)利和權(quán)限了。這些特權(quán)由系統(tǒng)URA對(duì)象下的組政策（Group Policy）進(jìn)行管理，而且兩種用戶權(quán)利都是由管理員分配到組或者單獨(dú)用戶，作為系統(tǒng)安全設(shè)置的一部分。用戶權(quán)利能夠控制用戶在計(jì)算機(jī)上執(zhí)行哪些任務(wù)。他或她可以在PSO中設(shè)定同樣的密碼最長(zhǎng)期限、復(fù)雜度要求、鎖定閾值，等等。Windows Server 2008的活動(dòng)目錄還引進(jìn)了一個(gè)新的功能，叫做多元密碼政策(FineGrained Password Policy)，其中包括一個(gè)鎖定政策。當(dāng)有新的Windows服務(wù)器添加進(jìn)來時(shí)，他們會(huì)連接到活動(dòng)目錄，活動(dòng)目錄會(huì)檢查所有的組政策對(duì)象（Group Policy Objects，GPO）——用戶能夠執(zhí)行的應(yīng)用程序和服務(wù)——并把這些權(quán)限鏈接到該目錄下的Active Directory Users and Computers（活動(dòng)目錄用戶和計(jì)算機(jī)）分支中的域根用戶。在本文中，我們將討論一下如何使用Windows Server 2008對(duì)權(quán)限分配進(jìn)行控制。意識(shí)到這一趨勢(shì)之后，微軟在2009年開發(fā)了Windows Server 2008，該系統(tǒng)具有以多級(jí)權(quán)限屬性系統(tǒng)為基礎(chǔ)的多層次管理模式。在DOS電腦以及隨后的Windows操作系統(tǒng)中，訪問控制模式更加復(fù)雜。:開始菜單—管理工具—本地安全策略A、本地策略——審核策略審核策略更改　成功　失敗審核登錄事件　成功　失敗審核對(duì)象訪問失敗審核過程跟蹤　無審核審核目錄服務(wù)訪問失敗審核特權(quán)使用失敗審核系統(tǒng)事件　成功　失敗審核賬戶登錄事件　成功　失敗審核賬戶管理　成功　失敗注：在設(shè)置審核登陸事件時(shí)選擇記失敗，這樣在事件查看器里的安全日志就會(huì)記錄登陸失敗的信息。從文件共享中刪除允許匿名登錄的DFS$和COMCFG。，C:\WINNT\system32\inetsrv目錄只有administrator只允許Administrator用戶讀寫。另外還有一個(gè)隱藏目錄也需要同樣操作。3. 系統(tǒng)應(yīng)用程序加固，提供應(yīng)用程序的安全性，例如sql的安全配置以及服務(wù)器應(yīng)用軟件的安全加固。如何利用IIS建立一個(gè)安全的Web服務(wù)器，是很多人關(guān)心的話題。但是，IIS的安全性卻一直令人擔(dān)憂。2. IIS手工加固：手工加固iis可以有效的提高iweb站點(diǎn)的安全性服務(wù)器安全加固，合理分配用戶權(quán)限，配置相應(yīng)的安全策略，有效的防止iis用戶溢出提權(quán)。 因?yàn)榉?wù)器只有管理員有本地登錄權(quán)限，所在要配置Documents and Settings這個(gè)目錄權(quán)限只保留Administrators和SYSTEM有完全控制權(quán)，其下的子目錄同樣。 配置Windows目錄，其實(shí)這一塊主要是根據(jù)自身的情況如果使用默認(rèn)的安全設(shè)置也是可行的，不過還是應(yīng)該進(jìn)入SYSTEM32目錄下，將 、。啟用不允許為網(wǎng)絡(luò)驗(yàn)證存儲(chǔ)憑據(jù)或Passport。禁止IIS匿名用戶在本地登錄。這種方案存在一個(gè)明顯的安全問題：它需要防止普通用戶獲取非法訪問權(quán)限。今天，許多企業(yè)的業(yè)務(wù)模式都要求大范圍（地理位置上的）的聯(lián)合操作，Windows NT中簡(jiǎn)單的特權(quán)/非特權(quán)用戶管理功能已經(jīng)不夠用了。通過這種方式，大型企業(yè)中的用戶管理權(quán)限可以受到限制，操作中的超級(jí)用戶數(shù)量減少。這使得AD可以對(duì)域中的所有用戶帳戶執(zhí)行公共帳戶權(quán)限管理。比如，服務(wù)臺(tái)OU可以定義一系列全局政策，幫助服務(wù)臺(tái)人員執(zhí)行具有公共權(quán)限的活動(dòng)。為了充分利用這個(gè)功能，活動(dòng)目錄管理員必須創(chuàng)建一個(gè)新的對(duì)象，名為密碼設(shè)置對(duì)象（Password Settings Object，PSO）。本地多級(jí)控制域上的全局政策配置完成以后，人們就可以在單獨(dú)的Windows Server 2008系統(tǒng)中通過用戶權(quán)利分配（User Rights Assignment，URA）功能定義本地權(quán)限。特權(quán)則控制計(jì)算機(jī)和域資源的訪問，并可以覆蓋特定對(duì)象上設(shè)定的權(quán)限，比如備份文件和目錄、創(chuàng)建全局對(duì)象、調(diào)試程序等等。他或她可以在左邊看見一個(gè)樹狀目錄。下文簡(jiǎn)要地描述了每個(gè)政策，以及它們的用法：審計(jì)帳戶登錄事件——跟蹤所有試圖用域用戶帳戶登錄的活動(dòng)，不管這種嘗試源自何處。該政策還記錄域用戶、域分組以及計(jì)算機(jī)帳戶的變化。審計(jì)帳戶管理事件可以提供更好的用戶帳戶和組的監(jiān)視維護(hù)信息，但是審計(jì)目錄服務(wù)訪問是跟蹤OU和GPO變化的唯一途徑，這對(duì)于變化控制來說很重要。該政策可以用來審計(jì)任何類型的Windows對(duì)象訪問，包括注冊(cè)表鍵值、打印機(jī)、以及服務(wù)。它還可以決定程序運(yùn)行的時(shí)間。這些插件可以是認(rèn)證軟件包、合法登錄進(jìn)程或者通知軟件包。企業(yè)應(yīng)該盡可能多的啟用這些審計(jì)政策，但是請(qǐng)記住，加載所有的政策可能會(huì)影響Windows系統(tǒng)的性能。實(shí)際上，安全日志中許多最重要的事件是成功事件，比如關(guān)鍵用戶帳戶和組的變化、帳戶鎖定的變化，以及安全設(shè)置的變化等等。歸功于適當(dāng)?shù)目紤]和規(guī)劃，