1.server2003服务器获得管理员权限
2.如何配置Win2003的NTFS文件系统权限及IIS权限设置参考
3.怎样配置和管理Win2003系统服务
现在我们开始使用Win2003系统自带的FTP服务架设一台安全的FTP服务器。
步骤1、为FTP服务器建立一个安全的专用FTP帐号:
点击"开始菜单→管理工具→计算机管理",这里弹出一个计算机管理窗口,我们在里面建立一个供FTP客户端登陆的帐号,双击左栏中的"本地用户和组"然后在右栏中点击鼠标右键,选择"新建"命令,就会弹出一个新用户建立窗口,现在我们建立一个用户,在这里我们建立一个用户名为 cnhack 的帐号,密码为chinanetpk ,并去除"用户下次登陆时须更改密码"的选项,勾选"用户不能更改密码"及"密码永不过期"选项。然后点击"创建"按钮,就创建了一个用户名为 cnhack 的用户。如下图(图15)所示:
15)
(图
为了服务器安装着想,我们还须进行如下安全设置,在默认的情况下,我们建立的用户帐号为 Users 组用户,虽然普通用户组对服务器安全影响不大,但我们还是把这个用户所属的 Users 组删除,把刚建立的 cnhack 用户添加到 Guests 用户组,步骤如下:
右击右栏中刚才建立的普通用户 cnhack ,出现一个菜单,选择属性,这时会弹出别一个窗口cnhack 属性窗口,选择"隶属于"标签,这时我们会看到cnhack 用户隶属于Users组,我们选择下栏中的Users组名称,并选择"删除"按钮,这里cnhack用户原来的隶属组被删除,我们再点击下栏中的"添加"按钮,这时弹出一个"选择组"窗口,选择"高级"按钮,再点击"立即查找"按钮,这时我们会看到一个"Guests"用户组名,双击"Guests"用户组名称后返回选择组窗口,点击"确定"按钮退出。这样我们就把刚建立的 cnhack 用户添加进了Guests 用户组,并把原 cnhack 隶属的用户组删除了。基本配置方法如下图(图16)所示:
16)
(图
为了服务器安装着想,我们还应在"cnhack属性"栏里选择远程控制标签,把"启用远程控制"的勾去掉。这里一个安全的FTP帐号建立成功。如下图(图17)所示:
17)
(图
本例中,我们在D盘建立一个文件夹,并重命名该文件夹文件名为 cnhack ,然后在该文件夹图标处点击右键,出现一菜单,选择"属性",这里弹出一个属性对话框,在" cnhack 属性"中选择"安全"标签,点击右下方的"高级"选项,并去除勾选"允许父项的继承权限传播到该对像和所有对像,包括那些在此明确定定义的项目(A)"。如下图(图18)所示:
18)
(图
然后点击确定按钮,返回cnhack属性的"安全"标签,在这里会看到还剩下一个超级管理员组 Administrators 成员可以管理cnhack 文件夹,我们再勾选允许超级管理员组成员允许完全控制该文件夹,这样就给了我们管理员组对cnhack文件夹的完全控制权,现在我们再给我们刚才建立的 cnhack 用户管理权限,我们点击"添加"按钮,根据提示把 cnhack 帐号添加成为 cnhack 文件夹的管理员,然后再勾选允许cnhack 帐号完全管理该文件夹,这样就给了 cnhack 帐号对该文件夹的完全管理权。如下图(图19所示):
19)
(图
现在D:\cnhack 文件夹只允许超级管理员组Administrators 成员和帐号为 cnhack 的来宾组成员进行管理与访问了,其它帐户的帐号将不能对 cnhack 文件夹有任何的访问权及修改权限。
步骤2、使用Internet 信息服务(IIS)管理器建立一个安全的FTP空间:
现在我们打开"开始菜单"→"程序"→"管理工具"→"Internet 信息服务(IIS)管理器",弹出一个IIS管理器窗口,在里面找到"FTP站点" →"默认 FTP 站点",并在"默认 FTP 站点"里点击鼠标右键,选择"属性"选择,出现一个"默认 FTP 站点属性"对话框,选择"主目录"标签,把原来默认的地址改为我们刚才建立的文件夹D:\cnhack 的路径,下面会有三个选项,分别是、"读取、写入、记录访问",你可以根据需要勾选,如果中介提供给别人下载的FTP空间,则不要勾选写入选项,如果需要提供给别人上传及更改FTP空间内容的,则需要勾选写入选项。本例中,我们是让朋友可以把数据上传到FTP空间的,所以我们勾选了"写入"选项,如下图(图20)所示:
20)
(图
下面我们再来配置使用指定的我们刚才建立的帐号cnhack 才能登陆现在这个FTP空间,我们现在点击"安全帐户"标签,再点击"浏览"按钮,根据提示选择我们刚才建立的cnhack用户名,然后点击确定,这样就指定了这个空间只有使用我们设置的 cnhack 用户帐号才能登陆,记住不要勾选下面的"只允许匿名连接"选项,因为这样将会带来安全问题,如下图(图21)所示:
21)
(图
现在我们再来指定该FTP站点的IP地址,我们只要点击"FTP站点"标签,然后在"IP地址(I)"的右栏输入框里输入我们本机的IP地址即可。还有可以在"TCP/IP端口(T)"的右输入框里修改当前FTP站点的TCP/IP端口号,默认情况下是使用21端口的。如下图(图22)所示:
22)
(图
这样一个安全的FTP站点就建立成功了。使用IIS6建立的FTP服务器可以使用IE及FTP客户端软件登陆FTP空间。而且功能强大。
server2003服务器获得管理员权限
还是权限的问题 everyone是所有用户 要是删掉了 你就要添加一个可以访问的用户了
文件夹共享-- 权限--添加--高级--立即查找 把建立的用户添加进去 设置相对应的权限OK
如何配置Win2003的NTFS文件系统权限及IIS权限设置参考
先定你会一些IT基础,否则纯情少年去只能打酱油。
从上面已知的条件中,基本得知如下的条件,三个文件夹,三个不同的安全级别,其次两个漏洞。
最后是可以自带工具。
根据上面的条件,我们将首先搜索DNS漏洞是如何的,然后在VM中的2003服务器不要打上补丁,然后搜索这个漏洞的攻击方式。网上的资料很全,刚搜索过。(这点要你具备IT扎实基础)
学会其中的工具演练。
第二个漏洞可能是windows 2003 输入法漏洞,定是这样的。
参考一下
://hi.baidu/u0007/blog/item/95fe4ad9404aec39012fdb.html
其后就在电脑上演示。
怎样配置和管理Win2003系统服务
如何配置Win2003的NTFS文件系统权限及IIS权限设置参考(供使用Win2003服务器参考)
如何配置Win2003的NTFS文件系统权限
一、首先了解权限设置的方案
1、被授予权限的对象分用户和用户组两种
2、批量设置有两大方案,当设置某个目录的权限时,进入高级
I 可设置是否继承父级权限设置 (第一个勾)
II 可设置是否替换子目录及文件的权限设置 (第二个勾)
二、系统盘主要目录的权限设置
C:只授予 System 和 Administrators 完全控制权限,删除其他用户或组,不替换子目录
C:\Documents and Settings
仅继承父级,并替换子目录
C:\Inetpub
删除之,不要使用该目录作为网站发布的目录。
C:\Program Files
仅继承父级,并替换子目录
C:\Program Files\Common Files\Microsoft Shared
删除继承并保留设置(在“高级”中取消第一个勾,再在弹出的对话中选“复制”)
添加 Users 组,只授予读取权限
将该目录的设置替换它的子目录(勾中第二个勾)
C:\Windows
删除继承并保留设置
添加 Users 组,只授予读取权限
将该目录的设置替换它的子目录
(具体做法和上面 /Microsoft Shared 目录设置一样)
C:\Windows\Temp
添加 IIS_WPG、ASPNET、Network Services、Network 用户或组
授予完全控制权限,替换它的子目录
C:\Windows\Microsoft.NET\Framework\v1.1.4322\Temporary ASP.NET Files
添加 Everyone,授予完全控制权限,将该设置替换它的子目录
三、其他盘的设置
C盘设置完成,其他盘均仅给 System 和 Administrators 授予完全控制即可。
网站发布目录授予IIS匿名用户读取访问权限。需要.NET权限的目录添加 IIS_WPG 组(或隶属于该组的某个用户),授予完全控制权限。
IIS权限设置参考
虽然 Apache 的名声可能比 IIS 好,但我相信用 IIS 来做 Web 服务器的人一定也不少。说实话,我觉得 IIS 还是不错的,性能和稳定性都相当不错。但是我发现许多用 IIS 的人不太会设置 Web 服务器的权限,因此,出现漏洞被人黑掉也就不足为奇了。但我们不应该把这归咎于 IIS 的不安全。如果对站点的每个目录都配以正确的权限,出现漏洞被人黑掉的机会还是很小的(Web 应用程序本身有问题和通过其它方式入侵黑掉服务器的除外)。下面是我在配置过程中总结的一些经验,希望对大家有所帮助。
IIS Web 服务器的权限设置有两个地方,一个是 NTFS 文件系统本身的权限设置,另一个是 IIS 下网站->站点->属性->主目录(或站点下目录->属性->目录)面板上。这两个地方是密切相关的。下面我会以实例的方式来讲解如何设置权限。
IIS 下网站->站点->属性->主目录(或站点下目录->属性->目录)面板上有:
脚本访问
免费收录网站 .admin5.net
读取
写入
浏览
记录访问
索引
6 个选项。这 6 个选项中,“记录访问”和“索引”跟安全性关系不大,一般都设置。但是如果前面四个权限都没有设置的话,这两个权限也没有必要设置。在设置权限时,记住这个规则即可,后面的例子中不再特别说明这两个权限的设置。
另外在这 6 个选项下面的执行权限下拉列表中还有:
无
纯脚本
纯脚本和可执行程序
3 个选项。
而网站目录如果在 NTFS 分区(推荐用这种)的话,还需要对 NTFS 分区上的这个目录设置相应权限,许多地方都介绍设置 everyone 的权限,实际上这是不好的,其实只要设置好 Internet 来宾帐号(IUSR_xxxxxxx)或 IIS_WPG 组的帐号权限就可以了。如果是设置 ASP、PHP 程序的目录权限,那么设置 Internet 来宾帐号的权限,而对于 ASP.NET 程序,则需要设置 IIS_WPG 组的帐号权限。在后面提到 NTFS 权限设置时会明确指出,没有明确指出的都是指设置 IIS 属性面板上的权限。
例1 —— ASP、PHP、ASP.NET 程序所在目录的权限设置:
如果这些程序是要执行的,那么需要设置“读取”权限,并且设置执行权限为“纯脚本”。不要设置“写入”和“脚本访问”,更不要设置执行权限为“纯脚本和可执行程序”。NTFS 权限中不要给 IIS_WPG 用户组和 Internet 来宾帐号设置写和修改权限。如果有一些特殊的配置文件(而且配置文件本身也是 ASP、PHP 程序),则需要给这些特定的文件配置 NTFS 权限中的 Internet 来宾帐号(ASP.NET 程序是 IIS_WPG 组)的写权限,而不要配置 IIS 属性面板中的“写入”权限。
站长必看的网站 .admin5
IIS 面板中的“写入”权限实际上是对 HTTP PUT 指令的处理,对于普通网站,一般情况下这个权限是不打开的。
IIS 面板中的“脚本访问”不是指可以执行脚本的权限,而是指可以访问源代码的权限,如果同时又打开“写入”权限的话,那么就非常危险了。
执行权限中“纯脚本和可执行程序”权限可以执行任意程序,包括 exe 可执行程序,如果目录同时有“写入”权限的话,那么就很容易被人上传并执行木马程序了。
对于 ASP.NET 程序的目录,许多人喜欢在文件系统中设置成 Web 共享,实际上这是没有必要的。只需要在 IIS 中保证该目录为一个应用程序即可。如果所在目录在 IIS 中不是一个应用程序目录,只需要在其属性->目录面板中应用程序设置部分点创建就可以了。Web 共享会给其更多权限,可能会造成不安全因素。
剑心总结:也就是说一般不要打开-主目录-(写入),(脚本访问) 这两项以及不要选上(纯脚本和可执行程序),选(纯脚本)就可以了.需要asp.net的应用程序的如果应用程序目录不止应用程序一个程序的可以在应用程序文件夹上(属性)-目录-点创建就可以了.不要在文件夹上选web共享.
例2 —— 上传目录的权限设置:
用户的网站上可能会设置一个或几个目录允许上传文件,上传的方式一般是通过 ASP、PHP、ASP.NET 等程序来完成。这时需要注意,一定要将上传目录的执行权限设为“无”,这样即使上传了 ASP、PHP 等脚本程序或者 exe 程序,也不会在用户浏览器里就触发执行。 网站精华 top.admin5
同样,如果不需要用户用 PUT 指令上传,那么不要打开该上传目录的“写入”权限。而应该设置 NTFS 权限中的 Internet 来宾帐号(ASP.NET 程序的上传目录是 IIS_WPG 组)的写权限。
如果下载时,是通过程序读取文件内容然后再转发给用户的话,那么连“读取”权限也不要设置。这样可以保证用户上传的文件只能被程序中已授权的用户所下载。而不是知道文件存放目录的用户所下载。“浏览”权限也不要打开,除非你就是希望用户可以浏览你的上传目录,并可以选择自己想要下载的东西。
剑心总结:一般的一些asp.php等程序都有一个上传目录.比如论坛.他们继承了上面的属性可以运行脚本的.我们应该将这些目录从新设置一下属性.将(纯脚本)改成(无).
例3 —— Access 数据库所在目录的权限设置:
许多 IIS 用户常常用将 Access 数据库改名(改为 asp 或者 aspx 后缀等)或者放在发布目录之外的方法来避免浏览者下载它们的 Access 数据库。而实际上,这是不必要的。其实只需要将 Access 所在目录(或者该文件)的“读取”、“写入”权限都去掉就可以防止被人下载或篡改了。你不必担心这样你的程序会无法读取和写入你的 Access 数据库。你的程序需要的是 NTFS 上 Internet 来宾帐号或 IIS_WPG 组帐号的权限,你只要将这些用户的权限设置为可读可写就完全可以保证你的程序能够正确运行了。
站长网 .admin5
剑心总结:Internet 来宾帐号或 IIS_WPG 组帐号的权限可读可写.那么Access所在目录(或者该文件)的“读取”、“写入”权限都去掉就可以防止被人下载或篡改了
例4 —— 其它目录的权限设置:
你的网站下可能还有纯目录、纯 html 模版目录、纯客户端 js 文件目录或者样式表目录等,这些目录只需要设置“读取”权限即可,执行权限设成“无”即可。其它权限一概不需要设置。
好了,我想上面的几个例子已经包含了大部分情况下的权限设置,其它情况根据这些例子,我想你一定可以想到该如何设置了吧。
首先,做名为abc的域。然后在服务器上(在这里应该是你的本机)做dns服务。然后添加主机,名为,ip地址为127.0.0.1。然后就ok了。
第一步:进入DNS,管理工具->DNS
第二步:“新建区域”,起名为“abc”
第三步:右击并选择“新建主机”,进入后在名称框中输入 , 在ip中输入“127.0.0.1”
如何获取IP地址
若要承载可从外部访问的Web站点,必须从您的 Internet 服务提供商 (ISP) 那里获取一个公用 IP 地址。并将此IP地址指定到DNS服务器所连接防火墙或路由器的外部接口
如何注册域名
通过 Internet 域名注册管理机构(这样的管理机构被称为注册机构)为您的组织注册一个父级或二级 DNS 域名。
各注册机构的注册过程可能会有所不同,但您还是可以按以下步骤来注册域名:
进行搜索,确认要注册的名称是否可用。
提供该帐户的联系信息和交费信息(包括电子邮件地址)。
键入主从DNS服务器的完全合格的域名称 (FQDN)。
备注:这些是ISP提供的公用IP地址。
