[作者] 河马 [头衔]
认证会员(综) [经验]
64893 [等级]
大将 [发帖]
381 [回帖]
508 [登陆]
426
[发表时间]
2006/2/10 15:05:16 [楼主]
|
|
[作者]河马 [头衔]认证会员(综) [经验]64893 [等级]大将
[发帖]381 [回帖]508 [登陆]426 [发表时间]2006/2/10 15:05:51 [1楼]
|
|
|
[作者]河马 [头衔]认证会员(综) [经验]64893 [等级]大将
[发帖]381 [回帖]508 [登陆]426 [发表时间]2006/2/10 15:06:39 [2楼]
|
|
|
[作者]河马 [头衔]认证会员(综) [经验]64893 [等级]大将
[发帖]381 [回帖]508 [登陆]426 [发表时间]2006/2/10 15:07:19 [3楼]
|
|
|
[作者]河马 [头衔]认证会员(综) [经验]64893 [等级]大将
[发帖]381 [回帖]508 [登陆]426 [发表时间]2006/2/10 15:07:43 [4楼]
|
|
建站技术-一个IP建多个Web站点--TCP端口法 由于各种原因,我们有时候需要在一个IP地址上建立多个web站点,在IIS5中,我们可能通过简单的设置达到这个目标. 在IIS中,每个 Web 站点都具有唯一的、由三个部分组成的标识,用来接收和响应请求: (1) IP地址 (2)端口号 (3)主机头名。 在IIS中,在一个IP地址上建立多个独立的web站点,通常有两种方法,本文以以例子的形式介绍TCP端口法. 环境:假设沧海公司(呵呵...)的内部网由一台win2000服务器和几十台工作站组成,这个内部网的网段是192.168.1.0/24,服务器的地址是192.168.1.10,名称是myserver.在这台服务器已经安装了Internet服务即IIS5. 沧海公司有A,B,C三个部门,分别在8086,8087,8088三个房间办公.现在公司要求网络管理员在服务器上使用一个IP为公司和三个部分别建立一个网站,即要建立四个网站. 通过使用附加端口号,站点只需一个 IP 地址即可维护多个站点。客户要访问站点时,需在静态 IP 地址后面附加端口号(默认 Web 站点除外,它使用端口 80)。 具体操作如下: 1.在win2000服务器上为公司和三个部门在硬盘上建立文件夹,做为WEB站点主目录.如下: 图片附件: 1.jpg (2005-9-23 10:37, 32.5 K) 2.使用WEB站点管理向导,分别为公司和三个部门建立四个WEB站点,四者最大的不同是使用了不同的TCP端口: 图片附件: 2.jpg (2005-9-23 10:35, 50.81 K) 这样,客户端就可以通过: http://192.168.1.10访问公司站点. http://192.168.1.10:8086访问A部门站点 http://192.168.1.10:8087访问B部门站点 http://192.168.1.10:8088访问C部门站点 这种方法建立的WEB站点使用非默认端口的网站具有相对的隐蔽性,但此方法维护多个站点要求客户在端口号前键入实际的数字 IP 地址。不能使用主机名和“友好名称”。
|
河马欢迎您来到小文~
|
|
|
[作者]河马 [头衔]认证会员(综) [经验]64893 [等级]大将
[发帖]381 [回帖]508 [登陆]426 [发表时间]2006/2/10 15:08:11 [5楼]
|
|
建站技术- 一个IP建多个Web站点--主机头名法 由于各种原因,我们有时候需要在一个IP地址上建立多个web站点,在IIS5中,我们可能通过简单的设置达到这个目标. 在IIS中,每个 Web 站点都具有唯一的、由三个部分组成的标识,用来接收和响应请求: (1) IP地址 (2)端口号 (3)主机头名。 在IIS中,在一个IP地址上建立多个独立的web站点,通常有两种方法,本文以以例子的形式介绍主机头法,使用这种方法可以建立起专业的虚拟主机. 环境:假设沧海公司(呵呵...)用一台win2000服务器提供虚拟主机服务,地址是192.168.1.10.在这台服务器已经安装了Internet服务即IIS5. 现在公司要求网络管理员在服务器上使用一个IP为ABCD四个公司建立独立的网站,每个网站拥有自己独立的域名.四家网站域名分别为: [url=http://www.a.com/] www.a.com [/url] , [url=http://www.b.com/] www.b.com [/url] , [url=http://www.c.com/] www.c.com [/url] 和 [url=http://www.d.com./] www.d.com. [/url] 通过使用主机头,站点只需一个 IP 地址即可维护多个站点。客户可以使用不同的域名访问各自的站点,根本感觉不到这些站点在同一主机上. 具体操作如下: 1.在win2000服务器为四家公司建立文件夹,做为WEB站点主目录.如下: [url=http://forum.oray.net/member.php?action=credits&view=getattach] 图片附件 [/url] : [url=http://forum.oray.net/attachment.php?aid=176] 1.jpg [/url] (2005-9-23 10:33, 34.78 K) 2.使用WEB站点管理向导,分别四家公司建立独立的WEB站点,四者最大的不同是使用了不同的主机头名: [url=http://forum.oray.net/member.php?action=credits&view=getattach] 图片附件 [/url] : [url=http://forum.oray.net/attachment.php?aid=177] 2.jpg [/url] (2005-9-23 10:33, 53.68 K) 在DNS中将这四个域名注册上,均指向同一地址:192.168.1.10.这样,客户端就可以通过: [url=http://www.a.com/] [color=#505050http://www.a.com[/color] [/url] 访问A公司站点. [url=http://www.b.com/] [color=#505050http://www.b.com[/color] [/url] 访问B公司站点. [url=http://www.c.com/] [color=#505050http://www.c.com[/color] [/url] 访问C公司站点. [url=http://www.d.com/] [color=#505050http://www.d.com[/color] [/url] 访问D公司站点. 3.每个站点的主机头名可以在WEB站点建立向导中设置,它与站点的IP地址,TCP端口在同一屏上.也可能通过该站点->"属性"->"WEB站点"标签->选IP地址右边的"高级"按钮,跳出"高级多WEB站点配置"进行配置. 这种方法建立可以建立专业的虚拟主机,几乎所有使用IIS提供虚拟主机的公司都这样做的.
|
河马欢迎您来到小文~
|
|
|
[作者]河马 [头衔]认证会员(综) [经验]64893 [等级]大将
[发帖]381 [回帖]508 [登陆]426 [发表时间]2006/2/10 15:08:38 [6楼]
|
|
建站技术-如何建立你的 MMS 个人电台 MMS (Microsoft Media Sevice)系列 准备好你的软硬件,我们来建立一个完全个性化的个人电台. (一). 硬件配置 确认你的声卡是全双工的声卡.一般目前的声卡已经可以满足双工需要. 购买一支性价比良好的麦克风(MIC). 有条件的同志可以直接将贵府的卡拉OK麦克风通过转接口插插在声卡上. 调试好你的 MIC 里面的 回响(ECHO) . 有 MIC 增益功能的声卡可以将增益调至 20db 左右可以满足. (前提是你的麦克风为优等货,一般市面上的电脑 MIC 无须开启增益功能,开了反而听不清楚. 最后测试一下你的 MIC. 测试可以通过带有录音功能的软件进行回放. 例如,windows 自带的录音机已经可以满足. 录音时尽量用拳头紧握 MIC 然后对着拳头说话. 回放的时候自认为可以接受就可以了. (二). 软件配置 要想开通 MMS 电台,你必须下载微软的 Windows Media Encoder. 目前中文最高版本是 7.01 . 英文版为 8.0. 下载地址可以直接登陆 www.microsoft.com 查找. 简体中文版详细的下载地址是: http://download.microsoft.com/do ... /CN/wmencoder71.exe 安装完成后你就开可以启动你的 Windows Media Encoder 了. (三)开始工作 初次启动 Windows Media Encoder 会自动建立会话向导. 分别为 1.广播 2.捕获 3.转换 . 选择 1 进行网络广播. 接着 Windows Media Encoder 会提示设备. 视频设备: 指视频捕捉卡之类,或者是 WEB CAMERA . 音频设备就是你的声卡. 下一步 Windows Media Encoder 将询问你的广播端口,默认值是 8080. 这时下方出现提示 http 地址以及 lan 地址. 都不用管他. 下一步,Windows Media Encoder 会询问你广播时使用的配置. 其实就是在询问总带宽,你的对象都是 MODEM 用户的话你可以选择 56K. 一般宽带用户选择 64-96 进行广播就足够了. 下一步 Windows Media Encoder 询问是否保存该选项. 保存后下一次广播可以直接打开保存文件,Windows Media Encoder 会自动载入有关的选项. 显示信息,就是别人使用 windows mediaplayer 收听你的广播时所看见的有关信息. 例如标题,作者,版权等等... 最后 Windows Media Encoder 将你的设置列表,检查无误后就可以进行播放了. (四) 播放用的音源 在开始播放之前单击 Windows Media Encoder 左下方的[混音], 也可以双击电脑屏幕右下角喇叭图标,选择[录音]. 这时你可以选择将哪个音源作为广播用的音源了. 通常有 [MIC] [LINE IN] [CD Audio] 以及 [Line Out](或者是[Stereo Out]). 建议选择 [Stereo Out] , 这样,你听到的就是你发布出去的. What's you hear what's you issue. 同时你可以在音量控制中的 [播放] 开启 MIC , 这就可以一边播放歌曲,一边享受做 DJ 的乐趣了. 至于其他的诸如调教音色之类的细腻活,大家就再深入研究一下吧. (五) 客户端的播放 你可以借助[花生壳]帮你完成动态域名的转换. 告诉你的朋友们, mms://user.vicp.net:8080 就是你的电台地址. 使用模板配置并启动 Windows Media 编码器 1.在“欢迎”窗口中,选择“带有输入/输出选项的模板”,并单击“确定”。 2.在“压缩和格式”屏幕中,为该会话选择模板流格式。 3.在“输入设置,输入源”屏幕,选择“实况源”或“AVI/WAV/MP3 文件”。 如果选择“实况源”,会自动根据您所选择的首选设备来确定捕获设备。要使用不同的捕获设备,请单击“自定义”。 如果选择“AVI/WAV/MP3 文件”,则会自动指出准备输出一个 .asf 文件。如果表示要将内容发送到 Windows Media 服务器以供流式传送,请选择“只有音频”;视频内容无法直接译码成内容流。 4.在“输出设置,输出选项”屏幕中,选择要将 ASF 流发送到的位置。 ASF 流可以发送到 Windows Media 服务器,也可以作为一个 .asf 文件写入磁盘,或者发送到这两个位置。如果选择发送到这两个位置,您必须完成下面的两个步骤。 5.如果正在将内容发送到 Windows Media 服务器,请在“输出设置,发送”屏幕中,选择 Windows Media 编码器用来将 ASF 流发送到 Windows Media 服务器的方法。可以使用固定的 IP 端口,也可以通过 DCOM 启动到 Windows Media 广播站服务的连接。如果选择固定端口方法,还可以选择一个 HTTP 端口。如果选择启动到 Windows Media 广播站服务的连接,请在“广播站管理”框中指定想要连接到的服务器名称,并在“流别名”框中命名从编码器中出来的 ASF 流。 6.如果正在将内容发送到一个本地 .asf 文件,请在“输出设置,输出文件”屏幕上为该 .asf 文件输入一个文件名。也可以使用文件大小和编码持续时间来限定 .asf 文件。通过选择“自动索引”复选框,可以为 ASF 文件创建索引,这样用户在查看文件时可以快进和后退。 7.单击“完成”。显示Windows Media 编码器开始窗口。在“编码”菜单中,单击“开始”。Windows Media 编码器将开始编码 ASF 流。 8.在“文件”菜单中,单击“保存”或“另存为”,键入一个文件名将配置保存到 .asd 文件。 Windows Media 编码器经过几秒钟后开始编码源信息。“摘要统计数据”窗格显示编码器编码信息所用的时间以及发送的数据总量。 配置 Windows Media 编码器使用自定义设置 1.在“欢迎”窗口中,选择“自定义”。 2.在“输入设置,输入源”屏幕中,选择“实况源”或“AVI/WAV/MP3 文件”。 如果选择“实况源”,将出现“输入设置,捕获源和媒体类型”屏幕。将自动根据您所设置的首选设备确定捕获设备。要使用其他捕获设备,单击“自定义”,然后单击列出的设备。如果想要将脚本命令包含在您的 ASF 流中,请选择“脚本命令”复选框。 如果选择了“AVI/WAV/MP3 文件”,将出现“输入设置,源文件”屏幕。在“文件名”下,键入源文件名,或单击“浏览”,在您的计算机上查找文件。将该框置空,以便使用几个不同的输入文件创建一个常规配置。要将 .asf 文件直接发送到 Windows Media 服务器以供流式传送,请选择“只有音频”;视频将内容无法实时分流,这是由于视频由 .avi 转换成 .asf 时的译码过程所造成的。 3.在“配置流,带宽选择”屏幕,选择“使用多比特率视频”或“使用单比特率视频”。 如果选择“使用多比特率视频”,可以选择几个不同的网络带宽供 ASF 流使用。 如果选择“使用单比特率视频”,只能选择一个网络带宽与 ASF 流一起使用。 4.在“配置流,压缩和格式”屏幕中,对于每一种内容类型,从列表中选择想要使用的压缩算法(或编解码器)。大多数音频编解码器具有多种格式。从列表中选择需要的音频格式。 5.在“视频”下,单击“高级”以指定其他附加的视频设置。 6.在“输出设置,输出选项“屏幕中,指定 ASF 流传送的目标。单击下面的任意一个: 通过网络到 Windows Media 服务器。将 ASF 流发送到一个 Windows Media 服务器用于单播或多播。 到本地 ASF 文件。 将流存储为一个 .asf 文件用于点播单播。 -或-用于这两个用途。 7.如果输出到 Windows Media 服务器,请从“输出设置,发送”屏幕,选择 Windows Media 编码器用来将 ASF 流传输到 Windows Media 服务器的方法。既可以使用一个固定的 IP 端口,也可以启动与 Windows Media 服务器的连接。如果选择固定端口方法,也可以选择 HTTP 端口。如果选择启动与 Windows Media 服务器的连接,请在“广播站管理”框中指定要连接到服务器的名称,并在“流别名”框中命名从编码器中产生的 ASF 流。 8.如果输出到本地 ASF 文件,在“输出设置,输出文件”屏幕中,为输出文件指定一个文件名。也可以通过文件大小和编码持续时间来限定 ASF 文件。通过选择“自动索引”复选框,可以索引您的 ASF 文件,这样用户在查看文件时可以前进或后退。 9.在“文件”菜单中,单击“保存”或“另存为”,然后键入一个文件名保存该 .asd 文件。如果正在将该流发送到 Windows Media 服务器,请确保将该 .asd 文件提供给您的 Windows Media 系统管理员。 10.单击“完成”移动到开始窗口。在“编码”菜单中,单击“开始”。 Windows Media 编码器开始编码 ASF 流。 Windows Media 编码器经过几秒后开始编码源信息。在“摘要统计数据”窗格中首先开始显示“时间”;这表示您的内容正在编码。经过三秒钟的延时,发送的数据总量开始发生。
|
河马欢迎您来到小文~
|
|
|
[作者]河马 [头衔]认证会员(综) [经验]64893 [等级]大将
[发帖]381 [回帖]508 [登陆]426 [发表时间]2006/2/10 15:09:04 [7楼]
|
|
建站技术-Windows 2003的一些设置 关于网络服务器的设置有如下: 1 类似 ../ 父路径的问题.IIS6 为提高安全性,默认设置是禁止使用父路径,所以你的程序会出错,解决方法也很简单,在IIS6的站点属性中选择“使用父路径”即可。 IIS6==>站点属性==>主目录==>配置==>选项==>启用父路径 这样就可以了, 告诉你个详细的方法,在IIS6里点帮助(F1),然后搜索“父路径”,里面有详细的设置方式,你可以看看!我就是这么弄明白的. 2 新安装的第二块硬盘需要设置盘符才能使用,第二次就不用了!呵呵 开始-控制面板-管理工具-计算机管理-磁盘管理-更改驱动器名和路径-添加 3 ASP/ASP.NET等服务需要开启服务才能使用! 4 安装PHP 在IIS6中打开IIS管理控制台,打开 Web Service Extensions,加一个新的webservice extension,加一个extension名,点添加然后选择从你解压的地方的php.exe,选择OK,转向站点,编辑属性,进入Home Directory选项卡,点配制,在Mappings点击Add,重新浏览PHP CGI快速绑定,加上.php,一路ok! 5 系统默认没有开启硬件加速,需要自行^ 6 禁用关机事件跟踪 开始 -> 运行 -> gpedit.msc->计算机配置 -> 管理模板 -> 系统 -> 显示关机事件跟踪 -> 禁用 7 以后大家都要用2003啊, 核心是NT5.25 8 显示ASP详细信息。 右键点击默认WEB站点-》属性-》主目录选项卡-》配置 IE设置=>去掉友好提示 9 起用XP的漂漂界面 在管理工具里有服务,打开找到 Thems组件,启动之! 这样主题就有了! -------------------------------------- 另外还有一些关于计算机应用的设置: 随着windows server 2003的上市在即,很多人可以用上的泄漏的版本,相对于工作站系统,服务器在由于做了更多的内核优化,所以在稳定性和安全性方面有很大的提高。但是,很多人并不是需要Server的全部功能的,而且Server系统关闭了某些工作站系统所需要的服务,下面,我们将对如何优化windows server 2003并转换成一个工作站系统做出一些介绍。 1.禁用配置服务器向导 由于不需要服务器设置功能,首先我们先禁止“配置你的服务器”(Manage Your Server)向导的出现,你可以在控制面板(Control Panel) -> 管理员工具(Administrative Tools )-> 管理你的服务器(Manage Your Server)运行它,然后在窗口的左下角复选“登录时不要显示该页”(Don't display this page at logon)。 2.建立一个新的用户账号 windows server 2003不支持类似于Windows XP的登录欢迎屏幕。你可以在首次进入系统后建立一个有你个性的新用户账号。 打开“开始”(Start) -> “运行”(Run) -> 键入“lusrmgr.msc ”,你将看到本地用户和组(Local Users and Groups ), 右键点击左边窗口的“用户”(Users),选择“新用户”(New User).在弹出的对话框中输入账号信息,然后点击“建立”(Great)。这样你的账号就可用了,当然,你可以选择把你的账号添加到管理员组,右键点击你新建的用户。然后选择“属性”(Properties) -> 点击“隶属于” on Member of tab -> “添加”Add.. -> “高级”Advanced -> “现在查找”Find Now 。 在查找结果对话框中双击“管理员”(Administrators),在点击两次“确定”(Ok)后关闭“本地用户和组”(Local Users and Groups window ),现在你将可以注销Administrator用户用你自己的账号登录系统。 3.禁用Internet Explorer Enhanced Security 作为新windows组件出现的IE安全插件--Internet Explorer Enhanced Security默认把你IE安全设置为最高。这样你将在访问站点弹出询问框并对你浏览网页及文件下载做出阻止的行为。我们其实不一定需要这个组件。 我们首先禁止询问框的出现,在弹出的对话框中复选”以后不要显示这个信息“ (In the future, do not show this message) 然后,我们可以在IE工具选项中自定义设置IE的安全级别。在”安全“(Security)选项卡上拉动滚动条把Internet区域安全设置为”中“(Medium),这个级别将适合大多数人,要是你有特别要求,这个步骤将不适合你。 通过对IE安全的设置,你现在安装可以上Sun's Java VM! 当然,你甚至可以在控制面板--添加程序--添加或删除Windows组件中卸载Internet Explorer Enhanced Security 。 4.安装Java VM Windows server 2003没有集成MS Java VM或Sun Java VM,你可以自行下载并安装它。 5.禁止关机事件跟踪 关机事件跟踪(Shutdown Event Tracker)也是Windows server 2003区别于其他工作站系统的一个设置,对于服务器来说这是一个必要的选择,但是对于工作站系统却没什么用,我们同样可以禁止它。 打开”开始“Start ->”运行“ Run ->输入”gpedit.msc “,在出现的窗口的左边部分,选择 ”计算机配置“(Computer Configuration )-> ”管理模板“(Administrative Templates )-> ”系统“(System),在右边窗口双击“Shutdown Event Tracker” 在出现的对话框中选择“禁止”(Disabled),点击然后“确定”(OK)保存后退出 这样,你将看到类似于windows 2000的关机窗口 6.启用硬件和DirectX加速 ★硬件加速:桌面点击右键--属性(Properties) -> 设置(Settings )--高级( Advanced )--疑难解答(Troubleshoot)。把该页面的硬件加速滚动条拉到“完全”( Full),最好点击“确定”(OK)保存退出。这期间可能出现一瞬的黑屏是完全正常。 ★DirectX加速:打开“开始”(Start) -> “运行”(Run),键入“dxdiag”并回车打开“DirectX 诊断工具”(DirectX Tools),在“显示”(Display)页面,点击DirectDraw, Direct3D and AGP Texture 加速三个按钮启用加速。 7.允许声音加速 如果你使用的是Windows server 2003标准版请从第二步xx作,因为标准版已允许声音服务。 ★打开“开始”(Start) -> “运行”(Run),键入“Services.msc ”,在出现的窗口中找到“Windows Audio”并双击它,然后在启动模式(startup type )的下拉菜单选择“自动”(Automatic),并点击“应用”(Apply) ->“开始”(Start) -> “确定”(OK) ★打开“开始”(Start) -> “运行”(Run),键入“dxdiag”并回车打开“DirectX 诊断工具”(DirectX Tools),在“Sound”(Display)页面,把“声音的硬件加速级别”(Hardware Sound Acceleration Level)滚动条拉到“完全加速”( Full Acceleration)。 8.启用桌面主题 也许你对WINDOWS经典的桌面已经感到厌烦的话,你就要考虑启用桌面主题了,Windows server 2003默认是关闭此服务的。 打开“开始”(Start) -> “运行”(Run),键入“Services.msc ”,在出现的窗口寻找Themes并双击它, 然后在启动模式(startup type )的下拉菜单选择“自动”(Automatic),并点击“应用”(Apply) ->“开始”(Start) -> “确定” 这样的xx作也是只能让你使用Windows自带的Luna主题的三个模式,假如你希望使用更多的第三方主题文件的话,你需要使用修改的Uxtheme.dll文件来支持它,关于修改的Uxtheme.dll文件,你可以http://vortex.winbeta.org/找到更多。 9.允许内置的IMAPI CD-Burning服务和支持Windows影像设备服务 ★假如你希望启用Windows内置的IMAPI CD-Burning服务。做如下xx作: 打开“开始”(Start) -> “运行”(Run),键入“Services.msc ”,在出现的窗口中找到“IMAPI CD-Burning COM Service ”并双击它,然后在启动模式(startup type )的下拉菜单选择“自动”(Automatic),并点击“应用”(Apply) ->“开始”(Start) -> “确定”(OK) ★假如你有如数码相机和扫描仪之类的影像设备,你应该打开Windows Image Acquisition 服务。 打开“开始”(Start) -> “运行”(Run),键入“Services.msc ”,在出现的窗口中找到“Windows Image Acquisition (WIA) ”并双击它,然后在启动模式(startup type )的下拉菜单选择“自动”(Automatic),并点击“应用”(Apply) ->“开始”(Start) -> “确定”(OK) 10.高级设置 我们可以修改一些windows server 2003的高级设置以适合工作站的应用环境。 ★右键点击“我的电脑”(My Computer)--属性(Properties)--高级(Advanced)--性能(Performance)--设置(Setting)--高级(Advanced),把“处理器计划”(Processor scheduling )和内存使用(Memory usage)分配给“程序”(Programs)使用。然后点击“确定”(OK.) ★禁用错误报告 右键点击“我的电脑”(My Computer)--属性(Properties)--高级(Advanced)--点击“错误报告”(Error Reporting )按钮,在出现的窗口中把“禁用错误报告”(Disable Error Reporting)选上并复选“但在发生严重错误时通知我”(But, notify me when critical errors occur.) ★调整虚拟内存 正常运行Windows所需要的虚拟内存是作为物理内存的“后备力量”而存在的,虽然运行速度上硬盘不如内存,但在容量上内存是无法与硬盘相提并论的。所以我们一直是认为虚拟内存越大越好,其实事实上并不是这样的,尤其是安装Windows server 2003用做工作站的环境下并不承担高负荷工作的情况下,我们可以试试禁用虚拟内存。前提是你必须拥有512M物理内存以上。很多朋友担心如果禁用虚拟内存会不会象在Windows 9x环境下一样造成系统无法正常待机和休眠的情况,其实不会这样的,因为从windows xp开始它的虚拟内存(即pagefile.sys)是专用于数据交换的,待机模式时数据依旧保留在物理内存中,休眠模式也有其专用的休眠文件(Hiberfil.sys),所以绝对不会出现系统无法休眠的问题。而使用Windows server 2003的一些朋友经常会对其的关机和注销缓慢感到束手无策,在此我个人的解决办法就是禁用虚拟内存,这样你的注销和关机时间可能会加快很多。我今天做了测试,在加载虚拟内存的情况下注销用户重登陆windows的时间是3秒,关机是23秒。但是在禁用虚拟内存的情况下注销重登陆的时间减少到2秒,而关机时间缩短到3秒。 右键点击“我的电脑”(My Computer)--属性(Properties)--高级(Advanced)--性能(Performance)--设置(Setting)--高级(Advanced),点击“虚拟内存”(Virtual memory)部分的“更改”(Change),然后在出现的窗口选择“无分页文件”。重启系统即可。 注意:调整虚拟内存部分经过个人测试无任何问题,但是不保证在您的机器上也是这样,所以我不对此设置造成的任何后果承担责任。只是建议对Windows server 2003关机速度有怨言的朋友尝试。 11.自动登陆 Windows Server 2003默认是使用"CTRL-ATL-DEL to login" 对话框来登陆Windows的,不过我们我们可以使用Windows XP的Tweak UI来使Server 2003自动登陆。 下载:Tweak UI http://www.ssite.org/uppic/sun_pic/...003/tweakui.exe ;; 下载后直接执行tweakui.exe 在左边的面板中选择Logon -> Autologon -> 在右边勾选Log on automatically at system startup输入你的用户名和域名(如果没有就不写) 点击下面的Set Password,输入用户名的密码,然后点击OK。 虽然同样的功能通过修改注册表也能完成,但是修改注册表的方法密码在注册表中表现的是明文,而Tweak UI在注册表中不会留下明文的密码,所以推荐使用Tweak UI来完成这项工作。 12.安装DirectX 9a 在Windows Server 2003上安装DirectX 9a和在其他版本的Windows上安装DirectX 9a的方法是一样的。安装之前先启用DirectX and Graphics Acceleration。 下载:DirectX 9.0a Websetup http://download.microsoft.com/downl.../dxwebsetup.exe ;; 13.隐藏文件 Windows Server 2003默认情况下是显示所有的文件夹的,如果你不想这样,可以通过一下方法来隐藏: 打开任意一个文件夹,选择Tools -> Folder Options -> View,选择Do not show hidden files and folders,点击OK。 在Windows Server 2003中,已经安装了Windows Media Player 9,点击Start -> Programs -> Accessories -> Entertainment -> Windows Media Player就可以打开它。
|
河马欢迎您来到小文~
|
|
|
[作者]河马 [头衔]认证会员(综) [经验]64893 [等级]大将
[发帖]381 [回帖]508 [登陆]426 [发表时间]2006/2/10 15:09:50 [8楼]
|
|
建站技术-Windows NT/2000 服务器安全设置与效率优化 现在有很多人都认为微软的东西漏洞太多,,微软的系统安全性极差,不过通过我在做各种系统的安全配置的过程中我总结出了一些经验,特拿来与各位共享,其实各种系统都有很多漏洞,只不过微软的东西用的人最多,普遍又是水平不是很高,不会作各种安全设置,所以才会让人有现在网上的NT/2000服务性安全性都很差的感觉,其实NT/2000的服务器如果真的做好了各项安全设置之后,其安全性绝对不会比nix系统差。 1.初级篇:NT/2000系统本身的定制安装与相关设置 用NT(2000)建立的WEB站点在所有的网站中占了很大一部分比例,主要因为其易用性与易管理性,使该公司不必再投入大量的金钱在服务器的管理上,这一点优于nix系统,不必请很专业的管理员,不必支付一份可以节省的高薪,呵呵,当然nix的管理员也不会失业,因为其开放源码和windows系统无与伦比的速度,使得现在几乎所有的大型服务器全部采用nix系统。但对于中小型企业来说windows已经足够,但NT的安全问题也一直比较突出,使得一些每个基于NT的网站都有一种如履薄冰的感觉,在此我给出一份安全解决方案,算是为中国的网络安全事业做出一份贡献吧 (说明:本方案主要是针对建立Web站点的NT、2000服务器安全,对于局域网内的服务器并不合适。) 一、 定制自己的NT/2000 SERVER 1. 版本的选择: WIN2000有各种语言的版本,对于我们来说,可以选择英文版或简体中文版,我强烈建议:在语言不成为障碍的情况下,请一定使用英文版。要知道,微软的产品是以Bug &Patch而著称的,中文版的Bug远远多于英文版,而补丁一般还会迟至少半个月(也就是说一般微软公布了漏洞后你的机子还会有半个月处于无保护状况) 2. 组件的定制: win2000在默认情况下会安装一些常用的组件,但是正是这个默认安装是极度危险的你应该确切的知道你需要哪些服务,而且仅仅安装你确实需要的服务,根据安全原则,最少的服务+最小的权限=最大的安全。典型的WEB服务器需要的最小组件选择是:只安装IIS的Com Files,IIS Snap-In,WWW Server组件。如果你确实需要安装其他组件,请慎重,特别是:Indexing Service, FrontPage 2000 Server Extensions, Internet Service Manager (HTML)这几个危险服务。 二、 正确安装NT/2000 SERVER 不论是NT还是2000,硬盘分区均为NTFS分区; 说明: (1) NTFS比FAT分区多了安全控制功能,可以对不同的文件夹设置不同的访问权限,安全性增强。 (2) 建议最好一次性全部安装成NTFS分区,而不要先安装成FAT分区再转化为NTFS分区,这样做在安装了SP5和SP6的情况下会导致转化不成功,甚至系统崩溃。 (3) 安装NTFS分区有一个潜在的危险,就是目前大多数反病毒软件没有提供对软盘启动后NTFS分区病毒的查杀,这样一旦系统中了恶性病毒而导致系统不能正常启动,后果就比较严重,因此及建议平时做好防病毒工作。 (4)分区和逻辑盘的分配 有一些朋友为了省事,将硬盘仅仅分为一个逻辑盘,所有的软件都装在C驱上,这是很不好的,建议最少建立两个分区,一个系统分区,一个应用程序分区,这是因为,微软的IIS经常会有泄漏源码/溢出的漏洞,如果把系统和IIS放在同一个驱动器会导致系统文件的泄漏甚至入侵者远程获取ADMIN。推荐的安全配置是建立三个逻辑驱动器,第一个大于2G,用来装系统和重要的日志文件,第二个放IIS,第三个放FTP,这样无论IIS或FTP出了安全漏洞都不会直接影响到系统目录和系统文件。要知道,IIS和FTP是对外服务的,比较容易出问题。而把IIS和FTP分开主要是为了防止入侵者上传程序并从IIS中运行。 (5)安装顺序的选择: win2000在安装中有几个顺序是一定要注意的: 首先,何时接入网络:Win2000在安装时有一个漏洞,在你输入Administrator密码后,系统就建立了ADMIN$的共享,但是并没有用你刚刚输入的密码来保护它,这种情况一直持续到你再次启动后,在此期间,任何人都可以通过ADMIN$进入你的机器;同时,只要安装一完成,各种服务就会自动运行,而这时的服务器是满身漏洞,非常容易进入的,因此,在完全安装并配置好win2000 SERVER之前,一定不要把主机接入网络。 其次,补丁的安装:补丁的安装应该在所有应用程序安装完之后,因为补丁程序往往要替换/修改某些系统文件,如果先安装补丁再安装应用程序有可能导致补丁不能起到应有的效果,例如:IIS的HotFix就要求每次更改IIS的配置都需要安装 三、 安全配置NT/2000 SERVER 即使正确的安装了WIN2000 SERVER,系统还是有很多的漏洞,还需要进一步进行细致地配置。 1.端口: 端口是计算机和外部网络相连的逻辑接口,也是计算机的第一道屏障,端口配置正确与否直接影响到主机的安全,一般来说,仅打开你需要使用的端口会比较安全,配置的方法是在网卡属性-TCP/IP-高级-选项-TCP/IP筛选中启用TCP/IP筛选,不过对于win2000的端口过滤来说,有一个不好的特性:只能规定开哪些端口,不能规定关闭哪些端口,这样对于需要开大量端口的用户就比较痛苦。 2.IIS: IIS是微软的组件中漏洞最多的一个,平均两三个月就要出一个漏洞,而微软的IIS默认安装又实在不敢恭维,所以IIS的配置是我们的重点,现在大家跟着我一起来:首先,把C盘那个什么Inetpub目录彻底删掉,在D盘建一个Inetpub(要是你不放心用默认目录名也可以改一个名字,但是自己要记得)在IIS管理器中将主目录指向D:\Inetpub;其次,那个IIS安装时默认的什么scripts等虚拟目录一概删除,如果你需要什么权限的目录可以自己慢慢建,需要什么权限开什么。(特别注意写权限和执行程序的权限,没有绝对的必要千万不要给)第三,应用程序配置:在IIS管理器中删除必须之外的任何无用映射,必须指的是ASP,ASA和其他你确实需要用到的文件类型,例如你用到stml等(使用server side include),实际上90%的主机有了上面两个映射就够了,其余的映射几乎每个都有一个凄惨的故事:htw, htr, idq, ida……想知道这些故事?去查以前的漏洞列表吧。在IIS管理器中右击主机->属性->WWW服务 编辑->主目录配置->应用程序映射,然后就开始一个个删吧(里面没有全选的,嘿嘿)。接着在刚刚那个窗口的应用程序调试书签内将脚本错误消息改为发送文本(除非你想ASP出错的时候用户知道你的程序/网络/数据库结构)错误文本写什么?随便你喜欢,自己看着办。点击确定退出时别忘了让虚拟站点继承你设定的属性。安装新的Service Pack后,IIS的应用程序映射应重新设置。(说明:安装新的Service Pack后,某些应用程序映射又会出现,导致出现安全漏洞。这是管理员较易忽视的一点。) 为了对付日益增多的cgi漏洞扫描器,还有一个小技巧可以参考,在IIS中将HTTP404 Object Not Found出错页面通过URL重定向到一个定制HTM文件,可以让目前绝大多数CGI漏洞扫描器失灵。其实原因很简单,大多数CGI扫描器在编写时为了方便,都是通过查看返回页面的HTTP代码来判断漏洞是否存在的,例如,著名的IDQ漏洞一般都是通过取1.idq来检验,如果返回HTTP200,就认为是有这个漏洞,反之如果返回HTTP404就认为没有,如果你通过URL将HTTP404出错信息重定向到HTTP404.htm文件,那么所有的扫描无论存不存在漏洞都会返回HTTP200,90%的CGI扫描器会认为你什么漏洞都有,结果反而掩盖了你真正的漏洞,让入侵者茫然无处下手,不过从个人角度来说,我还是认为扎扎实实做好安全设置比这样的小技巧重要的多。 最后,为了保险起见,你可以使用IIS的备份功能,将刚刚的设定全部备份下来,这样就可以随时恢复IIS的安全配置。还有,如果你怕IIS负荷过高导致服务器满负荷死机,也可以在性能中打开CPU限制,例如将IIS的最大CPU使用率限制在70%。 3.帐号策略: (1)帐号尽可能少,且尽可能少用来登录; 说明:网站帐号一般只用来做系统维护,多余的帐号一个也不要,因为多一个帐号就会多一份被攻破的危险。 (2)除过Administrator外,有必要再增加一个属于管理员组的帐号; 说明:两个管理员组的帐号,一方面防止管理员一旦忘记一个帐号的口令还 有一个备用帐号;另方面,一旦黑客攻破一个帐号并更改口令,我们还有 有机会重新在短期内取得控制权。 (3)所有帐号权限需严格控制,轻易不要给帐号以特殊权限; (4)将Administrator重命名,改为一个不易猜的名字。其他一般帐号也应尊循这一原则。 说明:这样可以为黑客攻击增加一层障碍。 (5)将Guest帐号禁用,同时重命名为一个复杂的名字,增加口令,并将它从 Guest组删掉; 说明:有的黑客工具正是利用了guest 的弱点,可以将帐号从一般用户提 升到管理员组。 (6)给所有用户帐号一个复杂的口令(系统帐号出外),长度最少在8位以上, 且必须同时包含字母、数字、特殊字符。同时不要使用大家熟悉的单词(如microsoft)、熟悉的键盘顺序(如qwert)、熟悉的数字(如2000)等。 说明:口令是黑客攻击的重点,口令一旦被突破也就无任何系统安全可言了,而这往往是不少网管所忽视的地方,据我们的测试,仅字母加数字的5位口令在几分钟内就会被攻破,而所推荐的方案则要安全的多。 (7)口令必须定期更改(建议至少两周该一次),且最好记在心里,除此以外不要在任何地方做记录;另外,如果在日志审核中发现某个帐号被连续尝试,则必须立刻更改此帐号(包括用户名和口令); (8)在帐号属性中设立锁定次数,比如改帐号失败登录次数超过5次即锁定改帐号。这样可以防止某些大规模的登录尝试,同时也使管理员对该帐号提高警惕。 4.安全日志: Win2000的默认安装是不开任何安全审核的! 那么请你到本地安全策略->审核策略中打开相应的审核,推荐的审核是: 账户管理 成功 失败 登录事件 成功 失败 对象访问 失败 策略更改 成功 失败 特权使用 失败 系统事件 成功 失败 目录服务访问 失败 账户登录事件 成功 失败 审核项目少的缺点是万一你想看发现没有记录那就一点都没辙;审核项目太多不仅会占用系统资源而且会导致你根本没空去看,这样就失去了审核的意义。 与之相关的是: 在账户策略->密码策略中设定: 密码复杂性要求 启用 密码长度最小值 6位 强制密码历史 5次 最长存留期 30天 在账户策略->账户锁定策略中设定: 账户锁定 3次错误登录 锁定时间 20分钟 复位锁定计数 20分钟 同样,Terminal Service的安全日志默认也是不开的,我们可以在Terminal Service Configration(远程服务配置)-权限-高级中配置安全审核,一般来说只要记录登录、注销事件就可以了。 5.目录和文件权限: 为了控制好服务器上用户的权限,同时也为了预防以后可能的入侵和溢出,我们还必须非常小心地设置目录和文件的访问权限,NT的访问权限分为:读取、写入、读取及执行、修改、列目录、完全控制。在默认的情况下,大多数的文件夹对所有用户(Everyone这个组)是完全敞开的(Full Control),你需要根据应用的需要进行权限重设。 在进行权限控制时,请记住以下几个原则: 1>限是累计的:如果一个用户同时属于两个组,那么他就有了这两个组所允许的所有权限; 2>拒绝的权限要比允许的权限高(拒绝策略会先执行)如果一个用户属于一个被拒绝访问某个资源的组,那么不管其他的权限设置给他开放了多少权限,他也一定不能访问这个资源。所以请非常小心地使用拒绝,任何一个不当的拒绝都有可能造成系统无法正常运行; 3>文件权限比文件夹权限高 4>利用用户组来进行权限控制是一个成熟的系统管理员必须具有的优良习惯之一; 5>仅给用户真正需要的权限,权限的最小化原则是安全的重要保障; 6.只安装一种操作系统; 说明:安装两种以上操作系统,会给黑客以可乘之机,利用攻击使系统重启到另外一个没有安全设置的操作系统(或者他熟悉的操作系统),进而进行破坏。 7.安装成独立的域控制器(Stand Alone),选择工作组成员,不选择域; 说明:主域控制器(PDC)是局域网中队多台联网机器管理的一种方式,用于网站服务器包含着安全隐患,使黑客有可能利用域方式的漏洞攻击站点服务器。 8.将操作系统文件所在分区与WEB数据包括其他应用程序所在的分区分开,并在安装时最好不要使用系统默认的目录,如将\WINNT改为其他目录; 说明:黑客有可能通过WEB站点的漏洞得到操作系统对操作系统某些程序的执行权限,从而造成更大的破坏。同时如果采用IIS的话你应该在其设置中删除掉所有的无用的映射,同时不要安装索引服务,远程站点管理与服务器扩展最好也不要要,然后删掉默认路径下的www,整个删,不要手软,然后再硬盘的另一个硬盘建立存放你网站的文件夹,同时一定记得打开w3c日志纪录,切记(不过本人建议采用apache 1.3.24) 系统安装过程中一定本着最小服务原则,无用的服务一概不选择,达到系统的最小安装,多一个服务,多一份风险,呵呵,所以无用组件千万不要安装! 9.关于补丁:在NT下,如果安装了补丁程序,以后如果要从NT光盘上安装新的Windows程序,都要重新安装一次补丁程序, 2000下不需要这样做。 说明: (1) 最新的补丁程序,表示系统以前有重大漏洞,非补不可了,对于局域网内服务器可以不是最新的,但站点必须安装最新补丁,否则黑客可能会利用低版本补丁的漏洞对系统造成威胁。这是一部分管理员较易忽视的一点; (2) 安装NT的SP5、SP6有一个潜在威胁,就是一旦系统崩溃重装NT时,系统将不会认NTFS分区,原因是微软在这两个补丁中对NTFS做了改进。只能通过Windows 2000安装过程中认NTFS,这样会造成很多麻烦,建议同时做好数据备份工作。 (3) 安装Service Pack前应先在测试机器上安装一次,以防因为例外原因导致机器死机,同时做好数据备份。 尽量不安装与WEB站点服务无关的软件; 说明:其他应用软件有可能存在黑客熟知的安全漏洞。 10.解除NetBios与TCP/IP协议的绑定 说明:NetBois在局域网内是不可缺少的功能,在网站服务器上却成了黑客扫描工具的首选目标。方法:NT:控制面版——网络——绑定——NetBios接口——禁用 2000:控制面版——网络和拨号连接——本地网络——属性——TCP/IP——属性——高级——WINS——禁用TCP/IP上的NETBIOS 11.删除所有的网络共享资源,在网络连接的设置中删除文件和打印共享,只留下TCP/IP协议 说明:NT与2000在默认情况下有不少网络共享资源,在局域网内对网络管理和网络通讯有用,在网站服务器上同样是一个特大的安全隐患。(卸载“Microsoft 网络的文件和打印机共享”。当查看“网络和拨号连接”中的任何连接属性时,将显示该选项。单击“卸载”按钮删除该组件;清除“Microsoft 网络的文件和打印机共享”复选框将不起作用。) 方法: (1)NT:管理工具——服务器管理器——共享目录——停止共享; 2000:控制面版——管理工具——计算及管理——共享文件夹———停止共享 但上述两种方法太麻烦,服务器每重启一次,管理员就必须停止一次 (2)修改注册表: 运行Regedit,然后修改注册表在HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters下增加一个键 Name: AutoShareServer Type: REG_DWORD Value: 0 然后重新启动您的服务器,磁盘分区共享去掉,但IPC共享仍存在,需每次重启后手工删除。 12.改NTFS的安全权限; 说明:NTFS下所有文件默认情况下对所有人(EveryOne)为完全控制权限,这使黑客有可能使用一般用户身份对文件做增加、删除、执行等操作,建议对一般用户只给予读取权限,而只给管理员和System以完全控制权限,但这样做有可能使某些正常的脚本程序不能执行,或者某些需要写的操作不能完成,这时需要对这些文件所在的文件夹权限进行更改,建议在做更改前先在测试机器上作测试,然后慎重更改。 13.加强数据备份; 说明:这一点非常重要,站点的核心是数据,数据一旦遭到破坏后果不堪设想,而这往往是黑客们真正关心的东西;遗憾的是,不少网管在这一点上作的并不好,不是备份不完全,就是备份不及时。数据备份需要仔细计划,制定出一个策略并作了测试以后才实施,而且随着网站的更新,备份计划也需要不断地调整。 14.只保留TCP/IP协议,删除NETBEUI、IPX/SPX协议; 说明:网站需要的通讯协议只有TCP/IP,而NETBEUI是一个只能用于局域网的协议,IPX/SPX是面临淘汰的协议,放在网站上没有任何用处,反而会被某些黑客工具利用。 15.不要起用IP转发功能,控制面板->网络->协议->TCP/IP协议->属性,使这个选框为空。(NT) 说明:缺省情况下,NT的IP转发功能是禁止的,但注意不要启用,否则它会具有路由作用,被黑客利用来对其他服务器进行攻击。 16.安装最新的MDAChttp://www.microsoft.com/data/download.htm) 说明:MDAC为数据访问部件,通常程序对数据库的访问都通过它,但它也是黑客攻击的目标,为防止以前版本的漏洞可能会被带入升级后的版本,建议卸载后安装最新的版本。注意:在安装最新版本前最好先做一下测试,因为有的数据访问方式或许在新版本中不再被支持,这种情况下可以
|
河马欢迎您来到小文~
|
|
|
[作者]河马 [头衔]认证会员(综) [经验]64893 [等级]大将
[发帖]381 [回帖]508 [登陆]426 [发表时间]2006/2/10 15:10:20 [9楼]
|
|
IIS安全工具及其使用说明 一、IIS Lock Tool,快速设置IIS安全属性 IIS Lock Tool的推出,还要感谢红色代码,因为正是红色代码的大面积传播,致使微软设计发布这款帮助管理员们设置IIS安全性的工具。 (一)、IIS Lock Tool具有以下功能和特点 1、最基本功能,帮助管理员设置IIS安全性; 2、此工具可以在IIS4和IIS5上使用; 3、即使系统没有及时安装所有补丁,也能有效防止IIS4和IIS5的已知漏洞; 4、帮助管理员去掉对本网站不必要的一些服务,使IIS在满足本网站需求的情况下运行最少的服务; 5、具有两种使用模式:快捷模式和高级模式。快捷模式直接帮助管理员设置好IIS安全性,这种模式只适合于只有HTML和HTM静态网页的网站使用,因为设置完成以后,ASP不能运行;高级模式允许管理员自己设置各种属性,设置得当,对IIS系统任何功能均没有影响。 (二)、IIS Lock Tool的使用 1、软件下载和安装 IIS Lock Tool在微软网站下载,下载地址: http://www.microsoft.com/Downloads/...ReleaseID=32362 安装很简单,需要注意的是,安装以后,程序不会在系统的【程序】菜单出现,也不会在【管理工具】出现,需要安装者在安装目录寻找运行该程序。 2、软件的使用 在以下的介绍中,我们将详细介绍每一步设置的意义和推荐设置,之所以详细介绍,是为了我们明白这些设置到底意味着什么,同时,和我们原来的安全设置相对照,避免出现设置完成以后,系统出现障碍。 1)Disable support Active Server Pages(ASP),选择这种设置将使IIS不支持ASP功能;可以根据网站具体情况选择,一般不选择此项,因为网站一般要求运行ASP程序; 2)Disable support Index Server Web Interface(.idq,.htw,.ida),选择这一项将不支持索引服务,具体就是不支持.idq,.htw,.ida这些文件。我们先来看看到底什么是索引服务,然后来决定取舍。索引服务是IIS4中包含的内容索引引擎。你可以对它进行ADO调用并搜索你的站点,它为你提供了一个很好的web 搜索引擎。如果你的网站没有利用索引服务对网站进行全文检索,也就可以取消网站的这个功能,取消的好处是:1)减轻系统负担;2)有效防止利用索引服务漏洞的病毒和黑客,因为索引服务器漏洞可能使攻击者控制网站服务器,同时,暴露网页文件在服务器上的物理位置(利用.ida、.idq)。因此,我们一般建议在这一项前面打勾,也就是取消索引服务; 3)Disable support for Server Side Includes(.shtml,.shtm,.stm),取消服务器端包含;先来看看什么叫服务器端包含,SSI就是HTML文件中,可以通过注释行调用的命令或指针。SSI 具有强大的功能,只要使用一条简单的SSI 命令就可以实现整个网站的内容更新,动态显示时间和日期,以及执行shell和CGI脚本程序等复杂的功能。一般而言,我们没有用到这个功能,所以,建议取消;取消可以防止一些IIS潜在地漏洞; 4)Disable for Internet Data Connector(.idc),取消Internet数据库连接;先看Internet数据库连接的作用,它允许HTML页面和后台数据库建立连接,实现动态页面。需要注意的是,IIS4和IIS5中基本已经不使用idc,所以,建议在此项打勾,取消idc; 5)Disable support for Internet Printing (.printer),取消Internet打印;这一功能我们一般没有使用,建议取消;取消的好处是可以避免.printer远程缓存溢出漏洞,这个漏洞使攻击者可以利用这个漏洞远程入侵IIS 服务器,并以系统管理员(system)身份执行任意命令; 6)Disable support for .HTR Scripting(.htr),取消htr映射;攻击者通过htr构造特殊的URL请求,可能导致网站部分文件源代码暴露(包括ASP),建议在此项前面打勾,取消映射; 理解以上各项设置以后,我们可以根据本网站情况来决定取舍,一般网站除了ASP要求保留以外,其他均可以取消,也就是全消第一项前面的勾,其他全部打勾,按【下一步】按钮 1)Remove sample web files,删除web例子文件;建议删除,因为一般我们不需要在服务器上阅读这些文件,而且,这些文件可能让攻击者利用来阅读部分网页源程序代码(包括ASP); 2)Remove the Scripts vitual directory,删除脚本虚拟目录;建议删除; 3)Remove the MSDAC virtual directory,删除MSDAC虚拟目录,建议删除; 4)Disable Distribauted Authoring and Versioning(WebDAV),删除WEBDAV,WebDav主要允许管理者远程编写和修改页面,一般我们不会用到,建议删除,删除的好处是可以避免IIS5的一个WebDav漏洞,该漏洞可能导致服务器停止。 5)Set file permissions to prevent the IIS anouymous user from executing system utilities(such as cmd.exe,tftp.exe),防止匿名用户运行可执行文件,比如cmd.exe和tftp.exe;建议选择此项,因为红色代码和尼姆达均利用了以上所说的匿名执行可执行文件的功能; 6)Set file permissions to prevent the IIS anouymous user from writing to content directories,防止匿名用户对目录具有写权限,这个不要解释,建议选择; 设置以上选项以后,按【下一步】按钮 要求确认是否接受以上设置,选择【是】 二、URLScan Tool――过滤非法URL访问 仔细观察IIS的漏洞,我们几乎可以得出这样一个结论,所有利用这些漏洞实现对网站攻击的手段均是构造特殊的URL来访问网站,一般有以下几种类型的URL可以利用漏洞: 1、特别长的URL,比如红色代码攻击网站的URL就是这样: GET/default.idaXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX%u9090%u6858%ucbd3%u7801%u 9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%u7801%u9090%u9090%u8190%u 00c3%u0003%u8b00%u531b%u53ff%u0078%u0000%u00=a 200; 2、特殊字符或者字符串的URL,比如在URL后面加::$DATA可以看到网页(ASP)源代码; 3、URL中含有可执行文件名,最常见的就是有cmd.exe; 既然这些攻击利用特殊的URL来实现,所以,微软提供了这款专门过滤非法URL的安全工具,可以达到御敌于国门之外的效果,这款工具有以下特点和功能: 1、基本功能:过滤非法URL请求; 2、设定规则,辨别那些URL请求是合法的;这样,就可以针对本网站来制定专门的URL请求规则;同时,当有新的漏洞出现时,可以更改这个规则,达到防御新漏洞的效果; 3、程序提供一套URL请求规则,这个规则包含已经发现的漏洞利用特征,帮助管理员设置规则; (一)、软件的下载与安装 URLScan可以在微软的网站上下载,地址如下: http://download.microsoft.com/downl...-US/UrlScan.exe 和一般软件一样安装,但是,此软件不能选择安装路径,安装完成以后,我们可以在System32/InetSvr/URLScan目录下找到以下文件: urlscan.dll:动态连接库文件; urlscan.inf:安装信息文件; urlscan.txt:软件说明文件; urlscan.ini:软件配置文件,这个文件很只要,因为对URLScan的所有配置,均有这个文件来完成。 (二)、软件的配置 软件的配置由urlscan.ini文件来完成,在配置此文件以前,我们需要了解一些基本知识。 1、urlscan配置文件的构造形式 urlscan配置文件必须遵从以下规则: (1)此文件名必须为urlscan.ini; (2)配置文件必须和urlscan.dll在同一目录; (3)配置文件必须是标准ini文件结构,也就是由节,串和值组成; (4)配置文件修改以后,必须重新启动IIS,使配置生效; (5)配置文件由以下各节组成: [Option]节,主要设置节; [AllowVerbs]节,配置认定为合法URL规则设定,此设定与Option节有关; [DenyVerbs]节,配置认定为非法URL规则设定,此设定与Option节有关; [DenyHeaders]节,配置认定为非法的header在设立设置; [AllowExtensions]节,配置认定为合法的文件扩展名在这里设置,此设定与Option节有关; [DenyExtensions]节,配置认定为非法的文件扩展名在这里设置,此设定与Option节有关; 2、具体配置 (1)Option节的配置,因为Option节的设置直接影响到以后的配置,因此,这一节的设置特别重要。此节主要进行以下属性的设置: UseAllowVerbs:使用允许模式检查URL请求,如果设置为1,所有没有在[AllowVerbs]节设置的请求都被拒绝;如果设置为0,所有没有在[DenyVerbs]设置的URL请求都认为合法;默认为1; UseAllowExtensions:使用允许模式检测文件扩展名;如果设置为 1,所有没在[AllowExtensions]节设置的文件扩展名均认为是非法请求;如果设置为0,所有没在[DenyExtensions]节设置的扩展名均被认为是合法请求;默认为0; EnableLogging:是否允许使用Log文件,如果为1,将在urlscan.dll的相同目录设置名为urlscan.log的文件记录所有过滤; AllowLateScanning:允许其他URL过滤在URLScan过滤之前进行,系统默认为不允许0; AlternateServerName:使用服务名代替;如果此节存在而且[RemoveServerHeader]节设置为0,IIS将在这里设置的服务器名代替默认的“Server”; NormalizeUrlBeforeScan:在检测URL之前规格化URL;如果为1,URLScan将在IIS编码URL之前URL进行检测;需要提醒的是,只有管理员对URL解析非常熟悉的情况下才可以将其设置为0;默认为1; VerifyNormalization:如果设置为1,UrlScan将校验URL规则,默认为1;此节设定与NormalizeUrlBeforeScan有关; AllowHighBitCharacters:如果设置为1,将允许URL中存在所有字节,如果为0,含有非ASCII字符的URL将拒绝;默认为1; AllowDotInPath:如果设置为1,将拒绝所有含有多个“.”的URL请求,由于URL检测在IIS解析URL之前,所以,对这一检测的准确性不能保证,默认为0; RemoveServerHeader:如果设置为1,将把所有应答的服务头清除,默认为0; (2)[AllowVerbs]节配置 如果UseAllowVerbs设置为1,此节设置的所有请求将被允许,一般设置以下请求: GET、HEAD、POST (3)[DenyVerbs]节配置 如果UseAllowVerbs设置为0,此节设置的所有请求将拒绝,一般设置以下请求: PROPFIND、PROPPATCH、MKCOL、DELETE、PUT、COPY、MOVE、LOCK、UNLOCK (4)[AllowExtensions]节设置 在这一节设置的所有扩展名文件将被允许请求,一般设置以下请求: .asp、.htm、.html、.txt、.jpg、.jpeg、.gif,如果需要提供文件下载服务,需要增加.rar、.zip (5)[DenyExtensions]节设置 在这一节设置的所有扩展名文件请求将被拒绝,根据已经发现的漏洞,我们可以在这一节增加内容,一般为以下设置: .asa、可执行文件、批处理文件、日志文件、罕见扩展如:shtml、.printer等。 三、总结 以上两个工具功能强大,可以真正实现对IIS的保护。IIS Lock Tool简单,相对而言,只是被动的防卫;UrlScan设置比较难,建议对IIS非常熟悉的管理员使用,只要设置得当,UrlScan的功能更加强大。在使用UrlScan的时候,切记不要设置一次万事大吉,需要不停跟踪新出现的漏洞,随时修改URLScan的配置文件。 3。高级篇:NT/2000的高级安全设置 1.禁用空连接,禁止匿名获得用户名列表 Win2000的默认安装允许任何用户通过空用户得到系统所有账号/共享列表,这个本来是为了方便局域网用户共享文件的,但是一个远程用户也可以得到你的用户列表并使用暴力法破解用户密码。很多朋友都知道可以通过更改注册表Local_Machine\System\CurrentControlSet\Control\LSA-RestrictAnonymous = 1来禁止139空连接,实际上win2000的本地安全策略(如果是域服务器就是在域服务器安全和域安全策略中)就有这样的选项RestrictAnonymous(匿名连接的额外限制),这个选项有三个值: 0:None. Rely on default permissions(无,取决于默认的权限 1 :Do not allow enumeration of SAM accounts and shares(不允许枚举SAM帐号和共享) 2:No access without explicit anonymous permissions(没有显式匿名权限就不允许访问) 0这个值是系统默认的,什么限制都没有,远程用户可以知道你机器上所有的账号、组信息、共享目录、网络传输列表(NetServerTransportEnum等等,对服务器来说这样的设置非常危险。 1这个值是只允许非NULL用户存取SAM账号信息和共享信息。 2这个值是在win2000中才支持的,需要注意的是,如果你一旦使用了这个值,你的共享估计就全部完蛋了,所以我推荐你还是设为1比较好。 好了,入侵者现在没有办法拿到我们的用户列表,我们的账户安全了 2。禁止显示上次登陆的用户名HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\winlogon项中的Don’t Display Last User Name串数据改成1,这样系统不会自动显示上次的登录用户名。将服务器注册表HKEY_LOCAL_ MACHINE\SOFTWARE\Microsoft\ WindowsNT\CurrentVersion\Winlogon项中的Don't Display Last User Name串数据修改为1,隐藏上次登陆控制台的用户名。其实,在2000的本地安全策略中也存在该选项 Winnt4.0修改注册表: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\Current Version\Winlogon 中增加DontDisplayLastUserName,将其值设为1。 2.预防DoS: 在注册表HKLM\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters中更改以下值可以帮助你防御一定强度的DoS攻击 SynAttackProtect REG_DWORD 2 EnablePMTUDiscovery REG_DWORD 0 NoNameReleaseOnDemand REG_DWORD 1 EnableDeadGWDetect REG_DWORD 0 KeepAliveTime REG_DWORD 300,000 PerFORMRouterDiscovery REG_DWORD 0 EnableICMPRedirects REG_DWORD 0 在Win2000中如何关闭ICMP(Ping) 3.针对ICMP攻击 ICMP的全名是Internet Control and Message Protocal即因特网控制消息/错误报文协议,这个协议主要是用来进行错误信息和控制信息的传递,例如著名的Ping和Tracert工具都是利用ICMP协议中的ECHO request报文进行的(请求报文ICMP ECHO类型8代码0,应答报文ICMP ECHOREPLY类型0代码0)。 ICMP协议有一个特点---它是无连结的,也就是说只要发送端完成ICMP报文的封装并传递给路由器,这个报文将会象邮包一样自己去寻找目的地址,这个特点使得ICMP协议非常灵活快捷,但是同时也带来一个致命的缺陷---易伪造(邮包上的寄信人地址是可
|
河马欢迎您来到小文~
|
|
|
[作者]河马 [头衔]认证会员(综) [经验]64893 [等级]大将
[发帖]381 [回帖]508 [登陆]426 [发表时间]2006/2/10 15:10:37 [10楼]
|
|
建站技术-SERV-U FTP鲜为人知的技巧 现在很多的朋友都用SERV-U做个人FTP的服务器,有关如何使用SERV-U架设服务器的文章很多了,这儿我就不多说了。不过大家不知道注意到了没有,当你登陆很多FTP的时候,会显示一些欢迎信息,比如说显示你的IP,告诉你目前有多少人在使用FTP,带宽是多少等等。。。看起来就比较的专业样子。其实你自己也是可以做的,SERV-U这个软件本身就有这个功能。下面我就说明以下如何在自己的FTP里面加上这些信息。 第一、先建立一个文本文件,随便取一个名字。我们这儿就取message.txt吧。 第二、这个这个文本文件里面加上这些文字 ------------------------------------ 欢迎来到XXX的FTP服务器 你的IP地址是:%IP 目前服务器所在的时间是 %time 已经有 %u24h 个用户在最近24小时访问过本FTP 本FTP服务器已经运行了 %ServerDays 天,%ServerHours 小时 和 %ServerMins 分。 服务器的运行情况: 所有登陆用户数量: %loggedInAll total 当前登陆用户数量: %Unow 已经下载字节数: %ServerKbDown Kb 已经上传字节数: %ServerKbUp Kb 已经下载文件数: %ServerFilesDown 已经上传文件数: %ServerFilesUp 服务器平均带宽: %ServerAvg Kb/sec 服务器当前带宽: %ServerKBps Kb/sec ------------------------------------ 其中XXX可以改成你的名字 你也可以加上一些你自己认为喜欢的文字,不过要注意的是每行最好不要超过80个字符 其中以%开头的都是一些变量,下面是SERV-U能支持的变量 时间和*期 %Time - 显示你的计算机当前时间 %Date - 显示你的计算机当前*期 服务器的统计信息 %ServerDays - 显示服务器已经运行的天数 %ServerHours - 显示服务器已经运行的小时数 %ServerMins - 显示服务器已经运行的分钟数 %ServerSecs - 显示服务器已经运行的秒数 %ServerKbUp - 显示自从服务器运行以来已经上传的字节数 %ServerKbDown - 显示自从服务器运行以来已经下载的字节数 %ServerFilesUp - 显示自从服务器运行以来已经上传的文件数 %ServerFilesDown - 显示自从服务器运行以来已经下载的文件数 %LoggedInAll - 显示自从服务器运行以来已经登陆的用户数 %ServerAvg - 显示服务器的平均带宽 %ServerKBps - 显示服务器的当前带宽 服务器的设定信息 %MaxUsers - 显示服务器能同时登陆的最大用户数量 %MaxAnonymous - 显示服务器能同时登陆的最大匿名用户数量 用户信息 %Name - 显示登陆的用户名 %IP - 显示登陆的用户IP地址 %Dir - 显示登陆的用户的当前目录 %Disk - 显示登陆的用户的当前磁盘 %DFree - 显示登陆的用户的当前磁盘空间,单位是MB %FUp - 显示登陆的用户上传的文件数量 %FDown - 显示登陆的用户下载的文件数量 %FTot - 显示登陆的用户上传和下载的总的文件数量 %BUp - 显示登陆的用户上传的字节数,单位是KB %Bdown - 显示登陆的用户下载的字节数,单位是KB %BTot - 显示登陆的用户上传和下载的总字节数,单位是KB %TconM - 显示登陆用户连接时间,单位是分钟 %TconS - 显示登陆用户连接时间,单位是秒,要和%TconM一起使用 %RatioUp - 显示登陆用户的上传流量限制 %RatioDown - 显示登陆用户的下载流量限制 %RatioCredit - 显示登陆用户还有多少credit可以上传和下载,这个是针对有些FTP是要上传多少文件,才能下载多少文件而设置的 %QuotaUsed - 显示登陆用户的已经使用了多少空间,单位是KB %QuotaLeft - 显示登陆用户的还有多少空间可以使用,单位是KB %QuotaMax - 显示登陆用户的的最大空间,单位是KB 后面3个是针对有磁盘限制的用户设置的 用户数量 %UNow - 显示当前有多少用户连接 %UAll - 显示从服务器运行以来一共有多少用户连接过 %U24h - 显示最近24小时有多少用户 %UAnonAll - 显示当前总的匿名用户数量 %UAnonThisIP - 显示所有匿名登陆的用户数 %UNonAnonAll - 显示所有当前非匿名登陆用户数 %UNonAnonThisIP - 显示所有非匿名登陆用户数 %UThisName - 显示所有使用这个名字登陆的用户数 自己在先建立一个.txt文件,输入你想要显示的文字,具体参数看上面的内容,然后在Serv_u内的server设置里面,加入这个.txt文件就可以了! 下面我已经做了几个!喜欢就把名字等改改OK了!呵呵 ------------------------------------ 欢迎来到***A 网***的FTP服务器 你的IP地址是:%IP 目前服务器所在的时间是 %time 已经有 %u24h 个用户在最近24小时访问过本FTP 本FTP服务器已经运行了 %ServerDays 天,%ServerHours 小时 和 %ServerMins 分。 服务器的运行情况: 所有登陆用户数量: %loggedInAll total 当前登陆用户数量: %Unow 已经下载字节数: %ServerKbDown Kb 已经上传字节数: %ServerKbUp Kb 已经下载文件数: %ServerFilesDown 已经上传文件数: %ServerFilesUp 服务器平均带宽: %ServerAvg Kb/sec 服务器当前带宽: %ServerKBps Kb/sec ------------------------------------ 你的信息 用户名: %Name IP地址: %IP 当前目录: %Dir 当前磁盘: %Disk 磁盘空间:%DFree 连接时间: %TconM 分 和 %TconS 秒 上传流量限制: %RatioUp 下载流量限制: %RatioDown ------------------------------------ ★★★★★★★★★★★★★★★★★★★★★★★★★ 来自%IP的朋友您好,欢迎来到+a网+的个人FTP服务器 本地时间是%Date %Time 服务器已连续工作:%ServerDays天%ServerHours小时%ServerMins分%ServerSecs秒 本站开通以来已接通%UAll位使用者。 过去24小时总共有%U24h次连接。 匿名用户上限为%MaxAnonymous人。每个ip只能开两个进程 目前有%UNow位使用者在线。 其中匿名用户有%UAnonAll人在线。 ★★★★★★★★★★★★★★★★★★★★★★★★★ 自本站开通以来共上传/下载 |%ServerKbUpKB/%ServerKbDownKB 自本站开通以来共上传/下载 |%ServerFilesUp个/%ServerFilesDown个 服务器当前流量|%ServerKBps Kb/sec 服务器平均流量|%ServerAvg Kb/sec ★★★★★★★★★★★★★★★★★★★★★★★★★ 你目前的空间容量为 |%QuotaMax/KB 你目前总共使用了 |%QuotaUsed/KB 你目前的空间剩余 |%QuotaLeft/KB ★★★★★★★★★★★★★★★★★★★★★★★★★
|
河马欢迎您来到小文~
|
|
|
|
|