win2K下配置asp+cgi+php+mysql全攻略

安裝win2K,安裝IIS
    Indexing Service,
    FrontPage 2000 Server Extensions,
    Internet Service Manager (HTML)
    這幾個(gè)別裝，還有其它的一些，總之不用的都別裝。
    (根據(jù)安全原則，最少的服務(wù)+最小的權(quán)限=的安全。)
    首先，打開internet管理器（開始-->程序-->管理-->Internet服務(wù)管理）
    如果照上面所安裝的，里面有一個(gè)默認(rèn)站點(diǎn)和一個(gè)smtp的服務(wù)項(xiàng)
    選默認(rèn)站點(diǎn)，刪除其下面的所有目錄。(按你鍵盤上的delete鍵)
    停掉iis，最簡單的方法：開始-->運(yùn)行-->打入net stop iisadmin　 選擇Y回車 (啟動(dòng)的命令是：net start w3svc)
    把C盤的Inetpub目錄徹底刪掉(停掉iis后才能刪)，在其它盤新建一個(gè)目錄
    在IIS管理器中將默認(rèn)站點(diǎn)的主目錄指向剛才新建的目錄
    如果你需要什么權(quán)限的目錄可以自己慢慢建，需要什么權(quán)限開什么。
    (特別注意寫權(quán)限和執(zhí)行程序的權(quán)限，沒有絕對(duì)的必要千萬不要給，默認(rèn)是沒給的，所以你不用研究，呵呵..)
    應(yīng)用程序配置：在IIS管理器中刪除必須之外的任何無用映射，
    留下ASP, ASA和其他你確實(shí)需要用到的文件類型，(除了cgi,php，其它的我想你都沒用，刪除htw, htr, idq, ida……)
    不知道在哪刪嗎？？方法：打開Internet服務(wù)管理->選擇站點(diǎn)->屬性->WWW服務(wù)->編輯->主目錄->配置->應(yīng)用程序映射，
    然后就開始一個(gè)個(gè)刪吧（沒有全選的，真麻煩）。
    接著在剛剛那個(gè)窗口的應(yīng)用程序調(diào)試書簽內(nèi)將腳本錯(cuò)誤消息改為發(fā)送文本
    （除非你想ASP出錯(cuò)的時(shí)候用戶知道你的程序/網(wǎng)絡(luò)/數(shù)據(jù)庫結(jié)構(gòu)）錯(cuò)誤文本寫什么？
    隨便你喜歡，自己看著辦。點(diǎn)擊確定退出時(shí)別忘了讓虛擬目錄繼承你設(shè)定的屬性。
    為了對(duì)付日益增多的cgi漏洞掃描器，還有一個(gè)小技巧可以參考，
    在IIS中將HTTP404 Object Not Found出錯(cuò)頁面通過URL重定向到一個(gè)定制HTM文件，
    可以讓目前絕大多數(shù)CGI漏洞掃描器失靈。其實(shí)原因很簡單，
    大多數(shù)CGI掃描器在編寫時(shí)為了方便，都是通過查看返回頁面的HTTP代碼來判斷漏洞是否存在的，
    例如，的IDQ漏洞一般都是通過取1.idq來檢驗(yàn)，如果返回HTTP200，就認(rèn)為是有這個(gè)漏洞，
    反之如果返回HTTP404就認(rèn)為沒有，如果你通過URL將HTTP404出錯(cuò)信息重定向到HTTP404.htm文件，
    那么所有的掃描無論存不存在漏洞都會(huì)返回HTTP200，90%的CGI掃描器會(huì)認(rèn)為你什么漏洞都有，
    結(jié)果反而掩蓋了你真正的漏洞，讓入侵者茫然無處下手，不過從個(gè)人角度來說，
    我還是認(rèn)為扎扎實(shí)實(shí)做好安全設(shè)置比這樣的小技巧重要的多。
    Win2000的賬號(hào)安全是另一個(gè)重點(diǎn)，首先，Win2000的默認(rèn)安裝允許任何用戶通過空用戶得到系統(tǒng)所有賬號(hào)/共享列表，
    這個(gè)本來是為了方便局域網(wǎng)用戶共享文件的，但是一個(gè)遠(yuǎn)程用戶也可以得到你的用戶列表并使用暴力法*用戶密碼。
    很多朋友都知道可以通過更改注冊表Local_Machine\System\CurrentControlSet\Control\LSA-RestrictAnonymous = 1來禁止139空連接，
    實(shí)際上win2000的本地安全策略（如果是域服務(wù)器就是在域服務(wù)器安全和域安全策略中）就有這樣的選項(xiàng)RestrictAnonymous（匿名連接的額外限制），
    這個(gè)選項(xiàng)有三個(gè)值：
    0：None. Rely on default permissions（無，取決于默認(rèn)的權(quán)限）
    1：Do not allow enumeration of SAM accounts and shares（不允許枚舉SAM帳號(hào)和共享）
    2：No access without explicit anonymous permissions（沒有顯式匿名權(quán)限就不允許訪問）
    0這個(gè)值是系統(tǒng)默認(rèn)的，什么限制都沒有，遠(yuǎn)程用戶可以知道你機(jī)器上所有的賬號(hào)、組信息、共享目錄、網(wǎng)絡(luò)傳輸列表(NetServerTransportEnum等等，對(duì)服務(wù)器來說這樣的設(shè)置非常危險(xiǎn)。
    1這個(gè)值是只允許非NULL用戶存取SAM賬號(hào)信息和共享信息。
    2這個(gè)值是在win2000中才支持的，需要注意的是，如果你一旦使用了這個(gè)值，你的共享估計(jì)就全部完蛋了，所以我推薦你還是設(shè)為1比較好。
    好了，入侵者現(xiàn)在沒有辦法拿到我們的用戶列表，我們的賬戶安全了……慢著，至少還有一個(gè)賬戶是可以跑密碼的，這就是系統(tǒng)內(nèi)建的administrator，怎么辦？我改改改，在計(jì)算機(jī)管理->用戶賬號(hào)中右擊administrator然后改名，改成什么隨便你，只要能記得就行了。
    改了超管理用戶名后，在Terminal Service的登錄界面還是可以看到的(你登錄過就自已記住啦)，
    修改方法：
    運(yùn)行regedit，找到
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\winlogon
    項(xiàng)中的Don’t Display Last User Name串?dāng)?shù)據(jù)改成1，這樣系統(tǒng)不會(huì)自動(dòng)顯示上次的登錄用戶名。
    為了安全，你還可以打開TCP/IP篩選，桌面上右擊網(wǎng)上鄰居->屬性->右擊你要配置的網(wǎng)卡->屬性->TCP/IP->高級(jí)->選項(xiàng)->TCP/IP過濾，
    這里有三個(gè)過濾器，分別為：TCP端口、UDP端口和IP協(xié)議
    TCP端口，點(diǎn)擊"只允許"，然后在下面加上你需要開的端口，一般來說WEB服務(wù)器只需要開80(www)，
    FTP服務(wù)器需要開20(FTP Data)，21(FTP Control)，3306(Mysql)，3389(遠(yuǎn)程終端控制,如果你的主機(jī)托管在別人機(jī)房里,不能直接*作,就需要這個(gè))
    郵件服務(wù)器可能需要打開25(SMTP),110(POP3)，我對(duì)端口沒研究，但如果照本文所提供的服務(wù)，你只要開以上幾個(gè)就行了。(80，20，21，25，3306，3389)