1
安装FTP服务
开始--》管理工具--》服务器管理器
2
安装IIS/FTP角色
打开服务器管理器,找到添加角色,然后点击,d出添加角色对话框,选择下一步
3
选择Web服务器(IIS),然后选择FTP服务,直到安装完成。
4
在IIS中查看,如果能够右键创建FTP站点,则表明FTP服务安装成功
5
创建Windows用户名和密码,用于FTP使用。
开始--》管理工具--》服务器管理器,添加用户,如下图:本实例使用ftptest
6
在服务器磁盘上创建一个供FTP使用的文件夹,创建FTP站点,指定刚刚创建的用户FtpTest,赋予读写权限
7
客户端测试。直接使用ftp://服务器ip地址:ftp端口,如图。d出输入用户名和密码的对话框表示配置成功,正确的输入用户名和密码后,即可对FTP文件进行相应权限的 *** 作。
1、选择“开始—程序—管理工具—服务器管理器”,打开“服务器管理器”控制台,选择“角色”选项,单击“添加角色”链接,运行“添加角色向导
2、在“选择服务器角色”对话框中,选中“windows 部署服务”复选框,如图1-1
3、在“选择角色服务”对话框中,选中“部署服务器”复选框如同3-1所示
4、 在“确认安装选择”对话框中,查看并确认将要安装的角色或功能,如图4-1所示
5、单击“安装”按钮开始安装。安装结束后,显示“安装结果”对话框,如图5-1所示,单击“关闭”按钮退去即可
二、到这windows 部署服务就安装完成了,下面讲如何运行windows 部署服务,要运行Windows 部署需要安装DHCP服务,下面安装DHCP服务。
6、在“选择服务器角色”对话框中添加“DHCP服务器”如图6-1所示
7、在“选择网络连接绑定”对话框中选择“17230515”如图7-1所示
8、在“添加或编辑DHCP作用域”对话框中,为当前DHCP服务器添加作用域,作用域的地址范围是17230515—172305199。如图8-1所示
9、在“配置DHCPv6无状态模式”对话框中,选择“对此服务器禁用DHCPv6无状态模式”单击按钮,如图9-1所示
10、安装DHCP服务器完成之后,在“服务器管理器”窗口中定位到”DHCP服务器”,删除其他作用域(只保留图8-1创建的作用域),然后打开 该作用域的“属性”对话框(如图10-1) 在“高级”选项卡中选择“两者”单选按钮,如图10-2所示
11、最后在“IPv4属性”对话框中,为DHCP服务器绑定17230515 的服务器地址如图11-1所示
三 到此DHCP也安装完成,下面介绍Windows部署服务的配置过程与步骤
12、打开“服务器管理器”定位到“角色—Windows部署服务”,开始启动Windows部署服务。
13、右击dcheinfolocal(如果你计算机名为win 2008-1 域名为acom那就右击win2008acom) ,从快捷菜单中选择“配置服务器”的命令,如图13-1所示,启动“Windows 部署服务配置向导”。
14、在“欢迎页面”对话框中列出了Windows 部署服务所需的条件,如图14-1所示
15、在“远程安装文件夹的位置”对话框中,选择一个可用空间最大的NTFS分区,作为Windows 部署服务保存 *** 作系统映像的位置,如图15-1所示
16、在”DHCP选项60”对话框中,配置DHCP服务器。如果网络中的DHCP 服务器与Windows 部署服务在同一台计算机上,请选中“不侦听端口67”和“将DHCP选项标记#60配置为PXECLIient复 选框,”如图16-1所示
17、在“PXP服务器初始设置”对话框中,选择“响应所有(已知和未知)客户端计算机”单选按钮,如图17-1所示
18、在“配置完成”对话框中,选择“立即在Windows 部署服务器上添加映像”复选框,如图18-1所示
19.在“Windows 映像文件位置”对话框中,选择将要添加的Windows *** 作系统的位置。在本例中,将 Windows 7(集成 SP1)的64位安装光盘放在光驱中,该光驱盘符为D。在本例中选择D:,如图19-1所示(在选择的 时候先把映像放在光驱中,然后选择光驱)
20.在“映像组”对话框,选择“创建新的映像组”单选按钮,在此命令映像组名称为“Windows 7 SP1”,如图20-1所示
21.在“复查设置”对话框中,显示了图19-1中要添加的映像数,分别为“启动映像数”与“安装映像数”,如图21-1所示
说明“启动映像”是用来安装计算机的 *** 作系统映像。从windows vista 开始,启动与安装映像分开。用高版本的启动映像启动计算机,可以安装“低版本”的 *** 作系统,但用低版本的启动映像启动计算机,将不能安装“高版本”的 *** 作系统。例如,可以用windows 7 SP1 的启动映像启动计算机,可以用来安装windows vista;windows server 2008;windows Server 2008 R2;windows 7;windows 7集成SP1包,但用windows vasta 的启动映像启动计算机,则不能安装windows 7;windows server 2008 R2 *** 作系统映像。
22 在“任务进度”对话框中,当 *** 作系统的启动映像与安装映像添加到windows部署服务器之后,显示“ *** 作完成”,单击“完成”按钮,如图22-1所示
23.返回到“服务器管理器”窗口,可以看到已经添加了4个windows 7的安装镜像,如图23-1所示
三.下面介绍添加其他 *** 作系统的安装镜像
24.定位到“服务器管理器—角色—windows 部署服务—服务器—(服务器计算机名)—安装映像”,在右侧空白窗格中央右击“添加映像组”,如图24-1所示
25、在“添加映像组”对话框中,输入要创建的组名,在本例中为“windows 7 sp1 x32”。
26、然后定位到新创建的映像组,在右侧空白窗口中右击,在d出的快捷菜单中选择“添加安装映像”命令,如图26-1所示。
27.然后在光驱中换上windows 7 集成sp1 的32位版本,在“映像文件”对话框中浏览选择windows 7 安装光盘根目录中的 \sources、installvim文件。
说明在Windows Vista 及其以后的 *** 作系统安装光盘的sources目录中,有两个映像文件,其中名为installwim的是安装映像,名为bootvim的是启动映像。
28在“可用映像列表”对话框中,显示了可用的映像列表及描述信息。如果采用默认的名称和描述,请选中“使用每个选定映像的默认名称和说明”复选框的选择。如图28-1
29、如上图中取消了“使用每个选定映像的默认名称和说明”复选框的选择,则会d出“映像元数据”对话框,并依次显示每个映像的名称和说明,可以根据需要修改,如图29-1和29-2
30、在“摘要”对话框中显示要添加的映像,如图30-1所示
31、添加映像完成后,单击“完成”按钮如图31-1
32、如果要添加其他 *** 作系统的映像,强参照前面的步骤,创建映像组并添加映像,这些就不一一介绍了
四.在添加完映像后,需要添加启动映像。需要注意的是,并不是每次添加安装映像都要添加启动映像 如果已经有“同版本”的启动映像,则不用添加。Windows 启动映像与安装映像的关 系是:
(1)windows 7 SP1与windows server 2008 R2 SP1的启动映像相同,是同一版本。目前该版本的启动映像可以启动并安装包括windows 7 SP1,windows server 2008 SP1 极其以前的 *** 作 系统。例如windows vista, windows server 2008 windows server 2008 R2等
(2)windows启动映像也分为32位和64位。32位启动映像可以装32位和64位 *** 作系统,而64位只能安装64位 *** 作系统。如果windows 部署服务中同时有32位和64位启动映像,则在使 用windows部署的时候,会自动侦测客户端的类型,如果符合64位要求,则会出现64位和32位启动映像的选择,让用户选择;如不符合64位要求,则会默认安装32位启动映像。
(3)在添加更新版本的启动映像之后,可以删除以前版本的启动映像
接下来介绍添加启动映像的方法,以添加64位的Windows 7SP1的启动映像为例,步骤如下
33、在“Windows 部署服务”中,定位到“启动映像”,在右侧空白窗格中右击“添加启动映像”如图33-1所示
34、在“映像文件”对话框中,从Windows 7 安装光盘中选择浏览选择名为bootwimd的启动映像,如图34-1所示
35、在“添加元数据”对话框中显示了添加的映像名称和说明,用户也可以根据自己的需求或习惯进行定制。如图35-1
36、在“摘要”对话框中显示了要添加的影响的名称和位数(x64表示64位)如图36-1所示
37、添加完成后,单击“完成”按钮,完成镜像的添加。如图37-1所示
38、添加启动映像完成之后,返回到“Windows 部署服务”,在“启动映像”页显示了添加的映像,如图38-1所示
39、如果要删除不再使用的映像,可以右击该映像,在d出的快捷菜单中选择“删除”命令根据提示进行 *** 作即可,如图39-1
下面介绍配置Windows部署服务
五、在添加完安装映像与启动映像后,右击服务器名,从快捷菜单中选择“属性”命令(见图39-2),可以用来配置Windows部署服务器
40、选择“PXE响应设置”选项卡,选中“响应所有(已知和未知)客户端计算”单选按钮,如图40-1所示
41、选择“目录服务”选项卡。在“新建客户端命令策略”选项区域中设置客户端计算机的命名原则,在“客户端账户位置”选项区域中设置将使用Windows部署服务远程安装 *** 作系统的计算机存放的位置。如图41-1所示
说明在以前的RIS服务器中,使用RIS部署的计算机只能保存在AD的computers容器中,而在Windows部署服务中,可以将使用windows部署服务安装 *** 作系统的计算机统一保存在一个容器 中。
42、在“启动”选项卡中,设置“默认启动映像”和“默认启动程序”通常选择默认的就可以,如图42- 1所示
43、在“高级”选项卡中,将选择Windows 部署服务使用AD服务器和是否对DHCP中授权,请选中“在DHCP中授权此windows部署服务服务器”单选按钮,如下图
44、在DHCP选项卡中设置DHCP服务,如果当前服务器上没有DHCP服务器,请选择两项。如图44-1所示
45、在“客户端”选项卡中,设置是否启用无人参与安装,如图45-1所示
设置完成后,单击“确定”按钮。完成Windows 部署服务器的设置,接下来创建一个windows 7虚拟机,在虚拟机中,通过网络安装windows 7 *** 作系统,主要步骤如下:
46.创建Windows 7虚拟机后,启动虚拟机,当出现Press F12 for networkserver boot时,按F12键,如图46-1所示
阿江的Windows 2000服务器安全设置教程
前言
其实,在服务器的安全设置方面,我虽然有一些经验,但是还谈不上有研究,所以我写这篇文章的时候心里很不踏实,总害怕说错了会误了别人的事。
本文更侧重于防止ASP漏洞攻击,所以服务器防黑等方面的讲解可能略嫌少了点。
基本的服务器安全设置
安装补丁
安装好 *** 作系统之后,最好能在托管之前就完成补丁的安装,配置好网络后,如果是2000则确定安装上了SP4,如果是2003,则最好安装上SP1,然后点击开始→Windows Update,安装所有的关键更新。
安装杀毒软件
虽然杀毒软件有时候不能解决问题,但是杀毒软件避免了很多问题。我一直在用诺顿2004,据说2005可以杀木马,不过我没试过。还有人用瑞星,瑞星是确定可以杀木马的。更多的人说卡巴司机好,不过我没用过。
不要指望杀毒软件杀掉所有的木马,因为ASP木马的特征是可以通过一定手段来避开杀毒软件的查杀。
设置端口保护和防火墙、删除默认共享
都是服务器防黑的措施,即使你的服务器上没有IIS,这些安全措施都最好做上。这是阿江的盲区,大概知道屏蔽端口用本地安全策略,不过这方面的东西网上攻略很多,大家可以擞出来看看,晚些时候我或者会复制一些到我的网站上。
权限设置
阿江感觉这是防止ASP漏洞攻击的关键所在,优秀的权限设置可以将危害减少在一个IIS站点甚至一个虚拟目录里。我这里讲一下原理和设置思路,聪明的朋友应该看完这个就能解决问题了。
权限设置的原理
WINDOWS用户,在WINNT系统中大多数时候把权限按用户(组)来划分。在开始→程序→管理工具→计算机管理→本地用户和组管理系统用户和用户组。
NTFS权限设置,请记住分区的时候把所有的硬盘都分为NTFS分区,然后我们可以确定每个分区对每个用户开放的权限。文件(夹)上右键→属性→安全在这里管理NTFS文件(夹)权限。
IIS匿名用户,每个IIS站点或者虚拟目录,都可以设置一个匿名访问用户(现在暂且把它叫“IIS匿名用户),当用户访问你的网站的ASP文件的时候,这个ASP文件所具有的权限,就是这个“IIS匿名用户所具有的权限。
权限设置的思路
要为每个独立的要保护的个体(比如一个网站或者一个虚拟目录)创建一个系统用户,让这个站点在系统中具有惟一的可以设置权限的身份。
在IIS的站点属性或者虚拟目录属性→目录安全性→匿名访问和验证控制→编辑→匿名访问→编辑填写刚刚创建的那个用户名。
设置所有的分区禁止这个用户访问,而刚才这个站点的主目录对应的那个文件夹设置允许这个用户访问(要去掉继承父权限,并且要加上超管组和SYSTEM组)。
这样设置了之后,这个站点里的ASP程序就只有当前这个文件夹的权限了,从探针上看,所有的硬盘都是红叉叉。
我的设置方法
我是先创建一个用户组,以后所有的站点的用户都建在这个组里,然后设置这个组在各个分区没病权限。然后再设置各个IIS用户在各在的文件夹里的权限。
因为比较多,所以我很不想写,其实知道了上面的原理,大多数人都应该懂了,除非不知道怎么添加系统用户和组,不知道怎么设置文件夹权限,不知道IIS站点属性在那里。真的有那样的人,你也不要着急,要沉住气慢慢来,具体的方法其实自己也能摸索出来的,我就是这样。当然,如果我有空,我会写我的具体设置方法,很傲能还会配上。
改名或卸载不安全组件
不安全组件不惊人
我的在阿江探针19里加入了不安全组件检测功能(其实这是参考7i24的代码写的,只是把界面改的友好了一点,检测方法和他是基本一样的),这个功能让很多站长吃惊不小,因为他发现他的服务器支持很多不安全组件。
其实,只要做好了上面的权限设置,那么FSO、XML、strem都不再是不安全组件了,因为他们都没有跨出自己的文件夹或者站点的权限。那个欢乐时光更不用怕,有杀毒软件在还怕什么时光啊。
最危险的组件是WSH和Shell,因为它可以运行你硬盘里的EXE等程序,比如它可以运行提升程序来提升SERV-U权限甚至用SERVU来运行更高权限的系统程序。
卸载最不安全的组件
最简单的办法是直接卸载后删除相应的程序文件。将下面的代码保存为一个BAT文件,
regsvr32/u C:WINNTSystem32wshomocx
del C:WINNTSystem32wshomocx
regsvr32/u C:WINNTsystem32shell32dll
del C:WINNTsystem32shell32dll
然后运行一下,WScriptShell, Shellapplication, WScriptNetwork就会被卸载了。可能会提示无法删除文件,不用管它,重启一下服务器,你会发现这三个都提示“×安全了。
改名不安全组件
需要注意的是组件的名称和Clsid都要改,并且要改彻底了。下面以Shellapplication为例来介绍方法。
打开注册表编辑器开始→运行→regedit回车,然后编辑→查找→填写Shellapplication→查找下一个,用这个方法能找到两个注册表项:“{13709620-C279-11CE-A49E-444553540000}和“Shellapplication。为了确保万无一失,把这两个注册表项导出来,保存为 reg 文件。
比如我们想做这样的更改
13709620-C279-11CE-A49E-444553540000 改名为 13709620-C279-11CE-A49E-444553540001
Shellapplication 改名为 Shellapplication_ajiang
那么,就把刚才导出的reg文件里的内容按上面的对应关系替换掉,然后把修改好的reg文件导入到注册表中(双击即可),导入了改名后的注册表项之后,别忘记了删除原有的`那两个项目。这里需要注意一点,Clsid中只能是十个数字和ABCDEF六个字母。
下面是我修改后的代码(两个文件我合到一起了):
Windows Registry Editor Version 500
[HKEY_CLASSES_ROOTCLSID{13709620-C279-11CE-A49E-444553540001}]
@="Shell Automation Service"
[HKEY_CLASSES_ROOTCLSID{13709620-C279-11CE-A49E-444553540001}InProcServer32]
@="C:WINNTsystem32shell32dll"
"ThreadingModel"="Apartment"
[HKEY_CLASSES_ROOTCLSID{13709620-C279-11CE-A49E-444553540001}ProgID]
@="ShellApplication_ajiang1"
[HKEY_CLASSES_ROOTCLSID{13709620-C279-11CE-A49E-444553540001}TypeLib]
@="{50a7e9b0-70ef-11d1-b75a-00a0c90564fe}"
[HKEY_CLASSES_ROOTCLSID{13709620-C279-11CE-A49E-444553540001}Version]
@="11"
[HKEY_CLASSES_ROOTCLSID{13709620-C279-11CE-A49E-444553540001}VersionIndependentProgID]
@="ShellApplication_ajiang"
[HKEY_CLASSES_ROOTShellApplication_ajiang]
@="Shell Automation Service"
[HKEY_CLASSES_ROOTShellApplication_ajiangCLSID]
@="{13709620-C279-11CE-A49E-444553540001}"
[HKEY_CLASSES_ROOTShellApplication_ajiangCurVer]
@="ShellApplication_ajiang1"
你可以把这个保存为一个reg文件运行试一下,但是可别就此了事,因为万一黑客也看了我的这篇文章,他会试验我改出来的这个名字的。
防止列出用户组和系统进程
我在阿江ASP探针19中结合7i24的方法利用getobject("WINNT")获得了系统用户和系统进程的列表,这个列表可能会被黑客利用,我们应当隐藏起来,方法是:
开始→程序→管理工具→服务,找到Workstation,停止它,禁用它。
防止Serv-U权限提升
其实,注销了Shell组件之后,侵入者运行提升工具的可能性就很小了,但是prel等别的脚本语言也有shell能力,为防万一,还是设置一下为好。
用Ultraedit打开ServUDaemonexe查找Ascii:LocalAdministrator,和#l@$ak#lk;0@P,修改成等长度的其它字符就可以了,ServUAdminexe也一样处理。
另外注意设置Serv-U所在的文件夹的权限,不要让IIS匿名用户有读取的权限,否则人家下走你修改过的文件,照样可以分析出你的管理员名和密码。
利用ASP漏洞攻击的常见方法及防范
一般情况下,黑客总是瞄准论坛等程序,因为这些程序都有上传功能,他们很容易的就可以上传ASP木马,即使设置了权限,木马也可以控制当前站点的所有文件了。另外,有了木马就然后用木马上传提升工具来获得更高的权限,我们关闭shell组件的目的很大程度上就是为了防止攻击者运行提升工具。
如果论坛管理员关闭了上传功能,则黑客会想办法获得超管密码,比如,如果你用动网论坛并且数据库忘记了改名,人家就可以直接下载你的数据库了,然后距离找到论坛管理员密码就不远了。
作为管理员,我们首先要检查我们的ASP程序,做好必要的设置,防止网站被黑客进入。另外就是防止攻击者使用一个被黑的网站来控制整个服务器,因为如果你的服务器上还为朋友开了站点,你可能无法确定你的朋友会把他上传的论坛做好安全设置。这就用到了前面所说的那一大堆东西,做了那些权限设置和防提升之后,黑客就算是进入了一个站点,也无法破坏这个网站以外的东西。
欢迎分享,转载请注明来源:内存溢出
微信扫一扫
支付宝扫一扫
评论列表(0条)