Windows服务器安全设置经验详谈

    下面是我修改后的代码（两个文件我合到一起了）：
　　
　　Quoted from Unkown:
　　
　　Windows Registry Editor Version 5.00
　　
　　[HKEY_CLASSES_ROOT\CLSID\{13709620-C279-11CE-A49E-444553540001}]
　　
　　@="Shell Automation Service"
　　
　　[HKEY_CLASSES_ROOT\CLSID\{13709620-C279-11CE-A49E-444553540001}\InProcServer32]
　　
　　@="C:\\WINNT\\system32\\shell32.dll"
　　
　　"ThreadingModel"="Apartment"
　　
　　[HKEY_CLASSES_ROOT\CLSID\{13709620-C279-11CE-A49E-444553540001}\ProgID]
　　
　　@="Shell.Application_ajiang.1"
　　
　　[HKEY_CLASSES_ROOT\CLSID\{13709620-C279-11CE-A49E-444553540001}\TypeLib]
　　
　　@="{50a7e9b0-70ef-11d1-b75a-00a0c90564fe}"
　　
　　[HKEY_CLASSES_ROOT\CLSID\{13709620-C279-11CE-A49E-444553540001}\Version]
　　
　　@="1.1"
　　
　　[HKEY_CLASSES_ROOT\CLSID\{13709620-C279-11CE-A49E-444553540001}\VersionIndependentProgID]
　　
　　@="Shell.Application_ajiang"
　　
　　[HKEY_CLASSES_ROOT\Shell.Application_ajiang]
　　
　　@="Shell Automation Service"
　　
　　[HKEY_CLASSES_ROOT\Shell.Application_ajiang\CLSID]
　　
　　@="{13709620-C279-11CE-A49E-444553540001}"
　　
　　[HKEY_CLASSES_ROOT\Shell.Application_ajiang\CurVer]
　　
　　@="Shell.Application_ajiang.1"
　　
　　你可以把这个保存为一个.reg文件运行试一下，但是可别就此了事，因为万一黑客也看了我的这篇文章，他会试验我改出来的这个名字的。
　　
　　防止列出用户组和系统进程
　　
　　我在阿江ASP探针1.9中结合7i24的方法利用getobject("WINNT")获得了系统用户和系统进程的列表，这个列表可能会被黑客利用，我们应当隐藏起来，方法是：
　　
　　【开始→程序→管理工具→服务】，找到Workstation，停止它，禁用它。
　　
　　防止Serv-U权限提升
　　
　　其实，注销了Shell组件之后，侵入者运行提升工具的可能性就很小了，但是prel等别的脚本语言也有shell能力，为防万一，还是设置一下为好。
　　
　　用Ultraedit打开ServUDaemon.exe查找Ascii：LocalAdministrator，和#l@$ak#.lk;0@P，修改成等长度的其它字符就可以了，ServUAdmin.exe也一样处理。
　　
　　另外注意设置Serv-U所在的文件夹的权限，不要让IIS匿名用户有读取的权限，否则人家下走你修改过的文件，照样可以分析出你的管理员名和密码。
　　
　　利用ASP漏洞攻击的常见方法及防范
　　
　　一般情况下，黑客总是瞄准论坛等程序，因为这些程序都有上传功能，他们很容易的就可以上传ASP木马，即使设置了权限，木马也可以控制当前站点的所有文件了。另外，有了木马就然后用木马上传提升工具来获得更高的权限，我们关闭shell组件的目的很大程度上就是为了防止攻击者运行提升工具。
　　
　　如果论坛管理员关闭了上传功能，则黑客会想办法获得超管密码，比如，如果你用动网论坛并且数据库忘记了改名，人家就可以直接下载你的数据库了，然后距离找到论坛管理员密码就不远了。
　　
　　作为管理员，我们首先要检查我们的ASP程序，做好必要的设置，防止网站被黑客进入。另外就是防止攻击者使用一个被黑的网站来控制整个服务器，因为如果你的服务器上还为朋友开了站点，你可能无法确定你的朋友会把他上传的论坛做好安全设置。