Win2K下配置ASP CGI PHP MySQL

安装win2K,安装IIS

Indexing Service,

FrontPage 2000 Server Extensions,

Internet Service Manager (HTML)

这几个别装，更有其他的一些，总之不用的都别装。(根据安全原则，最少的服务 最小的权限=最大的安全。)

首先，打开internet管理器（开始-->程式-->管理-->Internet服务管理）假如照上面所安装的，里面有一个默认站点和一个smtp的服务项选默认站点，删除其下面的任何目录。(按您键盘上的delete键)停掉iis，最简单的方法：开始-->运行-->打入net stop iisadmin　 选择Y回车 (启动的命令是：net start w3svc)把C盘的Inetpub目录完全删掉(停掉iis后才能删)，在其他盘新建一个目录在IIS管理器中将默认站点的主目录指向刚才新建的目录假如您需要什么权限的目录能够自己慢慢建，需要什么权限开什么。 (特别注意写权限和执行程式的权限，没有绝对的必要千万不要给，默认是没给的)

应用程式配置：在IIS管理器中删除必须之外的任何无用映射，留下ASP, ASA和其他您确实需要用到的文档类型，(除了cgi,php，其他的我想您都没用，删除htw, htr, idq, ida……)不知道在哪删吗？？方法：打开Internet服务管理->选择站点->属性->WWW服务->编辑->主目录->配置->应用程式映射，然后就开始一个个删吧（没有全选的，真麻烦）。接着在刚刚那个窗口的应用程式调试书签内将脚本错误消息改为发送文本（除非您想ASP出错的时候用户知道您的程式/网络/数据库结构）错误文本写什么？随便您喜欢，自己看着办。点击确定退出时别忘了让虚拟目录继承您设定的属性。

为了对付日益增多的cgi漏洞扫描器，更有一个小技巧能够参考，在IIS中将HTTP404 Object Not Found出错页面通过URL重定向到一个定制HTM文档，能够让现在绝大多数CGI漏洞扫描器失灵。其实原因很简单，大多数CGI扫描器在编写时为了方便，都是通过查看返回页面的HTTP代码来判断漏洞是否存在的，例如，著名的IDQ漏洞一般都是通过取1.idq来检验，假如返回HTTP200，就认为是有这个漏洞，反之假如返回HTTP404就认为没有，假如您通过URL将HTTP404出错信息重定向到HTTP404.htm文档，那么任何的扫描无论存不存在漏洞都会返回HTTP200，90%的CGI扫描器会认为您什么漏洞都有，结果反而掩盖了您真正的漏洞，让入侵者茫然无处下手，但是从个人角度来说，我还是认为扎扎实实做好安全配置比这样的小技巧重要的多。

Win2000的账号安全是另一个重点，首先，Win2000的默认安装允许任何用户通过空用户得到系统任何账号/共享列表，这个本来是为了方便局域网用户共享文档的，但是个远程用户也能够得到您的用户列表并使用暴力法破解用户密码。很多朋友都知道能够通过更改注册表Local_Machine\System\CurrentControlSet\Control\LSA-RestrictAnonymous = 1来禁止139空连接，实际上win2000的本地安全策略（假如是域服务器就是在域服务器安全和域安全策略中）就有这样的选项RestrictAnonymous（匿名连接的额外限制），这个选项有三个值：

0：None. Rely on default permissions（无，取决于默认的权限）

1：Do not allow enumeration of SAM accounts and shares（不允许枚举SAM帐号和共享）

2：No access without explicit anonymous permissions（没有显式匿名权限就不允许访问）

0这个值是系统默认的，什么限制都没有，远程用户能够知道您机器上任何的账号、组信息、共享目录、网络传输列表(NetServerTransportEnum等等，对服务器来说这样的配置很危险。

1这个值是只允许非NULL用户存取SAM账号信息和共享信息。

2这个值是在win2000中才支持的，需要注意的是，假如您一旦使用了这个值，您的共享估计就全部完蛋了，所以我推荐您还是设为1比较好。

好了，入侵者现在没有办法拿到我们的用户列表，我们的账户安全了……慢着，至少更有一个账户是能够跑密码的，这就是系统内建的administrator，怎么办？我改改改，在电脑管理->用户账号中右击administrator然后改名，改成什么随便您，只要能记得就行了。改了超管理用户名后，在Terminal Service的登录界面还是能够看到的(您登录过就自已记住啦)，修改方法：运行regedit，找到

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\winlogon项中的Don't Display Last User Name串数据改成1，这样系统不会自动显示上次的登录用户名。

为了安全，您还能够打开TCP/IP筛选，桌面上右击网上邻居->属性->右击您要配置的网卡->属性->TCP/IP->高级->选项->TCP/IP过滤，这里有三个过滤器，分别为：TCP端口、UDP端口和IP协议TCP端口，点击"只允许"，然后在下面加上您需要开的端口，一般来说WEB服务器只需要开80(www)，FTP服务器需要开20(FTP Data)，21(FTP Control)，3306(Mysql)，3389(远程终端控制,假如您的主机托管在别人机房里,不能直接*作,就需要这个)邮件服务器可能需要打开25(SMTP),110(POP3)，我对端口没研究，但假如照本文所提供的服务，您只要开以上几个就行了。(80，20，21，25，3306，3389)

CGI支持

下载activeperl (可到www.perl.com下载最新版)

1、解压，运行install.exe，默认是安装在 C:\PERL 下，但是为了方便，请最好安装到 C:\USR 目录下，(这样写 Perl 解释器的路径就能够直接用 #!/usr/bin/perl 了，能够保持单机环境和网络环境路径一致。 安装时一路按Y即可。)

2、安装好后，按照下面三步来修改注册表： 运行 RegEdit，搜寻: HKEY_LOCAL_MACHINE\System\Currentcontrlset\Services\W3svc\Parameters\scriptMap\ 键名, 然后增加键名：".cgi"，键值："C:\USR\BIN\perl.exe %s %s" 和键名：".pl"，键值："C:\USR\BIN\perl.exe %s %s" （不懂得建？那么：在右边的框内--->点右键--->新建-->字符串值　名称改为.cgi,双击该键即可输入数值数据，也就是上面说的键值）

标签：