Configuración básica de permisos de host virtual de Windows 2000

Aquí me gustaría decir que creo que el método de configuración de los permisos del host virtual win2000 más seguro, simplemente dice la configuración de los permisos.

Un software y entorno de host virtual

1.Serv-U5.0.11 (no parece seguro, pero no necesariamente)

2.Mysql database -

3.Mssql base de datos

control remoto 4.PcAnyWhere
software

5. antivirus, por lo general el uso de Norton 8,0

6.php5

7 .ActivePerl5.8

El software anterior, además de la base de datos Mssql, debe ir al sitio web oficial para descargar la versión recomendada para instalar. La siguiente es la configuración de la instalación, comenzando desde la instalación del sistema. Supongamos que el sistema está instalado con Windows 2000 Advanced Server Edition. El sistema está dividido en unidad c, unidad d y unidad e, todo en formato ntfs.

II. Configuración de puertos del sistema

El host virtual generalmente está controlado por PcanyWhere y los servicios de terminal. El servicio de terminal necesita cambiar el puerto, por ejemplo, a 8735 puertos. Configure el filtrado TCP /IP en función de los servicios que desea abrir. ¿Por qué no usar una política de seguridad local? En lo personal, se considera que el control TCP /IP es estricto, ya que se rechaza a menos que se permita explícitamente, y se permite la política de seguridad local a menos que se deniegue explícitamente. Si no lo entiendo bien, por favor avise. la configuración de filtrado TCP /IP son las siguientes:

puerto TCP sólo permite 21,80,5631,8735,10001,10002,10003,10004,10005; protocolo IP sólo permite 6; el puerto UDP que no he hecho pruebas detalladas, No me atrevo a hablar de ello, y lo probaré más tarde. El 10001-10005 en el puerto TCP /IP es el puerto utilizado para configurar el modo PASV del Serv-U. Por supuesto, se pueden usar otros.

Propiedades de conexión de área local en el interior, desinstalar todos los demás acuerdos, dejando sólo el Protocolo de Internet (TCP /IP), la manera en la cuenta de administrador de un cambio de nombre más complejo, y se encuentra en la política de seguridad local que no muestra la última Inicie sesión en la cuenta y realice la configuración adecuada para el bloqueo de la cuenta. Luego reinicie su computadora y esta configuración de paso se completa.

Ahora instale el software, todo el software está instalado en la unidad d, y la unidad e se usa para la copia de seguridad de datos. Primero instale Serv-U a d: Serv-U, y Hanhua, por cierto, jeje. Luego instale a la unidad d a su vez. Empieza a configurar permisos ahora. En primer lugar, no diga, c disco, d disco y e disco de seguridad dentro de Todos eliminar, agregue el administrador y el sistema cuyo nombre ha cambiado, déjelos controlar completamente.
Avanzado restablece los permisos de todos los objetos secundarios y permite la propagación de permisos heredables. Todo este sistema de archivos, el directorio está controlado por el administrador del sistema y la renombró, y hereda automáticamente los permisos del directorio padre, que corresponden a los siguientes permisos de configuración de inicio para cada directorio.

Al ejecutar asp, debe usar el archivo en el directorio C: \\ Archivos de programa \\ Archivos comunes para establecer una conexión de base de datos. Aquí, establezca el permiso C: Program FilesCommon Files, únase a todos, se leen los permisos, se enumera, lee y ejecuta el directorio de la carpeta. También puedes usar las etiquetas avanzadas para configuraciones más rigurosas, pero no lo he hecho antes y no me atrevo a decir tonterías.

Para ejecutar php, debe establecer los permisos de c: winntphp.ini para que todos puedan tener permiso de lectura. Si el directorio de sesión de php está configurado en c: winnt emp directory, este directorio debería permitir a todos leer y escribir permisos. Para mejorar el rendimiento, php está configurado para usar el análisis de isapi, el directorio d: php permite a todos leer, listar directorios de carpetas, leer y ejecutar permisos. En cuanto a la configuración de php.ini, no lo diré aquí. Primero, no entiendo muy bien. Segundo, solo hablo sobre la configuración de permisos del sistema.

Ejecute cgi, configure d: perl para que todos lean, listen el directorio de carpetas, lean y ejecuten los permisos. Por cierto, cgi está configurado para usar la forma isapi de analizar la seguridad y el rendimiento.

Ahora hablemos de la configuración del gran Serv-U. Esta cosa es realmente poderosa, pero la seguridad no es tan buena, necesitamos transformarla. El primero es el ataque de desbordamiento, 5.0.11 parece no tener tal defecto. El segundo es modificar el archivo de configuración ini, no hay permiso para modificar aquí, omítalo. Que yo sepa, la única forma de hacerlo es usar la cuenta y la contraseña administrativas predeterminadas para agregar una cuenta con permiso de ejecución de escritura para ejecutar el troyano.

Después de modificar la contraseña de la cuenta predeterminada, esto se puede hacer editando directamente ServUDaemon.exe y ServUAdmin.exe usando un editor como editplus. Si eres demasiado perezoso para los problemas, es fácil escribir un programa en cualquier idioma. He escrito algo así antes, así que puedo configurarlo yo mismo. Básicamente no hay problema con Serv-U ahora.

En cuanto a la base de datos, los permisos no se han establecido, heredar directamente el directorio raíz del disco d. En cuanto a cómo configurar la contraseña de la cuenta en el interior, soy demasiado perezoso para decir.

El último punto es establecer el directorio c: winntsystem32 y algunas de las cosas debajo de él. Muchos procedimientos necesarios librería de enlace dinámico aquí, pero hay demasiados documentos, que no entendía todo el directorio c: winntsystem32 dan a todos a leer, el contenido de la carpeta, Leer y ejecutarlo.

En realidad, no es seguro hacerlo, pero no se asuste, aún no hemos terminado. Bajo este directorio, también necesitamos hacer configuraciones separadas para varios programas especiales. El primero es cacls.exe, hey, configuremos esto y digamos algo más. Este material se usa para establecer permisos, de modo que no herede los permisos del directorio principal, y permite que rechace el acceso a nadie, porque generalmente no usamos esta cosa de aves. Otra lista de programas que se establece de la siguiente manera: net.exe, cmd.exe, ftp.exe, tftp.exe, telnet.exe, estos ajustes para permitir que sólo el administrador rebautizado después de la visita.

Ahora piense tanto, esto está escrito en el tiempo libre de trabajo de hoy, y luego agregue más tarde.

Suplemento: prohíba que el grupo que no es administrador acceda al directorio winnt y luego el archivo al que se va a llamar desde winnt y lo reasigne a la ruta de lectura.

eNet Silicon Valley Power proporciona el contenido anterior