las políticas de ajuste ventanas de seguridad componente de servidor

A, componentes descarga y Shell.Application WScript.Shell, guarde el código siguiente como un archivo .BAT ejecutado (2000 puntos y sistemas 2003) windows2000.batregsvr32 /u C: \\ WINNT \\ System32 \\ wshom .ocx del C: \\ WINNT \\ system32 \\ wshom.ocx regsvr32 /u C: \\ WINNT \\ system32 \\ shell32.dll del C: \\ WINNT \\ system32 \\ shell32.dllwindows2003.batregsvr32 /u C: \\ WINDOWS \\ system32 \\ wshom. OCX del C: \\ WINDOWS \\ system32 \\ wshom.ocx regsvr32 /u C: \\ WINDOWS \\ system32 \\ shell32.dll del C: \\ WINDOWS \\ system32 \\ shell32.dllB, cambiar el nombre de los componentes peligrosos Tenga en cuenta que el nombre del componente y Clsid se debe cambiar, y cambiar por completo, no copiar, cambiar
propia [inicio → ejecutar → → regedit Enter] para abrir el editor del registro
luego [Editar → Buscar → rellenar el Shell. encontrar la aplicación → a}
utilizar este método para encontrar dos entradas de registro:
{13709620-C279-11CE-A49E-444553540000} y Shell.Application.
primer paso: para estar seguros, estas dos claves de registro guían a cabo xxxx.reg guardado como un archivo.
Paso dos: por ejemplo, queremos que esto cambie
13709620-C279-11CE-A49E-444553540000 renombró 13709620-C279-11CE-A49E-444553540001
Shell .Application rebautizado Shell.application_nohack
tercer paso: Bueno, sólo hay que poner el archivo .reg exportado a sustituir el contenido de la correspondencia entre la prensa anteriormente, y luego importar el archivo .reg editado en el registro después de la (doble clic), introducido la clave de registro ha cambiado el nombre, no se olvide de eliminar el original los dos proyectos. Cabe señalar que, Clsid en sólo diez números y letras ABCDEF seis.
De hecho, siempre y cuando las entradas del registro correspondiente a la exportación de copia de seguridad, y luego cambiar directamente el nombre de clave en él, cambie un buen ejemplo
recomiendo a nosotros mismos qué debería ser un exitoso Windows Registry Editor Version 5.00 [ ,null,null,0],HKEY_CLASSES_ROOT \\ CLSID \\ {13709620-C279-11CE-A49E-444553540001}] @ = "Shell Service Automation" [HKEY_CLASSES_ROOT \\ {13709620-C279-11CE-A49E-444553540001} CLSID \\ \\ InProcServer32] @ = "C: \\\\ WINNT \\\\ system32 \\\\ shell32.dll "" ThreadingModel "=" Apartment "[HKEY_CLASSES_ROOT \\ CLSID \\ {13709620-C279-11CE-A49E-444553540001} \\ ProgID] @ =" Shell.Application_nohack.1 "[HKEY_CLASSES_ROOT \\ CLSID \\ { 13709620-C279-11CE-A49E-444553540001} \\ TypeLib] @ = "{50a7e9b0-70ef-11d1-b75a-00a0c90564fe}" [HKEY_CLASSES_ROOT \\ CLSID \\ {13709620-C279-11CE-A49E-444553540001} \\ Version] @ = " 1.1 "[HKEY_CLASSES_ROOT \\ {-A49E-444553540001-13709620 C279-11CE} CLSID \\ \\ VersionIndependentProgID] @ =" Shell.Application _nohack "[HKEY_CLASSES_ROOT \\ Shell.Application_nohack] @ =" Servicio de Automatización de Shell "[HKEY_CLASSES_ROOT \\ Shell.Application_nohack \\ Ocupación de la persona de la persona a la que se le llama. = "Shell.Application_nohack.1" Lao Du comentarios: WScript.Shell y el componente Shell.Application es un proceso de invasión guión, una parte importante para elevar los privilegios, desinstalación y modificar estos dos componentes del nombre clave de registro correspondiente, puede un alto grado de escritura de mejorar el nivel de seguridad de máquinas virtuales, en general, las secuencias de comandos ASP y PHP con privilegios elevados clase de entidad no se puede lograr, además de algunos servicios del sistema, acceso al disco duro, filtrado de puertos, configuración de directiva de seguridad local, a causa de la máquina virtual Dicho esto, el rendimiento de la seguridad ha mejorado mucho y la posibilidad de piratería es muy baja. Después de la cancelación del componente de Shell, la herramienta de intrusión para aumentar la probabilidad de funcionamiento de una pequeña, pero Prel otros lenguajes de script tales como Shell también tiene la capacidad como medida de precaución, o un conjunto tan bien. Aquí hay otra configuración que es más o menos la misma. Un prohibir el componente FileSystemObject uso

FileSystemObject operación de rutina en un archivo, puede modificar el registro, el componente fue renombrada, para evitar el peligro de este tipo de troyanos.
HKEY_CLASSES_ROOT \\ Scripting.FileSystemObject \\
cambió su nombre a otros nombres, tales como: su futuro en lugar de llamadas FileSystemObject_ChangeName
al utilizar este componente puede llamar a esto normal
idcls valor también tendrá que cambiar el valor del proyecto
HKEY_CLASSES_ROOT \\ Scripting.FileSystemObject \\ CLSID \\

se pueden eliminar para evitar el peligro de este tipo de troyanos.

2000 cancelación de este comando componente: RegSrv32 /u C: \\ WINNT \\ SYSTEM \\ scrrun.dll

2003 cancelación de este comando componente: RegSrv32 /u C: \\ WINDOWS \\ SYSTEM \\ scrrun.dll

cómo desactivar el usuario invitado para evitar el uso scrrun.dll llamar a este componente?

utilizar este comando: cacls C: \\ WINNT \\ system32 \\ scrrun.dll /E /D invitados

Segunda prohibido WScript.Shell montaje

puede WScript.Shell llamar al kernel para ejecutar los comandos básicos de DOS

puede modificar el registro, el componente fue renombrada, para evitar el daño de este tipo de troyanos.

HKEY_CLASSES_ROOT \\ WScript.Shell \\ y HKEY_CLASSES_ROOT \\ WScript.Shell.1 \\

se cambia el nombre de otros nombres, tales como: a WScript.Shell_ChangeName o WScript.Shell.1_ChangeName

después, cuando su llamada para utilizar este componente puede llamar a esto un
normales

valor idcls también tendrá que cambiarlo

HKEY_CLASSES_ROOT \\ WScript.Shell \\
valor CLSID \\ proyecto

HKEY_CLASSES_ROOT \\ WScript.Shell.1 \\ CLSID \\ valor del proyecto

se pueden eliminar para evitar el peligro de este tipo de troyanos.

En tercer lugar, la prohibición de los componentes de uso Shell.Application

Shell.Application puede llamar el núcleo básico para ejecutar comandos de DOS

puede modificar el registro, el componente fue renombrada, para evitar Los peligros de tales troyanos.

HKEY_CLASSES_ROOT \\ Shell.Application \\
y
HKEY_CLASSES_ROOT \\ Shell.Application.1 \\
cambió su nombre a otros nombres, tales como: cambiado a Shell .Application_ChangeName o Shell.Application.1_ChangeName

después, cuando su llamada para utilizar este componente puede llamar a este valor idcls un
normales

también tendrá que cambiarlo

HKEY_CLASSES_ROOT \\ Shell.Application \\
valor CLSID \\ proyecto HKEY_CLASSES_ROOT \\ Shell.Application \\ valor CLSID \\ proyecto

se pueden eliminar para evitar el peligro de este tipo de troyanos.

Evita que los usuarios invitados utilicen shell32.dll para evitar que se llame a este componente.

2000 utilizar el comando: cacls C: \\ WINNT \\ system32 \\ shell32.dll /E /D invitados
2003 utilice el comando: cacls C: \\ WINDOWS \\ system32 \\ shell32.dll /E /D los clientes < efecto después se requieren operaciones para reiniciar el servicio WEB: br> nota.

cuatro llamadas cmd.exe

el usuario desactiva la llamada de grupo reducida cmd.exe
2,000 utilizar el comando: cacls C: \\ WINNT \\ system32 \\ cmd.exe /e /d huéspedes
2003 utilizan el comando: cacls C: \\ WINDOWS \\ system32 \\ cmd.exe /e /d huéspedes

proporcionadas por los cuatro pasos anteriores pueden impedir sustancialmente varios troyanos actuales populares, pero la mayoría manera eficaz es a través de una configuración de seguridad integrados, servidores, seguridad de aplicaciones ha llegado a un cierto nivel, se puede establecer un nivel más alto de seguridad para evitar la invasión más ilegal.
C, Serv-U para evitar una escalada de privilegios (aplicable a Serv-U6.0 la versión anterior, entonces se puede establecer directamente la contraseña) primero detenido Serv-U servicio
abierta ServUDaemon.exe
con Ultraedit Encuentra
ASCII: LocalAdministrator y #l@$ak#.lk; otros caracteres 0 @ P
modificado para ser de igual longitud a la, mismo proceso ServUAdmin.exe.

También tenga en cuenta que Serv-U para configurar los permisos de carpeta de archivos, donde, no deje que el usuario anónimo de IIS tiene permisos de lectura, de lo contrario establecido sus archivos modificados, todavía puede analizar su nombre y contraseña de administrador.