新萄京计算机网络

 新萄京计算机网络     |      2019-12-05

  为了保险起见,把 C:programdatamicrosofteHome 文件夹备份了一下,然后整个删除掉,再手动运行 mcupdate 任务,果不其然,程序自动新建了一个 ehome 文件夹,看看其文件夹权限,原来是这样的:

del C:WINNTSystem32wshom.ocx

  原来,出发这个异常的原因是另外一个异常:Could not open file stream: [c:programdatamicrosoftehomeCounter.mem]. Error code: 5. 无法打开文件 Counter.mem,而实际上这个文件我可以正常打开。

把服务器上面要用到的服务端口选中

  不过,想到 mcupdate.exe 是由任务计划程序启动而不是由用户启动的,所以其使用的用户帐户应该是系统服务帐户,而不是管理员用户帐户,可能是由于NTFS权限的原因,导致系统服务帐户不能打开这个文件。对比查看这两个文件的属性和 mcupdate.exe 的帐户权限信息,内容如下:

第二步:依次选中并删除Administrators、CREATOR OWNER、SYSTEM、Users,仅保留自己使用的Userl账户。在操作中可能会遇到如图3的提示框。

  并且,ehome 文件夹下的文件全都继承了它的权限列表,因此现在应该不会有问题了。

@=”C:\WINNT\system32\shell32.dll”

  果然,该程序以 NETWORK SERVICE 帐户身份运行(隶属于Users组),而发生访问错误的文件只允许Users组账户具有读取权限。为Users用户组手动分配读写权限之后,在系统的任务计划程序库中找到 mcupdate 任务,手动运行它,果然工作正常,再也没有出现异常提示:

你可以把这个保存为一个.reg文件运行试一下,但是可别就此了事,因为万一黑客也看了我的这篇文章,他会试验我改出来的这个名字的。

图片 1

一、系统的安装

  mcupdate.exe 是 Windows Media Center 组件(包含在Win7家庭高级版以上版本中)的更新程序,用于检测更新微软为媒体中心提供的在线服务和电视节目指南等内容。例如“互联网视频”功能本身不包含在 Windows 中,是通过 mcupdate.exe 网络更新的方式安装到系统中的。

regsvr32 jscript.dll (命令功能:修复Java动态链接库)

  所幸 Windows Media Center 是基于 Microsoft .NET Framework 开发的,由于运行的是 MSIL 代码而不是直接以二进制代码运行,所以在没有对代码进行混淆和加密的情况下,可以很方便的进行调试。开始调试后可以直接看到错误的原因:

3、禁用不必要的服务
开始菜单—>管理工具—>服务
Print Spooler
Remote Registry
TCP/IP NetBIOS Helper
Server

  如果用户没有运行过 Windows Media Center,该更新程序并不会运行;如果用户曾经运行过 Windows Media Center,那么他会被 Windows “任务计划”周期性的调用执行。这也就是为什么每天都会发生一次异常。

如果论坛管理员关闭了上传功能,则黑客会想办法获得超管密码,比如,如果你用动网论坛并且数据库忘记了改名,人家就可以直接下载你的数据库了,然后距离找到论坛管理员密码就不远了。

  由于当前系统中安装有 Visual Studio,因此在产生异常时会弹出是否使用 Visual Studio 进行调试的对话框。

[HKEY_CLASSES_ROOTCLSID{13709620-C279-11CE-A49E-444553540001}VersionIndependentProgID]

  意思是无法还原 Windows Media Center 的电视节目指南数据库 mcepg2-1.db 文件。先打开文件所在位置看一下有何异常,文件好好的在那里,看起来一切正常啊。没关系,继续在Visual Studio中查看异常信息,点击“查看详细信息…”,可以看到如下内容:

改名不安全组件

  不过,这个系统最近出了一点问题,每天都会有 mcupdate.exe 这个进程产生异常,无法正常执行。

SYSTEMCurrentControlSetControlTerminal ServerWinStationsRDP-Tcp 改3389 的

图片 2 图片 3

那么,就把刚才导出的.reg文件里的内容按上面的对应关系替换掉,然后把修改好的.reg文件导入到注册表中(双击即可),导入了改名后的注册表项之后,别忘记了删除原有的那两个项目。这里需要注意一点,Clsid中只能是十个数字和ABCDEF六个字母。

  为何该文件夹的权限被修改,我没有去深究,但是这个问题启发我在以后的排错过程中应当包含对访问权限的测试和检查,有时候即使文件的其他方面没有任何问题,错误的访问权限也会带来一些麻烦,所以奉劝大家以后也不要随便修改系统文件和文件夹的NTFS权限,说不定下次出问题就没这么容易排查了。

c:Main (如果主控端网站放在这个目录)
administrators 全部
system 全部
IUSR_*,默认的Internet来宾帐户(或专用的运行用户)
读取和运行

Windows 7 是在前年刚买的时候装的,一直没有重装。在这期间没有使用任何第三方优化软件,但运行起来一切正常。这说...

?IIS匿名用户,每个IIS站点或者虚拟目录,都可以设置一个匿名访问用户(现在暂且把它叫“IIS匿名用户”),当用户访问你的网站的.ASP文件的时候,这个.ASP文件所具有的权限,就是这个“IIS匿名用户”所具有的权限。

  Failed to recover store: C:ProgramDataMicrosofteHomemcepg2-1.db

最危险的组件是WSH和Shell,因为它可以运行你硬盘里的EXE等程序,比如它可以运行提升程序来提升SERV-U权限甚至用SERVU来运行更高权限的系统程序。

图片 4

权限设置

图片 5

[HKEY_CLASSES_ROOTCLSID{13709620-C279-11CE-A49E-444553540001}Version]

  家中台式电脑上的 Windows 7 是在前年刚买的时候装的,一直没有重装。在这期间没有使用任何第三方优化软件,但运行起来一切正常。这说明只要使用得当,Windows 完全可以很稳定的长期运行,不需要定期重装,也不需要使用优化软件。

——————————————————————————–
实例3:来者是客--微软内部增强系统安全的秘技
本实战内容将需要管理员权限。所谓入侵,无非就是利用某种方法获取到管理员级别的权限或系统级的权限,以便进行下一步操作,如添加自己的用户。如果想要使入侵者”进来”之后不能进行任何操作呢?永远只能是客人权限或比这个权限更低,就算本地登录,连关机都不可以。那么,他将不能实施任何破坏活动。
注意:此法有较高的危险性.建议完全不知道以下程序用途的读者不要尝试.以免误操作引起系统不能进入或出现很多错误。
第一步:确定要设置的程序
搜索系统目录下的危险程序,它们可以用来创建用户夺取及提升低权限用户的权限,格式化硬盘,引起电脑崩溃等恶意操作:cmd.exe、regedit.exe、regsvr32.exe、regedt32.exe、gpedit.msc、format.com、compmgmt.msc、mmc.exe、telnet.exe、tftp.exe、ftp.exe、XCOPY.EXE、at.exe、cacls.exe、edlin.exe、rsh.exe、finger.exe、runas.exe、net.exe、tracert.exe、netsh.exe、tskill.exe、poledit.exe、regini.exe、cscript.exe、netstat.exe、issync.exe、runonce.exe、debug.exe、rexec.exe、wscript.exe、command.com、comsdupd.exe
第二步:按系统调用的可能性分组设置
按照下面分组.设置这些程序权限。完成一组后,建议重启电脑确认系统运行是否一切正常,查看”事件查看器”,是否有错误信息(”控制面板→管理工具→事件查看器”)。
(1)cmd.exe、net.exe gpedit.msc telnet.exe command.com
(仅保留你自己的用户,SYSTEM也删除)
(2)mmc.exe、tftp.exe、ftp.exe、XCOPY.EXE、comsdupd.exe
(仅保留你自己的用户,SYSTEM也删除)
(3)regedit.exe、regedt32.exe、format.com、compmgmt.msc、at.exe、cacls.exe、edlin.exe、rsh.exe、finger.exe、runas.exe、debug.exe、wscript.exe、cscript.exe、rexec.exe
(保留你自己的用户和SYSTEM)
(4)tracert.exe、netsh.exe、tskill.exe、poledit.exe、regini.exe、netstat.exe、issync.exe、runonce.exe、regsvr32.exe
(保留你自己的用户和SYSTEM)
第三步:用户名欺骗
这个方法骗不了经验丰富的入侵者,但却可以让不够高明的伪黑客们弄个一头雾水。
打开”控制面板一管理工具一计算机管理”,找到”用户”,将默认的Administrator和Guest的名称互换,包括描述信息也换掉。完成后,双击假的”Administrator”用户,也就是以前的Guest用户.在其”属性”窗口中把隶属于列表里的Guests组删除.这样.这个假的”管理员”账号就成了”无党派人士”,不属于任何组,也就不会继承其权限。此用户的权限几乎等于0,连关机都不可以,对电脑的操作几乎都会被拒绝。如果有谁处心积虑地获取了这个用户的权限,那么他肯定吐血。
第四步:集权控制,提高安全性
打开了组策略编辑器,找到”计算机设置→windows设置→安全设置→本地策略→用户权利指派”(见图4),接着根据下面的提示进行设置。

图片 6

另外注意设置Serv-U所在的文件夹的权限,不要让IIS匿名用户有读取的权限,否则人家下走你修改过的文件,照样可以分析出你的管理员名和密码。

图片 7

【开始→程序→管理工具→服务】,找到Workstation,停止它,禁用它。

  但我认为,这两个文件的权限一定是被修改了,才会导致这样的问题。那他们的默认权限究竟是怎样的呢?一种方法是从其他正常的系统中查看一下这里的文件权限,另外还可以尝试一下把他们删除掉,看程序能否自动创建他们,如果可以,那一定可以为他们分配一个正确的NTFS访问权限列表。

╰═══════════════╯╰═══════════════╯

4、备份系统
用GHOST备份系统。

@=”{50a7e9b0-70ef-11d1-b75a-00a0c90564fe}”

走出Windows权限迷魂阵
在电脑应用中经常会看到”权限”这个词,特别是Windows 2000/XP被越来越多的朋友装进电脑后,常常会有读者问,什么是权限呢?它到底有什么用?下面我们将用几个典型实例为大家讲解windows中的权限应用,让你不仅可以在不安装任何软件的情况下,限制别人访问你的文件夹、指定用户不能使用的程序,而且还有来自微软内部的加强系统安全的绝招。
——————————————————————————–

Print Spooler

regsvr32/u C:WINNTSystem32wshom.ocx

[HKEY_CLASSES_ROOTCLSID{13709620-C279-11CE-A49E-444553540001}InProcServer32]

@=”{13709620-C279-11CE-A49E-444553540001}”

其实只要单击”高级”按钮,在”权限”选项卡中,取消”从父项继承那些可以应用到子对象的权限项目,包括那些在此明确定义的项目”的复选框,在弹出对话框中单击”删除”即可。该操作使此文件夹清除了从上一级目录继承来的权限设置,仪保留了你使用的User1账户。
就这么轻松,你就实现了其他用户,甚至系统权限都无法访问”test”文件夹的目的。
★需要注意的是,如果这个文件夹中需要安装软件,那么就不要删除”SYSTEM”,不然可能引起系统访问出错
★Administrator并不是最高指挥官:你可能会问,为什么这里会有一个”SYSTEM”账户呢?同时许多朋友认为windows2000/XP中的Administrator是拥有权限最高的用户,其实不然,这个”SYSTEM”才具有系统最高权限,因为它是”作为操作系统的一部分工作”,任何用户通过某种方法获取了此权限,就能凌驾一切。

系统盘及所有磁盘只给 Administrators 组和 SYSTEM 的完全控制权限

Windows2003基本的web服务器安全设置
栏目: | 作者:青鳥南飛 | 点击:164 | 回复:0 | 2006-6-26 14:40:39
基本的服务器安全设置
1、安装补丁

系统盘Inetpub 目录及下面所有目录、文件只给 Administrators 组和 SYSTEM 的完全控制权限

Remote Registry

在阿江探针1.9里加入了不安全组件检测功能(其实这是参考7i24的代码写的,只是把界面改的友好了一点,检测方法和他是基本一样的),这个功能让很多站长吃惊不小,因为他发现他的服务器支持很多不安全组件。

如果你要提供服务的端口不在里面,你也可以点击“添加”铵钮来添加,具体参数可以参照系统里面原有的参数。

[HKEY_CLASSES_ROOTCLSID{13709620-C279-11CE-A49E-444553540001}]

3、系统补丁的更新
点击开始菜单—>所有程序—>Windows Update
按照提示进行补丁的安装。

如果安装了我们的软件:
c:Program FilesLIWEIWENSOFT
Everyone 读取和运行,列出文件夹目录,读取
administrators 全部
system 全部
IIS_WPG 读取和运行,列出文件夹目录,读取

@=”Shell.Application_ajiang.1″

c:windowsphp.ini
administrators 全部
system 全部权限
SERVICE 全部
Users 只读和运行

c:Program Files
Everyone 只有该文件夹
不是继承的
列出文件夹/读数据
administrators 全部
iis_wpg 只有该文件夹
列出文件/读数据
读属性
读扩展属性
读取权限

C:WINDOWSMicrosoft.Net
administrators 全部
Creator owner
不是继承的
只有子文件夹及文件
完全
Power Users
修改,读取和运行,列出文件夹目录,读取,写入
system 全部
Users 读取和运行,列出文件夹目录,读取

C、本地策略——>安全选项
交互式登陆:不显示上次的用户名       启用
网络访问:不允许SAM帐户和共享的匿名枚举   启用
网络访问:不允许为网络身份验证储存凭证   启用
网络访问:可匿名访问的共享         全部删除
网络访问:可匿名访问的命          全部删除
网络访问:可远程访问的注册表路径      全部删除
网络访问:可远程访问的注册表路径和子路径  全部删除
帐户:重命名来宾帐户            重命名一个帐户
帐户:重命名系统管理员帐户         重命名一个帐户

c:Program FilesInstallShield Installation Information (如果有)
c:Program FilesInternet Explorer (如果有)
c:Program FilesNetMeeting (如果有)
administrators 全部

权限设置

2003的端口屏蔽可以通过自身防火墙来解决,这样比较好,比筛选更有灵活性,桌面—>网上邻居—>(右键)属性—>本地连接—>(右键)属性—>高级—>(选中)Internet 连接防火墙—>设置

利用ASP漏洞攻击的常见方法及防范

(1)减少可访问此计算机的用户数,减少被攻击机会
找到并双击”从网络访问此计算机”,删除账户列表中用户组,只剩下”Administrators”;
找到并双击”拒绝本地登录”,删除列表中的”Guest”用户,添加用户组”Guests”。
(2)确定不想要从网络访问的用户,加入到此”黑名单”内
找到并双击”拒绝从刚络访问这台计算机”,删除账户列表中的”Guest”用户,添加用户组”Guests”;
找到并双击”取得文件或其他对象的所有权”,添加你常用的账户和以上修改过名称为”Guest”的管理员账户,再删除列表中”Administrators”。
(3)防止跨文件夹操作
找到并双击”跳过遍历检查”,添加你所使用的账户和以上修改过名称为”Guest”的管理员账户,再删除账户列表中的”Administrators”、”Everyone”和”Users”用户组。
(4)防止通过终端服务进行的密码猜解尝试
找到并双击”通过终端服务拒绝登录”,添加假的管理员账户”Administrator”;找到”通过终端服务允许登录”,双击,添加你常用的账户和以上修改过名称为”Guest”的管理员账户,再删除账户列表中的”Administrators”,”Remote Desktop User”和”HelpAssistant”(如果你不用远程协助功能的话才可删除此用户)。
(5)避免拒绝服务攻击
找到并双击”调整进程的内存配额”,添加你常用的账户,再删除账户列表中的”Administrators”

B、 本地策略——>用户权限分配
关闭系统:只有Administrators组、其它全部删除。
通过终端服务拒绝登陆:加入Guests、User组
通过终端服务允许登陆:只加入Administrators组,其他全部删除

用Ultraedit打开ServUDaemon.exe查找Ascii:LocalAdministrator,和#l@$ak#.lk;0@P,修改成等长度的其它字符就可以了,ServUAdmin.exe也一样处理。

4、禁用不必要的服务

c:Program FilesCommon Files
administrators 全部
Creator owner
不是继承的
只有子文件夹及文件
完全
Power Users
修改,读取和运行,列出文件夹目录,读取,写入
system 全部
TERMINAL SERVER Users(如果有这个用户)
修改,读取和运行,列出文件夹目录,读取,写入
Users 读取和运行,列出文件夹目录,读取

开始菜单—>管理工具—>服务

Windows Registry Editor Version 5.00

其实,注销了Shell组件之后,侵入者运行提升工具的可能性就很小了,但是prel等别的脚本语言也有shell能力,为防万一,还是设置一下为好。

Shell.application 改名为 Shell.application_ajiang

@=”Shell Automation Service”

其实,只要做好了上面的权限设置,那么FSO、XML、strem都不再是不安全组件了,因为他们都没有跨出自己的文件夹或者站点的权限。那个欢乐时光更不用怕,有杀毒软件在还怕什么时光啊。

@=”1.1″

C:WINDOWSMicrosoft.Net
administrators 全部
Creator owner
不是继承的
只有子文件夹及文件
完全
Power Users
修改,读取和运行,列出文件夹目录,读取,写入
system 全部
Users 读取和运行,列出文件夹目录,读取

c:inetpubmailroot
administrators 全部
system 全部
service 全部

——————————————————————————–
实例2:上班时间别聊天-禁止用户使用某程序
第一步:找到聊天程序的主程序,如QQ,其主程序就是安装目录下的QQ.exe,打开它的属性对话框,进入”安全”选项卡,选中或添加你要限制的用户,如User3。
第二步:接着选择”完全控制”为”拒绝”,”读取和运行”也为”拒绝”。
第三步:单击”高级”按钮进入高级权限没置,选中User3,点”编辑”按钮,进入权限项目。在这里的”拒绝”栏中选中”更改权限”和”取得所有权”的复选框。
也可以使用组策略编辑器来实现此功能,但安全性没有上面方法高。点击”开始→运行”,输入”gpedit.msc”,回车后打开组策略编辑器,进入”计算机设置→windows设置→安全设置→软件限制策略→其他规则”,右击,选择”所有任务→新路径规则”,接着根据提示设置想要限制的软件的主程序路径,然后设定想要的安全级别,是”不允许的”还是”受限制的”。

del C:WINNTsystem32shell32.dll

?NTFS权限设置,请记住分区的时候把所有的硬盘都分为NTFS分区,然后我们可以确定每个分区对每个用户开放的权限。【文件(夹)上右键→属性→安全】在这里管理NTFS文件(夹)权限。

@=”Shell.Application_ajiang”

C:phpuploadtemp
C:phpsessiondata
everyone
全部

系统盘Documents and Settings 目录只给 Administrators 组和 SYSTEM 的完全控制权限

组件是为了应用而出现的,而不是为了不安全而出现的,所有的组件都有它的用处,所以在卸载一个组件之前,你必须确认这个组件是你的网站程序不需要的,或者即使去掉也不关大体的。否则,你只能留着这个组件并在你的ASP程序本身上下工夫,防止别人进来,而不是防止别人进来后SHELL。

5、安装常用的软件
例如:杀毒软件、解压缩软件等;安装之后用GHOST再次备份系统。

c:Program FilesWindowsUpdate
Creator owner
不是继承的
只有子文件夹及文件
完全
administrators 全部
Power Users
修改,读取和运行,列出文件夹目录,读取,写入
system 全部