Win2K で IIS をインストールし、asp+cgi+php+mysql_PHP を構成するチュートリアル
- WBOYオリジナル
- 2016-07-15 13:23:291290ブラウズ
win2K をインストールし、IIS をインストールします。このうち、Indexing Service、FrontPage 2000 Server Extensions、Internet Service Manager (HTML) をインストールする必要があります。つまり、不要なものはインストールしないでください。 (セキュリティ原則によれば、最小限のサービス + 最小限のアクセス許可 = 最大のセキュリティです。)
まず、インターネット マネージャーを開きます ([スタート] -> [プログラム] -> [管理] -> [インターネット サービス管理])。上記のようにインストールされている場合は、内部にはデフォルト サイトと SMTP サービス項目があります。デフォルト サイトを選択し、その下のディレクトリをすべて削除します。 (キーボードの削除キーを押します) iis を停止する最も簡単な方法は次のとおりです: [スタート] --> [ファイル名を指定して実行] --> 「net stop iisadmin」と入力します。 Y を選択して Enter キーを押します (起動コマンドは net start w3svc です)。 Inetpub を C ドライブに配置します。ディレクトリを完全に削除し (iis を停止した後にのみ削除できます)、別のディスクに新しいディレクトリを作成し、IIS マネージャーでデフォルト サイトのホーム ディレクトリを新しく作成したディレクトリに指定します。アクセス許可が必要な場合は、ゆっくりと作成してください。ディレクトリには何が必要ですか?
(書き込み権限とプログラムの実行権限には特に注意してください。必要な場合以外は与えないでください。デフォルトでは与えられていないので勉強する必要はありません(笑))
アプリケーションの設定: IIS マネージャーで必要なものを削除します。不要なマッピングはすべて残し、ASP、ASA、および本当に使用する必要があるその他のファイル タイプを残します (cgi、php を除く、その他は使用しないと思います。htw、htr、idq を削除します) 、いだ…) 何を使って良いのか分かりません どこを削除すればいいですか? ?方法:「インターネットサービス管理」→「サイトを選択」→「プロパティ」→「WWWサービス」→「編集」→「ホームディレクトリ」→「構成」→「アプリケーションマッピング」を開き、一つずつ削除していきます(全部選択しないと本当に面倒です) )。次に、ウィンドウのアプリケーション デバッグ ブックマークにテキストを送信するようにスクリプト エラー メッセージを変更します (ASP エラーが発生したときにユーザーにプログラム/ネットワーク/データベースの構造を知らせたい場合を除く)。エラー テキストには何を書くべきですか?何を好むかはあなた次第です。 [OK] をクリックして終了するときは、設定した属性を仮想ディレクトリに継承させることを忘れないでください。
CGI 脆弱性スキャナーの増加に対処するために、IIS の URL を介して HTTP404 Object Not Found エラー ページをカスタマイズされた HTM ファイルにリダイレクトすることで、現在の CGI 脆弱性を最大限に活用できるちょっとしたトリックがあります。スキャナーの故障。実際、その理由は非常に単純です。ほとんどの CGI スキャナは、返されたページの HTTP コードを見て脆弱性が存在するかどうかを判断します。たとえば、有名な IDQ の脆弱性は、通常 1.idq を使用してテストされます。 HTTP200 が返された場合は、脆弱性があると考えられます。逆に、HTTP404 が返された場合は、HTTP404 エラー メッセージを URL 経由で HTTP404.htm ファイルにリダイレクトすると、脆弱性はないと考えられます。スキャンでは、脆弱性があるかどうかに関係なく、90% の確率で HTTP200 が返されます。CGI スキャナは、あらゆる種類の脆弱性があると判断し、その結果、実際の脆弱性を隠蔽し、侵入者を困惑させます。しかし、個人的な観点から言えば、このようなトリックよりも、しっかりとしたセキュリティ設定の方がはるかに重要であると考えています。
Win2000 アカウントのセキュリティは、もう 1 つの重要なポイントです。まず、Win2000 のデフォルトのインストールでは、すべてのユーザーが空のユーザーを介してシステム内のすべてのアカウント/共有リストを取得できます。これは本来、LAN ユーザーがファイルを共有しやすくすることを目的としています。リモート ユーザーはユーザー リストを取得し、ブルート フォースを使用してユーザー パスワードを解読することもできます。多くの友人は、レジストリ Local_MachineSystemCurrentControlSetControlLSA-RestrictAnonymous = 1 を変更することで 139 の空の接続を禁止できることを知っています。実際、win2000 のローカル セキュリティ ポリシー (ドメイン サーバーの場合は、ドメイン サーバー セキュリティとドメイン セキュリティ ポリシーにあります)このようなオプション RestrictAnonymous (匿名接続に対する追加の制限) には、次の 3 つの値があります:
0: デフォルトのアクセス許可に依存します (なし、デフォルトのアクセス許可に依存します)
1: SAM アカウントと共有の列挙を許可しません (許可します) SAM アカウントの列挙と共有は許可されません)
2: 明示的な匿名アクセス許可がなければアクセスは許可されません (明示的な匿名アクセス許可がなければアクセスは許可されません)
0 この値はシステムのデフォルトであり、制限はなく、リモート ユーザーはすべてのアカウントを知ることができますマシン上のグループ情報、共有ディレクトリ、ネットワーク送信リスト (NetServerTransportEnum など) などの設定はサーバーにとって非常に危険です
1 この値は、NULL 以外のユーザーのみに SAM アカウント情報と共有情報へのアクセスを許可します。この値は win2000 サポートでのみ使用可能です。この値を使用すると、すべての共有が破棄されるため、1 に設定することをお勧めします。
そうですね、現在、侵入者はユーザーを取得する方法がありません。リスト、私たちのアカウントは安全です...待って、パスワードを変更できるアカウントが少なくとも 1 つあります。これを変更して、「コンピュータの管理」->「管理者」を右クリックします。ユーザー アカウント。覚えている限り、名前を任意の名前に変更します。スーパー管理ユーザー名を変更した後も、その名前はターミナル サービスのログイン インターフェイスに表示されます (ログイン後も覚えられます)。変更方法: regedit を実行し、HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsNTCurrentVersionwinlogon 項目で「最後のユーザー名を表示しない」文字列データを見つけて 1 に変更し、システムが最終ログイン ユーザー名を自動的に表示しないようにします。
セキュリティのために、TCP/IP フィルタリングをオンにすることもできます。デスクトップの [マイ ネットワーク] を右クリック -> [プロパティ] -> 構成するネットワーク カードを右クリック -> [プロパティ] -> [TCP/IP] -> [詳細設定] - > [オプション] -> [TCP/IP フィルタリング] には、TCP ポート、UDP ポート、および IP プロトコル TCP ポートの 3 つのフィルタがあります。[許可する] をクリックして、以下に開く必要があるポートを追加します。サーバーは 80 (www) のみを開く必要があり、FTP サーバーは 20 (FTP データ)、21 (FTP コントロール)、3306 (Mysql)、3389 (リモート ターミナル コントロール、ホストが他の人のコンピューター ルームでホストされている場合) を開く必要があります。直接操作することはできません。これが必要です) メール サーバー 25 (SMTP) と 110 (POP3) を開く必要がある場合があります。ポートについては調べていませんが、この記事で提供されているサービスに従えば、開くだけで済みます。少数以上。 (80, 20, 21, 25, 3306, 3389)
cgi サポート
activeperl をダウンロード ( で入手可能)