在這里說一下我以為比較安全的win2000虛擬主機的權(quán)限設(shè)置方法，僅僅是說下權(quán)限設(shè)置。

一.虛擬主機需要的軟件及環(huán)境

1.Serv-U5.0.11（似乎不安全，但是也未必）

2.Mysql數(shù)據(jù)庫

3.Mssql數(shù)據(jù)庫

4.PcAnyWhere遠程控制

5.殺毒軟件，我一般使用諾頓8.0

6.php5

7.ActivePerl5.8

以上各種軟件，除Mssql數(shù)據(jù)庫以為，其他的都應(yīng)去官方網(wǎng)站下載推薦版本安裝。下面開始就是安裝設(shè)置了，從系統(tǒng)安裝完開始。假設(shè)系統(tǒng)安裝的windows2000高級服務(wù)器版，系統(tǒng)分為c盤，d盤和e盤，全部是ntfs格式。

二.系統(tǒng)端口設(shè)置

虛擬主機，一般同時使用PcanyWhere和終端服務(wù)進行控制，終端服務(wù)要更改端口，比如修改成8735端口。根據(jù)要開放的服務(wù)，去設(shè)置TCP/IP篩選。為什么不使用本地安全策略了？個人認為TCP/IP篩選比較嚴(yán)格，因為這里是除非明確允許否則拒絕，而本地安全策略是除非明確拒絕否則允許。如果我理解不當(dāng)，還請指教。TCP/IP篩選設(shè)置如下：

TCP端口只允許21，80，5631，8735，10001，10002，10003，10004，10005；IP協(xié)議只允許6；UDP端口我沒有做過詳細測試，不敢亂說，以后測試了再補上。TCP/IP端口里面的10001-10005是設(shè)置Serv-U的PASV模式使用的端口，當(dāng)然也可以使用別的。

本地連接屬性里面，卸載所有的其他協(xié)議，只留下Internet協(xié)議（TCP/IP），順便把administrator帳號改個復(fù)雜點的名字，并且在本地安全策略里面設(shè)置不顯示上次登陸帳號，對帳號鎖定做出合適的設(shè)置。然后重新啟動計算機，這步設(shè)置已經(jīng)完成。

現(xiàn)在開始安裝軟件，所有的軟件都安裝在d盤，e盤作數(shù)據(jù)備份使用。先安裝Serv-U到d:Serv-U，并且漢化順便破解，嘿嘿。然后依次安裝到d盤。現(xiàn)在開始設(shè)置權(quán)限。首先二話不說，c盤，d盤和e盤的安全里面把Everyone刪除，添加改名后的administrator和system，讓他們完全控制。 高級里面重置所有子對象的權(quán)限并允許傳播可繼承權(quán)限。這樣系統(tǒng)所有的文件，目錄全部是由改名后的administrator和system控制了，并且自動繼承上級目錄的權(quán)限，下面開始為每個目錄設(shè)置對應(yīng)的權(quán)限。

運行asp，建立數(shù)據(jù)庫連接需要使用C:Program FilesCommon Files目錄下面的文件。在這里，設(shè)置C:Program FilesCommon Files權(quán)限，加入everyone，權(quán)限為讀取，列出文件夾目錄，讀取及運行。還可以使用高級標(biāo)簽進行更加嚴(yán)格的設(shè)置，但是我沒有做過，不敢胡說。

運行php，需要設(shè)置c:winntphp.ini的權(quán)限，讓everyone有讀取權(quán)限即可。如果php的session目錄設(shè)置為c:winnttemp目錄，此目錄應(yīng)該讓everyone有讀取寫入權(quán)限。為提高性能，php設(shè)置為使用isapi解析，d:php目錄讓everyone有讀取，列出文件夾目錄，讀取及運行權(quán)限。至于php.ini的設(shè)置，這里我就不說了。第一我不很懂，第二我只講系統(tǒng)權(quán)限設(shè)置。

運行cgi，設(shè)置d:perl讓everyone有讀取，列出文件夾目錄，讀取及運行權(quán)限。順便說下，cgi設(shè)置為使用isapi方式解析有利于安全和性能。

現(xiàn)在說下讓人頭大的Serv-U的設(shè)置了。這東西功能確實強大，但是安全性不怎么好，需要我們來改造。最首先的是溢出攻擊，5.0.11好象已經(jīng)沒有這個缺陷了。其次是修改ini配置文件，這里已經(jīng)沒有權(quán)限修改了，略過不提。據(jù)我所知現(xiàn)在唯一的辦法就是使用默認的管理帳號和密碼添加有寫入執(zhí)行權(quán)限的帳號來執(zhí)行木馬了。

把默認帳號密碼修改掉就完了，這個東西直接使用editplus之類的編輯器打開ServUDaemon.exe和ServUAdmin.exe修改就可以了。如果懶得麻煩，隨便什么語言寫個程序都很容易作到。我以前寫過一個這樣的東西，方便自己設(shè)置。現(xiàn)在Serv-U基本上沒有什么問題了。

至于數(shù)據(jù)庫，權(quán)限已經(jīng)不用設(shè)置了，直接繼承d盤根目錄就可以。至于里面的帳號密碼該怎么設(shè)置，我也懶得說了。

現(xiàn)在最后一點，就是設(shè)置c:winntsystem32目錄和他下面的一些東西了。很多程序運行需要這里的動態(tài)連接庫，而且這里文件太多，我也沒有弄明白所有的，把目錄c:winntsystem32給everyone賦予讀取，列出文件夾目錄，讀取及運行即可。

其實，這樣做是不安全的，但是別慌，我們還沒有完。在這個目錄下面，我們還需要對幾個特別程序進行單獨的設(shè)置。首先就是cacls.exe，嘿嘿，先把這個設(shè)置了在說別的。這東東是設(shè)置權(quán)限用的，讓它不繼承父目錄權(quán)限，并且讓它拒絕任何人訪問，因為我們一般不使用這個鳥東西。其他的要設(shè)置的程序列表如下：net.exe,cmd.exe,ftp.exe,tftp.exe,telnet.exe，這幾個程序設(shè)置成只允許改名后的administrator訪問。

現(xiàn)在就想起這么多，這是今天上班空閑時間零零碎碎寫的，以后再補充吧。

補充：禁止 非管理員組訪問winnt目錄 再把需要調(diào)用的文件 從winnt弄出來 重新 賦予它讀取路徑。

eNet硅谷動力提供以上內(nèi)容