在管理员权限下打开cmd命令行
C:\Users\administrator>netsh i i show in
Idx Met MTU 状态 名称
— — —– ———– ——————-
1 50 4294967295 connected Loopback Pseudo-Interface
8 20 1500 connected 本地连接
得到本地连接的index值为8
下面执行:
C:\Users\administrator>netsh -c "i i" add neighbors 8 "192.168.1.1" "00-d0-b7-47-07-a3"
代码:
#####
# 手工指定的方式
################################
# ipconfig fxp0 192.168.8.33/24 # 添加网卡ip
# route add default 192.168.8.1 # 添加路由(也可理解为网关)
立即生效,但是重启后失效。
如何重启后仍然保持呢?
代码:
# ee /etc/rc.conf
ifconfig_fxp0="inet 192.168.8.8 netmask 255.255.255.0 " # fxp0 网卡地址和子网掩码
defaultrouter="192.168.8.10" # 网关地址
hostname="study.nowire.com.cn" # 机器名
ifconfig_wi0="inet 192.168.8.55 netmask 255.255.255.0" # wi0 网卡地址,对应无线网卡
修改 /etc/rc.conf (注意:FreeBSD6.2是在/etc/default/rc.conf中修改)配置之后可以通过如下方式生效:
第一种方法:# sh /etc/rc
第二种方法:# /etc/netstart
第三种方法:重启机器
代码:
#####
# DHCP 方式
################################
在 /etc/rc.conf 中添加:
ifconfig_fxp0="DHCP"
需要根据具体情况指定网卡名称。
修改 /etc/rc.conf 配置之后可以通过如下方式生效:
第一种方法:# sh /etc/rc
第二种方法:# /etc/netstart
第三种方法:重启机器
#####
# 关于 DNS 地址的配置
################################
# ee /etc/resolv.conf
nameserver 202.96.209.133
nameserver 202.96.209.5
#####
# 控制网卡的开关
################################
ifconfig fxp0 up
ifconfig fxp0 down
#####
# 路由方面的配置
################################
查看路由
代码:
netstat -rn
添加路由(相当于配置gateway)
代码:
route add default 192.168.8.1 # 192.168.8.1为网关地址
如果要修改当前路由配置,需要先删除,再新增一条,当然如果不是同名的,如不是default的可以直接添加
代码:
route delete default 192.168.8.1
route add default 192.168.8.10
#####
# DHCP release
################################
# dhclient -r Release the current lease and exit the client.
Here's a clip of dhclient from the FreeBSD man pages;
"The client normally doesn't release the current lease as it is not required by the DHCP protocol. Some cable ISPs require their clients to notify the server if they wish to release an assigned IP address. The -r flag explicitly releases the current lease, and once the lease has been released, the client exits."
If you are getting kill: xxxx: No such process This means the dhclient process was already stopped
#####
# 指定 interface 通过 dhcp 获取 IP
################################
# dhclient xl0 Starts the dhclient process for interface xl0
I think its a good idea to specify an interface Otherwise you may notice your /var/log/messages filling up with "dhclient: send_packet: Address family not supported by protocol family"
Here's a clip of dhclient from the FreeBSD man pages;
"If no interface names are specified on the command line dhclient will normally identify all network interfaces, elimininating non-broadcast interfaces if possible, and attempt to configure each interface."
#####
# 指定某个 interface 在通过 DHCP 获取不成功的时候,限定一个固定 IP
################################
方法:
在 /etc/dhclient.conf 中添加
代码:
alias {
interface "xl0";
fixed-address 192.168.42.40;
option subnet-mask 255.255.255.0;
}
举例:
代码:
# ee /etc/dhclient.conf
# $FreeBSD: src/etc/dhclient.conf,v 1.2.2.1 2001/12/14 11:44:31 rwatson Exp $
#
# This file is required by the ISC DHCP client.
# See “man 5 dhclient.conf'' for details.
#
# In most cases an empty file is sufficient for most people as the
# defaults are usually fine.
#
alias {
interface "xl0";
fixed-address 192.168.42.40;
option subnet-mask 255.255.255.0;
}
上例的作用是,当 dhclient 不能通过 DHCP server 获取 IP 时,则使用 192.168.42.40 这个固定 IP。
1. 在IE地址栏中直接输人
http://edit.my.yahoo.com/config/set_popfwd?.src=ym,进人到YAHOO!“网上直投”的页面。(没登陆的先登陆)
2. 在注册一项中选择“是”,然后选择你感兴趣的内容,其它的选项可以根据需要来选择,然后按"完成"按钮。
3. 选择“网上阅读邮件和POP功能”,其它选项可根据自己的需要选择,完成后按“提交”按钮。
4. 此时“网上直投”注册成功,系统会告诉你的“服务器设置”:
接收邮件(POP3)服务器:POP.MAIL.YAHOO.COM.CN
发送邮件(SMTP)服务器:SMTP.MAIL.YAHOO.COM.CN
注意:虽然每个雅虎信箱用户的POP和SMTP的地址都是相同的,但是用户如果不按上面的方法进行“网上直投”注册,仍然无法用POP和SMTP方式收发邮件的!
在MIME Map部分,点击File Type并且输入以下信息:
Associated Extension MIME Type
wml text/vnd.wap.wml
wmlc application/vnd.wap.wmlc
wbmp image/vnd.wap.wbmp
wmlsc application/vnd.wap.wmlscriptc
wmls text/vnd.wap.wmlscript
wsc application/vnd.wap/wmlscriptc
在WINDOWS vista下装红警2,运行之后出现:
***FATAL***String Manager failed to initilaized properly 对话框!
1.以管理员身份运行RegSetup
2.将安装目录名改为英文名整个目录树不能有中文字符奥
windows 2003粉墨登场,很多赶时髦的用户已经早就试用了,但尽管2003号称安全性有很大突破,但其默认支持.net架构,而抛弃使用了很久的大众化的Asp的路线缺饱受质疑,需要我们手动去配置很多东西。在 IIS 6.0 中,默认设置是特别严格和安全的,这样可以最大限度地减少因以前太宽松的超时和限制而造成的攻击。比如说默认配置数据库属性实施的最大 ASP 张贴大小为 204,800 个字节,并将各个字段限制为 100 KB。在 IIS 6.0 之前的版本中,没有张贴限制。导致我们的应用系统往2003移植经常会出错。现汇总解决方案如下。
一、启用Asp支持
Windows Server 2003 默认安装,是不安装 IIS 6 的,需要另外安装。安装完 IIS 6,还需要单独开启对于 ASP 的支持。
第一步,启用Asp,进入:控制面板 -> 管理工具 ->IIS(Internet 服务器)- Web服务扩展 -> Active Server Pages -> 允许/控制面板 -> 管理工具 ->IIS(Internet 服务器)- Web服务扩展 -> 在服务端的包含文件 -> 允许
第二步,启用父路径支持。IIS-网站-主目录-配置-选项-启用父路径
第三步,权限分配
IIS-网站-(具体站点)-(右键)权限-Users完全控制 ISUR_计算机 的权限 最好是写入也加上
二、启用PHP方法
在网上下载PHP安装程序后, 运行安装包来安装完成PHP后,最后还需要配置一下WIN2003的IIS,很多用户卡在这问题上,所以这里只对这种问题讲解一下。
打开WIN2003中的“Internet信息服务(IIS)管理器”->“WEB服务扩展”,按菜单上的“操作”->“添加一个新的WEB服务扩展”
在“扩展名”中输入“PHP”,按“添加”,在弹出新的窗口中按“浏览”,选择安装PHP目录中的php4ts.dll文件后,在原本的窗口中“设置扩展状态为允许”前面打勾,确定即可。
将IIS管理器中的“所有未知ISAPI扩展”设置为允许,这样配置就OK了,如下图所示:
三、解决windows2003最大只能上载200K的限制。
先在服务里关闭iis admin service服务
找到windows\system32\inesrv\下的metabase.xml,打开,找到ASPMaxRequestEntityAllowed 把他修改为需要的值
然后重启iis admin service服务
1、在web服务扩展 允许 active server pages和在服务器端的包含文件
2、修改各站点的属性 主目录-配置-选项-启用父路径
3、使之可以上传大于 200k的文件(修改成您要的大小就可以了,如在后面补两个0,就允许20m了)c:\WINDOWS\system32\inetsrv\MetaBase.xml
(企业版的windows2003在第592行,默认为 AspMaxRequestEntityAllowed="204800" 即200K将其加两个0,即改为,现在最大就可以上载20M了。AspMaxRequestEntityAllowed="20480000".
4.IIS不能下载文件的问题的解决办法是把进入网站的属性。查看主目录里面的执行权限,设置成纯脚即可。
四、对于服务器拒绝访问的故障,或者是读去数据库时候的故障(重新安装了IIS也不行的朋友应该知道了)
1。和上面所说一样开启来宾的访问权限
2。c:\windows\temp\ 此目录不能删除,且需要everyone的写入权限,这个是我找了几个月还咨询了很多朋友都没有解决,后在自己才发现的!
3。对于你C盘下面跟目录下的目录C:\Documents and Settings\NetworkService\Local Settings\Temp 和C:\Documents and Settings\LocalService\Local Settings\Temp有写的权限。
4。打开数据库的路径找到你扩展名字为LDB的文件删除。
问题一:未启用父路径
症状举例:
QUOTE:
Server.MapPath() 错误 'ASP 0175 : 80004005'
不允许的 Path 字符
/0709/dqyllhsub/news/OpenDatabase.asp,行 4
在 MapPath 的 Path 参数中不允许字符 '..'。
原因分析:许多Web页面里要用到诸如../格式的语句(即回到上一层的页面,也就是父路径),而IIS6.0出于安全考虑,这一选项默认是关闭的。
解决方法:在IIS中 属性->主目录->配置->选项中,把“启用父路径”前面打上勾,确认刷新。
问题二:ASP的Web扩展配置不当(同样适用于ASP.NET、CGI)
症状举例:
QUOTE:
HTTP 错误 404 – 文件或目录未找到。
原因分析:
在IIS6.0中新增了web程序扩展这一选项,你可以在其中对ASP、ASP.NET、CGI、IDC等程序进行允许或禁止。默认情况下ASP等程序是禁止的。
解决方法:在IIS中的Web服务扩展中选中Active Server Pages,点击“允许”。
问题三:身份认证配置不当
症状举例:
QUOTE:
HTTP 错误 401.2 – 未经授权:访问由于服务器配置被拒绝。
原因分析:IIS 支持以下几种 Web 身份验证方法:
a) 匿名身份验证 IIS创建IUSR、计算机名称、帐户(其中计算机名称是正在运行IIS 的服务器的名称),用来在匿名用户请求Web内容时对他们进行身份验证。此帐户授予用户本地登录权限。你可以将匿名用户访问重置为使用任何有效的Windows 帐户。
b) 基本身份验证
使用基本身份验证可限制对NTFS格式Web服务器上的文件的访问。使用基本身份验证,用户必须输入凭据,而且访问是基于用户ID 的。用户ID和密码都以明文形式在网络间进行发送。
c) Windows 集成身份验证
Windows 集成身份验证比基本身份验证安全,而且在用户具有Windows 域帐户的内部网环境中能很好地发挥作用。在集成的Windows身份验证中,浏览器尝试使用当前用户在域登录过程中使用的凭据,如果尝试失败,就会提示该用户输入用户名和密码。如果你使用集成的 Windows 身份验证,则用户的密码将不传送到服务器。如果该用户作为域用户登录到本地计算机,则他在访问此域中的网络计算机时不必再次进行身份验证。
d) 摘要身份验证
摘要身份验证克服了基本身份验证的许多缺点。在使用摘要身份验证时,密码不是以明文形式发送的。另外,你可以通过代理服务器使用摘要身份验证。摘要身份验证使用一种挑战/响应机制(集成 Windows 身份验证使用的机制),其中的密码是以加密形式发送的。
e) your-ip-was-logged-hotmail-scams-are-not-allowed-here 身份验证
Microsoft your-ip-was-logged-hotmail-scams-are-not-allowed-here 是一项用户身份验证服务,它允许单一签入安全性,可使用户在访问启用了 your-ip-was-logged-hotmail-scams-are-not-allowed-here 的 Web 站点和服务时更加安全。启用了 your-ip-was-logged-hotmail-scams-are-not-allowed-here 的站点会依靠 your-ip-was-logged-hotmail-scams-are-not-allowed-here 中央服务器来对用户进行身份验证。但是,该中心服务器不会授权或拒绝特定用户访问各个启用了 your-ip-was-logged-hotmail-scams-are-not-allowed-here 的站点。
解决方法:根据需要配置不同的身份认证(一般为匿名身份认证,这是大多数站点使用的认证方法)。认证选项在IIS的属性->安全性->身份验证和访问控制下配置。
问题4:IP限制配置不当
症状举例:
QUOTE:
HTTP 错误 403.6 – 禁止访问:客户端的 IP 地址被拒绝。
原因分析:IIS提供了IP限制的机制,你可以通过配置来限制某些IP不能访问站点,或者限制仅仅只有某些IP可以访问站点,而如果客户端在被你阻止的IP范围内,或者不在你允许的范围内,则会出现错误提示。
解决方法: 进入IIS的属性->安全性->IP地址和域名限制。如果要限制某些IP地址的访问,需要选择授权访问,点添加选择不允许的IP地址。反之则可以只允许某些IP地址的访问。
问题5:IUSR账号被禁用
症状举例:
QUOTE:HTTP 错误 401.1 – 未经授权:访问由于凭据无效被拒绝。
原因分析:由于用户匿名访问使用的账号是IUSR_机器名,因此如果此账号被禁用,将造成用户无法访问。
解决办法:控制面板->管理工具->计算机管理->本地用户和组,将IUSR_机器名账号启用。
问题6:NTFS权限设置不当
症状举例:QUOTE:HTTP 错误 401.3 – 未经授权:访问由于 ACL 对所请求资源的设置被拒绝。
原因分析:Web客户端的用户隶属于user组,因此,如果该文件的NTFS权限不足(例如没有读权限),则会导致页面无法访问。
解决办法:进入该文件夹的安全选项卡,配置user的权限,至少要给读权限。关于NTFS权限设置这里不再馈述。
问题7:IWAM账号不同步
症状举例:
QUOTE:
HTTP 500 – 内部服务器错误
原因分析: IWAM账号是安装IIS时系统自动建立的一个内置账号。IWAM账号建立后被Active Directory、IIS metabase数据库和COM+应用程序三方共同使用,账号密码被三方分别保存,并由操作系统负责这三方保存的IWAM密码的同步工作。系统对IWAM账号的密码同步工作有时会失效,导致IWAM账号所用密码不统一。
解决办法: 如果存在AD,选择开始->程序->管理工具->Active Directory用户和计算机。为IWAM账号设置密码。
运行c:\Inetpub\Adminscrīpts>adsutil SET w3svc/WAMUserPass +密码 同步IIS metabase数据库密码
运行cscrīpt c:\inetpub\adminscrīpts\synciwam.vbs -v 同步IWAM账号在COM+应用程序中的密码
问题8:MIME设置问题导致某些类型文件无法下载(以ISO为例)
症状举例:
QUOTE:
HTTP 错误 404 – 文件或目录未找到。
原因分析: IIS6.0取消了对某些MIME类型的支持,例如ISO,致使客户端下载出错。
解决方法: 在IIS中 属性->HTTP头->MIME类型->新建。在随后的对话框中,扩展名填入.ISO,MIME类型是application。
一,用户管理
重命名超级管理员名称,设置复杂密码,密码设置原则是7位以上不易于猜解,不提倡过于复杂的密码,不易于管理。禁用来宾帐户,新建远程账号,给予远程登录权限以及其他的一些较低权限,远程管理时进行切换。
二,权限管理
在磁盘管理以及IIS设置NTFS权限时以最小权限为原则,静态网站只是给予读取权限,动态网站给予运行权限,需要写入权限时个别添加,如数据库,要单独给数据库设置,这样较为安全。
三,远程管理
Windows Service 2003 远程端口默认的是3389要对这个进行修改,在注册表中修改,详细方法暂不叙述,另外有时无法弹出登录窗口,这个是由于远程连接固有的漏洞,以及可能是由于系统太大引起,要是这样,可以多等会。
当遇到终端连接数超出时,可以用在运行中输入以下命令连接:
“mstsc /console /v:10.0.0.110:3389“回车即可。
另外在远程时,原则上不允许打开网站,一则是这样会增大数据传输量造成连接速度慢,二则是容易因为浏览不安全的网站感染病毒,这样很不安全。
四,杀毒管理
安装杀毒软件后,要设置自动升级,并且要定期全面杀毒,一旦遇到杀毒软件不正常,则可能已经感染病毒,此时不要急于重新安装杀毒软件或者是安装其他杀毒软件,要根据系统症状在网上调查下,对症下药。
感染病毒后,首先查看任务管理器,看是否有异常进程,若有,则用相关软件查到可执行文件路径,而后删除,并清除辅助文件和对应的注册表项,若无,则是被插入了dll文件,这样可以和找可执行文件一样,一般在C盘中搜索最近修改的文件,找到dll文件后,可以在运行中输入“regvr32 –u 文件名.dll“这样便卸载了,然后删除,不然删除不掉,这些是简单方法,一般是寻找专杀,现在针对网络攻击的,如arp攻击已经不再使用常规方法感染,它使用映像劫持和驱动更新技术,上述方法已经不能完全清除,可以通过寻找sys结尾的可以文件清除,查到这类异常文件清除。
五,日志分析
日志是分析系统故障和入侵的基础,在计算机管理中可以看到,但是日志很多,对我们有用的信息很少,这样查找效率比较低,我们可以通过工具MyEventVieweren查找。另外对日志保护异常重要,一定要注意日志的权限设置。
六,安全策略
安全策略可以使用导入和导出的方法设置,这样最快,下面是设置内容:
开始菜单->管理工具->本地安全策略
A、本地策略–>审核策略
审核策略更改 成功 失败
审核登录事件 成功 失败
审核对象访问 失败
审核过程跟踪 无审核
审核目录服务访问 失败
审核特权使用 失败
审核系统事件 成功 失败
审核账户登录事件 成功 失败
审核账户管理 成功 失败
B、本地策略–>用户权限分配
关闭系统:只有Administrators组、其它全部删除。
通过终端服务拒绝登陆:加入Guests组
通过终端服务允许登陆:加入Administrators、Remote Desktop Users组,其他全部删除
C、本地策略–>安全选项
交互式登陆:不显示上次的用户名 启用
网络访问:不允许SAM帐户和共享的匿名枚举 启用
网络访问:不允许为网络身份验证储存凭证 启用
网络访问:可匿名访问的共享 全部删除
网络访问:可匿名访问的命 全部删除
网络访问:可远程访问的注册表路径 全部删除
网络访问:可远程访问的注册表路径和子路径 全部删除
帐户:重命名来宾帐户 重命名一个帐户
帐户:重命名系统管理员帐户 重命名一个帐户
D、账户策略–>账户锁定策略
将账户设为“5次登陆无效”,“锁定时间为30分钟”,“复位锁定计数设为30分钟”
七,关于黑客入侵
发现黑客入侵后,要立即寻找隐藏账号,在计算机管理中和注册表中的SAM目录下寻找,若找到马上删除,之后,寻找灰鸽子之类的后门,先用“netstat –abn“查看,可以看到端口和对应的可执行文件,可以找到是否有灰鸽子之类的后门,若有,结束进程并删除,这时应该分析日志,提取证据和查看系统破坏情况,并在磁盘中查找最近修改的exe,bat,dll,sys扩展名文件,查到后检查下,若是异常立即删除,在上述工作结束后,复查下并做好监控,最后进行全盘杀毒。
八,IIS管理
IIS的管理主要是权限设置和匿名账号访问,匿名账号一般是IUSR_计算机名字,注意不要试图加密,这样影响站点访问,关于IIS中的权限设置,推荐以下方法:为Web 站点上不同类型的文件都建立目录,然后给它们分配适当权限。例如:静态文件文件夹允许读、拒绝写,ASP脚本文件夹允许执行、拒绝写和读取,EXE等可执行程序允许执行、拒绝读写。
 |
 |