菜鸟 完整 配置服务器 流程及权限设置.docx

菜鸟完整配置服务器 流程及权限设置来源:原创+引用 作者:我为人民服务 时间:2007-06-25 12:06 字体:大 中 小 收藏 我要投稿     本人是一菜鸟，虽然刚刚接触网络，但是有点痴迷。最近因为网络环境允许自己搞台服务器，就选了WIN2003搭建服务器。    原以为网上教程还有落伍者的教程多的是，以为简单的很！哎，谁知道教程虽多，不是缺这个就是缺那个，有几个貌似很详细的（确实很详细），竟然就漏拉那么一点点（比如PHP的一个文件），到头来还是配置的出错，不知道是作者。还是其他原因，反正我在这上边耽误了很长时间，对咱们菜鸟们的成长造成了很坏的影响，呵呵，咱们可是未来胡联网的太阳呀！（有点远，不好意思）结果到今天整整7天了，才搞出点眉目，也许小弟过于愚笨，大家表笑话偶。    再就是本人写的虽然都是个人的肺腑之言，肯定也会引用一些高手的东东，请不要固执的以为有转贴或者是抄袭，因为已经有了的好东西咱们就得利用，咱们的目的是更完善，也希望斑竹给小的落个伍，小的敢有胆量发出来还不嘉奖下？不胜感激。    言归正传：本人以为，服务器的配置主要分两大块：1：底层环境的配置安装；2：组件安全、硬盘权限的分配、服务的处理等安全问题处理。一、先来底层环境的安装吧：注意事项：1、大家一定注意下php配置的时候一定要将  php4ts.dll 文件复制到windows文件夹内，否则会出现 seaver .的故障（本人耽误了好长时间，真郁闷）下面教程内没写这点，估计是漏了对了，底层环境安装，小勤哥哥刚教的我，我就不再码字了咱们直接看他说的吧（非常全面，但大家要注意我上边提到的注意事项啊，找到的唯一缺点，叫咱们菜鸟不转都没理由）：  引用一下（先谢谢小勤哥哥）二、是安全设置，这是最重要的：先分一下（1）、组件和服务安全（2）、硬盘权限（3）、IIS权限（4）、PHP、MYSQL、ZEND的安全和权限 ASP的防马（一）、组件和服务安全：本地安全策略设置开始菜单>管理工具>本地安全策略A、本地策略>审核策略 审核策略更改成功失败审核登录事件成功失败审核对象访问失败审核过程跟踪无审核审核目录服务访问失败审核特权使用失败审核系统事件成功失败审核账户登录事件成功失败审核账户管理成功失败B、本地策略>用户权限分配关闭系统：只有Administrators组、其它全部删除。 通过终端服务允许登陆：只加入Administrators,Remote Desktop Users组，其他全部删除C、本地策略>安全选项交互式登陆：不显示上次的用户名 启用网络访问：不允许SAM帐户和共享的匿名枚举    启用网络访问：不允许为网络身份验证储存凭证 启用网络访问：可匿名访问的共享全部删除网络访问：可匿名访问的命全部删除网络访问：可远程访问的注册表路径全部删除 网络访问：可远程访问的注册表路径和子路径全部删除 帐户：重命名来宾帐户重命名一个帐户 （可以停掉他）帐户：重命名系统管理员帐户重命名一个帐户  （再建一个假的，无权限的，搞个超级密码，嘿嘿）    D、禁用不必要的服务 开始-运行-services.msc    TCP/IPNetBIOS Helper提供 TCP/IP 服务上的 NetBIOS 和网络上客户端的 NetBIOS 名称解析的支持而使用户能够共享    文件、打印和登录到网络    Server支持此计算机通过网络的文件、打印、和命名管道共享Computer Browser 维护网络上计算机的最新列表以及提供这个列表     Task scheduler 允许程序在指定时间运行     Messenger 传输客户端和服务器之间的 NET SEND 和 警报器服务消息 Distributed File System: 局域网管理共享文件，不需要可禁用（我是不需要啊，呵呵禁了） Distributed linktracking client：用于局域网更新连接信息，不需要可禁用 （我是不需要啊，呵呵禁了） Error reporting service：禁止发送错误报告 Microsoft Serch：提供快速的单词搜索，不需要可禁用 （我是不需要啊，呵呵禁了） NTLMSecuritysupportprovide：telnet服务和Microsoft Serch用的，不需要可禁用 （我是不需要啊，呵呵禁了） PrintSpooler：如果没有打印机可禁用 Remote Registry：禁止远程修改注册表 Remote Desktop Help Session Manager：禁止远程协助     Workstation   关闭的话远程NET命令列不出用户组以上是在Windows Server 2003 系统上面默认启动的服务中禁用的，默认禁用的服务如没特别需要的话不要启动。E：组件安全   卸载不安全阻件 ，要不万一中了马儿，就。在cmd窗口运行以下命令： regsvr32/u d:WINNTSystem32wshom.ocx ren d:WINNTSystem32wshom.ocx  fu.ocxregsvr32/u d:WINNTsystem32shell32.dll ren d:WINNTsystem32shell32.dll fu.dll即可将WScript.Shell, Shell.application, WScript.Network组件卸载，可有效防止asp木马通过wscript或shell.application执行命令以及使用木马查看一些系统敏感信息。F、其他 1、Serv-u安全问题： Serv-U安全配置A、首先请保持合用Serv-U的最新版本。然后在安装Serv-U的时候尽量不要选择默认的安装目录，比如俺将Serv-U 安装在D:Pro_LeeBolin_Serv-U#$2008$.(因为这样复杂的目录名可防止Hacker的猜解)B、然后将Serv-U取消MDTM命令的执行，修改Serv-U FTP Banner并开启好Serv-U的FTP日志保存到非系统盘，日志选择记录好Serv-U命名用了那些命令与DLL，并为Serv-U设置一个强壮的本地管理密码(因提权多是因为Serv-U的默认管理员：LocalAdministrator，默认密码：#l$ak#.lk;0P所造成的，呵呵 $_$)，你还可以选择将Serv-U的FTP账户信息保存到注册表，不要存在Serv-U目录下的ini文中，这样更加安全。C、我们再开启"计算机管理"新建一个用户Serv-UAdmin,设置好密码。将用户退出Users组，不加入任何组。并在用户的“终端服务配置文件”选项里取消“允许登录到终端服务器。并且禁止Serv-UAdmin用户的本地登陆。进入控制面板 -> 管理工具 -> 本地安全策略 -> 本地策略 -> 用户权利指派 -> 拒绝本地登陆。(备注：这个用户我们将它来作为俺们Serv-U的服务运行账号，嘿嘿)D、开始运行"Services.msc"打开win的服务管理器，找开Serv-U Ftp Server的Serv-U服务;打开“登陆”对话框。当前默认的为“本地系统帐户”。我们将其修改为我们在3中新建的Serv-UAdmin用户，并输入密码。E、下面的工作就是设置Serv-U的运行与FTP目录的ACLs权限了:C:Documents and SettingsServ-UAdmin 目录加入Serv-UAdmin的权限，允许读取与写入.D:Pro_LeeBolin_Serv-U#$2008$Serv-U的安装目录加入Serv-UAdmin的权限，允许读取与运行。(如果选择了账户保存在ini文件的话，这里就需要增加修改与删除权限，因增删FTP账户时需要删改权才成，否则不能增删FTP账户哟_)如果Serv-U账户选择存在注册表的话。运行regedt32.exe,打开注册表编辑器。找到HKEY_LOCAL_MACHINE SOFTWARECat Soft分支。在上面点右键，选择权限，然后点高级，取消允许父项的继承权限传播到该对象和所有子对象，删除除admins外的所有的账号。仅添加 Serv-UAdmin账号到该子键的权限列表，并给予完全控制权限。（如果选择了账户信息保存在ini文件中的话可略过此步。）现在就来设置WEB目录的ACLs了，比如我的虚拟主机总目录为E:Leebolin$(%wwwroot;那么我们将此WEB目录加入 Serv-UAdmin账号的权限即可，这样FTP就可以访问我们的WEB目录进行上传下载了，呵.(由于Serv-U并没有以system运行，所以这里只存留admins与serv-uadmin的权限就OK了。)如果是asp/php/html脚本的话，WEB目录只需要admins & serv-uadmin & IUSR_XX即可(这里的IUSR_XX是指站点的匿名单用户账号.F、到目前为止，我们的Serv-U已经简单的做到了防提权，防溢出了。为什么呢？因为能常远程溢出overflow的话，都是通过得一shell 而进行进一步的hacking，而我们现在的Serv-U不是以system运行，所以即使执行了overflow指命，也并不能得到什么.防提权就不用我解释了：因为我们的Serv-Uadmin没有任何系统级的ACLs访问权限. G、修改3389远程连接端口修改注册表. 开始-运行-regedit 依次展开 HKEY_LOCAL_MACHINE/SYSTEM/CURRENTCONTROLSET/CONTROL/ TERMINAL SERVER/WDS/RDPWD/TDS/TCP 右边键值中 PortNumber 改为你想用的端口号.注意使用十进制(例 10000 ) HKEY_LOCAL_MACHINE/SYSTEM/CURRENTCONTROLSET/CONTROL/TERMINAL SERVER/ WINSTATIONS/RDP-TCP/ 右边键值中 PortNumber 改为你想用的端口号.注意使用十进制(例 10000 ) 注意：别忘了在WINDOWS2003自带的防火墙给+上修改后端口号修改完毕.重新启动服务器.设置生效.2、禁止C$、D$一类的缺省共享 HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServiceslanmanserverparameters AutoShareServer、REG_DWORD、0x0 3、禁止ADMIN$缺省共享 HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServiceslanmanserverparameters AutoShareWks、REG_DWORD、0x0 4、限制IPC$缺省共享 HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlLsa restrictanonymous REG_DWORD 0 缺省 1 匿名用户无法列举本机用户列表 2 匿名用户无法连接本机IPC$共享 说明:不建议使用2，否则可能会造成你的一些服务无法启动，如SQL Server 5、在Terminal Service Configration（远程服务配置）-权限-高级中配置安全审核，一般来说只要记录登录、注销事件就可以了。 6、解除NetBios与TCP/IP协议的绑定 控制面版网络绑定NetBios接口禁用 2000：控制面版网络和拨号连接本地网络属性TCP/IP属性高级WINS禁用TCP/IP上的NETBIOS 7、在网络连接的协议里启用TCP/IP筛选，仅开放必要的端口（如80） 8、通过更改注册表Local_MachineSystemCurrentControlSetControlLSA-RestrictAnonymous = 1来禁止139空连接 9、修改数据包的生存时间(TTL)值 HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesTcpipParameters DefaultTTL REG_DWORD 0-0xff(0-255 十进制,默认值128) 10、防止SYN洪水攻击 HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesTcpipParameters SynAttackProtect REG_DWORD 0x2(默认值为0x0) 11、禁止响应ICMP路由通告报文 HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesTcpipParameters Interfacesinterface PerformRouterDiscovery REG_DWORD 0x0(默认值为0x2) 12、防止ICMP重定向报文的攻击 HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesTcpipParameters EnableICMPRedirects REG_DWORD 0x0(默认值为0x1) 13、不支持IGMP协议 HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesTcpipParameters IGMPLevel REG_DWORD 0x0(默认值为0x2) 14、设置arp缓存老化时间设置 HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServices:TcpipParameters ArpCacheLife REG_DWORD 0-0xFFFFFFFF(秒数,默认值为120秒) ArpCacheMinReferencedLife REG_DWORD 0-0xFFFFFFFF(秒数,默认值为600) 15、禁止死网关监测技术 HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServices:TcpipParameters EnableDeadGWDetect REG_DWORD 0x0(默认值为ox1) 16、不支持路由功能 HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServices:TcpipParameters IPEnableRouter REG_DWORD 0x0(默认值为0x0)  （二）、硬盘权限:权限说明：权限是具有继承性、累加性、优先性、交叉性的。继承性是说下级的目录在没有经过重新设置之前，是拥有上一级目录权限设置的。这里还有一种情况要说明一下，在分区内复制目录或文件的时候，复制过去的目录和文件将拥有它现在所处位置的上一级目录权限设置。但在分区内移动目录或文件的时候，移动过去的目录和文件将拥有它原先的权限设置。累加是说如一个组GROUP1中有两个用户USER1、USER2，他们同时对某文件或目录的访问权限分别为“读取”和“写入”，那么组GROUP1对该文件或目录的访问权限就为USER1和USER2的访问权限之和，实际上是取其最大的那个，即“读取”+“写入”=“写入”。又如一个用户USER1同属于组GROUP1和GROUP2，而GROUP1对某一文件或目录的访问权限为“只读”型的，而GROUP2对这一文件或文件夹的访问权限为“完全控制”型的，则用户USER1对该文件或文件夹的访问权限为两个组权限累加所得，即：“只读”+“完全控制”=“完全控制”。优先性，权限的这一特性又包含两种子特性，其一是文件的访问权限优先目录的权限，也就是说文件权限可以越过目录的权限，不顾上一级文件夹的设置。另一特性就是“拒绝”权限优先其它权限，也就是说“拒绝”权限可以越过其它所有其它权限，一旦选择了“拒绝”权限，则其它权限也就不能取任何作用，相当于没有设置。交叉性是指当同一文件夹在为某一用户设置了共享权限的同时又为用户设置了该文件夹的访问权限，且所设权限不一致时，它的取舍原则是取两个权限的交集，也即最严格、最小的那种权限。如目录A为用户USER1设置的共享权限为“只读”，同时目录A为用户USER1设置的访问权限为“完全控制”，那用户USER1的最终访问权限为“只读”。1、文件类型说明（注意文件的权限优先级别比文件夹的权限高）： CGI 文件（.exe、.dll、.cmd、.pl） 脚本文件 (.asp) 包含文件（.inc、.shtm、.shtml） 静态内容（.txt、.gif、.jpg、.htm、.html） 建议的 NTFS 权限 ：Everyone（执行） Administrators（完全控制） System（完全控制）  2、 系统盘及所有磁盘只给 Administrators 组和 SYSTEM 的完全控制权限系统盘Documents and Settings 目录只给 Administrators 组和 SYSTEM 的完全控制权限系统盘Documents and SettingsAll Users 目录只给 Administrators 组和 SYSTEM 的完全控制权限系统盘WindowsSystem32cacls.exe、cmd.exe、net.exe、net1.exe、ftp.exe、tftp.exe、telnet.exe 、     netstat.exe、regedit.exe、at.exe、attrib.exe、del文件只给 Administrators 组和SYSTEM 的完全 控制权限 另将<systemroot>System32cmd.exe、ftp.exe转移到其他目录或更名 Documents and Settings下所有些目录都设置只给adinistrators权限。（要一个一个目录查看，包括下面的所有子目录。）删除c:inetpub目录（三）、IIS权限:IIS的配置是我们的重点，现在大家跟着我一起来：首先，把C盘那个什么Inetpub目S录彻底删掉，在D盘建一个Inetpub（要是你不放心用默认目录名也可以改一个名字，但是自己要记得）在IIS管理器中将主目录指向D:Inetpub；其次，那个IIS安装时默认的什么scripts等虚拟目录一概删除，如果你需要什么权限的目录可以自己慢慢建，需要什么权限开什么。（特别注意写权限和执行程序的权限，没有绝对的必要千万不要给）第三，应用程序配置：在IIS管理器中删除必须之外的任何无用映射，必须指的是ASP,ASA和其他你确实需要用到的文件类型，例如你用到stml等（使用server side include），实际上90%的主机有了上面两个映射就够了，其余的映射几乎每个都有一个凄惨的故事：htw, htr, idq, ida想知道这些故事？去查以前的漏洞列表吧。在IIS管理器中右击主机->属性->WWW服务 编辑->主目录配置->应用程序映射，然后就开始一个个删吧（里面没有全选的，嘿嘿）。接着在刚刚那个窗口的应用程序调试书签内将脚本错误消息改为发送文本（除非你想ASP出错的时候用户知道你的程序/网络/数据库结构）错误文本写什么？随便你喜欢，自己看着办。点击确定退出时别忘了让虚拟站点继承你设定的属性。安装新的Service Pack后，IIS的应用程序映射应重新设置。（说明：安装新的Service Pack后，某些应用程序映射又会出现，导致出现安全漏洞。这是咱们较易忽视的一点。）     要为每个独立的要保护的个体（比如一个网站或者一个虚拟目录）创建一个系统用户，让这个站点在系统中具有惟一的可以设置权限的身份。 在IIS的【站点属性或者虚拟目录属性目录安全性匿名访问和验证控制编辑匿名访问编辑】填写刚刚创建的那个用户名。 设置所有的分区禁止这个用户访问，（我的经验是建个组专门放这些帐户，其他的就不多说了）而刚才这个站点的主目录对应的那个文件夹设置允许这个用户访问（要去掉继承父权限，并且要加上超管组和SYSTEM组）。    删除默认建立的站点的虚拟目录，停止默认web站点，删除对应的文件目录c:inetpub，配置所有站点的公共设置，设置好相关的连接数限制，带宽设置以及性能设置等其他设置。对于数据库，尽量采用mdb后缀，不需要更改为asp，可在IIS中设置一个mdb的扩展映射，将这个映射使用一个无关的dll文件如C:WINNTsystem32inetsrvssinc.dll来防止数据库被下载。设置IIS的日志保存目录，调整日志记录信息。为隐藏系统信息，防止telnet到80端口所泄露的系统版本信息可修改IIS的banner信息.    对于用户站点所在的目录，在此说明一下，用户的FTP根目录下对应三个文件佳，wwwroot，database，logfiles，分别存放站点文件，数据库备份和该站点的日志。如果一旦发生入侵事件可对该用户站点所在目录设置具体的权限，图片所在的目录只给予列目录的权限，程序所在目录如果不需要生成文件（如生成html的程序）不给予写入权限。 为了对付日益增多的cgi漏洞扫描器，还有一个小技巧可以参考，在IIS中将HTTP404 Object Not Found出错页面通过URL重定向到一个定制HTM文件，可以让目前绝大多数CGI漏洞扫描器失灵。其实原因很简单，大多数CGI扫描器在编写时为了方便，都是通过查看返回页面的HTTP代码来判断漏洞是否存在的，例如，著名的IDQ漏洞一般都是通过取1.idq来检验，如果返回HTTP200，就认为是有这个漏洞，反之如果返回HTTP404就认为没有，如果你通过URL将HTTP404出错信息重定向到HTTP404.htm文件，那么所有的扫描无论存不存在漏洞都会返回HTTP200，90%的CGI扫描器会认为你什么漏洞都有，结果反而掩盖了你真正的漏洞，让入侵者茫然无处下手,不过从个人角度来说，我还是认为扎扎实实做好安全设置比这样的小技巧重要的多。 为了保险起见，你可以使用IIS的备份功能，将刚刚的设定全部备份下来，这样就可以随时恢复IIS的安全配置。还有，如果你怕IIS负荷过高导致服务器满负荷死机，也可以在性能中打开CPU限制，例如将IIS的最大CPU使用率限制在70%。 IIS Web 服务器的权限设置有两个地方，一个是 NTFS 文件系统本身的权限设置，另一个是 IIS 下网站->站点->属性->主目录（或站点下目录->属性->目录）面板上。这两个地方是密切相关的。IIS 下网站->站点->属性->主目录（或站点下目录->属性->目录）面板上有：脚本资源访问 读取 写入 浏览 记录访问 索引资源   6 个选项。这 6 个选项中，“记录访问”和“索引资源”跟安全性关系不大，一般都设置。但是如果前面四个权限都没有设置的话，这两个权限也没有必要设置。（又是废话呵呵）  另外在这 6 个选项下面的执行权限下拉列表中还有：无 纯脚本 纯脚本和可执行程序 3 个选项。  IIS 面板中的“写入”权限实际上是对 HTTP PUT 指令的处理，对于普通网站，一般情况下这个权限是不打开的。  IIS 面板中的“脚本资源访问”不是指可以执行脚本的权限，而是指可以访问源代码的权限，如果同时又打开“写入”权限的话，那么就非常危险了。  执行权限中“纯脚本和可执行程序”权限可以执行任意程序，包括 exe 可执行程序，如果目录同时有“写入”权限的话，那么就很容易被人上传并执行木马程序了。  对于 ASP.NET 程序的目录，许多人喜欢在文件系统中设置成 Web 共享，实际上这是没有必要的。只需要在 IIS 中保证该目录为一个应用程序即可。如果所在目录在      IIS 中不是一个应用程序目录，只需要在其属性->目录面板中应用程序设置部分点创建就可以了。Web 共享会给其更多权限，可能会造成不安全因素。 经验总结：也就是说一般不要打开-主目录-(写入),(脚本资源访问) 这两项以及不要选上(纯脚本和可执行程序),选(纯脚本)就可以了.需要的应用程序的如果应用程序目录不止应用程序一个程序的可以在应用程序文件夹上(属性)-目录-点创建就可以了.不要在文件夹上选web共享. 一般的一些asp.php等程序都有一个上传目录.比如论坛.他们继承了上面的属性可以运行脚本的.我们应该将这些目录从新设置一下属性.将(纯脚本)改成(无). Internet 来宾帐号或 IIS_WPG 组帐号的权限可读可写.那么Access所在目录（或者该文件）的“读取”、“写入”权限都去掉就可以防止被人下载或篡改了你的网站下可能还有纯图片目录、纯 html 模版目录、纯客户端 js 文件目录或者样式表目录等，这些目录只需要设置“读取”权限即可，执行权限设成“无”即可。其它权限一概不需要设置。（四）、PHP、MYSQL、ZEND的安全和权限 ASP的防马1、PHP的安全设置： 默认安装的php需要有以下几个注意的问题： C:winntphp.ini只给予users读权限即可。2、MySQL安全设置： 如果服务器上启用MySQL数据库，MySQL数据库需要注意的安全设置为： 删除mysql中的所有默认用户，只保留本地root帐户，为root用户加上一个复杂的密码。赋予普通用户updatedeletealertcreatedrop权限的时候，并限定到特定的数据库，尤其要避免普通客户拥有对mysql数据库操作的权限。检查mysql.user表，取消不必要用户的shutdown_priv,relo ad_priv,process_priv和File_priv权限，这些权限可能泄漏更多的服务器信息包括非mysql的其它信息出去。可以为mysql设置一个启动用户，该用户只对mysql目录有权限。设置安装目录的data数据库的权限(此目录存放了mysql数据库的数据信息)。对于mysql安装目录给users加上读取、列目录和执行权限。 3、对于专用的MSSQL数据库服务器，按照上文所讲的设置TCP/IP筛选和IP策略，对外只开放1433和5631端口。对于MSSQL首先需要为sa设置一个强壮的密码，使用混合身份验证,加强数据库日志的记录,审核数据库登陆事件的”成功和失败”.删除一些不需要的和危险的OLE自动存储过程(会造成企业管理器中部分功能不能使用),这些过程包括如下: Sp_OACreate Sp_OADestroy Sp_OAGetErrorInfo Sp_OAGetProperty Sp_OAMethod Sp_OASetProperty Sp_OAStop 去掉不需要的注册表访问过程,包括有: Xp_regaddmultistring Xp_regdeletekey Xp_regdeletevalue Xp_regenumvalues Xp_regread Xp_regremovemultistring Xp_regwrite 去掉其他系统存储过程，如果认为还有威胁，当然要小心Drop这些过程，可以在测试机器上测试，保证正常的系统能完成工作，这些过程包括： xp_cmdshell xp_dirtree xp_dropwebtask sp_addsrvrolemember xp_makewebtask xp_runwebtask xp_subdirs sp_addlogin sp_addextendedproc 在实例属性中选择TCP/IP协议的属性。选择隐藏 SQL Server 实例可防止对1434端口的探测,可修改默认使用的1433端口。除去数据库的guest账户把未经认可的使用者据之在外。 例外情况是master和 tempdb 数据库,因为对他们guest帐户是必需的。另外注意设置好各个数据库用户的权限，对于这些用户只给予所在数据库的一些权限。在程序中不要用sa用户去连接任何数据库。网络上有建议大家使用协议加密的，千万不要这么做，否则你只能重装MSSQL了。 4、ASP防马没有什么其他的办法，你允许人上传就得有马，关键是把硬盘权限作好，SHELL组件卸掉，叫他们近来看吧，看够了就好了，哈哈最后说的 是杀毒 软件和WIN2003的防火墙要开（算了，地球人都知道），在此提供一个MCAFEE 8.5 企业版（能升级的，纯净的）供大家下载，自己服务器方便，哈哈，电信的，软件是朋友给的，我不知道哪边能到这样的（自己BAIDU过，大多不能升级），只能自己提供下了地址：http:/www.20- 本人觉得还是很好用，但是规则要搞好，可以BAIDU一下，这个很多的！