[不指定 2012/10/15 15:27 | by 孤城浪子 ]
原文: http://www.leebrimelow.com/?p=419

1、删除browser服务 browser  services可以很方便的将我们自己定于的客户端方法或者函数以列表形式展现。方便的同时也带来了安全问题, 如果用户知道browser  目录就可以直接输入http://domain/amfphp/browser/index.html。  你的文件就暴露给用户了。应该删除它。在amfphp目录删除browser这个子目录

2、删除DiscoveryService服务  DiscoveryService是一个配合browser服务来浏览项目所有的类与函数中结构。出于同样的的理由也应该将它删除。它的路径在  amfphp/services/amfphp/DiscoveryService.php.建议删除

3.  设置PRODUCTION_SERVER为私有 该文件位于gateway.php文件中,在amfphp的根目录。默认属性是 false  建议在正式环境中设置为ture

4. 如果有可能的话建议开启SSL

5、运行beforeFilter  在AMFPHP的1.9有一个新的功能,将允许您调用客户端进行身份验证,以确保他们有权利访问级别调用服务。  基本上你在你的定义服务类名为beforeFilter函数使用下面的签名: public  beforeFilter($function_called) 这一功能将在您的服务之前调用的方法是由客户端调用。 如果这个函数返回true,  那么调用服务方法。如果没有,那么安全错误异常 6、php方面的安全措施 比如防止sql注入、启用opendir限制等等。
[不指定 2011/04/09 09:55 | by 孤城浪子 ]
  最近发现服务器上出现占用带宽十分巨大的情况,通常流量高达数十甚至近百M,经查是黑客利用了用户网站漏洞,上传了最新的PHP编写的DDOS攻击木马程序造成的,此攻击程序利用了UDP协议,带宽耗用十分惊人,几乎会将整个机器所在的带宽用尽,对整个网络影响非常大,严重影响其它用户网站的正常使用。

  此IP安全策略禁用了除DNS(53)以外的所有UDP端口

[不指定 2010/02/20 09:35 | by 孤城浪子 ]

改注册表,延迟降低一半

TcpAckFrequency

        
          

             Key: Tcpip\Parameters\Interfaces\interfaceGUID

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\

          

             类型: REG_DWORD—数字

          

             参数范围: 0–255

          

             缺省值: 2

如果将该值设置为 1,每个数据包被认可立即原因是只有一个未完成的 TCP ACK 如刚刚收到一条线段。 0 (零) 的值是无效,并将被视为默认值  2。      未收到一条线段和主机不打算确认数据时唯一 ACK 数字为 0 的时间。

          

             Description: Specifies the number of ACKs  that will be outstanding before the delayed ACK timer is ignored.  Microsoft does not recommend changing this value from the default  without careful study of the environment.

                          --微软不建议在生产环境中修改此参数

如果沒有TcpAckFrequency就新建一个

此参数适用于 Microsoft Windows Server 2003以及以后版本

          
     
[不指定 2009/05/04 21:19 | by 孤城浪子 ]
清空日志。
1.打开查询分析器,输入命令
DUMP TRANSACTION 数据库名 WITH NO_LOG

2.再打开企业管理器--右键你要压缩的数据库--所有任务--收缩数据库--收缩文件--选择日志文件--在收缩方式里选择收缩至XXM,这里会给出一个允许收缩到的最小M数,直接输入这个数,确定就可以了。
域控制器之间不复制组策略设置。因此,用户接收不到计算机的组策略设置。Microsoft Windows Server 2003 中的应用程序日志中会显示下面的事件:
类型:错误
来源:Userenv
类别:无
事件 ID: 1058  
描述:Windows 无法访问 GPO CN={31B2F340-016D-11D2-945F-00C04FB984F9},CN=Policies,CN=System,DC=domainname,DC=com 的 gpt.ini 文件。此文件必须位于 <\\domainname.com\sysvol\domainname.com\Policies\{31B2F340-016D-11D2-945F-00C04FB984 F9}\gpt.ini>。(Error_Message)。组策略处理中止。有关更多信息,请参阅位于 http://support.microsoft.com 的帮助和支持中心。

类型:错误
来源:Userenv
类别:无
事件 ID: 1030  
描述:Windows 不能查询组策略对象列表。策略引擎以前记录过描述此原因的消息。有关更多信息,请参阅位于 http://support.microsoft.com 的帮助和支持中心。  


另外,在 Microsoft Windows 2000 Server 上的应用程序日志中,每 5 分钟会出现一次下面的事件:

类型:错误
事件 ID:1000
来源:Userenv
类别:无
用户:NT AUTHORITY\SYSTEM

描述:Windows 不能在 \\domain\sysvol\domain\Policies\{31B2F340-016D-11D2-945F-00C04FB984F9}\Machine\registry.pol with (5) 访问注册表信息。

类型:错误
事件 ID:1001
来源:SceCli
      类别:无
用户:不可用

描述:无法传播安全策略。无法访问模板。错误代码 =3。\\domain\sysvol\domain\Policies\{31B2F340-016D-11D2-945F-00C04FB984F9}\Machine\Microsoft\Windows NT\SecEdit\GptTmpl.inf。

类型:错误
事件 ID: 1000
      来源:Userenv
类别:无
用户:NT AUTHORITY\SYSTEM

      描述:组策略客户端扩展安全已通过标志 (17) 并返回一个失败状态代码 (3)。

原因:
如果您将不适当的权限分配给 %SystemRoot%\Winnt\Sysvol 文件夹或将不适当的组分配给 Bypass Traverse Checking User Rights Assignment(跳过遍历检查用户权利指派),可能会发生此问题。另外,如果 sysvol 共享权限限制过多,也可能会发生此问题。

要解决此问题,请根据您的操作系统,使用以下方法之一:


Windows Server 2003

         loadTOCNode(2, 'resolution');      
  1. 设置文件夹安全权限。为此,请按照下列步骤操作:          
    1. 在 Windows 资源管理器中,右键单击“%SystemRoot%\Windows\Sysvol”文件夹,然后单击“属性”。
    2. 在“安全性”选项卡上,单击“高级”,单击以清除“允许从父系来的继承权限传播到这个对象”复选框,然后单击“确定”。确保安全设置与以下设置相匹配,然后单击“确定”:
      管理员:完全控制
      经身份验证的用户:读取、读取和执行、列出文件夹内容
      创建者所有者:没有选中项
      服务器操作员:读取、读取和执行、列出文件夹内容
      系统:完全控制
    3. 右键单击“%SystemRoot%\Windows\Sysvol\Sysvol”文件夹,然后单击“属性”。
    4. 在“安全性”选项卡上,单击“高级”,单击以清除“允许从父系来的继承权限传播到这个对象”复选框,然后单击“确定”两次。
    5. 右键单击“%SystemRoot%\Winnt\Sysvol\Sysvol\domain”文件夹,然后单击“属性”。
    6. 在“安全性”选项卡上,单击“高级”,单击以清除“允许从父系来的继承权限传播到这个对象”复选框,然后单击“确定”两次。
    7. 右键单击“%SystemRoot%\Winnt\Sysvol\Sysvol\domain\Policies”文件夹,然后单击“属性”。
    8. 在“安全性”选项卡上,单击“高级”,单击以清除“允许从父系来的继承权限传播到这个对象”复选框,然后单击“确定”。确保安全设置与以下设置相匹配,然后单击“确定”:
      管理员:完全控制
      经身份验证的用户:读取、读取和执行、列出文件夹内容
      创建者所有者:没有选中项
      组策略创建者所有者:读取、读取和执行、列出文件夹内容、修改、写入
      服务器操作员:读取、读取和执行、列出文件夹内容
      系统:完全控制
    9. 对于位于 %SystemRoot%\Winnt\Sysvol\Sysvol\domain\Policies 文件夹中的文件或文件夹,分别右键单击这些文件或文件夹,然后单击“属性”。
    10. 在“安全性”选项卡上,单击“高级”,单击以选择“允许从父系来的继承权限传播到这个对象”复选框,然后单击“确定”两次。
  2. 展开“Active Directory 用户和计算机”。为此,单击“开始”,单击“所有程序”,然后单击“管理工具”。
  3. 展开“Active Directory 用户和计算机”,展开域名,右键单击“域控制器”,然后单击“属性”。
  4. 在“组策略”选项卡上,单击“默认域控制器策略”,然后单击“编辑”。

    注意:如果安装了组策略管理控制台,则“编辑”按钮不可用。在这种情况下,单击“打开”以启动组策略管理控制台,展开“domain name”,展开“域控制器”,右键单击“默认域控制器策略”,然后单击“编辑”。

    有关组策略管理控制台的其他信息,请访问下面的 Microsoft 网站:
    http://www.microsoft.com/china/windowsserver2003/gpmc/default.mspx       (http://www.microsoft.com/windowsserver2003/gpmc/default.mspx)    
  5. 展开下面的文件夹:
    计算机配置
    Windows 设置
    安全设置
    本地策略
  6. 单击“用户权限分配”,然后双击“跳过遍历检查”。应该出现下列默认设置:
    经身份验证的用户
    所有人
    管理员
    如果没有出现,而您又需要添加这些组,请单击“添加用户或组”,然后单击“浏览”。
  7. 单击“开始”,单击“运行”,键入 gpupdate,然后单击“确定”。
  8. 请验证 sysvol 共享权限设置是否正确,如下所示:
    管理员 = 完全控制
    经身份验证的用户 = 完全控制
    所有人 = 读取
注意:如果此过程不能解决问题,或者您在访问组策略时遇到问题,请检查服务器上的绑定顺序,以确保内部网络适配器在绑定顺序列表中排在第一位。要检查绑定顺序,请按照下列步骤操作:
  1. 右键单击“网上邻居”,然后单击“属性”。
  2. 在“高级”菜单上,单击“高级设置”。
  3. 在“连接”框内,确保内部网络适配器第一个列出。如果不是第一个,使用箭头将其移到列表顶部。

Windows 2000 Server

         loadTOCNode(2, 'resolution');      
  1. 设置文件夹安全权限。为此,请按照下列步骤操作:          
    1. 在 Windows 资源管理器中,右键单击 %SystemRoot%\Winnt\Sysvol 文件夹,然后单击属性
    2. 安全性选项卡上,清除“允许从父系来的继承权限传播到这个对象”复选框,然后确保安全设置与下列设置匹配:
      管理员:完全控制
      经身份验证的用户:读取、读取和执行、列出文件夹内容
      创建者所有者:没有选中项
      服务器操作员:读取、读取和执行、列出文件夹内容
      系统:完全控制
    3. 单击确定
    4. 右键单击 %SystemRoot%\Winnt\Sysvol\Sysvol 文件夹,然后单击属性
    5. 安全性选项卡上,选中“允许从父系来的继承权限传播到这个对象”复选框,然后单击确定
    6. 右键单击 %SystemRoot%\Winnt\Sysvol\Sysvol\domain:文件夹,然后单击属性
    7. 安全性选项卡上,选中“允许从父系来的继承权限传播到这个对象”复选框,然后单击确定
    8. 右键单击 %SystemRoot%\Winnt\Sysvol\Sysvol\domain\Policies 文件夹,然后单击属性
    9. 安全性选项卡上,清除“允许从父系来的继承权限传播到这个对象”复选框,然后确保安全设置与下列设置匹配:
      管理员:完全控制
      经身份验证的用户:读取、读取和执行、列出文件夹内容
      创建者所有者:没有选中项
      组策略创建者所有者:读取、读取和执行、列出文件夹内容、修改、写入
      服务器操作员:读取、读取和执行、列出文件夹内容
      系统:完全控制
    10. 单击确定
    11. 对于位于 %SystemRoot%\Winnt\Sysvol\Sysvol\domain\Policies 文件夹中的文件或文件夹,分别右键单击这些文件或文件夹,然后单击属性。在安全性选项卡上,选中“允许从父系来的继承权限传播到这个对象”复选框,然后单击确定
  2. 打开“Active Directory 用户和计算机”:单击开始,单击程序,然后单击管理工具
  3. 展开“Active Directory 用户和计算机”,然后展开域名。
  4. 右键单击域控制器,然后单击属性
  5. 组策略选项卡上,单击“默认域控制器策略”,然后单击编辑
  6. 展开下面的文件夹:
    计算机配置
    Windows 设置
    安全设置
    本地策略
  7. 单击用户权限分配,然后双击“跳过遍历检查”。应该出现下列默认设置:
    经身份验证的用户
    所有人
    管理员
    如果没有出现,而您又需要添加这些组,请单击添加,然后单击浏览
  8. 在命令提示符下,键入:
    secedit /refreshpolicy machine_policy /enforce

  9. 请验证 sysvol 共享权限设置是否正确,如下所示:
    管理员 = 完全控制
    经身份验证的用户 = 完全控制
    所有人 = 读取
注意:如果此过程不能解决此问题,或者访问组策略时遇到问题,请检查服务器上的绑定,以确保内部网络适配器在绑定顺序列表中排在第一位。要检查绑定顺序,请按照下列步骤操作:
  1. 右键单击网上邻居,然后单击属性
  2. 单击高级菜单,然后单击高级设置
  3. 在“连接”下,确保内部网络适配器第一个列出。如果不是第一个,使用箭头将其移到列表顶部。


Tags:
 
分页: 2/7 第一页 上页 1 2 3 4 5 6 7 下页 最后页 [ 显示模式: 摘要 | 列表