Windows下PHP+MySQL+IIS安全平台III 变态配置

核心提示： 如果是默认的Apache设置或者Web服务器以Loacalsystem权限或Administrators权限运行，攻击者可以使用这个漏洞来提升权限，Windows下PHP+MySQL+IIS安全平台III 变态配置(4)，所以我们必须要关闭掉com.allow_dcom这个参数默认是Tru

如果是默认的Apache设置或者Web服务器以Loacalsystem权限或Administrators权限运行，攻击者可以使用这个漏洞来提升权限。所以我们必须要关闭掉com.allow_dcom这个参数默认是True，我们需要吧这个参数修改成com.allow_dcom=false。第八个参数是expose_php。这个参数决定是否暴露 PHP 被安装在服务器上。如图3所示，如果这个参数设置为On的话就会把php的版本等泄露出来了。我们的推荐值是Off。

PHP+MySQL+IIS安全平台III 变态配置" onload="return imgzoom(this,550);" onclick="javascript:window.open(this.src);" style="cursor:pointer;"/>

图3

基本上的参数我们就介绍完了，当然php.ini还需要配置，大部分设置跟安全是没有关系的，很大一部分都跟PHP运行的效果（例如优化）等有关系，如果大家有兴趣的话可以自己参考一下php的官方手册来具体了解一下。注意：修改完php.ini以后，必须重新启动IIS，不然你设置的内容不会即时生效。

二、 IIS变态配置

我们配置完了php.ini，虽然已经算是相当安全了。但是毕竟最重要的设置还是在IIS上面，IIS可以限制某些用户的登录，同时也可以为数据增加SSL(安全套接层)来增强数据在传输过程中的安全性。可以利用IIS限制某些应用程序例如php的执行规则，例如，让php只能运行在指定的目录中，其他的目录是不能执行php的。下面举个例子就好理解了，例如：www.sina.com这个网站，大家都知道的，这个是新浪的。

新浪每天的访问量是非常大的，所以他不可能把所有的东西都放在一个服务器上面，这个时候可能就会把特定的资源例如图片，视频等放到一个专门的服务器上。这个时候，新浪的安全管理员就做了个非常变态的策略，就是在这些提供特定资源的服务器上面不能运行任何的脚本，例如不能执行php等，当然我这里只是举个例子，因为大部分的新浪的服务器都是Linux系列的，在他上面跑的可能是Nginx或者是apache，apache的这部分设置我们会在以后的教程中涉及。