WEB服務(wù)器安全設(shè)置
單擊此處編輯母版標(biāo)題樣式,,單擊此處編輯母版文本樣式,,第二級(jí),,第三級(jí),,第四級(jí),,第五級(jí),,,,,*,WEB服務(wù)器安全設(shè)置,,1,服務(wù)器安全設(shè)置:,,目前很多服務(wù)器存在的很多安全隱患��,黑客經(jīng)常會(huì)通過各種漏洞把服務(wù)器給黑掉�。,,目的:掌握系統(tǒng)權(quán)限的配置����;端口的封堵;,,FTP服務(wù)器的安全設(shè)置����;IIS服務(wù)器的設(shè)置。,2,,操作系統(tǒng)的安裝:,,服務(wù)器硬盤至少分兩個(gè)區(qū)�����,格式為NTFS格式。,,安裝2003操作系統(tǒng)��,并打好最新補(bǔ)丁���。,,安裝好驅(qū)動(dòng)程序�,系統(tǒng)默認(rèn)沒有安裝IIS�,所以要安裝IIS。步驟:開始-控制面板-添加/刪除程序-添加/刪除WINDOWS組件-應(yīng)用程序:,3,,應(yīng)用程序-------ASP.NET(可選),,|---啟用網(wǎng)絡(luò)COM+訪問(必選),,|---Internet 信息服務(wù)(IIS) (必選),,|---公用文件(必選),,|---萬維網(wǎng)服務(wù)—Active Server pages(必選),,|---Internet 數(shù)據(jù)連接器(可選),,,|——WebDAV 發(fā)布(可選),,|——萬維網(wǎng)服務(wù)(必選)� |——在服務(wù)器端的包含文件(可選),,然后點(diǎn)擊確定—>下一步安裝��。,4,,系統(tǒng)補(bǔ)丁的更新� 點(diǎn)擊開始菜單—>所有程序->Windows Update按照提示進(jìn)行補(bǔ)丁的安裝�。,,備份系統(tǒng)� 用GHOST備份系統(tǒng)����。,,安裝常用的軟件� 例如:殺毒軟件、解壓縮軟件等�;安裝完畢后,配置殺毒軟件,掃描系統(tǒng)漏洞,安裝之后用GHOST再次備份系統(tǒng)。,5,,安裝殺毒軟件���,有的殺毒軟件不支持服務(wù)器版�����,目前瑞星����,麥咖啡,諾頓都可以����;如果安裝瑞星的話會(huì)造成ASP動(dòng)態(tài)不能訪問,需要進(jìn)行修復(fù)一下動(dòng)態(tài)庫(kù)����,方法:在DOS命令行下輸入:regsvr32 jscript.dll (命令功能:修復(fù)Java動(dòng)態(tài)鏈接庫(kù)) ;regsvr32 vbscript.dll (命令功能:修復(fù)VB動(dòng)態(tài)鏈接庫(kù)) ����。不要指望殺毒能殺掉所有的木馬。,,6,,開啟防火墻���,這是2003自帶的防火墻��,隨沒有什么功能但可以屏蔽一些端口���。,,在高級(jí)tcp/ip設(shè)置里--“NetBIOS”設(shè)置“禁用tcp/IP上的NetBIOS(S)”。,,7,,修改注冊(cè)表. �開始--運(yùn)行--regedit �依次展開 HKEY_LOCAL_MACHINE/SYSTEM/CURRENTCONTROLSET/CONTROL/ �TERMINAL SERVER/WDS/RDPWD/TDS/TCP �右邊鍵值中 PortNumber 改為你想用的端口號(hào).注意使用十進(jìn)制(例 10000 ) ��HKEY_LOCAL_MACHINE/SYSTEM/CURRENTCONTROLSET/CONTROL/TERMINAL SERVER/ �WINSTATIONS/RDP-TCP/ �右邊鍵值中 PortNumber 改為你想用的端口號(hào).注意使用十進(jìn)制(例 10000 ) �注意:別忘了在WINDOWS2003自帶的防火墻給+上10000端口�修改完畢.重新啟動(dòng)服務(wù)器.設(shè)置生效.,8,,用戶安全設(shè)置,,禁用Guest賬號(hào) :在計(jì)算機(jī)管理的用戶里面把Guest賬號(hào)禁用�����。為了保險(xiǎn)起見,最好給Guest加一個(gè)復(fù)雜的密碼��。你可以打開記事本�����,在里面輸入一串包含特殊字符�、數(shù)字、字母的長(zhǎng)字符串��,然后把它作為Guest用戶的密碼拷進(jìn)去���。,,限制不必要的用戶 :去掉所有的Duplicate User用戶���、測(cè)試用戶�����、共享用戶等等�。用戶組策略設(shè)置相應(yīng)權(quán)限,并且經(jīng)常檢查系統(tǒng)的用戶��,刪除已經(jīng)不再使用的用戶�。這些用戶很多時(shí)候都是黑客們?nèi)肭窒到y(tǒng)的突破口�。,9,,把系統(tǒng)Administrator賬號(hào)改名 :Windows 2003 的Administrator用戶是不能被停用的��,這意味著別人可以一遍又一遍地嘗試這個(gè)用戶的密碼�����。盡量把它偽裝成普通用戶 ��。,,創(chuàng)建一個(gè)陷阱用戶 :什么是陷阱用戶?即創(chuàng)建一個(gè)名為“Administrator”的本地用戶����,把它的權(quán)限設(shè)置成最低,什么事也干不了的那種�����,并且加上一個(gè)超過10位的超級(jí)復(fù)雜密碼����。這樣可以讓那些 Hacker們忙上一段時(shí)間,借此發(fā)現(xiàn)它們的入侵企圖�。,10,,把共享文件的權(quán)限從Everyone組改成授權(quán)用戶 :任何時(shí)候都不要把共享文件的用戶設(shè)置成“Everyone”組,包括打印共享�,默認(rèn)的屬性就是“Everyone”組的,一定不要忘了改���。,,11,,本地策略設(shè)置,,在運(yùn)行中輸入gpedit.msc回車�,打開組策略編輯器,選擇計(jì)算機(jī)配置-Windows設(shè)置-安全設(shè)置-審核策略在創(chuàng)建審核項(xiàng)目時(shí)需要注意的是如果審核的項(xiàng)目太多�����,生成的事件也就越多��,那么要想發(fā)現(xiàn)嚴(yán)重的事件也越難當(dāng)然如果審核的太少也會(huì)影響你發(fā)現(xiàn)嚴(yán)重的事件�����,你需要根據(jù)情況在這二者之間做出選擇��。,12,,推薦的要審核的項(xiàng)目是:,,登錄事件 成功 失敗,,賬戶登錄事件 成功 失敗,,系統(tǒng)事件 成功 失敗,,策略更改 成功 失敗,,對(duì)象訪問 失敗,,目錄服務(wù)訪問 失敗,,特權(quán)使用 失敗,13,,開啟用戶策略 :使用用戶策略���,分別設(shè)置復(fù)位用戶鎖定計(jì)數(shù)器時(shí)間為20分鐘����,用戶鎖定時(shí)間為20分鐘���,用戶鎖定閾值為3次。 (該項(xiàng)為可選),,不讓系統(tǒng)顯示上次登錄的用戶名 :,,密碼安全設(shè)置 :使用安全密碼 ����,要注意密碼的復(fù)雜性����,還要記住經(jīng)常改密碼�。,,設(shè)置屏幕保護(hù)密碼,14,,開啟密碼策略 :注意應(yīng)用密碼策略,如啟用密碼復(fù)雜性要求����,設(shè)置密碼長(zhǎng)度最小值為6位 ,設(shè)置強(qiáng)制密碼歷史為5次�,時(shí)間為42天。,,15,,本地策略——>用戶權(quán)限分配,,關(guān)閉系統(tǒng):只有Administrators組��、其它全部刪除�����。,,通過終端服務(wù)允許登陸:只加入Administrators,Remote Desktop Users組�,其他全部刪除。,,16,,本地策略——>安全選項(xiàng),,交互式登陸:不顯示上次的用戶名 啟用�網(wǎng)絡(luò)訪問:不允許SAM帳戶和共享的匿名枚舉 啟用�網(wǎng)絡(luò)訪問:不允許為網(wǎng)絡(luò)身份驗(yàn)證儲(chǔ)存憑證 啟用�網(wǎng)絡(luò)訪問:可匿名訪問的共享 全部刪除�網(wǎng)絡(luò)訪問:可匿名訪問的命 全部刪除�網(wǎng)絡(luò)訪問:可遠(yuǎn)程訪問的注冊(cè)表路徑 全部刪除 �網(wǎng)絡(luò)訪問:可遠(yuǎn)程訪問的注冊(cè)表路徑和子路徑全部刪除 �帳戶:重命名來賓帳戶 重命名一個(gè)帳戶 �帳戶:重命名系統(tǒng)管理員帳戶 重命名一個(gè)帳戶,17,,禁用不必要的服務(wù),,開始-運(yùn)行-services.msc :,,TCP/IPNetBIOS Helper提供 TCP/IP 服務(wù)上的 NetBIOS 和網(wǎng)絡(luò)上客戶端的 NetBIOS 名稱解析的支持而使用戶能夠共享文件�、打印和登錄到網(wǎng)絡(luò),,Server支持此計(jì)算機(jī)通過網(wǎng)絡(luò)的文件、打印���、和命名管道共享,,Computer Browser 維護(hù)網(wǎng)絡(luò)上計(jì)算機(jī)的最新列表以及提供這個(gè)列表,,Task scheduler 允許程序在指定時(shí)間運(yùn)行,,Messenger 傳輸客戶端和服務(wù)器之間的 NET SEND 和 警報(bào)器服務(wù)消息,,Distributed : 局域網(wǎng)管理共享文件��,不需要可禁用,18,,Distributed linktracking client:用于局域網(wǎng)更新連接信息��,不需要可禁用,,Error reporting service:禁止發(fā)送錯(cuò)誤報(bào)告,,Microsoft Serch:提供快速的單詞搜索�,不需要可禁用,,NTLMSecuritysupportprovide:telnet服務(wù)和Microsoft Serch用的,不需要可禁用,,PrintSpooler:如果沒有打印機(jī)可禁用,,Remote Registry:禁止遠(yuǎn)程修改注冊(cè)表,,Remote Desktop Help Session Manager:禁止遠(yuǎn)程協(xié)助,,Workstation 關(guān)閉的話遠(yuǎn)程N(yùn)ET命令列不出用戶組,,以上是在Windows Server 2003 系統(tǒng)上面默認(rèn)啟動(dòng)的服務(wù)中禁用的��,默認(rèn)禁用的服務(wù)如沒特別需要的話不要啟動(dòng)�。,19,,修改注冊(cè)表,讓系統(tǒng)更強(qiáng)壯,,隱藏重要文件/目錄可以修改注冊(cè)表實(shí)現(xiàn)完全隱藏 :HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\ Current-Version\Explorer\Advanced\Folder\Hi-dden\SHOWALL”�����,鼠標(biāo)右擊 “CheckedValue”���,選擇修改��,把數(shù)值由1改為0,20,,防止SYN洪水攻擊 :HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters �新建DWORD值���,名為SynAttackProtect,值為2 �新建EnablePMTUDiscovery REG_DWORD 0 �新建NoNameReleaseOnDemand REG_DWORD 1 �新建EnableDeadGWDetect REG_DWORD 0 �新建KeepAliveTime REG_DWORD 300,000 �新建PerformRouterDiscovery REG_DWORD 0 �新建EnableICMPRedirects REG_DWORD 0,21,,禁止響應(yīng)ICMP路由通告報(bào)文 :HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\interface �新建DWORD值��,名為PerformRouterDiscovery 值為0,,防止ICMP重定向報(bào)文的攻擊 :HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters �將EnableICMPRedirects 值設(shè)為0,22,,不支持IGMP協(xié)議 :HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters �新建DWORD值����,名為IGMPLevel 值為0,,禁止IPC空連接: Local_Machine\System\CurrentControlSet\Control\LSA-RestrictAnonymous 把這個(gè)值改成”1”即可。,23,,刪除默認(rèn)共享:HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters:AutoShareServer類型是REG_DWORD把值改為0即可,,建立一個(gè)記事本�����,填上以下代碼�����。保存為*.bat并加到啟動(dòng)項(xiàng)目中:net share c$ /del�net share d$ /del�net share e$ /del�net share f$ /del�net share ipc$ /del�net share admin$ /del,24,,系統(tǒng)權(quán)限的設(shè)置,,磁盤權(quán)限 :,,系統(tǒng)盤及所有磁盤只給 Administrators 組和 SYSTEM 的完全控制權(quán)限,,系統(tǒng)盤\Documents and Settings 目錄只給 Administrators 組SYSTEM 的完全控制權(quán)限,,系統(tǒng)盤\Documents and Settings\All Users 目錄只給 Administrators 組和 SYSTEM 的完全控制權(quán)限,,系統(tǒng)盤\Windows\System32\cacls.exe�����、cmd.exe����、net.exe、net1.exe�����、�����、t、telnet.exe ����、 netstat.exe、regedit.exe�����、at.exe����、attrib.exe、�����、del文件只給 Administrators 組和SYSTEM 的完全 控制權(quán)限,,另將\System32\cmd.exe�、、轉(zhuǎn)移到其他目錄或更名,,Documents and Settings下所有些目錄都設(shè)置只給adinistrators權(quán)限�。并且要一個(gè)一個(gè)目錄查看,包括下面的所有子目錄�����。�刪除c:\inetpub目錄,25,,IIS站點(diǎn)設(shè)置:,,將IIS目錄&數(shù)據(jù)與系統(tǒng)磁盤分開��,保存在專用磁盤空間內(nèi)。,,啟用父級(jí)路徑,,在IIS管理器中刪除必須之外的任何沒有用到的映射(保留asp等必要映射即可):右鍵單擊“默認(rèn)Web站點(diǎn)→屬性→主目錄→配置”����,打開應(yīng)用程序窗口��,去掉不必要的應(yīng)用程序映射�。主要為.shtml, .shtm, .stm,,在IIS中將HTTP404 Object Not Found出錯(cuò)頁(yè)面通過URL重定向到一個(gè)定制HTM文件,,26,,刪除IIS默認(rèn)創(chuàng)建的Inetpub目錄(在安裝系統(tǒng)的盤上)。,,刪除系統(tǒng)盤下的虛擬目錄��,如:_vti_bin��、IISSamples���、Scripts���、IIShelp、IISAdmin�����、IIShelp���、MSADC�。,,更改IIS日志的路徑 :右鍵單擊“默認(rèn)Web站點(diǎn)→屬性-網(wǎng)站-在啟用日志記錄下點(diǎn)擊屬性,27,,Web站點(diǎn)權(quán)限設(shè)定(建議) :讀 允許�寫 不允許�腳本源訪問 不允許�目錄瀏覽 建議關(guān)閉�日志訪問 建議關(guān)閉�索引資源 建議關(guān)閉�執(zhí)行 推薦選擇 “僅限于腳本”,28,,程序安全:,,涉及用戶名與口令的程序最好封裝在服務(wù)器端,盡量少的在ASP文件里出現(xiàn)����,涉及到與數(shù)據(jù)庫(kù)連接地用戶名與口令應(yīng)給予最小的權(quán)限;,,需要經(jīng)過驗(yàn)證的ASP頁(yè)面,可跟蹤上一個(gè)頁(yè)面的文件名�����,只有從上一頁(yè)面轉(zhuǎn)進(jìn)來的會(huì)話才能讀取這個(gè)頁(yè)面�����。,,防止ASP主頁(yè).inc文件泄露問題;,,防止UE等編輯器生成some.asp.bak文件泄露問題����。,29,,為每個(gè)站點(diǎn)單獨(dú)設(shè)置賬戶:我的電腦-右鍵-管理-賬戶:新建賬戶-密碼,在新建的賬戶屬性里將隸屬于賬戶刪除(不給任何權(quán)限)����,遠(yuǎn)程訪問拒絕;再新建一應(yīng)用程序池賬戶�����,在新建賬戶隸屬于里講賬戶刪除-添加IIS_WPG賬戶組��。,,打開IIS管理器:應(yīng)用程序池-新建應(yīng)用程序池-標(biāo)識(shí)-配置-賬戶選擇新建的應(yīng)用程序池賬戶,密碼填此賬戶密碼���。,30,,WEB賬戶配置:新建網(wǎng)站-屬性-目錄安全性-身份驗(yàn)證和訪問控制-編輯-選擇無任何權(quán)限那個(gè)賬戶�����,密碼填此賬戶密碼,確定�����。,,WEB文件夾權(quán)限設(shè)置:新建網(wǎng)站文件夾-右鍵屬性-安全-高級(jí)-勾掉父項(xiàng)的繼承權(quán)-只留administrator和system賬戶其他刪除-添加web賬戶和應(yīng)用程序池新建賬戶����,并編輯權(quán)限,去掉:完全控制����、遍歷文件夾、取得所有權(quán)����。,,將此硬盤的權(quán)限只留administration和system,添加IIS_WPG用戶為讀取權(quán)限��。,31,,卸載最不安全的組件,,最簡(jiǎn)單的辦法是直接卸載后刪除相應(yīng)的程序文件。將下面的代碼保存為一個(gè).BAT文件���, regsvr32/u C:\WINDOWS\System32\wshom.ocx�del C:\WINDOWS\System32\wshom.ocx�regsvr32/u C:\WINDOWS\system32\shell32.dll�del C:\WINDOWS\shell32.dll,,然后運(yùn)行一下��,WScript.Shell, Shell.application, WScript.Network就會(huì)被卸載了�����?���?赡軙?huì)提示無法刪除文件�����,不用管它����,重啟一下服務(wù)器,你會(huì)發(fā)現(xiàn)這三個(gè)都提示“×安全”了���。,32,,IP安全策略設(shè)置:,,在控制面板-管理工具-打開本地安全策略:,,右鍵新建IP策略���。,33,,SERV-U安全設(shè)置,,作為一款精典的FTP服務(wù)器軟件����,SERV-U一直被大部分管理員所使用�,首先是SERV-U的SITE CHMOD漏洞和Serv-U MDTM漏洞,即利用一個(gè)賬號(hào)可以輕易的得到SYSTEM權(quán)限��。其次是Serv-u的本地溢出漏洞���,即Serv-U有一個(gè)默認(rèn)的管理用戶(用戶名:localadministrator����,密碼:#|@$ak#.|k;0@p)�,任何人只要通過一個(gè)能訪問本地端口43958的賬號(hào)就可以隨意增刪賬號(hào)和執(zhí)行任意內(nèi)部和外部命令�。從SERV-U6.0.0.2開始,該軟件有了登錄密碼功能�,這樣如果加了管理密碼,并且設(shè)置比較妥善的話�,SERV-U將會(huì)比原來安全的多。現(xiàn)在我們就開始SERV-U的設(shè)置之旅��,采用版本是SERV-U 6.0.0.2����。,34,,修改安裝路徑:路徑最好復(fù)雜無規(guī)律,,安裝的時(shí)候只選前2項(xiàng)就可以了��,后面的2個(gè)是說明和在線幫助文件���。,,生成的開始菜單組里的文件夾的名字,建議更改成比較不像SERV-U的名字�,或者是刪除該文件夾 。,,安裝完成后會(huì)出現(xiàn)一個(gè)向?qū)ё屇憬⒁粋€(gè)域和賬號(hào)����。在這里點(diǎn)Cancel取消向?qū)АS孟驅(qū)傻馁~號(hào)會(huì)帶來一些問題���,所以下面采用手工方式建立域和賬號(hào)�����。,35,,然后點(diǎn)選Start automatically(system service)前面的選項(xiàng)����,接著點(diǎn)下邊的Start Server按鈕把SERV-U加入系統(tǒng)服務(wù)����,這樣就可以隨系統(tǒng)啟動(dòng)了,不用每次都手工啟動(dòng)���。,,通過點(diǎn)擊Set/Change Password設(shè)置一個(gè)密碼���。,,這里建議設(shè)置一個(gè)足夠復(fù)雜的密碼��,以防止別人暴力破解����。自己記不得也沒有關(guān)系�,只要把ServUDaemon.ini里的LocalSetupPassword=這一行清除并保存,再次運(yùn)行ServUAdmin.exe就不會(huì)提示你輸入密碼登錄了��。,36,,首先建立一個(gè)WINDOWS賬號(hào)SSERVU�����,密碼也需要足夠的復(fù)雜�。密碼要記住��。,,建好賬號(hào)以后����,雙擊建好的用戶編輯用戶屬性,從“隸屬于”里刪除USERS組���。,,從“終端服務(wù)配置文件”選項(xiàng)里取消“允許登錄到終端服務(wù)器(W)”的選擇�,然后點(diǎn)擊確定繼續(xù)我們的設(shè)置。,,開始菜單的管理工具里找到“服務(wù)”點(diǎn)擊打開���。在“Serv-U 服務(wù)”上點(diǎn)右鍵��,選擇屬性,37,,點(diǎn)擊“登錄”進(jìn)入登錄賬號(hào)選擇界面���。選擇剛才建立的系統(tǒng)賬號(hào)名,并在下面重復(fù)輸入2次該賬號(hào)的密碼(就是剛才讓你記住的那個(gè))�����,然后點(diǎn)“應(yīng)用”����,再次點(diǎn)確定,完成服務(wù)的設(shè)置��。,,接下來要先使用FTP管理工具建立一個(gè)域��,再建立一個(gè)賬號(hào)��,建好后選擇保存在注冊(cè)表。,,打開注冊(cè)表來測(cè)試相應(yīng)的權(quán)限����,否則SERV-U是沒辦法啟動(dòng)的。在開始->運(yùn)行里輸入regedt32點(diǎn)“確定”繼續(xù)�。,38,,找到[HKEY_LOCAL_MACHINE\SOFTWARE\Cat Soft]分支。在上面點(diǎn)右鍵��,選擇權(quán)限��,然后點(diǎn)高級(jí)�����,取消允許父項(xiàng)的繼承權(quán)限傳播到該對(duì)象和所有子對(duì)象�����,包括那些在此明確定義的項(xiàng)目�,點(diǎn)擊“應(yīng)用”繼續(xù),接著刪除所有的賬號(hào)�。再次點(diǎn)擊“確定”按鈕繼續(xù)��。這時(shí)會(huì)彈出對(duì)話框顯示“您拒絕了所有用戶訪問Cat Soft���。沒有人能訪問 Cat Soft����,而且只有所有者才能更改權(quán)限。您要繼續(xù)嗎����?”,點(diǎn)擊“是”繼續(xù)���。接著點(diǎn)擊添加按鈕增加我們建立的SSERVU賬號(hào)到該子鍵的權(quán)限列表里�,并給予完全控制權(quán)限�。到這里注冊(cè)表已經(jīng)設(shè)置完了。但還不能重新啟動(dòng)SERV-U���,因?yàn)榘惭b目錄還沒設(shè)置�。,39,,現(xiàn)在就來設(shè)置一下����,只保留你的管理賬號(hào)和SSERVU賬號(hào),并給予除了完全控制外的所有權(quán)限��。,,服務(wù)里重啟Serv-U 服務(wù)就可以正常啟動(dòng)了�。當(dāng)然��,到這里還沒有完全設(shè)置完�����,你的FTP用戶因?yàn)闆]有權(quán)限還是登錄不了的��,所以還要設(shè)置一下目錄的權(quán)限����。,40,,假設(shè)你有一個(gè)WEB目錄�����,路徑是d:\web�����。那么在這個(gè)目錄的“安全設(shè)定”里除了管理員和IIS用戶都刪除掉�����,再加入SSERVU賬號(hào)�,切記SYSTEM賬號(hào)也刪除掉。為什么要這樣設(shè)置呢���?因?yàn)楝F(xiàn)在已經(jīng)是用SSERVU賬號(hào)啟動(dòng)的SERV-U�,而不是用SYSTEM權(quán)限啟動(dòng)的了��,所以訪問目錄不再是用SYSTEM而是用SSERVU��,此時(shí)SYSTEM已經(jīng)沒有用了����,這樣就算真的溢出也不可能得到SYSTEM權(quán)限。另外�����,WEB目錄所在盤的根目錄還要設(shè)置允許SSERV-U賬號(hào)的瀏覽和讀取權(quán)限�����,并確認(rèn)在高級(jí)里設(shè)置只有該文件夾�����。,41,,結(jié)束,42,,
個(gè)人主頁(yè)