网站加固手册.doc_咨信网zixin.com.cn

资源描述

网站加固手册 1. 系统安全（该部分设置完毕后需要对网站的使用进行测试，尤其是后台的使用，例如上传） 1.1禁止使用WScript.Shell 组件 HKEY_CLASSES_ROOT\WScript.Shell HKEY_CLASSES_ROOT\WScript.Shell.1 HKEY_CLASSES_ROOT\CLSID\{72C24DD5-D70A-438B-8A42-09424B88AFB8} HKEY_CLASSES_ROOT\CLSID\{F935DC22-1CF0-11D0-ADB9-00C04FD58A0B} 将WScript.Shell、WScript.Shell.1、{72C24DD5-D70A-438B-8A42-09424B88AFB8}、{F935DC22-1CF0-11D0-ADB9-00C04FD58A0B}重命名至任意名字 regsvr32/u %windir%\System32\wshom.ocx 1.2禁止使用Shell.application 组件 HKEY_CLASSES_ROOT\Shell.Application HKEY_CLASSES_ROOT\Shell.Application.1 HKEY_CLASSES_ROOT\CLSID\{13709620-C279-11CE-A493-444553540000} 将Shell.Application、Shell.Application.1、{13709620-C279-11CE-A493-444553540000}重命名至任意名字 regsvr32/u %windir%\system32\shell32.dll cacls %windir%\system32\shell32.dll /e /d guests 1.3禁止使用FileSystemObject组件 HKEY_CLASSES_ROOT\Scripting.FileSystemObject HKEY_CLASSES_ROOT\CLSID\{0D43FE01-F093-11CF-8940-00A0C9054228} 将Scripting.FileSystemObject和{0D43FE01-F093-11CF-8940-00A0C9054228}导出备份，然后把这两项重命名至任意名字 RegSrv32 /u %windir%\SYSTEM32\scrrun.dll cacls C:\WINNT\system32\scrrun.dll /e /d guests 1.4禁用Guests组用户调用cmd.exe、command.exe cacls %windir%\system32\cmd.exe /e /d guests cacls %windir%\system32\command.exe /e /d guests 　　 1.5其他注册表项修改（可将下文保存为注册表文件导入） [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer] "NoRecentDocsMenu"=hex:01,00,00,00 "NoRecentDocsHistory"=hex:01,00,00,00 [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon] "DontDisplayLastUserName"="1" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa] "restrictanonymous"=dword:00000001 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\Parameters] "AutoShareServer"=dword:00000000 "AutoShareWks"=dword:00000000 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters] "EnableICMPRedirect"=dword:00000000 "KeepAliveTime"=dword:000927c0 "SynAttackProtect"=dword:00000002 "TcpMaxHalfOpen"=dword:000001f4 "TcpMaxHalfOpenRetried"=dword:00000190 "TcpMaxConnectResponseRetransmissions"=dword:00000001 "TcpMaxDataRetransmissions"=dword:00000003 "TCPMaxPortsExhausted"=dword:00000005 "DisableIPSourceRouting"=dword:00000002 "TcpTimedWaitDelay"=dword:0000001e "TcpNumConnections"=dword:00004e20 "EnablePMTUDiscovery"=dword:00000000 "NoNameReleaseOnDemand"=dword:00000001 "EnableDeadGWDetect"=dword:00000000 "PerformRouterDiscovery"=dword:00000000 "EnableICMPRedirects"=dword:00000000 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NetBT\Parameters] "BacklogIncrement"=dword:00000005 "MaxConnBackLog"=dword:000007d0 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\AFD\Parameters] "EnableDynamicBacklog"=dword:00000001 "MinimumDynamicBacklog"=dword:00000014 "MaximumDynamicBacklog"=dword:00007530 "DynamicBacklogGrowthDelta"=dword:0000000a 2.服务安全以下服务停止并禁用 Alerter Application Layer Gateway Service Background Intelligent Transfer Service Computer Browser Distributed File System Help and Support Messenger NetMeeting Remote Desktop Sharing Print Spooler Remote Registry Task Scheduler TCP/IP NetBIOS Helper Telnet Workstation 3.组策略　　开始菜单—>管理工具—>本地安全策略　　 A、本地策略——>审核策略　　审核策略更改　　　成功　失败　　　　审核登录事件　　　成功　失败　　审核对象访问　　　　　　失败　　审核过程跟踪　　　无审核　　审核目录服务访问　　　　失败　　审核特权使用　　　　　　失败　　审核系统事件　　　成功　失败　　审核账户登录事件　成功　失败　　审核账户管理　　　成功　失败 B、本地策略——>用户权限分配　　关闭系统：只有Administrators组、其它全部删除。　　通过终端服务拒绝登陆：加入Guests、User组　　通过终端服务允许登陆：只加入Administrators组，其他全部删除 C、本地策略——>安全选项　　交互式登陆：不显示上次的用户名　　　　　　　启用网络访问：不允许SAM帐户和共享的匿名枚举　　启用网络访问：不允许为网络身份验证储存凭证　　　启用网络访问：可匿名访问的共享　　　　　　　　　全部删除网络访问：可匿名访问的命　　　　　　　　　　全部删除网络访问：可远程访问的注册表路径　　　　　　全部删除网络访问：可远程访问的注册表路径和子路径　　全部删除帐户：重命名来宾帐户　　　　　　　　　　　　重命名一个帐户（视情况而定）帐户：重命名系统管理员帐户　　　　　　　　　重命名一个帐户（视情况而定） 4.IIS安全 4.1不同类型网站的相关设置（以下主机头等命名为举例）主机头主机脚本硬盘目录 IIS用户名硬盘权限应用程序池主目录应用程序配置 HTM D:\\ IUSR_ Administrators(完全控制) IUSR_(读) 可共用读取/纯脚本启用父路径 ASP D:\\ IUSR_ Administrators(完全控制) IUSR_(读/写) 可共用读取/纯脚本启用父路径 NET D:\\ IUSR_ Administrators(完全控制) IWAM_(读/写) IUSR_(读/写) 独立池读取/纯脚本启用父路径 PHP D:\\ IUSR_ Administrators(完全控制) IWAM_(读/写) IUSR_(读/写) 独立池读取/纯脚本启用父路径 4.2网站属性检查： “网站”标签查看是否启用日志记录，启用的活动日志格式查看日志文件目录，如果是默认路径将其移动到其他盘符的某一个文件夹内，文件夹名不要以和log相关的字眼命名，选用的盘符空间视每天访问量决定，最好能容纳3个月的日志，不要和网页程序文件放在同一个盘符。 “主目录”标签查看开启的目录权限，写入权限和目录权限不能打勾，如打上勾需要和用户确定；记录访问一定要打上勾点开配置按钮，将映射中的.asa和.cer映射删除。查看选项内是否“启用父路径”，如启用做记录，查看网页代码文件是否需要用到父路径。 “自定义错误”标签编辑所有HTTP错误，将内容路径指向一个空白的htm文件（自己创建） 4.3删除不必要的站点默认网站如果不需要访问将其关闭。其他测试站点也将其关闭，只保留需要发布的站点。 4.4 Web服务扩展（2003） WebDAV禁止 5.权限设置硬盘或文件夹: C:\ D:\ E:\ F:\ 类推主要权限部分：其他权限部分： Administrators 完全控制如果安装了其他运行环境，比如PHP等，则根据PHP的环境功能要求来设置硬盘权限，一般是安装目录加上users读取运行权限就足够了，比如c:\php的话，就在根目录权限继承的情况下加上users读取运行权限，需要写入数据的比如tmp文件夹，则把users的写删权限加上，运行权限不要，然后把虚拟主机用户的读权限拒绝即可。如果是mysql的话，用一个独立用户运行MYSQL会更安全。该文件夹，子文件夹及文件 <不是继承的> CREATOR OWNER 完全控制只有子文件夹及文件 <不是继承的> SYSTEM 完全控制该文件夹，子文件夹及文件 <不是继承的> 硬盘或文件夹: C:\Inetpub\ 主要权限部分：其他权限部分： Administrators 完全控制无该文件夹，子文件夹及文件 <继承于c:\> CREATOR OWNER 完全控制只有子文件夹及文件 <继承于c:\> SYSTEM 完全控制该文件夹，子文件夹及文件 <继承于c:\> 硬盘或文件夹: C:\Inetpub\AdminScripts 主要权限部分：其他权限部分： Administrators 完全控制无该文件夹，子文件夹及文件 <不是继承的> SYSTEM 完全控制该文件夹，子文件夹及文件 <不是继承的> 硬盘或文件夹: C:\Inetpub\wwwroot 主要权限部分：其他权限部分： Administrators 完全控制 IIS_WPG 读取运行/列出文件夹目录/读取该文件夹，子文件夹及文件该文件夹，子文件夹及文件 <不是继承的> <不是继承的> SYSTEM 完全控制 Users 读取运行/列出文件夹目录/读取该文件夹，子文件夹及文件该文件夹，子文件夹及文件 <不是继承的> <不是继承的> 这里可以把虚拟主机用户组加上同Internet 来宾帐户一样的权限拒绝权限 Internet 来宾帐户创建文件/写入数据/:拒绝创建文件夹/附加数据/:拒绝写入属性/:拒绝写入扩展属性/:拒绝删除子文件夹及文件/:拒绝删除/:拒绝该文件夹，子文件夹及文件 <不是继承的> 硬盘或文件夹: C:\Inetpub\wwwroot\aspnet_client 主要权限部分：其他权限部分： Administrators 完全控制 Users 读取该文件夹，子文件夹及文件该文件夹，子文件夹及文件 <不是继承的> <不是继承的> SYSTEM 完全控制该文件夹，子文件夹及文件 <不是继承的> 硬盘或文件夹: C:\Documents and Settings\All Users\DRM 主要权限部分：其他权限部分：这里需要把GUEST用户组和IIS访问用户组全部禁止，Everyone的权限比较特殊，默认安装后已经带了，主要是要把IIS访问的用户组加上所有权限都禁止 Users 读取和运行该文件夹，子文件夹及文件 <不是继承的> Guests 拒绝所有该文件夹，子文件夹及文件 <不是继承的> Guest 拒绝所有该文件夹，子文件夹及文件 <不是继承的> IUSR_XXX 或某个虚拟主机用户组拒绝所有该文件夹，子文件夹及文件 <不是继承的> 硬盘或文件夹: C:\Program Files 主要权限部分：其他权限部分： Administrators 完全控制 IIS_WPG 读取和运行该文件夹，子文件夹及文件该文件夹，子文件夹及文件 <不是继承的> <不是继承的> CREATOR OWNER 完全控制 IUSR_XXX 或某个虚拟主机用户组列出文件夹/读取数据：拒绝只有子文件夹及文件该文件夹，子文件夹及文件 <不是继承的> <不是继承的> SYSTEM 完全控制 IIS虚拟主机用户组禁止列目录，可有效防止FSO类木马如果安装了aspjepg和aspupload 该文件夹，子文件夹及文件 <不是继承的> 硬盘或文件夹: C:\Program Files\Common Files 主要权限部分：其他权限部分： Administrators 完全控制 IIS_WPG 读取和运行该文件夹，子文件夹及文件该文件夹，子文件夹及文件 <不是继承的> <继承于上级目录> CREATOR OWNER 完全控制 Users 读取和运行只有子文件夹及文件该文件夹，子文件夹及文件 <不是继承的> <不是继承的> SYSTEM 完全控制复合权限，为IIS提供快速安全的运行环境该文件夹，子文件夹及文件 <不是继承的> 硬盘或文件夹: C:\Program Files\Microsoft SQL Server\MSSQL (假设程序部分默认装在C：盘) 主要权限部分：其他权限部分： Administrators 完全控制无该文件夹，子文件夹及文件 <不是继承的> 硬盘或文件夹: E:\Program Files\Microsoft SQL Server (假设数据库部分装在E：盘) 主要权限部分：其他权限部分： Administrators 完全控制无该文件夹，子文件夹及文件 <不是继承的> CREATOR OWNER 完全控制只有子文件夹及文件 <不是继承的> SYSTEM 完全控制该文件夹，子文件夹及文件 <不是继承的> 硬盘或文件夹: C:\WINDOWS 主要权限部分：其他权限部分： Administrators 完全控制 Users 读取和运行该文件夹，子文件夹及文件该文件夹，子文件夹及文件 <不是继承的> <不是继承的> CREATOR OWNER 完全控制只有子文件夹及文件 <不是继承的> SYSTEM 完全控制该文件夹，子文件夹及文件 <不是继承的> 硬盘或文件夹: C:\WINDOWS\repair 主要权限部分：其他权限部分： Administrators 完全控制 IUSR_XXX 或某个虚拟主机用户组列出文件夹/读取数据：拒绝该文件夹，子文件夹及文件该文件夹，子文件夹及文件 <不是继承的> <不是继承的> CREATOR OWNER 完全控制虚拟主机用户访问组拒绝读取，有助于保护系统数据这里保护的是系统级数据SAM 只有子文件夹及文件 <不是继承的> SYSTEM 完全控制该文件夹，子文件夹及文件 <不是继承的> 硬盘或文件夹: C:\WINDOWS\IIS Temporary Compressed Files 主要权限部分：其他权限部分： Administrators 完全控制 USERS 读取和写入/删除该文件夹，子文件夹及文件该文件夹，子文件夹及文件 <继承于C:\windows> <不是继承的> CREATOR OWNER 完全控制 IIS_WPG 读取和写入/删除只有子文件夹及文件该文件夹，子文件夹及文件 <继承于C:\windows> <不是继承的> SYSTEM 完全控制建议装了MCAFEE或NOD的用户把此文件夹，禁止写入一些文件类型比如*.EXE和*.com等可执行文件或vbs类脚本该文件夹，子文件夹及文件 <继承于C:\windows> IUSR_XXX 或某个虚拟主机用户组列出文件夹/读取数据：拒绝该文件夹，子文件夹及文件 <不是继承的> Guests 列出文件夹/读取数据：拒绝该文件夹，子文件夹及文件 <不是继承的> 硬盘或文件夹: C:\WINDOWS\system32 主要权限部分：其他权限部分： Administrators 完全控制 Users 读取和运行该文件夹，子文件夹及文件该文件夹，子文件夹及文件 <不是继承的> <不是继承的> CREATOR OWNER 完全控制 IUSR_XXX 或某个虚拟主机用户组列出文件夹/读取数据：拒绝只有子文件夹及文件该文件夹，子文件夹及文件 <不是继承的> <不是继承的> SYSTEM 完全控制虚拟主机用户访问组拒绝读取，有助于保护系统数据该文件夹，子文件夹及文件 <不是继承的> 硬盘或文件夹: C:\WINDOWS\system32\config 主要权限部分：其他权限部分： Administrators 完全控制 Users 读取和运行该文件夹，子文件夹及文件该文件夹，子文件夹及文件 <不是继承的> <不是继承的> CREATOR OWNER 完全控制 IUSR_XXX 或某个虚拟主机用户组列出文件夹/读取数据：拒绝只有子文件夹及文件该文件夹，子文件夹及文件 <不是继承的> <继承于上一级目录> SYSTEM 完全控制虚拟主机用户访问组拒绝读取，有助于保护系统数据该文件夹，子文件夹及文件 <不是继承的> 硬盘或文件夹: C:\WINDOWS\system32\inetsrv\ 主要权限部分：其他权限部分： Administrators 完全控制 Users 读取和运行该文件夹，子文件夹及文件该文件夹，子文件夹及文件 <不是继承的> <不是继承的> CREATOR OWNER 完全控制 IUSR_XXX 或某个虚拟主机用户组列出文件夹/读取数据：拒绝只有子文件夹及文件只有该文件夹 <不是继承的> <继承于上一级目录> SYSTEM 完全控制虚拟主机用户访问组拒绝读取，有助于保护系统数据该文件夹，子文件夹及文件 <不是继承的> 硬盘或文件夹: C:\WINDOWS\system32\inetsrv\ASP Compiled Templates 主要权限部分：其他权限部分： Administrators 完全控制 IIS_WPG 完全控制该文件夹，子文件夹及文件该文件夹，子文件夹及文件 <不是继承的> <不是继承的> IUSR_XXX 或某个虚拟主机用户组列出文件夹/读取数据：拒绝该文件夹，子文件夹及文件 <继承于上一级目录> 虚拟主机用户访问组拒绝读取，有助于保护系统数据硬盘或文件夹: C:\WINDOWS\system32\inetsrv\iisadmpwd 主要权限部分：其他权限部分： Administrators 完全控制无该文件夹，子文件夹及文件 <不是继承的> CREATOR OWNER 完全控制只有子文件夹及文件 <不是继承的> SYSTEM 完全控制该文件夹，子文件夹及文件 <不是继承的> 硬盘或文件夹: C:\WINDOWS\system32\inetsrv\MetaBack 主要权限部分：其他权限部分： Administrators 完全控制 Users 读取和运行该文件夹，子文件夹及文件该文件夹，子文件夹及文件 <不是继承的> <不是继承的> CREATOR OWNER 完全控制 IUSR_XXX 或某个虚拟主机用户组列出文件夹/读取数据：拒绝只有子文件夹及文件该文件夹，子文件夹及文件 <不是继承的> <继承于上一级目录> SYSTEM 完全控制虚拟主机用户访问组拒绝读取，有助于保护系统数据该文件夹，子文件夹及文件 <不是继承的> ASP.NET 进程帐户所需的 NTFS 权限目录所需权限 Temporary ASP.NET Files%windir%\Microsoft.NET\Framework\{版本}Temporary ASP.NET Files 进程帐户和模拟标识：看下面详细权限临时目录 (%temp%) 进程帐户完全控制 .NET Framework 目录%windir%\Microsoft.NET\Framework\{版本} 进程帐户和模拟标识：读取和执行列出文件夹内容读取 .NET Framework 配置目录%windir%\Microsoft.NET\Framework\{版本}\CONFIG 进程帐户和模拟标识：读取和执行列出文件夹内容读取网站根目录 C:\inetpub\wwwroot 或默认网站指向的路径进程帐户：读取系统根目录 %windir%\system32 进程帐户：读取全局程序集高速缓存 %windir%\assembly 进程帐户和模拟标识：读取内容目录 C:\inetpub\wwwroot\YourWebApp (一般来说不用默认目录，管理员可根据实际情况调整比如D:\wwwroot) 进程帐户：读取列出文件夹内容读取注意对于 .NET Framework 1.0，直到文件系统根目录的所有父目录也都需要上述权限。父目录包括： C:\ C:\inetpub\ C:\inetpub\wwwroot\ 硬盘或文件夹: C:\WINDOWS\Microsoft.NET\Framework\版本\Temporary ASP.NET Files 主要权限部分：其他权限部分： Administrators 完全控制 ASP.NET 计算机帐户读取和运行该文件夹，子文件夹及文件该文件夹，子文件夹及文件 <继承于E:\> <继承于C:\windows> CREATOR OWNER 完全控制 ASP.NET 计算机帐户写入/删除只有子文件夹及文件该文件夹，子文件夹及文件 <继承于E:\> <不是继承的> SYSTEM 完全控制 IIS_WPG 读取和运行该文件夹，子文件夹及文件该文件夹，子文件夹及文件 <继承于E:\> <继承于C:\windows> IUSR_XXX 或某个虚拟主机用户组列出文件夹/读取数据：拒绝 IIS_WPG 写入/删除该文件夹，子文件夹及文件该文件夹，子文件夹及文件 <不是继承的> <不是继承的> Guests 列出文件夹/读取数据：拒绝 LOCAL SERVICE 读取和运行该文件夹，子文件夹及文件该文件夹，子文件夹及文件 <不是继承的> <继承于C:\windows> USERS 读取和运行 LOCAL SERVICE 写入/删除该文件夹，子文件夹及文件该文件夹，子文件夹及文件 <继承于C:\windows> <不是继承的> NETWORK SERVICE 读取和运行该文件夹，子文件夹及文件 <继承于C:\windows> NETWORK SERVICE 写入/删除该文件夹，子文件夹及文件 <不是继承的> 网页文件权限设置网站根目录所有代码文件，例如asp,aspx,resx,php等主要权限部分：其他权限部分： Administrators 完全控制 IUSR_XXX 或某个虚拟主机用户组列出文件夹/读取数据：拒绝该文件夹，子文件夹及文件写入：拒绝 <不是继承的> CREATOR OWNER 完全控制只有子文件夹及文件 <不是继承的> SYSTEM 完全控制该文件夹，子文件夹及文件 <不是继承的> 网站根目录文件夹(只应用到当前文件夹) 主要权限部分：其他权限部分： Administrators 完全控制 IUSR_XXX 或某个虚拟主机用户组创建文件：拒绝该文件夹，子文件夹及文件 <不是继承的> CREATOR OWNER 完全控制只有子文件夹及文件 <不是继承的> SYSTEM 完全控制该文件夹建议使用McAfee进行访问控制，禁止创建asp,asa,cer,aspx,php等网页程序文件该文件夹，子文件夹及文件 <不是继承的> 静态页面文件htm,html 主要权限部分：其他权限部分： Administrators 完全控制 IUSR_XXX 或某个虚拟主机用户组写入：拒绝该文件夹，子文件夹及文件 <不是继承的> CREATOR OWNER 完全控制只有子文件夹及文件 <不是继承的> SYSTEM 完全控制该文件夹，子文件夹及文件 <不是继承的> 网站上传文件夹（通常以upload命名，可查看文件夹内最近修改文件日期）主要权限部分：其他权限部分： Administrators 完全控制该文件夹，子文件夹及文件 <不是继承的> CREATOR OWNER 完全控制只有子文件夹及文件 <不是继承的> SYSTEM 完全控制该文件夹建议使用McAfee进行访问控制，禁止创建asp,asa,cer,aspx,php等网页程序文件该文件夹，子文件夹及文件 <不是继承的> 网站数据库文件（存放在网站内的通常是ACCESS数据库，如果是SQL数据库建议迁出）主要权限部分：其他权限部分： Administrators 完全控制 IUSR_XXX 或某个虚拟主机用户组删除：拒绝该文件夹，子文件夹及文件 <不是继承的> CREATOR OWNER 完全控制只有子文件夹及文件 <不是继承的> SYSTEM 完全控制该文件夹，子文件夹及文件 <不是继承的> 网站数据库文件（存放在网站内的通常是ACCESS数据库，如果是SQL数据库建议迁出）主要权限部分：其他权限部分： Administrators 完全控制 IUSR_XXX 或某个虚拟主机用户组删除：拒绝该文件夹，子文件夹及文件 <不是继承的> CREATOR OWNER 完全控制只有子文件夹及文件 <不是继承的> SYSTEM 完全控制该文件夹，子文件夹及文件 <不是继承的> 6.数据库安全修改SQL存储过程权限 xp_cmdshell xp_enumgroups xp_loginconfig xp_enumerrorlogs Sp_OACreate Sp_OADestroy Sp_OAGetErrorInfo Sp_OAGetProperty Sp_OAMethod Sp_OASetPropert Sp_OAStop Xp_regaddmultistring Xp_regdeletekey Xp_regdeletevalue Xp_regenumvalues Xp_regread Xp_regremovemultistring Xp_regwrite sp_makewebtask 以上存储过程修改为public deny, guest deny Xp_dirtree Xp_fixeddrives Xp_getfiledetails 以上存储过程原权限为public allow, 添加guest deny 7.软件安全 7.1FTP软件 Serv-U，防止Serv-U提权使用极光漏洞扫描仪扫描服务器，查看Serv-U是否存在漏洞 IISFTP 查看是否允许匿名访问，如允许则与用户确认能否修改查看用户访问权限查看是否设置了访问地址限制 7.2杀毒软件查看杀毒软件版本是否最新（赛门铁克和卡巴斯基老版本都曾出现过提权漏洞）\ 查看杀毒软件引擎和病毒库是否最新设置扫描例外，不扫描以下类型的文件：mdb, ldb, mdf, ldf, mpg, log, evt, doc, xls, ppt,不扫描以下文件夹：System Volume Information 8.其他 8.1操作系统补丁更新检查 8.2禁用netbios 控制面版——网络——绑定——NetBios接口——禁用 2000：控制面版——网络和拨号连接——本地网络——属性——TCP/IP——属性——高级——WINS——禁用TCP/IP上的NETBIOS

展开阅读全文