首页 > 系统加固 > Win server 2003/08 > Windows server 2003详细安全设置
2011
09-08

Windows server 2003详细安全设置

windows server 2003超详细安全设置,包括以下内容:IIS的安全设置、Web目录权限设置、SQL权限设置、系统补丁的更新、安装合适的杀毒软件和防火墙、备份系统、关闭不用的端口、导入IPSEC策略、改名不安全的组件、系统安全策略、PHP安全、本地策略和用户权限分配、卸载删除具有CMD命令功能的的危险组件、用户安全设置、密码安全设置、磁盘权限设置、禁用不必要的服务、修改注册表等。通过以上的各个方面的安全设置尽可能的实现服务器的相对安全……..

1. IIS6.0的安装和设置
1.1 开始菜单—>控制面板—>添加或删除程序—>添加/删除Windows组件
应用程序 ———ASP.NET(可选)

|——启用网络 COM+ 访问(必选)

|——Internet 信息服务(IIS)———Internet 信息服务管理器(必选)

|——公用文件(必选)

|——万维网服务———Active Server pages(必选)

|——Internet 数据连接器(可选)

|——WebDAV 发布(可选)

|——万维网服务(必选)

|——在服务器端的包含文件(可选)

在”网络连接”里,把不需要的协议和服务都删掉,这里只安装了基本的Internet协议(TCP/IP)和Microsoft网络客户端。在高级tcp/ip设置里–“NetBIOS”设置”禁用tcp/IP上的NetBIOS(S)”。

在“本地连接”打开Windows 2003 自带的防火墙,可以屏蔽端口,基本达到一个IPSec的功能,只保留有用的端口,比如远程(3389)和 Web(80),Ftp(21),邮件服务器(25,110),https(443),SQL(1433)

1.2. IIS (Internet信息服务器管理器) 在”主目录”选项设置以下
读 允许

写 不允许

脚本源访问 不允许

目录浏览 建议关闭

记录访问 建议关闭

索引资源 建议关闭

执行权限 推荐选择 “纯脚本”

建议使用W 3C扩充日志文件格式,每天记录客户IP地址,用户名,服务器端口,方法,URI字根,HTTP状态,用户代理,而且每天均要审查日志。

(最好不要使用缺省的目录,建议更换一个记日志的路径,同时设置日志的访问权限,只允许管理员和system为Full Control)。

1.3. 在IIS6.0 -本地计算机 – 属性- 允许直接编辑配置数据库
在IIS中 属性->主目录->配置->选项中,在网站“启用父路径”前面打上勾

1.4. 在IIS中的Web服务扩展中选中Active Server Pages,点击“允许”

2. WEB目录权限设置
Everyone:顾名思义,所有的用户,这个计算机上的所有用户都属于这个组。

最好在C盘以外(如D,E,F…..)的根目录建立到三级目录,一级目录只给Administrator权限,二级目录给Administrator完全控制权限和Everyone除了完全控制,更改,取得,其它全部打勾的权限和IUSR只有该文件夹的完全拒绝权限,三级目录是每个客户的虚拟主机网站,给Administrator完全控制权限和Everyone除了完全控制,更改,取得,其它全部打勾的权限即可.

3. SQL权限设置
3.1. 一个数据库,一个帐号和密码,比如建立了一个数据库,只给PUBLIC和DB_OWNER权限,SA帐号基本是不使用的,因为SA实在是太危险了.

3.2. 更改 sa 密码为你都不知道的超长密码,在任何情况下都不要用 sa 这个帐户.

3.3. Web登录时经常出现”[超时,请重试]”的问题:如果安装了 SQL Server 时,一定要启用“服务器网络实用工具”中的“多协议”项。

3.4.将有安全问题的SQL扩展存储过程删除. 以下命令删除了调用shell,注册表,COM组件的破坏权限,比较全面.一切为了安全!

将以下代码全部复制到”SQL查询分析器”,单击菜单上的–“查询”–“执行”,即可

use master

EXEC sp_dropextendedproc ‘xp_cmdshell’

EXEC sp_dropextendedproc ‘Sp_OACreate’

EXEC sp_dropextendedproc ‘Sp_OADestroy’

EXEC sp_dropextendedproc ‘Sp_OAGetErrorInfo’

EXEC sp_dropextendedproc ‘Sp_OAGetProperty’

EXEC sp_dropextendedproc ‘Sp_OAMethod’

EXEC sp_dropextendedproc ‘Sp_OASetProperty’

EXEC sp_dropextendedproc ‘Sp_OAStop’

EXEC sp_dropextendedproc ‘Xp_regaddmultistring’

EXEC sp_dropextendedproc ‘Xp_regdeletekey’

EXEC sp_dropextendedproc ‘Xp_regdeletevalue’

EXEC sp_dropextendedproc ‘Xp_regenumvalues’

EXEC sp_dropextendedproc ‘Xp_regread’

EXEC sp_dropextendedproc ‘Xp_regremovemultistring’

EXEC sp_dropextendedproc ‘Xp_regwrite’

drop procedure sp_makewebtask

恢复的命令是

EXEC sp_addextendedproc 存储过程的名称,@dllname =’存储过程的dll’

例如:恢复存储过程xp_cmdshell

EXEC sp_addextendedproc xp_cmdshell,@dllname =’xplog70.dll’

注意,恢复时如果xplog70.dll已删除需要copy一个。

4. 系统补丁的更新
点击开始菜单—>所有程序—>Windows Update

按照提示进行补丁的安装。

5. 备份系统
用GHOST备份系统。

6. 安装常用的软件
例如:杀毒软件、防火墙、解压缩软件等;安装完毕后,配置杀毒软件,扫描系统漏洞,安装之后用GHOST再次备份系统。

7. 先关闭不需要的端口,开启防火墙 导入IPSEC策略
在”网络连接”里,把不需要的协议和服务都删掉,这里只安装了基本的Internet协议(TCP/IP),由于要控制带宽流量服务,额外安装了Qos数据包计划程序。在高级tcp/ip设置里–“NetBIOS”设置”禁用tcp/IP上的NetBIOS(S)”。在高级选项里,使用”Internet连接防火墙”,这是windows 2003 自带的防火墙,在2000系统里没有的功能,虽然没什么功能,但可以屏蔽端口,这样已经基本达到了一个IPSec的功能。

8. win2003服务器防止海洋木马的安全设置
删除以下的注册表主键:

WScript.Shell

WScript.Shell.1

Shell.application

Shell.application.1

WSCRIPT.NETWORK

WSCRIPT.NETWORK.1

regsvr32/u wshom.ocx回车、regsvr32/u wshext.dll回车

regsvr32/u C:\WINNT\System32\wshom.ocx

del C:\WINNT\System32\wshom.ocx

regsvr32/u C:\WINNT\system32\shell32.dll

del C:\WINNT\system32\shell32.dll

再把以上2个文件权限设置为ADMINISTRATOR组完全权限所有

这里只提一下FSO的防范,但并不需要在自动开通空间的虚拟商服务器上使用,只适合于手工开通的站点。可以针对需要FSO和不需要FSO的站点设置两个组,对于需要FSO的用户组给予c:winnt\system32\scrrun.dll文件的执行权限,不需要的不给权限。重新启动服务器即可生效。

对于这样的设置结合上面的权限设置,你会发现海阳木马已经在这里失去了作用!

9. 改名不安全组件
需要注意的是组件的名称和Clsid都要改,并且要改彻底了。下面以Shell.application为例来介绍方法。

打开注册表编辑器【开始→运行→regedit回车】,然后【编辑→查找→填写Shell.application→查找下一个】,用这个方法能找到两个注册表项:“{13709620-C279-11CE-A49E-444553540000}”和“Shell.application”。为了确保万无一失,把这两个注册表项导出来,保存为 .reg 文件。

比如我们想做这样的更改

13709620-C279-11CE-A49E-444553540000 改名为 13709620-C279-11CE-A49E-444553540001

Shell.application 改名为 Shell.application_ajiang

那么,就把刚才导出的.reg文件里的内容按上面的对应关系替换掉,然后把修改好的.reg文件导入到注册表中(双击即可),导入了改名后的注册表项之后,别忘记了删除原有的那两个项目。这里需要注意一点,Clsid中只能是十个数字和ABCDEF六个字母。

下面是我修改后的代码(两个文件我合到一起了):

Windows Registry Editor Version 5.00

[HKEY_CLASSES_ROOT\CLSID\{13709620-C279-11CE-A49E-444553540001}]

@=”Shell Automation Service”

[HKEY_CLASSES_ROOT\CLSID\{13709620-C279-11CE-A49E-444553540001}\InProcServer32]

@=”C:\\WINNT\\system32\\shell32.dll”

“ThreadingModel”=”Apartment”

[HKEY_CLASSES_ROOT\CLSID\{13709620-C279-11CE-A49E-444553540001}\ProgID]

@=”Shell.Application_ajiang.1″

[HKEY_CLASSES_ROOT\CLSID\{13709620-C279-11CE-A49E-444553540001}\TypeLib]

@=”{ 50a7e9b0-70ef-11d1-b 75a -00a 0c90564fe}”

[HKEY_CLASSES_ROOT\CLSID\{13709620-C279-11CE-A49E-444553540001}\Version]

@=”1.1″

[HKEY_CLASSES_ROOT\CLSID\{13709620-C279-11CE-A49E-444553540001}\VersionIndependentProgID]

@=”Shell.Application_ajiang”

[HKEY_CLASSES_ROOT\Shell.Application_ajiang]

@=”Shell Automation Service”

[HKEY_CLASSES_ROOT\Shell.Application_ajiang\CLSID]

@=”{13709620-C279-11CE-A49E-444553540001}”

[HKEY_CLASSES_ROOT\Shell.Application_ajiang\CurVer]

@=”Shell.Application_ajiang.1″

你可以把这个保存为一个.reg文件运行试一下,但是可别就此了事,因为万一黑客也看了我的这篇文章,他会试验我改出来的这个名字的。

10. 系统安全策略
A.账户策略 密码策略:

B.密码设定最小值不能少于10位

C.密码设定需要保证复杂性

D.登陆计数器需要开启

E.本地策略 审核策略:

F.审核策略更改:成功

G.审核登陆事件:成功、失败

H.审核目录服务访问:成功

I.审核特权使用:成功

J.审核系统事件:成功、失败

K.审核账户登陆事件:成功、失败

M.审核账户管理:成功

N.本地策略 本地策略:

O.不显示上次的登陆名:启用

P.只有本地用户才能访问cd-rom:启用

Q.只有本地用户才能访问软驱:启用
12. PHP安全
c:\windows\php.ini

administrators 全部

system 全部权限

SERVICE 全部

Users 只读和运行

13. 修改3389远程连接端口
修改注册表

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\Wds\rdpwd\Tds\tcp]

“portNumber”=dword:0000端口号 ;键值中 PortNumber 改为你想用的端口号.注意使用十进制(例 10000 )

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp]

“portNumber”=dword:0000端口号 ;键值中 PortNumber 改为你想用的端口号.注意使用十进制(例 10000 )

注意:别忘了在WINDOWS2003自带的防火墙给+上10000端口,也就是你所修改的那个端口号

设置这两个注册表的权限, 添加“IUSR”的完全拒绝 禁止显示端口号

修改完毕.重新启动服务器.设置生效.

14. 本地策略—>用户权限分配
关闭系统:只有Administrators组、其它全部删除。

通过终端服务允许登陆:只加入Administrators,Remote Desktop Users组,其他全部删除

15. 在安全设置里 本地策略-用户权利分配,通过终端服务拒绝登陆 加入
ASPNET

IUSR_

IWAM_

NETWORK SERVICE

(注意不要添加进user组和administrators组 添加进去以后就没有办法远程登陆了)

16. 计算机管理的本地用户和组
禁用终端服务(TsInternetUser), SQL服务(SQLDebugger), SUPPORT_ 388945a0

17. 删除默认共享
制作以下批处理程序运行:

@echo off

::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::

::

:: 先列举存在的分区,然后再逐个删除以分区名命名的共享;

:: 通过修改注册表防止admin$共享在下次开机时重新加载;

:: IPC$共享需要administritor权限才能成功删除

::::

::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::

title 默认共享删除器

color 1f

echo.

echo ——————————————————

echo.

echo 开始删除每个分区下的默认共享.

echo.

for %%a in (C D E F G H I J K L M N O P Q R S T U V W X Y Z) do @(

if exist %%a:\nul (

net share %%a$ /delete>nul 2>nul && echo 成功删除名为 %%a$ 的默认共享 || echo 名为 %%a$ 的默认共享不存在

)

)

net share admin$ /delete>nul 2>nul && echo 成功删除名为 admin$ 的默认共享 || echo 名为 admin$ 的默认共享不存在

echo.

echo ——————————————————

echo.

net stop Server /y>nul 2>nul && echo Server服务已停止.

net start Server>nul 2>nul && echo Server服务已启动.

echo.

echo ——————————————————

echo.

echo 修改注册表以更改系统默认设置.

echo.

echo 正在创建注册表文件.

echo Windows Registry Editor Version 5.00> c:\delshare.reg

:: 通过注册表禁止Admin$共享,以防重启后再次加载

echo [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters]>> c:\delshare.reg

echo “AutoShareWks”=dword:00000000>> c:\delshare.reg

echo “AutoShareServer”=dword:00000000>> c:\delshare.reg

:: 删除IPC$共享,本功能需要administritor权限才能成功删除

echo [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa]>> c:\delshare.reg

echo “restrictanonymous”=dword:00000001>> c:\delshare.reg

echo 正在导入注册表文件以更改系统默认设置.

regedit /s c:\delshare.reg

del c:\delshare.reg && echo 临时文件已经删除.

echo.

echo ——————————————————

echo.

echo 程序已经成功删除所有的默认共享.

echo.

echo 按任意键退出…

pause>nul

18.常用DOS命令安全设置
打开C:\Windows目录 搜索以下DOS命令文件

NET.EXE,NET1.EXE,CMD.EXE,FTP.EXE,ATTRIB.EXE,CACLS.EXE,AT.EXE,FORMAT.COM,

TELNET.EXE,COMMAND.COM,NETSTAT.EXE,REGEDIT.EXE,ARP.EXE,NBTSTAT.EXE

把以上命令文件通通只给Administrators 和SYSTEM为完全控制权限

19. 卸载删除具有CMD命令功能的危险组件
WSHOM.OCX对应于WScript.Shell组件

HKEY_CLASSES_ROOT\WScript.Shell\

HKEY_CLASSES_ROOT\WScript.Shell.1\

添加IUSR用户完全拒绝权限

Shell32.dll对应于Shell.Application组件

HKEY_CLASSES_ROOT\Shell.Application\

HKEY_CLASSES_ROOT\Shell.Application.1\

添加IUSR用户完全拒绝权限

regsvr32/u C:\Windows\System32\wshom.ocx

regsvr32/u C:\Windows\System32\shell32.dll

WSHOM.OCXx和Shell32.dl这两个文件只给Administrator完全权限

20.用户安全设置
20.1. 禁用Guest账号

在计算机管理的用户里面把Guest账号禁用。为了保险起见,最好给Guest加一个复杂的密码。你可以打开记事本,在里面输入一串包含特殊字符、数字、字母的长字符串,然后把它作为Guest用户的密码拷进去。

20.1. 限制不必要的用户

去掉所有的Duplicate User用户、测试用户、共享用户等等。用户组策略设置相应权限,并且经常检查系统的用户,删除已经不再使用的用户。这些用户很多时候都是黑客们入侵系统的突破口。

20.2. 把系统Administrator账号改名

大家都知道,Windows 2003 的Administrator用户是不能被停用的,这意味着别人可以一遍又一遍地尝试这个用户的密码。尽量把它伪装成普通用户,比如改成Guesycludx。

20.3. 创建一个陷阱用户

什么是陷阱用户?即创建一个名为“Administrator”的本地用户,把它的权限设置成最低,什么事也干不了的那种,并且加上一个超过10位的超级复杂密码。这样可以让那些 Hacker们忙上一段时间,借此发现它们的入侵企图。

20.4. 把共享文件的权限从Everyone组改成授权用户

20.5. 开启用户策略

使用用户策略,分别设置复位用户锁定计数器时间为20分钟,用户锁定时间为20分钟,用户锁定阈值为3次。 (该项为可选)

20.6. 不让系统显示上次登录的用户名

默认情况下,登录对话框中会显示上次登录的用户名。这使得别人可以很容易地得到系统的一些用户名,进而做密码猜测。修改注册表可以不让对话框里显示上次登录的用户名。方法为:打开注册表编辑器并找到注册表“HKLM\Software\Microsoft\Windows T\CurrentVersion\Winlogon\Dont-DisplayLastUserName”,把REG_SZ的键值改成1。

21. 密码安全设置

20.1. 使用安全密码

一些公司的管理员创建账号的时候往往用公司名、计算机名做用户名,然后又把这些用户的密码设置得太简单,比如“welcome”等等。因此,要注意密码的复杂性,还要记住经常改密码。

20.2.设置屏幕保护密码

这是一个很简单也很有必要的操作。设置屏幕保护密码也是防止内部人员破坏服务器的一个屏障。

20.3.开启密码策略

注意应用密码策略,如启用密码复杂性要求,设置密码长度最小值为6位 ,设置强制密码历史为5次,时间为42天。

20.4.考虑使用智能卡来代替密码

对于密码,总是使安全管理员进退两难,密码设置简单容易受到黑客的攻击,密码设置复杂又容易忘记。如果条件允许,用智能卡来代替复杂的密码是一个很好的解决方法。

22. 磁盘权限设置
系统盘及所有磁盘只给 Administrators 组和 SYSTEM 的完全控制权限

系统盘\Documents and Settings 目录只给 Administrators 组和 SYSTEM 的完全控制权限

系统盘\Documents and Settings\All Users 目录只给 Administrators 组和 SYSTEM 的完全控制权限

系统盘\Windows\System32\cacls.exe、cmd.exe、net.exe、net1.exe、ftp.exe、tftp.exe、telnet.exe 、 netstat.exe、regedit.exe、at.exe、attrib.exe、format.com、del文件只给 Administrators 组和SYSTEM 的完全 控制权限

另将\System32\cmd.exe、format.com、ftp.exe转移到其他目录或更名

Documents and Settings下所有些目录都设置只给adinistrators权限。并且要一个一个目录查看,包括下面的所有子目录。

删除c:\inetpub目录

23. 本地安全策略设置
开始菜单—>管理工具—>本地安全策略

23.1. 本地策略——>审核策略

审核策略更改   成功 失败

审核登录事件   成功 失败

审核对象访问      失败

审核过程跟踪   无审核

审核目录服务访问    失败

审核特权使用      失败

审核系统事件   成功 失败

审核账户登录事件 成功 失败

审核账户管理   成功 失败

23.2. 本地策略——>用户权限分配

关闭系统:只有Administrators组、其它全部删除。

通过终端服务允许登陆:只加入Administrators,Remote Desktop Users组,其他全部删除

23.3. 本地策略——>安全选项

交互式登陆:不显示上次的用户名       启用

网络访问:不允许SAM帐户的匿名枚举 启用

网络访问:不允许SAM帐户和共享的匿名枚举  启用

网络访问.限制匿名访问命名管道和共享,更改为”已启用” ;

网络访问.不允许存储网络身份验证的凭据或 .NET Passports 启用” ;

网络访问:可匿名访问的共享          将后面的值全部删除

网络访问:可匿名访问的命名管道       将后面的值全部删除

网络访问:可远程访问的注册表路径       将后面的值全部删除

网络访问:可远程访问的注册表路径和子路径   将后面的值全部删除

帐户:重命名来宾帐户            重命名一个帐户

帐户:重命名系统管理员帐户         重命名一个帐户

帐户.重命名来宾帐户guest

帐户.重命名系统管理员帐户

24. 禁用不必要的服务
开始-运行-services.msc

TCP/IPNetBIOS Helper 提供 TCP/IP 服务上的 NetBIOS 和网络上客户端的 NetBIOS 名称解析的支持而使用户能够共享文件、打印和登录到网络

Server 支持此计算机通过网络的文件、打印、和命名管道共享

Computer Browser 维护网络上计算机的最新列表以及提供这个列表

Task scheduler 允许程序在指定时间运行

Messenger 传输客户端和服务器之间的 NET SEND 和 警报器服务消息

Distributed File System 局域网管理共享文件,不需要可禁用

Distributed linktracking client 用于局域网更新连接信息,不需要可禁用

Error reporting service 禁止发送错误报告

Microsoft Serch 提供快速的单词搜索,不需要可禁用

NTLMSecuritysupportprovide telnet服务和Microsoft Serch用的,不需要可禁用

PrintSpooler 如果没有打印机可禁用

Remote Registry 禁止远程修改注册表

Remote Desktop Help Session Manager 禁止远程协助

Workstation 关闭的话远程NET命令列不出用户组

以上是在Windows Server 2003 系统上面默认启动的服务中禁用的,默认禁用的服务如没特别需要的话不要启动。

另外,也可用以下批处理文件来禁用不必要的服务:

sc config AeLookupSvc start= AUTO

sc config Alerter start= DISABLED

sc config ALG start= DISABLED

sc config AppMgmt start= DEMAND

sc config aspnet_state start= DEMAND

sc config AudioSrv start= DISABLED

sc config BITS start= DEMAND

sc config Browser start= DEMAND

sc config CiSvc start= DISABLED

sc config ClipSrv start= DISABLED

sc config clr_optimization_v2.0.50727_32 start= DEMAND

sc config COMSysApp start= DEMAND

sc config CryptSvc start= AUTO

sc config DcomLaunch start= AUTO

sc config Dfs start= DEMAND

sc config Dhcp start= AUTO

sc config dmadmin start= DEMAND

sc config dmserver start= AUTO

sc config Dnscache start= AUTO

sc config ERSvc start= DISABLED

sc config Eventlog start= AUTO

sc config EventSystem start= AUTO

sc config helpsvc start= DISABLED

sc config HidServ start= AUTO

sc config HTTPFilter start= DEMAND

sc config IISADMIN start= AUTO

sc config ImapiService start= DISABLED

sc config IsmServ start= DISABLED

sc config kdc start= DISABLED

sc config lanmanworkstation start= DISABLED

sc config LicenseService start= DISABLED

sc config LmHosts start= DISABLED

sc config Messenger start= DISABLED

sc config mnmsrvc start= DISABLED

sc config MSDTC start= AUTO

sc config MSIServer start= DEMAND

sc config MSSEARCH start= AUTO

sc config MSSQLSERVER start= AUTO

sc config MSSQLServerADHelper start= DEMAND

sc config NetDDE start= DISABLED

sc config NetDDEdsdm start= DISABLED

sc config Netlogon start= DEMAND

sc config Netman start= DEMAND

sc config Nla start= DEMAND

sc config NtFrs start= DEMAND

sc config NtLmSsp start= DEMAND

sc config NtmsSvc start= DEMAND

sc config PlugPlay start= AUTO

sc config PolicyAgent start= AUTO

sc config ProtectedStorage start= AUTO

sc config RasAuto start= DEMAND

sc config RasMan start= DEMAND

sc config RDSessMgr start= DEMAND

sc config RemoteAccess start= DISABLED

sc config RemoteRegistry start= DISABLED

sc config RpcLocator start= DEMAND

sc config RpcSs start= AUTO

sc config RSoPProv start= DEMAND

sc config sacsvr start= DEMAND

sc config SamSs start= AUTO

sc config SCardSvr start= DEMAND

sc config Schedule start= AUTO

sc config seclogon start= AUTO

sc config SENS start= AUTO

sc config SharedAccess start= DISABLED

sc config ShellHWDetection start= AUTO

sc config SMTPSVC start= AUTO

sc config Spooler start= DISABLED

sc config SQLSERVERAGENT start= AUTO

sc config stisvc start= DISABLED

sc config swprv start= DEMAND

sc config SysmonLog start= AUTO

sc config TapiSrv start= DEMAND

sc config TermService start= AUTO

sc config Themes start= DISABLED

sc config TlntSvr start= DISABLED

sc config TrkSvr start= DISABLED

sc config TrkWks start= AUTO

sc config Tssdis start= DISABLED

sc config UMWdf start= DEMAND

sc config UPS start= DEMAND

sc config vds start= DEMAND

sc config VSS start= DEMAND

sc config W32Time start= AUTO

sc config W3SVC start= AUTO

sc config WebClient start= DISABLED

sc config WinHttpAutoProxySvc start= DEMAND

sc config winmgmt start= AUTO

sc config WmdmPmSN start= DEMAND

sc config Wmi start= DEMAND

sc config WmiApSrv start= DEMAND

sc config wuauserv start= DISABLED

sc config WZCSVC start= DISABLED

sc config xmlprov start= DEMAND

25. 修改注册表
修改注册表,让系统更强壮

26.1. 隐藏重要文件/目录可以修改注册表实现完全隐藏

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\ Current-Version\Explorer\Advanced\Folder\Hi-dden\SHOWALL”,鼠标右击 “CheckedValue”,选择修改,把数值由1改为0

26.2. 防止SYN洪水攻击

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters

新建DWORD值,名为SynAttackProtect,值为2

新建EnablePMTUDiscovery REG_DWORD 0

新建NoNameReleaseOnDemand REG_DWORD 1

新建EnableDeadGWDetect REG_DWORD 0

新建KeepAliveTime REG_DWORD 300,000

新建PerformRouterDiscovery REG_DWORD 0

新建EnableICMPRedirects REG_DWORD 0

26.3. 禁止响应ICMP路由通告报文

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\interface

新建DWORD值,名为PerformRouterDiscovery 值为0

26.4. 防止ICMP重定向报文的攻击

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters

将EnableICMPRedirects 值设为0

26.5. 不支持IGMP协议

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters

新建DWORD值,名为IGMPLevel 值为0

26.6. 禁止IPC空连接:

cracker可以利用net use命令建立空连接,进而入侵,还有net view,nbtstat这些都是基于空连接的,禁止空连接就好了。

Local_Machine\System\CurrentControlSet\Control\LSA-RestrictAnonymous 把这个值改成” 1”即可。

26.7. 更改TTL值

cracker可以根据ping回的TTL值来大致判断你的操作系统,如:

TTL=107(WINNT);

TTL=108(win2000);

TTL=127或128(win9x);

TTL=240或241(linux);

TTL=252(solaris);

TTL=240(Irix);

实际上你可以自己改的:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters:DefaultTTL REG_DWORD 0-0xff(0-255 十进制,默认值128)改成一个莫名其妙的数字如258,起码让那些小菜鸟晕上半天,就此放弃入侵你也不一定哦

26.8. 删除默认共享

有人问过我一开机就共享所有盘,改回来以后,重启又变成了共享是怎么回事,这是2K为管理而设置的默认共享,HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters:AutoShareServer类型是REG_DWORD把值改为0即可

26.9. 禁止建立空连接

默认情况下,任何用户通过空连接连上服务器,进而枚举出帐号,猜测密码。我们可以通过修改注册表来禁止建立空连接:

Local_Machine\System\CurrentControlSet\Control\LSA-RestrictAnonymous 的值改成” 1”即可。

26.10. 建立一个记事本,填上以下代码。保存为*.bat并加到启动项目中

net share c$Content$nbsp;/ del

net share d$Content$nbsp;/ del

net share e$Content$nbsp;/ del

net share f$Content$nbsp;/ del

net share ipc$Content$nbsp;/ del

net share admin$Content$nbsp;/ del

27. 系统DOS命令保护和转移
方法一:转移目录

将WIN2003系统盘下的C:\WINDOWS\system32下的DOS命令转移:

CMD/CMDKEY.exe、FTP/TFTP.exe、NET/NET1.exe、FORMAT.COM、AT.exe、ARP.exe、ATTRIB.exe、CACLS.exe、SYSKEY.exe、SHUTDOWN/RESTART/LOGOFF.exe等至备份文件夹内

必须使用时[such as runas .bat files]可以重新copy到原目录下,使用完毕后需删除

方法二:DOS重命名

比如:ren c:\windows\system32\md.exe c:\windows\system32\pchmd.exe

ren c:\windows\system32\at.exe c:\windows\system32\pchat.exe

自己维护的时候就用改名的DOS命名执行即可。

方法三:使用doskey保护DOS命令

比如: doskey format=’format’

执行format之后系统提示: ”format” 不是内部或外部命令,也不是可运行的程序或批处理文件。

如需正常运行该命令则执行doskey format=format

可做一个修改过的BAT:

doskey format=’format’

doskey del=’ del’

doskey attrib=’attrib’

doskey ftp=’ftp’ =号后面的内容可设置为任意字符,比如:doskey format=123,不知道的HACK FORMAT后一定会晕。

再做一个恢复的正常BAT文件:

doskey format=format

doskey del= del

doskey attrib=attrib

doskey ftp=ftp

需要的时候用恢复BAT即可,用完做回DOSKEY的保护方式

最后编辑:
作者:admin
这个作者貌似有点懒,什么都没有留下。

留下一个回复

你的email不会被公开。

此站点使用Akismet来减少垃圾评论。了解我们如何处理您的评论数据