澳门新萄京官方网站-www.8455.com-澳门新萄京赌场网址

澳门新萄京官方网站系统安全配置情势,权限与

2019-09-11 作者:服务器运维   |   浏览(73)

在系统漏洞层出不穷的今天,作为网络管理员的我们不可能每次都在第一时间内给系统打上新补丁,所以需要在还未被入侵前,通过一些简单的安全设置,给入侵者面前设置一道“无形”的墙。
比如,到WINNTsystem32下找到cmd.exe、net.exe和net1.exe这三个文件,在“属性”→“安全”中可以把对它们进行访问的用户全部删除掉,从而有效地防范在一些溢出攻击成功后对这些文件的非法利用。在我们需要访问这些文件的时候,再加上访问用户就可以了。
也可以给Administrators组改名,这个方法对入侵者使用类似“net localgroup administrators guest /add”这样的命令非常有效,很少有入侵者会猜到Administrators被改名,就更难猜到它被改成什么名字了。

一、系统的安装

用的腾讯云最早选购的时候悲催的只有Windows Server 2008 R2的系统,原来一直用的Windows Server 2003对2008用起来还不是非常熟练,对于一些基本设置及基本安全策略,在网上搜了一下,整理大概有以下17个方面,如果有没说到的希望大家踊跃提出哈!

服务器安全设置

服务器安全设置

...

1、按照Windows2003安装光盘的提示安装,默认情况下2003没有把IIS6.0安装在系统里面。

比较重要的几部

1.系统盘和站点放置盘必须设置为NTFS格式,方便设置权限.

1、系统盘和站点放置盘必须设置为NTFS格式,方便设置权限。

2、IIS6.0的安装
开始菜单—>控制面板—>添加或删除程序—>添加/删除Windows组件
应用程序 ———ASP.NET(可选)
|——启用网络 COM 访问(必选)
|——Internet 信息服务(IIS)———Internet 信息服务管理器(必选)
|——公用文件(必选)
|——万维网服务———Active Server pages(必选)
|——Internet 数据连接器(可选)
|——WebDAV 发布(可选)
|——万维网服务(必选)
|——在服务器端的包含文件(可选)
然后点击确定—>下一步安装。

1.更改默认administrator用户名,复杂密码
2.开启防火墙
3.安装杀毒软件

2.系统盘和站点放置盘除administrators 和system的用户权限全部去除.

2、系统盘和站点放置盘除administrators 和system的用户权限全部去除。

3、系统补丁的更新
点击开始菜单—>所有程序—>Windows Update
按照提示进行补丁的安装。

1)新做系统一定要先打上补丁
2)安装必要的杀毒软件
3)删除系统默认共享

澳门新萄京官方网站 1

澳门新萄京官方网站 2

4、备份系统
用GHOST备份系统。

4)修改本地策略——>安全选项
交互式登陆:不显示最后的用户名 启用
网络访问:不允许SAM 帐户和共享的匿名枚举 启用
网络访问: 不允许存储网络身份验证的凭据或 .NET Passports 启用
网络访问:可远程访问的注册表路径和子路径 全部删除
5)禁用不必要的服务
TCP/IP NetBIOS Helper、Server、 Distributed Link Tracking Client 、Print Spooler、Remote Registry、Workstation
6)禁用IPV6

3.启用windows自带防火墙,只保留有用的端口,比如远程和Web,Ftp(3389,80,21)等等,有邮件服务器的还要打开25和130端口.

3、启用windows自带防火墙,只保留有用的端口,比如远程和Web、Ftp(3389、80、21)等等,有邮件服务器的还要打开25和130端口。

5、安装常用的软件
例如:杀毒软件、解压缩软件等;安装之后用GHOST再次备份系统。

server 2008 r2交互式登录: 不显示最后的用户名

澳门新萄京官方网站 3

澳门新萄京官方网站 4

二、系统权限的设置
1、磁盘权限
系统盘及所有磁盘只给 Administrators 组和 SYSTEM 的完全控制权限
系统盘Documents and Settings 目录只给 Administrators 组和 SYSTEM 的完全控制权限
系统盘Documents and SettingsAll Users 目录只给 Administrators 组和 SYSTEM 的完全控制权限
系统盘Inetpub 目录及下面所有目录、文件只给 Administrators 组和 SYSTEM 的完全控制权限
系统盘澳门新萄京官方网站系统安全配置情势,权限与地方战略。WindowsSystem32cacls.exe、cmd.exe、net.exe、net1.exe 文件只给 Administrators 组和 SYSTEM 的完全控制权限

其实最重要的就是开启防火墙 服务器安全狗(安全狗自带的一些功能基本上都设置的差不多了) mysql(sqlserver)低权限运行基本上就差不多了。3389远程登录,一定要限制ip登录。

澳门新萄京官方网站 5

澳门新萄京官方网站 6

2、本地安全策略设置
开始菜单—>管理工具—>本地安全策略
A、本地策略——>审核策略
审核策略更改   成功 失败
审核登录事件   成功 失败
审核对象访问      失败
审核过程跟踪   无审核
审核目录服务访问    失败
审核特权使用      失败
审核系统事件   成功 失败
审核账户登录事件 成功 失败
审核账户管理   成功 失败

一、系统及程序

澳门新萄京官方网站 7

澳门新萄京官方网站 8

B、 本地策略——>用户权限分配
关闭系统:只有Administrators组、其它全部删除。
通过终端服务拒绝登陆:加入Guests、User组
通过终端服务允许登陆:只加入Administrators组,其他全部删除

1、屏幕保护与电源

4.安装好SQL后进入目录搜索 xplog70  然后将找到的三个文件改名或者删除.

4、安装好SQL后进入目录搜索 xplog70 然后将找到的三个文件改名或者删除。

C、本地策略——>安全选项
交互式登陆:不显示上次的用户名       启用
网络访问:不允许SAM帐户和共享的匿名枚举   启用
网络访问:不允许为网络身份验证储存凭证   启用
网络访问:可匿名访问的共享         全部删除
网络访问:可匿名访问的命          全部删除
网络访问:可远程访问的注册表路径      全部删除
网络访问:可远程访问的注册表路径和子路径  全部删除
帐户:重命名来宾帐户            重命名一个帐户
帐户:重命名系统管理员帐户         重命名一个帐户

桌面右键--〉个性化--〉屏幕保护程序,屏幕保护程序 选择无,更改电源设置 选择高性能,选择关闭显示器的时间 关闭显示器 选 从不 保存修改

澳门新萄京官方网站 9

澳门新萄京官方网站 10

3、禁用不必要的服务
开始菜单—>管理工具—>服务
Print Spooler
Remote Registry
TCP/IP NetBIOS Helper
Server

2、配置IIS7组件、FTP7、php 5.5.7、mysql 5.6.15、phpMyAdmin 4.1.8、phpwind 9.0、ISAPI_Rewrite环境。在这里我给大家可以推荐下阿里云的服务器一键环境配置,全自动安装设置很不错的。点击查看地址

5.更改sa密码为你都不知道的超长密码,在任何情况下都不要用sa这个帐户.

5、更改sa密码为你都不知道的超长密码,在任何情况下都不要用sa这个帐户。

以上是在Windows Server 2003 系统上面默认启动的服务中禁用的,默认禁用的服务如没特别需要的话不要启动。

二、系统安全配置

澳门新萄京官方网站 11

澳门新萄京官方网站 12

4、启用防火墙
桌面—>网上邻居—>(右键)属性—>本地连接—>(右键)属性—>高级—>(选中)Internet 连接防火墙—>设置
把服务器上面要用到的服务端口选中
例如:一台WEB服务器,要提供WEB(80)、FTP(21)服务及远程桌面管理(3389)
在“FTP 服务器”、“WEB服务器(HTTP)”、“远程桌面”前面打上对号
如果你要提供服务的端口不在里面,你也可以点击“添加”铵钮来添加,具体参数可以参照系统里面原有的参数。
然后点击确定。注意:如果是远程管理这台服务器,请先确定远程管理的端口是否选中或添加。
ASP虚拟主机安全检测探针V1.5

1、目录权限

6.改名系统默认帐户名并新建一个Administrator帐户作为陷阱帐户,设置超长密码,并去掉所有用户组.(就是在用户组那里设置为空即可.让这个帐号不属于任何用户组)同样改名禁用掉Guest用户.

6、改名系统默认帐户名并新建一个Administrator帐户作为陷阱帐户,设置超长密码,并去掉所有用户组。(就是在用户组那里设置为空即可。让这个帐号不属于任何用户组—样)同样改名禁用掉Guest用户。

走出Windows权限迷魂阵
在电脑应用中经常会看到”权限”这个词,特别是Windows 2000/XP被越来越多的朋友装进电脑后,常常会有读者问,什么是权限呢?它到底有什么用?下面我们将用几个典型实例为大家讲解windows中的权限应用,让你不仅可以在不安装任何软件的情况下,限制别人访问你的文件夹、指定用户不能使用的程序,而且还有来自微软内部的加强系统安全的绝招。
——————————————————————————–

除系统所在分区之外的所有分区都赋予Administrators和SYSTEM有完全控制权,之后再对其下的子目录作单独的目录权限

澳门新萄京官方网站 13

澳门新萄京官方网站 14

初识Windows的权限
首先,要完全使用windows权限的所有功能,请确保在应用权限的分区为NTFS文件系统。本文将以windowsXP简体中文专业版 SP2作为范例讲解。
1.什么是权限?
举个形象的例子,windows就像一个实验室,其中有导师A、导师B;学生A、学生B.大家都能在实验室里面完成实验。但在这里又是分等级的.两位导师可以指定学生能使用什么样的实验工具,不能碰什么工具,从而使得实验室不会因为学生乱用实验工具.而出现问题。同时.两位导师又能互相限制对方对实验工具的使用。因此.windows中的权限就是对某个用户或同等级的用户进行权力分配和限制的方法。正是有了它的出现,windows中的用户要遵循这种”不平等”的制度,而正是这个制度,才使得windows可以更好地为多个用户的使用创造了良好,稳定的运行环境。
2.权限都包含有什么?
在以NT内核为基础的Windows 2000/XP中,权限主要分为七大类完全控制、修改,读取和运行、列出文件夹目录、读取、写入、特别的权限(见图1)。

2、远程连接

7.配置帐户锁定策略(在运行中输入gpedit.msc回车,打开组策略编辑器,选择计算机配置-Windows设置-安全设置-账户策略-账户锁定策略,将账户设为“三次登陆无效”,“锁定时间30分钟”,“复位锁定计数设为30分钟”。)

7、配置帐户锁定策略(在运行中输入gpedit.msc回车,打开组策略编辑器,选择计算机配置-Windows设置-安全设置-账户策略-账户锁定策略,将账户设为“三次登陆无效”,“锁定时间30分钟”,“复位锁定计数设为30分钟”。)

其中完全控制包含了其他六大权限.只要拥有它,就等同于拥有了另外六大权限,其余复选框会被自动选中.属于”最高等级”的权限。
而其他权限的等级高低分别是:特别的权限>读取和运行>修改>写入>读取。
默认情况下,Windows XP将启用”简单文件共享”,这意味着安全性选项卡和针对权限的高级选项都不可用.也就不能进行本文所述的那些权限应用操作了。请现在就右击任意文件或文件夹.选择”属性”,如果没有看到”安全”选项卡,你可以通过如下方法打开它。
打开”我的电脑”,点击”工具→文件夹选项→查看”,接着在然后单击取消”使用简单文件共享(推荐)”复选框即可。
实战权限”正面”应用
以下应用的前提,是被限制的用户不在Administrators组,否则将可能发生越权访问,后面”反面应用”会讲到。执行权限设置的用户至少需要为Power Users组的成员,才有足够权限进行设置。
实例1:我的文档你别看-保护你的文件或文件夹
假设A电脑中有三个用户,用户名分别为User1、User2、User3。Userl不想让User2和User3查看和操作自己的”test”文件夹。
第一步:右击”test”文件夹并选择”属性”,进入”安全”选项卡,你将会看到”组或用户名称”栏里有Administrators(AAdministrators)、CREATOR OWNER、SYSTEM Users(AUsers)、User1(A User1)。他们分别表示名为A电脑的管理员组,创建、所有者组,系统组,用户组以及用户User1对此文件夹的权限设置。当然,不同的电脑设置和软件安装情况,此栏里的用户或用户组信息不一定就是和我描述的一样.但正常情况下最少将包含3项之一:Administrators、SYSTEM、Users或Everyone(见图2)。

我的电脑属性--〉远程设置--〉远程--〉只允许运行带网络超级身份验证的远程桌面的计算机连接,选择允许运行任意版本远程桌面的计算机连接(较不安全)。备注:方便多种版本Windows远程管理服务器。windows server 2008的远程桌面连接,与2003相比,引入了网络级身份验证(NLA,network level authentication),XP SP3不支持这种网络级的身份验证,vista跟win7支持。然而在XP系统中修改一下注册表,即可让XP SP3支持网络级身份验证。HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlLsa在右窗口中双击Security Pakeages,添加一项“tspkg”。HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlSecurityProviders,在右窗口中双击SecurityProviders,添加credssp.dll;请注意,在添加这项值时,一定要在原有的值后添加逗号后,别忘了要空一格(英文状态)。然后将XP系统重启一下即可。再查看一下,即可发现XP系统已经支持网络级身份验证

澳门新萄京官方网站 15

澳门新萄京官方网站 16

第二步:依次选中并删除Administrators、CREATOR OWNER、SYSTEM、Users,仅保留自己使用的Userl账户。在操作中可能会遇到如图3的提示框。

3、修改远程访问服务端口

8.在安全设置里 本地策略-安全选项   将
网络访问 :可匿名访问的共享 ;
网络访问:可匿名访问的命名管道 ; 
网络访问:可远程访问的注册表路径 ;
网络访问:可远程访问的注册表路径和子路径 ;
以上四项清空.

8、在安全设置里本地策略-安全选项将

其实只要单击”高级”按钮,在”权限”选项卡中,取消”从父项继承那些可以应用到子对象的权限项目,包括那些在此明确定义的项目”的复选框,在弹出对话框中单击”删除”即可。该操作使此文件夹清除了从上一级目录继承来的权限设置,仪保留了你使用的User1账户。
就这么轻松,你就实现了其他用户,甚至系统权限都无法访问”test”文件夹的目的。
★需要注意的是,如果这个文件夹中需要安装软件,那么就不要删除”SYSTEM”,不然可能引起系统访问出错
★Administrator并不是最高指挥官:你可能会问,为什么这里会有一个”SYSTEM”账户呢?同时许多朋友认为windows2000/XP中的Administrator是拥有权限最高的用户,其实不然,这个”SYSTEM”才具有系统最高权限,因为它是”作为操作系统的一部分工作”,任何用户通过某种方法获取了此权限,就能凌驾一切。

更改远程连接端口方法,可用windows自带的计算器将10进制转为16进制。更改3389端口为8208,重启生效!

澳门新萄京官方网站 17

网络访问:可匿名访问的共享;

——————————————————————————–
实例2:上班时间别聊天-禁止用户使用某程序
第一步:找到聊天程序的主程序,如QQ,其主程序就是安装目录下的QQ.exe,打开它的属性对话框,进入”安全”选项卡,选中或添加你要限制的用户,如User3。
第二步:接着选择”完全控制”为”拒绝”,”读取和运行”也为”拒绝”。
第三步:单击”高级”按钮进入高级权限没置,选中User3,点”编辑”按钮,进入权限项目。在这里的”拒绝”栏中选中”更改权限”和”取得所有权”的复选框。
也可以使用组策略编辑器来实现此功能,但安全性没有上面方法高。点击”开始→运行”,输入”gpedit.msc”,回车后打开组策略编辑器,进入”计算机设置→windows设置→安全设置→软件限制策略→其他规则”,右击,选择”所有任务→新路径规则”,接着根据提示设置想要限制的软件的主程序路径,然后设定想要的安全级别,是”不允许的”还是”受限制的”。

Windows Registry Editor Version 5.00

9.在安全设置里 本地策略-安全选项 通过终端服务拒绝登陆 加入
ASPNET
Guest
IUSR_*****
IWAM_*****
NETWORK SERVICE
SQLDebugger 
(****表示你的机器名,具体查找可以点击 添加用户或组  选  高级  选 立即查找 在底下列出的用户列表里选择. 注意不要添加进user组和administrators组 添加进去以后就没有办法远程登陆了.)

网络访问:可匿名访问的命名管道;

——————————————————————————–
实例3:来者是客--微软内部增强系统安全的秘技
本实战内容将需要管理员权限。所谓入侵,无非就是利用某种方法获取到管理员级别的权限或系统级的权限,以便进行下一步操作,如添加自己的用户。如果想要使入侵者”进来”之后不能进行任何操作呢?永远只能是客人权限或比这个权限更低,就算本地登录,连关机都不可以。那么,他将不能实施任何破坏活动。
注意:此法有较高的危险性.建议完全不知道以下程序用途的读者不要尝试.以免误操作引起系统不能进入或出现很多错误。
第一步:确定要设置的程序
搜索系统目录下的危险程序,它们可以用来创建用户夺取及提升低权限用户的权限,格式化硬盘,引起电脑崩溃等恶意操作:cmd.exe、regedit.exe、regsvr32.exe、regedt32.exe、gpedit.msc、format.com、compmgmt.msc、mmc.exe、telnet.exe、tftp.exe、ftp.exe、XCOPY.EXE、at.exe、cacls.exe、edlin.exe、rsh.exe、finger.exe、runas.exe、net.exe、tracert.exe、netsh.exe、tskill.exe、poledit.exe、regini.exe、cscript.exe、netstat.exe、issync.exe、runonce.exe、debug.exe、rexec.exe、wscript.exe、command.com、comsdupd.exe
第二步:按系统调用的可能性分组设置
按照下面分组.设置这些程序权限。完成一组后,建议重启电脑确认系统运行是否一切正常,查看”事件查看器”,是否有错误信息(”控制面板→管理工具→事件查看器”)。
(1)cmd.exe、net.exe gpedit.msc telnet.exe command.com
(仅保留你自己的用户,SYSTEM也删除)
(2)mmc.exe、tftp.exe、ftp.exe、XCOPY.EXE、comsdupd.exe
(仅保留你自己的用户,SYSTEM也删除)
(3)regedit.exe、regedt32.exe、format.com、compmgmt.msc、at.exe、cacls.exe、edlin.exe、rsh.exe、finger.exe、runas.exe、debug.exe、wscript.exe、cscript.exe、rexec.exe
(保留你自己的用户和SYSTEM)
(4)tracert.exe、netsh.exe、tskill.exe、poledit.exe、regini.exe、netstat.exe、issync.exe、runonce.exe、regsvr32.exe
(保留你自己的用户和SYSTEM)
第三步:用户名欺骗
这个方法骗不了经验丰富的入侵者,但却可以让不够高明的伪黑客们弄个一头雾水。
打开”控制面板一管理工具一计算机管理”,找到”用户”,将默认的Administrator和Guest的名称互换,包括描述信息也换掉。完成后,双击假的”Administrator”用户,也就是以前的Guest用户.在其”属性”窗口中把隶属于列表里的Guests组删除.这样.这个假的”管理员”账号就成了”无党派人士”,不属于任何组,也就不会继承其权限。此用户的权限几乎等于0,连关机都不可以,对电脑的操作几乎都会被拒绝。如果有谁处心积虑地获取了这个用户的权限,那么他肯定吐血。
第四步:集权控制,提高安全性
打开了组策略编辑器,找到”计算机设置→windows设置→安全设置→本地策略→用户权利指派”(见图4),接着根据下面的提示进行设置。

[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlTerminal ServerWdsrdpwdTdstcp]
"PortNumber"=dword:0002010

澳门新萄京官方网站 18

网络访问:可远程访问的注册表路径;

(1)减少可访问此计算机的用户数,减少被攻击机会
找到并双击”从网络访问此计算机”,删除账户列表中用户组,只剩下”Administrators”;
找到并双击”拒绝本地登录”,删除列表中的”Guest”用户,添加用户组”Guests”。
(2)确定不想要从网络访问的用户,加入到此”黑名单”内
找到并双击”拒绝从刚络访问这台计算机”,删除账户列表中的”Guest”用户,添加用户组”Guests”;
找到并双击”取得文件或其他对象的所有权”,添加你常用的账户和以上修改过名称为”Guest”的管理员账户,再删除列表中”Administrators”。
(3)防止跨文件夹操作
找到并双击”跳过遍历检查”,添加你所使用的账户和以上修改过名称为”Guest”的管理员账户,再删除账户列表中的”Administrators”、”Everyone”和”Users”用户组。
(4)防止通过终端服务进行的密码猜解尝试
找到并双击”通过终端服务拒绝登录”,添加假的管理员账户”Administrator”;找到”通过终端服务允许登录”,双击,添加你常用的账户和以上修改过名称为”Guest”的管理员账户,再删除账户列表中的”Administrators”,”Remote Desktop User”和”HelpAssistant”(如果你不用远程协助功能的话才可删除此用户)。
(5)避免拒绝服务攻击
找到并双击”调整进程的内存配额”,添加你常用的账户,再删除账户列表中的”Administrators”

[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlTerminal ServerWinStationsRDP-Tcp]
"PortNumber"=dword:00002010

10.去掉默认共享,将以下文件存为reg后缀,然后执行导入即可.
Windows Registry Editor Version 5.00

网络访问:可远程访问的注册表路径和子路径;

——————————————————————————–
实例4:”你的文档”别独享——突破文件夹”私有”的限制
windows XP安装完成并进入系统时,会询问是否将”我的文档”设为私有(专用),如果选择了”是”,那将使该用户下的”我的文档”文件夹不能被其他用户访问,删除,修改。其实这就是利用权限设置将此文件夹的访问控制列表中的用户和用户组删除到了只剩下系统和你的用户,所有者也设置成了那个用户所有,Administrators组的用户也不能直接访问。如果你把这个文件夹曾经设置为专用,但又在该盘重装了系统,此文件夹不能被删除或修改。可按照下面步骤解决这些问题,让你对这个文件夹的访问,畅通无阻。
第一步:登录管理员权限的账户,如系统默认的Administrator,找到被设为专用的”我的文档”,进入其”属性”的”安全”选项卡,你将会看到你的用户不在里面,但也无法添加和删除。
第二步:单击”高级”按钮,进入高级权限设置,选择”所有者”选项卡,在”将所有者更改为”下面的列表中选中你现在使用的用户,如”Userl(AUserl)”,然后再选中”替换子容器及对象的所有者”的复选框,然后单击”应用”,等待操作完成。
第三步:再进入这个文件夹看看,是不是不会有任何权限的提示了?可以自由访问了?查看里面的文件,复制、删除试试看.是不是一切都和”自己的”一样了?嘿嘿。如果你想要删除整个文件夹,也不会有什么阻止你了。

(1)在开始--运行菜单里,输入regedit,进入注册表编辑,按下面的路径进入修改端口的地方
(2)HKEY_LOCAL_MACHINESystemCurrentControlSetControlTerminal ServerWinStationsRDP-Tcp
(3)找到右侧的 "PortNumber",用十进制方式显示,默认为3389,改为(例如)6666端口
(4)HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlTerminal ServerWdsrdpwdTdstcp
(5)找到右侧的 "PortNumber",用十进制方式显示,默认为3389,改为同上的端口
(6)在控制面板--Windows 防火墙--高级设置--入站规则--新建规则
(7)选择端口--协议和端口--TCP/特定本地端口:同上的端口
(8)下一步,选择允许连接
(9)下一步,选择公用
(10)下一步,名称:远程桌面-新(TCP-In),描述:用于远程桌面服务的入站规则,以允许RDP通信。[TCP 同上的端口]
(11)删除远程桌面(TCP-In)规则
(12)重新启动计算机

[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServiceslanmanserverparameters]

以上四项清空。

SYSTEMCurrentControlSetControlTerminal ServerWinStationsRDP-Tcp 改3389 的

4、配置本地连接

"AutoShareServer"=dword:00000000

澳门新萄京官方网站 19

Windows2003基本的web服务器安全设置
栏目: | 作者:青鳥南飛 | 点击:164 | 回复:0 | 2006-6-26 14:40:39
基本的服务器安全设置
1、安装补丁

网络--〉属性--〉管理网络连接--〉本地连接,打开“本地连接”界面,选择“属性”,左键点击“Microsoft网络客户端”,再点击“卸载”,在弹出的对话框中“是”确认卸载。点击“Microsoft网络的文件和打印机共享”,再点击“卸载”,在弹出的对话框中选择“是”确认卸载。

"AutoSharewks"=dword:00000000

9、在安全设置里 本地策略-安全选项 通过终端服务拒绝登陆 加入

安装好操作系统之后,最好能在托管之前就完成补丁的安装,配置好网络后,如果是2000则确定安装上了SP4,如果是2003,则最好安装上SP1,然后点击开始→Windows Update,安装所有的关键更新。

解除Netbios和TCP/IP协议的绑定139端口:打开“本地连接”界面,选择“属性”,在弹出的“属性”框中双击“Internet协议版本(TCP/IPV4)”,点击“属性”,再点击“高级”—“WINS”,选择“禁用TCP/IP上的NETBIOS”,点击“确认”并关闭本地连接属性。

澳门新萄京官方网站 20

 

2、安装杀毒软件

禁止默认共享:点击“开始”—“运行”,输入“Regedit”,打开注册表编辑器,打开注册表项“HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServiceslanmanserverparameters”,在右边的窗口中新建Dword值,名称设为AutoShareServer,值设为“0”。

  1. 禁用不需要的和危险的服务,以下列出服务都需要禁用.
    Alerter  发送管理警报和通知

以下为引用的内容:
ASPNET
Guest
IUSR_*****
IWAM_*****
NETWORK SERVICE
SQLDebugger 

至于杀毒软件目前我使用有两款,一款是瑞星,一款是诺顿,瑞星杀木马的效果比诺顿要强,我测试过病毒包,瑞星要多杀出很多,但是装瑞星的话会有一个问题就是会出现ASP动态不能访问,这时候需要重新修复一下,具体操作步骤是:

关闭 445端口:HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesNetBTParameters,新建 Dword(32位)名称设为SMBDeviceEnabled 值设为“0”

Computer Browser:维护网络计算机更新

 

关闭杀毒软件的所有的实时监控,脚本监控。

5、共享和发现

Distributed File System: 局域网管理共享文件

(****表示你的机器名,具体查找可以点击 添加用户或组  选  高级  选 立即查找 在底下列出的用户列表里选择. 注意不要添加进user组和administrators组 添加进去以后就没有办法远程登陆了。)

╭═══════════════╮╭═══════════════╮

右键“网络” 属性 网络和共享中心  共享和发现
关闭,网络共享,文件共享,公用文件共享,打印机共享,显示我正在共享的所有文件和文件夹,显示这台计算机上所有共享的网络文件夹

Distributed linktracking client   用于局域网更新连接信息

澳门新萄京官方网站 21

在Dos命令行状态下分别输入下列命令并按回车(Enter)键:

6、用防火墙限制Ping

Error reporting service   发送错误报告

10、去掉默认共享,将以下文件存为reg后缀,然后执行导入即可。

regsvr32 jscript.dll (命令功能:修复Java动态链接库)

网上自己查吧,ping还是经常需要用到的

Remote Procedure Call (RPC) Locator   RpcNs*远程过程调用 (RPC)

Windows Registry Editor Version 5.00

regsvr32 vbscript.dll (命令功能:修复VB动态链接库)

7、防火墙的设置

Remote Registry  远程修改注册表

[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServiceslanmanserverparameters]

╰═══════════════╯╰═══════════════╯

控制面板→Windows防火墙设置→更改设置→例外,勾选FTP、HTTP、远程桌面服务 核心网络

Removable storage  管理可移动媒体、驱动程序和库

"AutoShareServer"=dword:00000000

不要指望杀毒软件杀掉所有的木马,因为ASP木马的特征是可以通过一定手段来避开杀毒软件的查杀。

HTTPS用不到可以不勾

Remote Desktop Help Session Manager  远程协助

"AutoSharewks"=dword:00000000

3、设置端口保护和防火

3306:Mysql
1433:Mssql

Routing and Remote Access 在局域网以及广域网环境中为企业提供路由服务

澳门新萄京官方网站 22

2003的端口屏蔽可以通过自身防火墙来解决,这样比较好,比筛选更有灵活性,桌面—>网上邻居—>(右键)属性—>本地连接—>(右键)属性—>高级—>(选中)Internet 连接防火墙—>设置

8、禁用不需要的和危险的服务,以下列出服务都需要禁用。

Messenger  消息文件传输服务
Net Logon   域控制器通道管理

11、 禁用不需要的和危险的服务,以下列出服务都需要禁用。

把服务器上面要用到的服务端口选中

控制面板 管理工具 服务

NTLMSecuritysupportprovide  telnet服务和Microsoft Serch用的

Alerter  发送管理警报和通知

例如:一台WEB服务器,要提供WEB(80)、FTP(21)服务及远程桌面管理(3389)

Distributed linktracking client   用于局域网更新连接信息
PrintSpooler  打印服务
Remote Registry  远程修改注册表
Server 计算机通过网络的文件、打印、和命名管道共享
TCP/IP NetBIOS Helper  提供
TCP/IP (NetBT) 服务上的
NetBIOS 和网络上客户端的
NetBIOS 名称解析的支持
Workstation   泄漏系统用户名列表 与Terminal Services Configuration 关联
Computer Browser 维护网络计算机更新 默认已经禁用
Net Logon   域控制器通道管理 默认已经手动
Remote Procedure Call (RPC) Locator   RpcNs*远程过程调用 (RPC) 默认已经手动
删除服务sc delete MySql

PrintSpooler  打印服务

Computer Browser:维护网络计算机更新

在“FTP 服务器”、“WEB服务器(HTTP)”、“远程桌面”前面打上对号

9、安全设置-->本地策略-->安全选项

telnet   telnet服务

Distributed File System: 局域网管理共享文件

如果你要提供服务的端口不在里面,你也可以点击“添加”铵钮来添加,具体参数可以参照系统里面原有的参数。

在运行中输入gpedit.msc回车,打开组策略编辑器,选择计算机配置-->Windows设置-->安全设置-->本地策略-->安全选项

Workstation   泄漏系统用户名列表

Distributed linktracking client   用于局域网更新连接信息

然后点击确定。注意:如果是远程管理这台服务器,请先确定远程管理的端口是否选中或添加。

交互式登陆:不显示最后的用户名       启用
网络访问:不允许SAM帐户的匿名枚举       启用 已经启用
网络访问:不允许SAM帐户和共享的匿名枚举   启用
网络访问:不允许储存网络身份验证的凭据   启用
网络访问:可匿名访问的共享         内容全部删除
网络访问:可匿名访问的命名管道       内容全部删除
网络访问:可远程访问的注册表路径      内容全部删除
网络访问:可远程访问的注册表路径和子路径  内容全部删除
帐户:重命名来宾帐户            这里可以更改guest帐号
帐户:重命名系统管理员帐户         这里可以更改Administrator帐号

12.更改本地安全策略的审核策略

Error reporting service   发送错误报告

权限设置

10、安全设置-->账户策略-->账户锁定策略

账户管理      成功 失败

Remote Procedure Call (RPC) Locator   RpcNs*远程过程调用 (RPC)

权限设置的原理

在运行中输入gpedit.msc回车,打开组策略编辑器,选择计算机配置-->Windows设置-->安全设置-->账户策略-->账户锁定策略,将账户锁定阈值设为“三次登陆无效”,“锁定时间为30分钟”,“复位锁定计数设为30分钟”。

登录事件      成功 失败

Remote Registry  远程修改注册表

?WINDOWS用户,在WINNT系统中大多数时候把权限按用户(組)来划分。在【开始→程序→管理工具→计算机管理→本地用户和组】管理系统用户和用户组。

11、本地安全设置

对象访问      失败

Removable storage  管理可移动媒体、驱动程序和库

?NTFS权限设置,请记住分区的时候把所有的硬盘都分为NTFS分区,然后我们可以确定每个分区对每个用户开放的权限。【文件(夹)上右键→属性→安全】在这里管理NTFS文件(夹)权限。

选择计算机配置-->Windows设置-->安全设置-->本地策略-->用户权限分配
关闭系统:只有Administrators组、其它全部删除。
通过终端服务拒绝登陆:加入Guests组、IUSR_*****、IWAM_*****、NETWORK SERVICE、SQLDebugger  
通过终端服务允许登陆:加入Administrators、Remote Desktop Users组,其他全部删除

策略更改      成功 失败

Remote Desktop Help Session Manager  远程协助

?IIS匿名用户,每个IIS站点或者虚拟目录,都可以设置一个匿名访问用户(现在暂且把它叫“IIS匿名用户”),当用户访问你的网站的.ASP文件的时候,这个.ASP文件所具有的权限,就是这个“IIS匿名用户”所具有的权限。

12、更改Administrator,guest账户,新建一无任何权限的假Administrator账户

特权使用      失败

Routing and Remote Access 在局域网以及广域网环境中为企业提供路由服务

权限设置

管理工具→计算机管理→系统工具→本地用户和组→用户
新建一个Administrator帐户作为陷阱帐户,设置超长密码,并去掉所有用户组
更改描述:管理计算机(域)的内置帐户

系统事件      成功 失败

Messenger  消息文件传输服务

磁盘权限

13、密码策略

目录服务访问  失败

Net Logon   域控制器通道管理

系统盘及所有磁盘只给 Administrators 组和 SYSTEM 的完全控制权限

选择计算机配置-->Windows设置-->安全设置-->密码策略
启动 密码必须符合复杂性要求
最短密码长度

账户登录事件  成功 失败

NTLMSecuritysupportprovide  telnet服务和Microsoft Serch用的

系统盘Documents and Settings 目录只给 Administrators 组和 SYSTEM 的完全控制权限

14、禁用DCOM ("冲击波"病毒 RPC/DCOM 漏洞)

13.更改有可能会被提权利用的文件运行权限,找到以下文件,将其安全设置里除administrators用户组全部删除,重要的是连system也不要留.
net.exe

PrintSpooler  打印服务

系统盘Documents and SettingsAll Users 目录只给 Administrators 组和 SYSTEM 的完全控制权限

运行Dcomcnfg.exe。控制台根节点→组件服务→计算机→右键单击“我的电脑”→属性”→默认属性”选项卡→清除“在这台计算机上启用分布式 COM”复选框。

net1.exe

telnet   telnet服务

系统盘Inetpub 目录及下面所有目录、文件只给 Administrators 组和 SYSTEM 的完全控制权限

15、ASP漏洞

cmd.exe

Workstation   泄漏系统用户名列表

系统盘WindowsSystem32cacls.exe、cmd.exe、net.exe、net1.exe 文件只给 Administrators 组和 SYSTEM 的完全控制权限

主要是卸载WScript.Shell 和 Shell.application 组件,是否删除看是否必要。

tftp.exe

12、更改本地安全策略的审核策略

4、禁用不必要的服务

regsvr32/u C:WINDOWSSystem32wshom.ocx
regsvr32/u C:WINDOWSsystem32shell32.dll

netstat.exe

账户管理      成功 失败

开始菜单—>管理工具—>服务

删除可能权限不够

regedit.exe

登录事件      成功 失败

Print Spooler

del C:WINDOWSSystem32wshom.ocx
del C:WINDOWSsystem32shell32.dll

at.exe

对象访问      失败

Remote Registry

如果确实要使用,或者也可以给它们改个名字。

attrib.exe

策略更改      成功 失败

TCP/IP NetBIOS Helper

WScript.Shell可以调用系统内核运行DOS基本命令

cacls.exe

特权使用      失败

Server

可以通过修改注册表,将此组件改名,来防止此类木马的危害。

format.com

系统事件      成功 失败

以上是在Windows Server 2003 系统上面默认启动的服务中禁用的,默认禁用的服务如没特别需要的话不要启动。

HKEY_CLASSES_ROOTWScript.Shell及HKEY_CLASSES_ROOTWScript.Shell.1

c.exe 特殊文件 有可能在你的计算机上找不到此文件.

目录服务访问  失败

改名或卸载不安全组件

改名为其它的名字,如:改为WScript.Shell_ChangeName 或 WScript.Shell.1_ChangeName

在搜索框里输入 
"net.exe","net1.exe","cmd.exe","tftp.exe","netstat.exe","regedit.exe","at.exe","attrib.exe","cacls.exe","format.com","c.exe" 点击搜索 然后全选 右键 属性 安全

账户登录事件  成功 失败

不安全组件不惊人

自己以后调用的时候使用这个就可以正常调用此组件了

澳门新萄京官方网站 23

13、更改有可能会被提权利用的文件运行权限,找到以下文件,将其安全设置里除administrators用户组全部删除,重要的是连system也不要留。

在阿江探针1.9里加入了不安全组件检测功能(其实这是参考7i24的代码写的,只是把界面改的友好了一点,检测方法和他是基本一样的),这个功能让很多站长吃惊不小,因为他发现他的服务器支持很多不安全组件。

也要将clsid值也改一下

以上这点是最最重要的一点了,也是最最方便减少被提权和被破坏的可能的防御方法了.

net.exe

其实,只要做好了上面的权限设置,那么FSO、XML、strem都不再是不安全组件了,因为他们都没有跨出自己的文件夹或者站点的权限。那个欢乐时光更不用怕,有杀毒软件在还怕什么时光啊。

HKEY_CLASSES_ROOTWScript.ShellCLSID项目的值

14.后备工作,将当前服务器的进程抓图或记录下来,将其保存,方便以后对照查看是否有不明的程序。将当前开放的端口抓图或记录下来,保存,方便以后对照查看是否开放了不明的端口。当然如果你能分辨每一个进程,和端口这一步可以省略。

net1.exe

最危险的组件是WSH和Shell,因为它可以运行你硬盘里的EXE等程序,比如它可以运行提升程序来提升SERV-U权限甚至用SERVU来运行更高权限的系统程序。

HKEY_CLASSES_ROOTWScript.Shell.1CLSID项目的值

您可能感兴趣的文章:

  • win2003服务器安全设置教程图文(系统 数据库)
  • win2003 服务器安全设置教程(权限与本地策略)
  • Win2003服务器安装及设置教程 MySQL安全设置图文教程
  • win2003 服务器磁盘权限安全设置批处理
  • win2003 服务器安全设置图文教程
  • 必须要懂的win2003服务器上的asp站点安全设置
  • win2003 服务器 安全设置 技术实例(比较安全的方法)
  • win2003 服务器安全设置教程(权限 防火墙)
  • Windows 2003 服务器安全设置图文教程
  • win2003服务器安全设置完全版(脚本之家补充)

cmd.exe

谨慎决定是否卸载一个组件

也可以将其删除,来防止此类木马的危害。

tftp.exe

组件是为了应用而出现的,而不是为了不安全而出现的,所有的组件都有它的用处,所以在卸载一个组件之前,你必须确认这个组件是你的网站程序不需要的,或者即使去掉也不关大体的。否则,你只能留着这个组件并在你的ASP程序本身上下工夫,防止别人进来,而不是防止别人进来后SHELL。

Shell.Application可以调用系统内核运行DOS基本命令

netstat.exe

比如,FSO和XML是非常常用的组件之一,很多程序会用到他们。WSH组件会被一部分主机管理程序用到,也有的打包程序也会用到。

可以通过修改注册表,将此组件改名,来防止此类木马的危害。

regedit.exe

5、卸载最不安全的组件

HKEY_CLASSES_ROOTShell.Application及HKEY_CLASSES_ROOTShell.Application.1改名为其它的名字,如:改为Shell.Application_ChangeName 或 Shell.Application.1_ChangeName

at.exe

最简单的办法是直接卸载后删除相应的程序文件。将下面的代码保存为一个.BAT文件,( 以下均以 WIN2000 为例,如果使用2003,则系统文件夹应该是 C:WINDOWS )

自己以后调用的时候使用这个就可以正常调用此组件了

attrib.exe

regsvr32/u C:WINNTSystem32wshom.ocx

也要将clsid值也改一下

cacls.exe

del C:WINNTSystem32wshom.ocx

HKEY_CLASSES_ROOTShell.ApplicationCLSID项目的值
HKEY_CLASSES_ROOTShell.ApplicationCLSID项目的值

format.com

regsvr32/u C:WINNTsystem32shell32.dll

也可以将其删除,来防止此类木马的危害。

c.exe 特殊文件 有可能在你的计算机上找不到此文件。

del C:WINNTsystem32shell32.dll

禁止Guest用户使用shell32.dll来防止调用此组件。

在搜索框里输入

然后运行一下,WScript.Shell, Shell.application, WScript.Network就会被卸载了。可能会提示无法删除文件,不用管它,重启一下服务器,你会发现这三个都提示“×安全”了。

2000使用命令:cacls C:WINNTsystem32shell32.dll /e /d guests
2003使用命令:cacls C:WINDOWSsystem32shell32.dll /e /d guests

"net.exe","net1.exe","cmd.exe","tftp.exe","netstat.exe","regedit.exe","at.exe","attrib.exe","cacls.exe","format.com","c.exe"

改名不安全组件

禁止使用FileSystemObject组件,FSO是使用率非常高的组件,要小心确定是否卸载。改名后调用就要改程序了,Set FSO = Server.CreateObject("Scripting.FileSystemObject")。

点击搜索 然后全选 右键 属性 安全

需要注意的是组件的名称和Clsid都要改,并且要改彻底了。下面以Shell.application为例来介绍方法。

FileSystemObject可以对文件进行常规操作,可以通过修改注册表,将此组件改名,来防止此类木马的危害。
HKEY_CLASSES_ROOTScripting.FileSystemObject
改名为其它的名字,如:改为 FileSystemObject_ChangeName
自己以后调用的时候使用这个就可以正常调用此组件了
也要将clsid值也改一下HKEY_CLASSES_ROOTScripting.FileSystemObjectCLSID项目的值
也可以将其删除,来防止此类木马的危害。
2000注销此组件命令:RegSrv32 /u C:WINNTSYSTEMscrrun.dll
2003注销此组件命令:RegSrv32 /u C:WINDOWSSYSTEMscrrun.dll
如何禁止Guest用户使用scrrun.dll来防止调用此组件?
使用这个命令:cacls C:WINNTsystem32scrrun.dll /e /d guests

澳门新萄京官方网站 24

打开注册表编辑器【开始→运行→regedit回车】,然后【编辑→查找→填写Shell.application→查找下一个】,用这个方法能找到两个注册表项:“{13709620-C279-11CE-A49E-444553540000}”和“Shell.application”。为了确保万无一失,把这两个注册表项导出来,保存为 .reg 文件。

15、打开UAC

以上这点是最最重要的一点了,也是最最方便减少被提权和被破坏的可能的防御方法了。

比如我们想做这样的更改

控制面板 用户账户 打开或关闭用户账户控制

14、后备工作,将当前服务器的进程抓图或记录下来,将其保存,方便以后对照查看是否有不明的程序。将当前开放的端口抓图或记录下来,保存,方便以后对照查看是否开放了不明的端口。当然如果你能分辨每一个进程,和端口这一步可以省略。

13709620-C279-11CE-A49E-444553540000 改名为 13709620-C279-11CE-A49E-444553540001

16、程序权限

您可能感兴趣的文章:

  • win2003服务器安全设置教程图文(系统 数据库)
  • Win2003服务器安装及设置教程 MySQL安全设置图文教程
  • win2003 服务器磁盘权限安全设置批处理
  • win2003 服务器安全设置图文教程
  • 必须要懂的win2003服务器上的asp站点安全设置
  • win2003 服务器 安全设置 技术实例(比较安全的方法)
  • win2003 服务器安全设置教程(权限 防火墙)
  • 又一篇不错的win2003服务器安全设置图文教程
  • Windows 2003 服务器安全设置图文教程
  • win2003服务器安全设置完全版(脚本之家补充)

Shell.application 改名为 Shell.application_ajiang

"net.exe","net1.exe","cmd.exe","tftp.exe","netstat.exe","regedit.exe","at.exe","attrib.exe","cacls.exe","format.com","c.exe"
或完全禁止上述命令的执行
gpedit.msc-〉用户配置-〉管理模板-〉系统
启用 阻止访问命令提示符 同时 也停用命令提示符脚本处理
启用 阻止访问注册表编辑工具
启用 不要运行指定的windows应用程序,添加下面的
at.exe attrib.exe c.exe cacls.exe cmd.exe format.com net.exe net1.exe netstat.exe regedit.exe tftp.exe

那么,就把刚才导出的.reg文件里的内容按上面的对应关系替换掉,然后把修改好的.reg文件导入到注册表中(双击即可),导入了改名后的注册表项之后,别忘记了删除原有的那两个项目。这里需要注意一点,Clsid中只能是十个数字和ABCDEF六个字母。

17、Serv-u安全问题(个人建议不是特别高的要求没必要用serv_U可以使用FTP服务器 FileZilla Server

下面是我修改后的代码(两个文件我合到一起了):

安装程序尽量采用最新版本,避免采用默认安装目录,设置好serv-u目录所在的权限,设置一个复杂的管理员密码。修改serv-u的banner信息,设置被动模式端口范围(4001—4003)在本地服务器中设置中做好相关安全设置:包括检查匿名密码,禁用反超时调度,拦截“FTP bounce”攻击和FXP,对于在30秒内连接超过3次的用户拦截10分钟。域中的设置为:要求复杂密码,目录只使用小写字母,高级中设置取消允许使用MDTM命令更改文件的日期。

Windows Registry Editor Version 5.00

更改serv-u的启动用户:在系统中新建一个用户,设置一个复杂点的密码,不属于任何组。将servu的安装目录给予该用户完全控制权限。建立一个FTP根目录,需要给予这个用户该目录完全控制权限,因为所有的ftp用户上传,删除,更改文件都是继承了该用户的权限,否则无法操作文件。另外需要给该目录以上的上级目录给该用户的读取权限,否则会在连接的时候出现530 Not logged in, home directory does not exist。比如在测试的时候ftp根目录为d:soft,必须给d盘该用户的读取权限,为了安全取消d盘其他文件夹的继承权限。而一般的使用默认的system启动就没有这些问题,因为system一般都拥有这些权限的。如果FTP不是必须每天都用,不如就关了吧,要用再打开。

[HKEY_CLASSES_ROOTCLSID{13709620-C279-11CE-A49E-444553540001}]

下面是其它网友的补充:大家可以参考下

@=”Shell Automation Service”

Windows Web Server 2008 R2服务器简单安全设置

[HKEY_CLASSES_ROOTCLSID{13709620-C279-11CE-A49E-444553540001}InProcServer32]

1、新做系统一定要先打上已知补丁,以后也要及时关注微软的漏洞报告。略。
2、所有盘符根目录只给system和Administrator的权限,其他的删除。
3、将所有磁盘格式转换为NTFS格式。
命令:convert c:/fs:ntfs c:代表C盘,其他盘类推。WIN08 r2 C盘一定是ntfs格式的,不然不能安装系统
4、开启Windows Web Server 2008 R2自带的高级防火墙。
默认已经开启。
5、安装必要的杀毒软件如mcafee,安装一款ARP防火墙,安天ARP好像不错。略。
6、设置屏幕屏保护。
7、关闭光盘和磁盘的自动播放功能。
8、删除系统默认共享。
命令:net share c$ /del 这种方式下次启动后还是会出现,不彻底。也可以做成一个批处理文件,然后设置开机自动执动这个批处理。但是还是推荐下面的方法,直修改注册表的方法。
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesLanmanserverparameters下面新建AutoShareServer ,值为0 。。重启一下,测试。已经永久生效了。
9、重命Administrator和Guest帐户,密码必须复杂。GUEST用户我们可以复制一段文本作为密码,你说这个密码谁能破。。。。也只有自己了。...
重命名管理员用户组Administrators。
10、创建一个陷阱用户Administrator,权限最低。

@=”C:\WINNT\system32\shell32.dll”

上面二步重命名最好放在安装IIS和SQL之前做好,那我这里就不演示了。

“ThreadingModel”=”Apartment”

11、本地策略——>审核策略
审核策略更改 成功 失败
审核登录事件 成功 失败
审核对象访问 失败
审核过程跟踪 无审核
审核目录服务访问 失败
审核特权使用 失败
审核系统事件 成功 失败
审核账户登录事件 成功 失败
审核账户管理 成功 失败

[HKEY_CLASSES_ROOTCLSID{13709620-C279-11CE-A49E-444553540001}ProgID]

12、本地策略——>用户权限分配
关闭系统:只有Administrators 组、其它的全部删除。

@=”Shell.Application_ajiang.1″

管理模板 > 系统 显示“关闭事件跟踪程序”更改为已禁用。这个看大家喜欢。

[HKEY_CLASSES_ROOTCLSID{13709620-C279-11CE-A49E-444553540001}TypeLib]

13、本地策略——>安全选项
交互式登陆:不显示最后的用户名 启用
网络访问:不允许SAM 帐户和共享的匿名枚举 启用
网络访问: 不允许存储网络身份验证的凭据或 .NET Passports 启用
网络访问:可远程访问的注册表路径 全部删除
网络访问:可远程访问的注册表路径和子路径 全部删除
14、禁止dump file 的产生。
系统属性>高级>启动和故障恢复把 写入调试信息 改成“无”
15、禁用不必要的服务。
TCP/IP NetBIOS Helper
Server
Distributed Link Tracking Client
Print Spooler
Remote Registry
Workstation

@=”{50a7e9b0-70ef-11d1-b75a-00a0c90564fe}”

16、站点方件夹安全属性设置
删除C: inetpub 目录。删不了,不研究了。把权限最低。。。禁用或删除默认站点。我这里不删除了。停止即可。一般给站点目录权限为:
System 完全控制
Administrator 完全控制
Users 读
IIS_Iusrs 读、写
在IIS7 中删除不常用的映射 建立站点试一下。一定要选到程序所在的目录,这里是www.postcha.com目录,如果只选择到wwwroot目录的话,站点就变成子目录或虚拟目录安装了,比较麻烦。所以一定要选择站点文件所在的目录,填上主机头。因为我们是在虚拟机上测试,所以对hosts文件修改一下,模拟用域名访问。真实环境中,不需要修改hosts文件,直接解释域名到主机就行。目录权限不够,这个下个教程继续说明。至少,我们的页面已经正常了。

[HKEY_CLASSES_ROOTCLSID{13709620-C279-11CE-A49E-444553540001}Version]

17、禁用IPV6。看操作。

@=”1.1″

在windows server 2008 R2操作系统下部署weblogic web application,部署完成后进行测试,发现测试页的地址使用的是隧道适配器的地址,而不是静态的ip地址,而且所在的网络并没有ipv6接入,因此决定将ipv6和隧道适配器禁用,操作如下:
禁用ipv6很简单,进入 控制面板网络和 Internet网络和共享中心 单击面板右侧“更改适配器设置”进入网络连接界面,选择要设置的连接,右键选择属性,取消Internet 协议版本 6 (TCP/IPv6) 前面的选择框确定即可。
澳门新萄京官方网站 25
要禁用隧道适配器需要更改注册表信息,操作如下:
开始 -> 运行 - > 输入 Regedit 进入注册表编辑器
定位到:
[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesTcpip6Parameters]
右键点击 Parameters,选择新建 -> DWORD (32-位)值
命名值为 DisabledComponents,然后修改值为 ffffffff (16进制)
重启后生效
DisableComponents 值定义:
0, 启用所有 IPv 6 组件,默认设置
0xffffffff,禁用所有 IPv 6 组件, 除 IPv 6 环回接口
0x20, 以前缀策略中使用 IPv 4 而不是 IPv 6
0x10, 禁用本机 IPv 6 接口
0x01, 禁用所有隧道 IPv 6 接口
0x11, 禁用除用于 IPv 6 环回接口所有 IPv 6 接口

[HKEY_CLASSES_ROOTCLSID{13709620-C279-11CE-A49E-444553540001}VersionIndependentProgID]

OVER ! 重启下服务器吧

@=”Shell.Application_ajiang”

您可能感兴趣的文章:

  • windows server 2008 服务器安全设置初级配置
  • Win2008 R2 WEB 服务器安全设置指南之禁用不必要的服务和关闭端口
  • Win2008 R2 WEB 服务器安全设置指南之文件夹权限设置技巧
  • win2008 R2 WEB 服务器安全设置指南之组策略与用户设置
  • Win2008 R2 WEB 服务器安全设置指南之修改3389端口与更新补丁
  • Win2008 远程控制安全设置技巧
  • win2008 r2 服务器安全设置之安全狗设置图文教程

[HKEY_CLASSES_ROOTShell.Application_ajiang]

@=”Shell Automation Service”

[HKEY_CLASSES_ROOTShell.Application_ajiangCLSID]

@=”{13709620-C279-11CE-A49E-444553540001}”

[HKEY_CLASSES_ROOTShell.Application_ajiangCurVer]

@=”Shell.Application_ajiang.1″

你可以把这个保存为一个.reg文件运行试一下,但是可别就此了事,因为万一黑客也看了我的这篇文章,他会试验我改出来的这个名字的。

6、防止列出用户组和系统进程

在阿江ASP探针1.9中结合7i24的方法利用getobject(”WINNT”)获得了系统用户和系统进程的列表,这个列表可能会被黑客利用,我们应当隐藏起来,方法是:

【开始→程序→管理工具→服务】,找到Workstation,停止它,禁用它。

防止Serv-U权限提升

其实,注销了Shell组件之后,侵入者运行提升工具的可能性就很小了,但是prel等别的脚本语言也有shell能力,为防万一,还是设置一下为好。

用Ultraedit打开ServUDaemon.exe查找Ascii:LocalAdministrator,和#l@$ak#.lk;0@P,修改成等长度的其它字符就可以了,ServUAdmin.exe也一样处理。

另外注意设置Serv-U所在的文件夹的权限,不要让IIS匿名用户有读取的权限,否则人家下走你修改过的文件,照样可以分析出你的管理员名和密码。

利用ASP漏洞攻击的常见方法及防范

一般情况下,黑客总是瞄准论坛等程序,因为这些程序都有上传功能,他们很容易的就可以上传ASP木马,即使设置了权限,木马也可以控制当前站点的所有文件了。另外,有了木马就然后用木马上传提升工具来获得更高的权限,我们关闭shell组件的目的很大程度上就是为了防止攻击者运行提升工具。

如果论坛管理员关闭了上传功能,则黑客会想办法获得超管密码,比如,如果你用动网论坛并且数据库忘记了改名,人家就可以直接下载你的数据库了,然后距离找到论坛管理员密码就不远了。

作为管理员,我们首先要检查我们的ASP程序,做好必要的设置,防止网站被黑客进入。另外就是防止攻击者使用一个被黑的网站来控制整个服务器,因为如果你的服务器上还为朋友开了站点,你可能无法确定你的朋友会把他上传的论坛做好安全设置。这就用到了前面所说的那一大堆东西,做了那些权限设置和防提升之后,黑客就算是进入了一个站点,也无法破坏这个网站以外的东西。

QUOTE:
c:
administrators 全部
system 全部
iis_wpg 只有该文件夹
列出文件夹/读数据
读属性
读扩展属性
读取权限

c:inetpubmailroot
administrators 全部
system 全部
service 全部

c:inetpubftproot
everyone 只读和运行

c:windows
administrators 全部
Creator owner
不是继承的
只有子文件夹及文件
完全
Power Users
修改,读取和运行,列出文件夹目录,读取,写入
system 全部
IIS_WPG 读取和运行,列出文件夹目录,读取
Users 读取和运行(此权限最后调整完成后可以取消)

C:WINDOWSMicrosoft.Net
administrators 全部
Creator owner
不是继承的
只有子文件夹及文件
完全
Power Users
修改,读取和运行,列出文件夹目录,读取,写入
system 全部
Users 读取和运行,列出文件夹目录,读取

C:WINDOWSMicrosoft.Net
administrators 全部
Creator owner
不是继承的
只有子文件夹及文件
完全
Power Users
修改,读取和运行,列出文件夹目录,读取,写入
system 全部
Users 读取和运行,列出文件夹目录,读取

C:WINDOWSMicrosoft.Nettemporary ASP.NET Files
administrators 全部
Creator owner
不是继承的
只有子文件夹及文件
完全
Power Users
修改,读取和运行,列出文件夹目录,读取,写入
system 全部
Users 全部

c:Program Files
Everyone 只有该文件夹
不是继承的
列出文件夹/读数据
administrators 全部
iis_wpg 只有该文件夹
列出文件/读数据
读属性
读扩展属性
读取权限

c:windowstemp
Administrator 全部权限
System 全部权限
users 全部权限

c:Program FilesCommon Files
administrators 全部
Creator owner
不是继承的
澳门新萄京官方网站,只有子文件夹及文件
完全
Power Users
修改,读取和运行,列出文件夹目录,读取,写入
system 全部
TERMINAL SERVER Users(如果有这个用户)
修改,读取和运行,列出文件夹目录,读取,写入
Users 读取和运行,列出文件夹目录,读取

如果安装了我们的软件:
c:Program FilesLIWEIWENSOFT
Everyone 读取和运行,列出文件夹目录,读取
administrators 全部
system 全部
IIS_WPG 读取和运行,列出文件夹目录,读取

c:Program FilesDimac(如果有这个目录)
Everyone 读取和运行,列出文件夹目录,读取
administrators 全部

c:Program FilesComPlus Applications (如果有)
administrators 全部

c:Program FilesGflSDK (如果有)
administrators 全部
Creator owner
不是继承的
只有子文件夹及文件
完全
Power Users
修改,读取和运行,列出文件夹目录,读取,写入
system 全部
TERMINAL SERVER Users
修改,读取和运行,列出文件夹目录,读取,写入
Users 读取和运行,列出文件夹目录,读取
Everyone 读取和运行,列出文件夹目录,读取

c:Program FilesInstallShield Installation Information (如果有)
c:Program FilesInternet Explorer (如果有)
c:Program FilesNetMeeting (如果有)
administrators 全部

c:Program FilesWindowsUpdate
Creator owner
不是继承的
只有子文件夹及文件
完全
administrators 全部
Power Users
修改,读取和运行,列出文件夹目录,读取,写入
system 全部

c:Program FilesMicrosoft SQL(如果SQL安装在这个目录)
administrators 全部
Service 全部
system 全部

c:Main (如果主控端网站放在这个目录)
administrators 全部
system 全部
IUSR_*,默认的Internet来宾帐户(或专用的运行用户)
读取和运行

d: (如果用户网站内容放置在这个分区中)
administrators 全部权限

d:FreeHost (如果此目录用来放置用户网站内容)
administrators 全部权限
SERVICE 读取与运行
system 读取与运行(全部权限,如果安装了一流信息监控)

F: (如果此分区用来放置SQL2000用户数据库)
administrators 全部权限
System 全部权限
SQL2000的运行用
只有该文件夹
列出文件夹/读数据
读属性
读扩展属性
读取权限

F:SQLDATA (如果此目录用来放置SQL2000用户数据库)
administrators 全部权限
System 全部权限
SQL2000的运行用户全部权限

从安全角度,我们建议WebEasyMail(WinWebMail)安装在独立的盘中,例如E:
E:(如果webeasymail安装在这个盘中)
administrators 全部权限
system 全部权限
IUSR_*,默认的Internet来宾帐户(或专用的运行用户)
只有该文件夹
列出文件夹/读数据
读属性
读扩展属性
读取权限
E:WebEasyMail (如果webeasymail安装在这个目录中)
administrators 全部
system 全部权限
SERVICE 全部
IUSR_*,默认的Internet来宾帐户 (或专用的运行用户)
全部权限

C:phpuploadtemp
C:phpsessiondata
everyone
全部

C:php
administrators 全部
system 全部权限
SERVICE 全部
Users 只读和运行

c:windowsphp.ini
administrators 全部
system 全部权限
SERVICE 全部
Users 只读和运行

您可能感兴趣的文章:

  • Windows server 2003 服务器环境配置 新手简明版
  • Windows Server 2003 Enterprise Edition SP1 VOL 简体中文企业版 下载地址
  • 不错的windows server 2003 工具资源命令集
  • Tomcat6.0与windows 2003 server 的IIS服务器集成
  • Windows Server 2003服务器无法下载.exe文件的解决方法
  • Windows2003 Server 设置大全
  • Windows Server 2003 Service Pack 2 for x86 & x64 正式版发布
  • Windows Server 2003 模拟IP-SAN图文教程
  • Windows server 2003证书服务器配置方法(图文)
  • Windows Server 2003 启动中常见错误的解决方法

本文由澳门新萄京官方网站发布于服务器运维,转载请注明出处:澳门新萄京官方网站系统安全配置情势,权限与

关键词: