服務(wù)器安全設(shè)置
1.系統(tǒng)盤和站點放置盤必須設(shè)置為NTFS格式,方便設(shè)置權(quán)限.
2.系統(tǒng)盤和站點放置盤除administrators 和system的用戶權(quán)限全部去除.
3.啟用windows自帶防火墻,只保留有用的端口,比如遠程和Web,Ftp(3389,80,21)等等,有郵件服務(wù)器的還要打開25和130端口.
4.安裝好SQL后進入目錄搜索 xplog70 然后將找到的三個文件改名或者刪除.
5.更改sa密碼為你都不知道的超長密碼,在任何情況下都不要用sa這個帳戶.
6.改名系統(tǒng)默認帳戶名并新建一個Administrator帳戶作為陷阱帳戶,設(shè)置超長密碼,并去掉所有用戶組.(就是在用戶組那里設(shè)置為空即可.讓這個帳號不屬于任何用戶組)同樣改名禁用掉Guest用戶.
7.配置帳戶鎖定策略(在運行中輸入gpedit.msc回車����,打開組策略編輯器,選擇計算機配置-Windows設(shè)置-安全設(shè)置-賬戶策略-賬戶鎖定策略���,將賬戶設(shè)為“三次登陸無效”�,“鎖定時間30分鐘”�,“復位鎖定計數(shù)設(shè)為30分鐘”。)
8.在安全設(shè)置里 本地策略-安全選項 將
網(wǎng)絡(luò)訪問:可匿名訪問的共享 ;
網(wǎng)絡(luò)訪問:可匿名訪問的命名管道 ;
網(wǎng)絡(luò)訪問:可遠程訪問的注冊表路徑 ;
網(wǎng)絡(luò)訪問:可遠程訪問的注冊表路徑和子路徑 ;
以上四項清空.
9.在安全設(shè)置里 本地策略-安全選項通過終端服務(wù)拒絕登陸 加入
ASPNET
Guest
IUSR_*****
IWAM_*****
NETWORK SERVICE
SQLDebugger
(****表示你的機器名,具體查找可以點擊 添加用戶或組 選 高級 選 立即查找 在底下列出的用戶列表里選擇. 注意不要添加進user組和administrators組添加進去以后就沒有辦法遠程登陸了.)
10.去掉默認共享,將以下文件存為reg后綴,然后執(zhí)行導入即可.
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters]
"AutoShareServer"=dword:00000000
"AutoSharewks"=dword:00000000
11. 禁用不需要的和危險的服務(wù),以下列出服務(wù)都需要禁用.
Alerter 發(fā)送管理警報和通知
Computer Browser:維護網(wǎng)絡(luò)計算機更新
Distributed File System: 局域網(wǎng)管理共享文件
Distributed linktracking client 用于局域網(wǎng)更新連接信息
Error reporting service 發(fā)送錯誤報告
Remote Procedure Call (RPC) Locator RpcNs*遠程過程調(diào)用 (RPC)
Remote Registry 遠程修改注冊表
Removable storage 管理可移動媒體�、驅(qū)動程序和庫
Remote Desktop Help Session Manager 遠程協(xié)助
Routing and Remote Access 在局域網(wǎng)以及廣域網(wǎng)環(huán)境中為企業(yè)提供路由服務(wù)
Messenger 消息文件傳輸服務(wù)
Net Logon 域控制器通道管理
NTLMSecuritysupportprovide telnet服務(wù)和Microsoft Serch用的
PrintSpooler 打印服務(wù)
telnet telnet服務(wù)
Workstation 泄漏系統(tǒng)用戶名列表
12.更改本地安全策略的審核策略
賬戶管理 成功失敗
登錄事件 成功失敗
對象訪問 失敗
策略更改 成功失敗
特權(quán)使用 失敗
系統(tǒng)事件 成功失敗
目錄服務(wù)訪問 失敗
賬戶登錄事件 成功 失敗
13.更改有可能會被提權(quán)利用的文件運行權(quán)限,找到以下文件,將其安全設(shè)置里除administrators用戶組全部刪除,重要的是連system也不要留.
net.exe
net1.exe
cmd.exe
tftp.exe
netstat.exe
regedit.exe
at.exe
attrib.exe
cacls.exe
format.com
c.exe 特殊文件 有可能在你的計算機上找不到此文件.
在搜索框里輸入
"net.exe","net1.exe","cmd.exe","tftp.exe","netstat.exe","regedit.exe","at.exe","attrib.exe","cacls.exe","format.com","c.exe" 點擊搜索 然后全選 右鍵 屬性 安全
以上這點是最最重要的一點了,也是最最方便減少被提權(quán)和被破壞的可能的防御方法了.
14.后備工作,將當前服務(wù)器的進程抓圖或記錄下來,將其保存���,方便以后對照查看是否有不明的程序��。將當前開放的端口抓圖或記錄下來�����,保存����,方便以后對照查看是否開放了不明的端口。當然如果你能分辨每一個進程�,和端口這一步可以省略。
以上是設(shè)置安全服務(wù)器必要的步驟.下面我們來說說數(shù)據(jù)庫安裝.
1.在企業(yè)管理器內(nèi)建立一個空的數(shù)據(jù)庫名為oblog4,打開查詢分析器,將data目錄的oblog4.sql導入查詢分析器.找到oblog4數(shù)據(jù)庫執(zhí)行.
2.將初始數(shù)據(jù)庫oblog4.mdb導入我們剛剛建立好的數(shù)據(jù)庫.
好了數(shù)據(jù)庫裝好了,下面我們來說說IIS的安全設(shè)置.
1. 在計算機管理中設(shè)定一個新的用戶組 iis guest 這個用戶組來將我們的站點使用的匿名用戶歸類.方便管理.
2. 新建一個用戶已 U_開頭 以后站點的匿名用戶就都是以U_開頭方便識別和管理 當然你可以自己設(shè)定,只要方便識別即可.然后去掉其所歸屬的user用戶組添加入 iis guest用戶組.比如新建的站點是www.lovalaozang.cn 那么我我們就新建一個
U_lovelaozang.cn用戶,然后將它除去user組的隸屬關(guān)系,然后將其加入guest組.
3. 在發(fā)布盤上新建一個文件夾作為網(wǎng)站目錄.再這里我們新建E:\wwwroot為我們的站點文件夾[目錄最好帶有迷惑性如:E:\wireless security]
4. 將網(wǎng)站傳入到此文件夾下.
5. 設(shè)置iis發(fā)布此站點.站點的主機頭設(shè)為您的域名.
6. 設(shè)置iis匿名用戶訪問權(quán)限為剛剛我們新建的U_lovelaozang.cn用戶.
7. 設(shè)置發(fā)布目錄文件夾權(quán)限所有為U_lovelaozang.cn用戶讀取運行權(quán)限.
8. 設(shè)置 目錄U(用戶日志生成靜態(tài)目錄),目錄 Uploadfiles(上傳目錄) skin下的skin.mdb 根目錄下的 index.html 等目錄或文件權(quán)限為可以修改.
9. 在iis上設(shè)置Uploadfiles文件夾為不可執(zhí)行腳本.
10. 修改conn.asp和config.asp文件.適應(yīng)我們的設(shè)置.
11. 訪問您設(shè)定的網(wǎng)址 安裝完成.
windows下根目錄的權(quán)限設(shè)置:
C:\WINDOWS\Downloaded Program Files 默認不改
C:\WINDOWS\Offline Web Pages 默認不改
C:\WINDOWS\Help TERMINAL SERVER USER 除前兩項權(quán)限不選其余都選
C:\WINDOWS\IIS Temporary Compressed Files IIS_WPG選全部權(quán)限
C:\WINDOWS\Installer 刪除EVEryone組權(quán)限
C:\WINDOWS\Prefetch 默認權(quán)限不改
C:\WINDOWS\Registration 添加NETWORK SERVICE 選擇其中三項權(quán)限�,其它保留默認
C:\WINDOWS\system32 添加NETWORK SERVICE 選擇其中三項權(quán)限,其它保留默認
C:\WINDOWS\TAPI 刪除user組����,其它組的權(quán)限保留默認
C:\WINDOWS\Temp 刪除user組,其它組的權(quán)限保留默認
C:\WINDOWS\Web 注意權(quán)限設(shè)置為繼承���。具體看演示
C:\WINDOWS\WinSxS 添加NETWORK SERVICE 選擇其中三項權(quán)限�����,其它保留默認
C:\WINDOWS\Application Compatibility Scripts
C:\WINDOWS\Debug\UserMode 刪除users組的權(quán)限
C:\WINDOWS\Debug\WPD 目錄刪除Authenticated Users組權(quán)限��。其它默認不變
C:\WINDOWS\ime
C:\WINDOWS\inf
C:\WINDOWS\Installer 刪除其子目錄下所有包含EVEryone組的權(quán)限
C:\WINDOWS\Microsoft.NET 和C:\WINDOWS\Microsoft.NET\Framework\v1.1.4322 子目錄中有很多組權(quán)限���。保留默認就行
C:\WINDOWS\PCHealth\UploadLB 刪除everyone組的權(quán)限�����,其它下級目錄不用管��,沒有user組和EVEryone組權(quán)限
C:\WINDOWS\PCHealth\HelpCtr 刪除everyone組的權(quán)限�����,其它下級目錄不用管,沒有user組和EVEryone組權(quán)限
如果C:\WINDOWS\PCHealth\還有其它演示中沒有的目錄�,也如此操作,依情況靈活運用
C:\WINDOWS\Registration\CRMLog 刪除users組的權(quán)限
C:\WINDOWS\security\templates 刪除users組的權(quán)限及多余權(quán)限���,看演示
下面開始
system32根目錄的設(shè)置:
此目錄中基本上是刪除user組和其它不必要的組后����,其余組的權(quán)限保留就行了�。要改的地方?jīng)]幾處
C:\WINDOWS\system32\GroupPolicy 刪除Authenticated Users組,其下子目錄保留默認不用改就行*******
C:\WINDOWS\system32\inetsrv 及其下子目錄均保持不改就行*******
C:\WINDOWS\system32\spool*************
C:\WINDOWS\system32\spool\drivers 刪除EVEryone組的權(quán)限
C:\WINDOWS\system32\spool\PRINTERS 刪除EVEryone組的權(quán)限
C:\WINDOWS\system32\wbem\AutoRecover 刪除EVEryone組的權(quán)限
C:\WINDOWS\system32\wbem\Logs 同上
C:\WINDOWS\system32\wbem\mof 同上
C:\WINDOWS\system32\wbem\Repository 同上
在這里提供給大家一段批處理 windows 2003權(quán)限設(shè)置批處理
echo.
echo ------------------------------------------------------
echo.
echo ...........
echo.
net share c$ /delete
net share d$ /delete
net share e$ /delete
net share f$ /delete
net share admin$ /delete
net share ipc$ /delete
net stop server
net stop lanmanworkstation
regsvr32/u C:\WINDOWS\System32\wshom.ocx
regsvr32/u C:\WINDOWS\system32\shell32.dll
cacls c:\WINDOWS\system32\shell32.dll /g administrators:f system:f
cacls c:\WINDOWS\system32\shell.dll /g administrators:f system:f
cacls c:\ /g administrators:f system:f
cacls d:\ /g administrators:f system:f
echo.
echo ..........
echo.
echo ------------------------------------------------------
echo.
echo .................
echo.
echo .. delshare.reg .......
echo Windows Registry Editor Version 5.00> c:\delshare.reg
echo [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters]>> c:\delshare.reg
echo "AutoShareWks"=dword:00000000>> c:\delshare.reg
echo "AutoShareServer"=dword:00000000>> c:\delshare.reg
echo .. delshare.reg .....
regedit /s c:\delshare.reg
echo .. delshare.reg ....
del c:\delshare.reg
echo .
echo ........
echo .
echo =========================================================
echo .
echo .....................dos....
echo .
echo .........
echo Windows Registry Editor Version 5.00> c:\dosforwin.reg
echo [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters]>> c:\dosforwin.reg
echo "EnableICMPRedirect"=dword:00000000>> c:\dosforwin.reg
echo "DeadGWDetectDefault"=dword:00000001>> c:\dosforwin.reg
echo "DontAddDefaultGatewayDefault"=dword:00000000>> c:\dosforwin.reg
echo "EnableSecurityFilters"=dword:00000000">> c:\dosforwin.reg
echo "AllowUnqualifiedQuery"=dword:00000000>> c:\dosforwin.reg
echo "PrioritizeRecordData"=dword:00000001>> c:\dosforwin.reg
echo "ReservedPorts"=hex(7):31,00,34,00,33,00,33,00,2d,00,31,00,34,00,33,00,34,00,\>> c:\dosforwin.reg
echo 00,00,00,00>> c:\dosforwin.reg
echo "SynAttackProtect"=dword:00000002>> c:\dosforwin.reg
echo "EnablePMTUDiscovery"=dword:00000000>> c:\dosforwin.reg
echo "NoNameReleaseOnDemand"=dword:00000001>> c:\dosforwin.reg
echo "EnableDeadGWDetect"=dword:00000000>> c:\dosforwin.reg
echo "KeepAliveTime"=dword:00300000>> c:\dosforwin.reg
echo "PerformRouterDiscovery"=dword:00000000>> c:\dosforwin.reg
echo "EnableICMPRedirects"=dword:00000000>> c:\dosforwin.reg
echo .
echo ==========================================================
echo .. dosforwin.reg .....
regedit /s c:\dosforwin.reg
echo .. dosforwin.reg ....
del c:\dosforwin.reg
echo ==============================================================
echo .
echo ..........(......................).
echo .
echo ..telnet,......telnet.
echo ..........
echo Windows Registry Editor Version 5.00> c:\telnet.reg
echo [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\TlntSvr]>> c:\telnet.reg
echo "Start"=dword:00000004>> c:\telnet.reg
echo .
echo .. telnet.reg .....
regedit /s c:\telnet.reg
echo .
echo .. telnet.reg ....
del c:\telnet.reg
echo .
echo
echo ..Remote Registry Service...........
echo .........
echo .
echo Windows Registry Editor Version 5.00> c:\regedit.reg
echo [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RemoteRegistry]>> c:\regedit.reg
echo "Start"=dword:00000004>> c:\regedit.reg
echo .
echo .. regedit.reg .....
regedit /s c:\regedit.reg
echo .
echo ......
del c:\regedit.reg
echo ===============================================================
echo ..Messenger.......
echo .........
echo Windows Registry Editor Version 5.00> c:\message.reg
echo [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Messenger]>> c:\message.reg
echo "Start"=dword:00000004>> c:\message.reg
echo .
echo .. message.reg .....
regedit /s c:\message.reg
echo .
echo .. message.reg
del c:\message.reg
echo ===============================================================
echo ..lanmanworkstation.......
echo .........
echo Windows Registry Editor Version 5.00> c:\lanmanworkstation.reg
echo [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanworkstation]>> c:\lanmanworkstation.reg
echo "Start"=dword:00000004>> c:\lanmanworkstation.reg
echo .
echo .. lanmanworkstation.reg .....
regedit /s c:\lanmanworkstation.reg
echo .
echo .. lanmanworkstation.reg
del c:\lanmanworkstation.reg
echo ===============================================================
echo ..lanmanserver.......
echo .........
echo Windows Registry Editor Version 5.00> c:\lanmanserver.reg
echo [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver]>> c:\lanmanserver.reg
echo "Start"=dword:00000004>> c:\lanmanserver.reg
echo .
echo .. lanmanserver.reg .....
regedit /s c:\lanmanserver.reg
echo .
echo .. lanmanserver.reg
del c:\lanmanserver.reg
echo ===============================================================
echo ..lanmanserver.......
echo .........
echo Windows Registry Editor Version 5.00> c:\lanmanserver.reg
echo [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver]>> c:\lanmanserver.reg
echo "Start"=dword:00000004>> c:\lanmanserver.reg
echo .
echo .. lanmanserver.reg .....
regedit /s c:\lanmanserver.reg
echo .
echo .. lanmanserver.reg
del c:\lanmanserver.reg
echo ===============================================================
echo ..Alerter.......
echo .........
echo Windows Registry Editor Version 5.00> c:\Alerter.reg
echo [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Alerter]>> c:\Alerter.reg
echo "Start"=dword:00000004>> c:\Alerter.reg
echo .
echo .. Alerter.reg .....
regedit /s c:\Alerter.reg
echo .
echo .. Alerter.reg
del c:\Alerter.reg
echo ===============================================================
echo ..Browser.......
echo .........
echo Windows Registry Editor Version 5.00> c:\Browser.reg
echo [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Browser]>> c:\Browser.reg
echo "Start"=dword:00000004>> c:\Browser.reg
echo .
echo .. Browser.reg .....
regedit /s c:\Browser.reg
echo .
echo .. Browser.reg
del c:\Browser.reg
echo ===============================================================
echo ..Dfs.......
echo .........
echo Windows Registry Editor Version 5.00> c:\Dfs.reg
echo [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Dfs]>> c:\Dfs.reg
echo "Start"=dword:00000004>> c:\Dfs.reg
echo .
echo .. Dfs.reg .....
regedit /s c:\Dfs.reg
echo .
echo .. Dfs.reg
del c:\Dfs.reg
echo ===============================================================
echo ..Spooler.......
echo .........
echo Windows Registry Editor Version 5.00> c:\Spooler.reg
echo [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Spooler]>> c:\Spooler.reg
echo "Start"=dword:00000004>> c:\Spooler.reg
echo .
echo .. Spooler.reg .....
regedit /s c:\Spooler.reg
echo .
echo .. Spooler.reg
del c:\Spooler.reg
echo ==============================================================
echo ...TCP/IP NetBIOS Helper Service
echo .........
echo Windows Registry Editor Version 5.00> c:\netbios.reg
echo [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LmHosts]>> c:\netbios.reg
echo "Start"=dword:00000004>> c:\netbios.reg
echo .
echo .. netbios.reg .....
regedit /s c:\netbios.reg
echo .
echo .. netbios.reg
del c:\netbios.reg
echo ===============================================================
echo ===============================================================
goto :END
本文出自:億恩科技【1tcdy.com】
服務(wù)器租用/服務(wù)器托管中國五強����!虛擬主機域名注冊頂級提供商!15年品質(zhì)保障��!--億恩科技[ENKJ.COM]
|
香港服務(wù)器租用
美國服務(wù)器租用
電信骨干機房
聯(lián)通骨干機房
0371-60135900
