日本综合一区二区|亚洲中文天堂综合|日韩欧美自拍一区|男女精品天堂一区|欧美自拍第6页亚洲成人精品一区|亚洲黄色天堂一区二区成人|超碰91偷拍第一页|日韩av夜夜嗨中文字幕|久久蜜综合视频官网|精美人妻一区二区三区

這個不同于之前做的兩個演示，此演示基本上保留系統(tǒng)默認(rèn)的那些權(quán)限組不變，保留原味,以免取消不當(dāng)造成莫名其妙的錯誤.

　　看過這個演示，之前的"超詳細(xì)web服務(wù)器權(quán)限設(shè)置,精確到每個文件夾"和"超詳細(xì)web服務(wù)器權(quán)限設(shè)置,事件查看器完全無報錯"就不用再看了.這個比原來做的有所改進.操作系統(tǒng)用的是雨林木風(fēng)的ghost鏡像,補丁是打上截止11.2號最新的

　　Power Users組是否取消無所謂

　　具體操作看演示

　　windows下根目錄的權(quán)限設(shè)置：

　　C:\WINDOWS\Application Compatibility Scripts 不用做任何修改，包括其下所有子目錄

　　C:\WINDOWS\AppPatch AcWebSvc.dll已經(jīng)有users組權(quán)限,其它文件加上users組權(quán)限

　　C:\WINDOWS\Connection Wizard 取消users組權(quán)限

　　C:\WINDOWS\Debug users組的默認(rèn)不改

　　C:\WINDOWS\Debug\UserMode默認(rèn)不修改有寫入文件的權(quán)限,取消users組權(quán)限,給特別的權(quán)限，看演示

　　C:\WINDOWS\Debug\WPD不取消Authenticated Users組權(quán)限可以寫入文件，創(chuàng)建目錄.

　　C:\WINDOWS\Driver Cache取消users組權(quán)限,給i386文件夾下所有文件加上users組權(quán)限

　　C:\WINDOWS\Help取消users組權(quán)限

　　C:\WINDOWS\Help\iisHelp\common取消users組權(quán)限

　　C:\WINDOWS\IIS Temporary Compressed Files默認(rèn)不修改

　　C:\WINDOWS\ime不用做任何修改，包括其下所有子目錄

　　C:\WINDOWS\inf不用做任何修改，包括其下所有子目錄

　　C:\WINDOWS\Installer 刪除everyone組權(quán)限，給目錄下的文件加上everyone組讀取和運行的權(quán)限

　　C:\WINDOWS\java 取消users組權(quán)限,給子目錄下的所有文件加上users組權(quán)限

　　C:\WINDOWS\MAGICSET 默認(rèn)不變

　　C:\WINDOWS\Media 默認(rèn)不變

　　C:\WINDOWS\Microsoft.NET不用做任何修改，包括其下所有子目錄

　　C:\WINDOWS\msagent 取消users組權(quán)限，給子目錄下的所有文件加上users組權(quán)限

　　C:\WINDOWS\msapps 不用做任何修改，包括其下所有子目錄

　　C:\WINDOWS\mui取消users組權(quán)限

　　C:\WINDOWS\PCHEALTH 默認(rèn)不改

　　C:\WINDOWS\PCHEALTH\ERRORREP\QHEADLES 取消everyone組的權(quán)限

　　C:\WINDOWS\PCHEALTH\ERRORREP\QSIGNOFF 取消everyone組的權(quán)限

　　C:\WINDOWS\PCHealth\UploadLB 刪除everyone組的權(quán)限，其它下級目錄不用管，沒有user組和everyone組權(quán)限

　　C:\WINDOWS\PCHealth\HelpCtr 刪除everyone組的權(quán)限，其它下級目錄不用管，沒有user組和everyone組權(quán)限(這個不用按照演示中的搜索那些文件了，不須添加users組權(quán)限就行)

　　C:\WINDOWS\PIF 默認(rèn)不改

　　C:\WINDOWS\PolicyBackup默認(rèn)不改,給子目錄下的所有文件加上users組權(quán)限

　　C:\WINDOWS\Prefetch 默認(rèn)不改

　　C:\WINDOWS\provisioning 默認(rèn)不改,給子目錄下的所有文件加上users組權(quán)限

　　C:\WINDOWS\pss默認(rèn)不改,給子目錄下的所有文件加上users組權(quán)限

　　C:\WINDOWS\RegisteredPackages默認(rèn)不改,給子目錄下的所有文件加上users組權(quán)限

　　C:\WINDOWS\Registration\CRMLog默認(rèn)不改會有寫入的權(quán)限，取消users組的權(quán)限

　　C:\WINDOWS\Registration取消everyone組權(quán)限.加NETWORK SERVICE 給子目錄下的文件加everyone可讀取的權(quán)限,

　　C:\WINDOWS\repair取消users組權(quán)限

　　C:\WINDOWS\Resources取消users組權(quán)限

　　C:\WINDOWS\security users組的默認(rèn)不改，其下Database和logs目錄默認(rèn)不改.取消templates目錄users組權(quán)限,給文件加上users組

　　C:\WINDOWS\ServicePackFiles 不用做任何修改，包括其下所有子目錄

　　C:\WINDOWS\SoftwareDistribution不用做任何修改，包括其下所有子目錄

　　C:\WINDOWS\srchasst 不用做任何修改，包括其下所有子目錄

　　C:\WINDOWS\system 保持默認(rèn)

　　C:\WINDOWS\TAPI取消users組權(quán)限，其下那個tsec.ini權(quán)限不要改

　　C:\WINDOWS\twain_32取消users組權(quán)限，給目錄下的文件加users組權(quán)限

　　C:\WINDOWS\vnDrvBas 不用做任何修改，包括其下所有子目錄

　　C:\WINDOWS\Web取消users組權(quán)限給其下的所有文件加上users組權(quán)限

　　C:\WINDOWS\WinSxS 取消users組權(quán)限，搜索*.tlb，*.policy，*.cat，*.manifest,*.dll，給這些文件加上everyone組和users權(quán)限

　　給目錄加NETWORK SERVICE完全控制的權(quán)限

　　C:\WINDOWS\system32\wbem 這個目錄有重要作用。如果不給users組權(quán)限，打開一些應(yīng)用軟件時會非常慢。并且事件查看器中有時會報出一堆錯誤。導(dǎo)致一些程序不能正常運行。但為了不讓webshell有瀏覽系統(tǒng)所屬目錄的權(quán)限，給wbem目錄下所有的*.dll文件users組和everyone組權(quán)限。

　　*.dll

　　users;everyone

　　我先暫停。你操作時挨個檢查就行了

　　C:\WINDOWS\#$$#%^$^@!#$%$^S#@\#$#$%$#@@@$%!!WERa (我用的temp文件夾路徑)temp由于必須給寫入的權(quán)限，所以修改了默認(rèn)路徑和名稱。防止webshell往此目錄中寫入。修改路徑后要重啟生效。

　　至此，系統(tǒng)盤任何一個目錄是不可瀏覽的，唯一一個可寫入的C:\WINDOWS\temp，又修改了默認(rèn)路徑和名稱變成C:\WINDOWS\#$$#%^$^@!#$%$^S#@\#$#$%$#@@@$%!!WERa

　　這樣配置應(yīng)該相對安全了些。

　　我先去安裝一下幾款流行的網(wǎng)站程序，先暫停.幾款常用的網(wǎng)站程序在這樣的權(quán)限設(shè)置下完全正常。還沒有裝上sql2000數(shù)據(jù)庫，無法測試動易2006SQL版了?？隙ㄕ?。大家可以試試。

　　服務(wù)設(shè)置：

　　1.設(shè)置win2k的屏幕保護,用pcanywhere的時候,有時候下線時忘記鎖定計算機了，如果別人破解了你的pcanywhere密碼，就直接可以進入你計算機，如果設(shè)置了屏保，當(dāng)你幾分鐘不用后就自動鎖定計算機，這樣就防止了用pcanyhwerer直接進入你計算機的可能，也是防止內(nèi)部人員破壞服務(wù)器的一個屏障

　　2.關(guān)閉光盤和磁盤的自動播放功能，在組策略里面設(shè).這樣可以防止入侵者編輯惡意的autorun.inf讓你以管理員的身份運行他的木馬，來達(dá)到提升權(quán)限的目的?？梢杂胣et share 查看默認(rèn)共享。由于沒開server服務(wù),等于已經(jīng)關(guān)閉默認(rèn)共享了,最好還是禁用server服務(wù)。www.cnzz.cc

　　附刪除默認(rèn)共享的命令：

　　net share c$ /del

　　net share d$ /del

　　net share e$ /del

　　net share f$ /del

　　net share ipc$ /del

　　net share admin$ /del

　　3.關(guān)閉不需要的端口和服務(wù)，在網(wǎng)絡(luò)連接里，把不需要的協(xié)議和服務(wù)都刪掉，這里只安裝了基本的Internet協(xié)議(TCP/IP)，由于要控制帶寬流量服務(wù)，額外安裝了Qos數(shù)據(jù)包計劃程序。在高級tcp/ip設(shè)置里--"NetBIOS"設(shè)置"禁用tcp/IP上的NetBIOS 。

　　修改3389遠(yuǎn)程連接端口(也可以用工具修改更方便)

　　修改注冊表.

　　開始--運行--regedit

　　依次展開 HKEY_LOCAL_MACHINE/SYSTEM/CURRENTCONTROLSET/CONTROL/

　　TERMINAL SERVER/WDS/RDPWD/TDS/TCP

　　右邊鍵值中 PortNumber 改為你想用的端口號.注意使用十進制(例 1989 )

　　HKEY_LOCAL_MACHINE/SYSTEM/CURRENTCONTROLSET/CONTROL/TERMINAL SERVER/

　　WINSTATIONS/RDP-TCP/

　　右邊鍵值中 PortNumber 改為你想用的端口號.注意使用十進制(例 1989 )

　　注意：別忘了在WINDOWS2003自帶的防火墻給+上10000端口

　　修改完畢.重新啟動服務(wù)器.設(shè)置生效.

　　這里就不改了,你可以自己決定是否修改.權(quán)限設(shè)置的好后,個人感覺改不改無所謂

　　4.禁用Guest賬號

　　在計算機管理的用戶里面把Guest賬號禁用。為了保險起見，最好給Guest加一個復(fù)雜的密碼。你可以打開記事本，在里面輸入一串包含特殊字符、數(shù)字、字母的長字符串，然后把它作為Guest用戶的密碼拷進去.我這里隨便復(fù)制了一段文本內(nèi)容進去.

　　如果設(shè)置密碼時提示：工作站服務(wù)沒有啟動 先去本地安全策略里把密碼策略里啟動密碼復(fù)雜性給禁用后就可以修改了

　　5.創(chuàng)建一個陷阱用戶

　　即創(chuàng)建一個名為“Administrator”的本地用戶，把它的權(quán)限設(shè)置成最低，什么事也干不了的那種，并且加上一個超過10位的超級復(fù)雜密碼。這樣可以讓那些 Hacker們忙上一段時間，借此發(fā)現(xiàn)它們的入侵企圖。

　　6.本地安全策略設(shè)置

　　開始菜單—>管理工具—>本地安全策略

　　A、本地策略——>審核策略

　　審核策略更改　　　成功　失敗

　　審核登錄事件　　　成功　失敗

　　審核對象訪問　　　　　　失敗

　　審核過程跟蹤　　　無審核

　　審核目錄服務(wù)訪問　　　　失敗

　　審核特權(quán)使用　　　　　　失敗

　　審核系統(tǒng)事件　　　成功　失敗

　　審核賬戶登錄事件　成功　失敗

　　審核賬戶管理　　　成功　失敗

　　B、本地策略——>用戶權(quán)限分配

　　關(guān)閉系統(tǒng)：只有Administrators組、其它全部刪除。

　　通過終端服務(wù)允許登陸：只加入Administrators,Remote Desktop Users組，其他全部刪除

　　運行 gpedit.msc 計算機配置 > 管理模板 > 系統(tǒng) 顯示“關(guān)閉事件跟蹤程序” 更改為已禁用

　　用戶管理，建立另一個備用管理員賬號，防止特殊情況發(fā)生。安裝有終端服務(wù)與SQL服務(wù)的服務(wù)器停用TsInternetUser, SQLDebugger這兩 個賬號

　　C、本地策略——>安全選項

　　交互式登陸：不顯示上次的用戶名　　　　　　　啟用

　　網(wǎng)絡(luò)訪問：不允許SAM帳戶和共享的匿名枚舉　 啟用

　　網(wǎng)絡(luò)訪問：不允許為網(wǎng)絡(luò)身份驗證儲存憑證　　　啟用

　　網(wǎng)絡(luò)訪問：可匿名訪問的共享　　　　　　　　　全部刪除

　　網(wǎng)絡(luò)訪問：可匿名訪問的命　　　　　　　　　　全部刪除

　　網(wǎng)絡(luò)訪問：可遠(yuǎn)程訪問的注冊表路徑　　　　　　全部刪除

　　網(wǎng)絡(luò)訪問：可遠(yuǎn)程訪問的注冊表路徑和子路徑　　全部刪除

　　帳戶：重命名來賓帳戶　　　　　　　　　　　　重命名一個帳戶

　　帳戶：重命名系統(tǒng)管理員帳戶　　　　　　　　　重命名一個帳戶

　　7.禁止dump file的產(chǎn)生

　　dump文件在系統(tǒng)崩潰和藍(lán)屏的時候是一份很有用的查找問題的資料。然而，它也能夠給黑客提供一些敏感

　　信息比如一些應(yīng)用程序的密碼等?？刂泼姘?系統(tǒng)屬性>高級>啟動和故障恢復(fù)把 寫入調(diào)試信息 改成無。

　　關(guān)閉華醫(yī)生Dr.Watson

　　在開始-運行中輸入“drwtsn32”，或者開始-程序-附件-系統(tǒng)工具-系統(tǒng)信息-工具-Dr Watson，調(diào)出系統(tǒng)

　　里的華醫(yī)生Dr.Watson ，只保留“轉(zhuǎn)儲全部線程上下文”選項，否則一旦程序出錯，硬盤會讀很久，并占

　　用大量空間。如果以前有此情況，請查找user.dmp文件，刪除后可節(jié)省幾十MB空間。.

　　在命令行運行drwtsn32 -i 可以直接關(guān)閉華醫(yī)生,普通用戶沒什么用處

　　8.禁用不必要的服務(wù) 開始-運行-services.msc

　　TCP/IPNetBIOS Helper提供 TCP/IP 服務(wù)上的 NetBIOS 和網(wǎng)絡(luò)上客戶端的 NetBIOS 名稱解析的支持而使用戶能夠共享

　　文件、打印和登錄到網(wǎng)絡(luò)

　　Server支持此計算機通過網(wǎng)絡(luò)的文件、打印、和命名管道共享

　　Computer Browser 維護網(wǎng)絡(luò)上計算機的最新列表以及提供這個列表

　　Task scheduler 允許程序在指定時間運行

　　Messenger 傳輸客戶端和服務(wù)器之間的 NET SEND 和 警報器服務(wù)消息

　　Distributed File System: 局域網(wǎng)管理共享文件，不需要可禁用

　　Distributed linktracking client：用于局域網(wǎng)更新連接信息，不需要可禁用

　　Error reporting service：禁止發(fā)送錯誤報告

　　Microsoft Serch：提供快速的單詞搜索，建議禁用****不禁用移動*.msc文件后啟動系統(tǒng)時會報錯。禁用后沒影響

　　NTLMSecuritysupportprovide：telnet服務(wù)和Microsoft Serch用的，不需要可禁用

　　PrintSpooler：如果沒有打印機可禁用

　　Remote Registry：禁止遠(yuǎn)程修改注冊表

　　Remote Desktop Help Session Manager：禁止遠(yuǎn)程協(xié)助

　　Workstation 關(guān)閉的話遠(yuǎn)程NET命令列不出用戶組

　　以上是在Windows Server 2003 系統(tǒng)上面默認(rèn)啟動的服務(wù)中禁用的，默認(rèn)禁用的服務(wù)如沒特別需要的話不要啟動。

　　看下我開了些什么服務(wù),大家可以參考設(shè)置一下.如果把不該禁用的服務(wù)禁了，事件查看器可能會出現(xiàn)一些報錯.

　　9.設(shè)置IP篩選，只開放你所要用到的端口，這樣可以防止別人的木馬程序連接，因為任何一個網(wǎng)絡(luò)程序要和你服務(wù)器通信，都要通過端口。查看本機所開的端口是用netstat -na 命令,這兒我們開放了80 1989 21 1433(sqlserver),5631(pcanywhere)和ip6端口,這樣設(shè)置后，一般的后門程序就無法連接到本機了，注意要重新啟動了才有效果

　　附常用服務(wù)的各個端口：

　　IIS 80

　　FTP 21 啟用后需要FTP客戶端關(guān)閉PSAV才能連接

　　SMTP 25

　　POP3 110

　　MS SQL 1433

　　Mysql 3306

　　PcAnywhere 5631

　　Windows遠(yuǎn)程客戶端 3389

　　10.修改相關(guān)注冊表，個人感覺這樣的效果不大。沒去修改，僅供參考：

　　A、防止SYN洪水攻擊

　　HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters

　　新建DWORD值，名為SynAttackProtect，值為2

　　新建EnablePMTUDiscovery REG_DWORD 0

　　新建NoNameReleaseOnDemand REG_DWORD 1

　　新建EnableDeadGWDetect REG_DWORD 0

　　新建KeepAliveTime REG_DWORD 300,000

　　新建PerformRouterDiscovery REG_DWORD 0

　　新建EnableICMPRedirects REG_DWORD 03. 禁止響應(yīng)ICMP路由通告報文

　　HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\interface

　　新建DWORD值，名為PerformRouterDiscovery 值為0

　　B、防止ICMP重定向報文的攻擊

　　HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters

　　將EnableICMPRedirects 值設(shè)為0

　　C、不支持IGMP協(xié)議

　　HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters

　　新建DWORD值，名為IGMPLevel 值為0

　　D、禁止IPC空連接：

　　cracker可以利用net use命令建立空連接，進而入侵，還有net view，nbtstat這些都是基于空連接的，禁止空連接就好了。

　　Local_Machine\System\CurrentControlSet\Control\LSA-RestrictAnonymous 把這個值改成”1”即可。

　　E、更改TTL值

　　cracker可以根據(jù)ping回的TTL值來大致判斷你的操作系統(tǒng)，如：

　　TTL=107(WINNT);

　　TTL=108(win2000);

　　TTL=127或128(win9x);

　　TTL=240或241(linux);

　　TTL=252(solaris);

　　TTL=240(Irix);

　　實際上你可以自己改的：HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters：DefaultTTL REG_DWORD 0-0xff(0-255 十進制,默認(rèn)值128)改成一個莫名其妙的數(shù)字如250

　　11.把系統(tǒng)Administrator賬號改名,我的已經(jīng)改成了 中央人民政府 ?？梢园延脖P的其它分區(qū)或重要目錄設(shè)置成僅這個用戶可以訪問。這樣即使入侵者把自己提升成了超級管理員組成員。也無法訪問這些地方。 將Administrators組改名為其他，這樣即使系統(tǒng)出現(xiàn)了溢出漏洞，但系統(tǒng)盤下的net.exe程序已被轉(zhuǎn)移刪除，想加入管理員組基本難以實現(xiàn)。何況Administrators組已被改名，用那個net localgroup administrators xxx /add，不知道管理員組的名字，會提示指定的本地組不存在。這樣即使net命令可用也加不上了。

　　最后給你的管理員帳戶設(shè)定一個非常復(fù)雜的密碼.

　　設(shè)置本地用戶帳號，把管理員和來賓帳號重新命名，禁止不必用的帳號，最好還要建立一個管理員備用帳號,以防萬一(提示：養(yǎng)成經(jīng)常看一看本地用戶帳號屬性的習(xí)慣，以防后門帳號)

　　12.控制面板的設(shè)置：

　　修改*.cpl(控制面板文件)的權(quán)限為只有管理員可以訪問

　　移動所有*.msc(管理控制臺文件)到你的一個固定目錄，并設(shè)置這個目錄的訪問權(quán)限(只有管理員可以防問，比如上面11中說的，把這個目錄加上只有中央人民政府這個用戶可以訪問.這樣就是別人進入你服務(wù)器也沒辦法操作,還有就是把net.exe改名或者移動.搜索net.exe;net1.exe只給管理員可以訪問的權(quán)限

　　設(shè)置arp.exe;attrib.exe;cmd.exe;format.com;ftp.exe;tftp.exe;net.exe;net1.exe;netstat.exe;ping.exe;regedit.exe;regsvr32.exe;telnet.exe;xcopy.exe;at.exe的權(quán)限只有管理員權(quán)限可以訪問(注意net1.exe與net同樣作用)搜索這些文件時注意選擇其它高級選項，勾選搜索隱藏的文件和文件夾。

　　13.卸載wscript.shell對象(強烈建議卸載.命令行執(zhí)行組件.可以通過上傳cmd.exe到網(wǎng)站目錄下或直接調(diào)用服務(wù)器上的從而運行相關(guān)命令)

　　在cmd下運行：regsvr32 WSHom.Ocx /u

　　卸載FSO對象(不建議卸載.文件操作組件.一般虛擬主機服務(wù)提供商都開放著,禁用后一些asp程序不能正常運行)

　　在cmd下運行：regsvr32.exe scrrun.dll /u

　　禁用Workstation服務(wù),如果不禁用,asp網(wǎng)馬可以查看系統(tǒng)用戶與服務(wù),知道你的所有用戶名稱

　　14.IIS站點設(shè)置：

　　1、將IIS目錄數(shù)據(jù)與系統(tǒng)磁盤分開，保存在專用磁盤空間內(nèi)。

　　2、啟用父級路徑

　　3、在IIS管理器中刪除必須之外的任何沒有用到的映射(保留asp等必要映射即可)

　　4、在IIS中將HTTP404 Object Not Found出錯頁面通過URL重定向到一個定制HTM文件

　　5、Web站點權(quán)限設(shè)定(建議)

　　讀 允許

　　寫 不允許

　　腳本源訪問 不允許

　　目錄瀏覽 建議關(guān)閉

　　日志訪問 建議關(guān)閉

　　索引資源 建議關(guān)閉

　　執(zhí)行 推薦選擇 “僅限于腳本”

　　經(jīng)過以上的設(shè)置后，服務(wù)器基本上已經(jīng)安全了。注意常更新系統(tǒng)安全補丁，關(guān)注一些最新漏洞的危害，并做相應(yīng)的預(yù)防。好了，如果按照以上Jack講的對服務(wù)器進行設(shè)置的話,您的服務(wù)器安全級別至少在80分以上，一般的ASP馬和小黑客就可以拒之門外了，如果還需要進一步深入的做安全配置請聯(lián)系站長安全網(wǎng)Jack幫你。

10多年的梅縣網(wǎng)站建設(shè)經(jīng)驗，針對設(shè)計、前端、開發(fā)、售后、文案、推廣等六對一服務(wù)，響應(yīng)快，48小時及時工作處理。成都全網(wǎng)營銷推廣的優(yōu)勢是能夠根據(jù)用戶設(shè)備顯示端的尺寸不同，自動調(diào)整梅縣建站的顯示方式，使網(wǎng)站能夠適用不同顯示終端，在瀏覽器中調(diào)整網(wǎng)站的寬度，無論在任何一種瀏覽器上瀏覽網(wǎng)站，都能展現(xiàn)優(yōu)雅布局與設(shè)計，從而大程度地提升瀏覽體驗。創(chuàng)新互聯(lián)公司從事“梅縣網(wǎng)站設(shè)計”,“梅縣網(wǎng)站推廣”以來，每個客戶項目都認(rèn)真落實執(zhí)行。

網(wǎng)頁題目：Windows2003服務(wù)器安全配置詳細(xì)篇
轉(zhuǎn)載注明：http://www.dlmjj.cn/article/dhpdsec.html