马上注册成为ROSABC会员,随时发帖回复。
您需要 登录 才可以下载或查看,没有账号?会员注册
x
自己电脑用的是Windows Server 2003操作系统,没事无聊在网上查找了许多效力器安全的教程,感触关于初学者看仍是较乱的。爽性自己拾掇了一下Windows 2003效力器安全战略。有些资料来源于互联网,但都是通过检验的。
欢迎我们检验,希望对我们有帮忙!也希望与志同道合兄弟一起交流效力器安全问题。
战略一:关闭windows2003不必要的效力 ·Computer Browser 维护网络上计算机的最新列表以及供应这个列表 ·Task scheduler 容许程序在指定时辰工作 ·Routing and Remote Access 在局域网以及广域网环境中为公司供应路由效力 ·Removable storage 处理可移动媒体、驱动程序和库 ·Remote Registry Service 容许远程注册表操作 ·Print Spooler 将文件加载到内存中以便往后打印。 ·IPSEC Policy Agent 处理IP安全战略及发起ISAKMP/OakleyIKE)和IP安全驱动程序 ·Distributed Link Tracking Client 当文件在网络域的NTFS卷中移动时发送通知 ·Com+ Event System 供应工作的自动发布到订阅COM组件 ·Alerter 通知选定的用户和计算机处理警报 ·Error Reporting Service 收集、存储和向 Microsoft 陈说失常应用程序 ·Messenger 传输客户端和效力器之间的 NET SEND 和 警报器效力消息 ·Telnet 容许远程用户登录到此计算机并工作程序
战略二:磁盘权限设置 C盘只给administrators和system权限,其他的权限不给,其他的盘也可以这样设置,这里给的system权限也不一定需要给,只是由于某些第三方应用程序是以效力办法发起的,需要加上这个用户,否则构成发起不了。 Windows目录要加上给users的默许权限,否则ASP和ASPX等应用程序就无法工作。
战略三:阻止 Windows 系统进行空联接 在注册表中找到相应的键值HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Control/LSA,将DWORD值RestrictAnonymous的键值改为1
战略四:关闭不需要的端口 本地联接–特色–Internet协议(TCP/IP)–高级–选项–TCP/IP选择–特色–把勾打上,然后添加你需要的端口即可。(如:3389、21、1433、3306、80) 更改远程联接端口办法 初步–>工作–>输入regedit 查找3389: 请按以下进程查找: 1、HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlTerminal ServerWdsrdpwdTdstcp下的PortNumber=3389改为自宝义的端口号 2、HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlTerminal ServerWinStationsRDP-Tcp下的PortNumber=3389改为自宝义的端口号 批改3389为你想要的数字(在十进制下)—-再点16进制(系统会自动改换)—-结尾判定!这样就ok了。 这样3389端口现已批改了,但还要从头发起主机,这样3389端辩才算批改成功!若是不从头发起3389还 是批改不了的!重起后下次就可以用新端口进入了! 禁用TCP/IP上的NETBIOS 本地联接–特色–Internet协议(TCP/IP)–高级—WINS–禁用TCP/IP上的NETBIOS
战略五:关闭默许同享的空联接 首要编写如下内容的批处理文件: @echo off net share C$ /delete net share D$ /delete net share E$ /delete net share F$ /delete net share admin$ /delete 以上文件的内容用户可以根据自己需要进行批改。保存为delshare.bat,存放到系统地址文件夹下的system32GroupPolicyUserScriptsLogon目录下。然后在初步菜单→工作中输入gpedit.msc, 回车即可翻开组战略批改器。点击用户配备→Windows设置→脚本(登录/注销)→登录. 在出现的“登录 特色”窗口中单击“添加”,会出现“添加脚本”对话框,在该窗口的“脚本名”栏中输入delshare.bat,然后单击“判定”按钮即可。 从头发起计算机系统,就可以自动将系统一切的躲藏同享文件夹全部取消了,这样就能将系统安全隐患降低到最低极限。
战略五:IIS安全设置 1、不运用默许的Web站点,若是运用也要将IIS目录与系统磁盘分隔。 2、删去IIS默许创建的Inetpub目录(在设备系统的盘上)。 3、删去系统盘下的虚拟目录,如:_vti_bin、IISSamples、Scripts、IIShelp、IISAdmin、IIShelp、MSADC。 4、删去不必要的IIS扩展名映射。 右键单击“默许Web站点→特色→主目录→配备”,翻开应用程序窗口,去掉不必要的应用程序映射。主要为.shtml、shtm、stm。 5、更改IIS日志的办法 右键单击“默许Web站点→特色-网站-在启用日志记录下点击特色
战略六:注册表相关安全设置 1、躲藏重要文件/目录 HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrent-VersionExplorerAdvancedFolderHiddenSHOWALL” 鼠标右击 “CheckedValue”,选择批改,把数值由1改为0。 2、防止SYN洪水侵犯 HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesTcpipParameters 新建DWORD值,名为SynAttackProtect,值为2 3、阻止照应ICMP路由公告报文 HKEY_LOCAL_MACHINESYSTEM CurrentControlSet ServicesTcpipParametersInterfacesinterface 新建DWORD值,名为PerformRouterDiscovery 值为0。 4、防止ICMP重定向报文的侵犯 HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesTcpipParameters 将EnableICMPRedirects 值设为0 5、不支持IGMP协议 HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesTcpipParameters 新建DWORD值,名为IGMPLevel 值为0。
战略七:组件安全设置篇 A、 卸载WScript.Shell 和 Shell.application 组件,将下面的代码保存为一个.BAT文件实行(分2000和2003系统) windows2000.bat regsvr32/u C:WINNTSystem32wshom.ocx del C:WINNTSystem32wshom.ocx regsvr32/u C:WINNTsystem32shell32.dll del C:WINNTsystem32shell32.dll windows2003.bat regsvr32/u C:WINDOWSSystem32wshom.ocx del C:WINDOWSSystem32wshom.ocx regsvr32/u C:WINDOWSsystem32shell32.dll del C:WINDOWSsystem32shell32.dll B、改名不安全组件,需要注意的是组件的称谓和Clsid都要改,并且要改彻底了,不要照抄,要自己改 【初步→工作→regedit→回车】翻开注册表批改器 然后【批改→查找→填写Shell.application→查找下一个】 用这个办法能找到两个注册表项: {13709620-C279-11CE-A49E-444553540000} 和 Shell.application 。 第一步:为了确保满有掌握,把这两个注册表项导出来,保存为xxxx.reg 文件。 第二步:比方我们想做这样的更改 13709620-C279-11CE-A49E-444553540000 改名为 13709620-C279-11CE-A49E-444553540001 Shell.application 改名为 Shell.application_nohack 第三步:那么,就把刚才导出的.reg文件里的内容按上面的对应联络替换掉,然后把批改好 的.reg文件导入到注册表中(双击即可),导入了改名后的注册表项之后,别忘记了删去原有的那两个项目。这里需要注意一点,Clsid中只能是十个数字和ABCDEF六个字母。 其实,只要把对应注册表项导出来备份,然后直接改键名就可以了, 改好的比方 建议自己改 大约可一次成功 Windows Registry Editor Version 5.00 [HKEY_CLASSES_ROOTCLSID{13709620-C279-11CE-A49E-444553540001}] @=”Shell Automation Service” [HKEY_CLASSES_ROOTCLSID{13709620-C279-11CE-A49E-444553540001}InProcServer32] @=”C:WINNTsystem32shell32.dll” ”ThreadingModel”=”Apartment” [HKEY_CLASSES_ROOTCLSID{13709620-C279-11CE-A49E-444553540001}ProgID] @=”Shell.Application_nohack.1″ [HKEY_CLASSES_ROOTCLSID{13709620-C279-11CE-A49E-444553540001}TypeLib] @=”{50a7e9b0-70ef-11d1-b75a-00a0c90564fe}” [HKEY_CLASSES_ROOTCLSID{13709620-C279-11CE-A49E-444553540001}Version] @=”1.1″ [HKEY_CLASSES_ROOTCLSID{13709620-C279-11CE-A49E-444553540001}VersionIndependentProgID] @=”Shell.Application_nohack” [HKEY_CLASSES_ROOTShell.Application_nohack] @=”Shell Automation Service” [HKEY_CLASSES_ROOTShell.Application_nohackCLSID] @=”{13709620-C279-11CE-A49E-444553540001}” [HKEY_CLASSES_ROOTShell.Application_nohackCurVer] @=”Shell.Application_nohack.1″ 议论: WScript.Shell 和 Shell.application 组件是 脚本侵犯进程中,提升权限的重要环节,这两个组件的卸载和批改对应注册键名,可以很大程度的前进虚拟主机的脚本安全功用,一般来说,ASP和php类脚本提升权限的功用是无法完成了,再加上一些系统效力、硬盘访问权限、端口过滤、本地安全战略的设置,虚拟主机因该说,安全功用有非常大的前进,黑客侵犯的可能性是非常低了。注销了Shell组件之后,侵入者工作提升东西的可能性就很小了,可是prel等另外脚本语言也有shell才干,为防若是,仍是设置一下为好。下面是另外一种设置,截然不同。 C、阻止运用FileSystemObject组件 FileSystemObject可以对文件进行常规操作,可以通过批改注册表,将此组件改名,来防止此类木马的危害。 HKEY_CLASSES_ROOTScripting.FileSystemObject 改名为其它的名字,如:改为 FileSystemObject_ChangeName 自己往后调用的时分运用这个就可以正常调用此组件了 也要将clsid值也改一下 HKEY_CLASSES_ROOTScripting.FileSystemObjectCLSID项目的值 也可以将其删去,来防止此类木马的危害。 2000注销此组件指令:RegSrv32 /u C:WINNTSYSTEMscrrun.dll 2003注销此组件指令:RegSrv32 /u C:WINDOWSSYSTEMscrrun.dll 怎样阻止Guest用户运用scrrun.dll来防止调用此组件? 运用这个指令:cacls C:WINNTsystem32scrrun.dll /e /d guests D、阻止运用WScript.Shell组件 WScript.Shell可以调用系统内核工作DOS底子指令 可以通过批改注册表,将此组件改名,来防止此类木马的危害。 HKEY_CLASSES_ROOTWScript.Shell及HKEY_CLASSES_ROOTWScript.Shell.1 改名为其它的名字,如:改为WScript.Shell_ChangeName 或 WScript.Shell.1_ChangeName 自己往后调用的时分运用这个就可以正常调用此组件了 也要将clsid值也改一下 HKEY_CLASSES_ROOTWScript.ShellCLSID项目的值 HKEY_CLASSES_ROOTWScript.Shell.1CLSID项目的值 也可以将其删去,来防止此类木马的危害。 E、阻止运用Shell.Application组件 Shell.Application可以调用系统内核工作DOS底子指令 可以通过批改注册表,将此组件改名,来防止此类木马的危害。 HKEY_CLASSES_ROOTShell.Application及 HKEY_CLASSES_ROOTShell.Application.1 改名为其它的名字,如:改为Shell.Application_ChangeName 或 Shell.Application.1_ChangeName 自己往后调用的时分运用这个就可以正常调用此组件了 也要将clsid值也改一下 HKEY_CLASSES_ROOTShell.ApplicationCLSID项目的值 HKEY_CLASSES_ROOTShell.ApplicationCLSID项目的值 也可以将其删去,来防止此类木马的危害。 阻止Guest用户运用shell32.dll来防止调用此组件。 2000运用指令:cacls C:WINNTsystem32shell32.dll /e /d guests 2003运用指令:cacls C:WINDOWSsystem32shell32.dll /e /d guests 注:操作均需要从头发起WEB效力后才会收效。 F、调用Cmd.exe 禁用Guests组用户调用cmd.exe 2000运用指令:cacls C:WINNTsystem32Cmd.exe /e /d guests 2003运用指令:cacls C:WINDOWSsystem32Cmd.exe /e /d guests 通过以上四步的设置底子可以防范当时比较盛行的几种木马,但最有用的办法仍是通过概括安全设置,将效力器、程序安全都抵达一定标准,才可能将安全等级设置较高,防范更多不合法侵犯
| 
楼主
发表于 2013-8-29 23:18:59
