10.去掉默認(rèn)共享,將以下文件存為reg后綴,然后執(zhí)行導(dǎo)入即可.
Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters]

"AutoShareServer"=dword:00000000

"AutoSharewks"=dword:00000000

11. 禁用不需要的和危險(xiǎn)的服務(wù),以下列出服務(wù)都需要禁用.
Alerter  發(fā)送管理警報(bào)和通知

Computer Browser:維護(hù)網(wǎng)絡(luò)計(jì)算機(jī)更新

Distributed File System: 局域網(wǎng)管理共享文件

Distributed linktracking client   用于局域網(wǎng)更新連接信息

Error reporting service   發(fā)送錯(cuò)誤報(bào)告

Remote Procedure Call (RPC) Locator   RpcNs*遠(yuǎn)程過(guò)程調(diào)用 (RPC)

Remote Registry  遠(yuǎn)程修改注冊(cè)表

Removable storage  管理可移動(dòng)媒體、驅(qū)動(dòng)程序和庫(kù)

Remote Desktop Help Session Manager  遠(yuǎn)程協(xié)助

Routing and Remote Access 在局域網(wǎng)以及廣域網(wǎng)環(huán)境中為企業(yè)提供路由服務(wù)

Messenger  消息文件傳輸服務(wù)
Net Logon   域控制器通道管理

NTLMSecuritysupportprovide  telnet服務(wù)和Microsoft Serch用的

PrintSpooler  打印服務(wù)

telnet   telnet服務(wù)

Workstation   泄漏系統(tǒng)用戶(hù)名列表

12.更改本地安全策略的審核策略

賬戶(hù)管理      成功 失敗

登錄事件      成功 失敗

對(duì)象訪問(wèn)      失敗

策略更改      成功 失敗

特權(quán)使用      失敗

系統(tǒng)事件      成功 失敗

目錄服務(wù)訪問(wèn)  失敗

賬戶(hù)登錄事件  成功 失敗

13.更改有可能會(huì)被提權(quán)利用的文件運(yùn)行權(quán)限,找到以下文件,將其安全設(shè)置里除administrators用戶(hù)組全部刪除,重要的是連system也不要留.
net.exe

net1.exe

cmd.exe

tftp.exe

netstat.exe

regedit.exe

at.exe

attrib.exe

cacls.exe

format.com

c.exe 特殊文件 有可能在你的計(jì)算機(jī)上找不到此文件.

在搜索框里輸入 
"net.exe","net1.exe","cmd.exe","tftp.exe","netstat.exe","regedit.exe","at.exe","attrib.exe","cacls.exe","format.com","c.exe" 點(diǎn)擊搜索 然后全選 右鍵 屬性 安全

 
以上這點(diǎn)是最最重要的一點(diǎn)了,也是最最方便減少被提權(quán)和被破壞的可能的防御方法了.

14.后備工作,將當(dāng)前服務(wù)器的進(jìn)程抓圖或記錄下來(lái)，將其保存，方便以后對(duì)照查看是否有不明的程序。將當(dāng)前開(kāi)放的端口抓圖或記錄下來(lái)，保存，方便以后對(duì)照查看是否開(kāi)放了不明的端口。當(dāng)然如果你能分辨每一個(gè)進(jìn)程，和端口這一步可以省略。 

最新評(píng)論