欧美bbbwbbbw肥妇,免费乱码人妻系列日韩,一级黄片

Windows 2003 服務器安全設置圖文教程

 更新時間:2013年05月17日 23:10:26   投稿:mdxy-dxy  
下面我來給大家分享一篇Windows 2003 服務器安全設置圖文教程,有需要了解的同學可參考,主要介紹了一些網絡優(yōu)化與安全方面的設置

一、系統(tǒng)的安裝

1、按照Windows2003安裝光盤的提示安裝,默認情況下2003沒有把IIS6.0安裝在系統(tǒng)里面。
2、IIS6.0的安裝
開始菜單—>控制面板—>添加或刪除程序—>添加/刪除Windows組件
應用程序 ———ASP.NET(可選)
|——啟用網絡 COM+ 訪問(必選)
|——Internet 信息服務(IIS)———Internet 信息服務管理器(必選)
|——公用文件(必選)
|——萬維網服務———Active Server pages(必選)
|——Internet 數(shù)據(jù)連接器(可選)
|——WebDAV 發(fā)布(可選)
|——萬維網服務(必選)
|——在服務器端的包含文件(可選)


然后點擊確定—>下一步安裝。

3、系統(tǒng)補丁的更新(建議使用360或者服務器安全狗進行補丁更新,windows自帶的容易出現(xiàn)問題)
點擊開始菜單—>所有程序—>Windows Update
按照提示進行補丁的安裝。
4、備份系統(tǒng)
用GHOST備份系統(tǒng)(軟件下載http://www.dbjr.com.cn/softs/54.html這個是綠色軟件,很方便,如果不能使用可以使用http://www.dbjr.com.cn/softs/8860.html)。
5、安裝常用的軟件
例如:殺毒軟件mcafee、解壓縮軟件winrar等;安裝之后用GHOST再次備份系統(tǒng)。

服務器上更多的實用軟件可以到s.jb51.net下載。

二、系統(tǒng)權限的設置

1、磁盤權限
系統(tǒng)盤及所有磁盤只給 Administrators 組和 SYSTEM 的完全控制權限
系統(tǒng)盤\Documents and Settings 目錄只給 Administrators 組和 SYSTEM 的完全控制權限
系統(tǒng)盤\Documents and Settings\All Users 目錄只給 Administrators 組和 SYSTEM
的完全控制權限
系統(tǒng)盤\Inetpub 目錄及下面所有目錄、文件只給 Administrators 組和 SYSTEM 的完全控制權限
系統(tǒng)盤\Windows\System32\cacls.exe、cmd.exe、net.exe、net1.exe 文件只給
Administrators 組和 SYSTEM 的完全控制權限
2、本地安全策略設置
開始菜單—>管理工具—>本地安全策略
A、本地策略——>審核策略
審核策略更改 成功 失敗
審核登錄事件 成功 失敗
審核對象訪問 失敗
審核過程跟蹤 無審核
審核目錄服務訪問 失敗
審核特權使用 失敗
審核系統(tǒng)事件 成功 失敗
審核賬戶登錄事件 成功 失敗
審核賬戶管理 成功 失敗
B、本地策略——>用戶權限分配
關閉系統(tǒng):只有Administrators組、其它全部刪除。
通過終端服務拒絕登陸:加入Guests、User組
通過終端服務允許登陸:只加入Administrators組,其他全部刪除
C、本地策略——>安全選項
交互式登陸:不顯示上次的用戶名 啟用
網絡訪問:不允許SAM帳戶和共享的匿名枚舉 啟用
網絡訪問:不允許為網絡身份驗證儲存憑證 啟用
網絡訪問:可匿名訪問的共享 全部刪除
網絡訪問:可匿名訪問的命 全部刪除
網絡訪問:可遠程訪問的注冊表路徑 全部刪除
網絡訪問:可遠程訪問的注冊表路徑和子路徑 全部刪除
帳戶:重命名來賓帳戶 重命名一個帳戶
帳戶:重命名系統(tǒng)管理員帳戶 重命名一個帳戶
3、禁用不必要的服務
開始菜單—>管理工具—>服務
Print Spooler
Remote Registry
TCP/IP NetBIOS Helper
Server
以上是在Windows Server 2003 系統(tǒng)上面默認啟動的服務中禁用的,默認禁用的服務如沒特別需要的話不要啟動。
4、啟用防火墻
桌面—>網上鄰居—>(右鍵)屬性—>本地連接—>(右鍵)屬性—>高級—>(選中)Internet 連接防火墻—>設置
把服務器上面要用到的服務端口選中
例如:一臺WEB服務器,要提供WEB(80)、FTP(21)服務及遠程桌面管理(3389)
在“FTP 服務器”、“WEB服務器(HTTP)”、“遠程桌面”前面打上對號
如果你要提供服務的端口不在里面,你也可以點擊“添加”銨鈕來添加,具體參數(shù)可以參照系統(tǒng)里面原有的參數(shù)。
然后點擊確定。注意:如果是遠程管理這臺服務器,請先確定遠程管理的端口是否選中或添加。


Win2003 Server的安全性較之Win2K確實有了很大的提高,但是用Win2003
Server作為服務器是否就真的安全了?如何才能打造一個安全的個人Web服務器?下面給大家一些建議:

一、Windows Server2003的安裝
1、安裝系統(tǒng)最少兩需要個分區(qū),分區(qū)格式都采用NTFS格式
2、在斷開網絡的情況安裝好2003系統(tǒng)
3、安裝IIS,僅安裝必要的 IIS 組件(禁用不需要的如FTP 和 SMTP
服務)。默認情況下,IIS服務沒有安裝,在添加/刪除Win組件中選擇“應用程序服務器”,然后點擊“詳細信息”,雙擊Internet信息服務(iis),勾選以下選項:
Internet 信息服務管理器;
公用文件;
后臺智能傳輸服務 (BITS) 服務器擴展;
萬維網服務。
如果你使用 FrontPage 擴展的 Web 站點再勾選:FrontPage 2002 Server Extensions
4、安裝MSSQL及其它所需要的軟件然后進行Update。
5、使用Microsoft 提供的 MBSA(Microsoft Baseline Security Analyzer)
工具分析計算機的安全配置,并標識缺少的修補程序和更新。下載地址:見頁末的鏈接

二、設置和管理賬戶

1、系統(tǒng)管理員賬戶最好少建,更改默認的管理員帳戶名(Administrator)和描述,密碼最好采用數(shù)字加大小寫字母加數(shù)字的上檔鍵組合,長度最好不少于14位。
2、新建一個名為Administrator的陷阱帳號,為其設置最小的權限,然后隨便輸入組合的最好不低于20位的密碼
3、將Guest賬戶禁用并更改名稱和描述,然后輸入一個復雜的密碼,當然現(xiàn)在也有一個DelGuest的工具,也許你也可以利用它來刪除Guest賬戶,但我沒有試過。
4、在運行中輸入gpedit.msc回車,打開組策略編輯器,選擇計算機配置-Windows設置-安全設置-賬戶策略-賬戶鎖定策略,將賬戶設為“三次登陸無效”,“鎖定時間為30分鐘”,“復位鎖定計數(shù)設為30分鐘”。
5、在安全設置-本地策略-安全選項中將“不顯示上次的用戶名”設為啟用
6、在安全設置-本地策略-用戶權利分配中將“從網絡訪問此計算機”中只保留Internet來賓賬戶、啟動IIS進程賬戶。如果你使用了Asp.net還要保留Aspnet賬戶。
7、創(chuàng)建一個User賬戶,運行系統(tǒng),如果要運行特權命令使用Runas命令。

三、網絡服務安全管理

1、禁止C$、D$、ADMIN$一類的缺省共享
打開注冊表,HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters,在右邊的窗口中新建Dword值,名稱設為AutoShareServer值設為0
2、 解除NetBios與TCP/IP協(xié)議的綁定
右擊網上鄰居-屬性-右擊本地連接-屬性-雙擊Internet協(xié)議-高級-Wins-禁用TCP/IP上的NETBIOS
3、關閉不需要的服務,以下為建議選項
Computer Browser:維護網絡計算機更新,禁用
Distributed File System: 局域網管理共享文件,不需要禁用
Distributed linktracking client:用于局域網更新連接信息,不需要禁用
Error reporting service:禁止發(fā)送錯誤報告
Microsoft Serch:提供快速的單詞搜索,不需要可禁用
NTLMSecuritysupportprovide:telnet服務和Microsoft Serch用的,不需要禁用
PrintSpooler:如果沒有打印機可禁用
Remote Registry:禁止遠程修改注冊表
Remote Desktop Help Session Manager:禁止遠程協(xié)助
四、打開相應的審核策略
在運行中輸入gpedit.msc回車,打開組策略編輯器,選擇計算機配置-Windows設置-安全設置-審核策略在創(chuàng)建審核項目時需要注意的是如果審核的項目太多,生成的事件也就越多,那么要想發(fā)現(xiàn)嚴重的事件也越難當然如果審核的太少也會影響你發(fā)現(xiàn)嚴重的事件,所以你需要根據(jù)情況在這二者之間做出選擇。
推薦的要審核的項目:
登錄事件 成功 失敗
賬戶登錄事件 成功 失敗
系統(tǒng)事件 成功 失敗
策略更改 成功 失敗
對象訪問 失敗
目錄服務訪問 失敗
特權使用 失敗

五、其它安全相關設置
1、隱藏重要文件/目錄
可以修改注冊表實現(xiàn)完全隱藏:“HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\
Current-Version\Explorer\Advanced\Folder\Hi-dden\SHOWALL”,鼠標右擊
“CheckedValue”,選擇修改,把數(shù)值由1改為0
2、啟動系統(tǒng)自帶的Internet連接防火墻,在設置服務選項中勾選Web服務器。
3、防止SYN洪水攻擊
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters
新建DWORD值,名為SynAttackProtect,值為2
4. 禁止響應ICMP路由通告報文
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\interface
新建DWORD值,名為PerformRouterDiscovery 值為0
5. 防止ICMP重定向報文的攻擊
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters
將EnableICMPRedirects 值設為0
6. 不支持IGMP協(xié)議
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters
新建DWORD值,名為IGMPLevel 值為0
7、禁用DCOM:
運行中輸入 Dcomcnfg.exe。 回車, 單擊“控制臺根節(jié)點”下的“組件服務”。 打開“計算機”子文件夾。
對于本地計算機,請以右鍵單擊“我的電腦”,然后選擇“屬性”。選擇“默認屬性”選項卡。
清除“在這臺計算機上啟用分布式 COM”復選框。
注:3-6項內容我采用的是Server2000設置,沒有測試過對2003是否起作用。但有一點可以肯定我用了一段的時間沒有發(fā)現(xiàn)其它副面的影響。
六、配置 IIS 服務:
1、不使用默認的Web站點,如果使用也要將 將IIS目錄與系統(tǒng)磁盤分開。
2、刪除IIS默認創(chuàng)建的Inetpub目錄(在安裝系統(tǒng)的盤上)。
3、刪除系統(tǒng)盤下的虛擬目錄,如:_vti_bin、IISSamples、Scripts、IIShelp、IISAdmin、IIShelp、MSADC。
4、刪除不必要的IIS擴展名映射。
右鍵單擊“默認Web站點→屬性→主目錄→配置”,打開應用程序窗口,去掉不必要的應用程序映射。主要為.shtml, .shtm,
.stm
5、更改IIS日志的路徑
右鍵單擊“默認Web站點→屬性-網站-在啟用日志記錄下點擊屬性
6、如果使用的是2000可以使用iislockdown來保護IIS,在2003運行的IE6.0的版本不需要。
7、使用UrlScan
UrlScan是一個ISAPI篩選器,它對傳入的HTTP數(shù)據(jù)包進行分析并可以拒絕任何可疑的通信量。目前最新的版本是2.5,如果是2000Server需要先安裝1.0或2.0的版本。下載地址見頁未的鏈接
如果沒有特殊的要求采用UrlScan默認配置就可以了。
但如果你在服務器運行ASP.NET程序,并要進行調試你需打開要%WINDIR%\System32\Inetsrv\URLscan
文件夾中的URLScan.ini 文件,然后在UserAllowVerbs節(jié)添加debug謂詞,注意此節(jié)是區(qū)分大小寫的。
如果你的網頁是.asp網頁你需要在DenyExtensions刪除.asp相關的內容。
如果你的網頁使用了非ASCII代碼,你需要在Option節(jié)中將AllowHighBitCharacters的值設為1
在對URLScan.ini 文件做了更改后,你需要重啟IIS服務才能生效,快速方法運行中輸入iisreset
如果你在配置后出現(xiàn)什么問題,你可以通過添加/刪除程序刪除UrlScan。
8、利用WIS (Web Injection Scanner)工具對整個網站進行SQL Injection 脆弱性掃描.

七、配置Sql服務器
1、System Administrators 角色最好不要超過兩個
2、如果是在本機最好將身份驗證配置為Win登陸
3、不要使用Sa賬戶,為其配置一個超級復雜的密碼
4、刪除以下的擴展存儲過程格式為:
use master
sp_dropextendedproc '擴展存儲過程名'
xp_cmdshell:是進入*作系統(tǒng)的最佳捷徑,刪除
訪問注冊表的存儲過程,刪除
Xp_regaddmultistring Xp_regdeletekey Xp_regdeletevalue Xp_regenumvalues
Xp_regread Xp_regwrite Xp_regremovemultistring
OLE自動存儲過程,不需要刪除
Sp_OACreate Sp_OADestroy Sp_OAGetErrorInfo Sp_OAGetProperty
Sp_OAMethod Sp_OASetProperty Sp_OAStop
5、隱藏 SQL Server、更改默認的1433端口
右擊實例選屬性-常規(guī)-網絡配置中選擇TCP/IP協(xié)議的屬性,選擇隱藏 SQL Server 實例,并改原默認的1433端口。
八、如果只做服務器,不進行其它*作,使用IPSec
1、管理工具—本地安全策略—右擊IP安全策略—管理IP篩選器表和篩選器*作—在管理IP篩選器表選項下點擊
添加—名稱設為Web篩選器—點擊添加—在描述中輸入Web服務器—將源地址設為任何IP地址——將目標地址設為我的IP地址——協(xié)議類型設為Tcp——IP協(xié)議端口第一項設為從任意端口,第二項到此端口80——點擊完成——點擊確定。
2、再在管理IP篩選器表選項下點擊
添加—名稱設為所有入站篩選器—點擊添加—在描述中輸入所有入站篩選—將源地址設為任何IP地址——將目標地址設為我的IP地址——協(xié)議類型設為任意——點擊下一步——完成——點擊確定。
3、在管理篩選器*作選項下點擊添加——下一步——名稱中輸入阻止——下一步——選擇阻止——下一步——完成——關閉管理IP篩選器表和篩選器*作窗口
4、右擊IP安全策略——創(chuàng)建IP安全策略——下一步——名稱輸入數(shù)據(jù)包篩選器——下一步——取消默認激活響應原則——下一步——完成
5、在打開的新IP安全策略屬性窗口選擇添加——下一步——不指定隧道——下一步——所有網絡連接——下一步——在IP篩選器列表中選擇新建的
Web篩選器——下一步——在篩選器*作中選擇許可——下一步——完成——在IP篩選器列表中選擇新建的阻止篩選器——下一步——在篩選器*作中選擇阻止
——下一步——完成——確定
6、在IP安全策略的右邊窗口中右擊新建的數(shù)據(jù)包篩選器,點擊指派,不需要重啟,IPSec就可生效.
九 嚴重注意
如果你按這些去*作,建議每做一項更改就測試一下服務器,如果有問題可以馬上撤消更改。而如果更改的項數(shù)多,才發(fā)現(xiàn)出問題,那就很難判斷問題是出在哪一步上了。

十、運行服務器記錄當前的程序和開放的端口

1、將當前服務器的進程抓圖或記錄下來,將其保存,方便以后對照查看是否有不明的程序。
2、將當前開放的端口抓圖或記錄下來,保存,方便以后對照查看是否開放了不明的端口。當然如果你能分辨每一個進程,和端口這一步可以省略。

建議設置

本地鏈接屬性

極限測試

在”網絡連接”里,把不需要的協(xié)議和服務都刪掉,這里只安裝了基本的Internet協(xié)議(TCP/IP),由于要控制帶寬流量服務,額外安裝了Qos數(shù)據(jù)包計劃程序。
tcpip1.jpg

tcpip13.jpg

在高級tcp/ip設置里--"NetBIOS"設置"禁用tcp/IP上的NetBIOS(S)"。

tcpip2.jpg

在2003系統(tǒng)里,不推薦用TCP/IP篩選里的端口過濾功能,譬如在使用FTP服務器的時候,如果僅僅只開放21端口,由于FTP協(xié)議的特殊性,在進行FTP傳輸?shù)臅r候,由于FTP 特有的Port模式和Passive模式,在進行數(shù)據(jù)傳輸?shù)臅r候,需要動態(tài)的打開高端口,所以在使用TCP/IP過濾的情況下,經常會出現(xiàn)連接上后無法列出目錄和數(shù)據(jù)傳輸?shù)膯栴}。所以在2003系統(tǒng)上增加的windows連接防火墻能很好的解決這個問題,所以都不推薦使用網卡的TCP/IP過濾功能。

tcpip3.jpg

在高級選項里,使用”Internet連接防火墻”,這是windows 2003 自帶的防火墻,在2000系統(tǒng)里沒有的功能,雖然沒什么功能,但可以屏蔽端口,這樣已經基本達到了一個IPSec的功能。

tcpip4.jpg

tcpip5.jpg

tcpip6.jpg

放開使用到的端口,如果修改了遠程桌面的端口,別忘記添加上。如果有郵件服務器的話還要放開SMTP服務器端口25 POP3服務器端口110。對外提供服務的端口都要加上,不然無法訪問服務。

tcpip12.jpg

tcpip7.jpg

tcpip8.jpg

tcpip9.jpg

修改ICMP設置,建議全部啟用,便于網絡測試ping等

tcpip10.jpg

tcpip11.jpg

當然為了安全也防止本機成為肉雞,有時候需要設置本地不要訪問外部的80,22等端口,這里提供一個bat代碼,如果需要訪問 外部的網站需要把80端口去掉就可以了

@rem 配置windows2003系統(tǒng)的IP安全策略
@rem version 3.0 time:2014-5-12

netsh ipsec static add policy name=drop
netsh ipsec static add filterlist name=drop_port
netsh ipsec static add filter filterlist=drop_port srcaddr=me dstaddr=any dstport=21 protocol=TCP mirrored=no
netsh ipsec static add filter filterlist=drop_port srcaddr=me dstaddr=any dstport=22 protocol=TCP mirrored=no
netsh ipsec static add filter filterlist=drop_port srcaddr=me dstaddr=any dstport=23 protocol=TCP mirrored=no
netsh ipsec static add filter filterlist=drop_port srcaddr=me dstaddr=any dstport=25 protocol=TCP mirrored=no
netsh ipsec static add filter filterlist=drop_port srcaddr=me dstaddr=any dstport=53 protocol=TCP mirrored=no
netsh ipsec static add filter filterlist=drop_port srcaddr=me dstaddr=any dstport=80 protocol=TCP mirrored=no
netsh ipsec static add filter filterlist=drop_port srcaddr=me dstaddr=any dstport=135 protocol=TCP mirrored=no
netsh ipsec static add filter filterlist=drop_port srcaddr=me dstaddr=any dstport=139 protocol=TCP mirrored=no
netsh ipsec static add filter filterlist=drop_port srcaddr=me dstaddr=any dstport=443 protocol=TCP mirrored=no
netsh ipsec static add filter filterlist=drop_port srcaddr=me dstaddr=any dstport=445 protocol=TCP mirrored=no
netsh ipsec static add filter filterlist=drop_port srcaddr=me dstaddr=any dstport=1314 protocol=TCP mirrored=no
netsh ipsec static add filter filterlist=drop_port srcaddr=me dstaddr=any dstport=1433 protocol=TCP mirrored=no
netsh ipsec static add filter filterlist=drop_port srcaddr=me dstaddr=any dstport=1521 protocol=TCP mirrored=no
netsh ipsec static add filter filterlist=drop_port srcaddr=me dstaddr=any dstport=2222 protocol=TCP mirrored=no
netsh ipsec static add filter filterlist=drop_port srcaddr=me dstaddr=any dstport=3306 protocol=TCP mirrored=no
netsh ipsec static add filter filterlist=drop_port srcaddr=me dstaddr=any dstport=3433 protocol=TCP mirrored=no
netsh ipsec static add filter filterlist=drop_port srcaddr=me dstaddr=any dstport=3389 protocol=TCP mirrored=no
netsh ipsec static add filter filterlist=drop_port srcaddr=me dstaddr=any dstport=4899 protocol=TCP mirrored=no
netsh ipsec static add filter filterlist=drop_port srcaddr=me dstaddr=any dstport=8080 protocol=TCP mirrored=no
netsh ipsec static add filter filterlist=drop_port srcaddr=me dstaddr=any dstport=18186 protocol=TCP mirrored=no
netsh ipsec static add filter filterlist=drop_port srcaddr=me dstaddr=any protocol=UDP mirrored=no
netsh ipsec static add filteraction name=denyact action=block
netsh ipsec static add rule name=kill policy=drop filterlist=drop_port filteraction=denyact
netsh ipsec static set policy name=drop assign=y

權限的設置所有磁盤分區(qū)的根目錄只給Administrators組和SYSTEM 的完全控制權限,注意系統(tǒng)盤不要替換子目錄的權限。windows目錄和Program Files目錄等一些目錄并沒有繼承父目錄權限,這些目錄還需要其它一些權限才能運行。 C:Documents and Settings 目錄只給 Administrators 組和 SYSTEM 的完全控制權限,并應用到子對象的項目替代所有子對象的權限項目。 系統(tǒng)盤Documents and SettingsAll Users 目錄只給 Administrators 組和 SYSTEM 的完全控制權限。這里給的system權限也不一定需要給,只是由于某些第三方應用程序是以服務形式啟動的,需要加上這個用戶,否則造成啟動不了。

cacls1.jpg

cacls2.jpg

cacls3.jpg

c:/Documents and Settings/這里要注意,后面的目錄里的權限根本不會繼承從前的設置,如果僅僅只是設置了C盤給administrators權限,而在All Users/Application Data目錄下會 出現(xiàn)everyone用戶有完全控制權限,這樣入侵這可以跳轉到這個目錄,寫入腳本或只文件,再結合其他漏洞來提升權限;譬如利用serv-u的本地溢出提升權限,或系統(tǒng)遺漏有補丁,數(shù)據(jù)庫的弱點等等。在用做web/ftp服務器的系統(tǒng)里,建議設置。

cacls4.jpg

Windows目錄要加上給users的默認權限,否則ASP和ASPX等應用程序就無法運行。如果修改的話,不要應用到子對象的項目替代所有子對象的權限項目。系統(tǒng)目錄權限拿不準的話就不要動了,一般做好根目錄和Documents and Settings就比較安全了,asp程序訪問不了根目錄就訪問不了子目錄。

cacls5.jpg

另外Documents and Settings目錄增加Users用戶組的讀取運行權限,可以避免出現(xiàn)LoadUserProfile失敗,需要注意的是一但有users組讀取權限,asp木馬就能訪問這個目錄。為了安全需要接受一些錯誤日志。(2009年1月13日備注:貌似是沒有system完全就出現(xiàn)LoadUserProfile,與users無關。)

cacls7.jpg

系統(tǒng)盤
下 cacls.exe; cmd.exe; net.exe; net1.exe; ftp.exe; tftp.exe; telnet.exe; netstat.exe; regedit.exe; at.exe; attrib.exe; format.com 文件只給 Administrators 組和SYSTEM 的完全控制權限。可查找一下統(tǒng)一設置,或者編輯一份批處理,使用cacls命令處理。

cacls6.jpg

本地策略→審核策略

  審核策略更改   成功 失敗  
  審核登錄事件   成功 失敗
  審核對象訪問      失敗
  審核過程跟蹤   無審核
  審核目錄服務訪問    失敗
  審核特權使用      失敗
  審核系統(tǒng)事件   成功 失敗
  審核賬戶登錄事件 成功 失敗
  審核賬戶管理   成功 失敗

  本地策略→用戶權限分配
  關閉系統(tǒng):只有Administrators組、其它全部刪除。
  通過終端服務允許登陸:只加入Administrators,Remote Desktop Users組,其他全部刪除

  本地策略→安全選項
  交互式登陸:不顯示上次的用戶名       啟用
  網絡訪問:不允許SAM帳戶和共享的匿名枚舉  啟用
  網絡訪問:不允許為網絡身份驗證儲存憑證   啟用
  網絡訪問:可匿名訪問的共享         全部刪除
  網絡訪問:可匿名訪問的命          全部刪除
  網絡訪問:可遠程訪問的注冊表路徑      全部刪除
  網絡訪問:可遠程訪問的注冊表路徑和子路徑  全部刪除
  帳戶:重命名來賓帳戶            重命名一個帳戶
  帳戶:重命名系統(tǒng)管理員帳戶         重命名一個帳戶

【禁用不必要的服務 開始-運行-services.msc】

  Computer Browser?。壕S護網絡上計算機的最新列表以及提供這個列表
  Distributed File System?。壕钟蚓W管理共享文件,不需要可禁用
  Distributed Link Tracking Client?。河糜诰钟蚓W更新連接信息,不需要可禁用
  Error Reporting Service?。航拱l(fā)送錯誤報告
  Messenger :傳輸客戶端和服務器之間的 NET SEND 和 警報器服務消息
  Microsoft Serch?。禾峁┛焖俚膯卧~搜索,不需要可禁用
  NT LM Security Support Provider?。簍elnet服務和Microsoft Serch用的,不需要可禁用
  Print Spooler?。喝绻麤]有打印機可禁用
  Remote Desktop Help Session Manager?。航惯h程協(xié)助
  Remote Registry:禁止遠程修改注冊表
  Server?。褐С执擞嬎銠C通過網絡的文件、打印、和命名管道共享
  Task scheduler?。涸试S程序在指定時間運行
  TCP/IPNetBIOS Helper?。禾峁?TCP/IP 服務上的 NetBIOS 和網絡上客戶端的 NetBIOS 名稱解析的支持而使用戶能夠共享文
  Workstation?。宏P閉的話遠程NET命令列不出用戶組
  以上是在Windows Server 2003 系統(tǒng)上面默認啟動的服務中禁用的,默認禁用的服務如沒特別需要的話不要啟動。

【卸載最不安全的組件】

  最簡單的辦法是直接卸載后刪除相應的程序文件。

  將下面的代碼保存為一個.BAT文件,( 以下以win2003為例系統(tǒng)文件夾應該是 C:WINDOWS )

復制代碼 代碼如下:

  regsvr32 /u C:WINDOWSsystem32wshom.ocx
  regsvr32 /u C:windowssystem32wshext.dll
  regsvr32 /u C:WINDOWSsystem32shell32.dll


  如果有可能刪除這些組件
  del C:WINDOWSsystem32shell32.dll
  del C:WINDOWSsystem32wshom.ocx
  del C:windowssystem32wshext.dll
  然后運行一下,WScript.Shell, Shell.application, WScript.Network就會被卸載了。
  去http://www.ajiang.net/products/aspcheck/下載阿江的探針查看相關安全設置情況。

  可能會提示無法刪除文件,不用管它,重啟一下服務器,你會發(fā)現(xiàn)這三個都提示“×安全”了。

  恢復的話,去掉/u就行了FSO(FileSystemObject)是微軟ASP的一個對文件操作的控件,該控件可以對服務器進行讀取、新建、修改、刪除目錄以及文件的操作。是ASP編程中非常有用的一個控件。但是因為權限控制的問題,很多虛擬主機服務器的FSO反而成為這臺服務器的一個公開的后門,因為客戶可以在自己的ASP網頁里面直接就對該控件編程,從而控制該服務器甚至刪除服務器上的文件。因此不少業(yè)界的虛擬主機提供商都干脆關掉了這個控件,讓客戶少了很多靈活性。我們公司的W2K虛擬主機服務器具有高安全性,可以讓客戶在自己的網站空間中任意使用卻有沒有辦法危害系統(tǒng)或者妨礙其他客戶網站的正常運行。

FSO的添加

1、首先在系統(tǒng)盤中查找scrrun.dll,如果存在這個文件,請?zhí)降谌?,如果沒有,請執(zhí)行第二步。
2、在安裝文件目錄i386中找到scrrun.dl_,用winrar解壓縮后scrrun.dll復制到系統(tǒng)盤:windowssystem32目錄。
3、運行regsvr32 scrrun.dll即可。

FSO刪除
regsvr32 /u scrrun.dll
建議保留

卸載stream對象

在cmd下運行:
regsvr32 /s /u "C:Program FilesCommon FilesSystemadomsado15.dll"
恢復的話,去掉/u就行了,建議保留修改遠程桌面連接的3389端口為9874,十六進制2692等于十進制9874,根據(jù)需要修改成合適的端口。將下面的內容保存為.reg文件,導入注冊表即可。(非必需)
復制代碼 代碼如下:

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlTerminal ServerWdsrdpwdTdstcp]
"PortNumber"=dword:00002692

[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlTerminal ServerWinStationsRDP-Tcp]
"PortNumber"=dword:00002692


殺毒

這里介紹MCAFEE 8.5i 中文企業(yè)版(s.jb51.net有的下載)
因為這個版本對于國內的許多惡意代碼和木馬都能夠及時的更新.
比如已經能夠檢測到海陽頂端2006
而且能夠殺除IMAIL等SMTP軟件使用的隊列中MIME編碼的病毒文件
而很多人喜歡安裝諾頓企業(yè)版.而諾頓企業(yè)版,對于WEBSHELL.基本都是沒有反應的.
而且無法對于MIME編碼的文件進行殺毒.
在MCAFEE中.
我們還能夠加入規(guī)則.阻止在windows目錄建立和修改EXE.DLL文件等
我們在軟件中加入對WEB目錄的殺毒計劃.
每天執(zhí)行一次
并且打開實時監(jiān)控.
注意:安裝一些殺毒軟件會影響ASP地執(zhí)行,是因為禁用了jscript.dll和vbscript.dll組件
在dos方式下運行 regsvr32 jscript.dll, regsvr32 vbscript.dll解除限制即可
比如出現(xiàn) 請求的資源在使用中

regsvr32 %windir%system32jscript.dll
regsvr32 %windir%system32vbscript.dll

關于ip安全策略可以參考這篇文章:

http://www.dbjr.com.cn/article/23037.htm

http://www.dbjr.com.cn/article/30832.htm

相關文章

最新評論