其實(shí)很多朋友經(jīng)常搜索一些關(guān)于2003的資料都會(huì)來(lái)到腳本之家但缺少一系列的文章列表，稍后我們會(huì)以專題的方式整理一下，下面就為大家分享一下win2003服務(wù)器的安全設(shè)置注意事項(xiàng)與步驟。

首先 服務(wù)器的安全一般分為： 系統(tǒng)安全設(shè)置、web安全(web服務(wù)器與程序)、數(shù)據(jù)庫(kù)安全(低權(quán)限運(yùn)行)

一、服務(wù)器系統(tǒng)安全

第一步：

一、先關(guān)閉不需要的端口

我比較小心，先關(guān)了端口。只開(kāi)了3389(遠(yuǎn)程端口) 21（FTP） 80（WEB） 1433(SQL server) 3306(MYSQL)有些人一直說(shuō)什么默認(rèn)的3389不安全，對(duì)此我不否認(rèn)，但是利用的途徑也只能一個(gè)一個(gè)的窮舉爆破，你把帳號(hào)改了密碼設(shè)置為十五六位，我估計(jì)他要破上好幾年，哈哈!辦法:本地連接--屬性--Internet協(xié)議(TCP/IP)--高級(jí)--選項(xiàng)--TCP/IP篩選--屬性--把勾打上 然后添加你需要的端口即可。PS一句:設(shè)置完端口需要重新啟動(dòng)!

當(dāng)然大家也可以更改遠(yuǎn)程連接端口方法:

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Control/Terminal Server/WinStations/RDP-Tcp]

"PortNumber"=dword:00002683

保存為.REG文件雙擊即可!更改為9859，當(dāng)然大家也可以換別的端口， 直接打開(kāi)以上注冊(cè)表的地址，把值改為十進(jìn)制的輸入你想要的端口即可!重啟生效!

還有一點(diǎn)，在2003系統(tǒng)里，用TCP/IP篩選里的端口過(guò)濾功能，使用FTP服務(wù)器的時(shí)候，只開(kāi)放21端口，在進(jìn)行FTP傳輸?shù)臅r(shí)候，F(xiàn)TP 特有的Port模式和Passive模式，在進(jìn)行數(shù)據(jù)傳輸?shù)臅r(shí)候，需要?jiǎng)討B(tài)的打開(kāi)高端口，所以在使用TCP/IP過(guò)濾的情況下，經(jīng)常會(huì)出現(xiàn)連接上后無(wú)法列出目錄和數(shù)據(jù)傳輸?shù)膯?wèn)題。所以在2003系統(tǒng)上增加的windows連接防火墻能很好的解決這個(gè)問(wèn)題，所以都不推薦使用網(wǎng)卡的TCP/IP過(guò)濾功能。所做FTP下載的用戶看仔細(xì)點(diǎn)，表怪俺說(shuō)俺寫(xiě)文章是垃圾...如果要關(guān)閉不必要的端口，在//system32//drivers//etc//services中有列表，記事本就可以打開(kāi)的。如果懶惰的話，最簡(jiǎn)單的方法是啟用WIN2003的自身帶的網(wǎng)絡(luò)防火墻，并進(jìn)行端口的改變。功能還可以!Internet 連接防火墻可以有效地?cái)r截對(duì)Windows 2003服務(wù)器的非法入侵，防止非法遠(yuǎn)程主機(jī)對(duì)服務(wù)器的掃描，提高Windows 2003服務(wù)器的安全性。同時(shí)，也可以有效攔截利用操作系統(tǒng)漏洞進(jìn)行端口攻擊的病毒，如沖擊波等蠕蟲(chóng)病毒。如果在用Windows 2003構(gòu)造的虛擬路由器上啟用此防火墻功能，能夠?qū)φ麄€(gè)內(nèi)部網(wǎng)絡(luò)起到很好的保護(hù)作用。

二、關(guān)閉不需要的服務(wù) 打開(kāi)相應(yīng)的審核策略

我關(guān)閉了以下的服務(wù)

Computer Browser 維護(hù)網(wǎng)絡(luò)上計(jì)算機(jī)的最新列表以及提供這個(gè)列表

Task scheduler 允許程序在指定時(shí)間運(yùn)行

Routing and Remote Access 在局域網(wǎng)以及廣域網(wǎng)環(huán)境中為企業(yè)提供路由服務(wù)

Removable storage 管理可移動(dòng)媒體、驅(qū)動(dòng)程序和庫(kù)

Remote Registry Service 允許遠(yuǎn)程注冊(cè)表操作

Print Spooler 將文件加載到內(nèi)存中以便以后打印。要用打印機(jī)的朋友不能禁用這項(xiàng)

IPSEC Policy Agent 管理IP安全策略以及啟動(dòng)ISAKMP/OakleyIKE)和IP安全驅(qū)動(dòng)程序

Distributed Link Tracking Client 當(dāng)文件在網(wǎng)絡(luò)域的NTFS卷中移動(dòng)時(shí)發(fā)送通知

Com+ Event System 提供事件的自動(dòng)發(fā)布到訂閱COM組件

Alerter 通知選定的用戶和計(jì)算機(jī)管理警報(bào)

Error Reporting Service 收集、存儲(chǔ)和向 Microsoft 報(bào)告異常應(yīng)用程序

Messenger 傳輸客戶端和服務(wù)器之間的 NET SEND 和 警報(bào)器服務(wù)消息

Telnet 允許遠(yuǎn)程用戶登錄到此計(jì)算機(jī)并運(yùn)行程序

把不必要的服務(wù)都禁止掉，盡管這些不一定能被攻擊者利用得上，但是按照安全規(guī)則和標(biāo)準(zhǔn)上來(lái)說(shuō)，多余的東西就沒(méi)必要開(kāi)啟，減少一份隱患。

在"網(wǎng)絡(luò)連接"里，把不需要的協(xié)議和服務(wù)都刪掉，這里只安裝了基本的Internet協(xié)議(TCP/IP)，由于要控制帶寬流量服務(wù)，額外安裝了Qos數(shù)據(jù)包計(jì)劃程序。在高級(jí)tcp/ip設(shè)置里--"NetBIOS"設(shè)置"禁用tcp/IP上的NetBIOS(S)"。在高級(jí)選項(xiàng)里，使用"Internet連接防火墻"，這是windows 2003 自帶的防火墻，在2000系統(tǒng)里沒(méi)有的功能，雖然沒(méi)什么功能，但可以屏蔽端口，這樣已經(jīng)基本達(dá)到了一個(gè)IPSec的功能。

在運(yùn)行中輸入gpedit.msc回車(chē)，打開(kāi)組策略編輯器，選擇計(jì)算機(jī)配置-Windows設(shè)置-安全設(shè)置-審核策略在創(chuàng)建審核項(xiàng)目時(shí)需要注意的是如果審核的項(xiàng)目太多，生成的事件也就越多，那么要想發(fā)現(xiàn)嚴(yán)重的事件也越難當(dāng)然如果審核的太少也會(huì)影響你發(fā)現(xiàn)嚴(yán)重的事件，你需要根據(jù)情況在這二者之間做出選擇。

推薦的要審核的項(xiàng)目是:

登錄事件 成功 失敗

賬戶登錄事件 成功 失敗

系統(tǒng)事件 成功 失敗

策略更改 成功 失敗

對(duì)象訪問(wèn) 失敗

目錄服務(wù)訪問(wèn) 失敗

特權(quán)使用 失敗

三、磁盤(pán)權(quán)限設(shè)置

1.系統(tǒng)盤(pán)權(quán)限設(shè)置

C:分區(qū)部分：

c:/

administrators 全部(該文件夾，子文件夾及文件)

CREATOR OWNER 全部(只有子文件來(lái)及文件)

system 全部(該文件夾，子文件夾及文件)

IIS_WPG 創(chuàng)建文件/寫(xiě)入數(shù)據(jù)(只有該文件夾)

IIS_WPG(該文件夾，子文件夾及文件)

遍歷文件夾/運(yùn)行文件

列出文件夾/讀取數(shù)據(jù)

讀取屬性

創(chuàng)建文件夾/附加數(shù)據(jù)

讀取權(quán)限

c:/Documents and Settings

administrators 全部(該文件夾，子文件夾及文件)

Power Users (該文件夾，子文件夾及文件)

讀取和運(yùn)行

列出文件夾目錄

讀取

SYSTEM全部(該文件夾，子文件夾及文件)

C:/Program Files

administrators 全部(該文件夾，子文件夾及文件)

CREATOR OWNER全部(只有子文件來(lái)及文件)

IIS_WPG (該文件夾，子文件夾及文件)

讀取和運(yùn)行

列出文件夾目錄

讀取

Power Users(該文件夾，子文件夾及文件)

修改權(quán)限

SYSTEM全部(該文件夾，子文件夾及文件)

TERMINAL SERVER USER (該文件夾，子文件夾及文件)

修改權(quán)限

2.網(wǎng)站及虛擬機(jī)權(quán)限設(shè)置(比如網(wǎng)站在E盤(pán))

說(shuō)明：我們假設(shè)網(wǎng)站全部在E盤(pán)wwwsite目錄下，并且為每一個(gè)虛擬機(jī)創(chuàng)建了一個(gè)guest用戶，用戶名為vhost1...vhostn并且創(chuàng)建了一個(gè)webuser組，把所有的vhost用戶全部加入這個(gè)webuser組里面方便管理。

E:/

Administrators全部(該文件夾，子文件夾及文件)

E:/wwwsite

Administrators全部(該文件夾，子文件夾及文件)

system全部(該文件夾，子文件夾及文件)

service全部(該文件夾，子文件夾及文件)

E:/wwwsite/vhost1

Administrators全部(該文件夾，子文件夾及文件)

system全部(該文件夾，子文件夾及文件)

vhost1全部(該文件夾，子文件夾及文件)

3.數(shù)據(jù)備份盤(pán)

數(shù)據(jù)備份盤(pán)最好只指定一個(gè)特定的用戶對(duì)它有完全操作的權(quán)限。比如F盤(pán)為數(shù)據(jù)備份盤(pán)，我們只指定一個(gè)管理員對(duì)它有完全操作的權(quán)限。

4.其它地方的權(quán)限設(shè)置

請(qǐng)找到c盤(pán)的這些文件，把安全性設(shè)置只有特定的管理員有完全操作權(quán)限。

下列這些文件只允許administrators訪問(wèn)

net.exe,net1.exet,cmd.exe,tftp.exe,netstat.exe,regedit.exe,at.exe,attrib.exe.cacls.exe,format.com

5.刪除c:/inetpub目錄，刪除iis不必要的映射，建立陷阱帳號(hào)，更改描述。

四、防火墻、殺毒軟件的安裝

我見(jiàn)過(guò)的Win2000/Nt服務(wù)器從來(lái)沒(méi)有見(jiàn)到有安裝了防毒軟件的，其實(shí)這一點(diǎn)非常重要。一些好的殺毒軟件不僅能殺掉一些著名的病毒，還能查殺大量木馬和后門(mén)程序。這樣的話，“黑客”們使用的那些有名的木馬就毫無(wú)用武之地了。不要忘了經(jīng)常升級(jí)病毒庫(kù)，我們推薦mcafree殺毒軟件+blackice防火墻

五、SQL2000 SERV-U FTP安全設(shè)置

SQL安全方面

1.System Administrators 角色最好不要超過(guò)兩個(gè)

2.如果是在本機(jī)最好將身份驗(yàn)證配置為Win登陸

3.不要使用Sa賬戶，為其配置一個(gè)超級(jí)復(fù)雜的密碼

4.刪除以下的擴(kuò)展存儲(chǔ)過(guò)程格式為:

use master

sp_dropextendedproc '擴(kuò)展存儲(chǔ)過(guò)程名'

xp_cmdshell:是進(jìn)入操作系統(tǒng)的最佳捷徑，刪除

訪問(wèn)注冊(cè)表的存儲(chǔ)過(guò)程，刪除

Xp_regaddmultistring　　Xp_regdeletekey　　Xp_regdeletevalue　　Xp_regenumvalues

Xp_regread　　　　　 Xp_regwrite　　　 Xp_regremovemultistring

OLE自動(dòng)存儲(chǔ)過(guò)程，不需要?jiǎng)h除

Sp_OACreate　 　Sp_OADestroy　　　　Sp_OAGetErrorInfo　　Sp_OAGetProperty

Sp_OAMethod　　Sp_OASetProperty　　Sp_OAStop

5.隱藏 SQL Server、更改默認(rèn)的1433端口

右擊實(shí)例選屬性-常規(guī)-網(wǎng)絡(luò)配置中選擇TCP/IP協(xié)議的屬性，選擇隱藏 SQL Server 實(shí)例，并改原默認(rèn)的1433端口

serv-u的幾點(diǎn)常規(guī)安全需要設(shè)置下:

選中"Block "FTP_bounce"attack and FXP"。什么是FXP呢?通常，當(dāng)使用FTP協(xié)議進(jìn)行文件傳輸時(shí)，客戶端首先向FTP服務(wù)器發(fā)出一個(gè)"PORT"命令，該命令中包含此用戶的IP地址和將被用來(lái)進(jìn)行數(shù)據(jù)傳輸?shù)亩丝谔?hào)，服務(wù)器收到后，利用命令所提供的用戶地址信息建立與用戶的連接。大多數(shù)情況下，上述過(guò)程不會(huì)出現(xiàn)任何問(wèn)題，但當(dāng)客戶端是一名惡意用戶時(shí)，可能會(huì)通過(guò)在PORT命令中加入特定的地址信息，使FTP服務(wù)器與其它非客戶端的機(jī)器建立連接。雖然這名惡意用戶可能本身無(wú)權(quán)直接訪問(wèn)某一特定機(jī)器，但是如果FTP服務(wù)器有權(quán)訪問(wèn)該機(jī)器的話，那么惡意用戶就可以通過(guò)FTP服務(wù)器作為中介，仍然能夠最終實(shí)現(xiàn)與目標(biāo)服務(wù)器的連接。這就是FXP，也稱跨服務(wù)器攻擊。選中后就可以防止發(fā)生此種情況。

六、IIS安全設(shè)置

IIS的相關(guān)設(shè)置：

刪除默認(rèn)建立的站點(diǎn)的虛擬目錄，停止默認(rèn)web站點(diǎn)，刪除對(duì)應(yīng)的文件目錄c：inetpub，配置所有站點(diǎn)的公共設(shè)置，設(shè)置好相關(guān)的連接數(shù)限制，帶寬設(shè)置以及性能設(shè)置等其他設(shè)置。配置應(yīng)用程序映射，刪除所有不必要的應(yīng)用程序擴(kuò)展，只保留asp，php，cgi，pl，aspx應(yīng)用程序擴(kuò)展。對(duì)于php和cgi，推薦使用isapi方式解析，用exe解析對(duì)安全和性能有所影響。用戶程序調(diào)試設(shè)置發(fā)送文本錯(cuò)誤信息給戶。對(duì)于數(shù)據(jù)庫(kù)，盡量采用mdb后綴，不需要更改為asp，可在IIS中設(shè)置一個(gè)mdb的擴(kuò)展映射，將這個(gè)映射使用一個(gè)無(wú)關(guān)的dll文件如C：WINNTsystem32inetsrvssinc.dll來(lái)防止數(shù)據(jù)庫(kù)被下載。設(shè)置IIS的日志保存目錄，調(diào)整日志記錄信息。設(shè)置為發(fā)送文本錯(cuò)誤信息。修改403錯(cuò)誤頁(yè)面，將其轉(zhuǎn)向到其他頁(yè)，可防止一些掃描器的探測(cè)。另外為隱藏系統(tǒng)信息，防止telnet到80端口所泄露的系統(tǒng)版本信息可修改IIS的banner信息，可以使用winhex手工修改或者使用相關(guān)軟件如banneredit修改。

對(duì)于用戶站點(diǎn)所在的目錄，在此說(shuō)明一下，用戶的FTP根目錄下對(duì)應(yīng)三個(gè)文件佳，wwwroot，database，logfiles，分別存放站點(diǎn)文件，數(shù)據(jù)庫(kù)備份和該站點(diǎn)的日志。如果一旦發(fā)生入侵事件可對(duì)該用戶站點(diǎn)所在目錄設(shè)置具體的權(quán)限，圖片所在的目錄只給予列目錄的權(quán)限，程序所在目錄如果不需要生成文件(如生成html的程序)不給予寫(xiě)入權(quán)限。因?yàn)槭翘摂M主機(jī)平常對(duì)腳本安全沒(méi)辦法做到細(xì)致入微的地步，更多的只能在方法用戶從腳本提升權(quán)限：

ASP的安全設(shè)置：

設(shè)置過(guò)權(quán)限和服務(wù)之后，防范asp木馬還需要做以下工作，在cmd窗口運(yùn)行以下命令：

regsvr32/u C：/WINNT/System32/wshom.ocx

del C：/WINNT/System32/wshom.ocx

regsvr32/u C：/WINNT/system32/shell32.dll

del C：/WINNT/system32/shell32.dll

即可將WScript.Shell， Shell.application， WScript.Network組件卸載，可有效防止asp木馬通過(guò)wscript或shell.application執(zhí)行命令以及使用木馬查看一些系統(tǒng)敏感信息。另法：可取消以上文件的users用戶的權(quán)限，重新啟動(dòng)IIS即可生效。但不推薦該方法。

另外，對(duì)于FSO由于用戶程序需要使用，服務(wù)器上可以不注銷掉該組件，這里只提一下FSO的防范，但并不需要在自動(dòng)開(kāi)通空間的虛擬商服務(wù)器上使用，只適合于手工開(kāi)通的站點(diǎn)?？梢葬槍?duì)需要FSO和不需要FSO的站點(diǎn)設(shè)置兩個(gè)組，對(duì)于需要FSO的用戶組給予c：winntsystem32scrrun.dll文件的執(zhí)行權(quán)限，不需要的不給權(quán)限。重新啟動(dòng)服務(wù)器即可生效。

對(duì)于這樣的設(shè)置結(jié)合上面的權(quán)限設(shè)置，你會(huì)發(fā)現(xiàn)海陽(yáng)木馬已經(jīng)在這里失去了作用!

PHP的安全設(shè)置：

默認(rèn)安裝的php需要有以下幾個(gè)注意的問(wèn)題：

C：/winnt/php.ini只給予users讀權(quán)限即可。在php.ini里需要做如下設(shè)置：

Safe_mode=on

register_globals = Off

allow_url_fopen = Off

display_errors = Off

magic_quotes_gpc = On [默認(rèn)是on，但需檢查一遍]

open_basedir =web目錄

disable_functions =passthru，exec，shell_exec，system，phpinfo，get_cfg_var，popen，chmod

默認(rèn)設(shè)置com.allow_dcom = true修改為false[修改前要取消掉前面的;]

MySQL安全設(shè)置：

如果服務(wù)器上啟用MySQL數(shù)據(jù)庫(kù)，MySQL數(shù)據(jù)庫(kù)需要注意的安全設(shè)置為：

刪除mysql中的所有默認(rèn)用戶，只保留本地root帳戶，為root用戶加上一個(gè)復(fù)雜的密碼。賦予普通用戶updatedeletealertcreatedrop權(quán)限的時(shí)候，并限定到特定的數(shù)據(jù)庫(kù)，尤其要避免普通客戶擁有對(duì)mysql數(shù)據(jù)庫(kù)操作的權(quán)限。檢查mysql.user表，取消不必要用戶的shutdown_priv，relo

ad_priv，process_priv和File_priv權(quán)限，這些權(quán)限可能泄漏更多的服務(wù)器信息包括非mysql的其它信息出去?？梢詾閙ysql設(shè)置一個(gè)啟動(dòng)用戶，該用戶只對(duì)mysql目錄有權(quán)限。設(shè)置安裝目錄的data數(shù)據(jù)庫(kù)的權(quán)限(此目錄存放了mysql數(shù)據(jù)庫(kù)的數(shù)據(jù)信息)。對(duì)于mysql安裝目錄給users加上讀取、列目錄和執(zhí)行權(quán)限。

Serv-u安全問(wèn)題：

安裝程序盡量采用最新版本，避免采用默認(rèn)安裝目錄，設(shè)置好serv-u目錄所在的權(quán)限，設(shè)置一個(gè)復(fù)雜的管理員密碼。修改serv-u的banner信息，設(shè)置被動(dòng)模式端口范圍(4001—4003)在本地服務(wù)器中設(shè)置中做好相關(guān)安全設(shè)置：包括檢查匿名密碼，禁用反超時(shí)調(diào)度，攔截“FTP bounce”攻擊和FXP，對(duì)于在30秒內(nèi)連接超過(guò)3次的用戶攔截10分鐘。域中的設(shè)置為：要求復(fù)雜密碼，目錄只使用小寫(xiě)字母，高級(jí)中設(shè)置取消允許使用MDTM命令更改文件的日期。

更改serv-u的啟動(dòng)用戶：在系統(tǒng)中新建一個(gè)用戶，設(shè)置一個(gè)復(fù)雜點(diǎn)的密碼，不屬于任何組。將servu的安裝目錄給予該用戶完全控制權(quán)限。建立一個(gè)FTP根目錄，需要給予這個(gè)用戶該目錄完全控制權(quán)限，因?yàn)樗械膄tp用戶上傳，刪除，更改文件都是繼承了該用戶的權(quán)限，否則無(wú)法操作文件。另外需要給該目錄以上的上級(jí)目錄給該用戶的讀取權(quán)限，否則會(huì)在連接的時(shí)候出現(xiàn)530 Not logged in， home directory does not exist.比如在測(cè)試的時(shí)候ftp根目錄為d：soft，必須給d盤(pán)該用戶的讀取權(quán)限，為了安全取消d盤(pán)其他文件夾的繼承權(quán)限。而一般的使用默認(rèn)的system啟動(dòng)就沒(méi)有這些問(wèn)題，因?yàn)閟ystem一般都擁有這些權(quán)限的。

七、其它

1.隱藏重要文件/目錄可以修改注冊(cè)表實(shí)現(xiàn)完全隱藏：HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/ Current-Version/Explorer/Advanced/Folder/Hi-dden/SHOWALL”，鼠標(biāo)右擊 “CheckedValue”，選擇修改，把數(shù)值由1改為0

2.啟動(dòng)系統(tǒng)自帶的Internet連接防火墻，在設(shè)置服務(wù)選項(xiàng)中勾選Web服務(wù)器;

3.防止SYN洪水攻擊：

HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services/Tcpip/Parameters

新建DWORD值，名為SynAttackProtect，值為2

EnablePMTUDiscovery REG_DWORD 0

NoNameReleaseOnDemand REG_DWORD 1

EnableDeadGWDetect REG_DWORD 0

KeepAliveTime REG_DWORD 300，000

PerformRouterDiscovery REG_DWORD 0

EnableICMPRedirects REG_DWORD 0

4. 禁止響應(yīng)ICMP路由通告報(bào)文：

HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services/Tcpip/Parameters/Interfaces/interface

新建DWORD值，名為PerformRouterDiscovery 值為0

5. 防止ICMP重定向報(bào)文的攻擊：

HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services/Tcpip/Parameters

將EnableICMPRedirects 值設(shè)為0

6. 不支持IGMP協(xié)議：

HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services/Tcpip/Parameters

新建DWORD值，名為IGMPLevel 值為0

7.修改終端服務(wù)端口：

運(yùn)行regedit，找到[HKEY_LOCAL_MACHINE / SYSTEM / CurrentControlSet / Control / Terminal Server / Wds / rdpwd / Tds / tcp]，看到右邊的PortNumber了嗎?在十進(jìn)制狀態(tài)下改成你想要的端口號(hào)吧，比如7126之類的，只要不與其它沖突即可。

第二處HKEY_LOCAL_MACHINE / SYSTEM / CurrentControlSet / Control / Terminal Server / WinStations / RDP-Tcp，方法同上，記得改的端口號(hào)和上面改的一樣就行了。

8.禁止IPC空連接：

cracker可以利用net use命令建立空連接，進(jìn)而入侵，還有net view，nbtstat這些都是基于空連接的，禁止空連接就好了。打開(kāi)注冊(cè)表，找到Local_Machine/System/CurrentControlSet/Control/LSA-RestrictAnonymous 把這個(gè)值改成”1”即可。

9.更改TTL值：

cracker可以根據(jù)ping回的TTL值來(lái)大致判斷你的操作系統(tǒng)，如：

TTL=107(WINNT);

TTL=108(win2000);

TTL=127或128(win9x);

TTL=240或241(linux);

TTL=252(solaris);

TTL=240(Irix);

實(shí)際上你可以自己更改的：

HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services/Tcpip/Parameters：DefaultTTL REG_DWORD 0-0xff(0-255 十進(jìn)制，默認(rèn)值128)改成一個(gè)莫名其妙的數(shù)字如258，起碼讓那些小菜鳥(niǎo)暈上半天，就此放棄入侵你也不一定哦。

10. 刪除默認(rèn)共享：

有人問(wèn)過(guò)我一開(kāi)機(jī)就共享所有盤(pán)，改回來(lái)以后，重啟又變成了共享是怎么回事，這是2K為管理而設(shè)置的默認(rèn)共享，必須通過(guò)修改注冊(cè)表的方式取消它：HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services/LanmanServer/Parameters：AutoShareServer類型是REG_DWORD把值改為0即可

11. 禁止建立空連接：

默認(rèn)情況下，任何用戶通過(guò)通過(guò)空連接連上服務(wù)器，進(jìn)而枚舉出帳號(hào)，猜測(cè)密碼。我們可以通過(guò)修改注冊(cè)表來(lái)禁止建立空連接：

Local_Machine/System/CurrentControlSet/Control/LSA-RestrictAnonymous 的值改成”1”即可。

12.禁用TCP/IP上的NetBIOS

網(wǎng)上鄰居-屬性-本地連接-屬性-Internet協(xié)議(TCP/IP)屬性-高級(jí)-WINS面板-NetBIOS設(shè)置-禁用TCP/IP上的NetBIOS。這樣cracker就無(wú)法用nbtstat命令來(lái)讀取你的NetBIOS信息和網(wǎng)卡MAC地址了。

13. 賬戶安全

首先禁止一切賬戶，除了你自己，呵呵。然后把Administrator改名。我呢就順手又建了個(gè)Administrator賬戶，不過(guò)是什么權(quán)限都沒(méi)有的那種，然后打開(kāi)記事本，一陣亂敲，復(fù)制，粘貼到“密碼”里去，呵呵，來(lái)破密碼吧~!破完了才發(fā)現(xiàn)是個(gè)低級(jí)賬戶，看你崩潰不?

創(chuàng)建2個(gè)管理員用帳號(hào)

雖然這點(diǎn)看上去和上面這點(diǎn)有些矛盾，但事實(shí)上是服從上面的規(guī)則的。 創(chuàng)建一個(gè)一般權(quán)限帳號(hào)用來(lái)收信以及處理一些日常事物，另一個(gè)擁有Administrators 權(quán)限的帳戶只在需要的時(shí)候使用?？梢宰尮芾韱T使用 “ RunAS” 命令來(lái)執(zhí)行一些需要特權(quán)才能作的一些工作，以方便管理

14.更改C:/WINDOWS/Help/iisHelp/common/404b.htm內(nèi)容改為這樣，出錯(cuò)了自動(dòng)轉(zhuǎn)到首頁(yè)。

15.本地安全策略和組策略的設(shè)置，如果你在設(shè)置本地安全策略時(shí)設(shè)置錯(cuò)了，可以這樣恢復(fù)成它的默認(rèn)值

打開(kāi) %SystemRoot%/Security文件夾，創(chuàng)建一個(gè) "OldSecurity"子目錄，將%SystemRoot%/Security下所有的.log文件移到這個(gè)新建的子文件夾中

在%SystemRoot%/Security/database/下找到"Secedit.sdb"安全數(shù)據(jù)庫(kù)并將其改名，如改為"Secedit.old"

啟動(dòng)"安全配置和分析"MMC管理單元:"開(kāi)始"->"運(yùn)行"->"MMC"，啟動(dòng)管理控制臺(tái)，"添加/刪除管理單元"，將"安全配置和分析"管理單元添加上

右擊"安全配置和分析"->"打開(kāi)數(shù)據(jù)庫(kù)"，瀏覽"C:/WINNT/security/Database"文件夾，輸入文件名"secedit.sdb"，單擊"打開(kāi)"

當(dāng)系統(tǒng)提示輸入一個(gè)模板時(shí)，選擇"Setup Security.inf"，單擊"打開(kāi)"，如果系統(tǒng)提示"拒絕訪問(wèn)數(shù)據(jù)庫(kù)"，不管他，你會(huì)發(fā)現(xiàn)在"C:/WINNT/security/Database"子文件夾中重新生成了新的安全數(shù)據(jù)庫(kù)，在"C:/WINNT/security"子文件夾下重新生成了log文件，安全數(shù)據(jù)庫(kù)重建成功。

16.禁用DCOM:

運(yùn)行中輸入 Dcomcnfg.exe。 回車(chē)， 單擊“控制臺(tái)根節(jié)點(diǎn)”下的“組件服務(wù)”。 打開(kāi)“計(jì)算機(jī)”子文件夾。對(duì)于本地計(jì)算機(jī)，請(qǐng)以右鍵單擊“我的電腦”，然后選擇“屬性”。選擇“默認(rèn)屬性”選項(xiàng)卡。清除“在這臺(tái)計(jì)算機(jī)上啟用分布式 COM”復(fù)選框。

第二步：

盡管Windows 2003的功能在不斷增強(qiáng)，但是由于先天性的原因，它還存在不少安全隱患，要是不將這些隱患“堵住”，可能會(huì)給整個(gè)系統(tǒng)帶來(lái)不必要的麻煩;下面筆者就介紹Windows2003中不常見(jiàn)的安全隱患的防堵方法，希望能對(duì)各位帶來(lái)幫助!

堵住自動(dòng)保存隱患

Windows 2003操作系統(tǒng)在調(diào)用應(yīng)用程序出錯(cuò)時(shí)，系統(tǒng)中的Dr. Watson會(huì)自動(dòng)將一些重要的調(diào)試信息保存起來(lái)，以便日后維護(hù)系統(tǒng)時(shí)查看，不過(guò)這些信息很有可能被黑客“瞄上”，一旦瞄上的話，各種重要的調(diào)試信息就會(huì)暴露無(wú)疑，為了堵住Dr. Watson自動(dòng)保存調(diào)試信息的隱患，我們可以按如下步驟來(lái)實(shí)現(xiàn)：

1、打開(kāi)開(kāi)始菜單，選中“運(yùn)行”命令，在隨后打開(kāi)的運(yùn)行對(duì)話框中，輸入注冊(cè)表編輯命令“ergedit”命令，打開(kāi)一個(gè)注冊(cè)表編輯窗口;

2、在該窗口中，用鼠標(biāo)依次展開(kāi)HKEY_local_machine\software\Microsoft\WindowsdowsNT\CurrentVersion\AeDebug分支，在對(duì)應(yīng)AeDebug鍵值的右邊子窗口中，用鼠標(biāo)雙擊Auto值，在彈出的參數(shù)設(shè)置窗口中，將其數(shù)值重新設(shè)置為“0”，

3、打開(kāi)系統(tǒng)的Windows資源管理器窗口，并在其中依次展開(kāi)Documents and Settings文件夾、All Users文件夾、Shared Documents文件夾、DrWatson文件夾，最后將對(duì)應(yīng)DrWatson中的User.dmp文件、Drwtsn32.log文件刪除掉。

完成上面的設(shè)置后，重新啟動(dòng)一下系統(tǒng)，就可以堵住自動(dòng)保存隱患了。

堵住資源共享隱患

為了給局域網(wǎng)用戶相互之間傳輸信息帶來(lái)方便，Windows Server 2003系統(tǒng)很是“善解人意”地為各位提供了文件和打印共享功能，不過(guò)我們?cè)谙硎茉摴δ軒?lái)便利的同時(shí)，共享功能也會(huì)“引狼入室”，“大度”地向黑客們敞開(kāi)了不少漏洞，給服務(wù)器系統(tǒng)造成了很大的不安全性;所以，在用完文件或打印共享功能時(shí)，大家千萬(wàn)要隨時(shí)將功能關(guān)閉喲，以便堵住資源共享隱患，下面就是關(guān)閉共享功能的具體步驟：

1、執(zhí)行控制面板菜單項(xiàng)下面的“網(wǎng)絡(luò)連接”命令，在隨后出現(xiàn)的窗口中，用鼠標(biāo)右鍵單擊一下“本地連接”圖標(biāo);

2、在打開(kāi)的快捷菜單中，單擊“屬性”命令，這樣就能打開(kāi)一個(gè)“Internet協(xié)議(TCP/IP)”屬性設(shè)置對(duì)話框;

3、在該界面中取消“Microsoft網(wǎng)絡(luò)的文件和打印機(jī)共享”這個(gè)選項(xiàng);

4、如此一來(lái)，本地計(jì)算機(jī)就沒(méi)有辦法對(duì)外提供文件與打印共享服務(wù)了，這樣黑客自然也就少了攻擊系統(tǒng)的“通道”。

堵住遠(yuǎn)程訪問(wèn)隱患

在Windows2003系統(tǒng)下，要進(jìn)行遠(yuǎn)程網(wǎng)絡(luò)訪問(wèn)連接時(shí)，該系統(tǒng)下的遠(yuǎn)程桌面功能可以將進(jìn)行網(wǎng)絡(luò)連接時(shí)輸入的用戶名以及密碼，通過(guò)普通明文內(nèi)容方式傳輸給對(duì)應(yīng)連接端的客戶端程序;在明文帳號(hào)傳輸過(guò)程中，實(shí)現(xiàn)“安插”在網(wǎng)絡(luò)通道上的各種嗅探工具，會(huì)自動(dòng)進(jìn)入“嗅探”狀態(tài)，這個(gè)明文帳號(hào)就很容易被“俘虜”了;明文帳號(hào)內(nèi)容一旦被黑客或其他攻擊者另謀他用的話，呵呵，小心自己的系統(tǒng)被“瘋狂”攻擊吧!為了杜絕這種安全隱患，我們可以按下面的方法來(lái)為系統(tǒng)“加固”：

1、點(diǎn)擊系統(tǒng)桌面上的“開(kāi)始”按鈕，打開(kāi)開(kāi)始菜單;

2、從中執(zhí)行控制面板命令，從彈出的下拉菜單中，選中“系統(tǒng)”命令，打開(kāi)一個(gè)系統(tǒng)屬性設(shè)置界面;

3、在該界面中，用鼠標(biāo)單擊“遠(yuǎn)程”標(biāo)簽;

4、在隨后出現(xiàn)的標(biāo)簽頁(yè)面中，將“允許用戶遠(yuǎn)程連接到這臺(tái)計(jì)算機(jī)”選項(xiàng)取消掉，這樣就可以將遠(yuǎn)程訪問(wèn)連接功能屏蔽掉，從而堵住遠(yuǎn)程訪問(wèn)隱患了。

堵住用戶切換隱患

Windows 2003系統(tǒng)為我們提供了快速用戶切換功能，利用該功能我們可以很輕松地登錄到系統(tǒng)中;不過(guò)在享受這種輕松時(shí)，系統(tǒng)也存在安裝隱患，例如我們要是執(zhí)行系統(tǒng)“開(kāi)始”菜單中的“注銷”命令來(lái)，快速“切換用戶”時(shí)，再用傳統(tǒng)的方式來(lái)登錄系統(tǒng)的話，系統(tǒng)很有可能會(huì)本次登錄，錯(cuò)誤地當(dāng)作是對(duì)計(jì)算機(jī)系統(tǒng)的一次暴力“襲擊”，這樣Windows2003系統(tǒng)就可能將當(dāng)前登錄的帳號(hào)當(dāng)作非法帳號(hào)，將它鎖定起來(lái)，這顯然不是我們所需要的;不過(guò)，我們可以按如下步驟來(lái)堵住用戶切換時(shí)，產(chǎn)生的安全隱患：

在Windows 2003系統(tǒng)桌面中，打開(kāi)開(kāi)始菜單下面的控制面板命令，找到下面的“管理工具”命令，再執(zhí)行下級(jí)菜單中的“計(jì)算機(jī)管理”命令，找到“用戶帳戶”圖標(biāo)，并在隨后出現(xiàn)的窗口中單擊“更改用戶登錄或注銷的方式”;在打開(kāi)的設(shè)置窗口中，將“使用快速用戶切換”選項(xiàng)取消掉就可以了。

堵住頁(yè)面交換隱患

Windows 2003操作系統(tǒng)即使在正常工作的情況下，也有可能會(huì)向黑客或者其他訪問(wèn)者泄漏重要的機(jī)密信息，特別是一些重要的帳號(hào)信息。也許我們永遠(yuǎn)不會(huì)想到要查看一下，那些可能會(huì)泄漏隱私信息的文件，不過(guò)黑客對(duì)它們倒是很關(guān)心的喲!Windows 2003操作系統(tǒng)中的頁(yè)面交換文件中，其實(shí)就隱藏了不少重要隱私信息，這些信息都是在動(dòng)態(tài)中產(chǎn)生的，要是不及時(shí)將它們清除，就很有可能成為黑客的入侵突破口;為此，我們必須按照下面的方法，來(lái)讓W(xué)indows 2003操作系統(tǒng)在關(guān)閉系統(tǒng)時(shí)，自動(dòng)將系統(tǒng)工作時(shí)產(chǎn)生的頁(yè)面文件全部刪除掉：

1、在Windows 2003的“開(kāi)始”菜單中，執(zhí)行“運(yùn)行”命令，打開(kāi)運(yùn)行對(duì)話框，并在其中輸入“Regedit”命令，來(lái)打開(kāi)注冊(cè)表窗口;

2、在該窗口的左邊區(qū)域中，用鼠標(biāo)依次單擊HKEY_local_machine\system\currentcontrolset\control\sessionmanager\memory management鍵值，找到右邊區(qū)域中的ClearPageFileAtShutdown鍵值，并用鼠標(biāo)雙擊之，在隨后打開(kāi)的數(shù)值設(shè)置窗口中，將該DWORD值重新修改為“1”;

3、完成設(shè)置后，退出注冊(cè)表編輯窗口，并重新啟動(dòng)計(jì)算機(jī)系統(tǒng)，就能讓上面的設(shè)置生效了

腳本之家補(bǔ)充資料：

如果大家使用的是php5.2.17的可以到s.jb51.net下載星外PHP5.2.17自動(dòng)配置安裝包 相對(duì)應(yīng)的版本。安裝版的很省心，很多參數(shù)都設(shè)置好了。

第三、就是數(shù)據(jù)庫(kù)的降權(quán)運(yùn)行，包括sqlserver與mysql

將MS SQL SERVER數(shù)據(jù)庫(kù)運(yùn)行在普通用戶(獨(dú)立用戶)狀態(tài)下的設(shè)置方法終結(jié)篇

需要注意的是，sqlserver的所在磁盤(pán)需要加sqlserver列出目錄權(quán)限。不要給讀寫(xiě)。安裝目錄需要給所有權(quán)限。如果不能運(yùn)行就是權(quán)限問(wèn)題，可以參考上面的位置

MySQL降權(quán)運(yùn)行之MySQL以Guests帳戶啟動(dòng)設(shè)置方法

當(dāng)然guests組也可以不給，mysql安全目錄需要讀寫(xiě)權(quán)限。如果不能運(yùn)行也是權(quán)限問(wèn)題或用戶名密碼不正確

當(dāng)然還有很多需要注意的地方，大家可以用 “關(guān)鍵詞 site:jb51.net”搜索即可。

最新評(píng)論