win2003server安全配置
2008-02-22 08:51
399 查看
Ninedns给我一份,bat,看了下,和我自己做的差不多,给黑多了,现在怕了...这次做的安全应该是比较全的,整理一下,应该是网上最全的一个了...不少地方是我自己原创的很多地方都省略了,可以自己去查资料..我的win2003server安全配置 22 May Posted by clinch on 2007, May 22, 12:16 AM View 3 Peralty as 其他 //卸载不安全组件 regsvr32 /u C:/WINDOWS/System32/wshom.ocx regsvr32 /u C:/WINDOWS/System32//shell32.dll //磁盘权限... cacls c:/ /c /g administrators:f system:f cacls d:/ /c /g administrators:f system:f cacls e:/ /c /g administrators:f system:f cacls f:/ /c /g administrators:f system:f cacls "C:/Documents and Settings" /c /g administrators:f system:f cacls "C:/Documents and Settings/All Users" /c /g administrators:f system:f cacls "C:/Program Files" /c /g administrators:f system:f cacls "C:/Windows/System32/cacls.exe" /c /g administrators:f system:f cacls "C:/Windows/System32/net.exe" /c /g administrators:f system:f cacls "C:/Windows/System32/net1.exe" /c /g administrators:f system:f cacls "C:/Windows/System32/cmd.exe" /c /g administrators:f system:f cacls "C:/Windows/System32/tftp.exe" /c /g administrators:f system:f cacls "C:/Windows/System32/netstat.exe" /c /g administrators:f system:f cacls "C:/Windows/System32/regedt32.exe" /c /g administrators:f system:f cacls "C:/Windows/System32/at.exe" /c /g administrators:f system:f cacls "C:/Windows/System32/shell32.dll" /c /g administrators:f system:f cacls "C:/Windows/System32/format.com" /c /g administrators:f system:f cacls "C:/Windows/System32/wshom.ocx" /c /g administrators:f system:f cacls "c:/windows/system32/shell32.dll" /c /g administrators:f system:f cacls "C:/WINDOWS/System32/activeds.tlb" /c /g administrators:f system:f RD C:/Inetpub /S /Q cacls C:/WINDOWS/system32/Cmd.exe /e /d guests cacls "C:/WINDOWS/System32/shell32.dll" /e /d guests cacls "C:/WINDOWS/System32/scrrun.dll" /e /d guests cacls "C:/WINDOWS/System32/net.exe" /e /d guests cacls "C:/WINDOWS/System32/net1.exe" /e /d guests cacls "C:/WINDOWS/System32/tftp.exe" /e /d guests cacls "C:/WINDOWS/System32/netstat.exe" /e /d guests cacls "C:/WINDOWS/System32/regedit.exe" /e /d guests cacls "C:/WINDOWS/System32/at.exe" /e /d guests cacls "C:/WINDOWS/System32/attrib.exe" /e /d guests cacls "C:/WINDOWS/System32/ca.exe" /e /d guests cacls "C:/WINDOWS/System32/format.com" /e /d guests 注册表操作: //fso组件改名--------网上搜索..修改注册表中的2个地方 //shell.application改名... // 禁止空连接,Local_Machine/System/ CurrentControlSet/Control/LSA RestrictAnonymous 把这个值改成”1” //删除默认共享,HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services/LanmanServer/Parameters AutoShareServer 类型 REG_DWORD 值0 SQL SERVER设置: 1,将master表中存储过程"sp_password"的public和guest权限取消 2,删除win系统用户sqldebugger ---没用的帐号,还经常给黑客利用 3,用户去掉db_onwer权限 4,在 企业管理器 中运行以下脚本: use master EXEC sp_dropextendedproc 'xp_cmdshell' EXEC sp_dropextendedproc 'Sp_OACreate' EXEC sp_dropextendedproc 'Sp_OADestroy' EXEC sp_dropextendedproc 'Sp_OAGetErrorInfo' EXEC sp_dropextendedproc 'Sp_OAGetProperty' EXEC sp_dropextendedproc 'Sp_OAMethod' EXEC sp_dropextendedproc 'Sp_OASetProperty' EXEC sp_dropextendedproc 'Sp_OAStop' EXEC sp_dropextendedproc 'Xp_regaddmultistring' EXEC sp_dropextendedproc 'Xp_regdeletekey' EXEC sp_dropextendedproc 'Xp_regdeletevalue' EXEC sp_dropextendedproc 'Xp_regenumvalues' EXEC sp_dropextendedproc 'Xp_regremovemultistring' EXEC sp_dropextendedproc 'Xp_regwrite' drop procedure sp_makewebtask 5,为网站建立一个非sa用户 6,SQL SERVER以某特殊用户运行,增加一个系统用户属于users 组,专门代替system来运行mssql 禁用以下服务: Workstation TCP/IP NetBIOS Helper Telnet Print Spooler Remote Registry Routing and Remote Access Computer Browser Server 帐户设置: 禁用 Guest 帐户,改为复杂密码 重命名 Administrator 帐户,并为它设置强密码 禁用"IUSR_MACHINE" 删除 sqldebugger 防火墙: 只开 80,3389(建议修改3389端口) 如果数据库在本地,1433 也不开 如果有serv-u就开21吧,建议修改为其它端口,还有serv-u要修改内建的默认密码,防止给提升权限,可以用xdowns提供的版本,密码已经修改为一堆破解不了的迷密码...黑客怎么输入都是不对的。 IIS方面: 1,删除默认站点 2,删除不使用的脚本映射(如.htw,.idc等) 3,禁止"FrontPage Server Extensions" 4,在"Web 服务扩展"中禁止"WebD***" 5,asp的站就删除剩下asp映射,php就删除剩下php映射 6,每个网站一个独立的系统用户,都属于自己建立的组,设置这个组在任何盘都拒绝,只允许你的web目录 针对arp欺骗: 网关/路由 那绑定你的ip和mac 你的服务器那绑定真正的网关 arp -s %IP% %Mac% 最后,严格控制网站对应的用户各个目录的权限(这点如果是大站,比较重要的站建议做做): 图片的目录:只能读,需要上传的加个写入,千万不要给运行权限 不需要修改的东西都只有读的权限,asp或php就加个运行,后台改名字,登录加验证码,在你验证码的基础上,按照不同的日期,这个数字加上特定的数字,比如显示:1234 今天星期二,那么我规定,要写入 212342 才能正确 一切静态化,动态的只是搜索和评论(干脆不要),做好安全过滤,防止注入 |
相关文章推荐
- 转:WIN2003 Server安全配置
- Win2003 Server安全配置完整篇
- Win2003 Server安全配置完整篇
- WIN2003 Server安全配置
- [推荐]Win2003 Server安全配置完整篇第1/3页
- Win2003 Server安全配置完整篇
- Win2003 Server安全配置完整篇 端口关闭第1/3页
- Win2003 Server安全配置完整篇
- 我的win2003server安全配置
- Win2003 Server安全配置完整篇
- 系统安全之Win2000Server安全配置入门
- 安全配置向导为Win2003打造“铜墙铁壁”
- Win2003 防木马、权限设置、IIS服务器安全配置整理
- Win2003 防木马、权限设置、IIS服务器安全配置整理
- 配置安全的Linked server
- win2003 IIS虚拟主机网站防木马、权限设置、安全配置整理
- Server 2008 standard sp2关闭UAC和IE的增强的安全配置
- win2003 server 下 配置 apache 的rewrite
- Windows2003 Server安全配置完整篇
- Windows 2003 Server安全配置完整篇