win2003服务器安全配置技巧【汇集】
2010-04-15 14:44
411 查看
win2003服务器安全配置技巧【汇集】
很久就想整理一份关于win2003服务器安全配置技巧,本人花了好几天查找各方面资料以及平时用到的一些东西,终于整理出来了,本文涉及到管理帐户,关闭多余的服务,审核策略,修改终端管理端口,IIS,SQLserver,FTP 等等一些安全配置办法。以下方法仅供大家参考,如有不足或不对之处请大家斧正。
一:先来说关于系统的NTFS磁盘权限设置,(大家可能看得都多了,但是2003服务器有些细节地方需要注意的:)
1.C盘只给administrators 和system权限,其他的权限不给,其他的盘也可以这样设置,这里给的system权限也不一定需要给,只是由于某
些第三方应用程序是以服务形式启动的,需要加上这个用户,否则造成启动不了。
2.Windows目录要加上给users的默认权限,否则ASP和ASPX等应用程序就无法运行。有些人喜欢单独设置Instsrv和temp等目录权限,其实没
有这个必要的。
3.c:/Documents and Settings/这里相当重要,后面的目录里的权限根本不会继承从前的设置,如果仅仅只是设置了C盘给administrators权
限,而在All Users/Application Data目录下会出现everyone用户有完全控制权限,这样入侵这可以跳转到这个目录,写入脚本或只文件,再结
合其他漏洞来提升权限;譬如利用serv-u的本地溢出提升权限,或系统遗漏有补丁,数据库的弱点,甚至社会工程学等等N多方法,有牛人说:"
只要给我一个webshell,我就能拿到 system",这也的确是有可能的。在用做web/ftp服务器的系统里,建议是将这些目录都设置的锁死。其他每
个盘的目录都按照这样设置,每个盘都只给adinistrators权限。
4.将:net.exe,cmd.exe,tftp.exe,netstat.exe,regedit.exe,at.exe,attrib.exe,cacls.exe,这些文件都设置只让administrators
访问。
二:SERV-U FTP 服务器的设置:
一般来说,使用srev-u做ftp服务器,漏洞出现的太频繁了,但是因为其操作简单,功能强大,过于流行,关注的人也多,才被发掘出bug来
,关于serv-u的安全设置:
1.选中"Block "FTP_bounce"attack and FXP"。通常,当使用FTP协议进行文件传输时,客户端首先向FTP服务器发出一个"PORT"命令,该命
令中包含此用户的IP地址和将被用来进行数据传输的端口号,服务器收到后,利用命令所提供的用户地址信息建立与用户的连接。大多数情况下
,上述过程不会出现任何问题,但当客户端是一名恶意用户时,可能会通过在PORT命令中加入特定的地址信息,使FTP服务器与其它非客户端的机
器建立连接。虽然这名恶意用户可能本身无权直接访问某一特定机器,但是如果FTP服务器有权访问该机器的话,那么恶意用户就可以通过FTP服
务器作为中介,仍然能够最终实现与目标服务器的连接。这就是FXP,也称跨服务器攻击。选中后就可以防止发生此种情况。
2.选中"Block anti time-out schemes"。其次,在"Advanced"选项卡中,检查 "Enable security"是否被选中,如果没有,选择它们。
三: IIS的安全:
1.删掉c:/inetpub目录,删除iis不必要的映射。
2.每一个web站点使用单独的IIS用户,譬如这里,新建立了一个名为www.test.com ,权限为guest的。
在IIS里的站点属性里"目录安全性"---"身份验证和访问控制"里设置匿名访问使用下列Windows 用户帐户"的用户名密码都使用www.test.com
这个用户的信息.在这个站点相对应的web目录文件,默认的只给IIS用户的读取和写入权限。
在"应用程序配置"里,我们给必要的几种脚本执行权限:ASP.ASPX,PHP, ASP,ASPX默认都提供映射支持了的,对于PHP,需要新添加响应的
映射脚本,然后在web服务扩展将ASP,ASPX都设置为允许,对于 php以及CGI的支持,需要新建web服务扩展,在扩展名(X):下输入 php ,再在
要求的文件(E):里添加地址 C:/php/sapi/php4isapi.dll ,并勾选设置状态为允许(S)。然后点击确定,这样IIS就支持PHP了。支持CGI同样也
是如此。要支持ASPX,还需要给web根目录给上users用户的默认权限,才能使ASPX能执行。
3.在应用程序配置里,设置调试为向客户端发送自定义的文本信息,这样能对于有ASP注入漏洞的站点,可以不反馈程序报错的信息,能够避
免一定程度的攻击。
4.在自定义HTTP错误选项里,有必要定义下譬如404,500等错误,不过有有时候为了调试程序,好知道程序出错在什么地方,建议只设置404
就可以了。
5.IIS6.0由于运行机制的不同,出现了应用程序池的概念。一般建议10个左右的站点共用一个应用程序池,应用程序池对于一般站点可以采
用默认设置,可以在每天凌晨的时候回收一下工作进程。
6.新建立一个站,采用默认向导,在设置中注意以下在应用程序设置里:执行权限为默认的纯脚本,应用程序池使用独立的名为:test的程
序池。名为test的应用程序池可以适当设置下"内存回收":这里的最大虚拟内存为:1000M,最大使用的物理内存为256M,这样的设置几乎是没限
制这个站点的性能的。在应用程序池里有个"标识"选项,可以选择应用程序池的安全性帐户,默认才用网络服务这个帐户,大家就不要动它,能
尽量以最低权限去运行大,隐患也就更小些。在一个站点的某些目录里,譬如这个"uploadfile"目录,不需要在里面运行asp程序或其他脚本的,
就去掉这个目录的执行脚本程序权限,在"应用程序设置"的"执行权限"这里,默认的是"纯脚本",我们改成"无",这样就只能使用静态页面了。
依次类推,大凡是不需要asp运行的目录,譬如数据库目录,图片目录等等里都可以这样做,这样主要是能避免在站点应用程序脚本出现bug的时
候,譬如出现从前流行的upfile漏洞,而能够在一定程度上对漏洞有扼制的作用。
7.在默认情况下,我们一般给每个站点的web目录的权限为IIS用户的读取和写入,但是我们现在为了将SQL注入,上传漏洞全部都赶走,我们
可以采取手动的方式进行细节性的策略设置。给web根目录的IIS用户只给读权限.然后我们对响应的uploadfiles/或其他需要存在上传文件的目录
额外给写的权限,并且在IIS里给这个目录无脚本运行权限,这样即使网站程序出现漏洞,入侵者也无法将asp木马写进目录里去,呵呵,不过没
这么简单就防止住了攻击,还有很多工作要完成。如果是MS-SQL数据库的,就这样也就OK了,但是Access的数据库的话,其数据库所在的目录,
或数据库文件也得给写权限,然后数据库文件没必要改成.asp的。这样的后果大家也都知道了把,一旦你的数据库路径被暴露了,这个数据库就
是一个大木马,够可怕的。其实完全还是规矩点只用mdb后缀,这个目录在IIS里不给执行脚本权限。然后在IIS里加设置一个映射规律,用任意一
个dll文件来解析.mdb后缀名的映射,只要不用asp.dll来解析就可以了,这样别人即使获得了数据库路径也无法下载。这个方法可以说是防止数
据库被下载的终极解决办法了。
四.SQL SERVER设置:
1)将master表中存储过程"sp_password"的public和guest权限取消
2)删除win系统用户sqldebugger ---没用的帐号,还经常给黑客利用
3)用户去掉db_onwer权限
4)System Administrators 角色最好不要超过两个
5)如果是在本机最好将身份验证配置为Win登陆
6)不要使用Sa账户,为其配置一个超级复杂的密码
7)删除以下的扩展存储过程格式为:
use master
sp_dropextendedproc '扩展存储过程名'
xp_cmdshell:是进入操作系统的最佳捷径,删除
访问注册表的存储过程,删除
Xp_regaddmultistringXp_regdeletekeyXp_regdeletevalueXp_regenumvalues
Xp_regread Xp_regwrite Xp_regremovemultistring
OLE自动存储过程,不需要,删除
Sp_OACreate Sp_OADestroySp_OAGetErrorInfoSp_OAGetProperty
Sp_OAMethodSp_OASetPropertySp_OAStop
8)隐藏 SQL Server、更改默认的1433端口。
右击实例选属性-常规-网络配置中选择TCP/IP协议的属性,选择隐藏 SQL Server 实例,并改原默认的1433端口。
9)在 企业管理器 中运行以下脚本:
use master
EXEC sp_dropextendedproc 'xp_cmdshell'
EXEC sp_dropextendedproc 'Sp_OACreate'
EXEC sp_dropextendedproc 'Sp_OADestroy'
EXEC sp_dropextendedproc 'Sp_OAGetErrorInfo'
EXEC sp_dropextendedproc 'Sp_OAGetProperty'
EXEC sp_dropextendedproc 'Sp_OAMethod'
EXEC sp_dropextendedproc 'Sp_OASetProperty'
EXEC sp_dropextendedproc 'Sp_OAStop'
EXEC sp_dropextendedproc 'Xp_regaddmultistring'
EXEC sp_dropextendedproc 'Xp_regdeletekey'
EXEC sp_dropextendedproc 'Xp_regdeletevalue'
EXEC sp_dropextendedproc 'Xp_regenumvalues'
EXEC sp_dropextendedproc 'Xp_regremovemultistring'
EXEC sp_dropextendedproc 'Xp_regwrite'
drop procedure sp_makewebtask
五:修改注册表,让系统更安全 :
1、隐藏重要文件/目录可以修改注册表实现完全隐藏:HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/ Windows/ Current-
Version/Explorer/Advanced/Folder/Hi-dden/SHOWALL”,鼠标右击 “CheckedValue”,选择修改,把数值由1改为0
2、启动系统自带的Internet连接_blank">防火墙,在设置服务选项中勾选Web服务器。
3、防止SYN洪水攻击
HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services/Tcpip/Parameters
新建DWORD值,名为SynAttackProtect,值为2
EnablePMTUDiscovery REG_DWORD 0
NoNameReleaseOnDemand REG_DWORD 1
EnableDeadGWDetect REG_DWORD 0
KeepAliveTime REG_DWORD 300,000
PerformRouterDiscovery REG_DWORD 0
EnableICMPRedirects REG_DWORD 0
4. 禁止响应ICMP路由通告报文
HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services/Tcpip/Parameters/Interfaces/interface
新建DWORD值,名为PerformRouterDiscovery 值为0
5. 防止ICMP重定向报文的攻击
HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services/Tcpip/Parameters
将EnableICMPRedirects 值设为0
6. 不支持IGMP协议
HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services/Tcpip/Parameters
新建DWORD值,名为IGMPLevel 值为0
7.修改终端服务端口
运行regedit,找到[HKEY_LOCAL_MACHINE / SYSTEM / CurrentControlSet / Control / Terminal Server / Wds / rdpwd / Tds / tcp],看到
右边的PortNumber了吗?在十进制状态下改成你想要的端口号吧,比如7126之类的,只要不与其它冲突即可。
2、第二处HKEY_LOCAL_MACHINE / SYSTEM / CurrentControlSet / Control / Terminal Server / WinStations / RDP-Tcp,方法同上,记得改
的端口号和上面改的一样就行了。
8、禁止IPC空连接:
cracker可以利用net use命令建立空连接,进而入侵,还有net view,nbtstat这些都是基于空连接的,禁止空连接就好了。打开注册表,找到
Local_Machine/System/ CurrentControlSet/Control/LSA-RestrictAnonymous 把这个值改成”1”即可。
9、更改TTL值
cracker可以根据ping回的TTL值来大致判断你的操作系统,如:
TTL=107(WINNT);
TTL=108(win2000);
TTL=127或128(win9x);
TTL=240或241(linux);
TTL=252(solaris);
TTL=240(Irix);
实际上你可以自己更改的:HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services/ Tcpip/Parameters:DefaultTTL REG_DWORD 0-0xff(0-
255 十进制,默认值128)改成一个莫名其妙的数字如258,起码让那些小菜鸟晕上半天,就此放弃入侵你也不一定哦
10. 删除默认共享
有人问过我一开机就共享所有盘,改回来以后,重启又变成了共享是怎么回事,这是2K为管理而设置的默认共享,必须通过修改注册表的方式
取消它: HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services/LanmanServer/Parameters: AutoShareServer类型是REG_DWORD把值改为0
即可
11. 禁止建立空连接
默认情况下,任何用户通过通过空连接连上服务器,进而枚举出帐号,猜测密码。我们可以通过修改注册表来禁止建立空连接:
Local_Machine/System/CurrentControlSet/Control/LSA-RestrictAnonymous 的值改成”1”即可。
12.不让系统显示上次登录的用户名
默认情况下,登录对话框中会显示上次登录的用户名。这使得别人可以很容易地得到系统的一些用户名,进而做密码猜测。修改注册表可以
不让对话框里显示上次登录的用户名。方法为:打开注册表编辑器并找到注册表“HKLM/Software/Microsoft/Windows T/CurrentVersion
/Winlogon/Dont-DisplayLastUserName”,把REG_SZ的键值改成1。
六:其它安全手段 :
1.禁用TCP/IP上的NetBIOS
在"网络连接"里,把不需要的协议和服务都删掉,这里只安装了基本的Internet协议(TCP/IP),由于要控制带宽流量服务,额外安装了 Qos
数据包计划程序。在高级tcp/ip设置里--"NetBIOS"设置"禁用tcp/IP上的NetBIOS(S)"这样cracker就无法用nbtstat命令来读取你的NetBIOS信
息和网卡MAC地址了。 在高级选项里,使用 "Internet连接防火墙",这是windows 2003 自带的防火墙,在2000系统里没有的功能,虽然没什么
功能,但可以屏蔽端口,这样已经基本达到了一个IPSec的功能。在这里我们按照所需要的服务开放响应的端口。在2003系统里,不推荐用TCP/IP
筛选里的端口过滤功能,譬如在使用FTP服务器的时候,如果仅仅只开放21端口,由于FTP协议的特殊性,在进行FTP传输的时候,由于FTP 特有的
Port模式和Passive模式,在进行数据传输的时候,需要动态的打开高端口,所以在使用TCP/IP过滤的情况下,经常会出现连接上后无法列出目录
和数据传输的问题。所以在2003系统上增加的windows连接防火墙能很好的解决这个问题,所以都不推荐使用网卡的TCP/IP过滤功能。
2. 账户安全 。首先禁止一切账户,除了你自己,呵呵。然后把Administrator改名。我呢就顺手又建了个Administrator账户,不过是什么权限
都没有的那种,然后打开记事本,一阵乱敲,复制,粘贴到“密码”里去,呵呵,来破密码吧~!破完了才发现是个低级账户,看你崩溃不?
创建2个管理员用帐号 ,虽然这点看上去和上面这点有些矛盾,但事实上是服从上面的规则的。创建一个一般权限帐号用来收信以及处理一些*常
事物,另一个拥有Administrators 权限的帐户只在需要的时候使用。可以让管理员使用 “ RunAS” 命令来执行一些需要特权才能作的一些工作
,以方便管理 。
3.更改C:/WINDOWS/Help/iisHelp/common/404b.htm内容改为 <META http-equiv=REFRESH content=0;URL=/;>这样,出错了自动转到首页
4. 安全日志
我遇到过这样的情况,一台主机被别人入侵了,系统管理员请我去追查凶手,我登录进去一看:安全日志是空的,倒,请记住:Win2000的默认安
装是不开任何安全审核的!那么请你到本地安全策略->审核策略中打开相应的审核,推荐的审核是:
账户管理 成功 失败
登录事件 成功 失败
对象访问 失败
策略更改 成功 失败
特权使用 失败
系统事件 成功 失败
目录服务访问 失败
账户登录事件 成功 失败
审核项目少的缺点是万一你想看发现没有记录那就一点都没辙;审核项目太多不仅会占用系统资源而且会导致你根本没空去看,这样就失去了审
核的意义
5. 运行防毒软件
我见过的Win2000/Nt服务器从来没有见到有安装了防毒软件的,其实这一点非常重要。一些好的杀毒软件不仅能杀掉一些著名的病毒,还能查杀
大量木马和后门程序。这样的话,“黑客”们使用的那些有名的木马就毫无用武之地了。不要忘了经常升级病毒库。
6.sqlserver数据库服务器安全和serv-u ftp服务器安全配置,更改默认端口,和管理密码
7.设置ip筛选、用blackice禁止木马常用端口
一般禁用以下端口
135 138 139 443 445 4000 4899 7626
8.本地安全策略和组策略的设置:
本地策略安全选项:
交互式登陆:不显示上次的用户名 启用
网络访问:不允许SAM帐户和共享的匿名枚举 启用
网络访问:不允许为网络身份验证储存凭证 启用
网络访问:可匿名访问的共享 全部删除
网络访问:可匿名访问的命全部删除
网络访问:可远程访问的注册表路径全部删除
网络访问:可远程访问的注册表路径和子路径全部删除
帐户:重命名来宾帐户重命名一个帐户
帐户:重命名系统管理员帐户 重命名一个帐户
用户权限分配策略,关闭系统:只有Administrators组、其它全部删除。通过终端服务允许登陆:只加入Administrators,Remote Desktop
Users组,其他全部删除。
使用用户策略,分别设置复位用户锁定计数器时间为20分钟,用户锁定时间为20分钟,用户锁定阈值为3次。
开启密码策略,注意应用密码策略,如启用密码复杂性要求,设置密码长度最小值为6位 ,设置强制密码历史为5次,时间为30天等。
审核策略,在创建审核项目时需要注意的是如果审核的项目太多,生成的事件也就越多,那么要想发现严重的事件也越难当然如果审核的太少
也会影响你发现严重的事件,你需要根据情况在这二者之间做出选择。
推荐的要审核的项目是:
登录事件
账户登录事件
系统事件
策略更改
对象访问
目录服务访问
特权使用
如果你在设置本地安全策略时设置错了,可以这样恢复成它的默认值.
打开 %SystemRoot%/Security文件夹,创建一个 "OldSecurity"子目录,将%SystemRoot%/Security下所有的.log文件移到这个新建的子文件夹
中. 在%SystemRoot%/Security/database/下找到"Secedit.sdb"安全数据库并将其改名,如改为"Secedit.old". 启动"安全配置和分析"MMC管理单
元:"开始"->"运行"->"MMC",启动管理控制台,"添加/删除管理单元",将"安全配置和分析"管理单元添加上. 右击"安全配置和分析"->"打开数据库
",浏览"C:/WINNT/security/Database"文件夹,输入文件名"secedit.sdb",单击"打开". 当系统提示输入一个模板时,选择"Setup Security.inf",
单击"打开". 如果系统提示"拒绝访问数据库",不管他. 你会发现在"C:/WINNT/security/Database"子文件夹中重新生成了新的安全数据库,
在"C:/WINNT/security"子文件夹下重新生成了log文件.安全数据库重建成功.
9.把不必要的服务都禁止掉,尽管这些不一定能被攻击者利用得上,但是多余的东西就没必要开启,减少一份隐患。
打开相应的审核策略
关闭以下的服务:
Computer Browser 维护网络上计算机的最新列表以及提供这个列表
Task scheduler 允许程序在指定时间运行
Messenger 传输客户端和服务器之间的 NET SEND 和 警报器服务消息
Distributed File System: 局域网管理共享文件,不需要禁用
Distributed linktracking client:用于局域网更新连接信息,不需要禁用
Error reporting service:禁止发送错误报告
Microsoft Serch:提供快速的单词搜索,不需要可禁用
NTLMSecuritysupportprovide:telnet服务和Microsoft Serch用的,不需要禁用
PrintSpooler:如果没有打印机可禁用
Remote Registry:禁止远程修改注册表
Remote Desktop Help Session Manager:禁止远程协助
Workstation关闭的话远程NET命令列不出用户组
10.更改远程连接端口:
[HKEY_LOCAL_MACHINE / SYSTEM/ Current ControlSet / Control / Terminal Server/WinStations/RDP-Tcp]
"PortNumber"=dword:00002683
更改为9859,当然大家也可以换别的端口,直接打开以上注册表的地址,把值改为十进制的输入你想要的端口即可!重启生效!
11.建立一个记事本,填上以下代码。保存为*.bat并加到启动项目中
net share c$ /del
net share d$ /del
net share e$ /del
net share f$ /del
net share ipc$ /del
net share admin$ /del
12.卸载最不安全的组件 (注意: 按实际要求删除,删除后用不了FSO的)
(如下设置,我们已经写一个CMD脚本,按要求复制运行即可以取代如下手工设定,)
最简单的办法是直接卸载后删除相应的程序文件。将下面的代码保存为一个.BAT文件,( 以下均以 WIN2000 为例,如果使用2003,则系统文
件夹应该是 C:/WINDOWS/ )
regsvr32/u C:/WINDOWS/System32/wshom.ocx
del C:/WINDOWS/System32/wshom.ocx
regsvr32/u C:/WINDOWS/system32/shell32.dll
del C:/WINNT/WINDOWS/shell32.dll
然后运行一下,WScript.Shell, Shell.application, WScript.Network就会被卸载了。可能会提示无法删除文件,不用管它,重启一下服务
器,你会发现这三个都提示“×安全”了。
13.最后,系统补丁一定要打全,平时也要注意更新,我觉得这点很重要.
为了方便大家,和减示错误,大部份步骤可以用如下脚本代替,我已经改成脚本cmd,新建一个txt文把,把如下代码,复制到里面后,把扩
展名改为.cmd 双击运行,运行后,请按提示backup。
代码如下
复制内容到剪贴板代码:
@echo off
ECHO.
ECHO.
ECHO. ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
ECHo.
ECHo 你现在使用的是win2003系统安全的脚本
ECHo.
ECHO. ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
ECHO.
ECHO.
ECHO. -------------------------------------------------------------------------
ECHo 请按提示操作备份好注册表,否则修改后无法还原,本人不负责.
ECHO.
ECHO YES=next set NO=exit (this time 30 Second default for n)
ECHO. -------------------------------------------------------------------------
CHOICE /T 30 /C yn /D n
if errorlevel 2 goto end
if errorlevel 1 goto next
:next
if EXIST backup (echo.)else md backup
if EXIST temp (rmdir /s/q temp|md temp) else md temp
if EXIST backup/backupkey.reg (move backup/backupkey.reg backup/backupkey_old.reg ) else goto run
:run
regedit /e temp/backup-reg1.key1 "HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/"
regedit /e temp/backup-reg2.key2 "HKEY_CLASSES_ROOT/"
copy /b /y /v temp/backup-reg1.key1+temp/backup-reg2.key2 backup/backupkey.reg
if exist backup/wshom.ocx (echo 备份已存在) else copy /v/y %SystemRoot%/System32/wshom.ocx backup/wshom.ocx
if exist backup/shell32.dll (echo 备份已存在) else copy /v/y %SystemRoot%/system32/shell32.dll backup/shell32.dll
ECHO 备份已经完成
ECHO.
goto next2
:next2
ECHO.
ECHO. -------------------------------------------------------------------
ECHo 修改权限system32目录中不安全的几个exe文件,改为只有Administrators才有权限运行
ECHO YES=next set NO=this set ignore (this time 30 Second default for y)
ECHO. -------------------------------------------------------------------
CHOICE /T 30 /C yn /D y
if errorlevel 2 goto next3
if errorlevel 1 goto next21
:next21
xcacls.exe %SystemRoot%/system32/net.exe /t /g Administrators:F /y /C
xcacls.exe %SystemRoot%/system32/net1.exe /t /g Administrators:F /y /C
xcacls.exe %SystemRoot%/system32/cmd.exe /t /g Administrators:F /y /C
xcacls.exe %SystemRoot%/system32/tftp.exe /t /g Administrators:F /y /C
xcacls.exe %SystemRoot%/system32/netstat.exe /t /g Administrators:F /y /C
xcacls.exe %SystemRoot%/system32/regedit.exe /t /g Administrators:F /y /C
xcacls.exe %SystemRoot%/system32/at.exe /t /g Administrators:F /y /C
xcacls.exe %SystemRoot%/system32/attrib.exe /t /g Administrators:F /y /C
xcacls.exe %SystemRoot%/system32/cacls.exe /t /g Administrators:F /y /C
xcacls.exe %SystemRoot%/system32/fortmat.com /t /g Administrators:F /y /C
xcacls.exe %SystemRoot%/system32/secedit.exe /t /g Administrators:F /y /C
echo "虚拟主机C盘权限设定"
echo "删除C盘的everyone的权限"
cd/
cacls "%SystemDrive%" /r "everyone" /e
cacls "%SystemRoot%" /r "everyone" /e
cacls "%SystemRoot%/Registration" /r "everyone" /e
cacls "%SystemDrive%/Documents and Settings" /r "everyone" /e
echo "删除C盘的所有的users的访问权限"
cacls "%SystemDrive%" /r "users" /e
cacls "%SystemDrive%/Program Files" /r "users" /e
cacls "%SystemDrive%/Documents and Settings" /r "users" /e
cacls "%SystemRoot%" /r "users" /e
cacls "%SystemRoot%/addins" /r "users" /e
cacls "%SystemRoot%/AppPatch" /r "users" /e
cacls "%SystemRoot%/Connection Wizard" /r "users" /e
cacls "%SystemRoot%/Debug" /r "users" /e
cacls "%SystemRoot%/Driver Cache" /r "users" /e
cacls "%SystemRoot%/Help" /r "users" /e
cacls "%SystemRoot%/IIS Temporary Compressed Files" /r "users" /e
cacls "%SystemRoot%/java" /r "users" /e
cacls "%SystemRoot%/msagent" /r "users" /e
cacls "%SystemRoot%/mui" /r "users" /e
cacls "%SystemRoot%/repair" /r "users" /e
cacls "%SystemRoot%/Resources" /r "users" /e
cacls "%SystemRoot%/security" /r "users" /e
cacls "%SystemRoot%/system" /r "users" /e
cacls "%SystemRoot%/TAPI" /r "users" /e
cacls "%SystemRoot%/Temp" /r "users" /e
cacls "%SystemRoot%/twain_32" /r "users" /e
cacls "%SystemRoot%/Web" /r "users" /e
cacls "%SystemRoot%/system32/3com_dmi" /r "users" /e
cacls "%SystemRoot%/system32/administration" /r "users" /e
cacls "%SystemRoot%/system32/Cache" /r "users" /e
cacls "%SystemRoot%/system32/CatRoot2" /r "users" /e
cacls "%SystemRoot%/system32/Com" /r "users" /e
cacls "%SystemRoot%/system32/config" /r "users" /e
cacls "%SystemRoot%/system32/dhcp" /r "users" /e
cacls "%SystemRoot%/system32/drivers" /r "users" /e
cacls "%SystemRoot%/system32/export" /r "users" /e
cacls "%SystemRoot%/system32/icsxml" /r "users" /e
cacls "%SystemRoot%/system32/lls" /r "users" /e
cacls "%SystemRoot%/system32/LogFiles" /r "users" /e
cacls "%SystemRoot%/system32/MicrosoftPassport" /r "users" /e
cacls "%SystemRoot%/system32/mui" /r "users" /e
cacls "%SystemRoot%/system32/oobe" /r "users" /e
cacls "%SystemRoot%/system32/ShellExt" /r "users" /e
cacls "%SystemRoot%/system32/wbem" /r "users" /e
echo "添加iis_wpg的访问权限"
cacls "%SystemRoot%" /g iis_wpg:r /e
cacls "%SystemDrive%/Program Files/Common Files" /g iis_wpg:r /e
cacls "%SystemRoot%/Downloaded Program Files" /g iis_wpg:c /e
cacls "%SystemRoot%/Help" /g iis_wpg:c /e
cacls "%SystemRoot%/IIS Temporary Compressed Files" /g iis_wpg:c /e
cacls "%SystemRoot%/Offline Web Pages" /g iis_wpg:c /e
cacls "%SystemRoot%/System32" /g iis_wpg:c /e
cacls "%SystemRoot%/WinSxS" /g iis_wpg:c /e
cacls "%SystemRoot%/WinSxS" /r "users" /e
cacls "%SystemRoot%/Tasks" /g iis_wpg:c /e
cacls "%SystemRoot%/Temp" /g iis_wpg:c /e
cacls "%SystemRoot%/Web" /g iis_wpg:c /e
echo "添加iis_wpg的访问权限[.net专用]"
cacls "%SystemRoot%/Assembly" /g iis_wpg:c /e
cacls "%SystemRoot%/Microsoft.NET" /g iis_wpg:c /e
echo "添加iis_wpg的访问权限[装了MACFEE的软件专用]"
cacls "%SystemDrive%/Program Files/Network Associates" /g iis_wpg:r /e
echo "添加users的访问权限"
cacls "%SystemRoot%/temp" /g users:c /e
goto next3
:next3
ECHO.
ECHO.
ECHO. ------------------------------------------------------------------------
ECHo 禁止不必要的服务,如果要退出请按Ctrl+C
ECHO YES=next set NO=this set ignore (this time 30 Second default for y)
ECHO. ------------------------------------------------------------------------
CHOICE /T 30 /C yn /D y
if errorlevel 2 goto next4
if errorlevel 1 goto next31
:next31
echo Windows Registry Editor Version 5.00 >temp/Services.reg
echo [HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services/lanmanworkstation] >>temp/Services.reg
echo "Start"=dword:00000004 >>temp/Services.reg
echo [HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services/Alerter] >>temp/Services.reg
echo "Start"=dword:00000004 >>temp/Services.reg
echo [HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services/Browser] >>temp/Services.reg
echo "Start"=dword:00000004 >>temp/Services.reg
echo [HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services/Dfs] >>temp/Services.reg
echo "Start"=dword:00000004 >>temp/Services.reg
echo [HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services/Scheduler] >>temp/Services.reg
echo "Start"=dword:00000004 >>temp/Services.reg
echo [HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services/LmHosts] >>temp/Services.reg
echo "Start"=dword:00000004 >>temp/Services.reg
echo [HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services/TlntSvr] >>temp/Services.reg
echo "Start"=dword:00000004 >>temp/Services.reg
echo [HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services/RemoteAccess] >>temp/Services.reg
echo "Start"=dword:00000004 >>temp/Services.reg
echo [HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services/NtmsSvc] >>temp/Services.reg
echo "Start"=dword:00000004 >>temp/Services.reg
echo [HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services/RemoteRegistry] >>temp/Services.reg
echo "Start"=dword:00000004 >>temp/Services.reg
echo [HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services/TrkWks] >>temp/Services.reg
echo "Start"=dword:00000004 >>temp/Services.reg
echo [HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services/ERSvc] >>temp/Services.reg
echo "Start"=dword:00000004 >>temp/Services.reg
echo [HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services/Messenger] >>temp/Services.reg
echo "Start"=dword:00000004 >>temp/Services.reg
echo [HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services/NetLogon] >>temp/Services.reg
echo "Start"=dword:00000004 >>temp/Services.reg
echo [HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services/NetLogon] >>temp/Services.reg
echo "Start"=dword:00000004 >>temp/Services.reg
echo [HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services/NetDDE] >>temp/Services.reg
echo "Start"=dword:00000004 >>temp/Services.reg
echo [HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services/NetDDEdsdm] >>temp/Services.reg
echo "Start"=dword:00000004 >>temp/Services.reg
regedit /s temp/Services.reg
ECHO.
goto next4
:next4
ECHO.
ECHO. -------------------------------------------------------------------------
ECHo 防止人侵和攻击. 如果要退出请按Ctrl+C
ECHO YES=next set NO=this set ignore (this time 30 Second default for y)
ECHO. -------------------------------------------------------------------------
CHOICE /T 30 /C yn /D y
if errorlevel 2 goto next5
if errorlevel 1 goto next41
:next41
echo Windows Registry Editor Version 5.00 >temp/skyddos.reg
echo [HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services/Tcpip/Parameters] >>temp/skyddos.reg
echo "EnableDeadGWDetect"=dword:00000000 >>temp/skyddos.reg
echo "EnableICMPRedirects"=dword:00000000 >>temp/skyddos.reg
echo "PerformRouterDiscovery"=dword:00000000 >>temp/skyddos.reg
echo "NoNameReleaseOnDemand"=dword:00000001 >>temp/skyddos.reg
echo "KeepAliveTime"=dword:000493e0 >>temp/skyddos.reg
echo "EnablePMTUDiscovery"=dword:00000000 >>temp/skyddos.reg
echo "SynAttackProtect"=dword:00000002 >>temp/skyddos.reg
echo "TcpMaxHalfOpen"=dword:00000064 >>temp/skyddos.reg
echo "TcpMaxHalfOpenRetried"=dword:00000050 >>temp/skyddos.reg
echo "TcpMaxConnectResponseRetransmissions"=dword:00000001 >>temp/skyddos.reg
echo "TcpMaxDataRetransmissions"=dword:00000003 >>temp/skyddos.reg
echo "TCPMaxPortsExhausted"=dword:00000005 >>temp/skyddos.reg
echo "DisableIPSourceRouting"=dword:0000002 >>temp/skyddos.reg
echo "TcpTimedWaitDelay"=dword:0000001e >>temp/skyddos.reg
echo "EnableSecurityFilters"=dword:00000001 >>temp/skyddos.reg
echo "TcpNumConnections"=dword:000007d0 >>temp/skyddos.reg
echo "TcpMaxSendFree"=dword:000007d0 >>temp/skyddos.reg
echo "IGMPLevel"=dword:00000000 >>temp/skyddos.reg
echo "DefaultTTL"=dword:00000016 >>temp/skyddos.reg
echo 删除IPC$(Internet Process Connection)是共享“命名管道”的资源
echo [HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Control/Lsa] >>temp/skyddos.reg
echo "restrictanonymous"=dword:00000001 >>temp/skyddos.reg
echo [HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services/Tcpip/Parameters/Interfaces/interfaces] >>temp/skyddos.reg
echo "PerformRouterDiscovery"=dword:00000000 >>temp/skyddos.reg
echo [HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services/NetBT/Parameters] >>temp/skyddos.reg
echo "BacklogIncrement"=dword:00000003 >>temp/skyddos.reg
echo "MaxConnBackLog"=dword:000003e8 >>temp/skyddos.reg
echo [HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services/Afd/Parameters] >>temp/skyddos.reg
echo "EnableDynamicBacklog"=dword:00000001 >>temp/skyddos.reg
echo "MinimumDynamicBacklog"=dword:00000014 >>temp/skyddos.reg
echo "MaximumDynamicBacklog"=dword:00002e20 >>temp/skyddos.reg
echo "DynamicBacklogGrowthDelta"=dword:0000000a >>temp/skyddos.reg
echo [HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services/lanmanserver/parameters] >>temp/skyddos.reg
echo "autoshareserver"=dword:00000000 >>temp/skyddos.reg
regedit /s temp/skyddos.reg
ECHO.
ECHO.
goto next5
:next5
ECHO.
ECHO. ------------------------------------------------------------------------
ECHo 防止ASP木马运行 卸除WScript.Shell, Shell.application, WScript.Network
ECHO YES=next set NO=this set ignore (this time 30 Second default for y)
ECHO. -----------------------------------------------------------------------
CHOICE /T 30 /C yn /D y
if errorlevel 2 goto next6
if errorlevel 1 goto next51
:next51
echo Windows Registry Editor Version 5.00 >temp/del.reg
echo [-HKEY_CLASSES_ROOT/Shell.Application] >>temp/del.reg
echo [-HKEY_CLASSES_ROOT/Shell.Application.1] >>temp/del.reg
echo [-HKEY_CLASSES_ROOT/CLSID/{13709620-C279-11CE-A49E-444553540000}] >>temp/del.reg
echo [-HKEY_CLASSES_ROOT/ADODB.Command/CLSID] >>temp/del.reg
echo [-HKEY_CLASSES_ROOT/CLSID/{00000566-0000-0010-8000-00AA006D2EA4}] >>temp/del.reg
regedit /s temp/del.reg
regsvr32 /u %SystemRoot%/system32/wshom.ocx
del /f/q %SystemRoot%/System32/wshom.ocx
regsvr32 /u %SystemRoot%/system32/shell32.dll
del /f/q %SystemRoot%/System32/shell32.dll
rmdir /q/s temp
ECHO.
goto next6
:next6
ECHO.
ECHO.
ECHO. ---------------------------------------------------------------------
ECHo 设置已经完成重启后才能生效.
ECHO YES=reboot server NO=exit (this time 60 Second default for y)
ECHO. ----------------------------------------------------------------------
CHOICE /T 30 /C yn /D y
if errorlevel 2 goto end
if errorlevel 1 goto reboot
:reboot
shutdown /r /t 0
:end
if EXIST temp (rmdir /s/q temp|exit) else exit
很久就想整理一份关于win2003服务器安全配置技巧,本人花了好几天查找各方面资料以及平时用到的一些东西,终于整理出来了,本文涉及到管理帐户,关闭多余的服务,审核策略,修改终端管理端口,IIS,SQLserver,FTP 等等一些安全配置办法。以下方法仅供大家参考,如有不足或不对之处请大家斧正。
一:先来说关于系统的NTFS磁盘权限设置,(大家可能看得都多了,但是2003服务器有些细节地方需要注意的:)
1.C盘只给administrators 和system权限,其他的权限不给,其他的盘也可以这样设置,这里给的system权限也不一定需要给,只是由于某
些第三方应用程序是以服务形式启动的,需要加上这个用户,否则造成启动不了。
2.Windows目录要加上给users的默认权限,否则ASP和ASPX等应用程序就无法运行。有些人喜欢单独设置Instsrv和temp等目录权限,其实没
有这个必要的。
3.c:/Documents and Settings/这里相当重要,后面的目录里的权限根本不会继承从前的设置,如果仅仅只是设置了C盘给administrators权
限,而在All Users/Application Data目录下会出现everyone用户有完全控制权限,这样入侵这可以跳转到这个目录,写入脚本或只文件,再结
合其他漏洞来提升权限;譬如利用serv-u的本地溢出提升权限,或系统遗漏有补丁,数据库的弱点,甚至社会工程学等等N多方法,有牛人说:"
只要给我一个webshell,我就能拿到 system",这也的确是有可能的。在用做web/ftp服务器的系统里,建议是将这些目录都设置的锁死。其他每
个盘的目录都按照这样设置,每个盘都只给adinistrators权限。
4.将:net.exe,cmd.exe,tftp.exe,netstat.exe,regedit.exe,at.exe,attrib.exe,cacls.exe,这些文件都设置只让administrators
访问。
二:SERV-U FTP 服务器的设置:
一般来说,使用srev-u做ftp服务器,漏洞出现的太频繁了,但是因为其操作简单,功能强大,过于流行,关注的人也多,才被发掘出bug来
,关于serv-u的安全设置:
1.选中"Block "FTP_bounce"attack and FXP"。通常,当使用FTP协议进行文件传输时,客户端首先向FTP服务器发出一个"PORT"命令,该命
令中包含此用户的IP地址和将被用来进行数据传输的端口号,服务器收到后,利用命令所提供的用户地址信息建立与用户的连接。大多数情况下
,上述过程不会出现任何问题,但当客户端是一名恶意用户时,可能会通过在PORT命令中加入特定的地址信息,使FTP服务器与其它非客户端的机
器建立连接。虽然这名恶意用户可能本身无权直接访问某一特定机器,但是如果FTP服务器有权访问该机器的话,那么恶意用户就可以通过FTP服
务器作为中介,仍然能够最终实现与目标服务器的连接。这就是FXP,也称跨服务器攻击。选中后就可以防止发生此种情况。
2.选中"Block anti time-out schemes"。其次,在"Advanced"选项卡中,检查 "Enable security"是否被选中,如果没有,选择它们。
三: IIS的安全:
1.删掉c:/inetpub目录,删除iis不必要的映射。
2.每一个web站点使用单独的IIS用户,譬如这里,新建立了一个名为www.test.com ,权限为guest的。
在IIS里的站点属性里"目录安全性"---"身份验证和访问控制"里设置匿名访问使用下列Windows 用户帐户"的用户名密码都使用www.test.com
这个用户的信息.在这个站点相对应的web目录文件,默认的只给IIS用户的读取和写入权限。
在"应用程序配置"里,我们给必要的几种脚本执行权限:ASP.ASPX,PHP, ASP,ASPX默认都提供映射支持了的,对于PHP,需要新添加响应的
映射脚本,然后在web服务扩展将ASP,ASPX都设置为允许,对于 php以及CGI的支持,需要新建web服务扩展,在扩展名(X):下输入 php ,再在
要求的文件(E):里添加地址 C:/php/sapi/php4isapi.dll ,并勾选设置状态为允许(S)。然后点击确定,这样IIS就支持PHP了。支持CGI同样也
是如此。要支持ASPX,还需要给web根目录给上users用户的默认权限,才能使ASPX能执行。
3.在应用程序配置里,设置调试为向客户端发送自定义的文本信息,这样能对于有ASP注入漏洞的站点,可以不反馈程序报错的信息,能够避
免一定程度的攻击。
4.在自定义HTTP错误选项里,有必要定义下譬如404,500等错误,不过有有时候为了调试程序,好知道程序出错在什么地方,建议只设置404
就可以了。
5.IIS6.0由于运行机制的不同,出现了应用程序池的概念。一般建议10个左右的站点共用一个应用程序池,应用程序池对于一般站点可以采
用默认设置,可以在每天凌晨的时候回收一下工作进程。
6.新建立一个站,采用默认向导,在设置中注意以下在应用程序设置里:执行权限为默认的纯脚本,应用程序池使用独立的名为:test的程
序池。名为test的应用程序池可以适当设置下"内存回收":这里的最大虚拟内存为:1000M,最大使用的物理内存为256M,这样的设置几乎是没限
制这个站点的性能的。在应用程序池里有个"标识"选项,可以选择应用程序池的安全性帐户,默认才用网络服务这个帐户,大家就不要动它,能
尽量以最低权限去运行大,隐患也就更小些。在一个站点的某些目录里,譬如这个"uploadfile"目录,不需要在里面运行asp程序或其他脚本的,
就去掉这个目录的执行脚本程序权限,在"应用程序设置"的"执行权限"这里,默认的是"纯脚本",我们改成"无",这样就只能使用静态页面了。
依次类推,大凡是不需要asp运行的目录,譬如数据库目录,图片目录等等里都可以这样做,这样主要是能避免在站点应用程序脚本出现bug的时
候,譬如出现从前流行的upfile漏洞,而能够在一定程度上对漏洞有扼制的作用。
7.在默认情况下,我们一般给每个站点的web目录的权限为IIS用户的读取和写入,但是我们现在为了将SQL注入,上传漏洞全部都赶走,我们
可以采取手动的方式进行细节性的策略设置。给web根目录的IIS用户只给读权限.然后我们对响应的uploadfiles/或其他需要存在上传文件的目录
额外给写的权限,并且在IIS里给这个目录无脚本运行权限,这样即使网站程序出现漏洞,入侵者也无法将asp木马写进目录里去,呵呵,不过没
这么简单就防止住了攻击,还有很多工作要完成。如果是MS-SQL数据库的,就这样也就OK了,但是Access的数据库的话,其数据库所在的目录,
或数据库文件也得给写权限,然后数据库文件没必要改成.asp的。这样的后果大家也都知道了把,一旦你的数据库路径被暴露了,这个数据库就
是一个大木马,够可怕的。其实完全还是规矩点只用mdb后缀,这个目录在IIS里不给执行脚本权限。然后在IIS里加设置一个映射规律,用任意一
个dll文件来解析.mdb后缀名的映射,只要不用asp.dll来解析就可以了,这样别人即使获得了数据库路径也无法下载。这个方法可以说是防止数
据库被下载的终极解决办法了。
四.SQL SERVER设置:
1)将master表中存储过程"sp_password"的public和guest权限取消
2)删除win系统用户sqldebugger ---没用的帐号,还经常给黑客利用
3)用户去掉db_onwer权限
4)System Administrators 角色最好不要超过两个
5)如果是在本机最好将身份验证配置为Win登陆
6)不要使用Sa账户,为其配置一个超级复杂的密码
7)删除以下的扩展存储过程格式为:
use master
sp_dropextendedproc '扩展存储过程名'
xp_cmdshell:是进入操作系统的最佳捷径,删除
访问注册表的存储过程,删除
Xp_regaddmultistringXp_regdeletekeyXp_regdeletevalueXp_regenumvalues
Xp_regread Xp_regwrite Xp_regremovemultistring
OLE自动存储过程,不需要,删除
Sp_OACreate Sp_OADestroySp_OAGetErrorInfoSp_OAGetProperty
Sp_OAMethodSp_OASetPropertySp_OAStop
8)隐藏 SQL Server、更改默认的1433端口。
右击实例选属性-常规-网络配置中选择TCP/IP协议的属性,选择隐藏 SQL Server 实例,并改原默认的1433端口。
9)在 企业管理器 中运行以下脚本:
use master
EXEC sp_dropextendedproc 'xp_cmdshell'
EXEC sp_dropextendedproc 'Sp_OACreate'
EXEC sp_dropextendedproc 'Sp_OADestroy'
EXEC sp_dropextendedproc 'Sp_OAGetErrorInfo'
EXEC sp_dropextendedproc 'Sp_OAGetProperty'
EXEC sp_dropextendedproc 'Sp_OAMethod'
EXEC sp_dropextendedproc 'Sp_OASetProperty'
EXEC sp_dropextendedproc 'Sp_OAStop'
EXEC sp_dropextendedproc 'Xp_regaddmultistring'
EXEC sp_dropextendedproc 'Xp_regdeletekey'
EXEC sp_dropextendedproc 'Xp_regdeletevalue'
EXEC sp_dropextendedproc 'Xp_regenumvalues'
EXEC sp_dropextendedproc 'Xp_regremovemultistring'
EXEC sp_dropextendedproc 'Xp_regwrite'
drop procedure sp_makewebtask
五:修改注册表,让系统更安全 :
1、隐藏重要文件/目录可以修改注册表实现完全隐藏:HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/ Windows/ Current-
Version/Explorer/Advanced/Folder/Hi-dden/SHOWALL”,鼠标右击 “CheckedValue”,选择修改,把数值由1改为0
2、启动系统自带的Internet连接_blank">防火墙,在设置服务选项中勾选Web服务器。
3、防止SYN洪水攻击
HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services/Tcpip/Parameters
新建DWORD值,名为SynAttackProtect,值为2
EnablePMTUDiscovery REG_DWORD 0
NoNameReleaseOnDemand REG_DWORD 1
EnableDeadGWDetect REG_DWORD 0
KeepAliveTime REG_DWORD 300,000
PerformRouterDiscovery REG_DWORD 0
EnableICMPRedirects REG_DWORD 0
4. 禁止响应ICMP路由通告报文
HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services/Tcpip/Parameters/Interfaces/interface
新建DWORD值,名为PerformRouterDiscovery 值为0
5. 防止ICMP重定向报文的攻击
HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services/Tcpip/Parameters
将EnableICMPRedirects 值设为0
6. 不支持IGMP协议
HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services/Tcpip/Parameters
新建DWORD值,名为IGMPLevel 值为0
7.修改终端服务端口
运行regedit,找到[HKEY_LOCAL_MACHINE / SYSTEM / CurrentControlSet / Control / Terminal Server / Wds / rdpwd / Tds / tcp],看到
右边的PortNumber了吗?在十进制状态下改成你想要的端口号吧,比如7126之类的,只要不与其它冲突即可。
2、第二处HKEY_LOCAL_MACHINE / SYSTEM / CurrentControlSet / Control / Terminal Server / WinStations / RDP-Tcp,方法同上,记得改
的端口号和上面改的一样就行了。
8、禁止IPC空连接:
cracker可以利用net use命令建立空连接,进而入侵,还有net view,nbtstat这些都是基于空连接的,禁止空连接就好了。打开注册表,找到
Local_Machine/System/ CurrentControlSet/Control/LSA-RestrictAnonymous 把这个值改成”1”即可。
9、更改TTL值
cracker可以根据ping回的TTL值来大致判断你的操作系统,如:
TTL=107(WINNT);
TTL=108(win2000);
TTL=127或128(win9x);
TTL=240或241(linux);
TTL=252(solaris);
TTL=240(Irix);
实际上你可以自己更改的:HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services/ Tcpip/Parameters:DefaultTTL REG_DWORD 0-0xff(0-
255 十进制,默认值128)改成一个莫名其妙的数字如258,起码让那些小菜鸟晕上半天,就此放弃入侵你也不一定哦
10. 删除默认共享
有人问过我一开机就共享所有盘,改回来以后,重启又变成了共享是怎么回事,这是2K为管理而设置的默认共享,必须通过修改注册表的方式
取消它: HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services/LanmanServer/Parameters: AutoShareServer类型是REG_DWORD把值改为0
即可
11. 禁止建立空连接
默认情况下,任何用户通过通过空连接连上服务器,进而枚举出帐号,猜测密码。我们可以通过修改注册表来禁止建立空连接:
Local_Machine/System/CurrentControlSet/Control/LSA-RestrictAnonymous 的值改成”1”即可。
12.不让系统显示上次登录的用户名
默认情况下,登录对话框中会显示上次登录的用户名。这使得别人可以很容易地得到系统的一些用户名,进而做密码猜测。修改注册表可以
不让对话框里显示上次登录的用户名。方法为:打开注册表编辑器并找到注册表“HKLM/Software/Microsoft/Windows T/CurrentVersion
/Winlogon/Dont-DisplayLastUserName”,把REG_SZ的键值改成1。
六:其它安全手段 :
1.禁用TCP/IP上的NetBIOS
在"网络连接"里,把不需要的协议和服务都删掉,这里只安装了基本的Internet协议(TCP/IP),由于要控制带宽流量服务,额外安装了 Qos
数据包计划程序。在高级tcp/ip设置里--"NetBIOS"设置"禁用tcp/IP上的NetBIOS(S)"这样cracker就无法用nbtstat命令来读取你的NetBIOS信
息和网卡MAC地址了。 在高级选项里,使用 "Internet连接防火墙",这是windows 2003 自带的防火墙,在2000系统里没有的功能,虽然没什么
功能,但可以屏蔽端口,这样已经基本达到了一个IPSec的功能。在这里我们按照所需要的服务开放响应的端口。在2003系统里,不推荐用TCP/IP
筛选里的端口过滤功能,譬如在使用FTP服务器的时候,如果仅仅只开放21端口,由于FTP协议的特殊性,在进行FTP传输的时候,由于FTP 特有的
Port模式和Passive模式,在进行数据传输的时候,需要动态的打开高端口,所以在使用TCP/IP过滤的情况下,经常会出现连接上后无法列出目录
和数据传输的问题。所以在2003系统上增加的windows连接防火墙能很好的解决这个问题,所以都不推荐使用网卡的TCP/IP过滤功能。
2. 账户安全 。首先禁止一切账户,除了你自己,呵呵。然后把Administrator改名。我呢就顺手又建了个Administrator账户,不过是什么权限
都没有的那种,然后打开记事本,一阵乱敲,复制,粘贴到“密码”里去,呵呵,来破密码吧~!破完了才发现是个低级账户,看你崩溃不?
创建2个管理员用帐号 ,虽然这点看上去和上面这点有些矛盾,但事实上是服从上面的规则的。创建一个一般权限帐号用来收信以及处理一些*常
事物,另一个拥有Administrators 权限的帐户只在需要的时候使用。可以让管理员使用 “ RunAS” 命令来执行一些需要特权才能作的一些工作
,以方便管理 。
3.更改C:/WINDOWS/Help/iisHelp/common/404b.htm内容改为 <META http-equiv=REFRESH content=0;URL=/;>这样,出错了自动转到首页
4. 安全日志
我遇到过这样的情况,一台主机被别人入侵了,系统管理员请我去追查凶手,我登录进去一看:安全日志是空的,倒,请记住:Win2000的默认安
装是不开任何安全审核的!那么请你到本地安全策略->审核策略中打开相应的审核,推荐的审核是:
账户管理 成功 失败
登录事件 成功 失败
对象访问 失败
策略更改 成功 失败
特权使用 失败
系统事件 成功 失败
目录服务访问 失败
账户登录事件 成功 失败
审核项目少的缺点是万一你想看发现没有记录那就一点都没辙;审核项目太多不仅会占用系统资源而且会导致你根本没空去看,这样就失去了审
核的意义
5. 运行防毒软件
我见过的Win2000/Nt服务器从来没有见到有安装了防毒软件的,其实这一点非常重要。一些好的杀毒软件不仅能杀掉一些著名的病毒,还能查杀
大量木马和后门程序。这样的话,“黑客”们使用的那些有名的木马就毫无用武之地了。不要忘了经常升级病毒库。
6.sqlserver数据库服务器安全和serv-u ftp服务器安全配置,更改默认端口,和管理密码
7.设置ip筛选、用blackice禁止木马常用端口
一般禁用以下端口
135 138 139 443 445 4000 4899 7626
8.本地安全策略和组策略的设置:
本地策略安全选项:
交互式登陆:不显示上次的用户名 启用
网络访问:不允许SAM帐户和共享的匿名枚举 启用
网络访问:不允许为网络身份验证储存凭证 启用
网络访问:可匿名访问的共享 全部删除
网络访问:可匿名访问的命全部删除
网络访问:可远程访问的注册表路径全部删除
网络访问:可远程访问的注册表路径和子路径全部删除
帐户:重命名来宾帐户重命名一个帐户
帐户:重命名系统管理员帐户 重命名一个帐户
用户权限分配策略,关闭系统:只有Administrators组、其它全部删除。通过终端服务允许登陆:只加入Administrators,Remote Desktop
Users组,其他全部删除。
使用用户策略,分别设置复位用户锁定计数器时间为20分钟,用户锁定时间为20分钟,用户锁定阈值为3次。
开启密码策略,注意应用密码策略,如启用密码复杂性要求,设置密码长度最小值为6位 ,设置强制密码历史为5次,时间为30天等。
审核策略,在创建审核项目时需要注意的是如果审核的项目太多,生成的事件也就越多,那么要想发现严重的事件也越难当然如果审核的太少
也会影响你发现严重的事件,你需要根据情况在这二者之间做出选择。
推荐的要审核的项目是:
登录事件
账户登录事件
系统事件
策略更改
对象访问
目录服务访问
特权使用
如果你在设置本地安全策略时设置错了,可以这样恢复成它的默认值.
打开 %SystemRoot%/Security文件夹,创建一个 "OldSecurity"子目录,将%SystemRoot%/Security下所有的.log文件移到这个新建的子文件夹
中. 在%SystemRoot%/Security/database/下找到"Secedit.sdb"安全数据库并将其改名,如改为"Secedit.old". 启动"安全配置和分析"MMC管理单
元:"开始"->"运行"->"MMC",启动管理控制台,"添加/删除管理单元",将"安全配置和分析"管理单元添加上. 右击"安全配置和分析"->"打开数据库
",浏览"C:/WINNT/security/Database"文件夹,输入文件名"secedit.sdb",单击"打开". 当系统提示输入一个模板时,选择"Setup Security.inf",
单击"打开". 如果系统提示"拒绝访问数据库",不管他. 你会发现在"C:/WINNT/security/Database"子文件夹中重新生成了新的安全数据库,
在"C:/WINNT/security"子文件夹下重新生成了log文件.安全数据库重建成功.
9.把不必要的服务都禁止掉,尽管这些不一定能被攻击者利用得上,但是多余的东西就没必要开启,减少一份隐患。
打开相应的审核策略
关闭以下的服务:
Computer Browser 维护网络上计算机的最新列表以及提供这个列表
Task scheduler 允许程序在指定时间运行
Messenger 传输客户端和服务器之间的 NET SEND 和 警报器服务消息
Distributed File System: 局域网管理共享文件,不需要禁用
Distributed linktracking client:用于局域网更新连接信息,不需要禁用
Error reporting service:禁止发送错误报告
Microsoft Serch:提供快速的单词搜索,不需要可禁用
NTLMSecuritysupportprovide:telnet服务和Microsoft Serch用的,不需要禁用
PrintSpooler:如果没有打印机可禁用
Remote Registry:禁止远程修改注册表
Remote Desktop Help Session Manager:禁止远程协助
Workstation关闭的话远程NET命令列不出用户组
10.更改远程连接端口:
[HKEY_LOCAL_MACHINE / SYSTEM/ Current ControlSet / Control / Terminal Server/WinStations/RDP-Tcp]
"PortNumber"=dword:00002683
更改为9859,当然大家也可以换别的端口,直接打开以上注册表的地址,把值改为十进制的输入你想要的端口即可!重启生效!
11.建立一个记事本,填上以下代码。保存为*.bat并加到启动项目中
net share c$ /del
net share d$ /del
net share e$ /del
net share f$ /del
net share ipc$ /del
net share admin$ /del
12.卸载最不安全的组件 (注意: 按实际要求删除,删除后用不了FSO的)
(如下设置,我们已经写一个CMD脚本,按要求复制运行即可以取代如下手工设定,)
最简单的办法是直接卸载后删除相应的程序文件。将下面的代码保存为一个.BAT文件,( 以下均以 WIN2000 为例,如果使用2003,则系统文
件夹应该是 C:/WINDOWS/ )
regsvr32/u C:/WINDOWS/System32/wshom.ocx
del C:/WINDOWS/System32/wshom.ocx
regsvr32/u C:/WINDOWS/system32/shell32.dll
del C:/WINNT/WINDOWS/shell32.dll
然后运行一下,WScript.Shell, Shell.application, WScript.Network就会被卸载了。可能会提示无法删除文件,不用管它,重启一下服务
器,你会发现这三个都提示“×安全”了。
13.最后,系统补丁一定要打全,平时也要注意更新,我觉得这点很重要.
为了方便大家,和减示错误,大部份步骤可以用如下脚本代替,我已经改成脚本cmd,新建一个txt文把,把如下代码,复制到里面后,把扩
展名改为.cmd 双击运行,运行后,请按提示backup。
代码如下
复制内容到剪贴板代码:
@echo off
ECHO.
ECHO.
ECHO. ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
ECHo.
ECHo 你现在使用的是win2003系统安全的脚本
ECHo.
ECHO. ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
ECHO.
ECHO.
ECHO. -------------------------------------------------------------------------
ECHo 请按提示操作备份好注册表,否则修改后无法还原,本人不负责.
ECHO.
ECHO YES=next set NO=exit (this time 30 Second default for n)
ECHO. -------------------------------------------------------------------------
CHOICE /T 30 /C yn /D n
if errorlevel 2 goto end
if errorlevel 1 goto next
:next
if EXIST backup (echo.)else md backup
if EXIST temp (rmdir /s/q temp|md temp) else md temp
if EXIST backup/backupkey.reg (move backup/backupkey.reg backup/backupkey_old.reg ) else goto run
:run
regedit /e temp/backup-reg1.key1 "HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/"
regedit /e temp/backup-reg2.key2 "HKEY_CLASSES_ROOT/"
copy /b /y /v temp/backup-reg1.key1+temp/backup-reg2.key2 backup/backupkey.reg
if exist backup/wshom.ocx (echo 备份已存在) else copy /v/y %SystemRoot%/System32/wshom.ocx backup/wshom.ocx
if exist backup/shell32.dll (echo 备份已存在) else copy /v/y %SystemRoot%/system32/shell32.dll backup/shell32.dll
ECHO 备份已经完成
ECHO.
goto next2
:next2
ECHO.
ECHO. -------------------------------------------------------------------
ECHo 修改权限system32目录中不安全的几个exe文件,改为只有Administrators才有权限运行
ECHO YES=next set NO=this set ignore (this time 30 Second default for y)
ECHO. -------------------------------------------------------------------
CHOICE /T 30 /C yn /D y
if errorlevel 2 goto next3
if errorlevel 1 goto next21
:next21
xcacls.exe %SystemRoot%/system32/net.exe /t /g Administrators:F /y /C
xcacls.exe %SystemRoot%/system32/net1.exe /t /g Administrators:F /y /C
xcacls.exe %SystemRoot%/system32/cmd.exe /t /g Administrators:F /y /C
xcacls.exe %SystemRoot%/system32/tftp.exe /t /g Administrators:F /y /C
xcacls.exe %SystemRoot%/system32/netstat.exe /t /g Administrators:F /y /C
xcacls.exe %SystemRoot%/system32/regedit.exe /t /g Administrators:F /y /C
xcacls.exe %SystemRoot%/system32/at.exe /t /g Administrators:F /y /C
xcacls.exe %SystemRoot%/system32/attrib.exe /t /g Administrators:F /y /C
xcacls.exe %SystemRoot%/system32/cacls.exe /t /g Administrators:F /y /C
xcacls.exe %SystemRoot%/system32/fortmat.com /t /g Administrators:F /y /C
xcacls.exe %SystemRoot%/system32/secedit.exe /t /g Administrators:F /y /C
echo "虚拟主机C盘权限设定"
echo "删除C盘的everyone的权限"
cd/
cacls "%SystemDrive%" /r "everyone" /e
cacls "%SystemRoot%" /r "everyone" /e
cacls "%SystemRoot%/Registration" /r "everyone" /e
cacls "%SystemDrive%/Documents and Settings" /r "everyone" /e
echo "删除C盘的所有的users的访问权限"
cacls "%SystemDrive%" /r "users" /e
cacls "%SystemDrive%/Program Files" /r "users" /e
cacls "%SystemDrive%/Documents and Settings" /r "users" /e
cacls "%SystemRoot%" /r "users" /e
cacls "%SystemRoot%/addins" /r "users" /e
cacls "%SystemRoot%/AppPatch" /r "users" /e
cacls "%SystemRoot%/Connection Wizard" /r "users" /e
cacls "%SystemRoot%/Debug" /r "users" /e
cacls "%SystemRoot%/Driver Cache" /r "users" /e
cacls "%SystemRoot%/Help" /r "users" /e
cacls "%SystemRoot%/IIS Temporary Compressed Files" /r "users" /e
cacls "%SystemRoot%/java" /r "users" /e
cacls "%SystemRoot%/msagent" /r "users" /e
cacls "%SystemRoot%/mui" /r "users" /e
cacls "%SystemRoot%/repair" /r "users" /e
cacls "%SystemRoot%/Resources" /r "users" /e
cacls "%SystemRoot%/security" /r "users" /e
cacls "%SystemRoot%/system" /r "users" /e
cacls "%SystemRoot%/TAPI" /r "users" /e
cacls "%SystemRoot%/Temp" /r "users" /e
cacls "%SystemRoot%/twain_32" /r "users" /e
cacls "%SystemRoot%/Web" /r "users" /e
cacls "%SystemRoot%/system32/3com_dmi" /r "users" /e
cacls "%SystemRoot%/system32/administration" /r "users" /e
cacls "%SystemRoot%/system32/Cache" /r "users" /e
cacls "%SystemRoot%/system32/CatRoot2" /r "users" /e
cacls "%SystemRoot%/system32/Com" /r "users" /e
cacls "%SystemRoot%/system32/config" /r "users" /e
cacls "%SystemRoot%/system32/dhcp" /r "users" /e
cacls "%SystemRoot%/system32/drivers" /r "users" /e
cacls "%SystemRoot%/system32/export" /r "users" /e
cacls "%SystemRoot%/system32/icsxml" /r "users" /e
cacls "%SystemRoot%/system32/lls" /r "users" /e
cacls "%SystemRoot%/system32/LogFiles" /r "users" /e
cacls "%SystemRoot%/system32/MicrosoftPassport" /r "users" /e
cacls "%SystemRoot%/system32/mui" /r "users" /e
cacls "%SystemRoot%/system32/oobe" /r "users" /e
cacls "%SystemRoot%/system32/ShellExt" /r "users" /e
cacls "%SystemRoot%/system32/wbem" /r "users" /e
echo "添加iis_wpg的访问权限"
cacls "%SystemRoot%" /g iis_wpg:r /e
cacls "%SystemDrive%/Program Files/Common Files" /g iis_wpg:r /e
cacls "%SystemRoot%/Downloaded Program Files" /g iis_wpg:c /e
cacls "%SystemRoot%/Help" /g iis_wpg:c /e
cacls "%SystemRoot%/IIS Temporary Compressed Files" /g iis_wpg:c /e
cacls "%SystemRoot%/Offline Web Pages" /g iis_wpg:c /e
cacls "%SystemRoot%/System32" /g iis_wpg:c /e
cacls "%SystemRoot%/WinSxS" /g iis_wpg:c /e
cacls "%SystemRoot%/WinSxS" /r "users" /e
cacls "%SystemRoot%/Tasks" /g iis_wpg:c /e
cacls "%SystemRoot%/Temp" /g iis_wpg:c /e
cacls "%SystemRoot%/Web" /g iis_wpg:c /e
echo "添加iis_wpg的访问权限[.net专用]"
cacls "%SystemRoot%/Assembly" /g iis_wpg:c /e
cacls "%SystemRoot%/Microsoft.NET" /g iis_wpg:c /e
echo "添加iis_wpg的访问权限[装了MACFEE的软件专用]"
cacls "%SystemDrive%/Program Files/Network Associates" /g iis_wpg:r /e
echo "添加users的访问权限"
cacls "%SystemRoot%/temp" /g users:c /e
goto next3
:next3
ECHO.
ECHO.
ECHO. ------------------------------------------------------------------------
ECHo 禁止不必要的服务,如果要退出请按Ctrl+C
ECHO YES=next set NO=this set ignore (this time 30 Second default for y)
ECHO. ------------------------------------------------------------------------
CHOICE /T 30 /C yn /D y
if errorlevel 2 goto next4
if errorlevel 1 goto next31
:next31
echo Windows Registry Editor Version 5.00 >temp/Services.reg
echo [HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services/lanmanworkstation] >>temp/Services.reg
echo "Start"=dword:00000004 >>temp/Services.reg
echo [HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services/Alerter] >>temp/Services.reg
echo "Start"=dword:00000004 >>temp/Services.reg
echo [HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services/Browser] >>temp/Services.reg
echo "Start"=dword:00000004 >>temp/Services.reg
echo [HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services/Dfs] >>temp/Services.reg
echo "Start"=dword:00000004 >>temp/Services.reg
echo [HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services/Scheduler] >>temp/Services.reg
echo "Start"=dword:00000004 >>temp/Services.reg
echo [HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services/LmHosts] >>temp/Services.reg
echo "Start"=dword:00000004 >>temp/Services.reg
echo [HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services/TlntSvr] >>temp/Services.reg
echo "Start"=dword:00000004 >>temp/Services.reg
echo [HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services/RemoteAccess] >>temp/Services.reg
echo "Start"=dword:00000004 >>temp/Services.reg
echo [HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services/NtmsSvc] >>temp/Services.reg
echo "Start"=dword:00000004 >>temp/Services.reg
echo [HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services/RemoteRegistry] >>temp/Services.reg
echo "Start"=dword:00000004 >>temp/Services.reg
echo [HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services/TrkWks] >>temp/Services.reg
echo "Start"=dword:00000004 >>temp/Services.reg
echo [HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services/ERSvc] >>temp/Services.reg
echo "Start"=dword:00000004 >>temp/Services.reg
echo [HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services/Messenger] >>temp/Services.reg
echo "Start"=dword:00000004 >>temp/Services.reg
echo [HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services/NetLogon] >>temp/Services.reg
echo "Start"=dword:00000004 >>temp/Services.reg
echo [HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services/NetLogon] >>temp/Services.reg
echo "Start"=dword:00000004 >>temp/Services.reg
echo [HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services/NetDDE] >>temp/Services.reg
echo "Start"=dword:00000004 >>temp/Services.reg
echo [HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services/NetDDEdsdm] >>temp/Services.reg
echo "Start"=dword:00000004 >>temp/Services.reg
regedit /s temp/Services.reg
ECHO.
goto next4
:next4
ECHO.
ECHO. -------------------------------------------------------------------------
ECHo 防止人侵和攻击. 如果要退出请按Ctrl+C
ECHO YES=next set NO=this set ignore (this time 30 Second default for y)
ECHO. -------------------------------------------------------------------------
CHOICE /T 30 /C yn /D y
if errorlevel 2 goto next5
if errorlevel 1 goto next41
:next41
echo Windows Registry Editor Version 5.00 >temp/skyddos.reg
echo [HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services/Tcpip/Parameters] >>temp/skyddos.reg
echo "EnableDeadGWDetect"=dword:00000000 >>temp/skyddos.reg
echo "EnableICMPRedirects"=dword:00000000 >>temp/skyddos.reg
echo "PerformRouterDiscovery"=dword:00000000 >>temp/skyddos.reg
echo "NoNameReleaseOnDemand"=dword:00000001 >>temp/skyddos.reg
echo "KeepAliveTime"=dword:000493e0 >>temp/skyddos.reg
echo "EnablePMTUDiscovery"=dword:00000000 >>temp/skyddos.reg
echo "SynAttackProtect"=dword:00000002 >>temp/skyddos.reg
echo "TcpMaxHalfOpen"=dword:00000064 >>temp/skyddos.reg
echo "TcpMaxHalfOpenRetried"=dword:00000050 >>temp/skyddos.reg
echo "TcpMaxConnectResponseRetransmissions"=dword:00000001 >>temp/skyddos.reg
echo "TcpMaxDataRetransmissions"=dword:00000003 >>temp/skyddos.reg
echo "TCPMaxPortsExhausted"=dword:00000005 >>temp/skyddos.reg
echo "DisableIPSourceRouting"=dword:0000002 >>temp/skyddos.reg
echo "TcpTimedWaitDelay"=dword:0000001e >>temp/skyddos.reg
echo "EnableSecurityFilters"=dword:00000001 >>temp/skyddos.reg
echo "TcpNumConnections"=dword:000007d0 >>temp/skyddos.reg
echo "TcpMaxSendFree"=dword:000007d0 >>temp/skyddos.reg
echo "IGMPLevel"=dword:00000000 >>temp/skyddos.reg
echo "DefaultTTL"=dword:00000016 >>temp/skyddos.reg
echo 删除IPC$(Internet Process Connection)是共享“命名管道”的资源
echo [HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Control/Lsa] >>temp/skyddos.reg
echo "restrictanonymous"=dword:00000001 >>temp/skyddos.reg
echo [HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services/Tcpip/Parameters/Interfaces/interfaces] >>temp/skyddos.reg
echo "PerformRouterDiscovery"=dword:00000000 >>temp/skyddos.reg
echo [HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services/NetBT/Parameters] >>temp/skyddos.reg
echo "BacklogIncrement"=dword:00000003 >>temp/skyddos.reg
echo "MaxConnBackLog"=dword:000003e8 >>temp/skyddos.reg
echo [HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services/Afd/Parameters] >>temp/skyddos.reg
echo "EnableDynamicBacklog"=dword:00000001 >>temp/skyddos.reg
echo "MinimumDynamicBacklog"=dword:00000014 >>temp/skyddos.reg
echo "MaximumDynamicBacklog"=dword:00002e20 >>temp/skyddos.reg
echo "DynamicBacklogGrowthDelta"=dword:0000000a >>temp/skyddos.reg
echo [HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services/lanmanserver/parameters] >>temp/skyddos.reg
echo "autoshareserver"=dword:00000000 >>temp/skyddos.reg
regedit /s temp/skyddos.reg
ECHO.
ECHO.
goto next5
:next5
ECHO.
ECHO. ------------------------------------------------------------------------
ECHo 防止ASP木马运行 卸除WScript.Shell, Shell.application, WScript.Network
ECHO YES=next set NO=this set ignore (this time 30 Second default for y)
ECHO. -----------------------------------------------------------------------
CHOICE /T 30 /C yn /D y
if errorlevel 2 goto next6
if errorlevel 1 goto next51
:next51
echo Windows Registry Editor Version 5.00 >temp/del.reg
echo [-HKEY_CLASSES_ROOT/Shell.Application] >>temp/del.reg
echo [-HKEY_CLASSES_ROOT/Shell.Application.1] >>temp/del.reg
echo [-HKEY_CLASSES_ROOT/CLSID/{13709620-C279-11CE-A49E-444553540000}] >>temp/del.reg
echo [-HKEY_CLASSES_ROOT/ADODB.Command/CLSID] >>temp/del.reg
echo [-HKEY_CLASSES_ROOT/CLSID/{00000566-0000-0010-8000-00AA006D2EA4}] >>temp/del.reg
regedit /s temp/del.reg
regsvr32 /u %SystemRoot%/system32/wshom.ocx
del /f/q %SystemRoot%/System32/wshom.ocx
regsvr32 /u %SystemRoot%/system32/shell32.dll
del /f/q %SystemRoot%/System32/shell32.dll
rmdir /q/s temp
ECHO.
goto next6
:next6
ECHO.
ECHO.
ECHO. ---------------------------------------------------------------------
ECHo 设置已经完成重启后才能生效.
ECHO YES=reboot server NO=exit (this time 60 Second default for y)
ECHO. ----------------------------------------------------------------------
CHOICE /T 30 /C yn /D y
if errorlevel 2 goto end
if errorlevel 1 goto reboot
:reboot
shutdown /r /t 0
:end
if EXIST temp (rmdir /s/q temp|exit) else exit
相关文章推荐
- Win2003 服务器安全配置技巧第1/3页
- WIN2003服务器安全配置终极技巧第1/6页
- WIN2003服务器安全配置终极技巧图
- WIN2003服务器安全配置终极技巧
- 不一样的WIN2003服务器安全配置技巧
- WIN2003服务器安全配置终极技巧
- Win2003 防木马、权限设置、IIS服务器安全配置整理
- Win2003网站服务器的安全配置
- 转Windows 2003服务器安全配置终极技巧
- Windows 2003服务器安全配置终极技巧 1
- Win2003与IIS服务器安全配置
- win2003 服务器安全配置全套详解
- Win2003下Asp配置技巧 http 500内部服务器错误
- Windows2003服务器的安全配置终极技巧
- Linux操作系统下PHP服务器安全配置技巧
- Win2003下Asp配置技巧 http 500内部服务器错误
- 服务器安全配置技巧--初级篇
- Win2003 防木马、权限设置、IIS服务器安全配置整理
- Win2003 ISS下Asp配置技巧 http 500内部服务器错误
- linux服务器安全配置10大技巧