Windows2008 Server 常規設定及基本安全策略
阿新 • • 發佈:2019-01-02
一、系統及程式
1、螢幕保護與電源
桌面右鍵--〉個性化--〉螢幕保護程式
螢幕保護程式 選擇無
更改電源設定 選擇高效能
選擇關閉顯示器的時間 關閉顯示器 選 從不 儲存修改
2、安裝IIS
管理工具--〉伺服器管理器--〉新增伺服器角色--〉勾選 Web伺服器(IIS)
勾選下列 角色服務
ASP
CGI(和PHP有關)
ISAPI擴充套件
ISAPI篩選器
在伺服器端包含檔案(用於支援SSI shtml)
也可以之後新增
伺服器管理器--〉角色--〉web 伺服器(IIS)--〉角色服務 點選 新增角色服務
http://qingguo408.blog.163.com/blog/static/15662855201121893825604/
如需安裝SQL2005,則下列角色服務必須勾選
1. 常見的 HTTP 功能
靜態內容
預設文件
目錄瀏覽
HTTP 重定向
2. 應用程式開發
ASP.Net
.NER 擴充套件
ISAPI 擴充套件
ISAPI 篩選器
3. 安全性
Windows 身份驗證
4. 管理工具 IIS6 管理相容性
IIS 6 元資料庫相容性
IIS 6 WMI 相容性
設定日誌、輸出快取的目錄
新增預設文件
index.asp index.php Default.asp 等
啟用父路徑
ASP 啟用父路徑 False 改為 True
增加IIS對MIME檔案型別的支援
MIME型別
.rmvb application/vnd.rn-realmedia
.iso application/octet-stream
.rar application/octet-stream
.7z application/octet-stream
.mkv application/octet-stream
Win2008或IIS7的檔案上傳大小限制解決方案
預設情況下,IIS7的上傳限制為200K。當上傳檔案小於30M時,可以通過如下方法設定:
在iis7中找到asp設定,在“asp”的“限制屬性”中最後一行“最大請求主體限制”,修改該值為你所想要的,如2G(2000000000,單位為B)。
當上傳檔案要求大於30M時,繼續如下修改:
1. 停止IIS7
2. 找到“C:\Windows\System32\inetsrv\config\schema\IIS_schema.xml”檔案。
這個檔案是隻讀的,即使用管理員許可權也不能修改。要先修改檔案的許可權,然後去掉只讀屬性才可以。
1) 右鍵檔案->屬性->安全,選中目標使用者,點選高階,修改檔案所有者;
2) 確定後點擊編輯,就可以修改當前使用者的許可權了,新增“寫入”許可權。至此,許可權設定OK了。
3) 將檔案的只讀屬性去掉。
用記事本開啟該檔案,找到“”,將“30000000”修改為你想要的值(如2000000000)儲存。
將“C:\Windows\System32\inetsrv\config\schema\IIS_schema.xml”檔案加上只讀屬性。
啟動IIS7。本人上傳120M視訊檔案通過。但是,win2008最大隻能上傳小於2G的檔案。這個要注意。
3、配置php
http://www.cnblogs.com/kaite/archive/2012/03/10/2389489.html
把php安裝包解壓的一個目錄下,C:\php
拷貝一個php.ini-development副本,把它重新命名為php.ini。
配置php.ini 檔案,搜尋如下配置並修改相應的配置值:
extension_dir = "C:\php\ext"
; date.timezone = 改為 date.timezone = Asia/Shanghai
如果不改以上的date.timezone可能開啟網頁會提示500錯誤
元件
extension=php_mbstring.dll
extension=php_gd2.dll
extension=php_MySQL.dll
extension=php_mysqli.dll phpMyAdmin使用
PHP 5.3以上版本使用fastcgi模式,配置IIS 7需要在IIS新增一個處理程式對映
處理程式對映--〉新增一個模組處理程式:
*.php
FastCgiModule
C:\php\php-cgi.exe
PHP_vis_FastCGI
預設文件中新增index.php 為預設文件
PHP目錄 Users 讀取執行許可權
php測試
<?php
phpinfo();
?>
新版本的Windows版本PHP,在出現錯誤時,會將詳細的錯誤資訊自動儲存到Windows系統的TEMP臨時目錄,檔名為:php-errors.log。在Windows2003系統中路徑一般是:C:\WINDOWS\Temp\php-errors.log。用記事本開啟這個檔案,就可以看到詳細的php錯誤記錄了。
HTTP 錯誤 500.0 – Internal Server Error
發生未知 FastCGI 錯誤
發生此錯誤的關鍵原因在於沒有安裝VC9執行庫 即VISUAL C++ 2008 (installer自動帶上了Visual C++ 2008)
Microsoft Visual C++ 2008 Redistributable Package (x86)下載地址:
http://www.microsoft.com/downloads/details.aspx?FamilyID=9B2DA534-3E03-4391-8A4D-074B9F2BC1BF&displaylang=zh-cn
Microsoft Visual C++ 2008 Redistributable Package (x64)下載地址:
http://www.microsoft.com/downloads/zh-cn/resultsForProduct.aspx?displaylang=zh&ProductID=23947d52-b2bc-4e88-8c51-e81dc2905b0d
如果安裝VC9執行庫仍出現上面錯誤,多數是因為php安裝目錄沒有給IIS_IUSRS使用者讀取和執行許可權造成的。
4、Mysql 5安裝
http://faq.comsenz.com/usersguide/discuz
二、系統安全配置
1、目錄許可權
除系統所在分割槽之外的所有分割槽都賦予Administrators和SYSTEM有完全控制權,之後再對其下的子目錄作單獨的目錄許可權
2、遠端連線
我的電腦屬性--〉遠端設定--〉遠端--〉只允許執行帶網路超級身份驗證的遠端桌面的計算機連線
選擇允許執行任意版本遠端桌面的計算機連線(較不安全)。備註:方便多種版本Windows遠端管理伺服器。
http://apps.hi.baidu.com/share/detail/16610280
windows server 2008的遠端桌面連線,與2003相比,引入了網路級身份驗證(NLA,network level authentication),XP SP3不支援這種網路級的身份驗證,vista跟win7支援。
然而在XP系統中修改一下注冊表,即可讓XP SP3支援網路級身份驗證。
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa
在右視窗中雙擊Security Pakeages,新增一項“tspkg”。
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders
在右視窗中雙擊SecurityProviders,新增credssp.dll;請注意,在新增這項值時,一定要在原有的值後新增逗號後,別忘了要空一格(英文狀態)。
然後將XP系統重啟一下即可。再檢視一下,即可發現XP系統已經支援網路級身份驗證
3、修改遠端訪問服務埠
更改遠端連線埠方法,可用windows自帶的計算器將10進位制轉為16進位制。更改3389埠為8208,重啟生效!
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\Wds\rdpwd\Tds\tcp]
"PortNumber"=dword:0002010
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp]
"PortNumber"=dword:00002010
1.在開始--執行選單裡,輸入regedit,進入登錄檔編輯,按下面的路徑進入修改埠的地方
2.HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp
3.找到右側的 "PortNumber",用十進位制方式顯示,預設為3389,改為(例如)6666埠
4.HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\Wds\rdpwd\Tds\tcp
5.找到右側的 "PortNumber",用十進位制方式顯示,預設為3389,改為同上的埠
6.在控制面板--Windows 防火牆--高階設定--入站規則--新建規則
7.選擇埠--協議和埠--TCP/特定本地埠:同上的埠
8.下一步,選擇允許連線
9.下一步,選擇公用
10.下一步,名稱:遠端桌面-新(TCP-In),描述:用於遠端桌面服務的入站規則,以允許RDP通訊。[TCP 同上的埠]
11.刪除遠端桌面(TCP-In)規則
12.重新啟動計算機
4、配置本地連線
網路--〉屬性--〉管理網路連線--〉本地連線
開啟“本地連線”介面,選擇“屬性”,左鍵點選“Microsoft網路客戶端”,再點選“解除安裝”,在彈出的對話方塊中“是”確認解除安裝。點選“Microsoft網路的檔案和印表機共享”,再點選“解除安裝”,在彈出的對話方塊中選擇“是”確認解除安裝。
解除Netbios和TCP/IP協議的繫結 139埠
開啟“本地連線”介面,選擇“屬性”,在彈出的“屬性”框中雙擊“Internet協議版本(TCP/IPV4)”,點選“屬性”,再點選“高階”—“WINS”,選擇“禁用TCP/IP上的NETBIOS”,點選“確認”並關閉本地連線屬性。
禁止預設共享
點選“開始”—“執行”,輸入“Regedit”,開啟登錄檔編輯器,開啟登錄檔項“HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters”,在右邊的視窗中新建Dword值,名稱設為AutoShareServer,值設為“0”。
關閉 445埠
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NetBT\Parameters
新建 Dword(32位)名稱設為SMBDeviceEnabled 值設為“0”
5、共享和發現
右鍵“網路” 屬性 網路和共享中心 共享和發現
關閉
網路共享
檔案共享
公用檔案共享
印表機共享
顯示我正在共享的所有檔案和資料夾
顯示這臺計算機上所有共享的網路資料夾
6、用防火牆限制Ping
網上自己查吧,ping還是經常需要用到的
7、防火牆的設定
控制面板→Windows防火牆設定→更改設定→例外,勾選FTP、HTTP、遠端桌面服務 核心網路
HTTPS用不到可以不勾
3306:Mysql
1433:Mssql
8、禁用不需要的和危險的服務,以下列出服務都需要禁用。
控制面板 管理工具 服務
Distributed linktracking client 用於區域網更新連線資訊
PrintSpooler 列印服務
Remote Registry 遠端修改登錄檔
Server 計算機通過網路的檔案、列印、和命名管道共享
TCP/IP NetBIOS Helper 提供 TCP/IP (NetBT) 服務上的 NetBIOS 和網路上客戶端的 NetBIOS 名稱解析的支援
Workstation 洩漏系統使用者名稱列表 與Terminal Services Configuration 關聯
Computer Browser 維護網路計算機更新 預設已經禁用
Net Logon 域控制器通道管理 預設已經手動
Remote Procedure Call (RPC) Locator RpcNs*遠端過程呼叫 (RPC) 預設已經手動
刪除服務
sc delete MySql
9、安全設定-->本地策略-->安全選項
在執行中輸入gpedit.msc回車,開啟組策略編輯器,選擇計算機配置-->Windows設定-->安全設定-->本地策略-->安全選項
互動式登陸:不顯示最後的使用者名稱 啟用
網路訪問:不允許SAM帳戶的匿名列舉 啟用 已經啟用
網路訪問:不允許SAM帳戶和共享的匿名列舉 啟用
網路訪問:不允許儲存網路身份驗證的憑據 啟用
網路訪問:可匿名訪問的共享 內容全部刪除
網路訪問:可匿名訪問的命名管道 內容全部刪除
網路訪問:可遠端訪問的登錄檔路徑 內容全部刪除
網路訪問:可遠端訪問的登錄檔路徑和子路徑 內容全部刪除
帳戶:重新命名來賓帳戶 這裡可以更改guest帳號
帳戶:重命名系統管理員帳戶 這裡可以更改Administrator帳號
10、安全設定-->賬戶策略-->賬戶鎖定策略
在執行中輸入gpedit.msc回車,開啟組策略編輯器,選擇計算機配置-->Windows設定-->安全設定-->賬戶策略-->賬戶鎖定策略,將賬戶鎖定閾值設為“三次登陸無效”,“鎖定時間為30分鐘”,“復位鎖定計數設為30分鐘”。
11、本地安全設定
選擇計算機配置-->Windows設定-->安全設定-->本地策略-->使用者許可權分配
關閉系統:只有Administrators組、其它全部刪除。
通過終端服務拒絕登陸:加入Guests組、IUSR_*****、IWAM_*****、NETWORK SERVICE、SQLDebugger
通過終端服務允許登陸:加入Administrators、Remote Desktop Users組,其他全部刪除
12、更改Administrator,guest賬戶,新建一無任何許可權的假Administrator賬戶
管理工具→計算機管理→系統工具→本地使用者和組→使用者
新建一個Administrator帳戶作為陷阱帳戶,設定超長密碼,並去掉所有使用者組
更改描述:管理計算機(域)的內建帳戶
13、密碼策略
選擇計算機配置-->Windows設定-->安全設定-->密碼策略
啟動 密碼必須符合複雜性要求
最短密碼長度
14、禁用DCOM ("衝擊波"病毒 RPC/DCOM 漏洞)
執行Dcomcnfg.exe。控制檯根節點→元件服務→計算機→右鍵單擊“我的電腦”→屬性”→預設屬性”選項卡→清除“在這臺計算機上啟用分散式 COM”複選框。
15、ASP漏洞
主要是解除安裝WScript.Shell 和 Shell.application 元件,是否刪除看是否必要。
regsvr32/u C:\WINDOWS\System32\wshom.ocx
regsvr32/u C:\WINDOWS\system32\shell32.dll
刪除可能許可權不夠
del C:\WINDOWS\System32\wshom.ocx
del C:\WINDOWS\system32\shell32.dll
如果確實要使用,或者也可以給它們改個名字。
WScript.Shell可以呼叫系統核心執行DOS基本命令
可以通過修改登錄檔,將此元件改名,來防止此類木馬的危害。
HKEY_CLASSES_ROOT\WScript.Shell\及HKEY_CLASSES_ROOT\WScript.Shell.1\
改名為其它的名字,如:改為WScript.Shell_ChangeName 或 WScript.Shell.1_ChangeName
自己以後呼叫的時候使用這個就可以正常呼叫此元件了
也要將clsid值也改一下
HKEY_CLASSES_ROOT\WScript.Shell\CLSID\專案的值
HKEY_CLASSES_ROOT\WScript.Shell.1\CLSID\專案的值
也可以將其刪除,來防止此類木馬的危害。
Shell.Application可以呼叫系統核心執行DOS基本命令
可以通過修改登錄檔,將此元件改名,來防止此類木馬的危害。
HKEY_CLASSES_ROOT\Shell.Application\
及
HKEY_CLASSES_ROOT\Shell.Application.1\
改名為其它的名字,如:改為Shell.Application_ChangeName 或 Shell.Application.1_ChangeName
自己以後呼叫的時候使用這個就可以正常呼叫此元件了
也要將clsid值也改一下
HKEY_CLASSES_ROOT\Shell.Application\CLSID\專案的值
HKEY_CLASSES_ROOT\Shell.Application\CLSID\專案的值
也可以將其刪除,來防止此類木馬的危害。
禁止Guest使用者使用shell32.dll來防止呼叫此元件。
2000使用命令:cacls C:\WINNT\system32\shell32.dll /e /d guests
2003使用命令:cacls C:\WINDOWS\system32\shell32.dll /e /d guests
禁止使用FileSystemObject元件,FSO是使用率非常高的元件,要小心確定是否解除安裝。改名後呼叫就要改程式了,Set FSO = Server.CreateObject("Scripting.FileSystemObject")。
FileSystemObject可以對檔案進行常規操作,可以通過修改登錄檔,將此元件改名,來防止此類木馬的危害。
HKEY_CLASSES_ROOT\Scripting.FileSystemObject\
改名為其它的名字,如:改為 FileSystemObject_ChangeName
自己以後呼叫的時候使用這個就可以正常呼叫此元件了
也要將clsid值也改一下
HKEY_CLASSES_ROOT\Scripting.FileSystemObject\CLSID\專案的值
也可以將其刪除,來防止此類木馬的危害。
2000登出此元件命令:RegSrv32 /u C:\WINNT\SYSTEM\scrrun.dll
2003登出此元件命令:RegSrv32 /u C:\WINDOWS\SYSTEM\scrrun.dll
如何禁止Guest使用者使用scrrun.dll來防止呼叫此元件?
使用這個命令:cacls C:\WINNT\system32\scrrun.dll /e /d guests
15、開啟UAC
控制面板 使用者賬戶 開啟或關閉使用者賬戶控制
16、程式許可權
"net.exe","net1.exe","cmd.exe","tftp.exe","netstat.exe","regedit.exe","at.exe","attrib.exe","cacls.exe","format.com","c.exe"
或完全禁止上述命令的執行
gpedit.msc-〉使用者配置-〉管理模板-〉系統
啟用 阻止訪問命令提示符 同時 也停用命令提示符指令碼處理
啟用 阻止訪問登錄檔編輯工具
啟用 不要執行指定的windows應用程式,新增下面的
at.exe attrib.exe c.exe cacls.exe cmd.exe format.com net.exe net1.exe netstat.exe regedit.exe tftp.exe
17、Serv-u安全問題
安裝程式儘量採用最新版本,避免採用預設安裝目錄,設定好serv-u目錄所在的許可權,設定一個複雜的管理員密碼。修改serv-u的banner資訊,設定被動模式埠範圍(4001—4003)在本地伺服器中設定中做好相關安全設定:包括檢查匿名密碼,禁用反超時排程,攔截“FTP bounce”攻擊和FXP,對於在30秒內連線超過3次的使用者攔截10分鐘。域中的設定為:要求複雜密碼,目錄只使用小寫字母,高階中設定取消允許使用MDTM命令更改檔案的日期。
更改serv-u的啟動使用者:在系統中新建一個使用者,設定一個複雜點的密碼,不屬於任何組。將servu的安裝目錄給予該使用者完全控制權限。建立一個FTP根目錄,需要給予這個使用者該目錄完全控制權限,因為所有的ftp使用者上傳,刪除,更改檔案都是繼承了該使用者的許可權,否則無法操作檔案。另外需要給該目錄以上的上級目錄給該使用者的讀取許可權,否則會在連線的時候出現530 Not logged in, home directory does not exist。比如在測試的時候ftp根目錄為d:soft,必須給d盤該使用者的讀取許可權,為了安全取消d盤其他資料夾的繼承許可權。而一般的使用預設的system啟動就沒有這些問題,因為system一般都擁有這些許可權的。
如果FTP不是必須每天都用,不如就關了吧,要用再開啟。
1、螢幕保護與電源
桌面右鍵--〉個性化--〉螢幕保護程式
螢幕保護程式 選擇無
更改電源設定 選擇高效能
選擇關閉顯示器的時間 關閉顯示器 選 從不 儲存修改
2、安裝IIS
管理工具--〉伺服器管理器--〉新增伺服器角色--〉勾選 Web伺服器(IIS)
勾選下列 角色服務
ASP
CGI(和PHP有關)
ISAPI擴充套件
ISAPI篩選器
在伺服器端包含檔案(用於支援SSI shtml)
也可以之後新增
伺服器管理器--〉角色--〉web 伺服器(IIS)--〉角色服務 點選 新增角色服務
http://qingguo408.blog.163.com/blog/static/15662855201121893825604/
如需安裝SQL2005,則下列角色服務必須勾選
1. 常見的 HTTP 功能
靜態內容
預設文件
目錄瀏覽
HTTP 重定向
2. 應用程式開發
ASP.Net
.NER 擴充套件
ISAPI 擴充套件
ISAPI 篩選器
3. 安全性
Windows 身份驗證
4. 管理工具 IIS6 管理相容性
IIS 6 元資料庫相容性
IIS 6 WMI 相容性
設定日誌、輸出快取的目錄
新增預設文件
index.asp index.php Default.asp 等
啟用父路徑
ASP 啟用父路徑 False 改為 True
增加IIS對MIME檔案型別的支援
MIME型別
.rmvb application/vnd.rn-realmedia
.iso application/octet-stream
.rar application/octet-stream
.7z application/octet-stream
.mkv application/octet-stream
Win2008或IIS7的檔案上傳大小限制解決方案
預設情況下,IIS7的上傳限制為200K。當上傳檔案小於30M時,可以通過如下方法設定:
在iis7中找到asp設定,在“asp”的“限制屬性”中最後一行“最大請求主體限制”,修改該值為你所想要的,如2G(2000000000,單位為B)。
當上傳檔案要求大於30M時,繼續如下修改:
1. 停止IIS7
2. 找到“C:\Windows\System32\inetsrv\config\schema\IIS_schema.xml”檔案。
這個檔案是隻讀的,即使用管理員許可權也不能修改。要先修改檔案的許可權,然後去掉只讀屬性才可以。
1) 右鍵檔案->屬性->安全,選中目標使用者,點選高階,修改檔案所有者;
2) 確定後點擊編輯,就可以修改當前使用者的許可權了,新增“寫入”許可權。至此,許可權設定OK了。
3) 將檔案的只讀屬性去掉。
用記事本開啟該檔案,找到“”,將“30000000”修改為你想要的值(如2000000000)儲存。
將“C:\Windows\System32\inetsrv\config\schema\IIS_schema.xml”檔案加上只讀屬性。
啟動IIS7。本人上傳120M視訊檔案通過。但是,win2008最大隻能上傳小於2G的檔案。這個要注意。
3、配置php
http://www.cnblogs.com/kaite/archive/2012/03/10/2389489.html
把php安裝包解壓的一個目錄下,C:\php
拷貝一個php.ini-development副本,把它重新命名為php.ini。
配置php.ini 檔案,搜尋如下配置並修改相應的配置值:
extension_dir = "C:\php\ext"
; date.timezone = 改為 date.timezone = Asia/Shanghai
如果不改以上的date.timezone可能開啟網頁會提示500錯誤
元件
extension=php_mbstring.dll
extension=php_gd2.dll
extension=php_MySQL.dll
extension=php_mysqli.dll phpMyAdmin使用
PHP 5.3以上版本使用fastcgi模式,配置IIS 7需要在IIS新增一個處理程式對映
處理程式對映--〉新增一個模組處理程式:
*.php
FastCgiModule
C:\php\php-cgi.exe
PHP_vis_FastCGI
預設文件中新增index.php 為預設文件
PHP目錄 Users 讀取執行許可權
php測試
<?php
phpinfo();
?>
新版本的Windows版本PHP,在出現錯誤時,會將詳細的錯誤資訊自動儲存到Windows系統的TEMP臨時目錄,檔名為:php-errors.log。在Windows2003系統中路徑一般是:C:\WINDOWS\Temp\php-errors.log。用記事本開啟這個檔案,就可以看到詳細的php錯誤記錄了。
HTTP 錯誤 500.0 – Internal Server Error
發生未知 FastCGI 錯誤
發生此錯誤的關鍵原因在於沒有安裝VC9執行庫 即VISUAL C++ 2008 (installer自動帶上了Visual C++ 2008)
Microsoft Visual C++ 2008 Redistributable Package (x86)下載地址:
http://www.microsoft.com/downloads/details.aspx?FamilyID=9B2DA534-3E03-4391-8A4D-074B9F2BC1BF&displaylang=zh-cn
Microsoft Visual C++ 2008 Redistributable Package (x64)下載地址:
http://www.microsoft.com/downloads/zh-cn/resultsForProduct.aspx?displaylang=zh&ProductID=23947d52-b2bc-4e88-8c51-e81dc2905b0d
如果安裝VC9執行庫仍出現上面錯誤,多數是因為php安裝目錄沒有給IIS_IUSRS使用者讀取和執行許可權造成的。
4、Mysql 5安裝
http://faq.comsenz.com/usersguide/discuz
二、系統安全配置
1、目錄許可權
除系統所在分割槽之外的所有分割槽都賦予Administrators和SYSTEM有完全控制權,之後再對其下的子目錄作單獨的目錄許可權
2、遠端連線
我的電腦屬性--〉遠端設定--〉遠端--〉只允許執行帶網路超級身份驗證的遠端桌面的計算機連線
選擇允許執行任意版本遠端桌面的計算機連線(較不安全)。備註:方便多種版本Windows遠端管理伺服器。
http://apps.hi.baidu.com/share/detail/16610280
windows server 2008的遠端桌面連線,與2003相比,引入了網路級身份驗證(NLA,network level authentication),XP SP3不支援這種網路級的身份驗證,vista跟win7支援。
然而在XP系統中修改一下注冊表,即可讓XP SP3支援網路級身份驗證。
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa
在右視窗中雙擊Security Pakeages,新增一項“tspkg”。
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders
在右視窗中雙擊SecurityProviders,新增credssp.dll;請注意,在新增這項值時,一定要在原有的值後新增逗號後,別忘了要空一格(英文狀態)。
然後將XP系統重啟一下即可。再檢視一下,即可發現XP系統已經支援網路級身份驗證
3、修改遠端訪問服務埠
更改遠端連線埠方法,可用windows自帶的計算器將10進位制轉為16進位制。更改3389埠為8208,重啟生效!
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\Wds\rdpwd\Tds\tcp]
"PortNumber"=dword:0002010
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp]
"PortNumber"=dword:00002010
1.在開始--執行選單裡,輸入regedit,進入登錄檔編輯,按下面的路徑進入修改埠的地方
2.HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp
3.找到右側的 "PortNumber",用十進位制方式顯示,預設為3389,改為(例如)6666埠
4.HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\Wds\rdpwd\Tds\tcp
5.找到右側的 "PortNumber",用十進位制方式顯示,預設為3389,改為同上的埠
6.在控制面板--Windows 防火牆--高階設定--入站規則--新建規則
7.選擇埠--協議和埠--TCP/特定本地埠:同上的埠
8.下一步,選擇允許連線
9.下一步,選擇公用
10.下一步,名稱:遠端桌面-新(TCP-In),描述:用於遠端桌面服務的入站規則,以允許RDP通訊。[TCP 同上的埠]
11.刪除遠端桌面(TCP-In)規則
12.重新啟動計算機
4、配置本地連線
網路--〉屬性--〉管理網路連線--〉本地連線
開啟“本地連線”介面,選擇“屬性”,左鍵點選“Microsoft網路客戶端”,再點選“解除安裝”,在彈出的對話方塊中“是”確認解除安裝。點選“Microsoft網路的檔案和印表機共享”,再點選“解除安裝”,在彈出的對話方塊中選擇“是”確認解除安裝。
解除Netbios和TCP/IP協議的繫結 139埠
開啟“本地連線”介面,選擇“屬性”,在彈出的“屬性”框中雙擊“Internet協議版本(TCP/IPV4)”,點選“屬性”,再點選“高階”—“WINS”,選擇“禁用TCP/IP上的NETBIOS”,點選“確認”並關閉本地連線屬性。
禁止預設共享
點選“開始”—“執行”,輸入“Regedit”,開啟登錄檔編輯器,開啟登錄檔項“HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters”,在右邊的視窗中新建Dword值,名稱設為AutoShareServer,值設為“0”。
關閉 445埠
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NetBT\Parameters
新建 Dword(32位)名稱設為SMBDeviceEnabled 值設為“0”
5、共享和發現
右鍵“網路” 屬性 網路和共享中心 共享和發現
關閉
網路共享
檔案共享
公用檔案共享
印表機共享
顯示我正在共享的所有檔案和資料夾
顯示這臺計算機上所有共享的網路資料夾
6、用防火牆限制Ping
網上自己查吧,ping還是經常需要用到的
7、防火牆的設定
控制面板→Windows防火牆設定→更改設定→例外,勾選FTP、HTTP、遠端桌面服務 核心網路
HTTPS用不到可以不勾
3306:Mysql
1433:Mssql
8、禁用不需要的和危險的服務,以下列出服務都需要禁用。
控制面板 管理工具 服務
Distributed linktracking client 用於區域網更新連線資訊
PrintSpooler 列印服務
Remote Registry 遠端修改登錄檔
Server 計算機通過網路的檔案、列印、和命名管道共享
TCP/IP NetBIOS Helper 提供 TCP/IP (NetBT) 服務上的 NetBIOS 和網路上客戶端的 NetBIOS 名稱解析的支援
Workstation 洩漏系統使用者名稱列表 與Terminal Services Configuration 關聯
Computer Browser 維護網路計算機更新 預設已經禁用
Net Logon 域控制器通道管理 預設已經手動
Remote Procedure Call (RPC) Locator RpcNs*遠端過程呼叫 (RPC) 預設已經手動
刪除服務
sc delete MySql
9、安全設定-->本地策略-->安全選項
在執行中輸入gpedit.msc回車,開啟組策略編輯器,選擇計算機配置-->Windows設定-->安全設定-->本地策略-->安全選項
互動式登陸:不顯示最後的使用者名稱 啟用
網路訪問:不允許SAM帳戶的匿名列舉 啟用 已經啟用
網路訪問:不允許SAM帳戶和共享的匿名列舉 啟用
網路訪問:不允許儲存網路身份驗證的憑據 啟用
網路訪問:可匿名訪問的共享 內容全部刪除
網路訪問:可匿名訪問的命名管道 內容全部刪除
網路訪問:可遠端訪問的登錄檔路徑 內容全部刪除
網路訪問:可遠端訪問的登錄檔路徑和子路徑 內容全部刪除
帳戶:重新命名來賓帳戶 這裡可以更改guest帳號
帳戶:重命名系統管理員帳戶 這裡可以更改Administrator帳號
10、安全設定-->賬戶策略-->賬戶鎖定策略
在執行中輸入gpedit.msc回車,開啟組策略編輯器,選擇計算機配置-->Windows設定-->安全設定-->賬戶策略-->賬戶鎖定策略,將賬戶鎖定閾值設為“三次登陸無效”,“鎖定時間為30分鐘”,“復位鎖定計數設為30分鐘”。
11、本地安全設定
選擇計算機配置-->Windows設定-->安全設定-->本地策略-->使用者許可權分配
關閉系統:只有Administrators組、其它全部刪除。
通過終端服務拒絕登陸:加入Guests組、IUSR_*****、IWAM_*****、NETWORK SERVICE、SQLDebugger
通過終端服務允許登陸:加入Administrators、Remote Desktop Users組,其他全部刪除
12、更改Administrator,guest賬戶,新建一無任何許可權的假Administrator賬戶
管理工具→計算機管理→系統工具→本地使用者和組→使用者
新建一個Administrator帳戶作為陷阱帳戶,設定超長密碼,並去掉所有使用者組
更改描述:管理計算機(域)的內建帳戶
13、密碼策略
選擇計算機配置-->Windows設定-->安全設定-->密碼策略
啟動 密碼必須符合複雜性要求
最短密碼長度
14、禁用DCOM ("衝擊波"病毒 RPC/DCOM 漏洞)
執行Dcomcnfg.exe。控制檯根節點→元件服務→計算機→右鍵單擊“我的電腦”→屬性”→預設屬性”選項卡→清除“在這臺計算機上啟用分散式 COM”複選框。
15、ASP漏洞
主要是解除安裝WScript.Shell 和 Shell.application 元件,是否刪除看是否必要。
regsvr32/u C:\WINDOWS\System32\wshom.ocx
regsvr32/u C:\WINDOWS\system32\shell32.dll
刪除可能許可權不夠
del C:\WINDOWS\System32\wshom.ocx
del C:\WINDOWS\system32\shell32.dll
如果確實要使用,或者也可以給它們改個名字。
WScript.Shell可以呼叫系統核心執行DOS基本命令
可以通過修改登錄檔,將此元件改名,來防止此類木馬的危害。
HKEY_CLASSES_ROOT\WScript.Shell\及HKEY_CLASSES_ROOT\WScript.Shell.1\
改名為其它的名字,如:改為WScript.Shell_ChangeName 或 WScript.Shell.1_ChangeName
自己以後呼叫的時候使用這個就可以正常呼叫此元件了
也要將clsid值也改一下
HKEY_CLASSES_ROOT\WScript.Shell\CLSID\專案的值
HKEY_CLASSES_ROOT\WScript.Shell.1\CLSID\專案的值
也可以將其刪除,來防止此類木馬的危害。
Shell.Application可以呼叫系統核心執行DOS基本命令
可以通過修改登錄檔,將此元件改名,來防止此類木馬的危害。
HKEY_CLASSES_ROOT\Shell.Application\
及
HKEY_CLASSES_ROOT\Shell.Application.1\
改名為其它的名字,如:改為Shell.Application_ChangeName 或 Shell.Application.1_ChangeName
自己以後呼叫的時候使用這個就可以正常呼叫此元件了
也要將clsid值也改一下
HKEY_CLASSES_ROOT\Shell.Application\CLSID\專案的值
HKEY_CLASSES_ROOT\Shell.Application\CLSID\專案的值
也可以將其刪除,來防止此類木馬的危害。
禁止Guest使用者使用shell32.dll來防止呼叫此元件。
2000使用命令:cacls C:\WINNT\system32\shell32.dll /e /d guests
2003使用命令:cacls C:\WINDOWS\system32\shell32.dll /e /d guests
禁止使用FileSystemObject元件,FSO是使用率非常高的元件,要小心確定是否解除安裝。改名後呼叫就要改程式了,Set FSO = Server.CreateObject("Scripting.FileSystemObject")。
FileSystemObject可以對檔案進行常規操作,可以通過修改登錄檔,將此元件改名,來防止此類木馬的危害。
HKEY_CLASSES_ROOT\Scripting.FileSystemObject\
改名為其它的名字,如:改為 FileSystemObject_ChangeName
自己以後呼叫的時候使用這個就可以正常呼叫此元件了
也要將clsid值也改一下
HKEY_CLASSES_ROOT\Scripting.FileSystemObject\CLSID\專案的值
也可以將其刪除,來防止此類木馬的危害。
2000登出此元件命令:RegSrv32 /u C:\WINNT\SYSTEM\scrrun.dll
2003登出此元件命令:RegSrv32 /u C:\WINDOWS\SYSTEM\scrrun.dll
如何禁止Guest使用者使用scrrun.dll來防止呼叫此元件?
使用這個命令:cacls C:\WINNT\system32\scrrun.dll /e /d guests
15、開啟UAC
控制面板 使用者賬戶 開啟或關閉使用者賬戶控制
16、程式許可權
"net.exe","net1.exe","cmd.exe","tftp.exe","netstat.exe","regedit.exe","at.exe","attrib.exe","cacls.exe","format.com","c.exe"
或完全禁止上述命令的執行
gpedit.msc-〉使用者配置-〉管理模板-〉系統
啟用 阻止訪問命令提示符 同時 也停用命令提示符指令碼處理
啟用 阻止訪問登錄檔編輯工具
啟用 不要執行指定的windows應用程式,新增下面的
at.exe attrib.exe c.exe cacls.exe cmd.exe format.com net.exe net1.exe netstat.exe regedit.exe tftp.exe
17、Serv-u安全問題
安裝程式儘量採用最新版本,避免採用預設安裝目錄,設定好serv-u目錄所在的許可權,設定一個複雜的管理員密碼。修改serv-u的banner資訊,設定被動模式埠範圍(4001—4003)在本地伺服器中設定中做好相關安全設定:包括檢查匿名密碼,禁用反超時排程,攔截“FTP bounce”攻擊和FXP,對於在30秒內連線超過3次的使用者攔截10分鐘。域中的設定為:要求複雜密碼,目錄只使用小寫字母,高階中設定取消允許使用MDTM命令更改檔案的日期。
更改serv-u的啟動使用者:在系統中新建一個使用者,設定一個複雜點的密碼,不屬於任何組。將servu的安裝目錄給予該使用者完全控制權限。建立一個FTP根目錄,需要給予這個使用者該目錄完全控制權限,因為所有的ftp使用者上傳,刪除,更改檔案都是繼承了該使用者的許可權,否則無法操作檔案。另外需要給該目錄以上的上級目錄給該使用者的讀取許可權,否則會在連線的時候出現530 Not logged in, home directory does not exist。比如在測試的時候ftp根目錄為d:soft,必須給d盤該使用者的讀取許可權,為了安全取消d盤其他資料夾的繼承許可權。而一般的使用預設的system啟動就沒有這些問題,因為system一般都擁有這些許可權的。
如果FTP不是必須每天都用,不如就關了吧,要用再開啟。