打造安全WINDOWS2003服务器的终极手段
、本地策略——>安全选项
交互式登陆:不显示上次的用户名 启用
网络访问:不允许SAM帐户和共享的匿名枚举 启用
网络访问:不允许为网络身份验证储存凭证 启用
网络访问:可匿名访问的共享 全部删除
网络访问:可匿名访问的命 全部删除
网络访问:可远程访问的注册表路径 全部删除
网络访问:可远程访问的注册表路径和子路径 全部删除
帐户:重命名来宾帐户 重命名一个帐户
帐户:重命名系统管理员帐户 重命名一个帐户
修改Administrator和Guest这两个账号 一定要改的够复杂./最好@#$@!这样类似的组合.
4.禁用不必要的服务
禁用不必要的服务不但可以降低服务器的资源占用减轻负担,而且可以增强安全性.列出:
开始菜单—>管理工具—>服务
Application Experience Lookup Service
BITS
Computer Browser
DHCP Client
Error Reporting Service
Help and Support
Network Location Awareness
Print Spooler
Remote Registry
Secondary Logon
Smartcard
TCP/IP NetBIOS Helper
Workstation 这个就是"啊江"经常说到的,利用getobject("WINNT")获得了系统用户和系统进程的列表.
Windows Audio
Windows Time
Wireless Configuration
TCP/IP NetBIOS Helper
Server 这个就是默认共享了,如果连这个都不禁用的话,危险很大哦[sad]
5.更改远程桌面端口和禁用IPC连接
1. 打开注册表并转到此项:
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp
2. 找到“PortNumber”子项,看到值 00000D3D,它是 3389 的十六进制表示形式。使用十六进制数值修改此端口号,并保存新值。
2.禁用IPC连接:打开注册表编辑器,依次展开[HKEY_ LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa ]分支,在右侧窗口中找到“restrictanonymous”子键,将其值改为“1”即可
6.关于ASP木马.这里借鉴图王和啊江的解决方法
在IIS系统上,大部分木马都是ASP写的,因此,ASP组件的安全是非常重要的。
ASP木马实际上大部分通过调用Shell.Application、WScript.Shell、WScript.Network、FSO、Adodb.Stream组件来实现其功能,除了FSO之外,其他的大多可以直接禁用。
WScript.Shell组件使用这个命令删除:regsvr32 WSHom.ocx /u
WScript.Network组件使用这个命令删除:regsvr32 wshom.ocx /u
Shell.Application可以使用禁止Guest用户使用shell32.dll来防止调用此组件。使用命令:cacls C:\WINNT\system32\shell32.dll /e /d guests
禁止guests用户执行cmd.exe的命令是: cacls C:\WINNT\system32\Cmd.exe /e /d guests
FSO组件的禁用比较麻烦,如果网站本身不需要用这个组件,那么就通过RegSrv32 scrrun.dll /u命令来禁用吧。
7.WINDOWS的默认防火墙和TCP_IP筛选
1.TCP_IP筛选,打开网络连接.属性——>高级——>选项——>属性
开放的端口是:TCP80、TCP25、TCP20、TCP21、TCP3389、TCP4000~4005。开放4000~4005是为了支持Ser 《打造安全WINDOWS2003服务器的终极手段(第2页)》
本文链接地址:http://www.oyaya.net/fanwen/view/141496.html
交互式登陆:不显示上次的用户名 启用
网络访问:不允许SAM帐户和共享的匿名枚举 启用
网络访问:不允许为网络身份验证储存凭证 启用
网络访问:可匿名访问的共享 全部删除
网络访问:可匿名访问的命 全部删除
网络访问:可远程访问的注册表路径 全部删除
网络访问:可远程访问的注册表路径和子路径 全部删除
帐户:重命名来宾帐户 重命名一个帐户
帐户:重命名系统管理员帐户 重命名一个帐户
修改Administrator和Guest这两个账号 一定要改的够复杂./最好@#$@!这样类似的组合.
4.禁用不必要的服务
禁用不必要的服务不但可以降低服务器的资源占用减轻负担,而且可以增强安全性.列出:
开始菜单—>管理工具—>服务
Application Experience Lookup Service
BITS
Computer Browser
DHCP Client
Error Reporting Service
Help and Support
Network Location Awareness
Print Spooler
Remote Registry
Secondary Logon
Smartcard
TCP/IP NetBIOS Helper
Workstation 这个就是"啊江"经常说到的,利用getobject("WINNT")获得了系统用户和系统进程的列表.
Windows Audio
Windows Time
Wireless Configuration
TCP/IP NetBIOS Helper
Server 这个就是默认共享了,如果连这个都不禁用的话,危险很大哦[sad]
5.更改远程桌面端口和禁用IPC连接
1. 打开注册表并转到此项:
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp
2. 找到“PortNumber”子项,看到值 00000D3D,它是 3389 的十六进制表示形式。使用十六进制数值修改此端口号,并保存新值。
2.禁用IPC连接:打开注册表编辑器,依次展开[HKEY_ LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa ]分支,在右侧窗口中找到“restrictanonymous”子键,将其值改为“1”即可
6.关于ASP木马.这里借鉴图王和啊江的解决方法
在IIS系统上,大部分木马都是ASP写的,因此,ASP组件的安全是非常重要的。
ASP木马实际上大部分通过调用Shell.Application、WScript.Shell、WScript.Network、FSO、Adodb.Stream组件来实现其功能,除了FSO之外,其他的大多可以直接禁用。
WScript.Shell组件使用这个命令删除:regsvr32 WSHom.ocx /u
WScript.Network组件使用这个命令删除:regsvr32 wshom.ocx /u
Shell.Application可以使用禁止Guest用户使用shell32.dll来防止调用此组件。使用命令:cacls C:\WINNT\system32\shell32.dll /e /d guests
禁止guests用户执行cmd.exe的命令是: cacls C:\WINNT\system32\Cmd.exe /e /d guests
FSO组件的禁用比较麻烦,如果网站本身不需要用这个组件,那么就通过RegSrv32 scrrun.dll /u命令来禁用吧。
7.WINDOWS的默认防火墙和TCP_IP筛选
1.TCP_IP筛选,打开网络连接.属性——>高级——>选项——>属性
开放的端口是:TCP80、TCP25、TCP20、TCP21、TCP3389、TCP4000~4005。开放4000~4005是为了支持Ser 《打造安全WINDOWS2003服务器的终极手段(第2页)》
★读了本文的人也读了: