大学生个人网站怎么做,苏州高端网站设计,wordpress添加作者信息,wordpress知名主题下载Win2003 Server安全配置完整篇一、先关闭不需要的端口 我比较小心#xff0c;先关了端口。只开了3389 21 80 1433有些人一直说什么默认的3389不安全#xff0c;对此我不否认#xff0c;但是利用的途径也只能一个一个的穷举爆破#xff0c;你把帐号改 了密码设置为十五六… Win2003 Server安全配置完整篇 一、先关闭不需要的端口 我比较小心先关了端口。只开了3389 21 80 1433有些人一直说什么默认的3389不安全对此我不否认但是利用的途径也只能一个一个的穷举爆破你把帐号改 了密码设置为十五六位我估计他要破上好几年哈哈!办法:本地连接--属性--Internet协议(TCP/IP)--高级--选项--TCP/IP筛选--属性--把勾打上 然后添加你需要的端口即可。PS一句:设置完端口需要重新启动! 当然大家也可以更改远程连接端口方法: Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp] PortNumberdword:00002683 保存为.REG文件双击即可!更改为9859当然大家也可以换别的端口 直接打开以上注册表的地址把值改为十进制的输入你想要的端口即可!重启生效! 还有一点在2003系统里用TCP/IP筛选里的端口过滤功能使用FTP服务器的时候只开放21端口在进行FTP传输的时候FTP 特有的Port模式和Passive模式在进行数据传输的时候需要动态的打开高端口所以在使用TCP/IP过滤的情况下经常会出现连接上后无法列出目录和数据传输的问题。所以在2003系统上增加的windows连接防火墙能很好的解决这个问题所以都不推荐使用网卡的TCP/IP过滤功能。所做FTP下载的用户看仔细点表怪俺说俺写文章是垃圾...如果要关闭不必要的端口在\\system32\\drivers\\etc\\services中有列表记事本就可以打开的。如果懒惰的话最简单的方法是启用WIN2003的自身带的网络防火墙并进行端口的改变。功能还可以!Internet 连接防火墙可以有效地拦截对Windows 2003服务器的非法***防止非法远程主机对服务器的扫描提高Windows 2003服务器的安全性。同时也可以有效拦截利用操作系统漏洞进行端口***的病毒如冲击波等蠕虫病毒。如果在用Windows 2003构造的虚拟路由器上启用此防火墙功能能够对整个内部网络起到很好的保护作用。 二、关闭不需要的服务 打开相应的审核策略 我关闭了以下的服务 Computer Browser 维护网络上计算机的最新列表以及提供这个列表 Task scheduler 允许程序在指定时间运行 Messenger 传输客户端和服务器之间的 NET SEND 和 警报器服务消息 Distributed File System: 局域网管理共享文件不需要禁用 Distributed linktracking client:用于局域网更新连接信息不需要禁用 Error reporting service:禁止发送错误报告 Microsoft Serch:提供快速的单词搜索不需要可禁用 NTLMSecuritysupportprovide:telnet服务和Microsoft Serch用的不需要禁用 PrintSpooler:如果没有打印机可禁用 Remote Registry:禁止远程修改注册表 Remote Desktop Help Session Manager:禁止远程协助 Workstation 关闭的话远程NET命令列不出用户组 把不必要的服务都禁止掉尽管这些不一定能被***者利用得上但是按照安全规则和标准上来说多余的东西就没必要开启减少一份隐患。 在网络连接里把不需要的协议和服务都删掉这里只安装了基本的Internet协议(TCP/IP)由于要控制带宽流量服务额外安装了Qos数据包计划程序。在高级tcp/ip设置里--NetBIOS设置禁用tcp/IP上的NetBIOS(S)。在高级选项里使用Internet连接防火墙这是windows 2003 自带的防火墙在2000系统里没有的功能虽然没什么功能但可以屏蔽端口这样已经基本达到了一个IPSec的功能。 在运行中输入gpedit.msc回车打开组策略编辑器选择计算机配置-Windows设置-安全设置-审核策略在创建审核项目时需要注意的是如果审核的项目太多生成的事件也就越多那么要想发现严重的事件也越难当然如果审核的太少也会影响你发现严重的事件你需要根据情况在这二者之间做出选择。 推荐的要审核的项目是: 登录事件 成功 失败 账户登录事件 成功 失败 系统事件 成功 失败 策略更改 成功 失败 对象访问 失败 目录服务访问 失败 特权使用 失败三、关闭默认共享的空连接 由于比较简单这里就不详谈了。 四、磁盘权限设置 C盘只给administrators 和system权限其他的权限不给其他的盘也可以这样设置这里给的system权限也不一定需要给只是由于某些第三方应用程序是以服务形式启动的需要加上这个用户否则造成启动不了。 Windows目录要加上给users的默认权限否则ASP和ASPX等应用程序就无法运行。以前有朋友单独设置Instsrv和temp等目录权限其实没有这个必要的。 另外在c:/Documents and Settings/这里相当重要后面的目录里的权限根本不会继承从前的设置如果仅仅只是设置了C盘给administrators权限而在All Users/Application Data目录下会 出现everyone用户有完全控制权限这样***这可以跳转到这个目录写入脚本或只文件再结合其他漏洞来提升权限;譬如利用serv-u的本地溢出提升权限或系统遗漏有补丁数据库的弱点甚至社会工程学等等N多方法从前不是有牛人发飑说:只要给我一个webshell我就能拿到system这也的确是有可能的。在用做web/ftp服务器的系统里建议是将这些目录都设置的锁死。其他每个盘的目录都按照这样设置没个盘都只给adinistrators权限。 另外还将: net.exe NET命令 cmd.exe CMD 懂电脑的都知道咯~ tftp.exe netstat.exe regedit.exe at.exe attrib.exe cacls.exe ACL用户组权限设置此命令可以在NTFS下设置任何文件夹的任何权限!偶***的时候没少用这个....(: format.exe 大家都知道ASP***吧有个CMD运行这个的这些如果都可以在CMD下运行..55估计别的没啥format下估计就哭料~~~(:这些文件都设置只允许administrators访问。 五、防火墙、杀毒软件的安装 关于这个东西的安装其实我也说不来反正安装什么的都有建议使用卡巴卖咖啡。 六、SQL2000 SERV-U FTP安全设置 SQL安全方面 1、System Administrators 角色最好不要超过两个 2、如果是在本机最好将身份验证配置为Win登陆 3、不要使用Sa账户为其配置一个超级复杂的密码 4、删除以下的扩展存储过程格式为: use master sp_dropextendedproc 扩展存储过程名 xp_cmdshell:是进入操作系统的最佳捷径删除 访问注册表的存储过程删除 Xp_regaddmultistring Xp_regdeletekey Xp_regdeletevalue Xp_regenumvalues Xp_regread Xp_regwrite Xp_regremovemultistring OLE自动存储过程不需要删除 Sp_OACreate Sp_OADestroy Sp_OAGetErrorInfo Sp_OAGetProperty Sp_OAMethod Sp_OASetProperty Sp_OAStop 5、隐藏 SQL Server、更改默认的1433端口 右击实例选属性-常规-网络配置中选择TCP/IP协议的属性选择隐藏 SQL Server 实例并改原默认的1433端口 serv-u的几点常规安全需要设置下: 选中Block FTP_bounceattack and FXP。什么是FXP呢?通常当使用FTP协议进行文件传输时客户端首先向FTP服务器发出一个PORT命令该命令中包含此用户的IP地址和将被用来进行数据传输的端口号服务器收到后利用命令所提供的用户地址信息建立与用户的连接。大多数情况下上述过程不会出现任何问题但当客户端是一名恶意用户时可能会通过在PORT命令中加入特定的地址信息使FTP服务器与其它非客户端的机器建立连接。虽然这名恶意用户可能本身无权直接访问某一特定机器但是如果FTP服务器有权访问该机器的话那么恶意用户就可以通过FTP服务器作为中介仍然能够最终实现与目标服务器的连接。这就是FXP也称跨服务器***。选中后就可以防止发生此种情况。 七、IIS安全设置 IIS的安全: 1、不使用默认的Web站点如果使用也要将 将IIS目录与系统磁盘分开。 2、删除IIS默认创建的Inetpub目录(在安装系统的盘上)。 3、删除系统盘下的虚拟目录如:_vti_bin、IISSamples、Scripts、IIShelp、IISAdmin、IIShelp、MSADC。 4、删除不必要的IIS扩展名映射。 右键单击“默认Web站点→属性→主目录→配置”打开应用程序窗口去掉不必要的应用程序映射。主要为.shtml, .shtm, .stm 5、更改IIS日志的路径 右键单击“默认Web站点→属性-网站-在启用日志记录下点击属性 6、如果使用的是2000可以使用iislockdown来保护IIS在2003运行的IE6.0的版本不需要。 八、其它 1、 系统升级、打操作系统补丁尤其是IIS 6.0补丁、SQL SP3a补丁甚至IE 6.0补丁也要打。同时及时跟踪最新漏洞补丁; 2、停掉Guest 帐号、并给guest 加一个异常复杂的密码把Administrator改名或伪装! 3、隐藏重要文件/目录 可以修改注册表实现完全隐藏:“HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\ Current-Version\Explorer\Advanced\Folder\Hi-dden\SHOWALL”鼠标右击 “CheckedValue”选择修改把数值由1改为0 4、启动系统自带的Internet连接防火墙在设置服务选项中勾选Web服务器。 5、防止SYN洪水*** HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters 新建DWORD值名为SynAttackProtect值为2 6. 禁止响应ICMP路由通告报文 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\interface 新建DWORD值名为PerformRouterDiscovery 值为0 7. 防止ICMP重定向报文的*** HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters 将EnableICMPRedirects 值设为0 8. 不支持IGMP协议 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters 新建DWORD值名为IGMPLevel 值为0 9、禁用DCOM: 运行中输入 Dcomcnfg.exe。 回车 单击“控制台根节点”下的“组件服务”。 打开“计算机”子文件夹。 对于本地计算机请以右键单击“我的电脑”然后选择“属性”。选择“默认属性”选项卡。 清除“在这台计算机上启用分布式 COM”复选框。 转载于[url]http://bbs.51cto.com/thread-42022-1-1.html[/url] 转载于:https://blog.51cto.com/26767/21649
