Windows2003安全设置
Windows系统中的系统安全设置
Windows系统中的系统安全设置Windows操作系统是目前世界上使用最广泛的操作系统之一,它提供了许多强大的功能和便利的界面,但同时也面临着各种安全风险。
为了保护系统的安全性,用户需要正确配置Windows系统的安全设置。
本文将探讨Windows系统中的几个重要的系统安全设置,并提供相关的配置建议。
一、用户账户管理在Windows系统中,用户账户起到了多个方面的作用,包括系统访问权限管理、应用程序授权和文件保护等。
因此,合理管理用户账户是确保系统安全的重要一环。
1. 创建强密码:使用强密码可以防止密码被破解或猜测。
强密码包括至少8个字符,包括大写和小写字母、数字和特殊字符。
2. 限制管理员权限:尽量避免使用管理员账户进行日常操作,可以创建一个普通用户账户,并将其设置为默认账户。
只在需要进行系统更改或安装软件时使用管理员账户。
3. 禁止共享账户:避免多个用户共享同一个账户,每个用户应有独立的账户,以方便追踪用户的活动并限制权限。
二、防火墙设置Windows系统内置了强大的防火墙功能,可以监视和控制进出系统的网络连接。
用户可以根据自己的需求配置防火墙。
1. 打开防火墙:确保防火墙处于打开状态,以阻止未经授权的网络连接。
2. 配置入站规则:根据具体需求,设置允许或阻止某些应用程序或端口的网络连接。
3. 禁用不需要的出站规则:关闭不必要的出站连接,以减少系统面临的网络攻击风险。
三、自动更新与补丁管理Windows系统定期发布安全补丁和更新,以修复系统漏洞和提升系统安全性。
及时安装这些补丁对于系统安全至关重要。
1. 开启自动更新:确保系统自动下载和安装Windows更新。
这样可以确保及时获取最新的安全补丁和改进。
2. 定期检查更新:即使开启了自动更新,也应该定期检查系统是否缺少最新的安全补丁,并手动安装。
四、杀毒软件和安全工具为了进一步提升系统的安全性,用户可以安装杀毒软件和其他安全工具。
以下是一些建议:1. 杀毒软件:安装一个可信赖的杀毒软件,并及时更新病毒库。
关于Windows Server 2003安全配置再设置的探讨
【 关键词 】 n o s e r 0 3 特 点; Wid w  ̄e 0 ; S 2 安全配置的再设 置
Th s u so fW i o e ve 0 3 S f s sto sI t l Ag e Dic s i n o nd wsS r r 2 0 a e Dipo ii n nsa l mn SHICh n u
一
、
三 年 以 后 , 一 个 时 代 英 雄 也 已 闪 亮 登 场— — 它 就 是 W idw e e 无 漏 洞 。 其次 , 确 设 置 磁 盘 的 安 全性 。 另 no sSr r v 正 具 体 如下 ( 虚拟 机 的安 全 设 置 , 我们 以 ap程 序 为例 子 ) 点 : s 重 20 。 果 你认 为 它 只足 Widw 00的 一个 简 单 升 级 版 本 , 就 错 03 如 n o s2 0 那 了 。微 软 在 Widw 0 0推 出 后 就对 这个 产 品 进行 过 多 次 彻 底 的修 n o s20 订 。 现 在 人们 对 Widw e e 0 3的 最 大 印 象 应 该 是 它 固若 金 汤 n o sS r r 0 v 2 的 安 全性 。 一 次 , 软在 安 全 性 能 上 大 作 文 章 , 却 丝 毫 没 有 影 响 到 这 微 但 系 统 的 可操 作 性 。 可 以 这 么 说 , n o s e e 0 3的 可 操 作 性 比 其 Wid w r r20 Sv 前 辈 的都 高 。l 1 I 微 软 在 Widw e e 0 3中 添加 了许 多 全 新 的 特 性 。 比如 , n o sSr r 0 v 2 类 似 于 Noel 的 “ av g i ” 的 “ 影 复 制 服 务 ” V l m h d w vl中 S a eB n l 卷 ( o eSa o u Cp e ie oySr c )就 是 其 中之 一 。管 理 人 员 一 旦 在 驱 动 器 中启 用 该 项 服 v 务, 服务 器 就 会 定 期对 驱 动器 进 行 快 照 记 录 。终 端 用 户 可 以利 用 这一
Windows2003服务器设置
Windows2003已经出现很久了,现在对于该服务器操作系统Windows2003的组网技术、安全配置技术还有很多的网友都还不是很熟悉,在这里,我将会给大家介绍一下Windows Server 2003 Enterprise Edition 企业服务器版本的组网技术、安全配置技术及一些在Win2K 系统升级为Win2003系统后的一些新增功能等。
Win2003系统已经比Win2K系统增加了很多的安全性,所以现在选择Win2003系统作为服务器系统,将会是网络管理员的最佳选择。
本文假设你是一个服务器管理员,现在你的服务器使用Win2003服务器系统,你的服务器需要提供支持的组件如下:(ASP、ASPX、CGI、PHP、FSO、JMAIL、MySql、SMTP、POP3、FTP、3389终端服务、远程桌面Web连接管理服务等)。
一、系统安装注意事项:首先,你得先把你的Win2003系统安装好,在安装系统时请选择使用NTFS文件系统分区,因为该分区可以对你的服务器资源进行加密、权限设置等,如果你的文件系统分区是使用FAT32的话,而你这台服务器作为一台虚拟主机,给客户提供空间,如果客户在空间里传了一个WebShell,如ASP木马等,而你使用的FAT32文件系统却不能为你的文件设置访问权限的话,那么黑客就能通过这个ASP木马取得你的服务器管理权了,那将是没有任何的安全性可言了。
为了系统的安全着想,系统安装好后,你还要给你的系统设置一个强壮的管理员口令,千万不要使用简单的口令,如123456等这样的简单登陆口令。
因为网络上大部份被黑客入侵的肉鸡都是因为系统使用空口令或使用简单的口令而被黑的。
一个强壮的口令应该包括数字、英文字母、符号组成,如密码k3d8a^!ka76,设置好一个强壮的系统登陆口令后,我们就可以安装各种上面所述的组件服务支持了。
还是那句老话,最少的服务等于最大的安全,对于一切不须要的服务都不要安装,这样才能保证你服务器的安全性。
windows 2003 server 配置大全
1.开始—运行—键入“gpedit.msc”,然后点击“确实”打开“组策略”窗口。在“组策略”窗口的左框内依次序展开∶计算机配置-->Windows设置-->安全设置-->本地策略-->安全;点击“安全”选项后,在窗口的右框中找到“帐户∶重命名系统管理员帐户”,然后双击它,在出现的对话框中输入你用来取代Administrator的帐户名称,如∶Abc
1、在开始菜单中,依次执行“程序”-->“附件”-->“命令提示符”命令,将界面切换到DOS命令行状态下;
2、在DOS命令行状态下直接输入“CHKNTFS/T:0”命令,单击回车键后,系统就能自动将检查磁盘的等待时间修改为0了。下次遇到异常情况,重新启动计算机后,系统再调用磁盘扫描程序时,就不需要等待了。
2、用鼠标右键单击桌面空白处,从快捷菜单中执行“属性”命令,再打开“外观”标签页面,在其中的“窗口和按钮”处,选中WindowsXP样式。
3.右键点击“我的电脑”-->“属性”-->高级-->性能-->视觉效果-->调整为最佳外观。至此,系统中的工具栏菜单、窗口等样式就会按照指定的风格来显示了。
十一、解决运行大型软件时系统反应缓慢
右键点击“我的电脑”-->属性-->高级-->性能-->设置-->高级,把“处理器计划”和内存使用分配给“程序”使用。然后点击“确定”
十二、禁用错误报告
右键点击“我的电脑”-->属性-->高级-->点击“错误报告”按钮,在出现的窗口中把“禁用错误报告”选上并复选“但在发生严重错误时通知我”
Windows server 2003安装和设置过程
Windows server 2003安装和设置过程
开始安装了,可能直接进去或提示press any key key to boot from CD
第一种情况开始安装,第2种按任意键即可
如果没有进去,请重新设定BIOS
这是引导之后的情况,如果是正版提示欢迎画面后按ENTER,我用的是雨林木风
按C建立分区,按D删除分区
格式化(如果是已经建立并且空间足够的就可以不格式化)复制文件
重启之后进入Windows 2003继续安装,如果是正版按照提示输入用户名,密码,时间日期等等,我的雨林木风只需要等
重启之后进入系统,提示“管理您的服务器”,点下面的“登陆时不要显示此页”再关闭即可
进入“开始,程序,管理工具,服务”,打开“themes”属性,选择“自动”,应用,再点“启动”就可以换主题了
然后进行本地安全设置,取消密码复杂性设置
进入“开始,程序,管理工具,本地安全策略”,在“帐户策略,密码策略”里面
接下来取消CTRL+ALT+DEL登陆
在本地安全选项窗口里面,选择“本地策略,安全选项”,启动”不需要按CTRL+ALT+DEL“登陆
接下来,右击桌面,属性,设置,高级,疑难解答,把”硬件加速"拖到“完全”
接下来,如果你因为“本地安全策略”设置了密码,现在就可以删除了
按CTRL+ALT+DEL选“更改密码”,就可以更改了
接下来就可以像XP一样进行软件和驱动安装了,驱动程序可以用XP的。
Windows 2003服务器安全配置终极技巧
Windows 2003服务器安全配置终极技巧1、安装系统补丁。
扫描漏洞全面杀毒2、3、NTFS系统权限设置在使用之前将每个硬盘根加上 Administrators 用户为全部权限(可选加入SYSTEM用户)删除其它用户,进入系统盘:权限如下∙C:\WINDOWS Administrators SYSTEM用户全部权限, Users 用户默认权限不作修改,否则ASP和ASPX 等应用程序就无法运行。
∙其它目录删除Everyone用户,切记C:\Documents and Settings下All Users\Default User目录及其子目录如C:\Documents and Settings\All Users\Application Data 目录默认配置保留了Everyone用户权限C:\WINDOWS 目录下面的权限也得注意,如 C:\WINDOWS\PCHealth、C:\windows\Installer也是保留了Everyone权限.∙删除C:\WINDOWS\Web\printers目录,此目录的存在会造成IIS里加入一个.printers的扩展名,可溢出攻击∙默认IIS错误页面已基本上没多少人使用了。
建议删除C:\WINDOWS\Help\iisHelp目录∙删除C:\WINDOWS\system32\inetsrv\iisadmpwd,此目录为管理IIS密码之用,如一些因密码不同步造成500 错误的时候使用 OWA 或 Iisadmpwd 修改同步密码,但在这里可以删掉,下面讲到的设置将会杜绝因系统设置造成的密码不同步问题。
打开C:\Windows 搜索net.exe;cmd.exe;tftp.exe;netstat.exe;regedit.exe;at.exe;attrib.exe;cacls.exe;;re gsvr32.exe;xcopy.exe;wscript.exe;cscript.exe;ftp.exe;telnet.exe;arp.exe;edlin.exe;ping.exe ;route.exe;finger.exe;posix.exe;rsh.exe;atsvc.exe;qbasic.exe;runonce.exe;syskey.exe修改权限,删除所有的用户只保存Administrators 和SYSTEM为所有权限其它盘,有安装程序运行的(我的sql server 2000 在D盘)给Administrators 和SYSTEM 权限,无只给Administrators 权限。
Windows 2003 网站目录安全权限设置指南
Windows 2003 网站安全权限设置指南随着互联网的普及和IT信息技术的快速发展,各高校所运维的网站数量和规模与日俱增。
与此同时,Windows 2003已成为比较流行的WEB服务器操作系统,安全和性能也得到了广泛的认可,基于IIS WEB服务器软件的网站数量也越来越多。
通常情况,高校的大多数服务器,会由技术力量相对雄厚的网络中心等IT资源部门运维管理。
而网站程序的制作则一般由各单位、各部门自主负责:少数用户单位将会自主开发,或者请专业的IT公司代为开发。
而更多的用户单位则会将网站的制作当作一种福利,交由勤工俭学的学生开发。
因此各网站程序的安全性参差不齐。
在这种情况下,如果不对服务器的默认安全权限进行调整,便将这些网站运行于同一台服务器上,必将引发不少令人头痛的安全问题。
最常遇到的情况是:一台Windows 2003服务器上运行着多个网站,其中某个网站存在着安全漏洞(例如没有采用参数化的SQL查询或没有对用户提交的SQL语句进行过滤),黑客便可通过攻击该网站,取得权限,上传网页木马,得到了一个WEB SHELL执行权限,或者直接利用网页木马,篡改该服务器上所有WEB站点的源文件,往源文件里加入js和iframe恶意代码。
此时那些没有安装反病毒软件的访客,浏览这些页面时便将感染上病毒,结果引来用户的严重不满和投诉,同时也严重损害了学校的形象。
为了避免类似事件的发生,我们有必要将网站和数据库分开部署,通常的作法是将网站存放于一台分配了公网IP的Windows 2003服务器,而数据库则运行于一台与互联网相隔离的私网IP数据库服务器上。
但是,仅启用以上的安全措施还是远远不够的,我们还必须调整这一台Windows2003 WEB服务器的安全权限,对权限做严格的控制,实现各网站之间权限的隔离,做法如下:在WEB服务器上,1.创建若干个系统用户,分别用作IIS6的应用程序池安全性用户和网站匿名访问帐户。
Windows 2003 Server安全配置技术技巧
Windows 2003 Server安全配置技术技巧(1)一、先关闭不需要的端口我比较小心,先关了端口。
只开了3389、21、80、1433,有些人一直说什么默认的3389不安全,对此我不否认,但是利用的途径也只能一个一个的穷举爆破,你把帐号改了密码设置为十五六位,我估计他要破上好几年,哈哈!办法:本地连接--属性--Internet协议(TCP/IP)--高级--选项--TCP/IP筛选--属性--把勾打上,然后添加你需要的端口即可。
PS一句:设置完端口需要重新启动!当然大家也可以更改远程连接端口方法:WindowsRegistryEditorVersion5.00[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Co ntrol\TerminalServer\WinStations\RDP-Tcp]"PortNumber"=dword:00002683保存为.REG文件双击即可!更改为9859,当然大家也可以换别的端口,直接打开以上注册表的地址,把值改为十进制的输入你想要的端口即可!重启生效!还有一点,在2003系统里,用TCP/IP筛选里的端口过滤功能,使用FTP服务器的时候,只开放21端口,在进行FTP传输的时候,FTP特有的Port模式和Passive模式,在进行数据传输的时候,需要动态的打开高端口,所以在使用TCP/IP过滤的情况下,经常会出现连接上后无法列出目录和数据传输的问题。
所以在2003系统上增加的Windows连接防火墙能很好的解决这个问题,不推荐使用网卡的TCP/IP过滤功能。
做FTP下载的用户看仔细,如果要关闭不必要的端口,在\system32\drivers\etc\services中有列表,记事本就可以打开的。
如果懒的话,最简单的方法是启用WIN2003的自身带的网络防火墙,并进行端口的改变。
功能还可以!Internet连接防火墙可以有效地拦截对Windows2003服务器的非法入侵,防止非法远程主机对服务器的扫描,提高Windows2003服务器的安全性。
Windows2003怎么进安全模式
Windows2003怎么进安全模式
大家知道电脑 Windows2003怎么进入安全模式吗?跟其他系统一样吗?下面就让店铺教大家Windows 2003怎么进安全模式吧。
WIN XP/WIN2003进入安全模式方法
在电脑刚开机的时候,也就是屏幕还在出一些英文字母的时候就狂按F8,也就是按一下F8,再松开再按下再松开这样不停的按,直到出现如下图所示的Windows高级选项菜单为止。
然后在Windows高级选项菜单中,使用方向键移动到“安全模式”中然后确定即可。
(Windows高级选项菜单)
WIN7系统进入安全模式方法
WIN7版本比较多,进入的方法也不完全一样。
大家可以按着以下两种方法自己尝试。
第一种:和XP一样,也就是还没开机的时候就狂按F8,直到出现WIN7的高级选项菜单为止。
第二种:开机狂按Ctrl键,直到出现WIN7高级选项菜单,使用方向键移动到安全模式回车进入即可。
(WIN7高级选项菜单)
WIN8系统进入安全模式方法
Windows8系统进入安全模式和WIN7及XP系统安全不一样,这个系统进入安全模式的快捷键是Shift+F8才能。
Windows系统如何进行安全设置
Windows系统如何进行安全设置作为大家日常使用最广泛的操作系统之一,Windows系统的安全设置显得尤为重要。
合理的安全设置能够保护我们的计算机免受病毒、恶意软件和网络攻击的侵害,保障个人隐私和数据的安全。
本文将介绍如何进行Windows系统的安全设置,以确保用户的计算机系统的安全性。
一、创建强密码密码是保护计算机安全的第一道防线。
创造一个强密码是很重要的,这样可以提高密码的安全性。
一个强密码应该包含字母、数字和特殊字符,并且长度至少为8位以上。
避免使用重复、简单的密码,例如出生日期、123456等。
二、安装和更新杀毒软件安装一款可信赖的杀毒软件是保护计算机安全的重要措施。
杀毒软件可以扫描和清除病毒、恶意软件,并提供实时保护。
定期更新杀毒软件的病毒库,以确保其能够及时识别和应对新的威胁。
三、开启防火墙防火墙是计算机系统的重要防御工具,能够监控网络通信并阻止未授权的访问。
在Windows系统中,开启防火墙可以有效防止来自互联网的攻击。
在控制面板中,打开Windows防火墙并配置适当的安全级别。
四、保持系统更新及时更新Windows操作系统是确保计算机安全的关键之一。
微软会定期发布Windows系统的补丁和安全更新,以修复已知漏洞和弥补系统安全性方面的不足。
开启自动更新功能,使得系统可以及时接收到最新的安全补丁。
五、禁用自动运行功能禁用自动运行功能可以防止通过插入未知的可移动设备(如U盘、移动硬盘)感染计算机的病毒和恶意软件。
在控制面板的自动播放设置中,可以选择禁用自动运行或者只允许特定的设备运行。
六、限制用户权限在多用户的计算机上,限制不同用户的权限可以有效降低系统被病毒攻击或者误操作所带来的风险。
管理员账户可以拥有最高权限,其他用户账户应该设置为普通用户并限制其权限。
七、备份重要数据无论进行了多少安全设置,不可避免地仍然存在数据丢失的风险。
因此,定期备份重要数据是非常重要的。
可以使用外部硬盘、云存储等方式进行数据备份,以防止突发情况发生时数据的丢失。
windows 2003系统目前最完善最完美的安全权限方案
在“服务”里关闭 iis admin service 服务。 找到 windows\system32\inetsrv\ 下的 metabase.xml 文件。 找到 ASPMaxRequestEntityAllowed 把它修改为需要的值(可修改为 20M 即:20480000) 存盘,然后重启 iis admin service 服务。 >> 解决 SERVER 2003 无法下载超过 4M 的附件问题 在“服务”里关闭 iis admin service 服务。 找到 windows\system32\inetsrv\ 下的 metabase.xml 文件。 找到 AspBufferingLimit 把它修改为需要的值(可修改为 20M 即:20480000) 存盘,然后重启 iis admin service 服务。 >> 超时问题 解决大附件上传容易超时失败的问题 在 IIS 中调大一些脚本超时时间,操作方法是: 在 IIS 的“站点或虚拟目录”的“主目录”下点击 “配置”按钮, 设置脚本超时时间为:300 秒 (注意:不是 Session 超时时间) 解决通过 WebMail 写信时间较长后,按下发信按钮就会回到系统登录界面的问题 适当增加会话时间(Session)为 60 分钟。在 IIS 站点或虚拟目录属性的“主目录”下点击“配置--> 选项”, 就可以进行设置了(Windows 2003 默认为 20 分钟) >> 修改 3389 远程连接端口 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\Wds\rdpwd\Tds\tcp] "PortNumber"=dword:0000 端口号 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp] "PortNumber"=dword:0000 端口号 设置这两个注册表的权限, 添加“IUSR”的完全拒绝 禁止显示端口号 >> 本地策略--->用户权限分配 关闭系统:只有 Administrators 组、其它全部删除。 通过终端服务允许登陆:只加入 Administrators,Remote Desktop Users 组,其他全部删除 >> 在安全设置里 本地策略-用户权利分配,通过终端服务拒绝登陆 加入 ASPNET IUSR_ IWAM_ NETWORK SERVICE (注意不要添加进 user 组和 administrators 组 添加进去以后就没有办法远程登陆了) >> 在安全设置里 本地策略-安全选项 网络访问:可匿名访问的共享; 网络访问:可匿名访问的命名管道; 网络访问:可远程访问的注册表路径; 网络访问:可远程访问的注册表路径和子路径; 将以上四项全部删除
Win2003共享及权限设置(简明)
Win2003共享及权限设置(简明)Win2003共享及权限设置(简明)一、基础系统环境的设置点开始->运行,输入gpedit.msc然后按确定。
点windows设置下面的安全设置,然后本地策略->用户权利分配,右边框中拒绝从网络访问计算机中不得有guest用户,如果有请删除。
然后回到安全选项,右边框中查找:1、网络访问:本地账户的安全和共享模式,改为经典-本地用户以自己的身份验证。
2、来宾账户状态,改为已启用。
3、使用空白密码的账户只允许控制台登陆,改为已禁用。
这样系统基础环境设置完毕。
二、添加共享用户点开始->所有程序->管理工具->计算机管理,点击系统工具下方的本地用户和组,点击用户,在右边框中下方空白处右键新用户,添加用户,用户名自己起,密码自己想,用户名和密码不能和其它用户相同,下面选项中,把用户下次登录时须更改密码前面的勾去掉,在用户不能更改密码和密码永不过期前面打勾。
(这几点很重要,有不少人错在这里,在查看共享文件夹时提示无权限拒绝访问)。
添加完成,后面如果还有其它用户的话照例添加。
组的用途就是比如A和B两用户共享文件夹的权限是完全相同的,那就可以吧A和B两用户添加到一个组里,这样在后面共享权限和安全设置里就可以添加这个组,不需要一个一个用户的添加了,当然这适用于较多有相同权限的用户,这样比较省时间。
添加方法就是新建一个组,组名自己起(比如AB),然后点下面的添加,然后点高级,点立即查找,在下面框中找到A用户,然后双击A用户,然后再点击高级,立即查找,找到B 用户双击,这样在输入对象名称来选择下面的框中,A和B用户都在里边,然后点确定,回到新建组对话框,然后点击创建,这样这个组就添加完成了。
用户和组的添加方法就到这里,继续添加其它用户的话以此类推。
三、共享文件夹的权限划分和安全设置新建a、b、c三个文件夹(文件夹名简单,为了测试时便于记忆),1、以a文件夹为例,点右键->选共享此文件夹,共享名默认即可,点共享和安全按钮,把组和用户名称框中的所有用户和组都删掉,然后点击添加->高级->立即查找,假设a文件夹里的内容,对A用户有完全的权限(可读可写可修改可删除),那就在下面的框中找到A用户,双击,然后按确定,这样A用户就被添加进去了,然后在下面的权限框中根据A用户的权限选择完全控制的权限。
终级Win2003服务器安全配置篇
终级Win2003服务器安全配置篇今天演示一下服务器权限的设置,实现目标是系统盘任何一个目录asp网马不可以浏览,事件查看器完全无错,所有程序正常运行.这个不同于之前做的两个演示,此演示基本上保留系统默认的那些权限组不变,保留原味,以免取消不当造成莫名其妙的错误.看过这个演示,之前的超详细web服务器权限设置,精确到每个文件夹和超详细web服务器权限设置,事件查看器完全无报错就不用再看了.这个比原来做的有所改进.操作系统用的是雨林木风的ghost镜像,补丁是打上截止11.2号最新的Power Users组是否取消无所谓具体操作看演示windows下根目录的权限设置:C:\WINDOWS\Application Compatibility Scripts 不用做任何修改,包括其下所有子目录C:\WINDOWS\AppPatch AcWebSvc.dll已经有users组权限,其它文件加上users组权限C:\WINDOWS\Connection Wizard 取消users组权限C:\WINDOWS\Debug users组的默认不改C:\WINDOWS\Debug\UserMode默认不修改有写入文件的权限,取消users组权限,给特别的权限,看演示C:\WINDOWS\Debug\WPD不取消Authenticated Users组权限可以写入文件,创建目录.C:\WINDOWS\Driver Cache取消users组权限,给i386文件夹下所有文件加上users组权限C:\WINDOWS\Help取消users组权限C:\WINDOWS\Help\iisHelp\common取消users组权限C:\WINDOWS\IIS Temporary Compressed Files默认不修改C:\WINDOWS\ime不用做任何修改,包括其下所有子目录C:\WINDOWS\inf不用做任何修改,包括其下所有子目录C:\WINDOWS\Installer 删除everyone组权限,给目录下的文件加上everyone组读取和运行的权限C:\WINDOWS\java 取消users组权限,给子目录下的所有文件加上users组权限C:\WINDOWS\MAGICSET 默认不变C:\WINDOWS\Media 默认不变C:\WINDOWS\不用做任何修改,包括其下所有子目录C:\WINDOWS\msagent 取消users组权限,给子目录下的所有文件加上users组权限C:\WINDOWS\msapps 不用做任何修改,包括其下所有子目录C:\WINDOWS\mui取消users组权限C:\WINDOWS\PCHEALTH 默认不改C:\WINDOWS\PCHEALTH\ERRORREP\QHEADLES 取消everyone组的权限C:\WINDOWS\PCHEALTH\ERRORREP\QSIGNOFF 取消everyone组的权限C:\WINDOWS\PCHealth\UploadLB 删除everyone组的权限,其它下级目录不用管,没有user组和everyone组权限C:\WINDOWS\PCHealth\HelpCtr 删除everyone组的权限,其它下级目录不用管,没有user组和everyone组权限(这个不用按照演示中的搜索那些文件了,不须添加users组权限就行)C:\WINDOWS\PIF 默认不改C:\WINDOWS\PolicyBackup默认不改,给子目录下的所有文件加上users组权限C:\WINDOWS\Prefetch 默认不改C:\WINDOWS\provisioning 默认不改,给子目录下的所有文件加上users组权限C:\WINDOWS\pss默认不改,给子目录下的所有文件加上users组权限C:\WINDOWS\RegisteredPackages默认不改,给子目录下的所有文件加上users组权限C:\WINDOWS\Registration\CRMLog默认不改会有写入的权限,取消users组的权限C:\WINDOWS\Registration取消everyone组权限.加NETWORK SERVICE 给子目录下的文件加everyone可读取的权限,C:\WINDOWS\repair取消users组权限C:\WINDOWS\Resources取消users组权限C:\WINDOWS\security users组的默认不改,其下Database和logs目录默认不改.取消templates目录users 组权限,给文件加上users组C:\WINDOWS\ServicePackFiles 不用做任何修改,包括其下所有子目录C:\WINDOWS\SoftwareDistribution不用做任何修改,包括其下所有子目录C:\WINDOWS\srchasst 不用做任何修改,包括其下所有子目录C:\WINDOWS\system 保持默认C:\WINDOWS\TAPI取消users组权限,其下那个tsec.ini 权限不要改C:\WINDOWS\twain_32取消users组权限,给目录下的文件加users组权限C:\WINDOWS\vnDrvBas 不用做任何修改,包括其下所有子目录C:\WINDOWS\Web取消users组权限给其下的所有文件加上users组权限C:\WINDOWS\WinSxS 取消users组权限,搜索*.tlb,*.policy,*.cat,*.manifest,*.dll,给这些文件加上everyone组和users权限给目录加NETWORK SERVICE完全控制的权限C:\WINDOWS\system32\wbem 这个目录有重要作用。
windows2003服务器详解设置大全
Windows 2003 服务器详解设置大全Windows Server 2003 是微软推出的一款服务器操作系统,它基于 Windows NT 的架构,具有非常好的稳定性、可靠性和安全性,适用于企业实施各种应用解决方案。
本文将详细介绍 Windows Server 2003 的设置方法和相关技巧。
安装 Windows 2003 服务器安装 Windows Server 2003 服务器需要以下步骤:1.选择安装语言和安装选项,例如安装 Windows Server 2003 标准版或企业版等。
2.选择安装位置,可以选择已有分区上进行安装,也可以新建分区。
3.设置管理员密码,以保证服务器的管理安全。
4.完成安装后,系统会自动重启,启动时将进入 Windows Server 2003配置向导。
配置 Windows 2003 服务器这里讲解 Windows Server 2003 服务器配置的方式和相关技术:配置网络1.左键单击“开始” ->“控制面板” -> “网络连接” -> “本地连接” -> 右键单击“属性”。
2.双击“Internet 协议(TCP/IP)”选项卡,进入“属性”对话框。
3.选择“自动获取 IP 地址”或“手动配置 IP 地址”进行网络配置。
配置域名和 DNS1.在“控制面板”中选择“管理工具”,然后单击“DNS”。
2.可以在“后缀”下输入本地 DNS 服务器的完全限定域名,也可以直接在“区域”下输入域名。
3.单击“新建区域”,输入相应的域名和 IP 地址。
可以在“区域域名”下找到设置的域名。
配置 FTP 高级服务1.在计算机上运行 Microsoft IIS (Internet 信息服务),并选择“FTP站点”。
2.选择“FTP 站点”,点击“属性”按钮。
3.在“FTP 站点属性”对话框中,单击“高级”选项卡,随后将 FTP 主目录配置为指定目录。
配置防火墙1.在“控制面板”中找到“安全中心”,单击“Windows 防火墙”进行防火墙的配置。
Windows-Server-2003安全设置
Windows-Server-2003安全(ānquán)设置Windows-Server-2003安全(ānquán)设置2003总体感觉上安全做的还不错,交互式登录、网络身份验证、基于对象的访问控制、比较完整的安全策略、数据加密保护……笔者这里要谈的是如何通过安全的配置,使Windows Server 2003安全性大大加强。
一、安装过程中的安全问题1.NTFS系统。
老生长谈的话题了。
NTFS系统为一种高级的文件系统,提供了性能、安全、可靠性以及未在任何FAT格式版本中提供的高级功能,通过它可以实现任意文件及文件夹的加密和权限设置(这是最直观的安全设置了),磁盘配额和压缩等高级功能。
通过它,你还可以更好的利用磁盘空间,提高系统运行速度……自WindowsNT系统以来,使用NTFS系统已经逐渐成了一种共识。
为了体验NTFS系统带来的这些免费的优惠,笔者特意把硬盘所有分区都转成了NTFS 系统。
如果你在安装时不选用NTFS系统,那么后面的很多安全配置如用户权限设置等你将都不能实现。
2.安装过程中有关安全的提示。
在安装过程中需要输入Administrator密码,新的Windows Server 2003提供了一个比较成熟的密码规则,当你输入的密码不符合规则时,就会以图片形式出现如下提示(由于安装未完成,不能抓图,请谅解。
内容已经抄下来了):您已经指定的管理员帐户的密码不符合密码的条件,建议使用的密码应符合下列条件之中的前二个及至少三个:- 至少6个字符- 不包含"Administrator"或"Admin"- 包含大写字母(A、B、C等等)- 包含小写字母(a、b、c等等)- 包含数字(0、1、2等等)- 包含非字母数字字符(#、&、~等等)您确定要继续使用当前密码吗?之所以说是“比较成熟”的密码规则,因为就算你的密码设置不符合此规则也能照样顺利进行下一步安装,这就为以后的系统安全埋下了隐患。
严格管理用户账号 控制网络访问安全
为了控制网络访问安全,相信不少人平时都勤于挖掘、善于总结,摸索出了许许多多有效的网络安全控制经验,在这些经验体会的指导下,我们在控制网络访问安全方面的确取得了一定的成效。
可是,对这些经验、体会进行仔细推敲后,我们不难发现其中有很多内容都必须通过外力工具才能完成,要是手头没有现成专业工具可以使用的情况下,我们又该如何有效控制网络访问安全呢?事实上,我们只要加强对客户端系统进行安全设置,同样也能够有效控制网络访问安全;这不,本文现在就以严格管理系统账号为操作蓝本,向大家贡献几则有效控制网络访问安全的技巧,希望大家能从中得到帮助!取消组用户网络访问权很多时候,网络管理员为了图管理方便,往往会对某一组用户集中授权,这样虽然提高了网络管理效率,但是这也给网络安全带来了潜在的威胁,因为一些木马程序会偷偷将自己创建的用户账号,加入到访问权限比较高的组用户中,那样一来木马程序就能轻易获得非法攻击权限。
有鉴于此,我们需要在重要的主机系统或服务器系统中,取消组用户网络访问权,下面就是具体的操作步骤:首先打开重要主机系统或服务器系统的“开始”菜单,点选其中的“运行”命令,在弹出的系统运行框中,执行“gpedit.msc”字符串命令,弹出组策略控制台界面;其次展开该控制台界面中的“计算机配置”节点,再打开该节点下面的“Windows设置”目录,从中依次点选“安全设置”、“本地策略”、“用户权限分配”子目录,在目标子目录下面找到组策略选项“从网络访问此计算机”,同时用鼠标双击该选项,弹出如图1所示的选项设置对话框;在这里,我们会发现各个普通用户以及组用户的身影,这些用户在默认状态下都具有一定的网络访问权限;为了控制网络访问安全性,我们必须将自己认为可疑的组用户选中,同时单击“删除”按钮,最后点击“确定”按钮保存好上述设置操作,如此一来隐藏在特定组用户中的木马程序就不能通过网络来随意访问本地系统了。
为新用户设置合适权限如果有一些可信任的新用户需要通过网络访问本地服务器系统,那么我们需要在服务器系统中单独创建一个新用户,并为新用户设置适当的访问权限。
Windows系统安全设置应如何配置
Windows系统安全设置应如何配置在当今数字化的时代,计算机已经成为我们生活和工作中不可或缺的一部分。
而 Windows 系统作为全球广泛使用的操作系统之一,其安全设置的重要性不言而喻。
正确配置 Windows 系统的安全设置,可以有效地保护我们的个人隐私、数据安全以及防止恶意软件和黑客的攻击。
下面,让我们一起来了解一下Windows 系统安全设置应如何配置。
一、用户账户控制(UAC)用户账户控制是 Windows 系统中的一项重要安全功能。
它可以在程序需要管理员权限进行更改时提醒用户,防止恶意软件在未经授权的情况下进行系统更改。
建议将 UAC 级别设置为“始终通知”,这样可以最大程度地保障系统安全。
虽然这可能会导致在进行一些操作时频繁弹出提示框,但为了安全起见,这点小小的麻烦是值得的。
二、更新和补丁保持 Windows 系统的更新是至关重要的。
微软会定期发布安全补丁来修复系统中发现的漏洞。
确保您的系统设置为自动下载和安装更新,这样可以及时修复可能被攻击者利用的安全漏洞。
同时,也要注意更新驱动程序,因为过时的驱动程序也可能会带来安全隐患。
三、防火墙Windows 防火墙是系统自带的一道防线,可以阻止未经授权的网络访问。
确保防火墙处于启用状态,并根据您的网络环境进行适当的配置。
例如,如果您在家庭网络中,可以设置为“家庭网络”模式,允许一些常见的网络服务通过。
如果您连接到公共网络,如咖啡店的WiFi,建议设置为“公共网络”模式,以提高安全性。
四、防病毒和恶意软件防护安装可靠的防病毒软件和恶意软件防护工具是必不可少的。
市面上有许多免费和付费的选择,如 Windows Defender(Windows 10 及以上系统自带)、360 安全卫士、腾讯电脑管家等。
定期进行全盘扫描,及时清除检测到的威胁。
五、密码策略设置一个强密码是保护账户安全的第一步。
密码应包含字母、数字、符号,并且长度不少于 8 位。
同时,启用密码过期策略,定期要求用户更改密码。
2003服务器系统安全配置-中级安全配置
2003服务器系统安全配置-中级安全配置!做好此教程的设置可防御一般入侵,需要高级服务器安全维护,请联系我。
我们一起交流一下!做为一个网管,应该在处理WEB服务器或者其他服务器的时候配合程序本身或者代码本身去防止其他入侵,例如跨站等等!前提,系统包括软件服务等的密码一定要强壮!服务器安全设置1.系统盘和站点放置盘必须设置为NTFS格式,方便设置权限.2.系统盘和站点放置盘除administrators 和system的用户权限全部去除.3.启用windows自带防火墙,只保留有用的端口,比如远程和Web,Ftp(3389,80,21)等等,有邮件服务器的还要打开25和130端口.4.安装好SQL后进入目录搜索 xplog70 然后将找到的三个文件改名或者删除.5.更改sa密码为你都不知道的超长密码,在任何情况下都不要用sa这个帐户.6.改名系统默认帐户名并新建一个Administrator帐户作为陷阱帐户,设置超长密码,并去掉所有用户组.(就是在用户组那里设置为空即可.让这个帐号不属于任何用户组)同样改名禁用掉Guest用户.7.配置帐户锁定策略(在运行中输入gpedit.msc回车,打开组策略编辑器,选择计算机配置-Windows设置-安全设置-账户策略-账户锁定策略,将账户设为“三次登陆无效”,“锁定时间30分钟”,“复位锁定计数设为30分钟”。
)8.在安全设置里本地策略-安全选项将网络访问:可匿名访问的共享 ;网络访问:可匿名访问的命名管道 ;网络访问:可远程访问的注册表路径 ;网络访问:可远程访问的注册表路径和子路径 ;以上四项清空.9.在安全设置里本地策略-安全选项通过终端服务拒绝登陆加入ASPNETGuestIUSR_*****IWAM_*****NETWORK SERVICESQLDebugger(****表示你的机器名,具体查找可以点击添加用户或组选高级选立即查找在底下列出的用户列表里选择. 注意不要添加进user组和administrators 组添加进去以后就没有办法远程登陆了.)10.去掉默认共享,将以下文件存为reg后缀,然后执行导入即可.Windows Registry Editor Version 5.00[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\param eters]"AutoShareServer"=dword:00000000"AutoSharewks"=dword:0000000011. 禁用不需要的和危险的服务,以下列出服务都需要禁用.Alerter 发送管理警报和通知Computer Browser:维护网络计算机更新Distributed File System: 局域网管理共享文件Distributed linktracking client 用于局域网更新连接信息Error reporting service 发送错误报告Remote Procedure Call (RPC) Locator RpcNs*远程过程调用 (RPC) Remote Registry 远程修改注册表Removable storage 管理可移动媒体、驱动程序和库Remote Desktop Help Session Manager 远程协助Routing and Remote Access 在局域网以及广域网环境中为企业提供路由服务Messenger 消息文件传输服务Net Logon 域控制器通道管理NTLMSecuritysupportprovide telnet服务和Microsoft Serch用的PrintSpooler 打印服务telnet telnet服务Workstation 泄漏系统用户名列表12.更改本地安全策略的审核策略账户管理成功失败登录事件成功失败对象访问失败策略更改成功失败特权使用失败系统事件成功失败目录服务访问失败账户登录事件成功失败13.更改有可能会被提权利用的文件运行权限,找到以下文件,将其安全设置里除administrators用户组全部删除,重要的是连system也不要留.net.exenet1.execmd.exetftp.exenetstat.exeregedit.exeat.exeattrib.execacls.exec.exe 特殊文件有可能在你的计算机上找不到此文件.在搜索框里输入"net.exe","net1.exe","cmd.exe","tftp.exe","netstat.exe","regedit.exe","a t.exe","attrib.exe","cacls.exe","","c.exe" 点击搜索然后全选右键属性安全以上这点是最最重要的一点了,也是最最方便减少被提权和被破坏的可能的防御方法了.14.后备工作,将当前服务器的进程抓图或记录下来,将其保存,方便以后对照查看是否有不明的程序。
Windows 2003权限及安全
一、系统的安装1、按照Windows2003安装光盘的提示安装,默认情况下2003没有把IIS6.0安装在系统里面。
2、IIS6.0的安装开始菜单—>控制面板—>添加或删除程序—>添加/删除Windows组件应用程序———(可选)|——启用网络 COM+ 访问(必选)|——Internet 信息服务(IIS)———Internet 信息服务管理器(必选)|——公用文件(必选)|——万维网服务———Active Server pages(必选)|——Internet 数据连接器(可选)|——WebDAV 发布(可选)|——万维网服务(必选)|——在服务器端的包含文件(可选)然后点击确定—>下一步安装。
(具体见本文附件1)3、系统补丁的更新点击开始菜单—>所有程序—>Windows Update按照提示进行补丁的安装。
4、备份系统用GHOST备份系统。
5、安装常用的软件例如:杀毒软件、解压缩软件等;安装完毕后,配置杀毒软件,扫描系统漏洞,安装之后用GHOST再次备份系统。
6、先关闭不需要的端口开启防火墙导入IPSEC策略在”网络连接”里,把不需要的协议和服务都删掉,这里只安装了基本的Internet协议(TCP/IP),由于要控制带宽流量服务,额外安装了Qos数据包计划程序。
在高级tcp/ip设置里--"NetBIOS"设置"禁用tcp/IP上的NetBIOS(S)"。
在高级选项里,使用"Internet连接防火墙",这是windows 2003 自带的防火墙,在2000系统里没有的功能,虽然没什么功能,但可以屏蔽端口,这样已经基本达到了一个IPSec的功能。
win2003服务器防止海洋木马的安全设置1.删除以下的注册表主键:WScript.ShellWScript.Shell.1Shell.applicationShell.application.1WORKWORK.1regsvr32/u wshom.ocx回车、regsvr32/u wshext.dll回车regsvr32/u C:\WINNT\System32\wshom.ocxdel C:\WINNT\System32\wshom.ocxregsvr32/u C:\WINNT\system32\shell32.dlldel C:\WINNT\system32\shell32.dll再把以上2个文件权限设置为ADMINISTRATOR组完全权限所有这里只提一下FSO的防范,但并不需要在自动开通空间的虚拟商服务器上使用,只适合于手工开通的站点。
windows2003服务器安全设置问题研究
限, 但一般情况下不要这么做 , 尤其是 对外提供 w e b或数 据库服务的机器 , 这样做就失去 了用户权 限分配 的意 义 , 而且 会给服务器带来巨大的安全隐患。 总之 , 有 高 权 限 的 用 户 可 以对 低 权 限 的用 户 进 行 操
作, 而低权 限的用户无法对高权 限的用户进 行任何操 作 ,
文献标识码 : A
随着 网络 的发展 , 网上应用种类越来越 多 , 但是 在满 足人们工作 、 生活和娱乐的同时 , 网络安全 问题也越 来越 严重 , Wi n d o w s S e r v e r 2 0 0 3系统作 为常用 的服务器 系统 , 可 以提供支持 A S P 、 A S P X、 C G I 、 P H P、 F S O、 J M A I L、 My S q l 、 Ms S q l S MT P 、 P O P 3 、 F T P 、 3 3 8 9终端 服务 、 远程桌 面 We b连
会 首先尝试取得 管理员 a d mi n i s t r a t o r d口令 , 这样 做 即便
间更新系统补丁 。如有 可能 , 尽 量安装 英文 版本 的操作
系统 。因为微软公 司总是最 先发 布英文 版本 的补 丁 , 中 文版本的补丁相对滞后一段时间 。Wi n d o w s S e ve r r 2 0 0 3常 见的版本有 : s t a n d a r d , e n t e r p r i s e s , d a t a c e n t e r o 二 系统管理员帐号 Wi n d o w s 2 0 0 3里 , 用户被分成许多组 , 不 同 的用 户 ( 用户组 ) 管理 着相应 的服务 或 目录 , 具 有相 同权 限 的用 户通常被划分到同一个 用户 组 当中 , 同一个 组 的用 户和 用 户 之 间 也 可 以有 不 同 的 权 限 。 A d m i n i s t r a t o r s ( 管理 员组 ) , 默认 情 况下 有不 受 限制 的最高权 限。系统 的管 理员 ( a d m i n i s t r a t o r ) 就 在这 个组 当中 , 该组 中的用户具 有对 整个 系统进 行完 全控制 的权
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
在"网络连接"里,把不需要的协议和服务都删掉,这里只安装了基本的Internet协议(TCP/IP),由于要控制带宽流量服务,额外安装了Qos数据包计划程序。在高级tcp/ip设置里--"NetBIOS"设置"禁用tcp/IP上的NetBIOS(S)"。在高级选项里,使用"Internet连接防火墙",这是windows 2003 自带的防火墙,在2000系统里没有的功能,虽然没什么功能,但可以屏蔽端口,这样已经基本达到了一个IPSec的功能。
二.关闭不需要的服务打开相应的审核策略
我关闭了以下的服务
Computer Browser 维护网络上计算机的最新列表以及提供这个列表
Task scheduler 允许程序在指定时间运行
Messenger 传输客户端和服务器之间的 NET SEND 和 警报器服务消息
Distributed File System: 局域网管理共享文件,不需要禁用
当然大家也可以更改远程连接端口方法:
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE \ SYSTEM\ Current ControlSet \ Control \ Terminal Server\WinStatiogpedit.msc回车,打开组策略编辑器,选择计算机配置-Windows设置-安全设置-审核策略在创建审核项目时需要注意的是如果审核的项目太多,生成的事件也就越多,那么要想发现严重的事件也越难当然如果审核的太少也会影响你发现严重的事件,你需要根据情况在这二者之间做出选择。
推荐的要审核的项目是:
八、其它
1、系统升级、打操作系统补丁,尤其是IIS 6.0补丁、SQL SP3a补丁,甚至IE 6.0补丁也要打。同时及时跟踪最新漏洞补丁;
2、停掉Guest 帐号、并给guest 加一个异常复杂的密码,把Administrator改名或伪装!
3、隐藏重要文件/目录
可以修改注册表实现完全隐藏:“HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\ Current-Version\Explorer\Advanced\Folder\Hi-dden\SHOWALL”,鼠标右击 “CheckedValue”,选择修改,把数值由1改为0。
另外,还将:
net.exe NET命令
cmd.exe CMD 懂电脑的都知道咯~
tftp.exe
netstat.exe
regedit.exe 注册表啦大家都知道
at.exe
attrib.exe
cacls.exe ACL用户组权限设置,此命令可以在NTFS下设置任何文件夹的任何权限!偶入侵的时候没少用这个....(:
六、SQL2000 SERV-U FTP安全设置
SQL安全方面
1、System Administrators 角色最好不要超过两个
2、如果是在本机最好将身份验证配置为Win登陆
3、不要使用Sa账户,为其配置一个超级复杂的密码
或修改sa用户名:
update sysxlogins set name='xxxx' where sid=0x01
6.为数据库建立一个新的角色,禁止改角色对系统表的的select等权限,防止sql注入时利用系统表。
serv-u的几点常规安全需要设置下:
选中"Block "FTP_bounce"attack and FXP"。什么是FXP呢?通常,当使用FTP协议进行文件传输时,客户端首先向FTP服务器发出一个"PORT"命令,该命令中包含此用户的IP地址和将被用来进行数据传输的端口号,服务器收到后,利用命令所提供的用户地址信息建立与用户的连接。大多数情况下,上述过程不会出现任何问题,但当客户端是一名恶意用户时,可能会通过在PORT命令中加入特定的地址信息,使FTP服务器与其它非客户端的机器建立连接。虽然这名恶意用户可能本身无权直接访问某一特定机器,但是如果FTP服务器有权访问该机器的话,那么恶意用户就可以通过FTP服务器作为中介,仍然能够最终实现与目标服务器的连接。这就是FXP,也称跨服务器攻击。选中后就可以防止发生此种情况。
一、先关闭不需要的端口
我比较小心,先关了端口。只开了3389、21、80、1433,有些人一直说什么默认的3389不安全,对此我不否认,但是利用的途径也只能一个一个的穷举爆破,你把帐号改了密码设置为十五六位,我估计他要破上好几年,哈哈!办法:本地连接--属性--Internet协议(TCP/IP)--高级--选项--TCP/IP筛选--属性--把勾打上,然后添加你需要的端口即可。PS一句:设置完端口需要重新启动!
七、IIS安全设置
IIS的安全:
1、不使用默认的Web站点,如果使用也要将IIS目录与系统磁盘分开。
2、删除IIS默认创建的Inetpub目录(在安装系统的盘上)。
3、删除系统盘下的虚拟目录,如:_vti_bin、IISSamples、Scripts、IIShelp、IISAdmin、IIShelp、MSADC。
xp_cmdshell:是进入操作系统的最佳捷径,删除
访问注册表的存储过程,删除
Xp_regaddmultistringXp_regdeletekeyXp_regdeletevalueXp_regenumvalues
Xp_regread Xp_regwrite Xp_regremovemultistring
7. 防止ICMP重定向报文的攻击
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters
将EnableICMPRedirects 值设为0
8. 不支持IGMP协议
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters
Distributed linktracking client:用于局域网更新连接信息,不需要禁用
Error reporting service:禁止发送错误报告
Microsoft Serch:提供快速的单词搜索,不需要可禁用
NTLMSecuritysupportprovide:telnet服务和Microsoft Serch用的,不需要禁用
OLE自动存储过程,不需要,删除
Sp_OACreate Sp_OADestroySp_OAGetErrorInfoSp_OAGetProperty
Sp_OAMethodSp_OASetPropertySp_OAStop
5、隐藏 SQL Server、更改默认的1433端口。
右击实例选属性-常规-网络配置中选择TCP/IP协议的属性,选择隐藏 SQL Server 实例,并改原默认的1433端口。
登录事件
账户登录事件
系统事件
策略更改
对象访问
目录服务访问
特权使用
三、关闭默认共享的空连接
地球人都知道,我就不多说了!
四、磁盘权限设置
C盘只给administrators和system权限,其他的权限不给,其他的盘也可以这样设置,这里给的system权限也不一定需要给,只是由于某些第三方应用程序是以服务形式启动的,需要加上这个用户,否则造成启动不了。
update sysxlogins set sid=0xE765555BD44F054F89CD0076A06EA823 where name='xxxx'
4、删除以下的扩展存储过程格式为:
use master
sp_dropextendedproc '扩展存储过程名'
6. 禁止响应ICMP路由通告报文
HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet\ Services\Tcpip\Parameters\Interfaces\interface
新建DWORD值,名为PerformRouterDiscovery 值为0。
4、删除不必要的IIS扩展名映射。
右键单击“默认Web站点→属性→主目录→配置”,打开应用程序窗口,去掉不必要的应用程序映射。主要为.shtml、.shtm、 .stm。
5、更改IIS日志的路径
右键单击“默认Web站点→属性-网站-在启用日志记录下点击属性
6、如果使用的是2000可以使用iislockdown来保护IIS,在2003运行的IE6.0的版本不需要。
PrintSpooler:如果没有打印机可禁用
Remote Registry:禁止远程修改注册表
Remote Desktop Help Session Manager:禁止远程协助
Workstation关闭的话远程NET命令列不出用户组
把不必要的服务都禁止掉,尽管这些不一定能被攻击者利用得上,但是按照安全规则和标准上来说,多余的东西就没必要开启,减少一份隐患。
"PortNumber"=dword:00002683
保存为.REG文件双击即可!更改为9859,当然大家也可以换别的端口,直接打开以上注册表的地址,把值改为十进制的输入你想要的端口即可!重启生效
还有一点,在2003系统里,用TCP/IP筛选里的端口过滤功能,使用FTP服务器的时候,只开放21端口,在进行FTP传输的时候,FTP 特有的Port模式和Passive模式,在进行数据传输的时候,需要动态的打开高端口,所以在使用TCP/IP过滤的情况下,经常会出现连接上后无法列出目录和数据传输的问题。所以在2003系统上增加的Windows连接防火墙能很好的解决这个问题,不推荐使用网卡的TCP/IP过滤功能。