Window_Server_2003_安全设置攻略
WIN2003服务器安全和配置完整教程
WIN2003服务器安全和配置完整教程一、硬盘分区与操作系统的安装∙硬盘分区总的来讲在硬盘分区上面没什么值得深入剖析的地方,无非就是一个在分区前做好规划知道要去放些什么东西,如果实在不知道。
那就只一个硬盘只分一个区,分区要一次性完成,不要先分成FAT32再转成NTFS。
一次性分成NTFS格式,以我个人习惯,系统盘一般给12G。
建议使用光盘启动完成分区过程,不要加载硬盘软件。
∙系统安装以下内容均以2003为例安装过程也没什么多讲的,安装系统是一个以个人性格为参数的活动,我建议在安装路径上保持默认路径,好多文章上写什么安装路径要改成什么呀什么的,这是没必要的。
路径保存在注册表里,怎么改都没用。
在安装过程中就要选定你需要的服务,如一些DN S、DHCP没特别需要也就不要装了。
在安装过程中网卡属性中可以只保留TCP/IP 这一项,同时禁用NETBOIS。
安装完成后如果带宽条件允许可用系统自带在线升级。
二、系统权限与安全配置前面讲的都是屁话,润润笔而已。
(俺也文人一次)话锋一转就到了系统权限设置与安全配置的实际操作阶段系统设置网上有一句话是"最小的权限+最少的服务=最大的安全"。
此句基本上是个人都看过,但我好像没有看到过一篇讲的比较详细稍具全面的文章,下面就以我个人经验作一次教学尝试!2.1 最小的权限如何实现?NTFS系统权限设置在使用之前将每个硬盘根加上Administrators 用户为全部权限(可选加入SYSTEM用户) 删除其它用户,进入系统盘:权限如下∙C:\WINDOWS Administrators SYSTEM用户全部权限Users 用户默认权限不作修改∙其它目录删除Everyone用户,切记C:\Documents and Settings下All Users\Def ault User目录及其子目录如C:\Documents and Settings\All Users\Application Data 目录默认配置保留了Every one用户权限C:\WINDOWS 目录下面的权限也得注意,如C:\WINDOWS\PCHealth、C:\windows\Inst aller也是保留了Everyone权限.∙删除C:\WINDOWS\Web\printers目录,此目录的存在会造成IIS里加入一个.print ers的扩展名,可溢出攻击∙默认IIS错误页面已基本上没多少人使用了。
Windows_Server_2003_安全设置手册
Windows Server 2003安全设置一、用户账户安全1.Administrator账户的安全性a)重命名adminstrator,并将其禁用b)创建一个用户账户并将其加入管理员组,日常管理工作使用这个账户完成2.启用账户锁定策略开始——程序——管理工具——本地安全策略——账户策略——账户锁定策略——设置“账户锁定阈值为3”3.创建一个日常登录账户通过Runas或者鼠标右键“运行方式”切换管理员权限4.修改本地策略限制用户权限开始——程序——管理工具——本地安全策略——本地策略——用户权限分配——设置“拒绝从网络访问这台计算机”,限制从网络访问该服务器的账户二、服务器性能优化,稳定性优化1.“我的电脑”右键属性——高级——性能——设置——设置为“性能最佳”2.“我的电脑”右键属性——高级——性能——设置——高级页面为如图设置3.停止暂时未用到的服务a)在开始运行中输入:services.mscb)停止并禁用以下服务puter Browser2.Distributed Link Tracking Client3.Print Spooler(如果没有打印需求可以停止该服务)4.Remote Registry5.Remote Registry(如果没有无线设备可以停止该服务)6.TCP/IP NetBIOS Helper三、系统安全及网络安全设置1.开启自动更新我的电脑右键属性——自动更新Windows Server 2003会自动下载更新,无须人为打补丁。
2.关闭端口,减少受攻击面(此处以仅提供HTTP协议为例)a)开始运行中输入cmd,运行命令提示符b)在命令提示符中输入netstat -an命令察看当前打开端口图片中开放了TCP 135,139,445,1026四个端口,可以通过禁用TCP/IP 上的NetBIOS和禁用SMB来关闭它们。
c)禁用TCP/IP 上的NetBIOS1.从“开始”菜单,右键单击“我的电脑”,然后单击“属性”。
Win2003网站服务器的安全配置全攻略
Win2003网站服务器的安全配置全攻略安装篇2003默认安装不带IIS的,要安装,请点击开始->管理工具->配置您的服务器向导然后一步步的下一步。
到了列表选择项目的时候。
从列表中选择应用服务器(IIS,)然后确定,下一步frontpage server extension和如果要支持.Net,都打勾,前者vs用到。
然后一路下一步。
成功后最后mmc管理去。
设置篇:1:支持Asp:控制面板 -> 管理工具 ->IIS(Internet 服务器)- Web服务扩展 -> Active Server Pages -> 允许控制面板 -> 管理工具 ->IIS(Internet 服务器)- Web服务扩展 -> 在服务端的包含文件 -> 允许2:上传200K限制:先在服务里关闭iis admin service服务找到windows\system32\inesrv\下的metabase.xml,打开,找到ASPMaxRequestEntityAllowed 把他修改为需要的值,然后iisreset3:启用父路径:IIS-网站-主目录-配置-选项-启用父路关键词:Win2003 服务器配置网站安全阅读提示:息网络对于服务器的安全要求是十分重要的,为防止服务器发生意外或受到意外攻击,而导致大量重要的数据丢失,下面就介绍Win2003服务器安全热点技术。
本配置仅适合Win2003,部分内容也适合于Win2000。
很多人觉得3389不安全,其实只要设置好,密码够长,攻破3389也不是件容易的事情,我觉得别的远程软件都很慢,还是使用了3389连接。
经测试,本配置在Win2003 + IIS6.0 + Serv-U + SQL Server 的单服务器多网站中一切正常。
以下配置中打勾的为推荐进行配置,打叉的为可选配置。
一、系统权限的设置1、磁盘权限系统盘只给 Administrators 组和 SYSTEM 的完全控制权限其他磁盘只给 Administrators 组完全控制权限系统盘\Documents and Settings 目录只给 Administrators 组和 SYSTEM 的完全控制权限系统盘\Documents and Settings\All Users 目录只给 Administrators 组和 SYSTEM 的完全控制权限系统盘\windows\system32\config\ 禁止guests组系统盘\Documents and Settings\All Users\「开始」菜单\程序\ 禁止guests组系统盘\windowns\system32\inetsrv\data\ 禁止guests组系统盘\Windows\System32\ at.exe、attrib.exe、cacls.exe、net.exe、net1.exe、netstat.exe、regedit.exe 文件只给 Administrators 组和 SYSTEM 的完全控制权限系统盘\Windows\System32\ cmd.exe、 仅 Administrators 组完全控制权限把所有(Windows\system32和Windows\ServicePackFiles\i386) 更名为format_2、本地安全策略设置开始菜单->管理工具->本地安全策略A、本地策略-->审核策略审核策略更改 成功 失败审核登录事件 成功 失败审核对象访问失败审核过程跟踪 无审核审核目录服务访问失败审核特权使用失败审核系统事件 成功 失败审核账户登录事件 成功 失败审核账户管理 成功 失败B、本地策略-->用户权限分配关闭系统:只有Administrators组、其它全部删除。
Windows 2003服务器安全配置技巧
Windows 2003服务器安全配置技巧引:下面我用的例子,将是一台标准的虚拟主机。
实践篇下面我用的例子,将是一台标准的虚拟主机。
系统:Windows2003服务:[IIS] [SERV-U] [IMAIL] [SQL SERVER 2000] [PHP] [MYSQL]描述:为了演示,绑定了最多的服务,大家可以根据实际情况做筛减1. WINDOWS本地安全策略端口限制A. 对于我们的例子来说,需要开通以下端口外->本地 80外->本地 20外->本地 21外->本地 PASV所用到的一些端口外->本地 25外->本地 110外->本地 3389然后按照具体情况,打开SQL SERVER和MYSQL的端口外->本地 1433外->本地 3306B. 接着是开放从内部往外需要开放的端口按照实际情况,如果无需邮件服务,则不要打开以下两条规则本地->外 53 TCP,UDP本地->外 25按照具体情况,如果无需在服务器上访问网页,尽量不要开以下端口本地->外 80C. 除了明确允许的一律阻止,这个是安全规则的关键外->本地所有协议阻止2. 用户帐号A. 将administrator改名,例子中改为rootB. 取消所有除管理员root外所有用户属性中的远程控制->启用远程控制以及终端服务配置文件->允许登陆到终端服务器C. 将guest改名为administrator并且修改密码D. 除了管理员root、IUSER以及IWAM以及ASPNET用户外,禁用其他一切用户,包括SQL DEBUG以及TERMINAL USER等等3. 目录权限将所有盘符的权限,全部改为只有administrators组全部权限ystem 全部权限将C盘的所有子目录和子文件继承C盘的administrator(组或用户)和SYSTEM 所有权限的两个权限然后做如下修改C:\Program Files\Common Files 开放Everyone默认的读取及运行列出文件目录读取三个权限C:\WINDOWS\ 开放Everyone默认的读取及运行列出文件目录读取三个权限C:\WINDOWS\Temp 开放Everyone 修改、读取及运行、列出文件目录、读取、写入权限现在WebShell就无法在系统目录内写入文件了。
windows_2003服务器安全配置教程
Windows2003安全配置教程1:安装windows2003时,必须所有的磁盘分区都为NTFS2:安装后,建议不要插入U盘,不要打开其它盘(如D/E/F)这些磁盘3:立即安装杀毒软件(更新到最新病毒库)马上进行查杀(建议安装NOD32版不带防火墙的那个版本)4:使用WINDOWS 2003自动更新,马上到官网下载更新补丁5:安装所有补丁之后,全盘扫描病毒6:IIS那些杀完病毒和打完补丁再进行安装和配置7:没确定所有磁盘被扫描完之前,都不要打开其它的盘(如D/E/F)8:关闭磁盘所有的默认共享9:administrator 密码必须复杂10:建议先开启WINDOWS 自带的防火墙(开启之前,必须开放3389端口)11:修改3389的端口,建议改成数字“越大越好”以上12:马上关闭445端口■.关闭所有不需要的服务* Alerter (disable)* ClipBook Server (disable)* Computer Browser (disable)* DHCP Client (disable)* Directory Replicator (disable)* FTP publishing service (disable)* License Logging Service (disable)* Messenger (disable)* Netlogon (disable)* Network DDE (disable)* Network DDE DSDM (disable)* Network Monitor (disable)* Plug and Play (disable after all hardware configuration)* Remote Access Server (disable)* Remote Procedure Call (RPC) locater (disable)* Schedule (disable)* Server (disable)* Simple Services (disable)* Spooler (disable)* TCP/IP Netbios Helper (disable)* Telephone Service (disable)■. 帐号和密码策略1)保证禁止guest帐号2)将administrator改名为比较难猜的帐号3)密码唯一性:记录上次的6 个密码4)最短密码期限:25)密码最长期限:426)最短密码长度:87)密码复杂化(passfilt.dll):启用8)用户必须登录方能更改密码:启用9)帐号失败登录锁定的门限:610)锁定后重新启用的时间间隔:720分钟■.保护文件和目录将C:\winnt, C:\winnt\config, C:\winnt\system32, C:\winnt\system等目录的访问权限做限制,限制everyone的写权限,限制users组的读写权限■.注册表一些条目的修改1)去除logon对话框中的shutdown按钮将HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\Current Version\Winlogon\中ShutdownWithoutLogon REG_SZ 值设为02)去除logon信息的cashing功能将HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\Current Version\Winlogon\中CachedLogonsCount REG_SZ 值设为04)限制LSA匿名访问将HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA中RestricAnonymous REG_DWORD 值设为15)去除所有网络共享将HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanManServer\Parameters\中AutoShareServer REG_DWORD 值设为0IIS主要:假如你的电脑中还装了IIS ,你最好重新设置一下端口过滤。
Windows2003 Server的安全配置
硬盘目录权限设置和删除不需要的目录1.C盘只给administrators 和system权限,其他的权限不给,其他的盘也可以这样设置,这里给的system权限也不一定需要给,只是由于某些第三方应用程序是以服务形式启动的,需要加上这个用户,否则造成启动不了2.Windows目录要加上给users的默认权限,删除everyone即可。
否则ASP和ASPX 等应用程序就无法运行。
c:/Documents and Settings/All Users/Application Data目录不能出现everyone用户有完全控制权限,在用做web/ftp服务器的系统里,建议是将这些目录都设置的锁死。
其他每个盘的目录都按照这样设置,每个盘都只给adinistrators权限。
3.删除C:\WINDOWS\Web\printers目录,此目录的存在会造成IIS里加入一个.printers的扩展名,可溢出攻击4.打开C:\Windows 搜索net.exe;cmd.exe;tftp.exe;netstat.exe;regedit.exe;at.exe;attrib.exe;cacls.exe;; regsvr32.exe;xcopy.exe;wscrīpt.exe;cscrīpt.exe;ftp.exe;telnet.exe;arp.exe;edlin.exe; ping.exe;route.exe;finger.exe;posix.exe;rsh.exe;atsvc.exe;qbasic.exe;runonce.exe;syskey .exe修改权限,删除所有的用户只保存Administrators 和SYSTEM为所有权限禁用不必要的服务Remote Registry服务[禁止远程连接注册表]命令:sc config RemoteRegistry start= disabledtask schedule服务[禁止自动运行程序]命令:sc config Schedule start= disabledserver服务 [禁止默认共享]命令:sc config lanmanserver start= disabledTelnet服务 [禁止telnet远程登陆]命令:sc config TlntSvr start= disabledworkstation服务 [防止一些漏洞和系统敏感信息获取]命令:sc config lanmanworkstation start= disabledError Reporting Service服务[禁止收集、存储和向Microsoft 报告异常应用程序]命令:sc config ERSvc start= disabledMessenger服务[禁止传输客户端和服务器之间的NET SEND 和警报器服务消息]命令:sc config Messenger start= disabledHelp and Support服务[禁止在此计算机上运行帮助和支持中心]命令:sc config helpsvc start= disabledNetwork Location Awareness (NLA)服务[禁止收集并保存网络配置和位置信息]命令:sc config Nla start= disabledSERV-U FTP 服务器的设置1.选中“Block "FTP_bounce"attack and FXP”。
windows_2003权限及安全设置解决方案
windows 2003权限及安全设置解决方案目录一、服务器安全设置1.IIS6.0的安装和设置2.WEB目录权限设置3.SQL权限设置二、系统常规安全设置4.系统补丁的更新5.备份系统6.安装常用的软件7.先关闭不需要的端口,开启防火墙导入IPSEC策略8.win2003服务器防止海洋木马的安全设置9.改名不安全组件10.系统安全策略11.网络设置[这里针对网卡参数进行设置]12.PHP安全13.修改3389远程连接端口14.本地策略--->用户权限分配15.在安全设置里本地策略-用户权利分配,通过终端服务拒绝登陆加入16.计算机管理的本地用户和组17.删除默认共享18.常用DOS命令安全设置19.卸载删除具有CMD命令功能的危险组件20.用户安全设置21.密码安全设置22.磁盘权限设置23.本地安全策略设置24.终端服务配置TerminalServiceConfigration25.禁用不必要的服务26.修改注册表27.系统DOS命令保护和转移三、各目录权限设置28.C盘的目录权限一、服务器安全设置1. IIS6.0的安装和设置1.1 开始菜单—>控制面板—>添加或删除程序—>添加/删除Windows组件应用程序———(可选)|——启用网络 COM+ 访问(必选)|——Internet 信息服务(IIS)———Internet 信息服务管理器(必选)|——公用文件(必选)|——万维网服务———Active Server pages(必选)|——Internet 数据连接器(可选)|——WebDAV 发布(可选)|——万维网服务(必选)|——在服务器端的包含文件(可选)在”网络连接”里,把不需要的协议和服务都删掉,这里只安装了基本的Internet协议(TCP/IP)和Microsoft网络客户端。
在高级tcp/ip设置里--"NetBIOS"设置"禁用tcp/IP上的NetBIOS(S)"。
Windows Server 2003安全设置1
Windows Server 2003服务器安全设置一、防火墙设置1、先关闭不需要的端口开启防火墙导入IPSEC策略在” 网络连接”里,把不需要的协议和服务都删掉,这里只安装了基本的Internet协议(TCP/IP),由于要控制带宽流量服务,额外安装了Qos数据包计划程序。
在高级tcp/ip 设置里--"NetBIOS"设置"禁用tcp/IP上的NetBIOS(S)"。
在高级选项里,使用"Internet 连接防火墙",这是windows 2003 自带的防火墙,在2000系统里没有的功能,虽然没什么功能,但可以屏蔽端口,这样已经基本达到了一个IPSec的功能。
二、系统权限的设置1、磁盘权限(如下设置,我们已经写一个CMD脚本,按要求复制运行即可以取代如下手工设定)系统盘及所有磁盘只给 Administrators 组和 SYSTEM 的完全控制权限系统盘\Documents and Settings 目录只给 Administrators 组和 SYSTEM 的完全控制权限系统盘\Documents and Settings\All Users 目录只给 Administrators 组和 SYSTEM 的完全控制权限系统盘\Windows\System32\cacls.exe、cmd.exe、net.exe、net1.exe、ftp.exe、tftp.exe、telnet.exe 、netstat.exe、regedit.exe、at.exe、attrib.exe、、del文件只给 Administrators 组和SYSTEM 的完全控制权限另将\System32\cmd.exe、、ftp.exe转移到其他目录或更名Documents and Settings下所有些目录都设置只给adinistrators权限。
并且要一个一个目录查看,包括下面的所有子目录。
Windows 2003 Server安全配置完整篇
登录事件
账户登录事件
系统事件
策略更改
对象访问
目录服务访问
特权使用
三、关闭默认共享的空连接
地球人都知道,我就不多说了!
四、磁盘权限设置 C 盘只给 administrators 和 system 权限,其他的权限不给,其他的盘也可以这样设置,这里给的 system
权限也不一定需要给,只是由于某些第三方应用程序是以服务形式启动的,需要加上这个用户,否则造成启动 不了。
保存为.REG 文件双击即可!更改为 9859,当然大家也可以换别的端口,直接打开以上注册表的地址,把 值改为十进制的输入你想要的端口即可!重启生效!
还有一点,在 2003 系统里,用 TCP/IP 筛选里的端口过滤功能,使用 FTP 服务器的时候,只开放 21 端 口,在进行 FTP 传输的时候,FTP 特有的 Port 模式和 Passive 模式,在进行数据传输的时候,需要动态的打 开高端口,所以在使用 TCP/IP 过滤的情况下,经常会出现连接上后无法列出目录和数据传输的问题。所以在 2003 系统上增加的 Windows 连接防火墙能很好的解决这个问题,不推荐使用网卡的 TCP/IP 过滤功能。
4
在运行中输入 gpedit.msc 回车,打开组策略编辑器,选择计算机配置-Windows 设置-安全设置-审核策略 在创建审核项目时需要注意的是如果审核的项目太多,生成的事件也就越多,那么要想发现严重的事件也越难 当然如果审核的太少也会影响你发现严重的事件,你需要根据情况在这二者之间做出选择。
3
Microsoft Serch:提供快速的单词搜索,不需要可禁用 NTLMSecuritysupportprovide:telnet 服务和 Microsoft Serch 用的,不需要禁用 PrintSpooler:如果没有打印机可禁用 Remote Registry:禁止远程修改注册表 Remote Desktop Help Session Manager:禁止远程协助 Workstation 关闭的话远程 NET 命令列不出用户组 把不必要的服务都禁止掉,尽管这些不一定能被攻击者利用得上,但是按照安全规则和标准上来说,多余 的东西就没必要开启,减少一份隐患。
Windows 2003 Server安全配置技术技巧
Windows 2003 Server安全配置技术技巧(1)一、先关闭不需要的端口我比较小心,先关了端口。
只开了3389、21、80、1433,有些人一直说什么默认的3389不安全,对此我不否认,但是利用的途径也只能一个一个的穷举爆破,你把帐号改了密码设置为十五六位,我估计他要破上好几年,哈哈!办法:本地连接--属性--Internet协议(TCP/IP)--高级--选项--TCP/IP筛选--属性--把勾打上,然后添加你需要的端口即可。
PS一句:设置完端口需要重新启动!当然大家也可以更改远程连接端口方法:WindowsRegistryEditorVersion5.00[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Co ntrol\TerminalServer\WinStations\RDP-Tcp]"PortNumber"=dword:00002683保存为.REG文件双击即可!更改为9859,当然大家也可以换别的端口,直接打开以上注册表的地址,把值改为十进制的输入你想要的端口即可!重启生效!还有一点,在2003系统里,用TCP/IP筛选里的端口过滤功能,使用FTP服务器的时候,只开放21端口,在进行FTP传输的时候,FTP特有的Port模式和Passive模式,在进行数据传输的时候,需要动态的打开高端口,所以在使用TCP/IP过滤的情况下,经常会出现连接上后无法列出目录和数据传输的问题。
所以在2003系统上增加的Windows连接防火墙能很好的解决这个问题,不推荐使用网卡的TCP/IP过滤功能。
做FTP下载的用户看仔细,如果要关闭不必要的端口,在\system32\drivers\etc\services中有列表,记事本就可以打开的。
如果懒的话,最简单的方法是启用WIN2003的自身带的网络防火墙,并进行端口的改变。
功能还可以!Internet连接防火墙可以有效地拦截对Windows2003服务器的非法入侵,防止非法远程主机对服务器的扫描,提高Windows2003服务器的安全性。
Windows Server 2003优化及安全配置
Windows Server 2003优化及安全配置一、操作系统基础配置优化稳定的服务源于强健的操作系统,强健的操作系统基于合理的基础配置1.1 跳过磁盘检修等待时间一旦计算机因意外原因,例如突然停电或者死机的话,那么计算机下次重新启动的话,系统就会花10秒钟的时间,来运行磁盘扫描程序,检查磁盘是否有错误出现。
对于服务器来说,越短的启动时间代表越少的服务中断,所以我们可以进行以下配置:A、在开始菜单中选择“运行”,键入“cmd”命令,将界面切换到DOS命令行状态下;B、直接输入“CHKNTFS /T:0”命令,单击回车键后,系统就能自动将检查磁盘的等待时间修改为0了;下次遇到异常情况,重新启动计算机后,系统再调用磁盘扫描程序时,就不需要等待了。
1.2 取消对网站的安全检查Windows Server 2003操作系统自带了Internet Explorer增强的安全配置,当打开浏览器来查询网上信息时,发现IE总是“不厌其烦”地提示我们,是否需要将当前访问的网站添加到自己信任的站点中去;要是不信任的话,就无法打开指定网页;倘若信任的话,就必须单击“添加”按钮,将该网页添加到信任网站的列表中去。
这种配置虽然增强了系统安全性,但是无疑也给我们日常维护增加了麻烦。
我们可以通过下面的方法来让IE取消对网站安全性的检查:A、依次执行“开始”/“设置”/“控制面板”命令,在打开的控制面板窗口中,用鼠标双击“添加和删除程序”图标,将界面切换到“添加和删除Windows组件”页面中;B、用鼠标选中“Internet Explorer增强的安全配置”选项,继续单击下一步按钮,就能将该选项从系统中删除了;C、再单击一下“完成”按钮,退出组件删除提示窗口。
1.3 自动登录Windows Server 2003系统每次开机运行Windows Server 2003系统时,都需要同时按住Ctrl+Alt+Delete复合键,再输入登录密码,才能进入到系统中。
Windows_Server_2003系统安全技巧集
Windows Server 2003系统安全技巧集操作系统的安全性无疑受大家关注最多,虽然Windows 2003稳定的性能受到越来越多用户的青睐,但面对层出不穷的新病毒,加强安全性依旧是当务之急。
通常,我们只需要某些细微的改动就能使系统安全提升一个台阶,大家看看下面几点您做到了么?● 用户口令设置为管理员帐户设置一个密码,在很大程度上可以避免口令攻击。
密码设置的字符长度应当在8位以上,最好是字母、数字、特殊字符的组合,如“psp53,@pq”、“skdfksadf10@”等,可以有效地防止暴力破解。
最好不要用自己的生日、手机号码、电话号码等做口令。
● 删除默认共享删除Windows 2003系统默认的隐藏共享同样可以有效提升系统的安全系数,单击“开始→运行”,输入“gpedit.msc”后回车,打开组策略编辑器。
依次展开“用户配置→Windows 设置→脚本(登录/注销)”,双击登录项,然后添加“delshare.bat”(参数不需要添加),从而删除Windows Server 2003默认的共享。
接下来再禁用IPC连接:打开注册表编辑器,依次展开[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlLsa ]分支,在右侧窗口中找到“restrictanonymous”子键,将其值改为“1”即可。
● 关闭自动播放功能图一自动播放功能不仅对光驱起作用,而且对其它驱动器也起作用,这样很容易被黑客利用来执行黑客程序。
打开组策略编辑器,依次展开“计算机配置→管理模板→系统”,在右侧窗口中找到“关闭自动播放”选项并双击,在打开的对话框中选择“已启用”,然后在“关闭自动播放”后面的下拉菜单中选择“所有驱动器”,按“确定”即可生效。
操作系统的安全性无疑受大家关注最多,虽然Windows 2003稳定的性能受到越来越多用户的青睐,但面对层出不穷的新病毒,加强安全性依旧是当务之急。
Win 2003 Server 服务器安全设置 防御PHP木马攻击的技巧
Win 2003 Server 服务器安全设置防御PHP木马攻击的技巧Win 2003 Server服务器是一种常用的服务器操作系统,然而,安全性始终是我们在使用服务器时需要重点关注的问题之一。
本文将向您介绍一些Win 2003 Server服务器安全设置中,防御PHP木马攻击的一些技巧。
一、安装最新版本的Win 2003 Server操作系统首先,为了确保服务器的安全性,我们需要安装最新版本的Win 2003 Server操作系统。
最新版本通常会修复许多安全漏洞,并提供更好的安全性保障。
同时,我们还需要确保操作系统的自动更新功能已开启,以获取最新的补丁和安全更新。
二、使用强密码保护服务器的登录账户其次,为了防止恶意用户猜测登录账户的密码,我们应该使用强密码保护服务器的登录账户。
一个强密码应该包含至少8个字符,并且包括字母、数字和特殊字符。
此外,为了增加密码的安全性,我们还应定期更换密码,以防止攻击者获取密码信息。
三、禁用不必要的服务和端口Win 2003 Server默认启动了许多不必要的服务和端口,这些服务和端口可能成为黑客攻击的目标。
为了增强服务器的安全性,我们应该禁用那些不必要的服务和端口,只保留必需的服务和端口,以减少攻击者的攻击面。
四、安装可信的安全软件安装可信的安全软件是防御PHP木马攻击的重要措施之一。
这些安全软件可以及时检测出服务器上的恶意代码,并进行相应的处理。
我们应选择那些具有实时监测和防御功能的安全软件,并定期更新其病毒库,以保持最新的恶意代码识别能力。
五、加强服务器的访问控制为了防止未经授权的访问,我们需要加强服务器的访问控制。
首先,我们应该限制服务器仅接受来自信任IP地址范围的连接。
其次,我们可以使用防火墙来过滤入站和出站的流量,只允许必要的网络服务通信。
此外,我们还可以设置访问控制列表(ACL)来限制特定用户或用户组的访问权限。
六、定期备份服务器数据定期备份服务器的数据对于防御PHP木马攻击至关重要。
Windows2003Server安全配置指南
暴露于Internet中的服务器安全配置步骤目录1.配置Windows 2000 Server (3)2.配置防火墙 (3)2.1天网防火墙个人版(自定义IP 规则) ...... 错误!未定义书签。
3.修改本地用户 (3)4.设置本地安全策略 (4)4.1账户锁定策略 (4)4.2审核策略 (5)4.3用户权利指派 (6)4.4安全选项 (7)5.配置路由和远程访问 (7)6.配置VPN (12)7.日常例行检查 (13)请在任何时候都记住:再好的安全措施、防火墙,也无法抵御来自内部的攻击,特别是具有管理员权限内部人员的恶意攻击。
1.配置Windows 2000 Server必须安装直到目前的所有补丁:sp1、sp2、sp3。
经常使用“开始”---“Windows Updata”功能进行安全更新。
2.配置应用程序如果系统中的应用程序有补丁,必须全部打上补丁,特别是SQL SERVER2000,必须依次打到SP3以上。
3.IIS的处理在一般情况下,请去掉IIS服务。
请将C:\INTEPUB这个文件夹改名。
4.配置防火墙我们一般建议使用诺顿网络特警2003(请见《诺顿网络特警2003操作手册》)5.修改本地用户打开“开始-程序-管理工具-计算机管理”,展开“计算机管理(本地)-系统工具-本地用户和组”。
●设置所有属于“administrator”组的用户密码必须在18位以上。
●双击“组”,建立组VPN。
●双击“用户”⏹新建“sql”帐号,专用于SQL SERVER2000服务启动使用。
并加入administrator 组。
密码至少18 位长并且必须包含字母和数字,并修改其拨入属性为“拒绝访问”。
“终端服务配置文件”—“允许登录到终端服务”的选项必须去掉。
⏹设置administrator 密码至少18 位长并且必须包含字母和数字,并修改其拨入属性为“拒绝访问”。
⏹禁用guest 账户。
并修改其拨入属性为“拒绝访问”。
Windows server2003服务器的安全配置
Wind ows server2003服务器的安全配置以下是我服务器的安全配置情况,写得没好,请没要介意.也没要拿砖头砸我一.磁盘权限的设置c:\Administrators 完全控制System 完全控制Users 读取读取运行列出文件夹目录(为了让防盗链能正常运行)Guest 拒绝所有权限.并只应用到“只有该文件夹”C:\Documents and SettingsAdministrators 完全控制System 完全控制C:\Documents and Settings\All UsersAdministrators 完全控制System 完全控制C:\php读取读取运行列出文件夹目录C:\Program FilesAdministrators 完全控制System 完全控制C:\Program Files\Common Files\System把Everyone权限加上去,赋予读取读取运行列出文件夹目录权限C:\WINDOWSAdministrators 完全控制System 完全控制IIS_WPG 读取读取运行列出文件夹目录,并应用到“只有子文件夹及文件”Users 读取读取运行列出文件夹目录,并应用到“只有该文件夹”C:\WINDOWS\system32Administrators 完全控制System 完全控制Everyone 读取读取运行列出文件夹目录,并应用到“只有子文件夹及文件”搜索cmd.exe net.exe net1.exe cacls.exe tftp.exe ftp.exe赋予Administrators完全控制权限.并将C:\WINDOWS\ServicePackFiles\i386目录下面多余的删掉!D盘看不到,不用管E:\Administrators 完全控制E:\webAdministrators 完全控制e:\web下面是网站目录,每个站点使用独立的匿名用户,这个不用多说了.F:\Administrators 完全控制f:\webadministrators 完全控制f:\web下面也是用户目录。
2003系统安全设置
2003系统安全设置第一篇:2003系统安全设置Windows Server 2003(企业版32位)系统安全设置系统中最多装一个杀毒软件和RAR解压缩工具和很小的一个流量监控软件。
其他的无关软件也一律不要安装,甚至不用装office。
多一个就会多一份漏洞和不安全隐患。
开启系统自带防火墙是正确有效的防护,请相信微软的智商。
通过以下基本安全设置后,加上服务器管理员规范的操作,服务器一般不会出现什么意外了,毕竟我们的服务器不是用来架设多个WEB网站的,造成漏洞的可能性大大降低。
当然,没有绝对的事,做好服务器系统和OA数据备份是必须的。
如果对以下操作不太熟悉,建议先在本地机器练练,不要拿用户服务器测试,以免造成其他问题。
另赠送32位和64位的系统解释:windows server 200332位和64位操作系统的区别问:1、windows server 2003 32位和64位操作系统的区别2、32位windows server 2003是否可以用在两路四核 E5410 2.33GHz处理器和4x2GB内存上答:1、32位和64位的差别在于如果你的CPU是64位的,64位的OS能够完全发挥CPU的性能,而不需要使CPU运行在32位兼容模式下。
2、32位windows server 2003可以用在两路四核E5410 2.33GHz处理器和4x2GB内存上,通过PAE模式也可以支持4G以上内存。
另外补充一下,Windows Server 2003的硬件支持特性并不是由32位或64位来决定的,而是由OS本身的版本来决定的。
以Windows Server 2003为例,标准版可以支持的最大CPU数为4路,最大内存数为4G,而企业版则可以支持最大CPU数8路,最大内存数32G。
回正题:(一)禁用不需要的服务Alerter通知选定的用户和计算机管理警报。
Computer Browser维护网络上计算机的更新列表,并将列表提供给计算机指定浏览。
WindowsServer2003Web服务器安全设置
WindowsServer2003Web服务器安全设置Windows Server 2003是微软公司推出的一款非常受欢迎的Web服务器操作系统。
在使用Windows Server 2003 Web服务器时,正确的安全设置是至关重要的。
本文将介绍一些Windows Server 2003 Web服务器的安全设置,以帮助您更好地保护您的服务器和网站。
1. 使用安全的管理员密码作为服务器管理员,您应该始终为管理员账户设置一个强密码。
强密码应包含大小写字母、数字和特殊字符,并且长度至少为8个字符。
您还可以定期更改密码,以增加服务器的安全性。
2. 更新操作系统和应用程序及时更新操作系统和安装的应用程序可以修复已知的漏洞,从而提高服务器的安全性。
请确保定期检查和下载最新的安全补丁,并对服务器进行更新。
3. 禁用不必要的服务Windows Server 2003默认启用了许多不必要的服务,这些服务可能存在安全隐患。
您应该审查并禁用不需要的服务,只保留必要的服务运行。
这样可以减少攻击面,提高服务器的安全性。
4. 配置防火墙防火墙是保护服务器安全的重要工具。
您可以配置Windows Server 2003自带的防火墙,并根据需要设置规则和策略。
通过限制对服务器的访问,防火墙可以有效防止未经授权的访问和恶意攻击。
5. 安装和配置安全软件除了操作系统自带的防火墙外,您还可以考虑安装额外的安全软件来提供更高级的保护。
例如,您可以安装杀毒软件、恶意软件检测工具和入侵检测系统等。
确保这些软件得到及时更新,并运行扫描以确保服务器没有恶意软件。
6. 限制远程访问远程访问是实现服务器管理和维护的便捷方式,但也是潜在的安全风险。
为了保护服务器的安全,您可以限制远程访问的IP地址范围,并使用安全的远程协议,如SSH。
另外,您也可以考虑实现双因素身份验证来增加远程访问的安全性。
7. 日志监控和审计监控服务器的日志并进行审计是发现潜在威胁和异常活动的重要手段。
Windows-Server-2003安全设置
Windows-Server-2003安全(ānquán)设置Windows-Server-2003安全(ānquán)设置2003总体感觉上安全做的还不错,交互式登录、网络身份验证、基于对象的访问控制、比较完整的安全策略、数据加密保护……笔者这里要谈的是如何通过安全的配置,使Windows Server 2003安全性大大加强。
一、安装过程中的安全问题1.NTFS系统。
老生长谈的话题了。
NTFS系统为一种高级的文件系统,提供了性能、安全、可靠性以及未在任何FAT格式版本中提供的高级功能,通过它可以实现任意文件及文件夹的加密和权限设置(这是最直观的安全设置了),磁盘配额和压缩等高级功能。
通过它,你还可以更好的利用磁盘空间,提高系统运行速度……自WindowsNT系统以来,使用NTFS系统已经逐渐成了一种共识。
为了体验NTFS系统带来的这些免费的优惠,笔者特意把硬盘所有分区都转成了NTFS 系统。
如果你在安装时不选用NTFS系统,那么后面的很多安全配置如用户权限设置等你将都不能实现。
2.安装过程中有关安全的提示。
在安装过程中需要输入Administrator密码,新的Windows Server 2003提供了一个比较成熟的密码规则,当你输入的密码不符合规则时,就会以图片形式出现如下提示(由于安装未完成,不能抓图,请谅解。
内容已经抄下来了):您已经指定的管理员帐户的密码不符合密码的条件,建议使用的密码应符合下列条件之中的前二个及至少三个:- 至少6个字符- 不包含"Administrator"或"Admin"- 包含大写字母(A、B、C等等)- 包含小写字母(a、b、c等等)- 包含数字(0、1、2等等)- 包含非字母数字字符(#、&、~等等)您确定要继续使用当前密码吗?之所以说是“比较成熟”的密码规则,因为就算你的密码设置不符合此规则也能照样顺利进行下一步安装,这就为以后的系统安全埋下了隐患。
最全的Windows server 2003服务器安全配置详解
最全的Windows server2003服务器安全配置详解配置WindowsServer2003 + IIS6.0 + ASP + NET + PHP + PERL + MSSQL + MYSQL 最新服务器安全设置技术实例最全的Windows服务器安全配置详解一详解一:::Web服务器安全配置的内容1终端服务默认端口号:3389。
更改原因:不想让非法用户连接到服务器进行登录实验。
当这台服务器托管在外时更不希望发生这种情况,呵呵,还没忘记2000的输入法漏洞吧?更改方法:(1)、第一处[HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Control \ Terminal Server \ Wds \ rdpwd \ Tds \ tcp],看到右边的PortNumber了吗?在十进制状态下改成你想要的端口号吧,比如7126之类的,只要不与其它冲突即可。
(2)、第二处[HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Control \ Terminal Server \ WinStations \ RDP-Tcp,方法同上,记得改的端口号和上面改的一样就行了。
2系统盘\Windows\System32\cacls.exe、cmd.exe、net.exe、net1.exe、telnet.exe、ftp.exe 文件只给Administrators 组和SYSTEM 的完全控制权限注册表删除WScript.Shell、WScript.Shell.1、work、work.1、Shell.application注册表改名adodb.stream、Scripting.Dictionary、Scripting.FileSystemObject3启用防火墙和tcp/ip过滤,再serv-u开启一组端口映射80 \ 20 \ 21 \ 2121 \ * 以及serv-u端口组4关闭默认共享在Windows 2000中,有一个“默认共享”,这是在安装服务器的时候,把系统安装分区自动进行共享,虽然对其访问还需要超级用户的密码,但这是潜在的安全隐患,从服务器的安全考虑,最好关闭这个“默认共享”,以保证系统安全。
Windows Server 2003安全设置
实验二Windows Server 2003安全设置【实验背景】Windows Server 2003作为Microsoft 最新推出的服务器操作系统,不仅继承了Windows 2000/XP的易用性和稳定性,而且还提供了更高的硬件支持和更加强大的安全功能,无疑是中小型网络应用服务器的首选。
虽然缺省的Windows 2003安装比缺省的Windows NT或Windows 2000安装安全许多,但是它还是存在着一些不足,许多安全机制依然需要用户来实现它们。
【实验目的】掌握Windows Server 2003常用的安全设置。
【实验条件】安装了Windows Server 2003的计算机。
【实验任务】就Windows Server 2003在网络应用中帐户、共享、远程访问、服务等方面的安全性作相关设置。
【实验步骤】1. 修改管理员帐号和创建陷阱帐号Windows操作系统默认安装用Administrator作为管理员帐号,黑客也往往会先试图破译Administrator帐号密码,从而开始进攻系统,所以系统安装成功后,应重命名Administrator帐号。
方法如下:(1) 打开【本地安全设置】对话框,选择“本地策略”→“安全选项”,如图1所示。
图1 重命名系统帐户(2) 双击“帐户:重命名系统管理员帐户”策略,给Administrator重新设置一个平常的用户名,如user1,然后新建一个权限最低的、密码极复杂的Administrator的陷阱帐号来迷惑黑客,并且可以借此发现它们的入侵企图。
2. 清除默认共享隐患Windows Server 2003系统在默认安装时,都会产生默认的共享文件夹,如图2所示。
如果攻击者破译了系统的管理员密码,就有可能通过“\\工作站名\共享名称”的方法,打开系统的指定文件夹,因此应从系统中清除默认的共享隐患。
图2 共享资源管理1) 删除默认共享以删除图2中的默认磁盘及系统共享资源为例,首先打开“记事本”,根据需要编写如下内容的批处理文件:@echo offnet share C$ /delnet share D$ /delnet share E$ /delnet share admin$ /del文件保存为delshare.bat,存放到系统所在文件夹下的system32\GroupPolicy\User \Scripts\Logon目录下。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
Windows2003网络服务器绝版攻略Windows Server可以被配置为多种角色,Windows Server 2003 可以被配置为域控制器、成员服务器、基础设施服务器、文件服务器、打印服务器、IIS服务器、IAS服务器、终端服务器等等。
而且服务器可以被配置为几种角色的综合。
铁通数据中心机房存在多台不同角色的服务器,例如:备份服务器,终端服务器,Web 服务器等,大部分是集各种角色于一身的服务器,所以有必要制作一份完整的安全方案文档以供参考,综合了部分虚拟主机公司的方案以及网络整理的资料和个人的一些经验,制作此方案。
总的来说,做为一个集各种角色为一身的服务器,主要是从以下几个方面进行安全加固设置:组件安全、端口安全、Windows常见自带程序的安全设置、远程终端安全、第三方软件的安全设置、木马病毒的防范设置、系统服务设置、帐号安全问题、日志安全设置、MSSQL 安全设置、常见危险协议的删除、日常服务器安全检测、目录权限设置、DDOS攻击的设置、MYSQL安全设置、php安全设置。
注意:下面的策略是本着安全最大化的目的来执行的,实际操作中,要本着服务器正常应用与安全尽量化两者同时兼并的标准来进行。
组件安全:一、禁止使用FileSystemObject组件FileSystemObject可以对文件进行常规操作以及进行各种存在安全隐患的操作,可以通过修改注册表,将此组件改名,来防止利用FSO组件的ASP木马的危害。
步骤1:HKEY_CLASSES_ROOT\Scripting.FileSystemObject\ 名为其它的名字,如:改为FileSystemObject_ChangeName,如果ASP程序必须使用这个组件,那么在代码中改相应的名称步骤2:将clsid值也改一下,HKEY_CLASSES_ROOT\Scripting.FileSystemObject\CLSID\项目的值,也可以将其删除,来防止此类木马的危害。
步骤3:将此组件注销:RegSVR32 /u C:\WINDOWS\SYSTEM32\scrrun.dll步骤4:禁止Guest用户使用FSO组件文件:scrrun.dll,命令:cacls C:\WINDOWS\system32\scrrun.dll /e /d guests注意:部分流行网站程序中的功能可能会用到FSO组件,在一般情况下,请修改ASP程序文件中对应的FSO名和clsid值为修改过后的服务器中的值。
(注:此组件的注销可能会影响到很多asp网站程序中部分功能的使用,例如上传等,如果必要,那么利用命令RegSVR32 C:\WINDOWS\SYSTEM32\scrrun.dll重新注册。
)二、禁止使用WScript.Shell组件WScript.Shell 可以调用系统内核运行DOS基本命令,可以通过修改注册表,将此组件改名,来防止此类木马的危害。
步骤1:HKEY_CLASSES_ROOT\WScript.Shell\及HKEY_CLASSES_ROOT\WScript.Shell.1\改名为其它的名字,如:改为WScript.Shell_ChangeName 或WScript.Shell.1_ChangeName,自己以后调用的时候使用这个就可以正常调用此组件了步骤2:将clsid值也改一下HKEY_CLASSES_ROOT\WScript.Shell\CLSID\项目的值和HKEY_CLASSES_ROOT \WScript.Shell.1\CLSID\项目的值也可以将其删除,来防止此类木马的危害。
注意:一般情况下,这个组件很少被网站程序应用到,但是如果要用,请修改ASP程序文件中对应的WSH名和clsid值为修改过后的服务器中的值。
三、禁止使用Shell.Application组件Shell.Application可以调用系统内核运行DOS基本命令,可以通过修改注册表,将此组件改名,来防止此类木马的危害。
步骤1:HKEY_CLASSES_ROOT\Shell.Application\及HKEY_CLASSES_ROOT\Shell.Application.1\ 改名为其它的名字,如:改为Shell.Application_ChangeName 或Shell.Application.1_ChangeName,自己以后调用的时候使用这个就可以正常调用此组件了步骤2:也要将clsid值也改一下,HKEY_CLASSES_ROOT\Shell.Application\CLSID\项目的值和HKEY_CLASSES_ROOT \Shell.Application\CLSID\项目的值,也可以将其删除,来防止此类木马的危害。
步骤3:注销Shell.Application组件文件:regsvr32/u C:\WINDOWS\system32\shell32.dll步骤4:禁止Guest用户使用shell32.dll来防止调用此组件:caclsC:\WINDOWS\system32\shell32.dll /e /d guests。
以上设置做完之后,重新启动服务器。
几个危险组件就彻底禁止掉了。
核对下它们是否禁止成功,可以用ASP探针aspcheck.asp来探测下组件安全性。
可以看到禁止掉的几个组件是叉号表示。
防范了大部分主流的ASP木马,当然一些偏门的asp木马仍然需要注意,这些偏门的ASP 木马:例如利用adodb.stream的木马等,这些基本上利用下面要讲解到的安全措施进行防范。
端口安全:可以使用TCP/IP的过滤或者Windows 2003自带防火墙来实现端口的安全,下面逐个讲解。
一、Windows 自带防火墙(Windows Firewall/Internet Connection Sharing (ICS))步骤1:网上邻居¡>(右键)属性¡>本地连接¡>(右键)属性¡>高级¡>(选中)Internet 连接防火墙¡>设置服务器上面要用到的服务端口选中例如:一台WEB服务器,要提供WEB(80)、FTP(21)服务及远程桌面管理(3389)在¡FTP 服务器¡、¡WEB服务器(HTTP)¡、¡远程桌面¡、¡安全WEB服务器¡前面打上对号如果你要提供服务的端口不在里面,你也可以点击¡添加¡铵钮来添加,SMTP和POP3根据需要打开具体参数可以参照系统里面原有的参数。
步骤2:然后点击确定。
注意:如果是远程管理这台服务器,请先确定远程管理的端口是否选中或添加。
一般需要打开的端口有:21、25、80、110、443、3389、等,根据需要开放需要的端口。
注意将TCP/IP端口里面的10001-10005(需要用算法计算,下面会讲解到此算法)设置进去,因为这是设置Serv-U的PASV模式使用的端口,当然也可以使用别的。
二、WindowsTCP/IP的过滤桌面上右击网上邻居--属性--双击打开外网网卡,选择Internet 协议(TCP/IP)--高级--切换到¡高级TCP/IP设置¡中的选项标签下,选择¡TCP/IP筛选¡,这里有三个过滤器,分别为:TCP端口、UDP端口和IP 协议,我们用TCP端口,将常用的端口添加进去。
除了常见的服务程序应用端口外,仍然需要注意的是Serv-u的随机端口的设置。
这个设置直接关系到用户访问FTP时是否会出现Socket错误。
这里需要计算Serv-u的随机端口列表。
参看下面¡注意¡中的随机端口计算。
注意:关于客户端软件出现Socket错误的几种可能的解决办法:1、将客户端软件的传输方式改为PASV方式2、根据Serv-u随机端口的算法,将计算出的随机端口列表添加到TCP/IP筛选中。
例如:客户端设置成被动方式,链接FTP服务器,会由于随机端口没有设置而出错,从软件中的出错信息中找到类似这样227 Entering Passive Mode (60,195,253,118,3,52)(格式:IP,m,n)找到它,我们利用公式计算出如果客户端用被动方式登录服务器时,服务器要动态开放的第一个端口值。
公式为m*256+n,上例中应该是3*256+52=820,所以把随机端口列表820-830添加进去。
注意:不要和已知存在的应用程序的端口冲突,例如mssql,mysql,termservice 等端口。
3、南北互联问题,这个问题的几率不大,没确切凭据。
三、端口与列表的进程关联查看经常使用Activex Ports,psport,TCPView等小工具查看服务器端口对应的进程,可以防止一些低级别的木马后门植入。
同时也要检查常见的启动项,低级别的木马也喜欢在这些地方加载达到随机启动,可以利用小工具msconfig查看。
Windows常见自带程序的安全设置:1、Tftp文件的修改入侵者在权限允许的情况下可能会使用小型文件传输协议进行后门木马等危险程序的上传,所以需要彻底禁止掉TFTP服务,服务器一般很少用到这个服务。
操作:用文本编辑工具打开%systemroot%\system32\drivers\etc下的service文件找到对应的tftp那一行,将69/udp 替换成0/udp。
保存退出2、禁用Guests组用户调用cmd.exe2003使用命令:cacls C:\WINDOWS\system32\Cmd.exe /e /d guests,同理,将上面的命令应用到如下进程:net.execmd.exetftp.exenetstat.exeregedit.exeat.exeattrib.execacls.exe:ACL用户组权限设置,此命令可以在NTFS下设置任何文件夹的任何权限netsh.exe(千万要注意这个程序,它可以修改网络属性以及windows自带防火墙设置,安全隐患大)3、彻底禁止telnet的的登陆在c:\windows\system32目录下有个login.cmd文件,将其用记事本打开,在文件末尾另取一行,加入exit保存。
这样用户在登陆telnet时,便会立即自动退出.远程终端安全:Termservices是Windows自带的远程管理程序,经常被入侵者利用。
所以在这部分的安全设置要尤其注重。
主要从端口,审核,日志,策略3个方面来加强它的安全1、端口值:将默认的3389改掉,改成一个很大的值,越大越好,因为入侵者可能利用某些工具探测终端端口,例如tsscan,设置的越大,越能起到拖延的作用。