- 浏览: 360844 次
- 性别:
- 来自: 新京
文章分类
最新评论
-
borners:
挺好,很恰当的举例
OOA/OOD/OOP的区别[转] -
Successful051:
不能用啊????用不了。
JD-GUI反编译代码中注释的批量替换 -
keren:
是linux环境,要dll干嘛呢?
Tomcat Native library was not found -
fdh_金色年华:
使用BufferedReader的readLine方法读取每一 ...
JD-GUI反编译代码中注释的批量替换 -
z582227655:
wangzi6hao 写道缓存问题.在firefox下,更为严 ...
日历控件jscalendar-1.0中文解决方法
安全的系统可以保证你的学习和工作安全放心.
这个阶段对WIN2003系统很感兴趣,在网上收集了一些信息,部分信息转载.
第一步: www.hackant.com
一、先关闭不需要的端口 www.hackant.com
我比较小心,先关了端口。只开了3389 21 80 1433(MYSQL)有些人一直说什么默认的3389不安全,对此我不否认,但是利用的途径也只能一个一个的穷举爆破,你把帐号改 www.hackant.com
www.hackant.com
了密码设置为十五六位,我估计他要破上好几年,哈哈!办法:本地连接--属性--Internet协议(TCP/IP)--高级--选项--TCP/IP筛选--属性--把勾打上 然后添加你需要的端口即可。PS一句:设置完端口需要重新启动! www.hackant.com
当然大家也可以更改远程连接端口方法: www.hackant.com
Windows Registry Editor Version 5.00 www.hackant.com
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp] www.hackant.com
"PortNumber"=dword:00002683 www.hackant.com
保存为.REG文件双击即可!更改为9859,当然大家也可以换别的端口, 直接打开以上注册表的地址,把值改为十进制的输入你想要的端口即可!重启生效! www.hackant.com
还有一点,在2003系统里,用TCP/IP筛选里的端口过滤功能,使用FTP服务器的时候,只开放21端口,在进行FTP传输的时候,FTP 特有的Port模式和Passive模式,在进行数据传输的时候,需要动态的打开高端口,所以在使用TCP/IP过滤的情况下,经常会出现连接上后无法列出目录和数据传输的问题。所以在2003系统上增加的windows连接防火墙能很好的解决这个问题,所以都不推荐使用网卡的TCP/IP过滤功能。所做FTP下载的用户看仔细点,表怪俺说俺写文章是垃圾...如果要关闭不必要的端口,在\\system32\\drivers\\etc\\services中有列表,记事本就可以打开的。如果懒惰的话,最简单的方法是启用WIN2003的自身带的网络防火墙,并进行端口的改变。功能还可以!Internet 连接防火墙可以有效地拦截对Windows 2003服务器的非法入侵,防止非法远程主机对服务器的扫描,提高Windows 2003服务器的安全性。同时,也可以有效拦截利用操作系统漏洞进行端口攻击的病毒,如冲击波等蠕虫病毒。如果在用Windows 2003构造的虚拟路由器上启用此防火墙功能,能够对整个内部网络起到很好的保护作用。 www.hackant.com
二、关闭不需要的服务 打开相应的审核策略 www.hackant.com
我关闭了以下的服务 www.hackant.com
Computer Browser 维护网络上计算机的最新列表以及提供这个列表 www.hackant.com
Task scheduler 允许程序在指定时间运行 www.hackant.com
Routing and Remote Access 在局域网以及广域网环境中为企业提供路由服务 www.hackant.com
Removable storage 管理可移动媒体、驱动程序和库 www.hackant.com
Remote Registry Service 允许远程注册表操作 www.hackant.com
Print Spooler 将文件加载到内存中以便以后打印。要用打印机的朋友不能禁用这项 www.hackant.com
IPSEC Policy Agent 管理IP安全策略以及启动ISAKMP/OakleyIKE)和IP安全驱动程序 www.hackant.com
Distributed Link Tracking Client 当文件在网络域的NTFS卷中移动时发送通知 www.hackant.com
Com+ Event System 提供事件的自动发布到订阅COM组件 www.hackant.com
Alerter 通知选定的用户和计算机管理警报 www.hackant.com
Error Reporting Service 收集、存储和向 Microsoft 报告异常应用程序 www.hackant.com
Messenger 传输客户端和服务器之间的 NET SEND 和 警报器服务消息 www.hackant.com
Telnet 允许远程用户登录到此计算机并运行程序 www.hackant.com
把不必要的服务都禁止掉,尽管这些不一定能被攻击者利用得上,但是按照安全规则和标准上来说,多余的东西就没必要开启,减少一份隐患。 www.hackant.com
在"网络连接"里,把不需要的协议和服务都删掉,这里只安装了基本的Internet协议(TCP/IP),由于要控制带宽流量服务,额外安装了Qos数据包计划程序。在高级tcp/ip设置里--"NetBIOS"设置"禁用tcp/IP上的NetBIOS(S)"。在高级选项里,使用"Internet连接防火墙",这是windows 2003 自带的防火墙,在2000系统里没有的功能,虽然没什么功能,但可以屏蔽端口,这样已经基本达到了一个IPSec的功能。 www.hackant.com
在运行中输入gpedit.msc回车,打开组策略编辑器,选择计算机配置-Windows设置-安全设置-审核策略在创建审核项目时需要注意的是如果审核的项目太多,生成的事件也就越多,那么要想发现严重的事件也越难当然如果审核的太少也会影响你发现严重的事件,你需要根据情况在这二者之间做出选择。 www.hackant.com
推荐的要审核的项目是: www.hackant.com
登录事件 成功 失败 www.hackant.com
账户登录事件 成功 失败 www.hackant.com
系统事件 成功 失败 www.hackant.com
策略更改 成功 失败 www.hackant.com
对象访问 失败 www.hackant.com
目录服务访问 失败 www.hackant.com
特权使用 失败 www.hackant.com
三、磁盘权限设置 www.hackant.com
1.系统盘权限设置 www.hackant.com
C:分区部分: www.hackant.com
c:\ www.hackant.com
administrators 全部(该文件夹,子文件夹及文件) www.hackant.com
CREATOR OWNER 全部(只有子文件来及文件) www.hackant.com
system 全部(该文件夹,子文件夹及文件) www.hackant.com
IIS_WPG 创建文件/写入数据(只有该文件夹) www.hackant.com
IIS_WPG(该文件夹,子文件夹及文件) www.hackant.com
遍历文件夹/运行文件 www.hackant.com
列出文件夹/读取数据 www.hackant.com
读取属性 www.hackant.com
创建文件夹/附加数据 www.hackant.com
读取权限 www.hackant.com
c:\Documents and Settings www.hackant.com
administrators 全部(该文件夹,子文件夹及文件) www.hackant.com
Power Users (该文件夹,子文件夹及文件) www.hackant.com
读取和运行 www.hackant.com
列出文件夹目录 www.hackant.com
读取 www.hackant.com
SYSTEM全部(该文件夹,子文件夹及文件) www.hackant.com
C:\Program Files www.hackant.com
administrators 全部(该文件夹,子文件夹及文件) www.hackant.com
CREATOR OWNER全部(只有子文件来及文件) www.hackant.com
IIS_WPG (该文件夹,子文件夹及文件) www.hackant.com
读取和运行 www.hackant.com
列出文件夹目录 www.hackant.com
读取 www.hackant.com
Power Users(该文件夹,子文件夹及文件) www.hackant.com
修改权限 www.hackant.com
SYSTEM全部(该文件夹,子文件夹及文件) www.hackant.com
TERMINAL SERVER USER (该文件夹,子文件夹及文件) www.hackant.com
修改权限 www.hackant.com
2.网站及虚拟机权限设置(比如网站在E盘) www.hackant.com
说明:我们假设网站全部在E盘wwwsite目录下,并且为每一个虚拟机创建了一个guest用户,用户名为vhost1...vhostn并且创建了一个webuser组,把所有的vhost用户全部加入这个webuser组里面方便管理。 www.hackant.com
E:\ www.hackant.com
Administrators全部(该文件夹,子文件夹及文件) www.hackant.com
E:\wwwsite www.hackant.com
Administrators全部(该文件夹,子文件夹及文件) www.hackant.com
system全部(该文件夹,子文件夹及文件) www.hackant.com
service全部(该文件夹,子文件夹及文件) www.hackant.com
E:\wwwsite\vhost1 www.hackant.com
Administrators全部(该文件夹,子文件夹及文件) www.hackant.com
system全部(该文件夹,子文件夹及文件) www.hackant.com
vhost1全部(该文件夹,子文件夹及文件) www.hackant.com
3.数据备份盘 www.hackant.com
数据备份盘最好只指定一个特定的用户对它有完全操作的权限。比如F盘为数据备份盘,我们只指定一个管理员对它有完全操作的权限。 www.hackant.com
4.其它地方的权限设置 www.hackant.com
请找到c盘的这些文件,把安全性设置只有特定的管理员有完全操作权限。 www.hackant.com
下列这些文件只允许administrators访问 www.hackant.com
net.exe www.hackant.com
net1.exet www.hackant.com
cmd.exe www.hackant.com
tftp.exe www.hackant.com
netstat.exe www.hackant.com
regedit.exe www.hackant.com
at.exe www.hackant.com
attrib.exe www.hackant.com
cacls.exe www.hackant.com
format.com www.hackant.com
5.删除c:\inetpub目录,删除iis不必要的映射,建立陷阱帐号,更改描述。 www.hackant.com
四、防火墙、杀毒软件的安装 www.hackant.com
我见过的Win2000/Nt服务器从来没有见到有安装了防毒软件的,其实这一点非常重要。一些好的杀毒软件不仅能杀掉一些著名的病毒,还能查杀大量木马和后门程序。这样的话,“黑客”们使用的那些有名的木马就毫无用武之地了。不要忘了经常升级病毒库,我们推荐mcafree杀毒软件+blackice防火墙 www.hackant.com
五、SQL2000 SERV-U FTP安全设置 www.hackant.com
SQL安全方面 www.hackant.com
1.System Administrators 角色最好不要超过两个 www.hackant.com
2.如果是在本机最好将身份验证配置为Win登陆 www.hackant.com
3.不要使用Sa账户,为其配置一个超级复杂的密码 www.hackant.com
4.删除以下的扩展存储过程格式为: www.hackant.com
use master www.hackant.com
sp_dropextendedproc '扩展存储过程名' www.hackant.com
xp_cmdshell:是进入操作系统的最佳捷径,删除 www.hackant.com
访问注册表的存储过程,删除 www.hackant.com
Xp_regaddmultistring Xp_regdeletekey Xp_regdeletevalue Xp_regenumvalues www.hackant.com
Xp_regread Xp_regwrite Xp_regremovemultistring www.hackant.com
OLE自动存储过程,不需要删除 www.hackant.com
Sp_OACreate Sp_OADestroy Sp_OAGetErrorInfo Sp_OAGetProperty www.hackant.com
Sp_OAMethod Sp_OASetProperty Sp_OAStop www.hackant.com
5.隐藏 SQL Server、更改默认的1433端口 www.hackant.com
右击实例选属性-常规-网络配置中选择TCP/IP协议的属性,选择隐藏 SQL Server 实例,并改原默认的1433端口 www.hackant.com
serv-u的几点常规安全需要设置下: www.hackant.com
选中"Block "FTP_bounce"attack and FXP"。什么是FXP呢?通常,当使用FTP协议进行文件传输时,客户端首先向FTP服务器发出一个"PORT"命令,该命令中包含此用户的IP地址和将被用来进行数据传输的端口号,服务器收到后,利用命令所提供的用户地址信息建立与用户的连接。大多数情况下,上述过程不会出现任何问题,但当客户端是一名恶意用户时,可能会通过在PORT命令中加入特定的地址信息,使FTP服务器与其它非客户端的机器建立连接。虽然这名恶意用户可能本身无权直接访问某一特定机器,但是如果FTP服务器有权访问该机器的话,那么恶意用户就可以通过FTP服务器作为中介,仍然能够最终实现与目标服务器的连接。这就是FXP,也称跨服务器攻击。选中后就可以防止发生此种情况。 www.hackant.com
六、IIS安全设置 www.hackant.com
IIS的相关设置: www.hackant.com
删除默认建立的站点的虚拟目录,停止默认web站点,删除对应的文件目录c:inetpub,配置所有站点的公共设置,设置好相关的连接数限制,带宽设置以及性能设置等其他设置。配置应用程序映射,删除所有不必要的应用程序扩展,只保留asp,php,cgi,pl,aspx应用程序扩展。对于php和cgi,推荐使用isapi方式解析,用exe解析对安全和性能有所影响。用户程序调试设置发送文本错误信息给户。对于数据库,尽量采用mdb后缀,不需要更改为asp,可在IIS中设置一个mdb的扩展映射,将这个映射使用一个无关的dll文件如C:WINNTsystem32inetsrvssinc.dll来防止数据库被下载。设置IIS的日志保存目录,调整日志记录信息。设置为发送文本错误信息。修改403错误页面,将其转向到其他页,可防止一些扫描器的探测。另外为隐藏系统信息,防止telnet到80端口所泄露的系统版本信息可修改IIS的banner信息,可以使用winhex手工修改或者使用相关软件如banneredit修改。 www.hackant.com
对于用户站点所在的目录,在此说明一下,用户的FTP根目录下对应三个文件佳,wwwroot,database,logfiles,分别存放站点文件,数据库备份和该站点的日志。如果一旦发生入侵事件可对该用户站点所在目录设置具体的权限,图片所在的目录只给予列目录的权限,程序所在目录如果不需要生成文件(如生成html的程序)不给予写入权限。因为是虚拟主机平常对脚本安全没办法做到细致入微的地步,更多的只能在方法用户从脚本提升权限: www.hackant.com
ASP的安全设置: www.hackant.com
设置过权限和服务之后,防范asp木马还需要做以下工作,在cmd窗口运行以下命令: www.hackant.com
regsvr32/u C:\WINNT\System32\wshom.ocx www.hackant.com
del C:\WINNT\System32\wshom.ocx www.hackant.com
regsvr32/u C:\WINNT\system32\shell32.dll www.hackant.com
del C:\WINNT\system32\shell32.dll www.hackant.com
即可将WScript.Shell, Shell.application, WScript.Network组件卸载,可有效防止asp木马通过wscript或shell.application执行命令以及使用木马查看一些系统敏感信息。另法:可取消以上文件的users用户的权限,重新启动IIS即可生效。但不推荐该方法。 www.hackant.com
另外,对于FSO由于用户程序需要使用,服务器上可以不注销掉该组件,这里只提一下FSO的防范,但并不需要在自动开通空间的虚拟商服务器上使用,只适合于手工开通的站点。可以针对需要FSO和不需要FSO的站点设置两个组,对于需要FSO的用户组给予c:winntsystem32scrrun.dll文件的执行权限,不需要的不给权限。重新启动服务器即可生效。 www.hackant.com
对于这样的设置结合上面的权限设置,你会发现海阳木马已经在这里失去了作用! www.hackant.com
PHP的安全设置: www.hackant.com
默认安装的php需要有以下几个注意的问题: www.hackant.com
C:\winnt\php.ini只给予users读权限即可。在php.ini里需要做如下设置: www.hackant.com
Safe_mode=on www.hackant.com
register_globals = Off www.hackant.com
allow_url_fopen = Off www.hackant.com
display_errors = Off www.hackant.com
magic_quotes_gpc = On [默认是on,但需检查一遍] www.hackant.com
open_basedir =web目录 www.hackant.com
disable_functions =passthru,exec,shell_exec,system,phpinfo,get_cfg_var,popen,chmod www.hackant.com
默认设置com.allow_dcom = true修改为false[修改前要取消掉前面的;] www.hackant.com
MySQL安全设置: www.hackant.com
如果服务器上启用MySQL数据库,MySQL数据库需要注意的安全设置为: www.hackant.com
删除mysql中的所有默认用户,只保留本地root帐户,为root用户加上一个复杂的密码。赋予普通用户updatedeletealertcreatedrop权限的时候,并限定到特定的数据库,尤其要避免普通客户拥有对mysql数据库操作的权限。检查mysql.user表,取消不必要用户的shutdown_priv,relo www.hackant.com
ad_priv,process_priv和File_priv权限,这些权限可能泄漏更多的服务器信息包括非mysql的其它信息出去。可以为mysql设置一个启动用户,该用户只对mysql目录有权限。设置安装目录的data数据库的权限(此目录存放了mysql数据库的数据信息)。对于mysql安装目录给users加上读取、列目录和执行权限。 www.hackant.com
Serv-u安全问题: www.hackant.com
安装程序尽量采用最新版本,避免采用默认安装目录,设置好serv-u目录所在的权限,设置一个复杂的管理员密码。修改serv-u的banner信息,设置被动模式端口范围(4001—4003)在本地服务器中设置中做好相关安全设置:包括检查匿名密码,禁用反超时调度,拦截“FTP bounce”攻击和FXP,对于在30秒内连接超过3次的用户拦截10分钟。域中的设置为:要求复杂密码,目录只使用小写字母,高级中设置取消允许使用MDTM命令更改文件的日期。 www.hackant.com
更改serv-u的启动用户:在系统中新建一个用户,设置一个复杂点的密码,不属于任何组。将servu的安装目录给予该用户完全控制权限。建立一个FTP根目录,需要给予这个用户该目录完全控制权限,因为所有的ftp用户上传,删除,更改文件都是继承了该用户的权限,否则无法操作文件。另外需要给该目录以上的上级目录给该用户的读取权限,否则会在连接的时候出现530 Not logged in, home directory does not exist.比如在测试的时候ftp根目录为d:soft,必须给d盘该用户的读取权限,为了安全取消d盘其他文件夹的继承权限。而一般的使用默认的system启动就没有这些问题,因为system一般都拥有这些权限的。 www.hackant.com
七、其它 www.hackant.com
1.隐藏重要文件/目录可以修改注册表实现完全隐藏:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\ Current-Version\Explorer\Advanced\Folder\Hi-dden\SHOWALL”,鼠标右击 “CheckedValue”,选择修改,把数值由1改为0 www.hackant.com
2.启动系统自带的Internet连接防火墙,在设置服务选项中勾选Web服务器; www.hackant.com
3.防止SYN洪水攻击: www.hackant.com
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters www.hackant.com
新建DWORD值,名为SynAttackProtect,值为2 www.hackant.com
EnablePMTUDiscovery REG_DWORD 0 www.hackant.com
NoNameReleaseOnDemand REG_DWORD 1 www.hackant.com
EnableDeadGWDetect REG_DWORD 0 www.hackant.com
KeepAliveTime REG_DWORD 300,000 www.hackant.com
PerformRouterDiscovery REG_DWORD 0 www.hackant.com
EnableICMPRedirects REG_DWORD 0 www.hackant.com
4. 禁止响应ICMP路由通告报文: www.hackant.com
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\interface www.hackant.com
新建DWORD值,名为PerformRouterDiscovery 值为0 www.hackant.com
5. 防止ICMP重定向报文的攻击: www.hackant.com
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters www.hackant.com
将EnableICMPRedirects 值设为0 www.hackant.com
6. 不支持IGMP协议: www.hackant.com
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters www.hackant.com
新建DWORD值,名为IGMPLevel 值为0 www.hackant.com
7.修改终端服务端口: www.hackant.com
运行regedit,找到[HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Control \ Terminal Server \ Wds \ rdpwd \ Tds \ tcp],看到右边的PortNumber了吗?在十进制状态下改成你想要的端口号吧,比如7126之类的,只要不与其它冲突即可。 www.hackant.com
第二处HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Control \ Terminal Server \ WinStations \ RDP-Tcp,方法同上,记得改的端口号和上面改的一样就行了。 www.hackant.com
8.禁止IPC空连接: www.hackant.com
cracker可以利用net use命令建立空连接,进而入侵,还有net view,nbtstat这些都是基于空连接的,禁止空连接就好了。打开注册表,找到Local_Machine\System\CurrentControlSet\Control\LSA-RestrictAnonymous 把这个值改成”1”即可。 www.hackant.com
9.更改TTL值: www.hackant.com
cracker可以根据ping回的TTL值来大致判断你的操作系统,如: www.hackant.com
TTL=107(WINNT); www.hackant.com
TTL=108(win2000); www.hackant.com
TTL=127或128(win9x); www.hackant.com
TTL=240或241(linux); www.hackant.com
TTL=252(solaris); www.hackant.com
TTL=240(Irix); www.hackant.com
实际上你可以自己更改的: www.hackant.com
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters:DefaultTTL REG_DWORD 0-0xff(0-255 十进制,默认值128)改成一个莫名其妙的数字如258,起码让那些小菜鸟晕上半天,就此放弃入侵你也不一定哦。 www.hackant.com
10. 删除默认共享: www.hackant.com
有人问过我一开机就共享所有盘,改回来以后,重启又变成了共享是怎么回事,这是2K为管理而设置的默认共享,必须通过修改注册表的方式取消它:HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters:AutoShareServer类型是REG_DWORD把值改为0即可 www.hackant.com
11. 禁止建立空连接: www.hackant.com
默认情况下,任何用户通过通过空连接连上服务器,进而枚举出帐号,猜测密码。我们可以通过修改注册表来禁止建立空连接: www.hackant.com
Local_Machine\System\CurrentControlSet\Control\LSA-RestrictAnonymous 的值改成”1”即可。 www.hackant.com
12.禁用TCP/IP上的NetBIOS www.hackant.com
网上邻居-属性-本地连接-属性-Internet协议(TCP/IP)属性-高级-WINS面板-NetBIOS设置-禁用TCP/IP上的NetBIOS。这样cracker就无法用nbtstat命令来读取你的NetBIOS信息和网卡MAC地址了。 www.hackant.com
13. 账户安全 www.hackant.com
首先禁止一切账户,除了你自己,呵呵。然后把Administrator改名。我呢就顺手又建了个Administrator账户,不过是什么权限都没有的那种,然后打开记事本,一阵乱敲,复制,粘贴到“密码”里去,呵呵,来破密码吧~!破完了才发现是个低级账户,看你崩溃不? www.hackant.com
创建2个管理员用帐号 www.hackant.com
虽然这点看上去和上面这点有些矛盾,但事实上是服从上面的规则的。 创建一个一般权限帐号用来收信以及处理一些日常事物,另一个拥有Administrators 权限的帐户只在需要的时候使用。可以让管理员使用 “ RunAS” 命令来执行一些需要特权才能作的一些工作,以方便管理 www.hackant.com
14.更改C:\WINDOWS\Help\iisHelp\common\404b.htm内容改为这样,出错了自动转到首页。 www.hackant.com
15.本地安全策略和组策略的设置,如果你在设置本地安全策略时设置错了,可以这样恢复成它的默认值 www.hackant.com
打开 %SystemRoot%\Security文件夹,创建一个 "OldSecurity"子目录,将%SystemRoot%\Security下所有的.log文件移到这个新建的子文件夹中 www.hackant.com
在%SystemRoot%\Security\database\下找到"Secedit.sdb"安全数据库并将其改名,如改为"Secedit.old" www.hackant.com
启动"安全配置和分析"MMC管理单元:"开始"->"运行"->"MMC",启动管理控制台,"添加/删除管理单元",将"安全配置和分析"管理单元添加上 www.hackant.com
右击"安全配置和分析"->"打开数据库",浏览"C:\WINNT\security\Database"文件夹,输入文件名"secedit.sdb",单击"打开" www.hackant.com
当系统提示输入一个模板时,选择"Setup Security.inf",单击"打开",如果系统提示"拒绝访问数据库",不管他,你会发现在"C:\WINNT\security\Database"子文件夹中重新生成了新的安全数据库,在"C:\WINNT\security"子文件夹下重新生成了log文件,安全数据库重建成功。 www.hackant.com
16.禁用DCOM: www.hackant.com
运行中输入 Dcomcnfg.exe。 回车, 单击“控制台根节点”下的“组件服务”。 打开“计算机”子文件夹。对于本地计算机,请以右键单击“我的电脑”,然后选择“属性”。选择“默认属性”选项卡。清除“在这台计算机上启用分布式 COM”复选框。 www.hackant.com
www.hackant.com
www.hackant.com
www.hackant.com
第二步: www.hackant.com
尽管Windows 2003的功能在不断增强,但是由于先天性的原因,它还存在不少安全隐患,要是不将这些隐患“堵住”,可能会给整个系统带来不必要的麻烦;下面笔者就介绍Windows2003中不常见的安全隐患的防堵方法,希望能对各位带来帮助! www.hackant.com
堵住自动保存隐患 www.hackant.com
www.hackant.com
Windows 2003操作系统在调用应用程序出错时,系统中的Dr. Watson会自动将一些重要的调试信息保存起来,以便日后维护系统时查看,不过这些信息很有可能被黑客“瞄上”,一旦瞄上的话,各种重要的调试信息就会暴露无疑,为了堵住Dr. Watson自动保存调试信息的隐患,我们可以按如下步骤来实现: www.hackant.com
www.hackant.com
1、打开开始菜单,选中“运行”命令,在随后打开的运行对话框中,输入注册表编辑命令“ergedit”命令,打开一个注册表编辑窗口; www.hackant.com
www.hackant.com
2、在该窗口中,用鼠标依次展开HKEY_local_machine\software\Microsoft\WindowsdowsNT\CurrentVersion\AeDebug分支,在对应AeDebug键值的右边子窗口中,用鼠标双击Auto值,在弹出的参数设置窗口中,将其数值重新设置为“0”, www.hackant.com
www.hackant.com
3、打开系统的Windows资源管理器窗口,并在其中依次展开Documents and Settings文件夹、All Users文件夹、Shared Documents文件夹、DrWatson文件夹,最后将对应DrWatson中的User.dmp文件、Drwtsn32.log文件删除掉。 www.hackant.com
www.hackant.com
完成上面的设置后,重新启动一下系统,就可以堵住自动保存隐患了。 www.hackant.com
www.hackant.com
堵住资源共享隐患 www.hackant.com
www.hackant.com
为了给局域网用户相互之间传输信息带来方便,Windows Server 2003系统很是“善解人意”地为各位提供了文件和打印共享功能,不过我们在享受该功能带来便利的同时,共享功能也会“引狼入室”,“大度”地向黑客们敞开了不少漏洞,给服务器系统造成了很大的不安全性;所以,在用完文件或打印共享功能时,大家千万要随时将功能关闭哟,以便堵住资源共享隐患,下面就是关闭共享功能的具体步骤: www.hackant.com
www.hackant.com
1、执行控制面板菜单项下面的“网络连接”命令,在随后出现的窗口中,用鼠标右键单击一下“本地连接”图标; www.hackant.com
www.hackant.com
2、在打开的快捷菜单中,单击“属性”命令,这样就能打开一个“Internet协议(TCP/IP)”属性设置对话框; www.hackant.com
www.hackant.com
3、在该界面中取消“Microsoft网络的文件和打印机共享”这个选项; www.hackant.com
www.hackant.com
4、如此一来,本地计算机就没有办法对外提供文件与打印共享服务了,这样黑客自然也就少了攻击系统的“通道”。 www.hackant.com
www.hackant.com
堵住远程访问隐患 www.hackant.com
www.hackant.com
在Windows2003系统下,要进行远程网络访问连接时,该系统下的远程桌面功能可以将进行网络连接时输入的用户名以及密码,通过普通明文内容方式传输给对应连接端的客户端程序;在明文帐号传输过程中,实现“安插”在网络通道上的各种嗅探工具,会自动进入“嗅探”状态,这个明文帐号就很容易被“俘虏”了;明文帐号内容一旦被黑客或其他攻击者另谋他用的话,呵呵,小心自己的系统被“疯狂”攻击吧!为了杜绝这种安全隐患,我们可以按下面的方法来为系统“加固”: www.hackant.com
www.hackant.com
1、点击系统桌面上的“开始”按钮,打开开始菜单; www.hackant.com
www.hackant.com
2、从中执行控制面板命令,从弹出的下拉菜单中,选中“系统”命令,打开一个系统属性设置界面; www.hackant.com
www.hackant.com
3、在该界面中,用鼠标单击“远程”标签; www.hackant.com
www.hackant.com
4、在随后出现的标签页面中,将“允许用户远程连接到这台计算机”选项取消掉,这样就可以将远程访问连接功能屏蔽掉,从而堵住远程访问隐患了。 www.hackant.com
www.hackant.com
堵住用户切换隐患 www.hackant.com
www.hackant.com
Windows 2003系统为我们提供了快速用户切换功能,利用该功能我们可以很轻松地登录到系统中;不过在享受这种轻松时,系统也存在安装隐患,例如我们要是执行系统“开始”菜单中的“注销”命令来,快速“切换用户”时,再用传统的方式来登录系统的话,系统很有可能会本次登录,错误地当作是对计算机系统的一次暴力“袭击”,这样Windows2003系统就可能将当前登录的帐号当作非法帐号,将它锁定起来,这显然不是我们所需要的;不过,我们可以按如下步骤来堵住用户切换时,产生的安全隐患: www.hackant.com
www.hackant.com
在Windows 2003系统桌面中,打开开始菜单下面的控制面板命令,找到下面的“管理工具”命令,再执行下级菜单中的“计算机管理”命令,找到“用户帐户”图标,并在随后出现的窗口中单击“更改用户登录或注销的方式”;在打开的设置窗口中,将“使用快速用户切换”选项取消掉就可以了。 www.hackant.com
www.hackant.com
堵住页面交换隐患 www.hackant.com
www.hackant.com
Windows 2003操作系统即使在正常工作的情况下,也有可能会向黑客或者其他访问者泄漏重要的机密信息,特别是一些重要的帐号信息。也许我们永远不会想到要查看一下,那些可能会泄漏隐私信息的文件,不过黑客对它们倒是很关心的哟!Windows 2003操作系统中的页面交换文件中,其实就隐藏了不少重要隐私信息,这些信息都是在动态中产生的,要是不及时将它们清除,就很有可能成为黑客的入侵突破口;为此,我们必须按照下面的方法,来让Windows 2003操作系统在关闭系统时,自动将系统工作时产生的页面文件全部删除掉: www.hackant.com
www.hackant.com
1、在Windows 2003的“开始”菜单中,执行“运行”命令,打开运行对话框,并在其中输入“Regedit”命令,来打开注册表窗口; www.hackant.com
www.hackant.com
2、在该窗口的左边区域中,用鼠标依次单击HKEY_local_machine\system\currentcontrolset\control\sessionmanager\memory management键值,找到右边区域中的ClearPageFileAtShutdown键值,并用鼠标双击之,在随后打开的数值设置窗口中,将该DWORD值重新修改为“1”; www.hackant.com
www.hackant.com
3、完成设置后,退出注册表编辑窗口,并重新启动计算机系统,就能让上面的设置生效了。
这个阶段对WIN2003系统很感兴趣,在网上收集了一些信息,部分信息转载.
第一步: www.hackant.com
一、先关闭不需要的端口 www.hackant.com
我比较小心,先关了端口。只开了3389 21 80 1433(MYSQL)有些人一直说什么默认的3389不安全,对此我不否认,但是利用的途径也只能一个一个的穷举爆破,你把帐号改 www.hackant.com
www.hackant.com
了密码设置为十五六位,我估计他要破上好几年,哈哈!办法:本地连接--属性--Internet协议(TCP/IP)--高级--选项--TCP/IP筛选--属性--把勾打上 然后添加你需要的端口即可。PS一句:设置完端口需要重新启动! www.hackant.com
当然大家也可以更改远程连接端口方法: www.hackant.com
Windows Registry Editor Version 5.00 www.hackant.com
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp] www.hackant.com
"PortNumber"=dword:00002683 www.hackant.com
保存为.REG文件双击即可!更改为9859,当然大家也可以换别的端口, 直接打开以上注册表的地址,把值改为十进制的输入你想要的端口即可!重启生效! www.hackant.com
还有一点,在2003系统里,用TCP/IP筛选里的端口过滤功能,使用FTP服务器的时候,只开放21端口,在进行FTP传输的时候,FTP 特有的Port模式和Passive模式,在进行数据传输的时候,需要动态的打开高端口,所以在使用TCP/IP过滤的情况下,经常会出现连接上后无法列出目录和数据传输的问题。所以在2003系统上增加的windows连接防火墙能很好的解决这个问题,所以都不推荐使用网卡的TCP/IP过滤功能。所做FTP下载的用户看仔细点,表怪俺说俺写文章是垃圾...如果要关闭不必要的端口,在\\system32\\drivers\\etc\\services中有列表,记事本就可以打开的。如果懒惰的话,最简单的方法是启用WIN2003的自身带的网络防火墙,并进行端口的改变。功能还可以!Internet 连接防火墙可以有效地拦截对Windows 2003服务器的非法入侵,防止非法远程主机对服务器的扫描,提高Windows 2003服务器的安全性。同时,也可以有效拦截利用操作系统漏洞进行端口攻击的病毒,如冲击波等蠕虫病毒。如果在用Windows 2003构造的虚拟路由器上启用此防火墙功能,能够对整个内部网络起到很好的保护作用。 www.hackant.com
二、关闭不需要的服务 打开相应的审核策略 www.hackant.com
我关闭了以下的服务 www.hackant.com
Computer Browser 维护网络上计算机的最新列表以及提供这个列表 www.hackant.com
Task scheduler 允许程序在指定时间运行 www.hackant.com
Routing and Remote Access 在局域网以及广域网环境中为企业提供路由服务 www.hackant.com
Removable storage 管理可移动媒体、驱动程序和库 www.hackant.com
Remote Registry Service 允许远程注册表操作 www.hackant.com
Print Spooler 将文件加载到内存中以便以后打印。要用打印机的朋友不能禁用这项 www.hackant.com
IPSEC Policy Agent 管理IP安全策略以及启动ISAKMP/OakleyIKE)和IP安全驱动程序 www.hackant.com
Distributed Link Tracking Client 当文件在网络域的NTFS卷中移动时发送通知 www.hackant.com
Com+ Event System 提供事件的自动发布到订阅COM组件 www.hackant.com
Alerter 通知选定的用户和计算机管理警报 www.hackant.com
Error Reporting Service 收集、存储和向 Microsoft 报告异常应用程序 www.hackant.com
Messenger 传输客户端和服务器之间的 NET SEND 和 警报器服务消息 www.hackant.com
Telnet 允许远程用户登录到此计算机并运行程序 www.hackant.com
把不必要的服务都禁止掉,尽管这些不一定能被攻击者利用得上,但是按照安全规则和标准上来说,多余的东西就没必要开启,减少一份隐患。 www.hackant.com
在"网络连接"里,把不需要的协议和服务都删掉,这里只安装了基本的Internet协议(TCP/IP),由于要控制带宽流量服务,额外安装了Qos数据包计划程序。在高级tcp/ip设置里--"NetBIOS"设置"禁用tcp/IP上的NetBIOS(S)"。在高级选项里,使用"Internet连接防火墙",这是windows 2003 自带的防火墙,在2000系统里没有的功能,虽然没什么功能,但可以屏蔽端口,这样已经基本达到了一个IPSec的功能。 www.hackant.com
在运行中输入gpedit.msc回车,打开组策略编辑器,选择计算机配置-Windows设置-安全设置-审核策略在创建审核项目时需要注意的是如果审核的项目太多,生成的事件也就越多,那么要想发现严重的事件也越难当然如果审核的太少也会影响你发现严重的事件,你需要根据情况在这二者之间做出选择。 www.hackant.com
推荐的要审核的项目是: www.hackant.com
登录事件 成功 失败 www.hackant.com
账户登录事件 成功 失败 www.hackant.com
系统事件 成功 失败 www.hackant.com
策略更改 成功 失败 www.hackant.com
对象访问 失败 www.hackant.com
目录服务访问 失败 www.hackant.com
特权使用 失败 www.hackant.com
三、磁盘权限设置 www.hackant.com
1.系统盘权限设置 www.hackant.com
C:分区部分: www.hackant.com
c:\ www.hackant.com
administrators 全部(该文件夹,子文件夹及文件) www.hackant.com
CREATOR OWNER 全部(只有子文件来及文件) www.hackant.com
system 全部(该文件夹,子文件夹及文件) www.hackant.com
IIS_WPG 创建文件/写入数据(只有该文件夹) www.hackant.com
IIS_WPG(该文件夹,子文件夹及文件) www.hackant.com
遍历文件夹/运行文件 www.hackant.com
列出文件夹/读取数据 www.hackant.com
读取属性 www.hackant.com
创建文件夹/附加数据 www.hackant.com
读取权限 www.hackant.com
c:\Documents and Settings www.hackant.com
administrators 全部(该文件夹,子文件夹及文件) www.hackant.com
Power Users (该文件夹,子文件夹及文件) www.hackant.com
读取和运行 www.hackant.com
列出文件夹目录 www.hackant.com
读取 www.hackant.com
SYSTEM全部(该文件夹,子文件夹及文件) www.hackant.com
C:\Program Files www.hackant.com
administrators 全部(该文件夹,子文件夹及文件) www.hackant.com
CREATOR OWNER全部(只有子文件来及文件) www.hackant.com
IIS_WPG (该文件夹,子文件夹及文件) www.hackant.com
读取和运行 www.hackant.com
列出文件夹目录 www.hackant.com
读取 www.hackant.com
Power Users(该文件夹,子文件夹及文件) www.hackant.com
修改权限 www.hackant.com
SYSTEM全部(该文件夹,子文件夹及文件) www.hackant.com
TERMINAL SERVER USER (该文件夹,子文件夹及文件) www.hackant.com
修改权限 www.hackant.com
2.网站及虚拟机权限设置(比如网站在E盘) www.hackant.com
说明:我们假设网站全部在E盘wwwsite目录下,并且为每一个虚拟机创建了一个guest用户,用户名为vhost1...vhostn并且创建了一个webuser组,把所有的vhost用户全部加入这个webuser组里面方便管理。 www.hackant.com
E:\ www.hackant.com
Administrators全部(该文件夹,子文件夹及文件) www.hackant.com
E:\wwwsite www.hackant.com
Administrators全部(该文件夹,子文件夹及文件) www.hackant.com
system全部(该文件夹,子文件夹及文件) www.hackant.com
service全部(该文件夹,子文件夹及文件) www.hackant.com
E:\wwwsite\vhost1 www.hackant.com
Administrators全部(该文件夹,子文件夹及文件) www.hackant.com
system全部(该文件夹,子文件夹及文件) www.hackant.com
vhost1全部(该文件夹,子文件夹及文件) www.hackant.com
3.数据备份盘 www.hackant.com
数据备份盘最好只指定一个特定的用户对它有完全操作的权限。比如F盘为数据备份盘,我们只指定一个管理员对它有完全操作的权限。 www.hackant.com
4.其它地方的权限设置 www.hackant.com
请找到c盘的这些文件,把安全性设置只有特定的管理员有完全操作权限。 www.hackant.com
下列这些文件只允许administrators访问 www.hackant.com
net.exe www.hackant.com
net1.exet www.hackant.com
cmd.exe www.hackant.com
tftp.exe www.hackant.com
netstat.exe www.hackant.com
regedit.exe www.hackant.com
at.exe www.hackant.com
attrib.exe www.hackant.com
cacls.exe www.hackant.com
format.com www.hackant.com
5.删除c:\inetpub目录,删除iis不必要的映射,建立陷阱帐号,更改描述。 www.hackant.com
四、防火墙、杀毒软件的安装 www.hackant.com
我见过的Win2000/Nt服务器从来没有见到有安装了防毒软件的,其实这一点非常重要。一些好的杀毒软件不仅能杀掉一些著名的病毒,还能查杀大量木马和后门程序。这样的话,“黑客”们使用的那些有名的木马就毫无用武之地了。不要忘了经常升级病毒库,我们推荐mcafree杀毒软件+blackice防火墙 www.hackant.com
五、SQL2000 SERV-U FTP安全设置 www.hackant.com
SQL安全方面 www.hackant.com
1.System Administrators 角色最好不要超过两个 www.hackant.com
2.如果是在本机最好将身份验证配置为Win登陆 www.hackant.com
3.不要使用Sa账户,为其配置一个超级复杂的密码 www.hackant.com
4.删除以下的扩展存储过程格式为: www.hackant.com
use master www.hackant.com
sp_dropextendedproc '扩展存储过程名' www.hackant.com
xp_cmdshell:是进入操作系统的最佳捷径,删除 www.hackant.com
访问注册表的存储过程,删除 www.hackant.com
Xp_regaddmultistring Xp_regdeletekey Xp_regdeletevalue Xp_regenumvalues www.hackant.com
Xp_regread Xp_regwrite Xp_regremovemultistring www.hackant.com
OLE自动存储过程,不需要删除 www.hackant.com
Sp_OACreate Sp_OADestroy Sp_OAGetErrorInfo Sp_OAGetProperty www.hackant.com
Sp_OAMethod Sp_OASetProperty Sp_OAStop www.hackant.com
5.隐藏 SQL Server、更改默认的1433端口 www.hackant.com
右击实例选属性-常规-网络配置中选择TCP/IP协议的属性,选择隐藏 SQL Server 实例,并改原默认的1433端口 www.hackant.com
serv-u的几点常规安全需要设置下: www.hackant.com
选中"Block "FTP_bounce"attack and FXP"。什么是FXP呢?通常,当使用FTP协议进行文件传输时,客户端首先向FTP服务器发出一个"PORT"命令,该命令中包含此用户的IP地址和将被用来进行数据传输的端口号,服务器收到后,利用命令所提供的用户地址信息建立与用户的连接。大多数情况下,上述过程不会出现任何问题,但当客户端是一名恶意用户时,可能会通过在PORT命令中加入特定的地址信息,使FTP服务器与其它非客户端的机器建立连接。虽然这名恶意用户可能本身无权直接访问某一特定机器,但是如果FTP服务器有权访问该机器的话,那么恶意用户就可以通过FTP服务器作为中介,仍然能够最终实现与目标服务器的连接。这就是FXP,也称跨服务器攻击。选中后就可以防止发生此种情况。 www.hackant.com
六、IIS安全设置 www.hackant.com
IIS的相关设置: www.hackant.com
删除默认建立的站点的虚拟目录,停止默认web站点,删除对应的文件目录c:inetpub,配置所有站点的公共设置,设置好相关的连接数限制,带宽设置以及性能设置等其他设置。配置应用程序映射,删除所有不必要的应用程序扩展,只保留asp,php,cgi,pl,aspx应用程序扩展。对于php和cgi,推荐使用isapi方式解析,用exe解析对安全和性能有所影响。用户程序调试设置发送文本错误信息给户。对于数据库,尽量采用mdb后缀,不需要更改为asp,可在IIS中设置一个mdb的扩展映射,将这个映射使用一个无关的dll文件如C:WINNTsystem32inetsrvssinc.dll来防止数据库被下载。设置IIS的日志保存目录,调整日志记录信息。设置为发送文本错误信息。修改403错误页面,将其转向到其他页,可防止一些扫描器的探测。另外为隐藏系统信息,防止telnet到80端口所泄露的系统版本信息可修改IIS的banner信息,可以使用winhex手工修改或者使用相关软件如banneredit修改。 www.hackant.com
对于用户站点所在的目录,在此说明一下,用户的FTP根目录下对应三个文件佳,wwwroot,database,logfiles,分别存放站点文件,数据库备份和该站点的日志。如果一旦发生入侵事件可对该用户站点所在目录设置具体的权限,图片所在的目录只给予列目录的权限,程序所在目录如果不需要生成文件(如生成html的程序)不给予写入权限。因为是虚拟主机平常对脚本安全没办法做到细致入微的地步,更多的只能在方法用户从脚本提升权限: www.hackant.com
ASP的安全设置: www.hackant.com
设置过权限和服务之后,防范asp木马还需要做以下工作,在cmd窗口运行以下命令: www.hackant.com
regsvr32/u C:\WINNT\System32\wshom.ocx www.hackant.com
del C:\WINNT\System32\wshom.ocx www.hackant.com
regsvr32/u C:\WINNT\system32\shell32.dll www.hackant.com
del C:\WINNT\system32\shell32.dll www.hackant.com
即可将WScript.Shell, Shell.application, WScript.Network组件卸载,可有效防止asp木马通过wscript或shell.application执行命令以及使用木马查看一些系统敏感信息。另法:可取消以上文件的users用户的权限,重新启动IIS即可生效。但不推荐该方法。 www.hackant.com
另外,对于FSO由于用户程序需要使用,服务器上可以不注销掉该组件,这里只提一下FSO的防范,但并不需要在自动开通空间的虚拟商服务器上使用,只适合于手工开通的站点。可以针对需要FSO和不需要FSO的站点设置两个组,对于需要FSO的用户组给予c:winntsystem32scrrun.dll文件的执行权限,不需要的不给权限。重新启动服务器即可生效。 www.hackant.com
对于这样的设置结合上面的权限设置,你会发现海阳木马已经在这里失去了作用! www.hackant.com
PHP的安全设置: www.hackant.com
默认安装的php需要有以下几个注意的问题: www.hackant.com
C:\winnt\php.ini只给予users读权限即可。在php.ini里需要做如下设置: www.hackant.com
Safe_mode=on www.hackant.com
register_globals = Off www.hackant.com
allow_url_fopen = Off www.hackant.com
display_errors = Off www.hackant.com
magic_quotes_gpc = On [默认是on,但需检查一遍] www.hackant.com
open_basedir =web目录 www.hackant.com
disable_functions =passthru,exec,shell_exec,system,phpinfo,get_cfg_var,popen,chmod www.hackant.com
默认设置com.allow_dcom = true修改为false[修改前要取消掉前面的;] www.hackant.com
MySQL安全设置: www.hackant.com
如果服务器上启用MySQL数据库,MySQL数据库需要注意的安全设置为: www.hackant.com
删除mysql中的所有默认用户,只保留本地root帐户,为root用户加上一个复杂的密码。赋予普通用户updatedeletealertcreatedrop权限的时候,并限定到特定的数据库,尤其要避免普通客户拥有对mysql数据库操作的权限。检查mysql.user表,取消不必要用户的shutdown_priv,relo www.hackant.com
ad_priv,process_priv和File_priv权限,这些权限可能泄漏更多的服务器信息包括非mysql的其它信息出去。可以为mysql设置一个启动用户,该用户只对mysql目录有权限。设置安装目录的data数据库的权限(此目录存放了mysql数据库的数据信息)。对于mysql安装目录给users加上读取、列目录和执行权限。 www.hackant.com
Serv-u安全问题: www.hackant.com
安装程序尽量采用最新版本,避免采用默认安装目录,设置好serv-u目录所在的权限,设置一个复杂的管理员密码。修改serv-u的banner信息,设置被动模式端口范围(4001—4003)在本地服务器中设置中做好相关安全设置:包括检查匿名密码,禁用反超时调度,拦截“FTP bounce”攻击和FXP,对于在30秒内连接超过3次的用户拦截10分钟。域中的设置为:要求复杂密码,目录只使用小写字母,高级中设置取消允许使用MDTM命令更改文件的日期。 www.hackant.com
更改serv-u的启动用户:在系统中新建一个用户,设置一个复杂点的密码,不属于任何组。将servu的安装目录给予该用户完全控制权限。建立一个FTP根目录,需要给予这个用户该目录完全控制权限,因为所有的ftp用户上传,删除,更改文件都是继承了该用户的权限,否则无法操作文件。另外需要给该目录以上的上级目录给该用户的读取权限,否则会在连接的时候出现530 Not logged in, home directory does not exist.比如在测试的时候ftp根目录为d:soft,必须给d盘该用户的读取权限,为了安全取消d盘其他文件夹的继承权限。而一般的使用默认的system启动就没有这些问题,因为system一般都拥有这些权限的。 www.hackant.com
七、其它 www.hackant.com
1.隐藏重要文件/目录可以修改注册表实现完全隐藏:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\ Current-Version\Explorer\Advanced\Folder\Hi-dden\SHOWALL”,鼠标右击 “CheckedValue”,选择修改,把数值由1改为0 www.hackant.com
2.启动系统自带的Internet连接防火墙,在设置服务选项中勾选Web服务器; www.hackant.com
3.防止SYN洪水攻击: www.hackant.com
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters www.hackant.com
新建DWORD值,名为SynAttackProtect,值为2 www.hackant.com
EnablePMTUDiscovery REG_DWORD 0 www.hackant.com
NoNameReleaseOnDemand REG_DWORD 1 www.hackant.com
EnableDeadGWDetect REG_DWORD 0 www.hackant.com
KeepAliveTime REG_DWORD 300,000 www.hackant.com
PerformRouterDiscovery REG_DWORD 0 www.hackant.com
EnableICMPRedirects REG_DWORD 0 www.hackant.com
4. 禁止响应ICMP路由通告报文: www.hackant.com
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\interface www.hackant.com
新建DWORD值,名为PerformRouterDiscovery 值为0 www.hackant.com
5. 防止ICMP重定向报文的攻击: www.hackant.com
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters www.hackant.com
将EnableICMPRedirects 值设为0 www.hackant.com
6. 不支持IGMP协议: www.hackant.com
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters www.hackant.com
新建DWORD值,名为IGMPLevel 值为0 www.hackant.com
7.修改终端服务端口: www.hackant.com
运行regedit,找到[HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Control \ Terminal Server \ Wds \ rdpwd \ Tds \ tcp],看到右边的PortNumber了吗?在十进制状态下改成你想要的端口号吧,比如7126之类的,只要不与其它冲突即可。 www.hackant.com
第二处HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Control \ Terminal Server \ WinStations \ RDP-Tcp,方法同上,记得改的端口号和上面改的一样就行了。 www.hackant.com
8.禁止IPC空连接: www.hackant.com
cracker可以利用net use命令建立空连接,进而入侵,还有net view,nbtstat这些都是基于空连接的,禁止空连接就好了。打开注册表,找到Local_Machine\System\CurrentControlSet\Control\LSA-RestrictAnonymous 把这个值改成”1”即可。 www.hackant.com
9.更改TTL值: www.hackant.com
cracker可以根据ping回的TTL值来大致判断你的操作系统,如: www.hackant.com
TTL=107(WINNT); www.hackant.com
TTL=108(win2000); www.hackant.com
TTL=127或128(win9x); www.hackant.com
TTL=240或241(linux); www.hackant.com
TTL=252(solaris); www.hackant.com
TTL=240(Irix); www.hackant.com
实际上你可以自己更改的: www.hackant.com
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters:DefaultTTL REG_DWORD 0-0xff(0-255 十进制,默认值128)改成一个莫名其妙的数字如258,起码让那些小菜鸟晕上半天,就此放弃入侵你也不一定哦。 www.hackant.com
10. 删除默认共享: www.hackant.com
有人问过我一开机就共享所有盘,改回来以后,重启又变成了共享是怎么回事,这是2K为管理而设置的默认共享,必须通过修改注册表的方式取消它:HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters:AutoShareServer类型是REG_DWORD把值改为0即可 www.hackant.com
11. 禁止建立空连接: www.hackant.com
默认情况下,任何用户通过通过空连接连上服务器,进而枚举出帐号,猜测密码。我们可以通过修改注册表来禁止建立空连接: www.hackant.com
Local_Machine\System\CurrentControlSet\Control\LSA-RestrictAnonymous 的值改成”1”即可。 www.hackant.com
12.禁用TCP/IP上的NetBIOS www.hackant.com
网上邻居-属性-本地连接-属性-Internet协议(TCP/IP)属性-高级-WINS面板-NetBIOS设置-禁用TCP/IP上的NetBIOS。这样cracker就无法用nbtstat命令来读取你的NetBIOS信息和网卡MAC地址了。 www.hackant.com
13. 账户安全 www.hackant.com
首先禁止一切账户,除了你自己,呵呵。然后把Administrator改名。我呢就顺手又建了个Administrator账户,不过是什么权限都没有的那种,然后打开记事本,一阵乱敲,复制,粘贴到“密码”里去,呵呵,来破密码吧~!破完了才发现是个低级账户,看你崩溃不? www.hackant.com
创建2个管理员用帐号 www.hackant.com
虽然这点看上去和上面这点有些矛盾,但事实上是服从上面的规则的。 创建一个一般权限帐号用来收信以及处理一些日常事物,另一个拥有Administrators 权限的帐户只在需要的时候使用。可以让管理员使用 “ RunAS” 命令来执行一些需要特权才能作的一些工作,以方便管理 www.hackant.com
14.更改C:\WINDOWS\Help\iisHelp\common\404b.htm内容改为这样,出错了自动转到首页。 www.hackant.com
15.本地安全策略和组策略的设置,如果你在设置本地安全策略时设置错了,可以这样恢复成它的默认值 www.hackant.com
打开 %SystemRoot%\Security文件夹,创建一个 "OldSecurity"子目录,将%SystemRoot%\Security下所有的.log文件移到这个新建的子文件夹中 www.hackant.com
在%SystemRoot%\Security\database\下找到"Secedit.sdb"安全数据库并将其改名,如改为"Secedit.old" www.hackant.com
启动"安全配置和分析"MMC管理单元:"开始"->"运行"->"MMC",启动管理控制台,"添加/删除管理单元",将"安全配置和分析"管理单元添加上 www.hackant.com
右击"安全配置和分析"->"打开数据库",浏览"C:\WINNT\security\Database"文件夹,输入文件名"secedit.sdb",单击"打开" www.hackant.com
当系统提示输入一个模板时,选择"Setup Security.inf",单击"打开",如果系统提示"拒绝访问数据库",不管他,你会发现在"C:\WINNT\security\Database"子文件夹中重新生成了新的安全数据库,在"C:\WINNT\security"子文件夹下重新生成了log文件,安全数据库重建成功。 www.hackant.com
16.禁用DCOM: www.hackant.com
运行中输入 Dcomcnfg.exe。 回车, 单击“控制台根节点”下的“组件服务”。 打开“计算机”子文件夹。对于本地计算机,请以右键单击“我的电脑”,然后选择“属性”。选择“默认属性”选项卡。清除“在这台计算机上启用分布式 COM”复选框。 www.hackant.com
www.hackant.com
www.hackant.com
www.hackant.com
第二步: www.hackant.com
尽管Windows 2003的功能在不断增强,但是由于先天性的原因,它还存在不少安全隐患,要是不将这些隐患“堵住”,可能会给整个系统带来不必要的麻烦;下面笔者就介绍Windows2003中不常见的安全隐患的防堵方法,希望能对各位带来帮助! www.hackant.com
堵住自动保存隐患 www.hackant.com
www.hackant.com
Windows 2003操作系统在调用应用程序出错时,系统中的Dr. Watson会自动将一些重要的调试信息保存起来,以便日后维护系统时查看,不过这些信息很有可能被黑客“瞄上”,一旦瞄上的话,各种重要的调试信息就会暴露无疑,为了堵住Dr. Watson自动保存调试信息的隐患,我们可以按如下步骤来实现: www.hackant.com
www.hackant.com
1、打开开始菜单,选中“运行”命令,在随后打开的运行对话框中,输入注册表编辑命令“ergedit”命令,打开一个注册表编辑窗口; www.hackant.com
www.hackant.com
2、在该窗口中,用鼠标依次展开HKEY_local_machine\software\Microsoft\WindowsdowsNT\CurrentVersion\AeDebug分支,在对应AeDebug键值的右边子窗口中,用鼠标双击Auto值,在弹出的参数设置窗口中,将其数值重新设置为“0”, www.hackant.com
www.hackant.com
3、打开系统的Windows资源管理器窗口,并在其中依次展开Documents and Settings文件夹、All Users文件夹、Shared Documents文件夹、DrWatson文件夹,最后将对应DrWatson中的User.dmp文件、Drwtsn32.log文件删除掉。 www.hackant.com
www.hackant.com
完成上面的设置后,重新启动一下系统,就可以堵住自动保存隐患了。 www.hackant.com
www.hackant.com
堵住资源共享隐患 www.hackant.com
www.hackant.com
为了给局域网用户相互之间传输信息带来方便,Windows Server 2003系统很是“善解人意”地为各位提供了文件和打印共享功能,不过我们在享受该功能带来便利的同时,共享功能也会“引狼入室”,“大度”地向黑客们敞开了不少漏洞,给服务器系统造成了很大的不安全性;所以,在用完文件或打印共享功能时,大家千万要随时将功能关闭哟,以便堵住资源共享隐患,下面就是关闭共享功能的具体步骤: www.hackant.com
www.hackant.com
1、执行控制面板菜单项下面的“网络连接”命令,在随后出现的窗口中,用鼠标右键单击一下“本地连接”图标; www.hackant.com
www.hackant.com
2、在打开的快捷菜单中,单击“属性”命令,这样就能打开一个“Internet协议(TCP/IP)”属性设置对话框; www.hackant.com
www.hackant.com
3、在该界面中取消“Microsoft网络的文件和打印机共享”这个选项; www.hackant.com
www.hackant.com
4、如此一来,本地计算机就没有办法对外提供文件与打印共享服务了,这样黑客自然也就少了攻击系统的“通道”。 www.hackant.com
www.hackant.com
堵住远程访问隐患 www.hackant.com
www.hackant.com
在Windows2003系统下,要进行远程网络访问连接时,该系统下的远程桌面功能可以将进行网络连接时输入的用户名以及密码,通过普通明文内容方式传输给对应连接端的客户端程序;在明文帐号传输过程中,实现“安插”在网络通道上的各种嗅探工具,会自动进入“嗅探”状态,这个明文帐号就很容易被“俘虏”了;明文帐号内容一旦被黑客或其他攻击者另谋他用的话,呵呵,小心自己的系统被“疯狂”攻击吧!为了杜绝这种安全隐患,我们可以按下面的方法来为系统“加固”: www.hackant.com
www.hackant.com
1、点击系统桌面上的“开始”按钮,打开开始菜单; www.hackant.com
www.hackant.com
2、从中执行控制面板命令,从弹出的下拉菜单中,选中“系统”命令,打开一个系统属性设置界面; www.hackant.com
www.hackant.com
3、在该界面中,用鼠标单击“远程”标签; www.hackant.com
www.hackant.com
4、在随后出现的标签页面中,将“允许用户远程连接到这台计算机”选项取消掉,这样就可以将远程访问连接功能屏蔽掉,从而堵住远程访问隐患了。 www.hackant.com
www.hackant.com
堵住用户切换隐患 www.hackant.com
www.hackant.com
Windows 2003系统为我们提供了快速用户切换功能,利用该功能我们可以很轻松地登录到系统中;不过在享受这种轻松时,系统也存在安装隐患,例如我们要是执行系统“开始”菜单中的“注销”命令来,快速“切换用户”时,再用传统的方式来登录系统的话,系统很有可能会本次登录,错误地当作是对计算机系统的一次暴力“袭击”,这样Windows2003系统就可能将当前登录的帐号当作非法帐号,将它锁定起来,这显然不是我们所需要的;不过,我们可以按如下步骤来堵住用户切换时,产生的安全隐患: www.hackant.com
www.hackant.com
在Windows 2003系统桌面中,打开开始菜单下面的控制面板命令,找到下面的“管理工具”命令,再执行下级菜单中的“计算机管理”命令,找到“用户帐户”图标,并在随后出现的窗口中单击“更改用户登录或注销的方式”;在打开的设置窗口中,将“使用快速用户切换”选项取消掉就可以了。 www.hackant.com
www.hackant.com
堵住页面交换隐患 www.hackant.com
www.hackant.com
Windows 2003操作系统即使在正常工作的情况下,也有可能会向黑客或者其他访问者泄漏重要的机密信息,特别是一些重要的帐号信息。也许我们永远不会想到要查看一下,那些可能会泄漏隐私信息的文件,不过黑客对它们倒是很关心的哟!Windows 2003操作系统中的页面交换文件中,其实就隐藏了不少重要隐私信息,这些信息都是在动态中产生的,要是不及时将它们清除,就很有可能成为黑客的入侵突破口;为此,我们必须按照下面的方法,来让Windows 2003操作系统在关闭系统时,自动将系统工作时产生的页面文件全部删除掉: www.hackant.com
www.hackant.com
1、在Windows 2003的“开始”菜单中,执行“运行”命令,打开运行对话框,并在其中输入“Regedit”命令,来打开注册表窗口; www.hackant.com
www.hackant.com
2、在该窗口的左边区域中,用鼠标依次单击HKEY_local_machine\system\currentcontrolset\control\sessionmanager\memory management键值,找到右边区域中的ClearPageFileAtShutdown键值,并用鼠标双击之,在随后打开的数值设置窗口中,将该DWORD值重新修改为“1”; www.hackant.com
www.hackant.com
3、完成设置后,退出注册表编辑窗口,并重新启动计算机系统,就能让上面的设置生效了。
发表评论
-
清除系统垃圾文件的脚本文件
2008-06-26 09:50 2315自动清理电脑里的垃圾 新建一个记事本并输入以下的内容: @ ... -
UltraEdit + Turbo C 配置 C 语言学习环境
2007-12-25 09:55 6145学过 C 语言的朋友大概都知道 Turbo C 编译器,但它的 ... -
MSSQL 2k应用常见问题解决方法总结
2007-12-17 12:20 2054Q1:如何查看SQL Server 2k的版本 1.在&qu ... -
解决当FORM的ENCTYPE=multipartform-data 时取不到值
2007-12-17 11:30 10367在开发一个MIS系统中,部分页面中有需要上传文件的字段,相信大 ...
相关推荐
win2003服务器安全设置win2003服务器安全设置win2003服务器安全设置win2003服务器安全设置win2003服务器安全设置win2003服务器安全设置win2003服务器安全设置win2003服务器安全设置
win2003服务器安全设置教程
《Win2003服务器安全配置完全版》深入探讨了Windows Server 2003操作系统在服务器环境中的安全强化策略。这一主题对于保障企业网络基础设施的安全性至关重要,尤其是在信息化日益发达的今天。Win2003作为曾经广泛...
WIN2003服务器安全设置
《win2003服务器设置全攻略》是一个深入浅出的教程,专为初学者设计,旨在帮助用户快速掌握Windows Server 2003的安装、配置和管理。本教程覆盖了服务器设置的基础知识,包括但不限于系统安装、网络配置、用户权限...
win2003服务器安全一键配置工具2003safe5.rar,适合Windows Server 2003
win2003服务器安全设置教程
本指南将详细阐述如何创建和配置Win2003服务器群集,以确保系统的稳定性和可靠性。 一、群集基础概念 服务器群集是一种技术,通过将多台服务器连接在一起,形成一个逻辑上的单一系统,以提高服务的可用性、性能和可...
win2003服务器端口安全设置
Windows Server 2003是目前最为成熟的网络服务器平台,安全性相对于Windows 2000有大大的提高,但是2003默认的安全配置不一定适合我们的需要,所以,我们要根据实际情况来对Win2003进行全面安全配置。说实话,安全...
WIN2003服务器安全配置
WIN2003 服务器安全加固方案 WIN2003 服务器安全加固方案是指通过配置目录权限、系统安全策略、协议栈加强、系统服务和访问控制等多个方面来加固 WIN2003 服务器的安全性。该方案的主要目的是为了防止黑客的攻击,...
win2003服务器详细安全设置,本教程仅供初级技术人员或站长参考,本人只负责收集及更新,不解答与负责其中任何问题。
window server 2003 安全设置详细介绍 window server 2003是目前用的比较的的服务器,同时安全问题不荣忽视,本人曾经就深受其害
本文将详细探讨如何对Win2003服务器进行安全处理,以防止未经授权的入侵和潜在的安全威胁。 1. **系统更新与补丁管理**: - 定期检查并安装微软发布的安全更新和补丁,通过Windows Update或自动更新功能保持系统是...
你需要配置SMTP虚拟服务器,设置发信和收信规则,同时确保邮件安全,例如通过SSL加密传输。 五、域控制器配置 域控制器是活动目录(Active Directory)的核心,负责管理用户账户、组策略、计算机对象等。安装域控制...
Win2003最新服务器安全设置技术实例