|
論壇說明 |
歡迎您來到『史萊姆論壇』 ^___^ 您目前正以訪客的身份瀏覽本論壇,訪客所擁有的權限將受到限制,您可以瀏覽本論壇大部份的版區與文章,但您將無法參與任何討論或是使用私人訊息與其他會員交流。若您希望擁有完整的使用權限,請註冊成為我們的一份子,註冊的程序十分簡單、快速,而且最重要的是--註冊是完全免費的! 請點擊這裡:『註冊成為我們的一份子!』 |
|
主題工具 | 顯示模式 |
2004-10-23, 04:36 AM | #1 |
榮譽會員
|
一般WIN服務安全性設定
原則關掉所有不使用的服務,不安裝所有與伺服器無關的軟體,打好所有修正檔
修改3389 HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Terminal Server\Wds\Repwd\Tds\Tcp, 看到那個PortNumber沒有?0xd3d,這個是16進制,就是3389啦,我改XXXX這個值是RDP(遠端桌面傳輸協定)的預設值值,也就是說用來組態以後新增的RDP服務的,要改已經建立的RDP服務,我們去下一個鍵值: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\TerminalServer\WinStations這裡應該有一個或多個類似RDP-TCP的子健(取決於你建立了多少個RDP服務),一樣改掉PortNumber。 修改系統日誌儲存位址 預設值位置為 應用程式日誌、安全日誌、系統日誌、DNS日誌預設值位置:%systemroot%\system32\config,預設值文件大小512KB,管理員都會改變這個預設值大小。 安全日誌文件:%systemroot%\system32\config\SecEvent.EVT 系統日誌文件:%systemroot%\system32\config\SysEvent.EVT 應用程式日誌文件:%systemroot%\system32\config\AppEvent.EVT Internet訊息服務FTP日誌預設值位置:%systemroot%\system32\logfiles\msftpsvc1\,預設值每天一個日誌 Internet訊息服務WWW日誌預設值位置:%systemroot%\system32\logfiles\w3svc1\,預設值每天一個日誌 Scheduler(排定的工作)服務日誌預設值位置:%systemroot%\schedlgu.txt 應用程式日誌,安全日誌,系統日誌,DNS伺服器日誌,它們這些LOG文件在註冊表中的: HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Eventlog Schedluler(排定的工作)服務日誌在註冊表中 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SchedulingAgent SQL 刪掉或改名xplog70.dll [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters] "AutoShareServer"=dword:00000000 "AutoShareWks"=dword:00000000 // AutoShareWks 對pro版本 // AutoShareServer 對server版本 // 0 禁止管理共享admin$,c$,d$之類預設值共享 [HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\LSA] "restrictanonymous"=dword:00000001 //0x1 匿名用戶無法列舉本地機用戶列表 //0x2 匿名用戶無法連接本地機IPC$共享(可能sql server不能夠啟動) 本機安全原則 封TCP連接阜:21(FTP,換FTP連接阜)23(TELNET),53(DNS),135,136,137,138,139,443,445,1028,1433,3389 可封TCP連接阜:1080,3128,6588,8080(以上為代理連接阜).25(SMTP),161(SNMP),67(啟始) 封UDP連接阜:1434(這個就不用說了吧) 封所有ICMP,即封PING 以上是最常被掃的連接阜,有別的同樣也封,當然因為80是做WEB用的 稽核原則為 稽核原則更改:成功,失敗 稽核登入事件:成功,失敗 稽核對像訪問:失敗 稽核對像追蹤:成功,失敗 稽核目錄服務訪問:失敗 稽核特權使用:失敗 稽核系統事件:成功,失敗 稽核帳戶登錄事件:成功,失敗 稽核賬戶管理:成功,失敗 密碼原則:啟用「密碼必須符合複雜性要求","密碼長度最小值"為6個字元,"強制密碼歷史"為5次,"密碼最長存留期"為30天. 在賬戶鎖定原則中設定:"復位賬戶鎖定計數器"為30分鍾之後,"賬戶鎖定時間"為30分鍾,"賬戶鎖定值"為30分鍾. 安全性選項設定:本機安全原則==本機原則==安全性選項==對匿名連接的額外限制,雙按對其中有效原則進行設定,選項"不允許枚舉SAM帳號和共享",因為這個值是只允許非NULL用戶存取SAM帳號訊息和共享訊息,一般選項此項. 禁止登入螢幕上顯示上次登入的用戶名 控制台==系統管理工具==本機安全原則==本機原則==安全性選項 或改註冊表 HKEY_LOCAL_MACHINE\SOFTTWARE\Microsoft\WindowsNT\CurrentVesion\Winlogn項中的Don't Display Last User Name串,將其資料修改為1 禁TCP/IP中的禁用TCP/IP上的NetBIOS 修改預設值管理用戶名(這就不用說了吧),禁用Guest帳號,除了ADMIN組的用戶可以遠端登入本地機完,別的用戶的遠端登入都去掉 WEB目錄用戶權限設定... 依次做下面的工作: 選取整個硬碟: system:完全控制 administrator:完全控制(允許將來自父系的可繼承性權限傳播給對像) b.\program files\common files: everyone:讀取及執行 列出文件目錄 讀取(允許將來自父系的可繼承性權限傳播給對像) c.\inetpub\wwwroot: iusr_machine:讀取及執行 列出文件目錄 讀取 (允許將來自父系的可繼承性權限傳播給對像) e.\winnt\system32: 選項除inetsrv和centsrv以外的所有目錄, 去除「允許將來自父系的可繼承性權限傳播給對像」選框,複製。 f.\winnt: 選項除了downloaded program files、help、iis temporary compressed files、 offline web pages、system32、tasks、temp、web以外的所有目錄 去除「允許將來自父系的可繼承性權限傳播給對像」選框,複製。 g.\winnt: everyone:讀取及執行 列出文件目錄 讀取(允許將來自父系的可繼承性權限傳播給對像) h.\winnt\temp:(允許訪問資料庫並顯示在asp頁面上) everyone:修改 (允許將來自父系的可繼承性權限傳播給對像) (還是WIN2K3好一點,預設值就設好了設限) 移除預設值IIS目錄 移除IIS中除ASA和ASP的所有解析,除非你要用到別的CGI程序(WIN2K3中去不掉的) 定期檢視伺服器中的日誌logs文件 檢查ASP程序是否有SQL注入漏洞 解決方法: 在ASP程序中加入 dim listname if not isnumeric(request("id")) then response.write "參數錯誤" response.end end if //作用是檢查ID是否為INT數位型 如何讓asp指令碼以system權限執行? 修改你asp指令碼所對應的虛擬目錄,把"應用程式保護"修改為"低".... 如何防止asp木馬? 關於FileSystemObject元件的asp木馬 cacls %systemroot%\system32\scrrun.dll /e /d guests //禁止guests使用 regsvr32 scrrun.dll /u /s //移除 還原: cacls %systemroot%\system32\scrrun.dll /e /p guests:r regsvr32 scrrun.dll 關於shell.application元件的asp木馬 cacls %systemroot%\system32\shell32.dll /e /d guests //禁止guests使用 regsvr32 shell32.dll /u /s //移除 還原: cacls %systemroot%\system32\shell32.dll /e /p guests:r regsvr32 shell32.dll 可以看一下caclsr語法,f是完全控制,c是寫入 把ip2K.jpg另存為,改後面名為RAR,2K和2K3下的安全原則,借用了REISTLIN的東西,3Q,上面有些東西太簡單了就沒寫全.如果你是用類BIOSIP的話,可以在安全原則中加上允許訪問和你自己的IP |
送花文章: 3,
|