[psac]

原則關掉所有不使用的服務,不安裝所有與伺服器無關的軟體,打好所有修正檔

修改3389

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Terminal Server\Wds\Repwd\Tds\Tcp, 看到那個PortNumber沒有?0xd3d，這個是16進制，就是3389啦，我改XXXX這個值是RDP(遠端桌面傳輸協定)的預設值值，也就是說用來組態以後新增的RDP服務的，要改已經建立的RDP服務，我們去下一個鍵值：

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\TerminalServer\WinStations這裡應該有一個或多個類似RDP-TCP的子健（取決於你建立了多少個RDP服務），一樣改掉PortNumber。

修改系統日誌儲存位址
預設值位置為
應用程式日誌、安全日誌、系統日誌、DNS日誌預設值位置：%systemroot%\system32\config，預設值文件大小512KB，管理員都會改變這個預設值大小。
安全日誌文件：%systemroot%\system32\config\SecEvent.EVT
系統日誌文件：%systemroot%\system32\config\SysEvent.EVT
應用程式日誌文件：%systemroot%\system32\config\AppEvent.EVT
Internet訊息服務FTP日誌預設值位置：%systemroot%\system32\logfiles\msftpsvc1\，預設值每天一個日誌
Internet訊息服務WWW日誌預設值位置：%systemroot%\system32\logfiles\w3svc1\，預設值每天一個日誌
Scheduler(排定的工作)服務日誌預設值位置：%systemroot%\schedlgu.txt

應用程式日誌，安全日誌，系統日誌，DNS伺服器日誌，它們這些LOG文件在註冊表中的：
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Eventlog

Schedluler(排定的工作)服務日誌在註冊表中
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SchedulingAgent

SQL
刪掉或改名xplog70.dll

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters]
"AutoShareServer"=dword:00000000
"AutoShareWks"=dword:00000000
// AutoShareWks 對pro版本
// AutoShareServer 對server版本
// 0 禁止管理共享admin$,c$,d$之類預設值共享


[HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\LSA]
"restrictanonymous"=dword:00000001
//0x1 匿名用戶無法列舉本地機用戶列表
//0x2 匿名用戶無法連接本地機IPC$共享(可能sql server不能夠啟動)

本機安全原則
封TCP連接阜:21(FTP,換FTP連接阜)23(TELNET),53(DNS),135,136,137,138,139,443,445,1028,1433,3389
可封TCP連接阜:1080,3128,6588,8080(以上為代理連接阜).25(SMTP),161(SNMP),67(啟始)
封UDP連接阜:1434(這個就不用說了吧)
封所有ICMP,即封PING
以上是最常被掃的連接阜,有別的同樣也封,當然因為80是做WEB用的

稽核原則為
稽核原則更改:成功,失敗
稽核登入事件:成功,失敗
稽核對像訪問:失敗
稽核對像追蹤:成功,失敗
稽核目錄服務訪問:失敗
稽核特權使用:失敗
稽核系統事件:成功,失敗
稽核帳戶登錄事件:成功,失敗
稽核賬戶管理:成功,失敗

密碼原則:啟用「密碼必須符合複雜性要求","密碼長度最小值"為6個字元,"強制密碼歷史"為5次,"密碼最長存留期"為30天.

在賬戶鎖定原則中設定:"復位賬戶鎖定計數器"為30分鍾之後,"賬戶鎖定時間"為30分鍾,"賬戶鎖定值"為30分鍾.

安全性選項設定:本機安全原則==本機原則==安全性選項==對匿名連接的額外限制,雙按對其中有效原則進行設定,選項"不允許枚舉SAM帳號和共享",因為這個值是只允許非NULL用戶存取SAM帳號訊息和共享訊息,一般選項此項.

禁止登入螢幕上顯示上次登入的用戶名
控制台==系統管理工具==本機安全原則==本機原則==安全性選項
或改註冊表
HKEY_LOCAL_MACHINE\SOFTTWARE\Microsoft\WindowsNT\CurrentVesion\Winlogn項中的Don't Display Last User Name串，將其資料修改為1

禁TCP/IP中的禁用TCP/IP上的NetBIOS

修改預設值管理用戶名(這就不用說了吧),禁用Guest帳號,除了ADMIN組的用戶可以遠端登入本地機完,別的用戶的遠端登入都去掉

WEB目錄用戶權限設定...
依次做下面的工作:
選取整個硬碟：
system：完全控制
administrator：完全控制(允許將來自父系的可繼承性權限傳播給對像)
b.\program files\common files：
everyone：讀取及執行
列出文件目錄
讀取(允許將來自父系的可繼承性權限傳播給對像)
c.\inetpub\wwwroot：
iusr_machine：讀取及執行
列出文件目錄
讀取 (允許將來自父系的可繼承性權限傳播給對像)
e.\winnt\system32：
選項除inetsrv和centsrv以外的所有目錄，
去除「允許將來自父系的可繼承性權限傳播給對像」選框，複製。
f.\winnt：
選項除了downloaded program files、help、iis temporary compressed files、
offline web pages、system32、tasks、temp、web以外的所有目錄
去除「允許將來自父系的可繼承性權限傳播給對像」選框，複製。
g.\winnt：
everyone：讀取及執行
列出文件目錄
讀取(允許將來自父系的可繼承性權限傳播給對像)
h.\winnt\temp：（允許訪問資料庫並顯示在asp頁面上）
everyone：修改 (允許將來自父系的可繼承性權限傳播給對像)
(還是WIN2K3好一點,預設值就設好了設限)
移除預設值IIS目錄

移除IIS中除ASA和ASP的所有解析,除非你要用到別的CGI程序(WIN2K3中去不掉的)
定期檢視伺服器中的日誌logs文件

檢查ASP程序是否有SQL注入漏洞
解決方法:
在ASP程序中加入
dim listname
if not isnumeric(request("id")) then
response.write "參數錯誤"
response.end
end if
//作用是檢查ID是否為INT數位型


如何讓asp指令碼以system權限執行?
修改你asp指令碼所對應的虛擬目錄，把"應用程式保護"修改為"低"....

如何防止asp木馬?
關於FileSystemObject元件的asp木馬
cacls %systemroot%\system32\scrrun.dll /e /d guests //禁止guests使用
regsvr32 scrrun.dll /u /s //移除

還原:
cacls %systemroot%\system32\scrrun.dll /e /p guests:r
regsvr32 scrrun.dll

關於shell.application元件的asp木馬
cacls %systemroot%\system32\shell32.dll /e /d guests //禁止guests使用
regsvr32 shell32.dll /u /s //移除

還原:
cacls %systemroot%\system32\shell32.dll /e /p guests:r
regsvr32 shell32.dll

可以看一下caclsr語法,f是完全控制,c是寫入

把ip2K.jpg另存為,改後面名為RAR,2K和2K3下的安全原則,借用了REISTLIN的東西,3Q,上面有些東西太簡單了就沒寫全.如果你是用類BIOSIP的話,可以在安全原則中加上允許訪問和你自己的IP