事件檢視器
應用程式:右鍵>內容>設定日誌大小上限,我設定了50mb,選項不覆蓋事件
安全性:右鍵>內容>設定日誌大小上限,我也是設定了50mb,選項不覆蓋事件
系統:右鍵>內容>設定日誌大小上限,我都是設定了50mb,選項不覆蓋事件
12、本機安全原則:
開啟系統管理工具
找到本機安全性設定.本機原則.安全性選項
1.交互式登入.不需要按 Ctrl+Alt+Del 啟用 [根據個人需要,? 但是我個人是不需要直接輸入密碼登入的]
2.網路訪問.不允許SAM帳戶的匿名枚舉 啟用
3.網路訪問.可匿名的共享 將後面的值移除
4.網路訪問.可匿名的命名管道
將後面的值移除
5.網路訪問.可遠端訪問的註冊表路徑 將後面的值移除
6.網路訪問.可遠端訪問的註冊表的子路徑
將後面的值移除
7.網路訪問.限制匿名訪問命名管道和共享
8.帳戶.(前面已經詳細講過拉
)
13、用戶權限分配原則:
開啟系統管理工具
找到本機安全性設定.本機原則.用戶權限分配
1.從網路訪問電腦 裡面一般預設有5個用戶,除Admin外我們移除4個,當然,等下我們還得建一個屬於自己的ID
2.從遠端系統強制關機,Admin帳戶也移除,一個都不留
3.拒絕從網路訪問這台電腦 將ID移除
4.從網路訪問此電腦,Admin也可移除,如果你不使用類似3389服務
5.通過遠端強制關機。刪掉
附:
那我們現在就來看看Windows
2000的預設權限設定到底是怎樣的。對於各個磁碟區的根目錄,預設給了Everyone組完全控制權。這意味著任何進入電腦的用戶將不受限制的在這些根目錄中為所欲為。系統磁碟區下有三個目錄比較特殊,系統預設給了他們有限制的權限,這三個目錄是Documents
and settings、Program files和Winnt。對於Documents and
settings,預設的權限是這樣分配的:Administrators擁有完全控制權;Everyone擁有讀&運,列和讀權限;Power
users擁有讀&運,列和讀權限;SYSTEM同Administrators;Users擁有讀&運,列和讀權限。對於Program
files,Administrators擁有完全控制權;Creator owner擁有特殊權限ower
users有完全控制權;SYSTEM同Administrators;Terminal server
users擁有完全控制權,Users有讀&運,列和讀權限。對於Winnt,Administrators擁有完全控制權;Creator
owner擁有特殊權限ower
users有完全控制權;SYSTEM同Administrators;Users有讀&運,列和讀權限。而非系統磁碟區下的所有目錄都將繼承其父目錄的權限,也就是Everyone組完全控制權!
14、終端服務組態
開啟系統管理工具
終端服務組態
1.開啟後,點連接,右鍵,內容,遠端控制,點不允許遠端控制
2.一般,加密等級,高,在使用標準Windows驗證上點√!
3.網路卡,將最多連接數上設定為0
4.進階,將裡面的權限也移除.[我沒設定]
再點伺服器設定,在Active
Desktop上,設定禁用,且限制每個使用一個會話
15、用戶和群組原則
開啟系統管理工具
電腦管理.本機用戶和組.用戶;
移除Support_388945a0用戶等等
只留下你更改好名字的adminisrator權限
電腦管理.本機用戶和組.組
組.我們就不分組了,每必要把
16、自己動手DIY在本機原則的安全性選項
1)當登入時間用完時自動註銷用戶(本機)
防止黑客密碼滲透.
2)登入螢幕上不顯示上次登入名(遠端)如果開放3389服務,別人登入時,就不會殘留有你登入的用戶名.讓他去猜你的用戶名去吧.
3)對匿名連接的額外限制
4)禁止按
alt+crtl
+del(沒必要)
5)允許在未登入前關機[防止遠端關機/啟動、強制關機/啟動]
6)只有本機登入用戶才能訪問cd-rom
7)只有本機登入用戶才能訪問軟式磁碟機
8)取消關機原因的提示
A、開啟控制台視窗,雙按「電源選項」圖示,在隨後出現的電源內容視窗中,進入到「進階」標籤頁面;
B、在該頁面的「電源按鈕」設定項處,將「在按下電腦電源按鈕時」設定為「關機」,按下「確定」按鈕,來結束設定框;
C、以後需要關機時,可以直接按下電源按鍵,就能直接電腦關機了。當然,我們也能啟用休眠功能鍵,來實現快速關機和開機;
D4、要是系統中沒有啟用休眠模式的話,可以在控制台視窗中,開啟電源選項,進入到休眠標籤頁面,並在其中將「啟用休眠」選項選就可以了。
9)禁止關機事件跟蹤
開始「Start ->」執行「 Run ->輸入」gpedit.msc
「,在出現的視窗的左邊部分,選項 」電腦設定「(Computer Configuration )-> 」管理範本「(Administrative
Templates)-> 」系統「(System),在右邊視窗雙按「Shutdown Event Tracker」
在出現的對話視窗中選項「禁止」(Disabled),點擊然後「確定」(OK)儲存後結束這樣,你將看到類似於Windows 2000的關機視窗
17、一般連接阜的介紹
TCP
21 FTP
22 SSH
23
TELNET
25 TCP SMTP
53 TCP DNS
80
HTTP
135 epmap
138 [衝擊波]
139 smb
445
1025
DCE/1ff70682-0a51-30e8-076d-740be8cee98b
1026
DCE/12345778-1234-abcd-ef00-0123456789ac
1433 TCP SQL SERVER
5631
TCP PCANYWHERE
5632 UDP PCANYWHERE
3389 Terminal
Services
4444[衝擊波]
彝DP
67[衝擊波]
137 netbios-ns
161 An SNMP Agent is running/ Default community names of the SNMP
Agent
藏鰫軂DP一般只有騰訊QQ會開啟4000或者是8000連接阜或者8080,那麼,我們只運
行本地機使用4000這幾個連接阜就行了
附:1 連接阜基礎知識大全(絕對好帖,加精吧!)
連接阜分為3大類
1)
公認連接阜(Well Known Ports):從0到1023,它們緊密綁定於一些服務。通常 這些連接阜的通訊明確表明了某種服
務的傳輸協定。例如:80連接阜實際上總是h++p通訊。
2) 註冊連接阜(Registered Ports):從1024到49151。它們鬆散地綁定於一些服
務。也就是說有許多服務綁定於這些連接阜,這些連接阜同樣用於許多其它目的。例如: 許多系統處理動態連接阜從1024左右開始。
3)
動態和/或私有連接阜(Dynamic and/or Private Ports):從49152到65535。
理論上,不應為服務分配這些連接阜。實際上,機器通常從1024起分配動態連接阜。但也 有例外:SUN的RPC連接阜從32768開始。
本節講述通常TCP/UDP連接阜掃瞄在防火牆記錄中的訊息。
記住:並不存在所謂
ICMP連接阜。如果你對解讀ICMP資料感興趣,請參看本文的其它部分。
0 通常用於分析*
作系統。這一方*能夠工作是因為在一些系統中「0」是無效連接阜,當你試 圖使用一 種通常的閉合連接阜連接它時將產生不同的結果。一種典型的掃瞄:使用IP位址為
0.0.0.0,設定ACK位並在乙太網層廣播。
1 tcpmux這顯示有人在尋找SGIIrix機
器。Irix是實現tcpmux的主要提供者,預設情況下tcpmux在這種系統中被開啟。Iris 機器在發怖時含有幾個預設的無密碼的帳戶,如lp,guest,
uucp, nuucp, demos, tutor, diag, EZsetup, OutOfBox,
和4Dgifts。許多管理員安裝後忘記移除這些帳戶。因此Hacker們在Internet上搜尋 tcpmux 並利用這些帳戶。
7Echo你能看到許多人們搜尋Fraggle放大器時,傳送到x.x.x.0和x.x.x.255的信
息。一般的一種DoS攻擊是echo循環(echo-loop),攻擊者偽造從一個機器傳送到另
一個UDP資料包,而兩個機器分別以它們最快的方式回應這些資料包。(參見 Chargen)
另一種東西是由DoubleClick在詞連接阜建立的TCP連接。有一種產品叫做 Resonate Global
Dispatch」,它與DNS的這一連接阜連接以確定最近的路 由。Harvest/squid cache將從3130連接阜傳送UDPecho:「如果將cache的
source_ping on選項開啟,它將對原始主機的UDP echo連接阜回應一個HIT reply。」這將會產生許多這類資料包。
|