史萊姆論壇

返回   史萊姆論壇 > 教學文件資料庫 > 資訊系統安全備援防護技術文件
忘記密碼?
論壇說明 標記討論區已讀

歡迎您來到『史萊姆論壇』 ^___^

您目前正以訪客的身份瀏覽本論壇,訪客所擁有的權限將受到限制,您可以瀏覽本論壇大部份的版區與文章,但您將無法參與任何討論或是使用私人訊息與其他會員交流。若您希望擁有完整的使用權限,請註冊成為我們的一份子,註冊的程序十分簡單、快速,而且最重要的是--註冊是完全免費的!

請點擊這裡:『註冊成為我們的一份子!』

Google 提供的廣告


 
 
主題工具 顯示模式
舊 2004-10-23, 04:36 AM   #1
psac
榮譽會員
 
psac 的頭像
榮譽勳章
UID - 3662
在線等級: 級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時
註冊日期: 2002-12-07
住址: 木柵市立動物園
文章: 17381
現金: 5253 金幣
資產: 33853 金幣
預設 一般WIN服務安全性設定

原則關掉所有不使用的服務,不安裝所有與伺服器無關的軟體,打好所有修正檔

修改3389

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Terminal Server\Wds\Repwd\Tds\Tcp, 看到那個PortNumber沒有?0xd3d,這個是16進制,就是3389啦,我改XXXX這個值是RDP(遠端桌面傳輸協定)的預設值值,也就是說用來組態以後新增的RDP服務的,要改已經建立的RDP服務,我們去下一個鍵值:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\TerminalServer\WinStations這裡應該有一個或多個類似RDP-TCP的子健(取決於你建立了多少個RDP服務),一樣改掉PortNumber。

修改系統日誌儲存位址
預設值位置為
應用程式日誌、安全日誌、系統日誌、DNS日誌預設值位置:%systemroot%\system32\config,預設值文件大小512KB,管理員都會改變這個預設值大小。
安全日誌文件:%systemroot%\system32\config\SecEvent.EVT
系統日誌文件:%systemroot%\system32\config\SysEvent.EVT
應用程式日誌文件:%systemroot%\system32\config\AppEvent.EVT
Internet訊息服務FTP日誌預設值位置:%systemroot%\system32\logfiles\msftpsvc1\,預設值每天一個日誌
Internet訊息服務WWW日誌預設值位置:%systemroot%\system32\logfiles\w3svc1\,預設值每天一個日誌
Scheduler(排定的工作)服務日誌預設值位置:%systemroot%\schedlgu.txt

應用程式日誌,安全日誌,系統日誌,DNS伺服器日誌,它們這些LOG文件在註冊表中的:
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Eventlog

Schedluler(排定的工作)服務日誌在註冊表中
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SchedulingAgent

SQL
刪掉或改名xplog70.dll

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters]
"AutoShareServer"=dword:00000000
"AutoShareWks"=dword:00000000
// AutoShareWks 對pro版本
// AutoShareServer 對server版本
// 0 禁止管理共享admin$,c$,d$之類預設值共享


[HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\LSA]
"restrictanonymous"=dword:00000001
//0x1 匿名用戶無法列舉本地機用戶列表
//0x2 匿名用戶無法連接本地機IPC$共享(可能sql server不能夠啟動)

本機安全原則
封TCP連接阜:21(FTP,換FTP連接阜)23(TELNET),53(DNS),135,136,137,138,139,443,445,1028,1433,3389
可封TCP連接阜:1080,3128,6588,8080(以上為代理連接阜).25(SMTP),161(SNMP),67(啟始)
封UDP連接阜:1434(這個就不用說了吧)
封所有ICMP,即封PING
以上是最常被掃的連接阜,有別的同樣也封,當然因為80是做WEB用的

稽核原則為
稽核原則更改:成功,失敗
稽核登入事件:成功,失敗
稽核對像訪問:失敗
稽核對像追蹤:成功,失敗
稽核目錄服務訪問:失敗
稽核特權使用:失敗
稽核系統事件:成功,失敗
稽核帳戶登錄事件:成功,失敗
稽核賬戶管理:成功,失敗

密碼原則:啟用「密碼必須符合複雜性要求","密碼長度最小值"為6個字元,"強制密碼歷史"為5次,"密碼最長存留期"為30天.

在賬戶鎖定原則中設定:"復位賬戶鎖定計數器"為30分鍾之後,"賬戶鎖定時間"為30分鍾,"賬戶鎖定值"為30分鍾.

安全性選項設定:本機安全原則==本機原則==安全性選項==對匿名連接的額外限制,雙按對其中有效原則進行設定,選項"不允許枚舉SAM帳號和共享",因為這個值是只允許非NULL用戶存取SAM帳號訊息和共享訊息,一般選項此項.

禁止登入螢幕上顯示上次登入的用戶名
控制台==系統管理工具==本機安全原則==本機原則==安全性選項
或改註冊表
HKEY_LOCAL_MACHINE\SOFTTWARE\Microsoft\WindowsNT\CurrentVesion\Winlogn項中的Don't Display Last User Name串,將其資料修改為1

禁TCP/IP中的禁用TCP/IP上的NetBIOS

修改預設值管理用戶名(這就不用說了吧),禁用Guest帳號,除了ADMIN組的用戶可以遠端登入本地機完,別的用戶的遠端登入都去掉

WEB目錄用戶權限設定...
依次做下面的工作:
選取整個硬碟:
system:完全控制
administrator:完全控制(允許將來自父系的可繼承性權限傳播給對像)
b.\program files\common files:
everyone:讀取及執行
列出文件目錄
讀取(允許將來自父系的可繼承性權限傳播給對像)
c.\inetpub\wwwroot:
iusr_machine:讀取及執行
列出文件目錄
讀取 (允許將來自父系的可繼承性權限傳播給對像)
e.\winnt\system32:
選項除inetsrv和centsrv以外的所有目錄,
去除「允許將來自父系的可繼承性權限傳播給對像」選框,複製。
f.\winnt:
選項除了downloaded program files、help、iis temporary compressed files、
offline web pages、system32、tasks、temp、web以外的所有目錄
去除「允許將來自父系的可繼承性權限傳播給對像」選框,複製。
g.\winnt:
everyone:讀取及執行
列出文件目錄
讀取(允許將來自父系的可繼承性權限傳播給對像)
h.\winnt\temp:(允許訪問資料庫並顯示在asp頁面上)
everyone:修改 (允許將來自父系的可繼承性權限傳播給對像)
(還是WIN2K3好一點,預設值就設好了設限)
移除預設值IIS目錄

移除IIS中除ASA和ASP的所有解析,除非你要用到別的CGI程序(WIN2K3中去不掉的)
定期檢視伺服器中的日誌logs文件

檢查ASP程序是否有SQL注入漏洞
解決方法:
在ASP程序中加入
dim listname
if not isnumeric(request("id")) then
response.write "參數錯誤"
response.end
end if
//作用是檢查ID是否為INT數位型


如何讓asp指令碼以system權限執行?
修改你asp指令碼所對應的虛擬目錄,把"應用程式保護"修改為"低"....

如何防止asp木馬?
關於FileSystemObject元件的asp木馬
cacls %systemroot%\system32\scrrun.dll /e /d guests //禁止guests使用
regsvr32 scrrun.dll /u /s //移除

還原:
cacls %systemroot%\system32\scrrun.dll /e /p guests:r
regsvr32 scrrun.dll

關於shell.application元件的asp木馬
cacls %systemroot%\system32\shell32.dll /e /d guests //禁止guests使用
regsvr32 shell32.dll /u /s //移除

還原:
cacls %systemroot%\system32\shell32.dll /e /p guests:r
regsvr32 shell32.dll

可以看一下caclsr語法,f是完全控制,c是寫入

把ip2K.jpg另存為,改後面名為RAR,2K和2K3下的安全原則,借用了REISTLIN的東西,3Q,上面有些東西太簡單了就沒寫全.如果你是用類BIOSIP的話,可以在安全原則中加上允許訪問和你自己的IP
psac 目前離線  
送花文章: 3, 收花文章: 1630 篇, 收花: 3204 次
 


主題工具
顯示模式

發表規則
不可以發文
不可以回覆主題
不可以上傳附加檔案
不可以編輯您的文章

論壇啟用 BB 語法
論壇啟用 表情符號
論壇啟用 [IMG] 語法
論壇禁用 HTML 語法
Trackbacks are 禁用
Pingbacks are 禁用
Refbacks are 禁用


所有時間均為台北時間。現在的時間是 07:03 AM


Powered by vBulletin® 版本 3.6.8
版權所有 ©2000 - 2021, Jelsoft Enterprises Ltd.


SEO by vBSEO 3.6.1