windows2003之安全防护--不断更新
1:\windows\system32\cacls.exe cmd.exe net.exe net1.exe regedit.exe regedt32.exe 只给administrator system 两用户完全控制权限,其它用户删除!
2:禁用NETBIOS .Print spooler.remote registry.服务。
3:gepdit.msc 关闭自动播放,启用密码和审核帐号管理机制!
4:做好SECPOL.CPL安全策略。在TCP/IP筛选里只开通必要的端口!
5:更改3389端口.首先启动注册表编辑器 (regedit)。修改:
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control
\TerminalServer\WinStations\RDP-Tcp\PortNumber
鼠标双击PortNumber,键入新的端口号.
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\Wds\rdpwd\Tds\tcp] 在右边看到PortNumber值,键入新的端口号.
6:更改administrator用户名.
1>开始---运行---输入:gpedit.msc ---回车
2>依此点开,计算机配置 --- Windows设置 --- 安全设置 --- 本地策略 --- 安全选项
3>在右边的地方,拉到最下面,找到重命名管理员帐户,双击
4>输入你要的用户名,确定。然后注销一下,就可以用新用户名登陆了!
7:通过开启的服务来对比。
系统稳定的时候,在cmd里输入net start > x:\111.txt
系统不稳定或者例行检查的时候在cmd里输入 netstat >x:\222.txt
对比 fc x:\111.txt x:\222.txt 给看出异同. 如发异常启动服务 cmd-services.msc 双击该服务,可看到该服务的启动文件,查杀或者删除!
8:删除默认共享:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters新建 “DWORD值”值名为“AutoShareServer” 数据值为“0”
9:attrib -r -h -s 对文件的属性进行更改
10:查看影子帐号
[HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account\user]
先对/sam/sam目录赋予当前登录用户查看权限
此条为查看windows下所有建立的帐号,包括以$结尾的隐藏帐号。
--------------------------------------------------------------------------------------
服务器IIS应用安全
1:iis ftp 不是开源软件,不能像linux vsftp那样更改pasv端口的范围,这样,防火墙上面做端口限制就带来一定的麻烦。可能过以下命令更改端口范围:必需得5500以后
cd c:\Inetpub\AdminScripts
cscript adsutil.vbs set /MSFTPSVC/PassivePortRange "10000-10009"
2:对纯静态的(无php、JSP、ASP、ASPX)文件目录设置执行权限为‘无’,同时对存放数据库的文件夹取消‘读取’,或者在ISAPI里面取消诸如asa、mdf的接口。
3:iis运行时使用了哪些权限(只针对IIS6.0)。
A:以运行ASP程序为例,首先http.sys侦听接收来自外部的HTTP请求,通过ISAPI接口调用ASP.DLL来处理相应的请求。此时对所有程序代码的访问是通过IIS--目录安全性---设置的默认帐户进行访问(对应的操作权限也限于此)。
B:笔记新建的默认帐户自带的USERS组已经被笔者删除。(该帐户不属于任何组),但事实是运行ASP程序还需要对windows目录下的temp目录进行读写操作。temp目录权限应俱有IIS默认帐号的读写修改或者users组的读写修改权限。
是不是从另一个方面证明:windows系统的文件访问规则为:如果访问者没有被该文件附加访问权限,则默认以users组的权限对其执行。(前提是该文件附加了users组的相应权限)此处有带商榷,个人意见并没有查阅相关的文档。
4:XSS攻击检测方法:
传入一段脚本<script>[code]</script>,检测脚本是否会执行。用这样的URL将会执行JavaScript的alert函数弹出一个对话框:http://localhost/test.php?name=lake<script>alert(123456)</script>
5:SQL注入判断方法:
--------------------------------------------------------------------------------------------------------------
日常维护命令
1: 很多遇到“内存不能为read或written”的问题都能通过这个办法来解决,一般这个办法是解决某些系统dll文件错误的方法,
“开始->输入cmd”,然后把下面的代码粘帖进去。
for %a in (%windir%/system32/*.dll) do regsvr32.exe /s %a
for %b in (%windir%/system32/*.ocx) do regsvr32.exe /s %b
2:windows 2003 IIS有对通过WEB上传文件大小的限制,默认是204800byte=200K.如需修改请先停止iisadmin服务后,如下:
找到
c:\windows\system32\inetsrv\metabase.xml 企业版的windows2003在第592行,默认为 aspmaxrequestentityallowed="204800" 即200k
将其加两个0,即改为,现在最大就可以上载20m了。
aspmaxrequestentityallowed="20480000"
本文出自 “guangliang520” 博客,谢绝转载!