服务设置

服务设置：

 

1. 设置 win2k 的屏幕保护 , 用 pcanywhere 的时候 , 有时候下线时忘记锁定计算机了，如果别人破解了你的 pcanywhere 密码，就直接可以进入你计算机，如果设置了屏保，当你几分钟不用后就自动锁定计算机，这样就防止了用 pcanyhwerer 直接进入你计算机的可能，也是防止内部人员破坏服务器的一个屏障

 

2. 关闭光盘和磁盘的自动播放功能，在组策略里面设 . 这样可以防止入侵者编辑恶意的 autorun.inf 让你以管理员的身份运行他的木马，来达到提升权限的目的。可以用 net share 查看默认共享。由于没开 server 服务 , 等于已经关闭默认共享了 , 最好还是禁用 server 服务。

附删除默认共享的命令：

net share c$ / del

net share d$ / del

net share e$ / del

net share f$ / del

net share ipc$ / del

net share admin$ / del

 

3. 关闭不需要的端口和服务，在网络连接里，把不需要的协议和服务都删掉，这里只安装了基本的 Internet 协议（ TCP/IP ），由于要控制带宽流量服务，额外安装了 Qos 数据包计划程序。在高级 tcp/ip 设置里 --"NetBIOS" 设置 " 禁用 tcp/IP 上的 NetBIOS 。

 

修改 3389 远程连接端口 ( 也可以用工具修改更方便 )

修改注册表 .

开始 -- 运行 --regedit

依次展开 HKEY_LOCAL_MACHINE/SYSTEM/CURRENTCONTROLSET/CONTROL/

TERMINAL SERVER/WDS/RDPWD/TDS/TCP

右边键值中 PortNumber 改为你想用的端口号 . 注意使用十进制 ( 例 1989 )

 

HKEY_LOCAL_MACHINE/SYSTEM/CURRENTCONTROLSET/CONTROL/TERMINAL SERVER/

WINSTATIONS/RDP-TCP/

右边键值中 PortNumber 改为你想用的端口号 . 注意使用十进制 ( 例 1989 )

注意：别忘了在 WINDOWS2003 自带的防火墙给 + 上 10000 端口

修改完毕 . 重新启动服务器 . 设置生效 .

 

这里就不改了 , 你可以自己决定是否修改 . 权限设置的好后 , 个人感觉改不改无所谓

 

4. 禁用 Guest 账号

在计算机管理的用户里面把 Guest 账号禁用。为了保险起见，最好给 Guest 加一个复杂的密码。你可以打开记事本，在里面输入一串包含特殊字符、数字、字母的长字符串，然后把它作为 Guest 用户的密码拷进去 . 我这里随便复制了一段文本内容进去 .

 

如果设置密码时提示：工作站服务没有启动     先去本地安全策略里把密码策略里启动密码复杂性给禁用后就可以修改了

 

5. 创建一个陷阱用户

即创建一个名为“ Administrator ”的本地用户，把它的权限设置成最低，什么事也干不了的那种，并且加上一个超过 10 位的超级复杂密码。这样可以让那些 Hacker 们忙上一段时间，借此发现它们的入侵企图。

 

6. 本地安全策略设置

开始菜单― > 管理工具― > 本地安全策略

A 、本地策略―― > 审核策略

审核策略更改　　　成功　失败　　

审核登录事件　　　成功　失败

审核对象访问　　　　　　失败

    审核过程跟踪　　　无审核

审核目录服务访问　　　　失败

审核特权使用　　　　　　失败

审核系统事件　　　成功　失败

审核账户登录事件　成功　失败

审核账户管理　　　成功　失败

 

B 、本地策略―― > 用户权限分配

关闭系统：只有 Administrators 组、其它全部删除。

通过终端服务允许登陆：只加入 Administrators,Remote Desktop Users 组，其他全部删除

    运行 gpedit.msc 计算机配置 > 管理模板 > 系统 显示“关闭事件跟踪程序” 更改为已禁用

    用户管理，建立另一个备用管理员账号，防止特殊情况发生。安装有终端服务与 SQL 服务的服务器停用 TsInternetUser, SQLDebugger 这两     个账号

 

 

 

C 、本地策略―― > 安全选项

交互式登陆：不显示上次的用户名　　　　　　　启用

网络访问：不允许 SAM 帐户和共享的匿名枚举　    启用

网络访问：不允许为网络身份验证储存凭证　　　启用

网络访问：可匿名访问的共享　　　　　　　　　全部删除

网络访问：可匿名访问的命　　　　　　　　　　全部删除

网络访问：可远程访问的注册表路径　　　　　　全部删除

网络访问：可远程访问的注册表路径和子路径　　全部删除

帐户：重命名来宾帐户　　　　　　　　　　　　重命名一个帐户

帐户：重命名系统管理员帐户　　　　　　　　　重命名一个帐户

 

 

7. 禁止 dump file 的产生

 

dump 文件在系统崩溃和蓝屏的时候是一份很有用的查找问题的资料。然而，它也能够给黑客提供一些敏感

 

信息比如一些应用程序的密码等。控制面板 > 系统属性 > 高级 > 启动和故障恢复把 写入调试信息 改成无。

 

关闭华医生 Dr.Watson

 

在开始 - 运行中输入“ drwtsn 32 ” ，或者开始- 程序 - 附件 - 系统工具 - 系统信息 - 工具 -Dr Watson ，调出系统

 

里的华医生 Dr.Watson ，只保留“转储全部线程上下文”选项，否则一旦程序出错，硬盘会读很久，并占

 

用大量空间。如果以前有此情况，请查找 user.dmp 文件，删除后可节省几十 MB 空间。 .

 

在命令行运行 drwtsn32 -i 可以直接关闭华医生 , 普通用户没什么用处

 

8. 禁用不必要的服务 开始 - 运行 -services.msc

    TCP/IPNetBIOS Helper 提供 TCP/IP 服务上的 NetBIOS 和网络上客户端的 NetBIOS 名称解析的支持而使用户能够共享

    文件、打印和登录到网络

    Server 支持此计算机通过网络的文件、打印、和命名管道共享

Computer Browser 维护网络上计算机的最新列表以及提供这个列表

    Task scheduler 允许程序在指定时间运行

    Messenger 传输客户端和服务器之间的 NET SEND 和 警报器服务消息

Distributed File System: 局域网管理共享文件，不需要可禁用

Distributed linktracking client ：用于局域网更新连接信息，不需要可禁用

Error reporting service ：禁止发送错误报告

Microsoft Serch ：提供快速的单词搜索，建议禁用 **** 不禁用移动 *.msc 文件后启动系统时会报错。禁用后没影响

NTLMSecuritysupportprovide ： telnet 服务和 Microsoft Serch 用的，不需要可禁用

PrintSpooler ：如果没有打印机可禁用

Remote Registry ：禁止远程修改注册表

Remote Desktop Help Session Manager ：禁止远程协助

    Workstation   关闭的话远程 NET 命令列不出用户组

以上是在 Windows Server 2003 系统上面默认启动的服务中禁用的，默认禁用的服务如没特别需要的话不要启动。

看下我开了些什么服务 , 大家可以参考设置一下 . 如果把不该禁用的服务禁了，事件查看器可能会出现一些报错 .

 

9. 设置 IP 筛选，只开放你所要用到的端口，这样可以防止别人的木马程序连接，因为任何一个网络程序要和你服务器通信，都要通过端口。查看本机所开的端口是用 netstat -na 命令 , 这儿我们开放了 80 1989 21 1433(sqlserver),5631(pcanywhere) 和 ip6 端口 , 这样设置后，一般的后门程序就无法连接到本机了，注意要重新启动了才有效果

附常用服务的各个端口：

IIS 80

FTP 21 启用后需要 FTP 客户端关闭 PSAV 才能连接

SMTP 25

POP3 110

MS SQL 1433

Mysql 3306

PcAnywhere 5631

Windows 远程客户端 3389

 

 

10. 修改相关注册表，个人感觉这样的效果不大。没去修改，仅供参考：

 

A 、防止 SYN 洪水攻击

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters

新建 DWORD 值，名为 SynAttackProtect ，值为 2

新建 EnablePMTUDiscovery REG_DWORD 0

新建 NoNameReleaseOnDemand REG_DWORD 1

新建 EnableDeadGWDetect REG_DWORD 0

新建 KeepAliveTime REG_DWORD 300,000

新建 PerformRouterDiscovery REG_DWORD 0

新建 EnableICMPRedirects REG_DWORD 03. 禁止响应 ICMP 路由通告报文

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\interface

新建 DWORD 值，名为 PerformRouterDiscovery 值为 0

 

B 、防止 ICMP 重定向报文的攻击

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters

将 EnableICMPRedirects 值设为 0

 

C 、不支持 IGMP 协议

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters

新建 DWORD 值，名为 IGMPLevel 值为 0

 

D 、禁止 IPC 空连接：

cracker 可以利用 net use 命令建立空连接，进而入侵，还有 net view ， nbtstat 这些都是基于空连接的，禁止空连接就好了。

Local_Machine\System\CurrentControlSet\Control\LSA-RestrictAnonymous 把这个值改成” 1 ” 即可。

 

E 、更改 TTL 值

cracker 可以根据 ping 回的 TTL 值来大致判断你的操作系统，如：

TTL=107(WINNT);

TTL=108(win2000);

TTL=127 或 128(win9x);

TTL=240 或 241(linux);

TTL=252(solaris);

TTL=240(Irix);

实际上你可以自己改的： HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters ： DefaultTTL REG_DWORD 0-0xff(0-255 十进制 , 默认值 128) 改成一个莫名其妙的数字如 250

 

 

11. 把系统 Administrator 账号改名 , 我的已经改成了 中央人民政府 。可以把硬盘的其它分区或重要目录设置成仅这个用户可以访问。这样即使入侵者把自己提升成了超级管理员组成员。也无法访问这些地方。将 Administrators 组改名为其他，这样即使系统出现了溢出漏洞，但系统盘下的 net.exe 程序已被转移删除，想加入管理员组基本难以实现。何况 Administrators 组已被改名，用那个 net localgroup administrators xxx /add ，不知道管理员组的名字，会提示指定的本地组不存在。这样即使 net 命令可用也加不上了。

最后给你的管理员帐户设定一个非常复杂的密码 .

 

 

设置本地用户帐号，把管理员和来宾帐号重新命名，禁止不必用的帐号，最好还要建立一个管理员备用帐号 , 以防万一 ( 提示：养成经常看一看本地用户帐号属性的习惯，以防后门帐号 )

 

12. 控制面板的设置：

修改 *.cpl( 控制面板文件 ) 的权限为只有管理员可以访问

移动所有 *.msc （管理控制台文件 ) 到你的一个固定目录，并设置这个目录的访问权限 ( 只有管理员可以防问，比如上面 11 中说的，把这个目录加上只有中央人民政府这个用户可以访问 . 这样就是别人进入你服务器也没办法操作 , 还有就是把 net.exe 改名或者移动 . 搜索 net.exe;net1.exe 只给管理员可以访问的权限

 

设置 arp.exe;attrib.exe;cmd.exe;format.com;ftp.exe;tftp.exe;net.exe;net1.exe;netstat.exe;ping.exe;regedit.exe;regsvr32.exe;telnet.exe;xcopy.exe;at.exe 的权限只有管理员权限可以访问 ( 注意 net1.exe 与 net 同样作用 ) 搜索这些文件时注意选择其它高级选项，勾选搜索隐藏的文件和文件夹。

 

 

13. 卸载 wscript.shell 对象 ( 强烈建议卸载 . 命令行执行组件 . 可以通过上传 cmd.exe 到网站目录下或直接调用服务器上的从而运行相关命令 )

在 cmd 下运行： regsvr32 WSHom.Ocx   /u

   卸载 FSO 对象 ( 不建议卸载 . 文件操作组件 . 一般虚拟主机服务提供商都开放着 , 禁用后一些 asp 程序不能正常运行 )

在 cmd 下运行： regsvr32.exe scrrun.dll /u

 

禁用 Workstation 服务 , 如果不禁用 ,asp 网马可以查看系统用户与服务 , 知道你的所有用户名称

 

14.IIS 站点设置：

1 、将 IIS 目录数据与系统磁盘分开，保存在专用磁盘空间内。

2 、启用父级路径

3 、在 IIS 管理器中删除必须之外的任何没有用到的映射 ( 保留 asp 等必要映射即可 )

4 、在 IIS 中将 HTTP404 Object Not Found 出错页面通过 URL 重定向到一个定制 HTM 文件

5 、 Web 站点权限设定 ( 建议 )

读                  允许

写                  不允许

脚本源访问         不允许

目录浏览          建议关闭

日志访问         建议关闭

索引资源         建议关闭

执行              推荐选择 “仅限于脚本”

 

 

经过以上的设置后，服务器基本上已经安全了。注意常更新系统安全补丁，关注一些最新漏洞的危害，并做相应的预防。好了，结束。