windows 2003 server web配置和安全_windows安全配置
windows 2003 server web配置和安全由刀豆文库小编整理,希望给你工作、学习、生活带来方便,猜你可能喜欢“windows安全配置”。
输入此网站的网页文件所在目录。设置网站访问的权限,一般不需要“写入”权限。点击下一步,完成新网站的创建。
配置不同IP地址的站点方法
具体方法:
在“IIS服务管理器”中,右击新建的网站(电影服务),选择属性,并在“网站选项卡”下更改IP地址。
配置不同端口的站点方法
具体方法:
在“IIS服务管理器”中,右击新建的网站(电影服务),选择属性,并在“网站选项卡”下更改端口为不同的值,如81。
配置不同主机头
具体方法:
在“IIS服务管理器”中,右击新建的网站(电影服务),选择属性,在“网站选项卡”下点击ip地址后的“高级”,并在弹出的“高级网络标识”窗口中点击“编辑”按钮。
接着在弹出的“添加/编辑网络标识”窗口中“主机头值”。
设置完主机头后还需要配置DNS服务器,添加主机头值的主机记录,是客户端能够解析出主机头的IP地址,就可以使用“http://主机头”访问网站。
二、WEB站点的排错
·客户机访问WEB站点的过程
1>当客户机访问网站时,服务器先检查客户机IP地址是否授权
2>然后检查用户和密码是否正确(匿名用户不需要密码)
3>接着检查主目录是否设置了“读取权限”
4>最后检查网站文件的NTFS权限
·常见错误
1、错误号403.6
分析:
由于客户机的IP地址被WEB网站中设置为阻止。
解决方案:
打开站点属性->“目录安全性选项卡”->“IP地址和域名限制”->点击“编辑”按钮,并将拒绝的IP段删除。
2、错误号401.1
分析:
由于用户匿名访问使用的账号(默认是IUSR_机器名)被禁用,或者没有权限访问计算机,将造成用户无法访问。
解决方案:
(1)查看IIS管理器中站点安全设置的匿名帐户是否被禁用,如果是,请尝试用以下办法启用:
控制面板->管理工具->计算机管理->本地用户和组,将IUSR_机器名账号启用。如果还没有解决,请继续下一步。
(2)查看本地安全策略中,IIS管理器中站点的默认匿名访问帐号或者其所属的组是否有通过网络访问服务器的权限,如果没有尝试用以下步骤赋予权限:
开始->程序->管理工具->本地安全策略->安全策略->本地策略->用户权限分配,双击“从网络访问此计算机”,添加IIS默认用户或者其所属的组。
注意:一般自定义 IIS默认匿名访问帐号都属于组,为了安全,没有特殊需要,请
遵循此规则。
3、错误号401.2
原因:关闭了匿名身份验证
解决方案:
打开站点属性->目录安全性->身份验证和访问控制->选中“启用匿名访问”,输入用户名,或者点击“浏览”选择合法的用户,并两次输入密码后确定。
4、错误号:401.3
原因:
原因一 IIS匿名用户一般属于Guests组,而我们一般把存放网站的硬盘的权限只分配给administrators组,这时候按照继承原则,网站文件夹也只有administrators组的成员才能访问,导致IIS匿名用户访问该文件的NTFS权限不足,从而导致页面无法访问。
原因二 是在IIS 管理器中将网站的权限设置不可读(IIS匿名用户)。
解决方案:
给IIS匿名用户访问网站文件夹的权限.方法1:进入该文件夹的安全选项,添加IIS匿名用户,并赋予相应权限,一般是只读。
方法2: 右击站点,选择“权限”,打开权限设置窗口。并赋予IIS匿名用户只读权限。
敬告:“win2003 服务器设置 完全版” 一文如与您有版权冲突请联系站长处理,我们是公益免费论文网,不周之处,万请谅解!
--->返回到论文先生网首页
-第一步:
一、先关闭不需要的端口
我比较小心,先关了端口。只开了3389 21 80 1433(MYSQL)有些人一直说什么默认的3389不安全,对此我不否认,但是利用的途径也只能一个一个的穷举爆破,你把帐号改
了密码设置为十五六位,我估计他要破上好几年,哈哈!办法:本地连接--属性--Internet协议(TCP/IP)--高级--选项--TCP/IP筛选--属性--把勾打上 然后添加你需要的端口即可。PS一句:设置完端口需要重新启动!
当然大家也可以更改远程连接端口方法:
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlTerminal ServerWinStationsRDP-Tcp]
“PortNumber”=dword:00002683
保存为.REG文件双击即可!更改为9859,当然大家也可以换别的端口,直接打开以上注册表的地址,把值改为十进制的输入你想要的端口即可!重启生效!
还有一点,在2003系统里,用TCP/IP筛选里的端口过滤功能,使用FTP服务器的时候,只开放21端口,在进行FTP传输的时候,FTP 特有的Port模式和Paive模式,在进行数据传输的时候,需要动态的打开高端口,所以在使用TCP/IP过滤的情况下,经常会出现连接上后无法列出目录和数据传输的问题。所以在2003系统上增加的windows连接防火墙能很好的解决这个问题,所以都不推荐使用网卡的TCP/IP过滤功能。所做FTP下载的用户看仔细点,表怪俺说俺写文章是垃圾...如果要关闭不必要的端口,在system32driversetcservices中有列表,记事本就可以打开的。如果懒惰的话,最简单的方法是启用WIN2003的自身带的网络防火墙,并进行端口的改变。功能还可以!Internet 连接防火墙可以有效地拦截对Windows 2003服务器的非法入侵,防止非法远程主机对服务器的扫描,提高Windows 2003服务器的安全性。同时,也可以有效拦截利用操作系统漏洞进行端口攻击的病毒,如冲击波等蠕虫病毒。如果在用Windows 2003构造的虚拟路由器上启用此防火墙功能,能够对整个内部网络起到很好的保护作用。
二、关闭不需要的服务 打开相应的审核策略
我关闭了以下的服务
Computer Browser 维护网络上计算机的最新列表以及提供这个列表 Task scheduler 允许程序在指定时间运行
Routing and Remote Acce 在局域网以及广域网环境中为企业提供路由服务 Removable storage 管理可移动媒体、驱动程序和库 Remote Registry Service 允许远程注册表操作
Print Spooler 将文件加载到内存中以便以后打印。要用打印机的朋友不能禁用这项 IPSEC Policy Agent 管理IP安全策略以及启动ISAKMP/OakleyIKE)和IP安全驱动程序 Distributed Link Tracking Client 当文件在网络域的NTFS卷中移动时发送通知 Com+ Event System 提供事件的自动发布到订阅COM组件 Alerter 通知选定的用户和计算机管理警报
Error Reporting Service 收集、存储和向 Microsoft 报告异常应用程序 Meenger 传输客户端和服务器之间的 NET SEND 和警报器服务消息 Telnet 允许远程用户登录到此计算机并运行程序
把不必要的服务都禁止掉,尽管这些不一定能被攻击者利用得上,但是按照安全规则和标准上来说,多余的东西就没必要开启,减少一份隐患。
在“网络连接”里,把不需要的协议和服务都删掉,这里只安装了基本的Internet协议(TCP/IP),由于要控制带宽流量服务,额外安装了Qos数据包计划程序。在高级tcp/ip设置里--“NetBIOS”设置“禁用tcp/IP上的NetBIOS(S)”。在高级选项里,使用“Internet连接防火墙”,这是windows 2003 自带的防火墙,在2000系统里没有的功能,虽然没什么功能,但可以屏蔽端口,这样已经基本达到了一个IPSec的功能。
在运行中输入gpedit.msc回车,打开组策略编辑器,选择计算机配置-Windows设置-安全设置-审核策略在创建审核项目时需要注意的是如果审核的项目太多,生成的事件也就越多,那么要想发现严重的事件也越难当然如果审核的太少也会影响你发现严重的事件,你需要根据情况在这二者之间做出选择。
推荐的要审核的项目是:
登录事件 成功 失败
账户登录事件 成功 失败
系统事件 成功 失败
策略更改 成功 失败
对象访问 失败
目录服务访问 失败
特权使用 失败
三、磁盘权限设置 1.系统盘权限设置 C:分区部分: c: administrators 全部(该文件夹,子文件夹及文件)CREATOR OWNER 全部(只有子文件来及文件)system 全部(该文件夹,子文件夹及文件)IIS_WPG 创建文件/写入数据(只有该文件夹)IIS_WPG(该文件夹,子文件夹及文件)遍历文件夹/运行文件 列出文件夹/读取数据 读取属性
创建文件夹/附加数据 读取权限
c:Documents and Settings administrators 全部(该文件夹,子文件夹及文件)Power Users(该文件夹,子文件夹及文件)读取和运行 列出文件夹目录 读取
SYSTEM全部(该文件夹,子文件夹及文件)C:Program Files administrators 全部(该文件夹,子文件夹及文件)CREATOR OWNER全部(只有子文件来及文件)IIS_WPG(该文件夹,子文件夹及文件)读取和运行 列出文件夹目录 读取
Power Users(该文件夹,子文件夹及文件)修改权限
SYSTEM全部(该文件夹,子文件夹及文件)
TERMINAL SERVER USER(该文件夹,子文件夹及文件)修改权限
2.网站及虚拟机权限设置(比如网站在E盘)说明:我们假设网站全部在E盘www.daodoc.comfg.exe。回车,单击“控制台根节点”下的“组件服务”。打开“计算机”子文件夹。对于本地计算机,请以右键单击“我的电脑”,然后选择“属性”。选择“默认属性”选项卡。清除“在这台计算机上启用分布式 COM”复选框。
第二步:
尽管Windows 2003的功能在不断增强,但是由于先天性的原因,它还存在不少安全隐患,要是不将这些隐患“堵住”,可能会给整个系统带来不必要的麻烦;下面笔者就介绍Windows2003中不常见的安全隐患的防堵方法,希望能对各位带来帮助!
堵住自动保存隐患
Windows 2003操作系统在调用应用程序出错时,系统中的Dr.Watson会自动将一些重要的调试信息保存起来,以便日后维护系统时查看,不过这些信息很有可能被黑客“瞄上”,一旦瞄上的话,各种重要的调试信息就会暴露无疑,为了堵住Dr.Watson自动保存调试信息的隐患,我们可以按如下步骤来实现:
1、打开开始菜单,选中“运行”命令,在随后打开的运行对话框中,输入注册表编辑命令“ergedit”命令,打开一个注册表编辑窗口;
2、在该窗口中,用鼠标依次展开HKEY_local_machine\software\Microsoft\WindowsdowsNT\CurrentVersion\AeDebug分支,在对应AeDebug键值的右边子窗口中,用鼠标双击Auto值,在弹出的参数设置窗口中,将其数值重新设置为“0”,3、打开系统的Windows资源管理器窗口,并在其中依次展开Documents and Settings文件夹、All Users文件夹、Shared Documents文件夹、DrWatson文件夹,最后将对应DrWatson中的User.dmp文件、Drwtsn32.log文件删除掉。
完成上面的设置后,重新启动一下系统,就可以堵住自动保存隐患了。
堵住资源共享隐患
为了给局域网用户相互之间传输信息带来方便,Windows Server 2003系统很是“善解人意”地为各位提供了文件和打印共享功能,不过我们在享受该功能带来便利的同时,共享功能也会“引狼入室”,“大度”地向黑客们敞开了不少漏洞,给服务器系统造成了很大的不安全性;所以,在用完文件或打印共享功能时,大家千万要随时将功能关闭哟,以便堵住资源共享隐患,下面就是关闭共享功能的具体步骤:
1、执行控制面板菜单项下面的“网络连接”命令,在随后出现的窗口中,用鼠标右键单击一下“本地连接”图标;
2、在打开的快捷菜单中,单击“属性”命令,这样就能打开一个“Internet协议(TCP/IP)”属性设置对话框;
3、在该界面中取消“Microsoft网络的文件和打印机共享”这个选项;
4、如此一来,本地计算机就没有办法对外提供文件与打印共享服务了,这样黑客自然也就少了攻击系统的“通道”。
堵住远程访问隐患
在Windows2003系统下,要进行远程网络访问连接时,该系统下的远程桌面功能可以将进行网络连接时输入的用户名以及密码,通过普通明文内容方式传输给对应连接端的客户端程序;在明文帐号传输过程中,实现“安插”在网络通道上的各种嗅探工具,会自动进入“嗅探”状态,这个明文帐号就很容易被“俘虏”了;明文帐号内容一旦被黑客或其他攻击者另谋他用的话,呵呵,小心自己的系统被“疯狂”攻击吧!为了杜绝这种安全隐患,我们可以按下面的方法来为系统“加固”:
1、点击系统桌面上的“开始”按钮,打开开始菜单;
2、从中执行控制面板命令,从弹出的下拉菜单中,选中“系统”命令,打开一个系统属性设置界面;
3、在该界面中,用鼠标单击“远程”标签;
4、在随后出现的标签页面中,将“允许用户远程连接到这台计算机”选项取消掉,这样就可以将远程访问连接功能屏蔽掉,从而堵住远程访问隐患了。
堵住用户切换隐患
Windows 2003系统为我们提供了快速用户切换功能,利用该功能我们可以很轻松地登录到系统中;不过在享受这种轻松时,系统也存在安装隐患,例如我们要是执行系统“开始”菜单中的“注销”命令来,快速“切换用户”时,再用传统的方式来登录系统的话,系统很有可能会本次登录,错误地当作是对计算机系统的一次暴力“袭击”,这样Windows2003系统就可能将当前登录的帐号当作非法帐号,将它锁定起来,这显然不是我们所需要的;不过,我们可以按如下步骤来堵住用户切换时,产生的安全隐患:
在Windows 2003系统桌面中,打开开始菜单下面的控制面板命令,找到下面的“管理工具”命令,再执行下级菜单中的“计算机管理”命令,找到“用户帐户”图标,并在随后出现的窗口中单击“更改用户登录或注销的方式”;在打开的设置窗口中,将“使用快速用户切换”选项取消掉就可以了。
堵住页面交换隐患
Windows 2003操作系统即使在正常工作的情况下,也有可能会向黑客或者其他访问者泄漏重要的机密信息,特别是一些重要的帐号信息。也许我们永远不会想到要查看一下,那些可能会泄漏隐私信息的文件,不过黑客对它们倒是很关心的哟!Windows 2003操作系统中的页面交换文件中,其实就隐藏了不少
重要隐私信息,这些信息都是在动态中产生的,要是不及时将它们清除,就很有可能成为黑客的入侵突破口;为此,我们必须按照下面的方法,来让Windows 2003操作系统在关闭系统时,自动将系统工作时产生的页面文件全部删除掉:
1、在Windows 2003的“开始”菜单中,执行“运行”命令,打开运行对话框,并在其中输入“Regedit”命令,来打开注册表窗口;
2、在该窗口的左边区域中,用鼠标依次单击HKEY_local_machine\system\currentcontrolset\control\seionmanager\memory management键值,找到右边区域中的ClearPageFileAtShutdown键值,并用鼠标双击之,在随后打开的数值设置窗口中,将该DWORD值重新修改为“1”;
3、完成设置后,退出注册表编辑窗口,并重新启动计算机系统,就能让上面的设置生效了。
更多专题:服务器安全防黑系列知识、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、、安全之 scw Windows Server 2003是大家最常用的服务器操作系统之一。虽然它提供了强大的网络服务功能,并且简单易用,但它的安全性一直困扰着众多网管,如何在充分利用Windows Server 2003提供的各种服务的同时,保证服务器的安全稳定运行,最大限度地抵御病毒和黑客的入侵。Windows Server 2003 SP1中文版补丁包的发布,恰好解决这个问题,它不但提供了对系统漏洞的修复,还新增了很多易用的安全功能,如安全配置向导(SCW)功能。利用SCW功能的“安全策略”可以最大限度增强服务器的安全,并且配置过程非常简单,下面就一起来看吧!
厉兵秣马 先装“SCW”
大家都很清楚,Windows Server 2003系统为增强其安全性,默认情况下,很多服务组件是不被安装的,要想使用,必须手工安装。“SCW”功能也是一样,虽然你已经成功安装了补丁包SP1,但也需要手工安装“安全配置向导(SCW)”组件。
进入“控制面板”后,运行“添加或删除程序”,然后切换到“添加/删除Windows组件”页。下面在“Windows组件向导”对话框中选中“安全配置向导”选项,最后点击“下一步”按钮后,就能轻松完成“SCW”组件的安装。
安装过程就这么简单,接下来就能根据自身需要,利用“SCW”配置安全策略,增强Windows Server 2003服务器安全。
配置“安全策略” 原来如此“简单”
在Windows Server 2003服务器中,点击“开始→运行”后,在运行对话框中执行“SCW.exe”命令,就会弹出“安全配置向导”对话框,开始你的安全策略配置过程。当然你也可以进入“控制面板→管理工具”窗口后,执行“安全配置向导”快捷方式来启用“SCW”。
1.新建第一个“安全策略”
如果你是第一次使用“SCW”功能,首先要为Windows Server 2003服务器新建一个安全策略,安全策略信息是被保存在格式为XML 的文件中的,并且它的默认存储位置是“C:WINDOWSsecuritymcwPolicies”。因此一个Windows Server 2003系统可以根据不同需要,创建多个“安全策略”文件,并且还可以对安全策略文件进行修改,但一次只能应用其中一个安全策略。
在“欢迎使用安全配置向导”对话框中点击“下一步”按钮,进入到“配置操作”对话框,因为是第一次使用“SCW”,这里要选择“创建新的安全策略”单选项,点击“下一步”按钮,就开始配置安全策略。
2.轻松配置“角色”
首先进入“选择服务器”对话框,在“服务器”栏中输入要进行安全配置的Windows Server 2003服务器的机器名或IP地址,点击“下一步”按钮后,“安全配置向导”会处理安全配置数据库。
接着就进入到“基于角色的服务配置”对话框。在基于角色的服务配置中,可以对Windows Server 2003服务器角色、客户端角色、系统服务、应用程序,以及管理选项等内容进行配置。
所谓服务器“角色”,其实就是提供各种服务的Windows Server 2003服务器,如文件服务器、打印服务器、DNS服务器和DHCP服务器等,一个Windows Server 2003服务器可以只提供一种服务器“角色”,也可以扮演多种服务器角色。点击“下一步”按钮后,就进入到“选择服务器角色”配置对话框,这时需要在“服务器角色列表框”中勾选你的Windows Server 2003服务器所扮演的角色。
注意:为了保证服务器的安全,只勾选你所需要的服务器角色即可,选择多余的服务器角色选项,会增加Windows Server 2003系统的安全隐患。如笔者的Windows Server 2003服务器只是作为文件服务器使用,这时只要选择“文件服务器”选项即可。
进入“选择客户端功能”标签页,来配置Windows Server 2003服务器支持的“客户端功能”,其实Windows Server 2003服务器的客户端功能也很好理解,服务器在提供各种网络服务的同时,也需要一些客户端功能的支持才行,如Microsoft网络客户端、DHCP客户端和FTP客户端等。根据需要,在列表框中勾选你所需的客户端功能即可,同样,对于不需要的客户端功能选项,建议你一定要取消对它的选择。
接下来进入到“选择管理和其它选项”对话框,在这里选择你需要的一些Windows Server 2003系统提供的管理和服务功能,操作方法是一样的,只要在列表框中勾选你需要的管理选项即可。点击“下一步”后,还要配置一些Windows Server 2003系统的额外服务,这些额外服务一般都是第三方软件提供的服务。
然后进入到“处理未指定的服务”对话框,这里“未指定服务”是指,如果此安全策略文件被应用到其它Windows Server 2003服务器中,而这个服务器中提供的一些服务没有在安全配置数据库中列出,那么这些没被列出的服务该在什么状态下运行呢?在这里就可以指定它们的运行状态,建议大家选中“不更改此服务的启用模式”单选项。最后进入到“确认服务更改”对话框,对你的配置进行最终确认后,就完成了基于角色的服务配置。
3.配置网络安全
以上完成了基于角色的服务配置。但Windows Server 2003服务器包含的各种服务,都是通过某个或某些端口来提供服务内容的,为了保证服务器的安全,Windows防火墙默认是不会开放这些服务端口的。下面就可以通过“网络安全”配置向导开放各项服务所需的端口,这种向导化配置过程与手工配置Windows防火墙相比,更加简单、方便和安全。
在“网络安全”对话框中,要开放选中的服务器角色,Windows Server 2003系统提供的管理功能以及第三方软件提供的服务所使用的端口。点击“下一步”按钮后,在“打开端口并允许应用程序”对话框中开放所需的端口,如FTP服务器所需的“20和21”端口,IIS服务所需的“80”端口等,这里要切记“最小化”原则,只要在列表框中选择要必须开放的端口选项即可,最后确认端口配置,这里要注意:其它不需要使用的端口,建议大家不要开放,以免给Windows Server 2003服务器造成安全隐患。
4.注册表设置
Windows Server 2003服务器在网络中为用户提供各种服务,但用户与服务器的通信中很有可能包含“不怀好意”的访问,如黑客和病毒攻击。如何保证服务器的安全,最大限度地限制非法用户访问,通过“注册表设置”向导就能轻松实现。
利用注册表设置向导,修改Windows Server 2003服务器注册表中某些特殊的键值,来严格限制用户的访问权限。用户只要根据设置向导提示,以及服务器的服务需要,分别对“要求SMB安全签名”、“出站身份验证方法”、“入站身份验证方法”进行严格设置,就能最大限度保证Windows Server 2003服务器的安全运行,并且免去手工修改注册表的麻烦。
5.启用“审核策略”
聪明的网管会利用日志功能来分析服务器的运行状况,因此适当的启用审核策略是非常重要的。SCW功能也充分的考虑到这些,利用向导化的操作就能轻松启用审核策略。
在“系统审核策略”配置对话框中要合理选择审核目标,毕竟日志记录过多的事件会影响服务器的性能,因此建议用户选择“审核成功的操作”选项。当然如果有特殊需要,也可以选择其它选项。如“不审核”或“审核成功或不成功的操作”选项。
6.增强IIS安全
IIS服务器是网络中最为广泛应用的一种服务,也是Windows系统中最易受攻击的服务。如何来保证IIS服务器的安全运行,最大限度免受黑客和病毒的攻击,这也是SCW功能要解决的一个问题。利用“安全配置向导”可以轻松的增强IIS服务器的安全,保证其稳定、安全运行。
在“Internet信息服务”配置对话框中,通过配置向导,来选择你要启用的Web服务扩展、要保持的虚拟目录,以及设置匿名用户对内容文件的写权限。这样IIS服务器的安全性就大大增强。
小提示:如果你的Windows Server 2003服务器没有安装、运行IIS服务,则在SCW配置过程中不会出现IIS安全配置部分。
完成以上几步配置后,进入到保存安全策略对话框,首先在“安全策略文件名”对话框中为你配置的安全策略起个名字,最后在“应用安全策略”对话框中选择“现在应用”选项,使配置的安全策略立即生效。
利用SCW增强Windows Server 2003服务器的安全性能就这么简单,所有的参数配置都是通过向导化对话框完成的,免去了手工繁琐的配置过程,SCW功能的确是安全性和易用性有效的结合点。如果你的Windows Server 2003系统已经安装了SP1补丁包,不妨试试SCW吧!
总结六大条 Windows Server 2003 Web 服务器安全策略
上个工作是做网站服务器维护,在网上搜索了好多教程,感觉乱的很。干脆自己总结了一套Windows Server 2003服务器安全策略。绝非是网上转载的。都是经过测试的。自己感觉还行吧!欢迎大家测试,也希望与我一起交流服务器的安全问题。希望对大家有帮助!q+ k& W _“ X& V
策略一:关闭windows2003不必要的服务 0 N+ ?2 W3 T(u% A
·Computer Browser 维护网络上计算机的最新列表以及提供这个列表 * `9 h' q2 `' [& _6 T!Q, t
·Task scheduler 允许程序在指定时间运行* L-i: p3 J2 T9 X& k6 O” b* L4 {
·Routing and Remote Acce 在局域网以及广域网环境中为企业提供路由服务 / b% d2 e* “ r!Y _
·Removable storage 管理可移动媒体、驱动程序和库6 t& b;n)|)]8 K' l0 e8 r 0 K2 @/ x” y: b)}
·Remote Registry Service 允许远程注册表操作
·Print Spooler 将文件加载到内存中以便以后打印。
·IPSEC Policy Agent 管理IP安全策略及启动ISAKMP/OakleyIKE)和IP安全驱动程序2 s2 @+ r' q2 ^5 b
·Distributed Link Tracking Client 当文件在网络域的NTFS卷中移动时发送通知$ x2 * y5 s)T(g
·Com+ Event System 提供事件的自动发布到订阅COM组件* ~7 m!Q/ r& K: E* U p)u3 e' W;{9 r# G: Y5 m% O, a
·Alerter 通知选定的用户和计算机管理警报
·Error Reporting Service 收集、存储和向 Microsoft 报告异常应用程序 % k;j“ q% j;l)e$ ~4 L5 _# S
·Meenger 传输客户端和服务器之间的 NET SEND 和 警报器服务消息
·Telnet 允许远程用户登录到此计算机并运行程序
策略二:磁盘权限设置6 g4 ?: u(d6 G% L!@(r 6 F% z' t2 m, V, ~
C盘只给administrators和system权限,其他的权限不给,其他的盘也可以这样设置,这里给的system权限也不一定需要给,只是由于某些第三方应用程序是以服务形式启动的,需要加上这个用户,否则造成启动不了。1 V(K)r$ F+ k# E0 g1 S0 ^
Windows目录要加上给users的默认权限,否则ASP和ASPX等应用程序就无法运行。
# b, k+ O4 o!{.W5 n, ~
策略三:禁止 Windows 系统进行空连接7 S7 V% M” R.S x, n1 F7 q1 V: Y5 n
在注册表中找到相应的键HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Control/LSA,将DWORDRestrictAnonymous的键值改为1 “ ^: E* ~, R0 N, N& W4 [)?
策略四:关闭不需要的端口
本地连接--属性--Internet协议(TCP/IP)--高级--选项--TCP/IP筛选--属性--把勾打上,然后添加你需要的端口即可。(如:338
9、21、1
433、330
6、80)([3 ^& {& c.{+ Q$ Z
更改远程连接端口方法+ L* Z4 k% j0 E9 @!P* T6 h
开始-->运行-->输入regedit' G+.T;N9 m: q0 a8 q `
查找3389:0 B, _8 L0 {5 R% d4 f
请按以下步骤查找:7 v' {5 {7 a& N 6 j: E(p!_& l
1、HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlTerminal
值
值
ServerWdsrdpwdTdstcp下的PortNumber=3389改为自宝义的端口号
;w1 v8 j2 J4 H+ Y!N
2、HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlTerminal ServerWinStationsRDP-Tcp下的PortNumber=3389改为自宝义的端口号# t3 s% E.x, T5 C
修改3389为你想要的数字(在十进制下)----再点16进制(系统会自动转换)----最后确定!这样就ok了。
M1 W0 M# @* R0 M” n, `
这样3389端口已经修改了,但还要重新启动主机,这样3389端口才算修改成功!如果不重新启动3389还是修改不了的!重起后下次就可以用新端口进入了!% S3 G(a4 ].E3 i7 P2 q3 w0 M: Y
禁用TCP/IP上的NETBIOS4 H;q: T5 2 e1 n
本地连接--属性--Internet协议(TCP/IP)--高级—WINS--禁用TCP/IP上的NETBIOS!}2 J!{ k-a4 i8 y
策略五:关闭默认共享的空连接$ C, P$ W.A3 ^;c* S
首先编写如下内容的批处理文件:
@echo off
net share C$ /delete% }9 ^$ l/ E/ N-z;Y
net share D$ /delete
net share E$ /delete “ N# ^!R, k, p0 @' }
net share F$ /delete+ y-M)W {){
net share admin$ /delete6 ]-k3 ]5 X8 s)Z1 m4 B & }% j/ B* d& J4 A5 i J
以上文件的内容用户可以根据自己需要进行修改。保存为delshare.bat,存放到系统所在文件夹下的system32GroupPolicyUserScriptsLogon目录下。然后在开始菜单→运行中输入gpedit.msc,回车即可打开组策略编辑器。点击用户配置→Windows设置→脚本(登录/注销)→登录..w6 X6 a6 X& W
在出现的“登录 属性”窗口中单击“添加”,会出现“添加脚本”对话框,在该窗口的“脚本名”栏中输入delshare.bat,然后单击“确定”按钮即可。
重新启动计算机系统,就可以自动将系统所有的隐藏共享文件夹全部取消了,这样就能将系统安全隐患降低到最低限度。3 |1 Y/ ]3 j# X3 J
策略五:IIS安全设置(y' D* T2 I(y: h)d
1、不使用默认的Web站点,如果使用也要将IIS目录与系统磁盘分开。# D* Q1 X([4 P4 L-Q# : m7 B: o' R
2、删除IIS默认创建的Inetpub目录(在安装系统的盘上)。, v/ n8 _+ x' W/ P% n/ a
3、删除系统盘下的虚拟目录,如:_vti_bin、IISSamples、Scripts、IIShelp、IISAdmin、IIShelp、MSADC。B” B8 G% I4 c.@0 y“ f” |
4、删除不必要的IIS扩展名映射。6 w9 k% T# M“ s/ j
右键单击“默认Web站点→属性→主目录→配置”,打开应用程序窗口,去掉不必要的应用程序映射。主要为.shtml、shtm、stm。7 t!$ X!x0 p!R# [0 m4 b & x.`8 N” r-f5 z* W* b6 K$ @.X5、更改IIS日志的路径
右键单击“默认Web站点→属性-网站-在启用日志记录下点击属性
策略六:注册表相关安全设置 & R$ _6 A* P“ }6 J(^* f
1、隐藏重要文件/目录
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrent-VersionExplorerAdvancedFolderHiddenSHOWALL”{!a: G# g;a4 K b” A-z
鼠标右击 “CheckedValue”,选择修改,把数值由1改为0。$ ^, V/ o0 n1 `, s(H$ R8 l$ v X+ Q3 l2、防止SYN洪水攻击' o9 |)q4 i# e& O!X
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesTcpipParameters
新建DWORD值,名为SynAttackProtect,值为21 W0 |: K1 ?9 v0 S(x* k;i8 w
3、禁止响应ICMP路由通告报文8 q6 T$ p2 # N e1 f0 P1 k
O* i6 p: R-P i5 Q-w
HKEY_LOCAL_MACHINESYSTEM ServicesTcpipParametersInterfacesinterface % G# k/ v* Q)n(I2 e4 m!n e
新建DWORD值,名为PerformRouterDiscovery 值为0。
4、防止ICMP重定向报文的攻击 3 S0 S1 t' e/ V& g& a
CurrentControlSet
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesTcpipParameters
将EnableICMPRedirects 值设为0 # 3 & k: ](j5、不支持IGMP协议4 i4 {* Z& u' ^
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesTcpipParameters ' e: _0 C-?$ C# Y
新建DWORD值,名为IGMPLevel 值为0。
策略七:组件安全设置篇
A、卸载WScript.Shell 和 Shell.application 组件,将下面的代码保存为一个.BAT文件执行(分2000和2003系统)!G5 c!~)C;V: `$ V/ [
windows2000.bat7 y)Z, [4 o-g4 F* r4 R
regsvr32/u C:WINNTSystem32wshom.ocx0 N1 M1 ?7 p)U: y)_/ `& J
del C:WINNTSystem32wshom.ocx/ C(R-s!|(N 7 E0 e& q+ M+ h5 Q# `
regsvr32/u C:WINNTsystem32shell32.dll
del C:WINNTsystem32shell32.dll5 a6 x7 @% T, l.r r
windows2003.bat' g9 X;?.Y: |;Z : i.], y(i7 c8 R B1 Z2 E
regsvr32/u C:WINDOWSSystem32wshom.ocx2 x9 A8 o+ U+ n# D1 t!@9 Y4 S+ v O8 I* D
del C:WINDOWSSystem32wshom.ocx : r1 _& ~;t1 R9 E$ ]8 G
regsvr32/u C:WINDOWSsystem32shell32.dll / [9 L!m# T+ F
del C:WINDOWSsystem32shell32.dll
B、改名不安全组件,需要注意的是组件的名称和Clsid都要改,并且要改彻底了,不要照抄,要自己改
【开始→运行→regedit→回车】打开注册表编辑器
然后【编辑→查找→填写Shell.application→查找下一个】 $ b* _+ ~;O!e$ V“ r$ q;q
用这个方法能找到两个注册表项:)g4 r+ _3 C5 a# I
{13709620-C279-11CE-A49E-444553540000} 和 Shell.application。% M, Y7 V$ P4 `2 C6 y
第一步:为了确保万无一失,把这两个注册表项导出来,保存为xxxx.reg 文件。
第二步:比如我们想做这样的更改
13709620-C279-11CE-A49E-444553540000 13709620-C279-11CE-A49E-444553540001$ t!w/ w6 g/ N* @
改名为
Shell.application 改名为 Shell.application_nohack)J(E!E8 P, t8 i(F$ _
第三步:那么,就把刚才导出的.reg文件里的内容按上面的对应关系替换掉,然后把修改好的.reg文件导入到注册表中(双击即可),导入了改名后的注册表项之后,别忘记了删除原有的那两个项目。这里需要注意一点,Clsid中只能是十个数字和ABCDEF六个字母。
” c6 e3 A-G u6 B6 G& E+ r
其实,只要把对应注册表项导出来备份,然后直接改键名就可以了,, h8 K4 F% K.m# n$ ?% d
改好的例子
% X“ m;y' K+ h(W9 d7 T” t
建议自己改(p7 e' Y“ F5 j E# i;k 8 z9 C }6 X.p7 ~
应该可一次成功2 I3 ` x: H$ b+ n1 r& B!X+ V, q
Windows Registry Editor Version 5.004 G3 l/ c5 f0 K!m3 a& Z E” g 4 X“ r* Y6 ]' U;D2 P-Y
[HKEY_CLASSES_ROOTCLSID{13709620-C279-11CE-A49E-444553540001}]!L” I!T4 K& O-u-k.a% R# m
@=“Shell Automation Service”
[HKEY_CLASSES_ROOTCLSID{13709620-C279-11CE-A49E-444553540001}InProcServer32]' c9 R2 B' n: w9 e& c9 t4 ~5 k0 h
@=“C:WINNTsystem32shell32.dll” “.T1 l* N& |7 O3 k
”ThreadingModel“=”Apartment“9 m.~/ p* H8 � ]&.v' ]
[HKEY_CLASSES_ROOTCLSID{13709620-C279-11CE-A49E-444553540001}ProgID] 9 |2 V3 d0 w6 N Q3 [9 }
@=”Shell.Application_nohack.1“/ M5 W& t: `.h/ w
[HKEY_CLASSES_ROOTCLSID{13709620-C279-11CE-A49E-444553540001}TypeLib]
@=”{50a7e9b0-70ef-11d1-b75a-00a0c90564fe}“% t7 J/ Y& G' V(t
[HKEY_CLASSES_ROOTCLSID{13709620-C279-11CE-A49E-444553540001}Version]& D$ {7 ]/ K# B!w: I3 c1 v2 E 9 c1 S+ d2 E* B!`8 q8 D2 d
@=”1.1“ 4 r$ M(r0 i1 K3 J)^
[HKEY_CLASSES_ROOTCLSID{13709620-C279-11CE-A49E-444553540001}VersionIndependentProgID].p0 Q)c0 k1 b# f(H2 }9 M.z
@=”Shell.Application_nohack“
[HKEY_CLASSES_ROOTShell.Application_nohack] % E# }& i$ G ~;T9 t: S7 a
@=”Shell Automation Service“ ” v2 b0 x4 ?1 L;b-X
[HKEY_CLASSES_ROOTShell.Application_nohackCLSID], [/ G$ `“ f' l-j8 Z
@=”{13709620-C279-11CE-A49E-444553540001}“
[HKEY_CLASSES_ROOTShell.Application_nohackCurVer]
@=”Shell.Application_nohack.1“(x.i$ Z1 s!p
评论:+ S6 x3 n: C” f9 C' W7 H3 X , x0 p;S-c# M/ N0 N2 U“ N.`
WScript.Shell 和 Shell.application 组件是脚本入侵过程中,提升权限的重要环节,这两个组件的卸载和修改对应注册键名,可以很大程度的提高虚拟主机的脚本安全性能,一般来说,ASP和php类脚本提升权限的功能是无法实现了,再加上一些系统服务、硬盘访问权限、端口过滤、本地安全策略的设置,虚拟主机因该说,安全性能有非常大的提高,黑客入侵的可能性是非常低了。注销了Shell组件之后,侵入者运行提升工具的可能性就很小了,但是prel等别的脚本语言也有shell能力,为防万一,还是设置一下为好。下面是另外一种设置,大同小异。0 z5 ^-b' ~” l$ n/ q: u' H
C、禁止使用FileSystemObject组件 # S.{/ F;|$ c$ J' W)h/ w, i
FileSystemObject可以对文件进行常规操作,可以通过修改注册表,将此组件改名,来防止此类木马的危害。1 ^% N4 W& L1 U)S6 p!l
HKEY_CLASSES_ROOTScripting.FileSystemObject$ `!L.G& I.m& _-K' E# { _ 3 F4 O3 g0 b9 q: {.C0 V% C+ F5 e0 g)k
改名为其它的名字,如:改为 FileSystemObject_ChangeName;B2 U: ]“ z;? ?
自己以后调用的时候使用这个就可以正常调用此组件了-^' W9 R2 ?' M.Q-X# s7 b% o)e!d/ o' p
也要将clsid值也改一下3 h/ B5 Y;q1 o)K5 d(?& p2 S
f, s;t1 [2 ^7 A
HKEY_CLASSES_ROOTScripting.FileSystemObjectCLSID项目的值3 w7 w)d+ l/ M: i9 g 7 C$ @.F.]+ [# t(G8 |(I
也可以将其删除,来防止此类木马的危害。-^/ H+ U7 O& }# v4 a;B
2000注销此组件命令:RegSrv32 /u C:WINNTSYSTEMscrrun.dll!y+ j5 [4 n+ T8 i
2003注销此组件命令:RegSrv32 /u C:WINDOWSSYSTEMscrrun.dll3 S)d5 A)+ W* [%-e2 W 5 D!P F1 U: R+ h5 O1 L
如何禁止Guest用户使用scrrun.dll来防止调用此组件?* H$ x N4 x8 W(X4 N1 g
使用这个命令:cacls C:WINNTsystem32scrrun.dll /e /d guests3 O% l.{# y# F# [* P, Q” N;t;o7 O.m4 ~0 Z:
D、禁止使用WScript.Shell组件5 l;k1 l& e' Z' A
WScript.Shell可以调用系统内核运行DOS基本命令5 z Z' v(]# G3 ^(_& B-U
可以通过修改注册表,将此组件改名,来防止此类木马的危害。“ }& x/ u b: C% y
HKEY_CLASSES_ROOTWScript.Shell及HKEY_CLASSES_ROOTWScript.Shell.1;z” C8 a* G5 y% y$ y* L7 r.y1 J5 B“ J8 X
改名为其它的名字,如:改为WScript.Shell.1_ChangeName 4 m8 m!U, L-P
WScript.Shell_ChangeName 或
自己以后调用的时候使用这个就可以正常调用此组件了 * b3 l# o# , {$ z0 }
也要将clsid值也改一下 & ^' ^: v6 w!{(v1 {# c
HKEY_CLASSES_ROOTWScript.ShellCLSID项目的值 : D1 E” P1 W0 V& };_1 o
HKEY_CLASSES_ROOTWScript.Shell.1CLSID项目的值;d' _7 ].~7 X& I7 k
也可以将其删除,来防止此类木马的危害。+ Z+ A# V* i% r-K% ~
E、禁止使用Shell.Application组件“ `!R-E t2 g3 L / B& e# c3 Y* x+ i
Shell.Application可以调用系统内核运行DOS基本命令.W% |8 ?5 ]9 q 2 J' J.k;d4 I& B6 g+ x$ |7 G
可以通过修改注册表,将此组件改名,来防止此类木马的危害。” G3 x.F;b!_# })@+ e' z
HKEY_CLASSES_ROOTShell.Application及
HKEY_CLASSES_ROOTShell.Application.1 , T!m!{1 Z“ r: m# V
改名为其它的名字,如:改为Shell.Application.1_ChangeName 8 T# A.W, k;B([(};K
Shell.Application_ChangeName 或
自己以后调用的时候使用这个就可以正常调用此组件了& t* `$ D/ F.C% ^
也要将clsid值也改一下
^5 n;S6 V/ T* T3 C” Z4 V
HKEY_CLASSES_ROOTShell.ApplicationCLSID项目的值 8 f5 M5 t ~& u* R!j
HKEY_CLASSES_ROOTShell.ApplicationCLSID项目的值)o3 l1 q% B' S7 ~8 X+ x: z/ U!1 m9 @!U9 m2 S: e7 r
也可以将其删除,来防止此类木马的危害。)v/ V8 F(k D-F $ J!a;F& I c1 v;S8 a
禁止Guest用户使用shell32.dll来防止调用此组件。!C3 ^: j y' O8 S3 S* x
2000使用命令:cacls C:WINNTsystem32shell32.dll /e /d guests2 l(N8 D% d5 J/ f$ w3 }
2003使用命令:cacls C:WINDOWSsystem32shell32.dll /e /d guests% f5 T!Y0 C!G* L“ O(E” l X6 @$ K# E)y$ J-P
注:操作均需要重新启动WEB服务后才会生效。
F、调用Cmd.exe
禁用Guests组用户调用cmd.exe
2000使用命令:cacls C:WINNTsystem32Cmd.exe /e /d guests4 # q0 a# w' i6 ?1 Z
2003使用命令:cacls C:WINDOWSsystem32Cmd.exe /e /d guests)t N9 x* ^-S“ [3 r(E n” U4 q, F 7 G5 c* R8 o# Y)B: g
通过以上四步的设置基本可以防范目前比较流行的几种木马,但最有效的办法还是通过综合安全设置,将服务器、程序安全都达到一定标准,才可能将安全等级设置较高,防范更多非法入侵。3
汽车安全操控配置ABS防抱死“ABS”中文译为“防锁死刹车系统”.它是一种具有防滑、防锁死等优点的汽车安全控制系统。ABS是常规刹车装置基础上的改进型技术,可分机械式和电子......
企业安全生产管理人员配备要求一、中华人民共和国安全生产法(中华人民共和国主席令第70号)第二章第十九条规定:矿山、建筑施工单位和危险物品的生产、经营、储存单位,应当设置安......
云南工商学院 防火墙架设配置和安全分析防火墙架设配置和安全分析摘 要近年来, 随着计算机网络技术的飞速发展,尤其是互联网的应用变得越来越广泛,在带来了前所未有的海量信......
卷烟厂典型工艺流程和配置制丝线 制丝线一般包括:叶片线、白肋烟处理线、梗线、切丝 线、烘丝线、切梗丝线、梗丝膨胀线、掺配加香线、储丝 柜等几个工艺段。制丝线设备主要......
火灾分类和灭火器配置要求 内容:火灾根据物质及其燃烧特性分为:A类火灾:指含碳固体可燃物,如木材、棉、毛、麻、纸张等燃烧的火灾; B类火灾:指甲、乙、丙类液体,如汽油、煤油、柴油......
