Windows2003安全策略.doc

Win2003服务器安全配置技巧我们配置的服务器需要提供支持的组件如下：（ASP、ASPX、CGI、PHP、FSO、JMAIL、MySql、SMTP、POP3、FTP、 3389终端服务、远程桌面Web连接管理服务等），这里前提是已经安装好了系统，IIS，包括FTP服务器，邮件服务器等，这些具体配置方法的就不再重复了，现在我们着重主要阐述下关于安全方面的配置。关于常规的如安全的安装系统，设置和管理帐户，关闭多余的服务，审核策略，修改终端管理端口， 以及配置MS-SQL，删除危险的存储过程，用最低权限的public帐户连接等等，都不说了先说关于系统的NTFS磁盘权限设置，大家可能看得都多了，但是2003服务器有些细节地方需要注意的，我看很多文章都没写完全。C盘只给administrators 和system权限，其他的权限不给，其他的盘也可以这样设置，这里给的system权限也不一定需要给，只是由于某些第三方应用程序是以服务形式启动的，需要加上这个用户，否则造成启动不了。相关图片.jpg (42.71 KB)2007-12-24 23:34Windows目录要加上给users的默认权限，否则ASP和ASPX等应用程序就无法运行。以前有朋友单独设置Instsrv和temp等目录权限，其实没有这个必要的。相关图片.jpg (42.54 KB)2007-12-24 23:34另外在c:/Documents and Settings/这里相当重要，后面的目录里的权限根本不会继承从前的设置，如果仅仅只是设置了C盘给administrators权限，而在All Users/Application Data目录下会出现everyone用户有完全控制权限，这样入侵这可以跳转到这个目录，写入脚本或只文件，再结合其他漏洞来提升权限；譬如利用serv-u的本地溢出提升权限，或系统遗漏有补丁，数据库的弱点，甚至社会工程学等等N多方法，从前不是有牛人发飑说：只要给我一个webshell，我就能拿到 system，这也的确是有可能的。在用做web/ftp服务器的系统里，建议是将这些目录都设置的锁死。其他每个盘的目录都按照这样设置，没个盘都只给adinistrators权限。相关图片.jpg (42.39 KB)2007-12-24 23:34另外，还将：net.exe，cmd.exe，tftp.exe，netstat.exe，regedit.exe，at.exe，attrib.exe，cacls.exe，这些文件都设置只允许administrators访问。把不必要的服务都禁止掉，尽管这些不一定能被攻击者利用得上，但是按照安全规则和标准上来说，多余的东西就没必要开启，减少一份隐患。在网络连接里，把不需要的协议和服务都删掉，这里只安装了基本的Internet协议（TCP/IP），由于要控制带宽流量服务，额外安装了 Qos数据包计划程序。在高级tcp/ip设置里-NetBIOS设置禁用tcp/IP上的NetBIOS（S）。在高级选项里，使用 Internet连接防火墙，这是windows 2003 自带的防火墙，在2000系统里没有的功能，虽然没什么功能，但可以屏蔽端口，这样已经基本达到了一个IPSec的功能。相关图片.jpg (48.75 KB)2007-12-24 23:34相关图片.jpg (40 KB)2007-12-24 23:34相关图片.jpg (28.58 KB)2007-12-24 23:34这里我们按照所需要的服务开放响应的端口。在2003系统里，不推荐用TCP/IP筛选里的端口过滤功能，譬如在使用FTP服务器的时候，如果仅仅只开放21端口，由于FTP协议的特殊性，在进行FTP传输的时候，由于FTP 特有的Port模式和Passive模式，在进行数据传输的时候，需要动态的打开高端口，所以在使用TCP/IP过滤的情况下，经常会出现连接上后无法列出目录和数据传输的问题。所以在2003系统上增加的windows连接防火墙能很好的解决这个问题，所以都不推荐使用网卡的TCP/IP过滤功能。相关图片.jpg (45.33 KB)2007-12-24 23:35IIS的安全：删掉c:/inetpub目录，删除iis不必要的映射首先是每一个web站点使用单独的IIS用户，譬如这里，新建立了一个名为 ，权限为guest的。相关图片.jpg (22.98 KB)2007-12-24 23:35相关图片.jpg (48.89 KB)2007-12-24 23:35在IIS里的站点属性里目录安全性-身份验证和访问控制里设置匿名访问使用下列Windows 用户帐户的用户名密码都使用 这个用户的信息.在这个站点相对应的web目录文件，默认的只给IIS用户的读取和写入权限（后面有更BT的设置要介绍）。相关图片.jpg (47.11 KB)2007-12-24 23:35在应用程序配置里，我们给必要的几种脚本执行权限：ASP.ASPX,PHP， ASP，ASPX默认都提供映射支持了的，对于PHP，需要新添加响应的映射脚本，然后在web服务扩展将ASP，ASPX都设置为允许，对于 php以及CGI的支持，需要新建web服务扩展，在扩展名(X)：下输入 php ，再在要求的文件(E)：里添加地址 C:/php/sapi/php4isapi.dll ，并勾选设置状态为允许(S)。然后点击确定，这样IIS就支持PHP了。支持CGI同样也是如此。20060711144143686.jpg (51.22 KB)2007-12-24 23:43要支持ASPX，还需要给web根目录给上users用户的默认权限，才能使ASPX能执行。相关图片.jpg (26.19 KB)2007-12-24 23:36相关图片.jpg (23.39 KB)2007-12-24 23:36另外在应用程序配置里，设置调试为向客户端发送自定义的文本信息，这样能对于有ASP注入漏洞的站点，可以不反馈程序报错的信息，能够避免一定程度的攻击。相关图片.jpg (38.43 KB)2007-12-24 23:36在自定义HTTP错误选项里，有必要定义下譬如404,500等错误，不过有有时候为了调试程序，好知道程序出错在什么地方，建议只设置404就可以了。相关图片.jpg (82.9 KB)2007-12-24 23:36相关图片.jpg (16.86 KB)2007-12-24 23:36IIS6.0由于运行机制的不同，出现了应用程序池的概念。一般建议10个左右的站点共用一个应用程序池，应用程序池对于一般站点可以采用默认设置，相关图片.jpg (44.31 KB)2007-12-24 23:36可以在每天凌晨的时候回收一下工作进程。相关图片.jpg (51.9 KB)2007-12-24 23:36新建立一个站，采用默认向导，在设置中注意以下在应用程序设置里：执行权限为默认的纯脚本，应用程序池使用独立的名为：315safe的程序池。相关图片.jpg (59 KB)2007-12-24 23:36相关图片.jpg (40.11 KB)2007-12-24 23:36名为315safe的应用程序池可以适当设置下内存回收：这里的最大虚拟内存为：1000M，最大使用的物理内存为256M，这样的设置几乎是没限制这个站点的性能的。相关图片.jpg (32.87 KB)2007-12-24 23:36在应用程序池里有个标识选项，可以选择应用程序池的安全性帐户，默认才用网络服务这个帐户，大家就不要动它，能尽量以最低权限去运行大，隐患也就更小些。在一个站点的某些目录里，譬如这个uploadfile目录，不需要在里面运行asp程序或其他脚本的，就去掉这个目录的执行脚本程序权限，在应用程序设置的执行权限这里，默认的是纯脚本，我们改成无，这样就只能使用静态页面了。依次类推，大凡是不需要asp运行的目录，譬如数据库目录，图片目录等等里都可以这样做，这样主要是能避免在站点应用程序脚本出现bug的时候，譬如出现从前流行的upfile漏洞，而能够在一定程度上对漏洞有扼制的作用。相关图片.jpg (49.69 KB)2007-12-24 23:37在默认情况下，我们一般给每个站点的web目录的权限为IIS用户的读取和写入，如图：相关图片.jpg (43.76 KB)2007-12-24 23:37但是我们现在为了将SQL注入，上传漏洞全部都赶走，我们可以采取手动的方式进行细节性的策略设置。1 给web根目录的IIS用户只给读权限。如图：相关图片.jpg (45.56 KB)2007-12-24 23:37然后我们对响应的uploadfiles/或其他需要存在上传文件的目录额外给写的权限，并且在IIS里给这个目录无脚本运行权限，这样即使网站程序出现漏洞，入侵者也无法将asp木马写进目录里去，呵呵，不过没这么简单就防止住了攻击，还有很多工作要完成。如果是MS-SQL数据库的，就这样也就OK了，但是Access的数据库的话，其数据库所在的目录，或数据库文件也得给写权限，然后数据库文件没必要改成.asp的。这样的后果大家也都知道了把，一旦你的数据库路径被暴露了，这个数据库就是一个大木马，够可怕的。其实完全还是规矩点只用mdb后缀，这个目录在IIS里不给执行脚本权限。然后在IIS里加设置一个映射规律，如图：相关图片.jpg (43.76 KB)2007-12-24 23:37相关图片.jpg (45.56 KB)2007-12-24 23:37这里用任意一个dll文件来解析.mdb后缀名的映射，只要不用asp.dll来解析就可以了，这样别人即使获得了数据库路径也无法下载。这个方法可以说是防止数据库被下载的终极解决办法了。win2003server安全配置 批处理/卸载不安全组件regsvr32 /u C:WINDOWSSystem32wshom.ocx regsvr32 /u C:WINDOWSSystem32shell32.dll/磁盘权限.cacls c: /c /g administrators:f system:fcacls d: /c /g administrators:f system:fcacls e: /c /g administrators:f system:fcacls f: /c /g administrators:f system:fcacls C:Documents and Settings /c /g administrators:f system:fcacls C:Documents and SettingsAll Users /c /g administrators:f system:fcacls C:Program Files /c /g administrators:f system:fcacls C:WindowsSystem32cacls.exe /c /g administrators:f system:fcacls C:WindowsSystem32net.exe /c /g administrators:f system:fcacls C:WindowsSystem32net1.exe /c /g administrators:f system:fcacls C:WindowsSystem32cmd.exe /c /g administrators:f system:fcacls C:WindowsSystem32tftp.exe /c /g administrators:f system:fcacls C:WindowsSystem32netstat.exe /c /g administrators:f system:fcacls C:WindowsSystem32regedt32.exe /c /g administrators:f system:fcacls C:WindowsSystem32at.exe /c /g administrators:f system:fcacls C:WindowsSystem32shell32.dll /c /g administrators:f system:fcacls C:WindowsS /c /g administrators:f system:fcacls C:WindowsSystem32wshom.ocx /c /g administrators:f system:fcacls c:windowssystem32shell32.dll /c /g administrators:f system:fcacls C:WINDOWSSystem32activeds.tlb /c /g administrators:f system:fRD C:Inetpub /S /Qcacls C:WINDOWSsystem32Cmd.exe /e /dguestscacls C:WINDOWSSystem32shell32.dll /e /d guestscacls C:WINDOWSSystem32scrrun.dll /e /d guestscacls C:WINDOWSSystem32net.exe /e /d guestscacls C:WINDOWSSystem32net1.exe /e /d guestscacls C:WINDOWSSystem32tftp.exe /e /d guestscacls C:WINDOWSSystem32netstat.exe /e /d guestscacls C:WINDOWSSystem32regedit.exe /e /d guestscacls C:WINDOWSSystem32at.exe /e /d guestscacls C:WINDOWSSystem32attrib.exe /e /d guestscacls C:WINDOWSSystem32ca.exe /e /d guestscacls C:WINDOWSS /e /d guests注册表操作：/fso组件改名-网上搜索.修改注册表中的2个地方/shell.application改名./ 禁止空连接,Local_MachineSystem CurrentControlSetControlLSA RestrictAnonymous 把这个值改成”1”/删除默认共享,HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesLanmanServerParameters AutoShareServer 类型 REG_DWORD 值0SQL SERVER设置:1,将master表中存储过程sp_password的public和guest权限取消2,删除win系统用户sqldebugger -没用的帐号，还经常给黑客利用3,用户去掉db_onwer权限4,在 企业管理器 中运行以下脚本：use masterEXEC sp_dropextendedproc xp_cmdshell EXEC sp_dropextendedproc Sp_OACreate EXEC sp_dropextendedproc Sp_OADestroy EXEC sp_dropextendedproc Sp_OAGetErrorInfo EXEC sp_dropextendedproc Sp_OAGetProperty EXEC sp_dropextendedproc Sp_OAMethod EXEC sp_dropextendedproc Sp_OASetProperty EXEC sp_dropextendedproc Sp_OAStop EXEC sp_dropextendedproc Xp_regaddmultistring EXEC sp_dropextendedproc Xp_regdeletekey EXEC sp_dropextendedproc Xp_regdeletevalue EXEC sp_dropextendedproc Xp_regenumvalues EXEC sp_dropextendedproc Xp_regremovemultistring EXEC sp_dropextendedproc Xp_regwrite drop procedure sp_makewebtask5，为网站建立一个非sa用户6，SQL SERVER以某特殊用户运行，增加一个系统用户属于users 组，专门代替system来运行mssql禁用以下服务：WorkstationTCP/IP NetBIOS HelperTelnetPrint SpoolerRemote RegistryRouting and Remote AccessComputer BrowserServer帐户设置：禁用 Guest 帐户，改为复杂密码重命名 Administrator 帐户，并为它设置强密码禁用IUSR_MACHINE删除 sqldebugger 防火墙：只开 80，3389（建议修改3389端口）如果数据库在本地，1433 也不开如果有serv-u就开21吧，建议修改为其它端口，还有serv-u要修改内建的默认密码，防止给提升权限，可以用xdowns提供的版本，密码已经修改为一堆破解不了的迷密码.黑客怎么输入都是不对的。IIS方面：1，删除默认站点2，删除不使用的脚本映射(如.htw,.idc等)3，禁止FrontPage Server Extensions4，在Web 服务扩展中禁止WebDAV5，asp的站就删除剩下asp映射，php就删除剩下php映射6，每个网站一个独立的系统用户，都属于自己建立的组，设置这个组在任何盘都拒绝，只允许你的web目录针对arp欺骗：网关/路由 那绑定你的ip和mac你的服务器那绑定真正的网关arp -s%IP%Mac%最后，严格控制网站对应的用户各个目录的权限（这点如果是大站，比较重要的站建议做做）：图片的目录：只能读，需要上传的加个写入，千万不要给运行权限不需要修改的东西都只有读的权限，asp或php就加个运行，后台改名字，登录加验证码，在你验证码的基础上，按照不同的日期，这个数字加上特定的数字，比如显示：1234 今天星期二，那么我规定，要写入 212342 才能正确一切静态化，动态的只是搜索和评论（干脆不要），做好安全过滤，防止注入win2003服务器安全配置清单Windows2003下的IIS权限设置前提：仅针对windows 2003 server SP1 Internet(IIS) 服务器系统安装在C:盘系统用户情况为：administrators 超级管理员(组)system 系统用户(内置安全主体)guests 来宾帐号(组)iusr_服务器名 匿名访问web用户iwam_服务器名 启动iis进程用户www_cnnsc_org 自己添加的用户、添加后删除Users(组)、删除后添加到guests来宾帐号(组)为加强系统安全、(guest)用户及(iusr_服务器名)用户均被禁用将访问web目录的全部账户设为guests组、去除其他的组盘符 安全访问权限 C:盘 administrators(组) 完全控制权限、system(内置安全主体) 完全控制权限D:盘 (如果用户网站内容放置在这个分区中)、administrators(组) 完全控制权限E:盘 administrators(组) 完全控制权限、system(内置安全主体) 完全控制权限f:盘 administrators(组) 完全控制权限、system(内置安全主体) 完全控制权限如有其他盘符类推下去. 禁止系统盘下的EXE文件：net.exe、cmd.exe、tftp.exe、netstat.exe、regedit.exe、regedt32.exe、at.exe、attrib.exe、cacls.exe些文件都设置成 administrators 完全控制权限禁止下载Access数据库Internet 信息服务(IIS)管理器网站属性主目录配置添加可执行文件：C:WINDOWStwain_32.dll扩展名：.mdb如果你还想禁止下载其它的东东Internet 信息服务(IIS)管理器网站属性主目录配置添加可执行文件：C:WINDOWStwain_32.dll扩展名：.(改成你要禁止的文件名)然后删除扩展名：shtml stm shtm cdx idc cer防止列出用户组和系统进程:开始程序管理工具服务找到 Workstation 停止它、禁用它卸载最不安全的组件：开始运行cmd回车键cmd里输入：regsvr32/u C:WINDOWSsystem32wshom.ocxdel C:WINDOWSsystem32wshom.ocxregsvr32/u C:WINDOWSsystem32shell32.dlldel C:WINDOWSsystem32shell32.dll也可以设置为禁止guests用户组访问解除FSO上传程序小于200k限制：在服务里关闭IIS admin service服务打开 C:WINDOWSsystem32inetsrvMetaBase.xml找到ASPMaxRequestEntityAllowed将其修改为需要的值、默认为204800、即200K、把它修改为51200000(50M)、然后重启IIS admin service服务禁用IPC连接开始运行regedit找到如下组建(HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlLsa)中的(restrictanonymous)子键将其值改为1即清空远程可访问的注册表路径：开始运行gpedit.msc依次展开“计算机配置Windows 设置安全设置本地策略安全选项”在右侧窗口中找到“网络访问：可远程访问的注册表路径”然后在打开的窗口中、将可远程访问的注册表路径和子路径内容全部设置为空即关闭不必要的服务开始程序管理工具服务Telnet、TCPIP NetBIOS Helper解决终端服务许可证过期的办法如果你服务器上已经开着终端服务、那就在添加删除程序里删除终端服务和终端授权服务我的电脑-右键属性-远程-远程桌面、打勾、应用重启服务器、OK了、再也不会提示过期了取消关机原因提示开始运行gpedit.msc打开组策略编辑器、依次展开计算机配置管理模板系统双击右侧窗口出现的(显示“关闭事件跟踪程序”)将(未配置)改为(已禁用)即可 1终端服务默认端口号：3389。更改原因：不想让非法用户连接到服务器进行登录实验。当这台服务器托管在外时更不希望发生这种情况，呵呵，还没忘记2000的输入法漏洞吧？更改方法：(1)、第一处HKEY_LOCAL_MACHINE SYSTEM CurrentControlSet Control Terminal Server Wds rdpwd Tds tcp，看到右边的PortNumber了吗？在十进制状态下改成你想要的端口号吧，比如7126之类的，只要不与其它冲突即可。(2)、第二处HKEY_LOCAL_MACHINE SYSTEM CurrentControlSet Control Terminal Server WinStations RDP-Tcp，方法同上，记得改的端口号和上面改的一样就行了。2系统盘WindowsSystem32cacls.exe、cmd.exe、net.exe、net1.exe、telnet.exe、ftp.exe 文件只给 Administrators 组和 SYSTEM 的完全控制权限注册表删除 WScript.Shell、WScript.Shell.1、Wscript.Network、Wscript.Network.1、Shell.application注册表改名 adodb.stream、Scripting.Dictionary、Scripting.FileSystemObject3启用防火墙和tcp/ip过滤,再serv-u开启一组端口映射 80 20 21 2121 * 以及serv-u端口组4关闭默认共享在Windows 2000中，有一个“默认共享”，这是在安装服务器的时候，把系统安装分区自动进行共享，虽然对其访问还需要超级用户的密码，但这是潜在的安全隐患，从服务器的安全考虑，最好关闭这个“默认共享”，以保证系统安全。方法是：单击“开始/运行”，在运行窗口中输入“Regedit”，打开注册表编辑器，展开“HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesLanmanServerParameters”项，添加键值AutoShareServer，类型为REG_DWORD，值为0。 这样就可以彻底关闭“默认共享”。HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRundeletenetshare=c:deletenetshare.bat5防范拒绝服务攻击禁止响应ICMP重定向报文。此类报文有可能用以攻击，所以系统应该拒绝接受ICMP重定向报文。 EnableICMPRedirects=dword:00000000 6 iis部分的配置，mdb防止下载，添加数据库名的如MDB的扩展映射 iislog.dll7 如何解除FSO上传程序小于200k限制？ 先在服务里关闭IIS admin service服务，找到WindowsSystem32Inesrv目录下的Metabasexml并打开，找到ASPMaxRequestEntityAllowed，将其修改为需要的值。默认为204800，即200K，把它修改为51200000（50M），然后重启IIS admin service服务。Win2003 安全配置技巧windows server2003是目前最为成熟的网络服务器平台，安全性相对于windows 2000有大大的提高,但是2003默认的安全配置不一定适合我们的需要，所以，我们要根据实际情况来对win2003进行全面安全配置。说实话，安全配置是一项比较有难度的网络技术，权限配置的太严格，好多程序又运行不起，权限配置的太松，又很容易被黑客入侵，做为网络管理员，真的很头痛，因此，我结合这几年的网络安全管理经验，总结出以下一些方法来提高我们服务器的安全性。 第一招：正确划分文件系统格式，选择稳定的操作系统安装盘 为了提高安全性，服务器的文件系统格式一定要划分成NTFS（新技术文件系统）格式，它比FAT16、FAT32的安全性、空间利用率都大大的提高，我们可以通过它来配置文件的安全性，磁盘配额、EPS文件加密等。如果你已经分成FAT32的格式了，可以用CONVERT 盘符 /FS：NTFS /V 来把FAT32转换成NTFS格式。正确安装windows 2003 server,在网安联盟/Soft/yyrj/bigsoft/200504/502.asp>有 windows 2003的企业可升级版，这个一个完全破解了的版本，可以直接网上升级,我们安装时尽量只安装我们必须要用的组件，安装完后打上最新的补丁，到网上升级到最新版本！保证操作系统本身无漏洞。 第二招：正确设置磁盘的安全性,具体如下(虚拟机的安全设置，我们以asp程序为例子)重点： 1、系统盘权限设置 C:分区部分： c: administrators 全部(该文件夹，子文件夹及文件) CREATOR OWNER全部(只有子文件来及文件) system 全部(该文件夹，子文件夹及文件) IIS_WPG 创建文件/写入数据(只有该文件夹) IIS_WPG(该文件夹，子文件夹及文件) 遍历文件夹/运行文件 列出文件夹/读取数据 读取属性 创建文件夹/附加数据 读取权限 c:Documents and Settings administrators 全部(该文件夹，子文件夹及文件) Power Users (该文件夹，子文件夹及文件) 读取和运行 列出文件夹目录 读取 SYSTEM全部(该文件夹，子文件夹及文件) C:Program Files administrators 全部(该文件夹，子文件夹及文件) CREATOR OWNER全部(只有子文件来及文件) IIS_WPG (该文件夹，子文件夹及文件) 读取和运行 列出文件夹目录 读取 Power Users(该文件夹，子文件夹及文件) 修改权限 SYSTEM全部(该文件夹，子文件夹及文件) TERMINAL SERVER USER (该文件夹，子文件夹及文件) 修改权限 2、网站及虚拟机权限设置(比如网站在E盘) 说明：我们假设网站全部在E盘wwwsite目录下，并且为每一个虚拟机创建了一个guest用户，用户名为vhost1.vhostn并且创建了一个webuser组，把所有的vhost用户全部加入这个webuser组里面方便管理 E: Administrators全部(该文件夹，子文件夹及文件) E:wwwsite Administrators全部(该文件夹，子文件夹及文件) system全部(该文件夹，子文件夹及文件) service全部(该文件夹，子文件夹及文件) E:wwwsitevhost1 Administrators全部(该文件夹，子文件夹及文件) system全部(该文件夹，子文件夹及文件) vhost1全部(该文件夹，子文件夹及文件) 3、数据备份盘 数据备份盘最好只指定一个特定的用户对它有完全操作的权限 比如F盘为数据备份盘，我们只指定一个管理员对它有完全操作的权限 4、其它地方的权限设置 请找到c盘的这些文件，把安全性设置只有特定的管理员有完全操作权限 下列这些文件只允许administrators访问 net.exe net1.exet cmd.exe tftp.exe netstat.exe regedit.exe at.exe attrib.exe cacls.exe 5.删除c:inetpub目录，删除iis不必要的映射，建立陷阱帐号，更改描述 第三招：禁用不必要的服务，提高安全性和系统效率 Computer Browser 维护网络上计算机的最新列表以及提供这个列表 Task scheduler 允许程序在指定时间运行 Routing and Remote Access 在局域网以及广域网环境中为企业提供路由服务 Removable storage 管理可移动媒体、驱动程序和库 Remote Registry Service 允许远程注册表操作 Print Spooler 将文件加载到内存中以便以后打印。要用打印机的朋友不能禁用这项 IPSEC Policy Agent 管理IP安全策略以及启动ISAKMP/OakleyIKE)和IP安全驱动程序 Distributed Link Tracking Client 当文件在网络域的NTFS卷中移动时发送通知 Com+ Event System 提供事件的自动发布到订阅COM组件 Alerter 通知选定的用户和计算机管理警报 Error Reporting Service 收集、存储和向 Microsoft 报告异常应用程序 Messenger 传输客户端和服务器之间的 NET SEND 和 警报器服务消息 Telnet 允许远程用户登录到此计算机并运行程序 第四招:修改注册表，让系统更强壮 1、隐藏重要文件/目录可以修改注册表实现完全隐藏：HKEY_LOCAL_MACHINESOFTWAREMicrosoft Windows Current-VersionExplorerAdvancedFolderHi-ddenSHOWALL”，鼠标右击 “CheckedValue”，选择修改，把数值由1改为0 2、启动系统自带的Internet连接_blank防火墙，在设置服务选项中勾选Web服务器。 3、防止SYN洪水攻击 HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesTcpipParameters 新建DWORD值，名为SynAttackProtect，值为2 EnablePMTUDiscovery REG_DWORD 0 NoNameReleaseOnDemand REG_DWORD 1 EnableDeadGWDetect REG_DWORD 0 KeepAliveTime REG_DWORD 300,000 PerformRouterDiscovery REG_DWORD 0 EnableICMPRedirects REG_DWORD 0 4. 禁止响应ICMP路由通告报文 HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesTcpipParametersInterfacesinterface 新建DWORD值，名为PerformRouterDiscovery 值为0 5. 防止ICMP重定向报文的攻击 HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesTcpipParameters 将EnableICMPRedirects 值设为0 6. 不支持IGMP协议 HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesTcpipParameters 新建DWORD值，名为IGMPLevel 值为0 7.修改终端服务端口 运行regedit，找到HKEY_LOCAL_MACHINE SYSTEM CurrentControlSet Control Terminal Server Wds rdpwd Tds tcp，看到右边的PortNumber了吗？在十进制状态下改成你想要的端口号吧，比如7126之类的，只要不与其它冲突即可。 2、第二处HKEY_LOCAL_MACHINE SYSTEM CurrentControlSet Control Terminal Server WinStations RDP-Tcp，方法同上，记得改的端口号和上面改的一样就行了。 8、禁止IPC空连接： cracker可以利用net use命令建立空连接，进而入侵，还有net view，nbtstat这些都是基于空连接的，禁止空连接就好了。打开注册表，找到Local_MachineSystem CurrentControlSetControlLSA-RestrictAnonymous 把这个值改成”1”即可。 9、更改TTL值 cracker可以根据ping回的TTL值来大致判断你的操作系统，如： TTL=107(WINNT); TTL=108(win2000); TTL=127或128(win9x); TTL=240或241(linux); TTL=252(solaris); TTL=240(Irix); 实际上你可以自己更改的：HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServices TcpipParameters：DefaultTTL REG_DWORD 0-0xff(0-255 十进制,默认值128)改成一个莫名其妙的数字如258，起码让那些小菜鸟晕上半天，就此放弃入侵你也不一定哦 10. 删除默认共享 有人问过我一开机就共享所有盘，改回来以后，重启又变成了共享是怎么回事，这是2K为管理而设置的默认共享，必须通过修改注册表的方式取消它： HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesLanmanServerParameters： AutoShareServer类型是REG_DWORD把值改为0即可 11. 禁止建立空连接 默认情况下，任何用户通过通过空连接连上服务器，进而枚举出帐号，猜测密码。我们可以通过修改注册表来禁止建立空连接： Local_MachineSystemCurrentControlSetControlLSA-RestrictAnonymous 的值改成”1”即可。 第五招:其它安全手段 1.禁用TCP/IP上的NetBIOS 网上邻居-属性-本地连接-属性-Internet协议（TCP/IP）属性-高级-WINS面板-NetBIOS设置-禁用TCP/IP上的NetBIOS。这样cracker就无法用nbtstat命令来读取你的NetBIOS信息和网卡MAC地址了。 2. 账户安全 首先禁止一切账户，除了你自己，呵呵。然后把Administrator改名。我呢就顺手又建了个Administrator账户，不过是什么权限都没有的那种，然后打开记事本，一阵乱敲，复制，粘贴到“密码”里去，呵呵，来破密码吧！破完了才发现是个低级账户，看你崩溃不？ 创建2个管理员用帐号 虽然这点看上去和上面这点有些矛盾，但事实上是服从上面的规则的。创建一个一般权限帐号用来收信以及处理一些*常事物，另一个拥有Administrators 权限的帐户只在需要的时候使用。可以让管理员使用 “ RunAS” 命令来执行一些需要特权才能作的一些工作，以方便管理 3.更改C:WINDOWSHelpiisHelpcommon404b.htm内容改为 这样，出错了自动转到首页 4. 安全日志 我遇到过这样的情况，一台主机被别人入侵了，系统管理员请我去追查凶手，我登录进去一看：安全日志是空的，倒，请记住：Win2000的默认安装是不开任何安全审核的！那么请你到本地安全策略-审核策略中打开相应的审核，推荐的审核是： 账户管理 成功 失败 登录事件 成功 失败 对象访问 失败 策略更改 成功 失败 特权使用 失败 系统事件 成功 失败 目录服务访问 失败 账户登录事件 成功 失败 审核项目少的缺点是万一你想看发现没有记录那就一点都没辙；审核项目太多不仅会占用系统资源而且会导致你根本没空去看，这样就失去了审核的意义 5. 运行防毒软件 我见过的Win2000/Nt服务器从来没有见到有安装了防毒软件的，其实这一点非常重要。一些好的杀毒软件不仅能杀掉一些著名的病毒，还能查杀大量木马和后门程序。这样的话，“黑客”们使用的那些有名的木马就毫无用武之地了。不要忘了经常升级病毒库,我们推荐mcafree杀毒软件+ blackice_blank防火墙 6.sqlserver数据库服务器安全和serv-u ftp服务器安全配置，更改默认端口，和管理密码 7.设置ip筛选、用blackice禁止木马常用端口 一般禁用以下端口 135 138 139 443 445 4000 4899 7626 8.本地安全策略和组策略的设置,如果你在设置本地安全策略时设置错了，可以这样恢复成它的默认值. 打开 %SystemRoot%Security文件夹,创建一个 OldSecurity子目录,将%SystemRoot%Security下所有的.log文件移到这个新建的子文件夹中. 在%SystemRoot%Securitydatabase下找到Secedit.sdb安全数据库并将其改名,如改为Secedit.old. 启动安全配置和分析MMC管理单元:开始-运行-MMC,启动管理控制台,添加/删除管理单元,将安全配