windows 2003最完善最完美的权限及安全设置解决方案.doc

windows 2003最完善最完美的权限及安全设置解决方案 BY PCH 2007.10.30 收集整理一、服务器安全设置1. IIS6.0的安装和设置1.1 开始菜单控制面板添加或删除程序添加/删除Windows组件 应用程序 ASP.NET（可选） |启用网络 COM+ 访问（必选） |Internet 信息服务(IIS)Internet 信息服务管理器（必选） |公用文件（必选） |万维网服务Active Server pages（必选） |Internet 数据连接器（可选） |WebDAV 发布（可选） |万维网服务（必选） |在服务器端的包含文件（可选）在”网络连接”里，把不需要的协议和服务都删掉，这里只安装了基本的Internet协议（TCP/IP）和Microsoft网络客户端。在高级tcp/ip设置里-NetBIOS设置禁用tcp/IP上的NetBIOS（S）。在“本地连接”打开Windows 2003 自带的防火墙，可以屏蔽端口，基本达到一个IPSec的功能,只保留有用的端口,比如远程(3389)和 Web(80),Ftp(21),邮件服务器(25,110),https(443),SQL(1433)1.2. IIS (Internet信息服务器管理器) 在主目录选项设置以下读 允许写 不允许脚本源访问 不允许目录浏览 建议关闭记录访问 建议关闭索引资源 建议关闭执行权限 推荐选择 “纯脚本”建议使用W 3C扩充日志文件格式，每天记录客户IP地址，用户名，服务器端口，方法，URI字根，HTTP状态，用户代理，而且每天均要审查日志。(最好不要使用缺省的目录，建议更换一个记日志的路径，同时设置日志的访问权限，只允许管理员和system为Full Control)。1.3. 在IIS6.0 -本地计算机 - 属性- 允许直接编辑配置数据库在IIS中 属性-主目录-配置-选项中，在网站“启用父路径”前面打上勾1.4. 在IIS中的Web服务扩展中选中Active Server Pages，点击“允许”1.5. 优化IIS6应用程序池 1、取消“在空闲此段时间后关闭工作进程（分钟）” 2、勾选“回收工作进程（请求数目）” 3、取消“快速失败保护”1.6. 解决SERVER 2003不能上传大附件的问题 在“服务”里关闭 iis admin service 服务。 找到 windowssystem32inetsrv 下的 metabase.xml 文件。 找到 ASPMaxRequestEntityAllowed 把它修改为需要的值（可修改为 20M即：20480000） 存盘，然后重启 iis admin service 服务。1.7. 解决SERVER 2003无法下载超过 4M的附件问题 在“服务”里关闭 iis admin service 服务。 找到 windowssystem32inetsrv 下的 metabase.xml 文件。 找到 AspBufferingLimit 把它修改为需要的值（可修改为 20M即：20480000） 存盘，然后重启 iis admin service 服务。1.8. 超时问题 解决大附件上传容易超时失败的问题 在IIS中调大一些脚本超时时间，操作方法是： 在IIS的“站点或虚拟目录”的“主目录”下点击“配置”按钮， 设置脚本超时时间为：300秒 (注意：不是Session超时时间) 解决通过WebMail写信时间较长后，按下发信按钮就会回到系统登录界面的问题 适当增加会话时间(Session)为 60分钟。在IIS站点或虚拟目录属性的“主目录”下点击“配置-选项”， 就可以进行设置了(Windows 2003默认为20分钟)2. WEB目录权限设置Everyone:顾名思义，所有的用户，这个计算机上的所有用户都属于这个组。最好在C盘以外(如D,E,F.)的根目录建立到三级目录,一级目录只给Administrator权限，二级目录给Administrator完全控制权限和Everyone除了完全控制，更改，取得，其它全部打勾的权限和IUSR只有该文件夹的完全拒绝权限，三级目录是每个客户的虚拟主机网站，给Administrator完全控制权限和Everyone除了完全控制，更改，取得，其它全部打勾的权限即可.3. SQL权限设置3.1. 一个数据库,一个帐号和密码,比如建立了一个数据库，只给PUBLIC和DB_OWNER权限，SA帐号基本是不使用的，因为SA实在是太危险了.3.2. 更改 sa 密码为你都不知道的超长密码,在任何情况下都不要用 sa 这个帐户.3.3. Web登录时经常出现超时，请重试的问题：如果安装了 SQL Server 时，一定要启用“服务器网络实用工具”中的“多协议”项。3.4.将有安全问题的SQL扩展存储过程删除. 以下命令删除了调用shell，注册表，COM组件的破坏权限，比较全面.一切为了安全!将以下代码全部复制到SQL查询分析器,单击菜单上的-查询-执行，即可use masterEXEC sp_dropextendedproc xp_cmdshellEXEC sp_dropextendedproc Sp_OACreateEXEC sp_dropextendedproc Sp_OADestroyEXEC sp_dropextendedproc Sp_OAGetErrorInfoEXEC sp_dropextendedproc Sp_OAGetPropertyEXEC sp_dropextendedproc Sp_OAMethodEXEC sp_dropextendedproc Sp_OASetPropertyEXEC sp_dropextendedproc Sp_OAStopEXEC sp_dropextendedproc Xp_regaddmultistringEXEC sp_dropextendedproc Xp_regdeletekeyEXEC sp_dropextendedproc Xp_regdeletevalueEXEC sp_dropextendedproc Xp_regenumvaluesEXEC sp_dropextendedproc Xp_regreadEXEC sp_dropextendedproc Xp_regremovemultistringEXEC sp_dropextendedproc Xp_regwritedrop procedure sp_makewebtask恢复的命令是EXEC sp_addextendedproc 存储过程的名称,dllname =存储过程的dll例如：恢复存储过程xp_cmdshellEXEC sp_addextendedproc xp_cmdshell,dllname =xplog70.dll注意，恢复时如果xplog70.dll已删除需要copy一个。二、系统常规安全设置4. 系统补丁的更新点击开始菜单所有程序Windows Update按照提示进行补丁的安装。5. 备份系统用GHOST备份系统。6. 安装常用的软件例如：杀毒软件、防火墙、解压缩软件等；安装完毕后,配置杀毒软件,扫描系统漏洞,安装之后用GHOST再次备份系统。7. 先关闭不需要的端口，开启防火墙 导入IPSEC策略在”网络连接”里，把不需要的协议和服务都删掉，这里只安装了基本的Internet协议（TCP/IP），由于要控制带宽流量服务，额外安装了Qos数据包计划程序。在高级tcp/ip设置里-NetBIOS设置禁用tcp/IP上的NetBIOS（S）。在高级选项里，使用Internet连接防火墙，这是windows 2003 自带的防火墙，在2000系统里没有的功能，虽然没什么功能，但可以屏蔽端口，这样已经基本达到了一个IPSec的功能。8. win2003服务器防止海洋木马的安全设置删除以下的注册表主键:WScript.ShellWScript.Shell.1Shell.applicationShell.application.1WSCRIPT.NETWORKWSCRIPT.NETWORK.1regsvr32/u wshom.ocx回车、regsvr32/u wshext.dll回车regsvr32/u C:WINNTSystem32wshom.ocxdel C:WINNTSystem32wshom.ocxregsvr32/u C:WINNTsystem32shell32.dlldel C:WINNTsystem32shell32.dll再把以上2个文件权限设置为ADMINISTRATOR组完全权限所有这里只提一下FSO的防范，但并不需要在自动开通空间的虚拟商服务器上使用，只适合于手工开通的站点。可以针对需要FSO和不需要FSO的站点设置两个组，对于需要FSO的用户组给予c:winntsystem32scrrun.dll文件的执行权限，不需要的不给权限。重新启动服务器即可生效。对于这样的设置结合上面的权限设置，你会发现海阳木马已经在这里失去了作用！9. 改名不安全组件需要注意的是组件的名称和Clsid都要改，并且要改彻底了。下面以Shell.application为例来介绍方法。打开注册表编辑器【开始运行regedit回车】，然后【编辑查找填写Shell.application查找下一个】，用这个方法能找到两个注册表项：“13709620-C279-11CE-A49E-444553540000”和“Shell.application”。为了确保万无一失，把这两个注册表项导出来，保存为 .reg 文件。比如我们想做这样的更改13709620-C279-11CE-A49E-444553540000 改名为 13709620-C279-11CE-A49E-444553540001Shell.application 改名为 Shell.application_ajiang那么，就把刚才导出的.reg文件里的内容按上面的对应关系替换掉，然后把修改好的.reg文件导入到注册表中（双击即可），导入了改名后的注册表项之后，别忘记了删除原有的那两个项目。这里需要注意一点，Clsid中只能是十个数字和ABCDEF六个字母。下面是我修改后的代码（两个文件我合到一起了）：Windows Registry Editor Version 5.00HKEY_CLASSES_ROOTCLSID13709620-C279-11CE-A49E-444553540001=Shell Automation ServiceHKEY_CLASSES_ROOTCLSID13709620-C279-11CE-A49E-444553540001InProcServer32=C:WINNTsystem32shell32.dllThreadingModel=ApartmentHKEY_CLASSES_ROOTCLSID13709620-C279-11CE-A49E-444553540001ProgID=Shell.Application_ajiang.1HKEY_CLASSES_ROOTCLSID13709620-C279-11CE-A49E-444553540001TypeLib= 50a7e9b0-70ef-11d1-b 75a -00a 0c90564feHKEY_CLASSES_ROOTCLSID13709620-C279-11CE-A49E-444553540001Version=1.1HKEY_CLASSES_ROOTCLSID13709620-C279-11CE-A49E-444553540001VersionIndependentProgID=Shell.Application_ajiangHKEY_CLASSES_ROOTShell.Application_ajiang=Shell Automation ServiceHKEY_CLASSES_ROOTShell.Application_ajiangCLSID=13709620-C279-11CE-A49E-444553540001HKEY_CLASSES_ROOTShell.Application_ajiangCurVer=Shell.Application_ajiang.1你可以把这个保存为一个.reg文件运行试一下，但是可别就此了事，因为万一黑客也看了我的这篇文章，他会试验我改出来的这个名字的。10. 系统安全策略A.账户策略 密码策略：B.密码设定最小值不能少于10位C.密码设定需要保证复杂性D.登陆计数器需要开启E.本地策略 审核策略：F.审核策略更改：成功G.审核登陆事件：成功、失败H.审核目录服务访问：成功I.审核特权使用：成功J.审核系统事件：成功、失败K.审核账户登陆事件：成功、失败M.审核账户管理：成功N.本地策略 本地策略：O.不显示上次的登陆名：启用P.只有本地用户才能访问cd-rom：启用Q.只有本地用户才能访问软驱：启用11. 网络设置这里针对网卡参数进行设置PCI网络适配器。分别为 Public,Private实际使用中会改为相关IP11.1. 网卡顺序调整为外网卡优先，顺序为：a) 公用网络b) 专用网络c) 远程访问连接11.2. 公网网卡设置：General1.配置：Link Speed/Duplex Mode：auto mode2.TCP/IP高级 WINS：禁用TCP/IP NetBios高级 选项 TCP/IP筛选：启用TCP/IP筛选，只开放所需TCP端口删除文件和打印机共享协议File and Printer Sharing for Microsoft NetworksAdvanced1.启用Internet Connection Firewall-settings-Remote Desktop2.Security Logging,ICMP协议的设置12. PHP安全c:windowsphp.iniadministrators 全部system 全部权限SERVICE 全部Users 只读和运行13. 修改3389远程连接端口修改注册表HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlTerminal ServerWdsrdpwdTdstcpportNumber=dword:0000端口号 ;键值中 PortNumber 改为你想用的端口号.注意使用十进制(例 10000 )HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlTerminal ServerWinStationsRDP-TcpportNumber=dword:0000端口号 ;键值中 PortNumber 改为你想用的端口号.注意使用十进制(例 10000 )注意：别忘了在WINDOWS2003自带的防火墙给+上10000端口,也就是你所修改的那个端口号设置这两个注册表的权限, 添加“IUSR”的完全拒绝 禁止显示端口号修改完毕.重新启动服务器.设置生效.14. 本地策略-用户权限分配关闭系统：只有Administrators组、其它全部删除。通过终端服务允许登陆：只加入Administrators,Remote Desktop Users组，其他全部删除15. 在安全设置里 本地策略-用户权利分配，通过终端服务拒绝登陆 加入ASPNETIUSR_IWAM_NETWORK SERVICE(注意不要添加进user组和administrators组 添加进去以后就没有办法远程登陆了)16. 计算机管理的本地用户和组禁用终端服务(TsInternetUser), SQL服务(SQLDebugger), SUPPORT_ 388945a017. 删除默认共享制作以下批处理程序运行：echo off: 先列举存在的分区，然后再逐个删除以分区名命名的共享；: 通过修改注册表防止admin$共享在下次开机时重新加载；: IPC$共享需要administritor权限才能成功删除:title 默认共享删除器color 1fecho.echo -echo.echo 开始删除每个分区下的默认共享.echo.for %a in (C D E F G H I J K L M N O P Q R S T U V W X Y Z) do (if exist %a:nul (net share %a$ /deletenul 2nul & echo 成功删除名为 %a$ 的默认共享 | echo 名为 %a$ 的默认共享不存在)net share admin$ /deletenul 2nul & echo 成功删除名为 admin$ 的默认共享 | echo 名为 admin$ 的默认共享不存在echo.echo - stop Server /ynul 2nul & echo Server服务已停止.net start Servernul 2nul & echo Server服务已启动.echo.echo -echo.echo 修改注册表以更改系统默认设置.echo.echo 正在创建注册表文件.echo Windows Registry Editor Version 5.00 c:delshare.reg: 通过注册表禁止Admin$共享，以防重启后再次加载echo HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServiceslanmanserverparameters c:delshare.regecho AutoShareWks=dword:00000000 c:delshare.regecho AutoShareServer=dword:00000000 c:delshare.reg: 删除IPC$共享，本功能需要administritor权限才能成功删除echo HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlLsa c:delshare.regecho restrictanonymous=dword:00000001 c:delshare.regecho 正在导入注册表文件以更改系统默认设置.regedit /s c:delshare.regdel c:delshare.reg & echo 临时文件已经删除.echo.echo -echo.echo 程序已经成功删除所有的默认共享.echo.echo 按任意键退出.pausenul18.常用DOS命令安全设置打开C:Windows目录 搜索以下DOS命令文件NET.EXE,NET1.EXE,CMD.EXE,FTP.EXE,ATTRIB.EXE,CACLS.EXE,AT.EXE,FORMAT.COM,TELNET.EXE,COMMAND.COM,NETSTAT.EXE,REGEDIT.EXE,ARP.EXE,NBTSTAT.EXE把以上命令文件通通只给Administrators 和SYSTEM为完全控制权限19. 卸载删除具有CMD命令功能的危险组件WSHOM.OCX对应于WScript.Shell组件HKEY_CLASSES_ROOTWScript.Shell及HKEY_CLASSES_ROOTWScript.Shell.1添加IUSR用户完全拒绝权限Shell32.dll对应于Shell.Application组件HKEY_CLASSES_ROOTShell.Application及HKEY_CLASSES_ROOTShell.Application.1添加IUSR用户完全拒绝权限regsvr32/u C:WindowsSystem32wshom.ocxregsvr32/u C:WindowsSystem32shell32.dllWSHOM.OCXx和Shell32.dl这两个文件只给Administrator完全权限20用户安全设置20.1. 禁用Guest账号在计算机管理的用户里面把Guest账号禁用。为了保险起见，最好给Guest加一个复杂的密码。你可以打开记事本，在里面输入一串包含特殊字符、数字、字母的长字符串，然后把它作为Guest用户的密码拷进去。20.1. 限制不必要的用户去掉所有的Duplicate User用户、测试用户、共享用户等等。用户组策略设置相应权限，并且经常检查系统的用户，删除已经不再使用的用户。这些用户很多时候都是黑客们入侵系统的突破口。20.2. 把系统Administrator账号改名大家都知道，Windows 2003 的Administrator用户是不能被停用的，这意味着别人可以一遍又一遍地尝试这个用户的密码。尽量把它伪装成普通用户，比如改成Guesycludx。20.3. 创建一个陷阱用户什么是陷阱用户?即创建一个名为“Administrator”的本地用户，把它的权限设置成最低，什么事也干不了的那种，并且加上一个超过10位的超级复杂密码。这样可以让那些 Hacker们忙上一段时间，借此发现它们的入侵企图。20.4. 把共享文件的权限从Everyone组改成授权用户20.5. 开启用户策略使用用户策略，分别设置复位用户锁定计数器时间为20分钟，用户锁定时间为20分钟，用户锁定阈值为3次。 （该项为可选）20.6. 不让系统显示上次登录的用户名默认情况下，登录对话框中会显示上次登录的用户名。这使得别人可以很容易地得到系统的一些用户名，进而做密码猜测。修改注册表可以不让对话框里显示上次登录的用户名。方法为：打开注册表编辑器并找到注册表“HKLMSoftwareMicrosoftWindows TCurrentVersionWinlogonDont-DisplayLastUserName”，把REG_SZ的键值改成1。21. 密码安全设置20.1. 使用安全密码一些公司的管理员创建账号的时候往往用公司名、计算机名做用户名，然后又把这些用户的密码设置得太简单，比如“welcome”等等。因此，要注意密码的复杂性，还要记住经常改密码。20.2.设置屏幕保护密码这是一个很简单也很有必要的操作。设置屏幕保护密码也是防止内部人员破坏服务器的一个屏障。20.3.开启密码策略注意应用密码策略，如启用密码复杂性要求，设置密码长度最小值为6位 ，设置强制密码历史为5次，时间为42天。20.4.考虑使用智能卡来代替密码对于密码，总是使安全管理员进退两难，密码设置简单容易受到黑客的攻击，密码设置复杂又容易忘记。如果条件允许，用智能卡来代替复杂的密码是一个很好的解决方法。22. 磁盘权限设置系统盘及所有磁盘只给 Administrators 组和 SYSTEM 的完全控制权限系统盘Documents and Settings 目录只给 Administrators 组和 SYSTEM 的完全控制权限系统盘Documents and SettingsAll Users 目录只给 Administrators 组和 SYSTEM 的完全控制权限系统盘WindowsSystem32cacls.exe、cmd.exe、net.exe、net1.exe、ftp.exe、tftp.exe、telnet.exe 、 netstat.exe、regedit.exe、at.exe、attrib.exe、、del文件只给 Administrators 组和SYSTEM 的完全 控制权限另将System32cmd.exe、、ftp.exe转移到其他目录或更名Documents and Settings下所有些目录都设置只给adinistrators权限。并且要一个一个目录查看，包括下面的所有子目录。删除c:inetpub目录23. 本地安全策略设置开始菜单管理工具本地安全策略23.1. 本地策略审核策略审核策略更改成功失败审核登录事件成功失败审核对象访问失败审核过程跟踪无审核审核目录服务访问失败审核特权使用失败审核系统事件成功失败审核账户登录事件成功失败审核账户管理成功失败23.2. 本地策略用户权限分配关闭系统：只有Administrators组、其它全部删除。通过终端服务允许登陆：只加入Administrators,Remote Desktop Users组，其他全部删除23.3. 本地策略安全选项交互式登陆：不显示上次的用户名启用网络访问：不允许SAM帐户的匿名枚举 启用网络访问：不允许SAM帐户和共享的匿名枚举 启用网络访问.限制匿名访问命名管道和共享,更改为已启用 ;网络访问.不允许存储网络身份验证的凭据或 .NET Passports 启用 ;网络访问：可匿名访问的共享 将后面的值全部删除网络访问：可匿名访问的命名管道将后面的值全部删除网络访问：可远程访问的注册表路径 将后面的值全部删除网络访问：可远程访问的注册表路径和子路径 将后面的值全部删除帐户：重命名来宾帐户重命名一个帐户帐户：重命名系统管理员帐户重命名一个帐户帐户.重命名来宾帐户guest帐户.重命名系统管理员帐户24. 终端服务配置Terminal Service Configration24.1. RDP设置中删除系统管理员组(administrators group)的用户登陆权限，只允许系统管理员单一账户登陆Permissions24.2. 权限-高级中配置安全审核，记录登录、注销等所有事件25. 禁用不必要的服务开始-运行-services.mscTCP/IPNetBIOS Helper 提供 TCP/IP 服务上的 NetBIOS 和网络上客户端的 NetBIOS 名称解析的支持而使用户能够共享文件、打印和登录到网络Server 支持此计算机通过网络的文件、打印、和命名管道共享Computer Browser 维护网络上计算机的最新列表以及提供这个列表Task scheduler 允许程序在指定时间运行Messenger 传输客户端和服务器之间的 NET SEND 和 警报器服务消息Distributed File System 局域网管理共享文件，不需要可禁用Distributed linktracking client 用于局域网更新连接信息，不需要可禁用Error reporting service 禁止发送错误报告Microsoft Serch 提供快速的单词搜索，不需要可禁用NTLMSecuritysupportprovide telnet服务和Microsoft Serch用的，不需要可禁用PrintSpooler 如果没有打印机可禁用Remote Registry 禁止远程修改注册表Remote Desktop Help Session Manager 禁止远程协助Workstation 关闭的话远程NET命令列不出用户组以上是在Windows Server 2003 系统上面默认启动的服务中禁用的，默认禁用的服务如没特别需要的话不要启动。另外，也可用以下批处理文件来禁用不必要的服务:sc config AeLookupSvc start= AUTOsc config Alerter start= DISABLEDsc config ALG start= DISABLEDsc config AppMgmt start= DEMANDsc config aspnet_state start= DEMANDsc config AudioSrv start= DISABLEDsc config BITS start= DEMANDsc config Browser start= DEMANDsc config CiSvc start= DISABLEDsc config ClipSrv start= DISABLEDsc config clr_optimization_v2.0.50727_32 start= DEMANDsc config COMSysApp start= DEMANDsc config CryptSvc start= AUTOsc config DcomLaunch start= AUTOsc config Dfs start= DEMANDsc config Dhcp start= AUTOsc config dmadmin start= DEMANDsc config dmserver start= AUTOsc config Dnscache start= AUTOsc config ERSvc start= DISABLEDsc config Eventlog start= AUTOsc config EventSystem start= AUTOsc config helpsvc start= DISABLEDsc config HidServ start= AUTOsc config HTTPFilter start= DEMANDsc config IISADMIN start= AUTOsc config ImapiService start= DISABLEDsc config IsmServ start= DISABLEDsc config kdc start= DISABLEDsc config lanmanworkstation start= DISABLEDsc config LicenseService start= DISABLEDsc config LmHosts start= DISABLEDsc config Messenger start= DISABLEDsc config mnmsrvc start= DISABLEDsc config MSDTC start= AUTOsc config MSIServer start= DEMANDsc config MSSEARCH start= AUTOsc config MSSQLSERVER start= AUTOsc config MSSQLServerADHelper start= DEMANDsc config NetDDE start= DISABLEDsc config NetDDEdsdm start= DISABLEDsc config Netlogon start= DEMANDsc config Netman start= DEMANDsc config Nla start= DEMANDsc config NtFrs start= DEMANDsc config NtLmSsp start= DEMANDsc config NtmsSvc start= DEMANDsc config PlugPlay start= AUTOsc config PolicyAgent start= AUTOsc config ProtectedStorage start= AUTOsc config RasAuto start= DEMANDsc config RasMan start= DEMANDsc config RDSessMgr start= DEMANDsc config RemoteAccess start= DISABLEDsc config RemoteRegistry start= DISABLEDsc config RpcLocator start= DEMANDsc config RpcSs start= AUTOsc config RSoPProv start= DEMANDsc config sacsvr start= DEMANDsc config SamSs start= AUTOsc config SCardSvr start= DEMANDsc config Schedule start= AUTOsc config seclogon start= AUTOsc config SENS start= AUTOsc config SharedAccess start= DISABLEDsc config ShellHWDetection start= AUTOsc config SMTPSVC start= AUTOsc config Spooler start= DISABLEDsc config SQLSERVERAGENT start= AUTOsc config stisvc start= DISABLEDsc config swprv start= DEMANDsc config SysmonLog start= AUTOsc config TapiSrv start= DEMANDsc config TermService start= AUTOsc config Themes start= DISABLEDsc config TlntSvr start= DISABLEDsc config TrkSvr start= DISABLEDsc config TrkWks start= AUTOsc config Tssdis start= DISABLEDsc config UMWdf start= DEMANDsc config UPS start= DEMANDsc config vds start= DEMANDsc config VSS start= DEMANDsc config W32Time start= AUTOsc config W3SVC start= AUTOsc config WebClient start= DISABLEDsc config WinHttpAutoProxySvc start= DEMANDsc config winmgmt start= AUTOsc config WmdmPmSN start= DEMANDsc config Wmi start= DEMANDsc config WmiApSrv start= DEMANDsc config wuauserv start= DISABLEDsc config WZCSVC start= DISABLEDsc config xmlprov start= DEMAND26. 修改注册表修改注册表，让系统更强壮26.1. 隐藏重要文件/目录可以修改注册表实现完全隐藏HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows Current-VersionExplorerAdvancedFolderHi-ddenSHOWALL”，鼠标右击 “CheckedValue”，选择修改，把数值由1改为026.2. 防止SYN洪水攻击HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesTcpipParameters新建DWORD值，名为SynAttackProtect，值为2新建EnablePMTUDiscovery REG_DWORD 0新建NoNameReleaseOnDemand REG_DWORD 1新建EnableDeadGWDetect REG_DWORD 0新建KeepAliveTime REG_DWORD 300,000新建PerformRouterDiscovery REG_DWORD 0新建EnableICMPRedirects REG_DWORD 026.3. 禁止响应ICMP路由通告报文HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesTcpipParametersInterfacesinterface新建DWORD值，名为PerformRouterDiscovery 值为026.4. 防止ICMP重定向报文的攻击HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesTcpipParameters将EnableICMPRedirects 值设为026.5. 不支持IGMP协议HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesTcpipParameters新建DWORD值，名为IGMPLevel 值为026.6. 禁止IPC空连接：cracker可以利用net use命令建立空连接，进而入侵，还有net view，nbtstat这些都是基于空连接的，禁止空连接就好了。Local_MachineSystemCurrentControlSetControlLSA-RestrictAnonymous 把这个值改成” 1”即可。26.7. 更改TTL值cracker可以根据ping回的TTL值来大致判断你的操作系统，如：TTL=107(WINNT);TTL=108(win2000);TTL=127或128(win9x);TTL=240或241(linux);TTL=252(solaris);TTL=240(Irix);实际上你可以自己改的：HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesTcpipParameters：DefaultTTL REG_DWORD 0-0xff(0-255 十进制,默认值128)改成一个莫名其妙的数字如258，起码让那些小菜鸟晕上半天，就此放弃入侵你也不一定哦26.8. 删除默认共享有人问过我一开机就共享所有盘，改回来以后，重启又变成了共享是怎么回事，这是2K为管理而设置的默认共享，HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesLanmanServerParameters：AutoShareServer类型是REG_DWORD把值改为0即可26.9. 禁止建立空连接默认情况下，任何用户通过空连接连上服务器，进而枚举出帐号，猜测密码。我们可以通过修改注册表来禁止