【时代互联学堂】windows server 2003防止被黑设置教程.doc

使用NTFS格式分区 把硬盘的所有分区都改成NTFS格式。NTFS文件系统要比FAT,FAT32的文件系统安全得多。这点不必多说，想必大家得服务器都已经是NTFS的了。 C盘转换为NTFS格式 - ECHO OFF ECHO. ECHO. 说 明 ECHO - ECHO NTFS格式是WinXP推荐使用的格式。转换为NTFS格式能提高硬盘存储的 ECHO 效率，并可设置访问权限以保护文件。但NTFS格式的分区在DOS/WIN9X ECHO 下均不能被识别，可能会给初级用户造成不便。如无必要请不要转换。 ECHO - ECHO. pause convert c:/fs:ntfs - 新建一个记事本 然后复制上面分割线内的命令并粘贴到记事本里去 然后重命名为*.bat即可，运行批处理，重启电脑后生效，重启后电脑就会变成NTFS格式。 通过以上的批处理，就可以把你的系统转换成NTFS格式。 NTFS权限设置，请记住分区的时候把所有的硬盘都分为NTFS分区，然后我们可以确定每个分区对每个用户开放的权限。【文件（夹）上右键属性安全】在这里管理NTFS文件（夹）权限。 关于系统安全，这里先给大家讲解计算机端口的安全 为了让你的系统变为铜墙铁壁，应该封闭这些端口，主要有：TCP 135、139、445、593、1025 端口和 UDP 135、137、138、445 端口，一些流行病毒的后门端口（如 TCP 2745、3127、6129 端口），以及远程服务访问端口3389。 首先要看看你的电脑打开135，139，445的端口没有，运行-CMD-输入netstat -an就可以看到。 开始菜单，运行，输入cmd，然后再输入netstat -an 这样可以查看本机所有开放的端口以后监听的Ip等信息。 1、netstat 的一些常用选项 netstat s 本选项能够按照各个协议分别显示其统计数据。如果我们的应用程序（如Web浏览器）运行速度比较慢，或者不能显示Web页之类的数据，那么我们就可以用本选项来查看一下所显示的信息。我们需要仔细查看统计数据的各行，找到出错的关键字，进而确定问题所在。 netstat e 本选项用于显示关于以太网的统计数据。它列出的项目包括传送的数据报的总字节数、错误数、删除数、数据报的数量和广播的数量。这些统计数据既有发送的数据报数量，也有接收的数据报数量。这个选项可以用来统计一些基本的网络流量）。 netstat r 本选项可以显示关于路由表的信息，类似于后面所讲使用route print命令时看到的 信息。除了显示有效路由外，还显示当前有效的连接。 netstat a 本选项显示一个所有的有效连接信息列表，包括已建立的连接（ESTABLISHED），也包括监听连接请求（LISTENING）的那些连接。 netstat n 显示所有已建立的有效连接。 135端口的打开方法：启动“Distributed Transaction Coordinator”服务，运行dcomcnfg， 展开“组件服务”“计算机”，在“我的电脑”上点右键选“属性”，切换到“默认属性”， 打勾“启用分布式COM”；然后切换到“默认协议”，添加“面向连接的TCP/IP”。 139端口的打开方法：网上邻居-属性-本地连接-属性-Internet协议（TCP/IP）-高级-WINS； 如果你填写了本地连接的IP，你就启动TCP/IP上的NetBIOS。 如果你没有填写本地连接的IP，在NETBIOS设置里面选默认。 445端口的打开方法：开始-运行输入regedit.确定后定位到 HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesNetBTParameters 删除“SMBDeviceEnabled”的DWORD值。 常见的漏洞的端口如何关闭： 1.关闭139端口:右击网上邻居-属性-右击本地连接-属性-internet协议/(TCP/IP)-属性-高级-WINS-禁用TCP/IP上的NETBIOS-确定。 2.右击-网上邻居-属性/本地连接-属性，在microsoft网络客户端前的小勾去掉。接着也把microsoft网络的文件和打印机共享的小勾也去掉。 3.关闭445端口:打开注册表编辑器,在HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesNetBTParameters下增加一个dword键项,命名为SmbDeviceEnabled(不包含引号),将值设为0。 重启电脑之后，445就关闭了。 4。关闭3389端口:右击我的电脑，点属性-远程，把允许从这台计算机发送远程协助邀请前的勾去掉。 5。关闭135端口: 如何关闭135端口 Windows XP系统 运行dcomcnfg，展开“组件服务”“计算机”，在“我的电脑”上点右键选“属性”，切换到“默认属性”，取消“启用分布式COM”；然后切换到“默认协议”，删除“面向连接的TCP/IP”。 以上选项有对应的注册表键值，因此也可通过注册表来修改： HKEY_LOCAL_MACHINESOFTWAREMicrosoftOleEnableDCOM的值改为“N” HKEY_LOCAL_MACHINESOFTWAREMicrosoftRpcDCOM Protocols 中删除“ncacn_ip_tcp” 此外，还需要停用“Distributed Transaction Coordinator”服务。 重启之后， 135端口就没有了。 大多数的系统重装后，都会开放135、445、139等 第一：安装补丁 服务器安装好操作系统之后，最好能在托管之前就完成补丁的安装，系统补丁打好，虽然不升级漏洞不一定会被别人利用，但升级一下总有好处。 第二：杀毒软件要装好 不要指望杀毒软件杀掉所有的木马，因为ASP木马的特征是可以通过一定手段来避开杀毒软件的查杀。 免杀的马当然可以过杀毒软件，所以说杀毒软件也不是万能的。 第三：注意你所使用的程序要注意升级 打上网上一些服务器安全补丁，关闭一些有害端口，修改一些有用端口，还要装上一些辅助防毒软件。这里我推荐使用几个工具： 1、关闭一些经常被黑客利用入侵的端口; 2、3389默认端口修改，把远程桌面改一个不常用的靠后的端口，别人就是扫描也要一段时间; 3、在局域网中隐藏计算机，还有一些东西你自己看着用; 4、360安全卫士，保护全部打开，还要注意设好arp防火墙，要手动设置网关mac和ip,如果真的有不懂的人，cmd下arp -a，你就可以查到网关。这个东西对arp挂马有很好好的效果; 基于Windows的tcp/ip的过滤。 控制面板网络和拨号连接本地连接INTERNET协议（tcp/ip)-属性高级选项tcp/ip筛选属性! 然后添加需要的tcp 和UDP端口就可以了如果对端口不是很了解的话，不要轻易进行过滤，不然可能会导致一些程序无法使用。 只添加80，21，3389 修改之后，重启生效。 虽然在命令下查看到有些端口仍然开放着，但是刚才的设置已经生效了，你不相信的话，可以用扫描工具扫描一下 如果怀疑安全性，不防可以先手动关掉这些危险的端口，前面已经有文字说明了，大家可以按照前面说的做 这里节约时间就不多说了 权限设置 磁盘权限 系统盘及所有磁盘只给 Administrators 组和 SYSTEM 的完全控制权限 系统盘Documents and Settings 目录只给 Administrators 组和 SYSTEM 的完全控制权限 系统盘Documents and SettingsAll Users 目录只给 Administrators 组和 SYSTEM 的完全控制权限 接着刚才做，刚才我的网络有问题，不好意思。 系统盘Inetpub 目录及下面所有目录、文件只给 Administrators 组和 SYSTEM 的完全控制权限 系统盘WindowsSystem32cacls.exe、cmd.exe、net.exe、net1.exe 文件只给 Administrators 组和 SYSTEM 的完全控制权限 禁用不必要的服务 开始菜单管理工具服务 Print Spooler Remote Registry TCP/IP NetBIOS Helper Server 以上是在Windows Server 2003 系统上面默认启动的服务中禁用的，默认禁用的服务如没特别需要的话不要启动。 改名或卸载不安全组件 卸载最不安全的组件 最简单的办法是直接卸载后删除相应的程序文件。将下面的代码保存为一个.BAT文件 regsvr32/u C:WINDOWSSystem32wshom.ocx del C:WINDOWSSystem32wshom.ocx regsvr32/u C:WINDOWSsystem32shell32.dll del C:WINDOWSsystem32shell32.dll 然后运行一下，WScript.Shell, Shell.application, WScript.Network就会被卸载了。可能会提示无法删除文件，不用管它，重启一下服务器，你会发现这三个都提示“安全”了。 防止列出用户组和系统进程 在一些ASP大马中利用getobject(WINNT)获得了系统用户和系统进程的列表，这个列表可能会被黑客利用，我们应当隐藏起来，方法是： 【开始程序管理工具服务】，找到Workstation，停止它，禁用它。 防止Serv-U权限提升 其实，注销了Shell组件之后，侵入者运行提升工具的可能性就很小了，但是prel等别的脚本语言也有shell能力，为防万一，还是设置一下为好。 用Ultraedit打开ServUDaemon.exe查找Ascii：LocalAdministrator，和#l$ak#.lk;0P，修改成等长度的其它字符就可以了，ServUAdmin.exe也一样处理。 另外注意设置Serv-U所在的文件夹的权限，不要让IIS匿名用户有读取的权限，否则人家下走你修改过的文件，照样可以分析出你的管理员名和密码。 服务器上不要装SERV-U之类的FTP软件，就是装了，你上传下载完马上停掉，我总觉得有的人的服务器被攻击与这个有关。我没用这个SERV-U，用的是在网上下的一个很小的软件FTP-SERVER，要用要开随便，很方便的。 还要养成一个好习惯，远程连接上服务器之后先要查看一下有哪些用户与你的服务器连接上了，计算机里是不是添加了一些黑客用户。 备份，网站的数据库要经常备份，不能放在服务器上，放到另一个安全的地方。系统可以装一个一键备份的软件，你远程一样备份还原，备份还原之后服务器可以自动重启，不需要你人工干预。 注意：把用户组里面默认的管理员用户名修改名称，可以防止别人入侵提升管理员权限等 网站的备份也要有计划，但做好这个你要有条件。数据库出了问题，你马上转移一下，基本不会影响网站运行;网站出了问题也马上可以指到另一台服务器或空间，其实这个并花不了多少钱，现在空间便宜，效率是低一点，但不会影响搜索的收录。 利用ASP漏洞攻击的常见方法及防范 一般情况下，黑客总是瞄准论坛等程序，因为这些程序都有上传功能，他们很容易的就可以上传ASP木马，即使设置了权限，木马也可以控制当前站点的所有文件了。另外，有了木马就然后用木马上传提升工具来获得更高的权限，我们关闭shell组件的目的很大程度上就是为了防止攻击者运行提升工具。 如果论坛管理员关闭了上传功能，则黑客会想办法获得超管密码，比如，如果你用动网论坛并且数据库忘记了改名，人家就可以直接下载你的数据库了，然后距离找到论坛管理员密码就不远了。 作为管理员，我们首先要检查我们的ASP程序，做好必要的设置，防止网站被黑客进入。另外就是防止攻击者使用一个被黑的网站来控制整个服务器，因为如果你的服务器上还为朋友开了站点，你可能无法确定你的朋友会把他上传的