Windows2003系统安全完美设置脚本.doc

1、Windows 2003系统安全完美设置脚本一、系统权限的设置系统盘加固脚本：echo off echo 本程序是源自，tamenglang亲手创作，此程序会自动加固您的系统 caclsC: /t /c /g administrators:F system:F Cacls C:Program FilesCommon Files /t /e /c /g everyone:R Cacls C:WINDOWSIIS Temporary Compressed Files /t /e /c /g everyone:C CaclsC:WINDOWSMicr

2、osoft.Net /t /e /c /g everyone:R Cacls C:WINDOWSMicrosoft.NETFrameworkv1.1.4322Temporary ASP.NET Files /t /e /c /g everyone:C Cacls C:WINDOWSMicrosoft.NETFrameworkv2.0.50727Temporary ASP.NET Files /t /e /c /g everyone:C CaclsC:WINDOWSRegistration /t /e /c /g everyone:R CaclsC:WINDOWSTemp /t /e /c /g

3、 everyone:C CaclsC:WINDOWSassembly /t /e /c /g everyone:R CaclsC:WINDOWSWinSxS /t /e /c /g everyone:R CaclsC:WINDOWSFonts /t /e /c /g everyone:R CaclsC:WINDOWSSystem32 /t /e /c /g everyone:R CaclsC:windowssystem32msdtc /t /e /c /g networkservice:C Cacls C:WINDOWSsystem32inetsrvASP Compiled Templates

4、 /t /e /c /g everyone:C CaclsC:WINDOWSSystem32*.exe /e /c /r everyone CaclsC:WINDOWSSystem32cmd.exe/e /c /r system CaclsC:WINDOWSSystem32net.exe/e /c /r system CaclsC:WINDOWSSystem32net1.exe /e /c /r system CaclsC:WINDOWSSystem32msdtc.exe /e /c /g everyone:R CaclsC:WINDOWSSystem32dllhost.exe /e /c /

5、g everyone:R CaclsC:WINDOWSSystem32svchost.exe /e /c /g everyone:R此程序实现的功能如下：C:administrators,system完全控制 C:Program FilesCommon Fileseveryone 读取 C:WINDOWSIIS Temporary Compressed Fileseveryone 更改 C:WindowsMicrosoft.Neteveryone 读取 C:WINDOWSMicrosoft.NETFrameworkv1.1.4322Temporary ASP.NET Files everyon

6、e 更改 C:WINDOWSMicrosoft.NETFrameworkv2.0.50727Temporary ASP.NET Fileseveryone 更改 C:WindowsRegistrationeveryone 读取 C:WindowsTemp everyone 更改 C:Windowsassemblyeveryone 读取 C:WindowsWinSxSeveryone 读取 C:WindowsFontseveryone 读取 C:WindowsSystem32everyone 读取 C:windowssystem32msdtcNETWORK SERVICE 更改 C:WINDOW

7、Ssystem32inetsrvASP Compiled TemplatesEveryone 更改 C:WindowsSystem32*.exe 去除 everyone 权限 C:windowssystem32msdtc.exeeveryone 读取 C:WindowsSystem32dllhost.exeeveryone 读取 C:WindowsSystem32svchost.exe everyone 读取 二、服务启动类型的设置rem server rem 微软：支持此计算机通过网络的文件、打印、和命名管道共享。如果服务停止，这些功能不可用。如果服务被禁用，任何直接依赖于此服务的服务将无法

8、启动。 sc config LanmanServer start= disabled rem remote registry rem 微软：使远程用户能修改此计算机上的注册表设置。如果此服务被终止，只有此计算机上的用户才能修改注册表。如果此服务被禁用，任何依赖它的服务将无法启动。 sc config RemoteRegistry start= disabled rem TCP/IP NetBIOS Helper rem 微软：提供 TCP/IP (NetBT) 服务上的 NetBIOS 和网络上客户端的 NetBIOS 名称解析的支持，从而使用户能够共享文件、打印和登录到网络。 sc conf

9、ig LmHosts start= disabled rem Print Spooler rem 微软： 管理所有本地和网络打印队列及控制所有打印工作。如果此服务被停用，本地计算机上的打印将不可用。如果此服务被禁用，任何依赖于它的服务将无法启用。 sc config Spooler start= disabled rem Computer Browser (计算机浏览器) rem 微软： 维护网络上计算机的更新列表，并将列表提供给计算机指定浏览。如果服务停止，列表不会被更新或维护。如果服务被禁用，任何直接依赖于此服务的服务将无法启动。 sc config Browser start= disa

10、bledrem Shell Hardware Detection rem 微软： 为自动播放硬件事件提供通知。 sc config ShellHWDetection start= disabled rem Secondary Logon rem 微软： 启用替换凭据下的启用进程。如果此服务被终止，此类型登录访问将不可用。如果此服务被禁用，任何依赖它的服务将无法启动。 sc config seclogon start= disabled rem Wireless Configuration rem 微软： 启用 IEEE 802.11 适配器的自动配置。如果此服务停止，自动配置将不可用。如果此服

11、务被禁用，所有明确依赖它的服务都将不能启动。sc config WZCSVC start= disabledrem Distributed Link Tracking Client rem 启用客户端程序跟踪链接文件的移动，包括在同一 NTFS 卷内移动，移动到同一台计算机上的另一 NTFS、或另一台计算机上的 NTFS。sc config TrkWks start= disabled rem Distributed Link Tracking Server rem 启用同域内的分布式链接跟踪客户端服务，以便在同域内提供更高的可靠性和有效维护。sc config TrkSvr start= d

12、isabled rem Distributed Transaction Coordinator rem 协调跨多个数据库、消息队列、文件系统等资源管理器的事务。如果停止此服务，则不会发生这些事务。sc config MSDTC start= disabled rem Cryptographic Services rem 提供三种管理服务: 编录数据库服务，它确定 Windows 文件的签名；受保护的根服务，它从此计算机添加和删除受信根证书颁发机构的证书；和密钥(Key)服务，它帮助注册此计算机获取证书。如果此服务被终止， 这些管理服务将无法正常运行。如果此服务被禁用，任何依赖它的服务将无法启动

13、。 sc config CryptSvc start= disabled rem DHCP Client (DHCP 客户端) rem 微软： 为此计算机注册并更新 IP 地址。如果此服务停止，计算机将不能接收动态 IP 地址和 DNS 更新。如果此服务被禁用，所有明确依赖它的服务都将不能启动。sc config Dhcp start= disabled rem Help and Support rem 启用在此计算机上运行帮助和支持中心。如果停止服务，帮助和支持中心将不可用。如果禁用服务，任何直接依赖于此服务的服务将无法启动。 rem 依存：remote Procedure Call (RP

14、C) sc config helpsvc start= disabled 三、组件的卸载为了防止木马利用这些动态链接库与组件，需要将W.Shell 组件和Shell.application 组件加以卸载，代码如下：rem 卸载W.Shell 组件和卸载Shell.application 组件 regsvr32 /u /s wshom.ocx regsvr32 /u /s shell32.dll上述所有的脚本综合如下： echo offecho 本程序是源自，tamenglang亲手创作，此程序会自动加固您的系统 caclsC: /t /c /g

15、 administrators:F system:FCacls C:Program FilesCommon Files /t /e /c /g everyone:RCacls C:WINDOWSIIS Temporary Compressed Files /t /e /c /g everyone:CCaclsC:WINDOWSMicrosoft.Net /t /e /c /g everyone:RCacls C:WINDOWSMicrosoft.NETFrameworkv1.1.4322Temporary ASP.NET Files /t /e /c /g everyone:CCacls C:

16、WINDOWSMicrosoft.NETFrameworkv2.0.50727Temporary ASP.NET Files /t /e /c /g everyone:CCaclsC:WINDOWSRegistration /t /e /c /g everyone:RCaclsC:WINDOWSTemp /t /e /c /g everyone:CCaclsC:WINDOWSassembly /t /e /c /g everyone:RCaclsC:WINDOWSWinSxS /t /e /c /g everyone:RCaclsC:WINDOWSFonts /t /e /c /g every

17、one:RCaclsC:WINDOWSSystem32 /t /e /c /g everyone:RCaclsC:windowssystem32msdtc /t /e /c /g networkservice:CCacls C:WINDOWSsystem32inetsrvASP Compiled Templates /t /e /c /g everyone:CCaclsC:WINDOWSSystem32*.exe /e /c /r everyoneCaclsC:WINDOWSSystem32cmd.exe/e /c /r systemCaclsC:WINDOWSSystem32net.exe/

18、e /c /r systemCaclsC:WINDOWSSystem32net1.exe /e /c /r systemCaclsC:WINDOWSSystem32msdtc.exe /e /c /g everyone:RCaclsC:WINDOWSSystem32dllhost.exe /e /c /g everyone:RCaclsC:WINDOWSSystem32svchost.exe /e /c /g everyone:R echo 现在对您的服务器服务启动类型加以设置 rem server rem 微软：支持此计算机通过网络的文件、打印、和命名管道共享。如果服务停止，这些功能不可用。

19、如果服务被禁用，任何直接依赖于此服务的服务将无法启动。 sc config LanmanServer start= disabled rem remote registry rem 微软：使远程用户能修改此计算机上的注册表设置。如果此服务被终止，只有此计算机上的用户才能修改注册表。如果此服务被禁用，任何依赖它的服务将无法启动。 sc config RemoteRegistry start= disabled rem TCP/IP NetBIOS Helper rem 微软：提供 TCP/IP (NetBT) 服务上的 NetBIOS 和网络上客户端的 NetBIOS 名称解析的支持，从而使用户

20、能够共享文件、打印和登录到网络。 sc config LmHosts start= disabled rem Print Spooler rem 微软： 管理所有本地和网络打印队列及控制所有打印工作。如果此服务被停用，本地计算机上的打印将不可用。如果此服务被禁用，任何依赖于它的服务将无法启用。 sc config Spooler start= disabled rem Computer Browser (计算机浏览器) rem 微软： 维护网络上计算机的更新列表，并将列表提供给计算机指定浏览。如果服务停止，列表不会被更新或维护。如果服务被禁用，任何直接依赖于此服务的服务将无法启动。 sc co

21、nfig Browser start= disabledrem Shell Hardware Detection rem 微软： 为自动播放硬件事件提供通知。 sc config ShellHWDetection start= disabled rem Secondary Logon rem 微软： 启用替换凭据下的启用进程。如果此服务被终止，此类型登录访问将不可用。如果此服务被禁用，任何依赖它的服务将无法启动。 sc config seclogon start= disabled rem Wireless Configuration rem 微软： 启用 IEEE 802.11 适配器的自动

22、配置。如果此服务停止，自动配置将不可用。如果此服务被禁用，所有明确依赖它的服务都将不能启动。sc config WZCSVC start= disabledrem Distributed Link Tracking Client rem 启用客户端程序跟踪链接文件的移动，包括在同一 NTFS 卷内移动，移动到同一台计算机上的另一 NTFS、或另一台计算机上的 NTFS。sc config TrkWks start= disabled rem Distributed Link Tracking Server rem 启用同域内的分布式链接跟踪客户端服务，以便在同域内提供更高的可靠性和有效维护。sc config TrkSvr start= disabled rem Distributed Transaction Coordinator rem 协调跨多个数据库、消息队列、文件系统等资源管理器的事务。如果停止此服务，则不会发生这些事务。sc config MSDTC start= disabled rem Cryptographi