一,先关闭不需要的端口(Port)
我比较小心,先关了端口(Port).只开了3389 21 80 1433有一些人一直说什么默认的3389不安全,对此我不否认,但是利用的途径也只能一个一个的穷举,您把帐号改了密码设置为十五六位,我估计他要破上好几年,哈哈!办法:本地连接--属性--Internet协议(TCP/IP)--高级--选项--TCP/IP筛选--属性--把勾打上 然后添加您需要的端口(Port)就可以了.PS一句:设置完端口(Port)需要重新启动操作系统!
当然大家也可以更改远程连接端口(Port)方法:
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp]
"PortNumber"=dword:00002683
保存为.REG文件双击就可以了!更改为9859,当然大家也可以换别的端口(Port), 直接或者是间接打开以上注册表(Regedit)的地址,把值改为十进制的输入您想要的端口(Port)就可以了!重新启动操作系统操作系统生效!
还有一点,在2003操作操作系统里,用TCP/IP筛选里面的端口(Port)过滤功能,使用FTP服务器(Server)的时候,只开放21端口(Port),在进行FTP传输的时候,FTP 特有的Port模式和Passive模式,在进行数据(Data)传输的时候,需要动态的打开高端口(Port),所以在使用TCP/IP过滤的情况下,经常会出现连接上后根本没有办法列出目录和数据(Data)传输的基本问题.所以在2003操作操作系统上增加的Microsoft Windows连接防火墙(本站在极力推荐使用瑞星防火墙,如何使用在本站的反毒杀毒里有非常非常详细的介绍)能很好的解决这一个问题,所以都不推荐使用网卡的TCP/IP过滤功能.所做FTP下载的用户看仔细点,不要怪我说我写文章是垃圾...如果要关闭不必要的端口(Port),在
\\system32\\drivers\\etc\\services中有列表,记事本就可以打开的.如果懒惰的话,最简单的方法是启用WIN2003的自身带的网络防火墙(本站在极力推荐使用瑞星防火墙,如何使用在本站的反毒杀毒里有非常非常详细的介绍),并进行端口(Port)的改变.功能还可以!Internet 连接防火墙(本站在极力推荐使用瑞星防火墙,如何使用在本站的反毒杀毒里有非常非常详细的介绍)可以有效地拦截对Windows 2003服务器(Server)的非法入侵,防止非法远程主机对服务器(Server)的扫描,提高Windows 2003服务器(Server)的系统的安全性.同时,也可以有效拦截利用操作操作操作系统漏洞(计算机学习网,极力推荐用迅雷来更新,速度比什么更新软件(soft)都来得快)进行端口(Port)攻击的病毒,如冲击波等蠕虫病毒.如果在用Windows 2003构造的虚拟(路由器的缩写)器(局域网中常用的一种设备,可以很好的防止Arp病毒)上启用此防火墙(本站在极力推荐使用瑞星防火墙,如何使用在本站的反毒杀毒里有非常非常详细的介绍)功能,能够对整个内部网络起到很好的保护作用.
关于端口(Port)的介绍可以访问:http://bbs.86dm.net/viewthread.php?tid=7&extra=page%3D1
二,关闭不需要的服务 打开相应的审核策略
我关闭了以下的服务
Computer Browser 维护网络上电脑的最新列表以及提供这一个列表
Task scheduler 允许程序(Procedures)(Procedures)在指定时间运行
Messenger 传输客户端和服务器(Server)之间的 NET SEND 和 警报器服务消息
Distributed File System: 局域网管理共享(Sharing)文件,不需要禁用
Distributed linktracking client:用于局域网更新连接信息,不需要禁用
Error reporting service:禁止发送错误报告
Microsoft Serch:提供快速的单词搜索,不需要可禁用
NTLMSecuritysupportprovide:telnet服务和Microsoft Serch用的,不需要禁用
PrintSpooler:如果没有打印机可禁用
Remote Registry:禁止远程修改注册表(Regedit)
Remote Desktop Help Session Manager:禁止远程协助
Workstation 关闭的话远程NET系统命令列不出用户组
把不必要的服务都禁止掉,尽管这些不一定能被攻击者利用得上,但是按照安全规则和标准上来说,多余的东西就没必要开启,减少一份隐患.
在"网络连接"里,把不需要的
协议和服务都删掉,这里只安装了最基本的Internet协议(TCP/IP),由于要控制带宽流量服务,额外安装了Qos数据(Data)包计划程序(Procedures)(Procedures).在高级tcp/ip设置里--"NetBIOS"设置"禁用tcp/IP上的NetBIOS(S)".在高级选项里,使用"Internet连接防火墙(本站在极力推荐使用瑞星防火墙,如何使用在本站的反毒杀毒里有非常非常详细的介绍)",这是Microsoft Windows 2003 自已带的防火墙(本站在极力推荐使用瑞星防火墙,如何使用在本站的反毒杀毒里有非常非常详细的介绍),在2000操作操作系统里没有的功能,虽然没什么功能,但可以屏蔽端口(Port),这样已经基本达到了一个IPSec的功能.
在运行中输入gpedit.msc回车,打开组策略编辑器,选择(Choose)电脑配置-Windows设置-安全设置-审核策略在创建审核项目时需要注意的是如果审核的项目太多,生成的事件也就越多,那么要想发现要紧的事件也越难当然如果审核的太少也会影响您发现要紧的事件,您需要根据情况在这二者之间做出选择(Choose).
推荐的要审核的项目是:
登录(Logon)事件 成功 失败
账户登录(Logon)事件 成功 失败
操作操作系统事件 成功 失败
策略更改 成功 失败
对像访问 失败
目录服务访问 失败
特权使用 失败
三,关闭默认共享(Sharing)的空连接
由于比较简单,这里就不详谈了.
四,磁盘权限设置
C盘只给administrators 和system权限,其他的权限不给,其他的盘也可以这样设置,这里给的system权限也不一定需要给,只是由于某一些第三方应用程序(Procedures)(Procedures)是以服务形式启动操作系统的,需要加上这一个用户,不然的话造成启动操作系统不了.
Windows目录要加上给users的默认权限,不然的话ASP和ASPX等应用程序(Procedures)(Procedures)就根本没有办法运行.以前有朋友单独设置Instsrv和temp等目录权限,当然没有这一个必要的.
另外在c:/Documents and Settings/这里相当重要,后面的目录里面的权限根本不怎么会继承从前的设置,如果仅仅只是设置了C盘给administrators权限,而不能是在All Users/Application Data目录下会 出现everyone用户有完全控制权限,这样入侵这可以跳转到这一个目录,写入脚本或者是只文件,再结合其他漏洞来提升权限;
譬如利用serv-u的本地溢出提升权限,或者是操作操作系统遗漏有补丁,数据(Data)库的弱点,还超级有可能社会工程学等等N多方法,从前不是有牛人发飑说:"只要给我一个webshell,我就可以拿到system",这也的确是有可能的.在用做web/ftp服务器(Server)的操作操作系统里,建议是将这些目录都设置的锁死.其他每个盘的目录都按照这样设置,没个盘都只给adinistrators权限.
另外,还将:
net.exe NET系统命令
cmd.exe CMD 懂电脑的都知道咯~
tftp.exe
netstat.exe
regedit.exe
at.exe
attrib.exe
cacls.exe ACL用户组权限设置,此系统命令可以在NTFS下设置任何文件夹的任何权限!偶入侵的时候没少用这一个....(:
format.exe
大家都知道ASP令人讨厌的电脑木马吧,有个CMD运行这一个的,这些如果都可以在CMD下运行..55,,估计别的没什么,format下估计就哭料~~~(:这些文件都设置只允许administrators访问.
五,防火墙(本站在极力推荐使用瑞星防火墙,如何使用在本站的反毒杀毒里有非常非常详细的介绍),杀毒软件(soft)的安装
防御DDOS攻击,可以用冰盾防火墙(本站在极力推荐使用瑞星防火墙,如何使用在本站的反毒杀毒里有非常非常详细的介绍).杀毒软件(soft)可以用诺顿等.
六,SQL2000 SERV-U FTP安全设置
SQL安全方面
1,System Administrators 角色最好不要超过两个
2,如果是在本台电脑最好将身份验证配置为Win登陆
3,不要使用Sa账户,为其配置一个超级复杂的密码
4,彻底删除以下的扩展存储过程格式为:
use master
sp_dropextendedproc '扩展存储过程名'
xp_cmdshell:是进入操作操作操作系统的最佳捷径,彻底删除
访问注册表(Regedit)的存储过程,彻底删除
Xp_regaddmultistring Xp_regdeletekey Xp_regdeletevalue Xp_regenumvalues
Xp_regread Xp_regwrite Xp_regremovemultistring
OLE自动存储过程,不需要彻底删除
Sp_OACreate Sp_OADestroy Sp_OAGetErrorInfo Sp_OAGetProperty
Sp_OAMethod Sp_OASetProperty Sp_OAStop
5,隐藏(Hide) SQL Server,更改默认的1433端口(Port)
右击实例选属性-常规-网络配置中选择(Choose)TCP/IP协议的属性,选择(Choose)隐藏(Hide) SQL Server 实例,并改原默认的1433端口(Port)
serv-u的几点常规安全需要设置下:
选中"Block "FTP_bounce"attack and FXP".什么是FXP呢?通常,当使用FTP协议进行文件传输时,客户端最开始向FTP服务器(Server)发出一个"PORT"系统命令,该系统命令中包含此用户的IP地址和将被用来进行数据(Data)传输的端口(Port)号,服务器(Server)收到后,利用系统命令所提供的用户地址信息建立与用户的连接.大多数情况下,上述过程不怎么会出现任何问题,但当客户端是一名恶意用户时,可能会通过在PORT系统命令中加入特定的地址信息,使FTP服务器(Server)与其他非客户端的机器建立连接.虽然这名恶意用户可能本身无权直接或者是间接访问某一特定机器,但是如果FTP服务器(Server)有权访问该机器的话,那么恶意用户就可以通过FTP服务器(Server)作为中介,仍然能够最终实现与目标服务器(Server)的连接.这就是FXP,也称跨服务器(Server)攻击.选中后就可以防止发生此种情况.
七,IIS安全设置
IIS的安全:
1,不使用默认的Web站点,如果使用也要将 将IIS目录与操作操作系统磁盘分开.
2,彻底删除IIS默认创建的Inetpub目录(在安装操作操作系统的盘上).
3,彻底删除操作操作系统盘下的虚拟目录,如:_vti_bin,IISSamples,Scripts,IIShelp,IISAdmin,IIShelp,MSADC.
4,彻底删除不必要的IIS扩展名映射.
右键单击“默认Web站点→属性→主目录→配置”,打开应用程序(Procedures)(Procedures)窗口,去掉不必要的应用程序(Procedures)(Procedures)映射.主要为.shtml, .shtm, .stm
5,更改IIS日志的路径
右键单击“默认Web站点→属性-网站-在启用日志记录下单击属性
6,如果使用的是2000可以使用iislockdown来保护IIS,在2003运行的IE6.0的版本不需要.
八,其他
1, 操作操作系统升级,打操作操作操作系统补丁,尤其是IIS 6.0补丁,SQL SP3a补丁,还超级有可能IE 6.0补丁也要打.同时马上追踪最新漏洞补丁;
2,停掉Guest 帐号,并给guest 加一个异常复杂的密码,把Administrator改名或者是伪装!
3,隐藏(Hide)重要文件/目录
可以修改注册表(Regedit)实现完全隐藏(Hide):“HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\ Current-Version\Explorer\Advanced\Folder\Hi-dden\SHOWALL”,鼠标右击 “CheckedValue”,选择(Choose)修改,把数值由1改为0
4,启动操作系统操作操作系统自已带的Internet连接防火墙(本站在极力推荐使用瑞星防火墙,如何使用在本站的反毒杀毒里有非常非常详细的介绍),在设置服务选项中勾选Web服务器(Server).
5,防止SYN洪水(Water)攻击
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters
新建DWORD值,名为SynAttackProtect,值为2
6. 禁止响应ICMP(路由器的缩写)通告报文 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\interface
新建DWORD值,名为PerformRouterDiscovery 值为0
7. 防止ICMP重定向报文的攻击
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters
将EnableICMPRedirects 值设为0
8. 不支持IGMP协议
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters
新建DWORD值,名为IGMPLevel 值为0
9,禁用DCOM:
运行中输入 Dcomcnfg.exe. 回车, 单击“控制台根节点”下的“组件服务”. 打开“电脑”子文件夹.
对于本地电脑,请以右键单击“我的电脑”,然后选择(Choose)“属性”.选择(Choose)“默认属性”选项卡.
清除“在这台电脑上启用分布式 COM”复选框.
学习了......
學習ing
挺好,顶一下
好东西,大家分享 谢谢{$WebSiteName}的站长!顶了!
xiexie
學習ing
http://bbs.itkhl.com/151883
var tagarray =['软件(soft)','网络','工具','操作操作系统','
网吧','电脑','破解','服务器(Server)','VPN','(路由器的缩写)器(局域网中常用的一种设备,可以很好的防止Arp病毒)'];var tagencarray =['%C8%ED%BC%FE','%CD%F8%C2%E7','%B9%A4%BE%DF','%CF%B5%CD%B3','%CD%F8%B0%C9','%B5%E7%C4%D4','%C6%C6%BD%E2','%B7%FE%CE%F1%C6%F7','VPN','%C2%B7%D3%C9%C6%F7'];parsetag(1291321);
