Windows 2003服务器常用安全策略
windows Server 2003使用ip安全策略禁止ip访问服务器的方法
Windows下搭建Subversion 服务器一、准备工作1、获取Subversion 服务器程序到官方网站(/)下载最新的服务器安装程序。
目前最新的是1.5版本,具体下载地址在:/servlets/ProjectDocumentList?folderID=8100&expandFolder=8100&f olderID=912、获取TortoiseSVN 客户端程序从官方网站/downloads 获取最新的TortoiseSVN 。
TortoiseSVN 是一个客户端程序,用来与subvers 服务器端通讯。
Subversion 自带一个客户端程序svn.exe ,但TortoiseSVN 更好操作,提高效率。
二、安装服务器端和客户端安装Subversion(以下简称SVN)的服务器端和客户端。
下载下来的服务器端是个zip 压缩包,直接解压缩即可,比如我解压到E:\subversion 。
客户端安装文件是个exe 可执行文件,直接运行按提示安装即可,客户端安装完成后提示重启。
三、建立版本库(Repository)运行Subversion服务器需要首先要建立一个版本库(Repository)。
版本库可以看作是服务器上集中存放和管理数据的地方。
开始建立版本库。
首先建立e:\svn 空文件夹作为所有版本库的根目录。
然后,进入命令行并切换到subversion的bin目录。
输入如下命令:svnadmin create E:\svn\repos1此命令在E:\svn 下建立一个版本库repos1 。
repos1 下面会自动生成一些文件夹和文件。
我们也可以使用TortoiseSVN 图形化的完成这一步:先建立空目录E:\svn\repos1 ,注意一定是要空的。
然后在repos1 文件夹上“右键->TortoiseSVN->Create Repository here...”,然后可以选择版本库模式,这里使用默认的FSFS 即可,然后就创建了一系列文件夹和文件,同命令行建立的一样。
Windows Server 2003基于web服务器应用的网络安全策略
1 1 6 ・
信 息 产 业
Wi n d o w s S e r v e r 2 0 0 3 基于w e b 服务器应用的网络安全策略
杨 飚
( 贵 州)
摘 要: 网络 安 全 措 施 应 该 能 全 方位 地 防 范来 自各 方 面 的威 胁 , 这 样 才能 保 证 网络 信 息的 保 密 性 、 完整 性 和 可 用性 。 关键词 : 网络安全 ; 防火墙 ; 网络攻击
进 八=十一 ,特别是 I n t e me t 在全球的普 就是阻 l 计算机病毒进入系统内存或阻止 计算机 病毒对磁盘进行的操 及, 计算机网络已广泛地用于各行各业以及 日常生活的各个瓴域, 成为信 作 , 尤其是写操作。 1 . 4 2病毒的清除技术。 计算机病毒的清除技术是计算 息传输中不可缺少的—部分。 因此, 网络安全措施应该能全- 力位地防范来 自各方面的威胁, 这样才自 网 ̄ r f Eg的f 5 i 墙 性、 完整性和可用性。计 销毒软件是在病毒出现后才能研制 , 有很大的被动性和滞后性 , 而且由于 防火墙技术 、 网络防病毒技术 、 网络 计算机软件所要求的精确性, 致使某些变种病毒无法清除, 杀毒软件应经 : 为 常升级来增强杀勒 能。网络中最重要的软硬 妻 淋 是网络 O s, 服务 保护计算机硬件、 软 器和工作 站。 更改和泄露。所以, 建立网络 2网络攻击的几种方法 发生增加、 信息收集是突破网络系统的第—步 ,黑客可以使用下面 几 种工具来 安全保护措施的目 修改、 丢失和泄露等。 收集所需信息: 2 . 1 T r a c e R o u t e 程序。T r a c e R o u t e 程序, 得出到达 目 标主机所经过的 1计算机网络安全体系 全方位的计算机网络安全体系结构包含网络物理安全、 访问控制安 网络数爿 璐 由器数。T r a c e r o u t e 程序I 是同 V a n J a c o b s o n 编} 写的能深 ^ 探 C P X I P协议 的方便呵 用的工具。 T r a c e r o u t e 通过发送小的数掳} 包到目 全、 系统安全、 用户安全、 信勖 Ⅱ 密、 安全传输和管理安全等。充分利用各 索 T 种先进的主机安全技术和身份认证技术、 访问控制技术、 密码技术 、 防火 的设备直到其返 回,来测量其需要多长时间。一条路径上的每个设备 墙技术 、 安全审计技术 、 安全管理技术 、 系统漏洞检测技术 、 黑客跟踪技 T r a c e r o u t e 要测 3 次。 输出结果中包括每次测试的时间( m 略洛 的名称 术, 在攻击者和受保 资源间建立多道严格的安全防线, 大大增加了恶 ( 如有的话) 及其 I P 地址。 2 2 Wh o i s 协议。 w h o i s 是用来查询域名的 I P以及所有者等彳 言 息的传 意政. 击的难度和增加了核查信息的; 量, 使用这些核查信息来追踪入侵 者。 输仂议。 简 说, w h o i s 就是—个 用来查询域名是否 已经被注册 , 以及注册 羊 细信息的数据库( 如域名所有 人、 域名注册商) 。 通过 w h o i s 来实 I . I物理安全策略。物理安全策略是保护{ 博 机系统、 网络眼务器 、 域名的{ 打印 机等硬件和通信线路免受自 然灾害、 ^ 为破坏和搭线攻击; 验证用户 现对域名信息的查询。 早期的 w h o i s 查询多以命令列接 口存在 , 但是现在 查询工具 , 可以一次向不同的数据库查 身份是否合法与使用权限、防止用户越权操作; 保证计算机系统能够在 出现了—些网页接 口简化的线 匕 良好的工作环境下运行 ; 建立—套完善的安全管理制度, 防 止未经授权的 询。 网页接 口的查询工 具 濑w h o i s 协议向服务端 姑 到 请求 , 命 用户进 人 计算初机房以及各种盗窃、 破坏活动的发生。 网络的权限控制是 令列接 口的工具仍然被系统管理员广泛使用。w h o i s 通常使用T C P协议 为网络访 问提供第一层访问控制。它控制哪些用户能够登录到服务器并 4 3 端 口。每个域名 / I P的 w h o i s 信息由对应的管理机构保存 。 合法获取网络资源 , 控制合法用户入网的时间和准许他们在哪台工作站 2 3 D N S 服务 暑 导 。D N S 服务器 尉懒 域 名系统 它是由解析器和域 入 网。 。 名服务器组成的。域名服务器是指保存有该 网络中所有主机的域名和对 1 2数据加密技术。数据加密技术是为提高信息系统及数据的安全 应 I P地趾 , 并具 将域名转换为 I P 地址功能的服务器。 其 中域名必须对 性和保密性, 防L 匕 秘密数据被外 匣 j c 泽昕采用的主要手段之一。 数据加 应—个 I P 地址 , 而I P 地址不—定有域名。 域名系统采用类似目录树的等 密技术要求只有在指定的用户或网络下 , 才能解除密码而获得原来的数 级结构。 域名服务器为客户机 , 服务 中的服务 错 方, 它主要有两种 据, 这就需要给 数据发送方和接受方以—些特殊的信息用于加解密 , 这就 形式 : 主服务器和转发服务器。 将域名映射为 I P 地址的过程就称为‘ 域 名 是所谓的密钥。其密钥的值是从大量的随机数中选取的。按加密算法分 解析” 。 为专用密钥和公开密钥两种。 2 4 P i n g 实用程序。P i n g 实用程序, 可以用来确定—个指定的主机的 1 3防火墙技术。防火墙是指隔离在本地网络与外界网络之间的一 位置并确定其是否可达。P i n g 是个使用频率极高的实用程序 , 用于确定 道防御系统 , 是这—类防范措施 的总称。 在互联网上防火墙是—种非常有 本地主机是否能与另一台主机交换( 发送与接收) 数据报。根据返回的信 效的网络安全模型,通过它可以隔离风险区域( i n t e r n e t 或有_定风险的 息 , 你就可以推断 T C P / I P 参数是否设置得正确以及运行是否正常。需要 网络) 与安全区域( 局域 网) 的连接, 同时不会妨碍 人 们对风险区域的访 注意的是 :成功地与另一台主机进行一次或两次数据报交换并不表示 问。—般的防火墙都可以达到以下 目的 : ( 1)可以限制他 ^ 进 ^内部网 T C P / I P配置就是正确的, 你必须执行大量的本地主机与远程主机的数据 络, 过滤掉不安全服务和非法用户; ( 2) 防 止^ 、 侵者接近你的防御设施 ; 报交换, 才能确信 T C P / I P的正确性。简单的说, P i n g 就是— — 卜 钡 I I 试程序, ( 3) 限定用户访问特殊站J ; ( 4) 为监视 I n t e me t 安全提供方便。 由于防 如果 P i n g 运行正确, 你大体 E 就可以排除网络访问层、 网卡 、 M O D E M的 火墙假设了网络边界和服务,因此更适合于相对独立的网络,例如 I n — 输 入 输出线路 、 电缆和路由器等存在的故障, 5 I 而减小了问题的范围。但 t e r n e t 等种类相对集中的网络。防火墙正在成为控制对网络系统访 问的 由于可以自定义所发数据报的大小及无休止的高速发送 , P i n g 也被某些 非常流行的方法。 别有用心的人作为 D D O S ( 拒绝服务攻击) 的工具。 l 4计算机病毒的发展和防御。因为网络环境下的计算机病毒是网 3 Wi n d o ws S e r v e r 2 O 0 3 的安 装 络系统最大的攻击者 ,具有强大的感染性和破坏陛,网络防病毒技术已 3 . 1安装系统最! ! 薅 区, 分区格式都采用 N T F S 格式。 成为当今计算 机网络美. 全 和网络管理 的重要课题 。防病毒技术可分为三 3 2在断开网络白 勺 J 壶 碧 好2 0 0 3 系统。 种: 病毒预防技术, 病毒检测技术和病毒清除技术。当今计算机病毒已经 3 3安装 I I S , 仅安装必要的 I I S组件蝴 j 不需要的如 F r P和 S MT P 朝着病毒变异的方向发展, 新—代计算机病毒将具有很多智能化的特征: 服 。默认 况下 , I I s 服务没有安装, 在添加 , 删除 Wi n 组件中选择‘ 位 它能够 自 我变形和 自我保护以及 自我恢复功能。 J 比 外, 计算机病毒对计算 用程序服务器” , 然后点击‘ ‘ 详纽 息” , 双击 I n t e me t 信息日 i # j - ( i i s ) , 勾选以 机系统和网络安全的破坏程度越来越大 , 已经进人 了—个网络传播 、 破坏 下 选项 : 时代。1 . 4 . 1 病毒预防技术。病毒预防技术是指通过一定的技术手段防止 I n t e me t 信 息服务管��
Win 2003 Server 服务器安全设置(六)本地安全策略
Win 2003 Server 服务器安全设置(七)服务器安全设置之--本地安全策略设置
安全策略自动更新命令:GPUpdate /force (应用组策略自动生效不需重新启动) 开始菜单—>管理工具—>本地安全策略
A、本地策略——>审核策略
审核策略更改成功失败
审核登录事件成功失败
审核对象访问失败
审核过程跟踪无审核
审核目录服务访问失败
审核特权使用失败
审核系统事件成功失败
审核账户登录事件成功失败
审核账户管理成功失败
B、本地策略——>用户权限分配
关闭系统:只有Administrators组、其它全部删除。
通过终端服务拒绝登陆:加入Guests、User组
通过终端服务允许登陆:只加入Administrators组,其他全部删除
C、本地策略——>安全选项
交互式登陆:不显示上次的用户名启用
网络访问:不允许SAM帐户和共享的匿名枚举启用
网络访问:不允许为网络身份验证储存凭证启用
网络访问:可匿名访问的共享全部删除
网络访问:可匿名访问的命全部删除
网络访问:可远程访问的注册表路径全部删除
网络访问:可远程访问的注册表路径和子路径全部删除
帐户:重命名来宾帐户重命名一个帐户
帐户:重命名系统管理员帐户重命名一个帐户。
Windows Server2003限制IP访问
windows Server 2003使用ip安全策略禁止某ip访问服务器的方法修改浏览权限|删除
windows Server 2003使用ip安全策略禁止某ip访问服务器的方法下面有文字与图片,请耐心观看......
控制面板—管理工具—本地安全策略或者命令 gpedit.msc
选择创建 IP 安全策略
点选下一步
我们就是要禁止他,不和他说话,那么,取消勾选
直接按完成.那个勾选是默认的
注意右下的”添加向导”,如果勾选了,取消他,然后点击”添加”
选中刚刚建立的禁止ip 点编辑
(@添加ip)
把”添加向导”的勾选取消 , 然后点添加
地址和目标别写反了,把自己给封了
// 然后切换到“协议” 面板
我这里是选择 tcp 到80端口 ,直接按确定,回到上层界面,继续确定,回到新规则属性面板
选择“筛选器操作”面板
这里的阻止是我先前做的添加的, 操作步骤为: 取消“添加向导” 的勾选点添加
在常规里面重命名为阻止就ok了
一路确定,回到
注意要禁止ip 前面的勾选
确定,完成此策略
最后需要指派策略
到此,刚才显示的ip 116.164.68.6 地址的用户就不能访问服务器了添加多ip 从 (@添加ip) 开始
--------------------------------------------
如果允许访问,也同样这样操作就可以,很简单!
有错误请及时提出,谢谢!
来
自:/mxf521/blog/item/9328da5439930f49d109069e.html。
Win 2003 组策略禁止某端口
本文档以window server 2003 详细说明组策略禁止端口连接的方法。
本文档以禁止windows远程端口3389为例。
(类似于linux的iptable策略)
1. 开始运行gpedit. Msc打开组策略。
2.在IP安全策略中,右键选择“管理IP筛选器和筛选器操作”
3.在筛选器列表上点击“添加”:
4 在添加界面,编辑名称和描述等,点“添加”进入添加筛选器向导
5.点击“下一步”,在“源地址”类别中选择“所有IP地址”,在“目标地址”类别中选择“我的IP地址”,下一步协议类型(S): 把"任意"选改为"tcp" 下一步,
,添加完成后,确定。
6。
在“管理筛选器操作”中,点击“添加”。
按照向导,填写“名称描述”,点击“下一步”,选择“阻止”。
完成后关闭窗口。
7.回到“IP安全策略”,右键点击“创建IP安全策略”,并点击下一步,填写“描述信息”。
8. 按照向导完成,并编辑属性。
点击“下一步”,并“完成”向导。
9.在右边安全策略列表中,选择刚建好的策略,点击右键“指派”使该安全策略生效。
windows 2003 域密码策略设置
windows 2003 域密码策略设置在域控制器上的开始菜单中打开“运行”,输入DSA.MSC后回车,即打开活动目录的用户和计算机管理控制台。
在域节点右键,进入属性,打开组策略选项卡,在里边找到Default Domain policy这个GPO选中他,点击下面的编辑,现在就会打开组策略编辑器,在这个组策略编辑器中找到一下路径:计算机配置-WINDOWS设置-安全设置-帐户策略-密码策略。
在这个路径下找到“密码必须符合复杂性要求”设置为禁用,“密码长度最小值”设置为0。
这样你就可以创建空密码的用户帐户了(当然在这里你也可以为你的域设置你自己需要的密码策略),完成了以上设置后并没有完,还有最后一步,就是在开始菜单的运行中输入“GPUPDATE /FORCE”这个命令。
另:1、如何在WIN2003中添加用户?每次添加用户时总是提示我不符合密码策略,怎么办?问:如何在WIN2003中添加用户?我将公司的主域服务器改成win2003,但是win2003却不让我添加用户,每次添加用户是总是提示我不符合密码策略,怎么办?答:对于2003域,默认域的安全策略与2000域不同。
要求域用户的口令必须符合复杂性要求,且密码最小长度为7。
口令的复杂性包括三条:一是大写字母、小写字母、数字、符号四种中必须有3种,二是密码最小长度为6,三是口令中不得包括全部或部分用户名。
当然也可以重新设默认域的安全策略来解决。
操作如下:开始/程序/管理工具/域安全策略/帐户策略/密码策略:密码必须符合复杂性要求:由“已启用”改为“已禁用”;密码长度最小值:由“7个字符”改为“0个字符”。
使此策略修改生效有如下方法:1、等待系统自动刷新组策略,约5分钟~15分钟2、重启域控制器(若是修改的用户策略,注销即可)3、使用gpupdate命令。
(推荐使用这个)说明:2000中使用的刷新组策略命令secedit /refreshpolicy machine(或user)_policy /enforce 命令在03中已由gpupdate取代。
Windows 2003服务器安全配置终极技巧
Windows 2003服务器安全配置终极技巧1、安装系统补丁。
扫描漏洞全面杀毒2、3、NTFS系统权限设置在使用之前将每个硬盘根加上 Administrators 用户为全部权限(可选加入SYSTEM用户)删除其它用户,进入系统盘:权限如下∙C:\WINDOWS Administrators SYSTEM用户全部权限, Users 用户默认权限不作修改,否则ASP和ASPX 等应用程序就无法运行。
∙其它目录删除Everyone用户,切记C:\Documents and Settings下All Users\Default User目录及其子目录如C:\Documents and Settings\All Users\Application Data 目录默认配置保留了Everyone用户权限C:\WINDOWS 目录下面的权限也得注意,如 C:\WINDOWS\PCHealth、C:\windows\Installer也是保留了Everyone权限.∙删除C:\WINDOWS\Web\printers目录,此目录的存在会造成IIS里加入一个.printers的扩展名,可溢出攻击∙默认IIS错误页面已基本上没多少人使用了。
建议删除C:\WINDOWS\Help\iisHelp目录∙删除C:\WINDOWS\system32\inetsrv\iisadmpwd,此目录为管理IIS密码之用,如一些因密码不同步造成500 错误的时候使用 OWA 或 Iisadmpwd 修改同步密码,但在这里可以删掉,下面讲到的设置将会杜绝因系统设置造成的密码不同步问题。
打开C:\Windows 搜索net.exe;cmd.exe;tftp.exe;netstat.exe;regedit.exe;at.exe;attrib.exe;cacls.exe;;re gsvr32.exe;xcopy.exe;wscript.exe;cscript.exe;ftp.exe;telnet.exe;arp.exe;edlin.exe;ping.exe ;route.exe;finger.exe;posix.exe;rsh.exe;atsvc.exe;qbasic.exe;runonce.exe;syskey.exe修改权限,删除所有的用户只保存Administrators 和SYSTEM为所有权限其它盘,有安装程序运行的(我的sql server 2000 在D盘)给Administrators 和SYSTEM 权限,无只给Administrators 权限。
Windows 2003 Server安全配置技术技巧
Windows 2003 Server安全配置技术技巧(1)一、先关闭不需要的端口我比较小心,先关了端口。
只开了3389、21、80、1433,有些人一直说什么默认的3389不安全,对此我不否认,但是利用的途径也只能一个一个的穷举爆破,你把帐号改了密码设置为十五六位,我估计他要破上好几年,哈哈!办法:本地连接--属性--Internet协议(TCP/IP)--高级--选项--TCP/IP筛选--属性--把勾打上,然后添加你需要的端口即可。
PS一句:设置完端口需要重新启动!当然大家也可以更改远程连接端口方法:WindowsRegistryEditorVersion5.00[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Co ntrol\TerminalServer\WinStations\RDP-Tcp]"PortNumber"=dword:00002683保存为.REG文件双击即可!更改为9859,当然大家也可以换别的端口,直接打开以上注册表的地址,把值改为十进制的输入你想要的端口即可!重启生效!还有一点,在2003系统里,用TCP/IP筛选里的端口过滤功能,使用FTP服务器的时候,只开放21端口,在进行FTP传输的时候,FTP特有的Port模式和Passive模式,在进行数据传输的时候,需要动态的打开高端口,所以在使用TCP/IP过滤的情况下,经常会出现连接上后无法列出目录和数据传输的问题。
所以在2003系统上增加的Windows连接防火墙能很好的解决这个问题,不推荐使用网卡的TCP/IP过滤功能。
做FTP下载的用户看仔细,如果要关闭不必要的端口,在\system32\drivers\etc\services中有列表,记事本就可以打开的。
如果懒的话,最简单的方法是启用WIN2003的自身带的网络防火墙,并进行端口的改变。
功能还可以!Internet连接防火墙可以有效地拦截对Windows2003服务器的非法入侵,防止非法远程主机对服务器的扫描,提高Windows2003服务器的安全性。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
Windows 2003服务器常用安全策略策略一:关闭windows2003不必要的服务·computer browser 维护网络上计算机的最新列表以及提供这个列表·task scheduler 允许程序在指定时间运行·routing and remote access在局域网以及广域网环境中为企业提供路由服务·removable storage管理可移动媒体、驱动程序和库·remote registry service 允许远程注册表操作·print spooler 将文件加载到内存中以便以后打印。
·ipsec policy agent管理ip安全策略及启动isakmp/oakleyike)和ip安全驱动程序·distributed link tracking client 当文件在网络域的ntfs卷中移动时发送通知·com+ event system 提供事件的自动发布到订阅com组件·alerter 通知选定的用户和计算机管理警报·error reporting service 收集、存储和向 microsoft 报告异常应用程序·messenger 传输客户端和服务器之间的 net send 和警报器服务消息·telnet 允许远程用户登录到此计算机并运行程序策略二:磁盘权限设置c盘只给administrators和system权限,其他的权限不给,其他的盘也可以这样设置,这里给的system 权限也不一定需要给,只是由于某些第三方应用程序是以服务形式启动的,需要加上这个用户,否则造成启动不了。
windows目录要加上给users的默认权限,否则asp和aspx等应用程序就无法运行。
策略三:禁止 windows 系统进行空连接在注册表中找到相应的键值hkey_local_machine/system/currentcontrolset/control/lsa,将dword 值restrictanonymous的键值改为1策略四:关闭不需要的端口本地连接--属性--internet协议(tcp/ip)--高级--选项--tcp/ip筛选--属性--把勾打上,然后添加你需要的端口即可。
(如:3389、21、1433、3306、80)更改远程连接端口方法开始-->运行-->输入regedit查找3389:请按以下步骤查找:1、hkey_local_machinesystemcurrentcontrolsetcontrol erminal serverwds dpwd ds cp下的portnumber=3389改为自宝义的端口号2、hkey_local_machinesystemcurrentcontrolsetcontrol erminal serverwinstations dp-tcp下的portnumber=3389改为自宝义的端口号修改3389为你想要的数字(在十进制下)----再点16进制(系统会自动转换)----最后确定!这样就ok了。
这样3389端口已经修改了,但还要重新启动主机,这样3389端口才算修改成功!如果不重新启动3389还是修改不了的!重起后下次就可以用新端口进入了!禁用tcp/ip上的netbios本地连接--属性--internet协议(tcp/ip)--高级—wins--禁用tcp/ip上的netbios策略五:关闭默认共享的空连接首先编写如下内容的批处理文件:@echo offnet share c$ /deletenet share d$ /deletenet share e$ /deletenet share f$ /deletenet share admin$ /delete以上文件的内容用户可以根据自己需要进行修改。
保存为delshare.bat,存放到系统所在文件夹下的system32grouppolicyuserscriptslogon目录下。
然后在开始菜单→运行中输入gpedit.msc,回车即可打开组策略编辑器。
点击用户配置→windows设置→脚本(登录/注销)→登录.在出现的“登录属性”窗口中单击“添加”,会出现“添加脚本”对话框,在该窗口的“脚本名”栏中输入delshare.bat,然后单击“确定”按钮即可。
重新启动计算机系统,就可以自动将系统所有的隐藏共享文件夹全部取消了,这样就能将系统安全隐患降低到最低限度。
策略五:iis安全设置1、不使用默认的web站点,如果使用也要将iis目录与系统磁盘分开。
2、删除iis默认创建的inetpub目录(在安装系统的盘上)。
3、删除系统盘下的虚拟目录,如:_vti_bin、iissamples、scripts、iishelp、iisadmin、iishelp、msadc。
4、删除不必要的iis扩展名映射。
右键单击“默认web站点→属性→主目录→配置”,打开应用程序窗口,去掉不必要的应用程序映射。
主要为.shtml、shtm、stm。
5、更改iis日志的路径右键单击“默认web站点→属性-网站-在启用日志记录下点击属性策略六:注册表相关安全设置1、隐藏重要文件/目录hkey_local_machinesoftwaremicrosoftwindowscurrent-versionexploreradvancedfolderhiddenshow all”鼠标右击“checkedvalue”,选择修改,把数值由1改为0。
2、防止syn洪水攻击hkey_local_machinesystemcurrentcontrolsetservices cpipparameters新建dword值,名为synattackprotect,值为23、禁止响应icmp路由通告报文hkey_local_machinesystem currentcontrolset services cpipparametersinterfacesinterface新建dword值,名为performrouterdiscovery 值为0。
4、防止icmp重定向报文的攻击hkey_local_machinesystemcurrentcontrolsetservices cpipparameters将enableicmpredirects 值设为05、不支持igmp协议hkey_local_machinesystemcurrentcontrolsetservices cpipparameters新建dword值,名为igmplevel 值为0。
策略七:组件安全设置篇a、卸载wscript.shell 和 shell.application 组件,将下面的代码保存为一个.bat文件执行(分2000和2003系统)windows2000.batregsvr32/u c:winntsystem32wshom.ocxdel c:winntsystem32wshom.ocxregsvr32/u c:winntsystem32shell32.dlldel c:winntsystem32shell32.dllwindows2003.batregsvr32/u c:windowssystem32wshom.ocxdel c:windowssystem32wshom.ocxregsvr32/u c:windowssystem32shell32.dlldel c:windowssystem32shell32.dllb、改名不安全组件,需要注意的是组件的名称和clsid都要改,并且要改彻底了,不要照抄,要自己改【开始→运行→regedit→回车】打开注册表编辑器然后【编辑→查找→填写shell.application→查找下一个】用这个方法能找到两个注册表项:{13709620-c279-11ce-a49e-444553540000} 和 shell.application 。
第一步:为了确保万无一失,把这两个注册表项导出来,保存为xxxx.reg 文件。
第二步:比如我们想做这样的更改13709620-c279-11ce-a49e-444553540000 改名为 13709620-c279-11ce-a49e-444553540001shell.application 改名为 shell.application_nohack第三步:那么,就把刚才导出的.reg文件里的内容按上面的对应关系替换掉,然后把修改好的.reg文件导入到注册表中(双击即可),导入了改名后的注册表项之后,别忘记了删除原有的那两个项目。
这里需要注意一点,clsid中只能是十个数字和abcdef六个字母。
其实,只要把对应注册表项导出来备份,然后直接改键名就可以了,改好的例子建议自己改应该可一次成功windows registry editor version 5.00[hkey_classes_rootclsid{13709620-c279-11ce-a49e-444553540001}]@="shell automation service"[hkey_classes_rootclsid{13709620-c279-11ce-a49e-444553540001}inprocserver32]@="c:\winnt\system32\shell32.dll""threadingmodel"="apartment"[hkey_classes_rootclsid{13709620-c279-11ce-a49e-444553540001}progid]@="shell.application_nohack.1"[hkey_classes_rootclsid{13709620-c279-11ce-a49e-444553540001} ypelib]@="{50a7e9b0-70ef-11d1-b75a-00a0c90564fe}"[hkey_classes_rootclsid{13709620-c279-11ce-a49e-444553540001}version]@="1.1"[hkey_classes_rootclsid{13709620-c279-11ce-a49e-444553540001}versionindependentprogid]@="shell.application_nohack"[hkey_classes_rootshell.application_nohack]@="shell automation service"[hkey_classes_rootshell.application_nohackclsid]@="{13709620-c279-11ce-a49e-444553540001}"[hkey_classes_rootshell.application_nohackcurver]@="shell.application_nohack.1"评论:wscript.shell 和 shell.application 组件是脚本入侵过程中,提升权限的重要环节,这两个组件的卸载和修改对应注册键名,可以很大程度的提高虚拟主机的脚本安全性能,一般来说,asp和php类脚本提升权限的功能是无法实现了,再加上一些系统服务、硬盘访问权限、端口过滤、本地安全策略的设置,虚拟主机因该说,安全性能有非常大的提高,黑客入侵的可能性是非常低了。