新服务器配置方法

服务器配置(以后发现再补充)

一、Windows配置方面

1、禁用IPC$（Reg已经实现）

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa中的restrictanonymous子键，将其值改为1即可禁用IPC连接。

2、清空远程可访问的注册表路径（组策略gpedit.msc）

打开组策略编辑器，依次展开

“计算机配置→Windows 设置→安全设置→本地策略→安全选项”，

在右侧窗口中找到“网络访问：可远程访问的注册表路径”，

然后在打开的窗口中，将可远程访问的注册表路径和子路径内容全部设置为空即可

3、修改管理员帐号和创建陷阱帐号

打开“本地安全设置”对话框，依次展开“本地策略”→“安全选项”，

在右边窗格中有一个“账户：重命名系统管理员账户”的策略，双击打开它，

给Administrator重新设置一个平淡的用户名，当然，

请不要使用Admin之类的名字，改了等于没改，尽量把它伪装成普通用户，

比如改成：guestone 。然后新建一个名称为Administrator的陷阱帐号“受限制用户”，

把它的权限设置成最低，什么事也干不了的那种，

并且加上一个超过10位的超级复杂密码。

这样可以让那些Scripts s忙上一段时间了，并且可以借此发现它们的入侵企图。

或者在它的login scripts上面做点手脚。

4、关闭自动播放功能

自动播放功能不仅对光驱起作用，而且对其它驱动器也起作用，

这样很容易被黑客利用来执行黑客程序。

打开组策略编辑器，依次展开“计算机配置→管理模板→系统”，

在右侧窗口中找到“关闭自动播放”选项并双击，

在打开的对话框中选择“已启用”，然后在“关闭自动播放”后面的下拉菜单中选择“所有驱动器”，按“确定”即可生效。

5、防御FTP服务器被匿名探测信息（Windows安全配置.reg）

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\下的DWORD值TunOffAnonymousBlock为1，即可防御FTP服务器被匿名探测信息。

6、关闭如下端口（端口关闭工具.bat）

TCP端口135，137，139，445，593，3306，1025，2745，6129，23，1433

UDP端口135，137，139，445，593，3306

7、小流量DDOS攻击解决办法（Windows安全配置.reg）

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters]

"SynAttackProtect"=dword:00000002

"TcpMaxHalfOpen"=dword:000001f4

"TcpMaxHalfOpenRetried"=dword:00000190

8、删除共享（分两步实现）

1、新建删除共享.bat

内容：

@echo off

net share C$ /del

net share D$ /del

net share E$ /del

net share F$ /del

net share admin$ /del

2、把该文件添加到开始菜单--启动里面

9、要卸载IIS，因为我们用的apache

10、删除所有磁盘和program files目录的其它用户权限，只留下administrators 和system

11、禁止启动服务器共享（已实现）

禁止系统自动启动服务器共享

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters 新建"DWORD值"值名为"AutoShareServer" 数据值为"0"

12、打开C:\Windows 搜索

net.exe;cmd.exe;tftp.exe;netstat.exe;regedit.exe;at.exe;attrib.exe;cacls.exe;; regsvr32.exe;xcopy.exe;wscript.exe;cscript.exe;ftp.exe;telnet.exe;arp.exe;edlin.exe; ping.exe;route.exe;finger.exe;posix.exe;rsh.exe;atsvc.exe;qbasic.exe;runonce.exe;syskey .exe

修改权限，删除所有的用户只保存Administrators 和SYSTEM为所有权限

二、Apache安全配置方面

1、php.ini禁用函数

修改PHP.ini文件

disable_functions =

phpinfo,system,exec,shell_exec,passthru,proc_open,proc_close,proc_get_status,checkdnsrr,g etmxrr,getservbyname,getservbyport,syslog,popen,show_source,highlight_file,dl,socket_liste n,socket_create,socket_bind,socket_accept,socket_connect,stream_socket_server,stream_soc ket_accept,stream_socket_client,ftp_connect,ftp_login,ftp_pasv,ftp_get,sys_getloadavg,disk_ total_space,disk_free_space,posix_ctermid,posix_get_last_error,posix_getcwd,posix_getegid, posix_geteuid,posix_getgid,posix_getgrgid,posix_getgrnam,posix_getgroups,posix_getlogin,p osix_getpgid,posix_getpgrp,posix_getpid,posix_getppid,posix_getpwnam,posix_getpwuid,pos ix_getrlimit,posix_getsid,posix_getuid,posix_isatty,posix_kill,posix_mkfifo,posix_setegid,posi x_seteuid,posix_setgid,posix_setpgid,posix_setsid,posix_setuid,posix_strerror,posix_times,po six_ttyname,posix_uname

2、创建apache小用户(配合文件夹权限目录,很好很安全)