1、在运行中输入gpedit.msc回车,打开组策略编辑器,选择计算机配置-Windows设置-安全设置-账户策略-账户锁定策略,将账户设为“三次登陆无效”,“锁定时渖栉?0分钟”,“复位锁定计数设为30分钟”。 2、清空远程可访问的注册表路径 开始→运行→gpedit.msc 依次展开“计算机配置→Windows 设置→安全设置→本地策略→安全选项” 在右侧窗口中找到“网络访问:可远程访问的注册表路径” 然后在打开的窗口中、将可远程访问的注册表路径和子路径内容全部设置为空即 3、取消关机原因提示 开始→运行→gpedit.msc 打开组策略编辑器、依次展开:计算机配置→管理模板→系统 双击右侧窗口出现的(显示“关闭事件跟踪程序”) 将(未配置)改为(已禁用)即可 4、在安全设置-本地策略-安全选项中将“不显示上次的用户名”设为启用 5、禁止C$、D$、ADMIN$一类的缺省共享 打开注册表,HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters,在右边的窗口中新建Dword值,名称设为AutoShareServer值设为0 6、禁用IPC连接 开始→运行→regedit找到如下组建(HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa)中的(restrictanonymous)子键将其值改为1即 7、 解除NetBios与TCP/IP协议的绑定 右击网上邻居-属性-右击本地连接-属性-双击Internet协议-高级-Wins-禁用TCP/IP上的NETBIOS 8、防止列出用户组和系统进程: 开始→程序→管理工具→服务 找到 Workstation 停止它、禁用它 9、解除FSO上传程序小于200k限制: 在服务里关闭IIS admin service服务 打开 C:\WINDOWS\system32\inetsrv\MetaBase.xml 找到ASPMaxRequestEntityAllowed 将其修改为需要的值、默认为204800、即200K、把它修改为51200000(50M)、然后重启IIS admin service服务 10、关闭不需要的服务,以下为建议选项 Computer Browser:维护网络计算机更新,禁用 Distributed File System: 局域网管理共享文件,不需要禁用 Distributed linktracking client:用于局域网更新连接信息,不需要禁用 Error reporting service:禁止发送错误报告 Microsoft Serch:提供快速的单词搜索,不需要可禁用 NTLMSecuritysupportprovide:telnet服务和Microsoft Serch用的,不需要禁用 PrintSpooler:如果没有打印机可禁用 Remote Registry:禁止远程修改注册表 Remote Desktop Help Session Manager:禁止远程协助 Telnet TCP\IP NetBIOS Helper Workstation 11、卸载最不安全的组件: △开始→运行→cmd→回车键 ▲cmd里输入: regsvr32/u C:\WINDOWS\system32\wshom.ocx del C:\WINDOWS\system32\wshom.ocx regsvr32/u C:\WINDOWS\system32\shell32.dll del C:\WINDOWS\system32\shell32.dll 或将以上的内容代码保存为一个.BAT文件双击运行就行了,可能会提示无法删除文件,不用管它! 也可以设置为禁止guests用户组访问 12、磁盘权限设置: C:\盘 administrators(组) 完全控制权限、system(内置安全主体) 完全控制权限 △D:\盘 (如果用户网站内容放置在这个分区中)、administrators(组)和system 完全控制权限 △E:\盘 administrators(组) 完全控制权限、system(内置安全主体) 完全控制权限 △f:\盘 administrators(组) 完全控制权限、system(内置安全主体) 完全控制权限 △如有其他盘符类推下去. 13、目录安全访问权限 ▲c:\windows\ administrators(组) 完全控制权限、system(内置安全主体) 完全控制权限 ▲c:\windows\system32\ administrators(组) 完全控制权限、system(内置安全主体) 完全控制权限、iwam_服务器名(用户) 读取+运行权限 ▲c:\windows\temp\ administrators(组) 完全控制权限、system(内置安全主体) 完全控制权限、guests(组) 完全控制权限 ▲C:\WINDOWS\system32\config\ administrators(组) 完全控制权限、system(内置安全主体) 完全控制权限 ▲c:\Program Files\ administrators(组) 完全控制权限、system(内置安全主体) 完全控制权限 ▲C:\Program Files\Common Files\ administrators(组) 完全控制权限、system(内置安全主体) 完全控制权限、guests(组) 读取+运行权限 ▲c:\Documents and Settings\ administrators(组) 完全控制权限、system(内置安全主体) 完全控制权限 ▲C:\Documents and Settings\All Users\ administrators(组) 完全控制权限、system(内置安全主体) 完全控制权限 ▲C:\Documents and Settings\All Users\Application Data\ administrators(组) 完全控制权限、system(内置安全主体) 完全控制权限 ▲C:\Documents and Settings\All Users\Application Data\Microsoft\ administrators(组) 完全控制权限、system(内置安全主体) 完全控制权限 ▲C:\Documents and Settings\All Users\Application Data\Microsoft\HTML Help\ administrators(组) 完全控制权限、system(内置安全主体) 完全控制权限 14、禁止系统盘下的EXE文件: net.exe、cmd.exe、ftp.exe、netstat.exe、regedit.exe、regedt32.exe、at.exe、attrib.exe、cacls.exe 设置成 administrators和system 完全控制权限 15、对FTP的设置 1、默认FTP站点 属性 安全帐户:取消“允许匿名访问” 主目录:读取 写入 记录访问 都选上 2、设置C:\Inetpub\ftproot的目录权限 只要Everyone读取权限 3、默认FTP站点 右键 新建 虚拟目录 将“虚拟主机目录访问权限”中的都选上 4、FTP用户对目录的权限设置: FTP用户对FTP目录 拒绝 只有该文件夹 删除 FTP用户对FTP目录 特殊 只有该文件夹 除掉“完全控制”“遍历文件夹/运行文件”“删除子文件夹和文件”“取得所有权”不选外其他都选上 5、\system32\inetsrv\inetinfo.exe加入防火墙例外 让防火墙不拦截FTP的动态分配的端口连接 6、一般防火墙要开启的端口 21(FTP) 25(SMTP) 53(DNS) 80(HTTP) 110(POP3) 143(IMAP) 443(Https) 1433(MSSQL) 3306(MYSQL) 5353(MX) 3389(远程桌面) 8888(WebMail) 可以打开“Windows防火墙”的‘高级’选项卡,RCMP设置,“允许传入回显请求”打上钩,你的域就可以被ping通了 星外主机管理系统: 注意,在启动防火墙前,您需要先在例外中,设置允许以下的TCP端口: 3389 1433 3306 25 21 20 80 110 53 8888 再设置允许以下的程序使用网络(在例外中选择添加程序) C:\windows\system32\inetsrv\inetinfo.exe C:\windows\system32\inetsrv\w3wp.exe C:\windows\7i24tool.exe 请设置sytem32目录的cmd.exe, at.exe, cacls.exe, ftp.exe 的文件只能有adms,system的全权权限.不能有其他的权限 注意不要安装windows update中的Windows PowerShell,如果已安装了,请删除它!因为这个组件有大量服务器管理的权限.不能安装 请将服务器中的"Distributed Transaction Coordinator"服务禁止,传IIS中存在没有补丁了漏洞,这个服务必须禁止。运行以下命令可以自动禁止: sc stop MSDTC & sc config MSDTC start= disabled 如果以下目录存在,请删除这个目录: c:\windows\ServicePackFiles,否则里面有文件有可能被黑客利用 C:\RECYCLER只保留administrators和system完全控制权限 PHP的一个安全设置:在php.ini里设其值为Off allow_url_fopen = Off 并且: ;extension=php_sockets.dll 前面的;号一定要有,意思就是限制用sockets.dll 然后重启IIS 16、SQL2000危险扩展存储删除和恢复 将有安全问题的SQL过程删除.比较全面.一切为了安全! 删除了调用shell,注册表,COM组件的破坏权限 使用系统帐户登陆查询分析器 运行以下脚本 use master exec sp_dropextendedproc 'xp_enumgroups' exec sp_dropextendedproc 'xp_loginconfig' exec sp_dropextendedproc 'xp_enumerrorlogs' exec sp_dropextendedproc 'xp_getfiledetails' exec sp_dropextendedproc 'xp_cmdshell' exec sp_dropextendedproc 'xp_dirtree' exec sp_dropextendedproc 'Sp_OACreate' exec sp_dropextendedproc 'Sp_OADestroy' exec sp_dropextendedproc 'Sp_OAGetErrorInfo' exec sp_dropextendedproc 'Sp_OAGetProperty' exec sp_dropextendedproc 'Sp_OAMethod' exec sp_dropextendedproc 'Sp_OASetProperty' exec sp_dropextendedproc 'Sp_OAStop' exec sp_dropextendedproc 'xp_regaddmultistring' exec sp_dropextendedproc 'xp_regdeletekey' exec sp_dropextendedproc 'xp_regdeletevalue' exec sp_dropextendedproc 'xp_regenumvalues' exec sp_dropextendedproc 'Xp_regread' exec sp_dropextendedproc 'xp_regremovemultistring' exec sp_dropextendedproc 'xp_regwrite' drop procedure sp_makewebtask go 几个说明: exec sp_dropextendedproc 'xp_cmdshell' [删除此项扩展后,将无法远程连接数据库] 还有以下3个存储过程会在SQL SERVER恢复备份时被使用,非必要请勿删除 exec sp_dropextendedproc 'xp_dirtree' [删除此项扩展后,将无法新建或附加数据库] exec sp_dropextendedproc 'Xp_regread' [删除此项扩展后, 还原数据库辅助] exec sp_dropextendedproc 'xp_fixeddrives' [删除此项扩展后,将无法还原数据库] 星外虚拟主机管理系统用户执行代码: use master exec sp_dropextendedproc 'xp_cmdshell' exec sp_dropextendedproc 'xp_dirtree' exec sp_dropextendedproc 'Sp_OACreate' exec sp_dropextendedproc 'Sp_OADestroy' exec sp_dropextendedproc 'Sp_OAGetErrorInfo' exec sp_dropextendedproc 'Sp_OAGetProperty' exec sp_dropextendedproc 'Sp_OAMethod' exec sp_dropextendedproc 'Sp_OASetProperty' exec sp_dropextendedproc 'Sp_OAStop' exec sp_dropextendedproc 'xp_regaddmultistring' exec sp_dropextendedproc 'xp_regdeletekey' exec sp_dropextendedproc 'xp_regdeletevalue' exec sp_dropextendedproc 'xp_regenumvalues' exec sp_dropextendedproc 'Xp_regread' exec sp_dropextendedproc 'xp_regremovemultistring' exec sp_dropextendedproc 'xp_regwrite' drop procedure sp_makewebtask go 恢复脚本 use master EXEC sp_addextendedproc xp_cmdshell ,@dllname ='xplog70.dll' EXEC sp_addextendedproc xp_enumgroups ,@dllname ='xplog70.dll' EXEC sp_addextendedproc xp_loginconfig ,@dllname ='xplog70.dll' EXEC sp_addextendedproc xp_enumerrorlogs ,@dllname ='xpstar.dll' EXEC sp_addextendedproc xp_getfiledetails ,@dllname ='xpstar.dll' EXEC sp_addextendedproc Sp_OACreate ,@dllname ='odsole70.dll' EXEC sp_addextendedproc Sp_OADestroy ,@dllname ='odsole70.dll' EXEC sp_addextendedproc Sp_OAGetErrorInfo ,@dllname ='odsole70.dll' EXEC sp_addextendedproc Sp_OAGetProperty ,@dllname ='odsole70.dll' EXEC sp_addextendedproc Sp_OAMethod ,@dllname ='odsole70.dll' EXEC sp_addextendedproc Sp_OASetProperty ,@dllname ='odsole70.dll' EXEC sp_addextendedproc Sp_OAStop ,@dllname ='odsole70.dll' EXEC sp_addextendedproc xp_regaddmultistring ,@dllname ='xpstar.dll' EXEC sp_addextendedproc xp_regdeletekey ,@dllname ='xpstar.dll' EXEC sp_addextendedproc xp_regdeletevalue ,@dllname ='xpstar.dll' EXEC sp_addextendedproc xp_regenumvalues ,@dllname ='xpstar.dll' EXEC sp_addextendedproc xp_regremovemultistring ,@dllname ='xpstar.dll' EXEC sp_addextendedproc xp_regwrite ,@dllname ='xpstar.dll' EXEC sp_addextendedproc xp_dirtree ,@dllname ='xpstar.dll' EXEC sp_addextendedproc xp_regread ,@dllname ='xpstar.dll' EXEC sp_addextendedproc xp_fixeddrives ,@dllname ='xpstar.dll' go 全部复制到"SQL查询分析器" 点击菜单上的--"查询"--"执行",就会将有安全问题的SQL过程删除 另:其他的一些设置: 改远程桌面端口: Windows 2003系统中的远程终端服务是一项功能非常强大的服务,同时也成了入侵者长驻主机的通道,入侵者可以利用一些手段得到管理员账号和密码并入侵主机。下面,我们来看看如何通过修改默认端口,防范黑客入侵。 众所周知,远程终端服务基于端口3389。入侵者一般先扫描主机开放端口,一旦发现其开放了3389端口,就会进行下一步的入侵,所以我们只需要修改该务默认端口就可以避开大多数入侵者的耳目。 步骤: 1、打开“开始→运行”,输入“regedit”,打开注册表,进入以下路径:[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\Wds\rdpwd\Tds\tcp],看见PortNamber值了吗?其默认值是3389,修改成所希望的端口即可,例如5188。 2、再打开[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Tenninal Server\WinStations\RDP\Tcp],将PortNumber的值(默认是3389)修改成端口5188。 3、修改完毕,重新启动电脑,以后远程登录的时候使用端口5188就可以了。 关闭驱动搜索: 运行“gpedit.msc"打开组策略 “计算机配置\管理模板\系统” 启用“关闭 Windows Update 设备驱动程序搜索” “管理模板/系统/Internet 通信管理/Internet 通信设置” 启用“关闭 Windows Update 设备驱动程序搜索” “用户配置\管理模板\系统” 启用“配置驱动程序搜索位置” (不搜索软盘,光驱,Windows Update) “用户配置\管理模板\系统” 忽略“设备驱动程序的代码签名” 检查系统属性中的驱动签名是否为忽略,update是否为从不搜索。 关闭系统休眠:桌面右键选择“属性”——“屏幕保护”(将屏幕保护程序选择无)——“电源”——“休眠”将“启用休眠”前的勾去掉。 关闭远程连接:右键“我的电脑”选择“属性”——“远程” 关闭自动更新:右键“我的电脑”选择“属性”——“更新” 加快启动时间:右键“我的电脑”选择“属性”——“高级”--“启动和故障恢复”里——“设置”-显示的时间修改为3秒。并将下面的“发送管理警报”和“自动重新启动”前的勾去掉。 转移虚拟内存页面文件: 右键“我的电脑”选择“属性”——“高级”——“性能”里面的“设置”——“高级”——“高级”——选中当前系统分区,再选“自定义大小”,将“初始化大小”和“最大值”设为“0”,点击“设置”,然后选择需存放页面文件的分区(如D:等)然后将“初始化大小”和“最大值”设为“原先C:的参数”,点击 “设置”,再点击“确定”退出。 解决w3wp.exe占用CPU和内存问题: 1、在任务管理器中增加显示pid字段。就可以看到占用内存或者cpu最高的进程pid 2、在命令提示符下运行iisapp -a。注意,第一次运行,会提示没有js支持,点击确定。然后再次运行就可以了。这样就可以看到pid对应的应用程序池 3、到iis中察看该应用程序池对应的网站,就ok了。 关闭光盘U盘自动播放: 1.策略组关闭法 在前段时间熊猫烧香流行的时候,网上就流传着使用策略组关闭移动硬盘或者U盘自动关闭功能的方法。具体如:单击“开始-运行”,在“打开”框中,键入“gpedit.msc”,单击“确定”按钮,打开“组策略”窗口。在左窗格的“本地计算机策略”下,展开“计算机配置-管理模板-系统”,然后在右窗格的“设置”标题下,双击“关闭自动播放”。单击“设置”选项卡,选中“已启用”复选钮,然后在“关闭自动播放”框中单击“所有驱动器”,单击“确定”按钮,最后关闭组策略窗口。 2、关闭服务法 在“我的电脑”点击鼠标右键,选择“管理”,在打开的“计算机管理”中找到“服务和应用程序-服务”,然后在右窗格找到“Shell Hardware Detection”服务,这个服务的功能就是为自动播放硬件事件提供通知,双击它,在“状态”中点击“停止”按钮,然后将“启动类型”修改为“已禁用”或者“手动”就可以了。 本地安全策略的设置: “开始”-“管理工具”-“本地安全策略”-“本地策略”-“安全选项” 找到“交互式登录:不显示上次的用户名”双击改为“已启用” 找到“交互式登录:不需要按CTRL+ALT+DEL”双击改为“已启用” 找到“交互式登录:可被缓存的前次登陆次数”双击修改为“0” 找到“帐户:重新命名系统管理员帐户”双击修改为你想要的,我们这里修改为“laoyang”等 不缓存缩略图图标: 打开“我的电脑”-“工具”-“文件夹选项”-“查看”勾上“不缓存缩略图”,去掉“自动搜索网络文件夹和打印机”前的勾。 用鼠标点任务栏中显示的时间(桌面右下方),点Internet时间,把自动与Internet时间保持同步前面的勾去掉 删除多余的启动项: hkey_local_machine\software\microsoft\windows\currentversion\run 我是用优化大师绿色版,在非C盘运行讲日文输入法、繁体输入法、韩文输入法启动项删除的! 修改注册表永久删除共享: 在运行对话框中输入“regedit”并回车,打开注册表编辑器,在左侧面板中定位到“HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\ Parameters”,在该位置下新建一个名为“AutoShareWks”的DWORD值,并将其数值设置为“0”重启系统后所有的默认共享都将被自动删除,并且不会继续创建。 清除3389连接后留下的日志,清除3389远程桌面连接记录,清空远程桌面连接中的记录: @echo off @reg delete "HKEY_CURRENT_USER\Software\Microsoft\Terminal Server Client\Default" /va /f @del "%USERPROFILE%\My Documents\Default.rdp" /a @exit 保存为批处理"*.bat"。运行即可 /va 删除项下面所有键值 /f不提示 /a 删除隐藏文件 |
海西数据-国际互联网数据中心:全国最大的服务器提供商!台湾服务器|香港服务器|日本服务器|韩国服务器|美国服务器|新加坡服务器|英国服务器|德国服务器|法国服务器|加拿大服务器|印度服务器|欧洲服务器|国外服务器|
详情请咨询QQ:907607712 QQ:875508531 QQ:574116650 QQ:563149726
联系人:andy bari jake john
电话:0592-8397998 7x24 13306033708
公司官方网址http://www.xmwzidc.com
http://www.xmwzidc.cn
http://www.hxsj.xmwzidc.com [海西数据虚拟主机网]
http://www.xmwzidc.com/bolg [海西数据博客]