位置: 编程技术 - 正文

不一样的WIN2003服务器安全配置技巧 (不一样的萧先生)

编辑:rootadmin

推荐整理分享不一样的WIN2003服务器安全配置技巧 (不一样的萧先生),希望有所帮助,仅作参考,欢迎阅读内容。

文章相关热门搜索词:不一样的规则怪谈[无限],不一样的金丝雀,不一样的美男子,不一样的原神,不一样的萧先生,不一样的卡梅拉,不一样的卡梅拉,不一样的原神,内容如对您有帮助,希望把文章链接给更多的朋友!

常规的如安全的安装系统,设置和管理帐户,关闭多余的服务,审核策略,修改终端管理端口, 以及配置MS-SQL,删除危险的存储过程,用最低权限的public帐户连接等等,都不说了!下面是windows根目录的一些权限设置。

具体配置如下:

windows下根目录的权限设置:

C:WINDOWSApplication Compatibility Scripts 不用做任何修改,包括其下所有子目录

C:WINDOWSAppPatch AcWebSvc.dll已经有users组权限,其它文件加上users组权限

C:WINDOWSConnection Wizard 取消users组权限

C:WINDOWSDebug users组的默认不改

C:WINDOWSDebugUserMode默认不修改有写入文件的权限,取消users组权限,给特别的权限,看演示

C:WINDOWSDebugWPD不取消Authenticated Users组权限可以写入文件,创建目录.

C:WINDOWSDriver Cache取消users组权限,给i文件夹下所有文件加上users组权限

C:WINDOWSHelp取消users组权限

C:WINDOWSHelpiisHelpcommon取消users组权限

C:WINDOWSIIS Temporary Compressed Files默认不修改

C:WINDOWSime不用做任何修改,包括其下所有子目录

C:WINDOWSinf不用做任何修改,包括其下所有子目录

C:WINDOWSInstaller 删除everyone组权限,给目录下的文件加上everyone组读取和运行的权限

C:WINDOWSjava 取消users组权限,给子目录下的所有文件加上users组权限

C:WINDOWSMAGICSET 默认不变

C:WINDOWSMedia 默认不变

C:WINDOWSMicrosoft.NET不用做任何修改,包括其下所有子目录

C:WINDOWSmsagent 取消users组权限,给子目录下的所有文件加上users组权限

C:WINDOWSmsapps 不用做任何修改,包括其下所有子目录

C:WINDOWSmui取消users组权限

C:WINDOWSPCHEALTH 默认不改

C:WINDOWSPCHEALTHERRORREPQHEADLES 取消everyone组的权限

C:WINDOWSPCHEALTHERRORREPQSIGNOFF 取消everyone组的权限

C:WINDOWSPCHealthUploadLB 删除everyone组的权限,其它下级目录不用管,没有user组和everyone组权限

C:WINDOWSPCHealthHelpCtr 删除everyone组的权限,其它下级目录不用管,没有user组和everyone组权限(这个不用按照演示中的搜索那些文件了,不须添加users组权限就行)

C:WINDOWSPIF 默认不改

C:WINDOWSPolicyBackup默认不改,给子目录下的所有文件加上users组权限

C:WINDOWSPrefetch 默认不改

C:WINDOWSprovisioning 默认不改,给子目录下的所有文件加上users组权限

C:WINDOWSpss默认不改,给子目录下的所有文件加上users组权限

C:WINDOWSRegisteredPackages默认不改,给子目录下的所有文件加上users组权限

C:WINDOWSRegistrationCRMLog默认不改会有写入的权限,取消users组的权限

C:WINDOWSRegistration取消everyone组权限.加NETWORK SERVICE 给子目录下的文件加everyone可读取的权限,

C:WINDOWSrepair取消users组权限

C:WINDOWSResources取消users组权限

C:WINDOWSsecurity users组的默认不改,其下Database和logs目录默认不改.取消templates目录users组权限,给文件加上users组

C:WINDOWSServicePackFiles 不用做任何修改,包括其下所有子目录

C:WINDOWSSoftwareDistribution不用做任何修改,包括其下所有子目录

C:WINDOWSsrchasst 不用做任何修改,包括其下所有子目录

C:WINDOWSsystem 保持默认

C:WINDOWSTAPI取消users组权限,其下那个tsec.ini权限不要改

C:WINDOWStwain_取消users组权限,给目录下的文件加users组权限

C:WINDOWSvnDrvBas 不用做任何修改,包括其下所有子目录

C:WINDOWSWeb取消users组权限给其下的所有文件加上users组权限

C:WINDOWSWinSxS 取消users组权限,搜索*.tlb,*.policy,*.cat,*.manifest,*.dll,给这些文件加上everyone组和users权限

给目录加NETWORK SERVICE完全控制的权限

C:WINDOWSsystemwbem 这个目录有重要作用。如果不给users组权限,打开一些应用软件时会非常慢。并且事件查看器中有时会报出一堆错误。导致一些程序不能正常运行。但为了不让webshell有浏览系统所属目录的权限,给wbem目录下所有的*.dll文件users组和everyone组权限。

*.dll

users;everyone

我先暂停。你操作时挨个检查就行了

不一样的WIN2003服务器安全配置技巧 (不一样的萧先生)

C:WINDOWS#$#%^$^@!#$%$^S#@#$#$%$#@@@$%!!WERa (我用的temp文件夹路径)temp由于必须给写入的权限,所以修改了默认路径和名称。防止webshell往此目录中写入。修改路径后要重启生效。

至此,系统盘任何一个目录是不可浏览的,唯一一个可写入的C:WINDOWStemp,又修改了默认路径和名称变成C:WINDOWS#$#%^$^@!#$%$^S#@#$#$%$#@@@$%!!WERa

这样配置应该相对安全了些。

我先去安装一下几款流行的网站程序,先暂停.几款常用的网站程序在这样的权限设置下完全正常。还没有装上sql数据库,无法测试动易SQL版了。肯定正常。大家可以试试。

服务设置:

1.设置win2k的屏幕保护,用pcanywhere的时候,有时候下线时忘记锁定计算机了,如果别人破解了你的pcanywhere密码,就直接可以进入你计算机,如果设置了屏保,当你几分钟不用后就自动锁定计算机,这样就防止了用pcanyhwerer直接进入你计算机的可能,也是防止内部人员破坏服务器的一个屏障

2.关闭光盘和磁盘的自动播放功能,在组策略里面设.这样可以防止入侵者编辑恶意的autorun.inf让你以管理员的身份运行他的木马,来达到提升权限的目的。可以用net share 查看默认共享。由于没开server服务,等于已经关闭默认共享了,最好还是禁用server服务。

附删除默认共享的命令:

net share c$Content$nbsp;/del

net share d$Content$nbsp;/del

net share e$Content$nbsp;/del

net share f$Content$nbsp;/del

net share ipc$Content$nbsp;/del

net share admin$Content$nbsp;/del

3.关闭不需要的端口和服务,在网络连接里,把不需要的协议和服务都删掉,这里只安装了基本的Internet协议(TCP/IP),由于要控制带宽流量服务,额外安装了Qos数据包计划程序。在高级tcp/ip设置里--"NetBIOS"设置"禁用tcp/IP上的NetBIOS 。修改远程连接端口(也可以用工具修改更方便)

修改注册表.

开始--运行--regedit,依次展开 HKEY_LOCAL_MACHINE/SYSTEM/CURRENTCONTROLSET/CONTROL/TERMINAL SERVER/WDS/RDPWD/TDS/TCP

右边键值中 PortNumber 改为你想用的端口号.注意使用十进制(例 )HKEY_LOCAL_MACHINE/SYSTEM/CURRENTCONTROLSET/CONTROL/TERMINAL SERVER/WINSTATIONS/RDP-TCP/

右边键值中 PortNumber 改为你想用的端口号.注意使用十进制(例 )注意:别忘了在WINDOWS自带的防火墙给+上端口

修改完毕.重新启动服务器.设置生效.这里就不改了,你可以自己决定是否修改.权限设置的好后,个人感觉改不改无所谓

4.禁用Guest账号:在计算机管理的用户里面把Guest账号禁用。为了保险起见,最好给Guest加一个复杂的密码。你可以打开记事本,在里面输入一串包含特殊字符、数字、字母的长字符串,然后把它作为Guest用户的密码拷进去.我这里随便复制了一段文本内容进去.如果设置密码时提示:工作站服务没有启动 先去本地安全策略里把密码策略里启动密码复杂性给禁用后就可以修改了

5.创建一个陷阱用户:即创建一个名为“Administrator”的本地用户,把它的权限设置成最低,什么事也干不了的那种,并且加上一个超过位的超级复杂密码。这样可以让那些 Hacker们忙上一段时间,借此发现它们的入侵企图。

6.本地安全策略设置

开始菜单—>管理工具—>本地安全策略

A、本地策略——>审核策略

审核策略更改   成功 失败  

审核登录事件   成功 失败

审核对象访问      失败

审核过程跟踪   无审核

审核目录服务访问    失败

审核特权使用      失败

审核系统事件   成功 失败

审核账户登录事件 成功 失败

审核账户管理   成功 失败

B、本地策略——>用户权限分配

关闭系统:只有Administrators组、其它全部删除。

通过终端服务允许登陆:只加入Administrators,Remote Desktop Users组,其他全部删除

运行 gpedit.msc 计算机配置 > 管理模板 > 系统 显示“关闭事件跟踪程序” 更改为已禁用

用户管理,建立另一个备用管理员账号,防止特殊情况发生。安装有终端服务与SQL服务的服务器停用TsInternetUser, sQLDebugger这两 个账号

C、本地策略——>安全选项

交互式登陆:不显示上次的用户名       启用

网络访问:不允许SAM帐户和共享的匿名枚举  启用

网络访问:不允许为网络身份验证储存凭证   启用

网络访问:可匿名访问的共享         全部删除

网络访问:可匿名访问的命          全部删除

网络访问:可远程访问的注册表路径      全部删除

网络访问:可远程访问的注册表路径和子路径  全部删除

帐户:重命名来宾帐户            重命名一个帐户

帐户:重命名系统管理员帐户         重命名一个帐户

7.禁止dump file的产生

dump文件在系统崩溃和蓝屏的时候是一份很有用的查找问题的资料。然而,它也能够给黑客提供一些敏感

信息比如一些应用程序的密码等。控制面板>系统属性>高级>启动和故障恢复把 写入调试信息 改成无。

关闭华医生Dr.Watson

在开始-运行中输入“drwtsn”,或者开始-程序-附件-系统工具-系统信息-工具-Dr Watson,调出系统

里的华医生Dr.Watson ,只保留“转储全部线程上下文”选项,否则一旦程序出错,硬盘会读很久,并占用大量空间。如果以前有此情况,请查找user.dmp文件,删除后可节省几十MB空间。在命令行运行drwtsn -i 可以直接关闭华医生,普通用户没什么用处 .

Windows Server 服务器群集创建和配置指南 WindowsServer服务器群集创建和配置指南作者:EldenChristensenMicrosoftCorporation发布日期:最终修改日期:5//概要本指南提供关于在运行MicrosoftWindowsServe

IIS6架设网站常见问题及症状举例 问题1:未启用父路径症状举例:Server.MapPath()错误'ASP:'不允许的Path字符//dqyllhsub/news/OpenDatabase.asp,行4在MapPath的Path参数中不允许字符'..'

win系统安全详细设置 win详细系统安全设置正确设置磁盘的安全性,具体如下(虚拟机的安全设置,我们以asp程序为例子)重点:1、系统盘权限设置C:分区部分:c:administrators

标签: 不一样的萧先生

本文链接地址:https://www.jiuchutong.com/biancheng/350366.html 转载请保留说明!

上一篇:微软宣布:Windows Server 2003明年7月14日终止服务(微软宣布Q3推出MRTKV3工具包)

下一篇:windows server 2008图片文件无法显示缩略图的解决方法

  • 税务免抵调库是什么意思
  • 以前年度损益调整在借方是什么意思
  • 会计调转是什么意思
  • 小规模纳税人印花税减免税优惠政策
  • 服务行业成本费用问题与对策
  • 预付广告费计入什么科目
  • 动漫版权交易
  • 公允价值变动是减值吗
  • 销售商品房属于什么税
  • 缴纳城建税会计分录怎么做账
  • 亏损企业所得税弥补
  • 一般企业和行政事业单位的资产负债表是否一样
  • 小规模纳税人收入账务处理
  • 收到设备租金计入什么会计科目
  • 生产型企业出口非自产产品能享有退税吗
  • 携税宝可以全额抵扣吗
  • 税种申报表样表
  • 食堂费用没有发票能挂账吗
  • 生产成本中材料款年末要全部结转吗
  • 定期存款计入什么科目
  • 个税起征点是
  • 政府拨款经费会计分录
  • bash是什么命令
  • 苹果电脑怎么切换中英文
  • 房屋出租后土地使用税谁来交
  • 招标场地费计入什么科目
  • 银行卡账户年费是什么意思 为什么扣我银行卡的钱
  • nw.exe是什么进程
  • 睿因无线路由器怎么设置
  • 餐饮行业采购
  • 什么是两免一补的条件
  • 发票开具的常见错误
  • 房地产企业利润
  • 什么是动态表单
  • 个税申报中是否婚前各自首套贷款
  • javascript导入包
  • labelme目标检测
  • vue @hook
  • 工业企业总产值怎么算
  • 企业增值税发票管理办法
  • 提供营业执照范本图片
  • 定期定额自行申报表
  • 银行会计核算方法的特点
  • 负数发票开票条件?
  • 增值税专用发票丢了怎么补救
  • 资本公积可以转增资本因此称之为准资本
  • 小规模出售固定资产账务处理
  • 预收款增值税纳税时间
  • 承租人融资租赁会计账务处理
  • 怎么处理部分股票流出
  • 什么计入其他收入
  • 支付结算办法实施细则最新
  • 工程类的增值税
  • 小规模附加税要交吗
  • 配件销售人员应该具备哪些能力
  • 公益性捐赠要确认递延吗
  • 银行承兑汇票能拆分背书吗
  • 外卖占比总营业额怎么算
  • 私人银行卡给公司走账有影响吗
  • XP系统怎么删除密码
  • alg.exe是什么程序
  • win8.1怎么样?
  • vmware 安装教程
  • linux删除用户组和用户
  • centos7 lvs
  • win8.1的开始菜单在哪
  • sedsvc.exe是什么
  • 我们如何成为专业人员
  • win7系统代理在哪里设置
  • win10系统打不开应用程序
  • win7系统怎样安装字体
  • android从服务器获取数据
  • 不易引起无意注意的是
  • Jquery通过ajax请求NodeJS返回json数据实例
  • node js模块
  • 三角进攻怎么打
  • python字符串的用法
  • 河北省国家税务局长简介
  • 契税和房产税是一回事吗
  • 国家税务网站官网
  • 免责声明:网站部分图片文字素材来源于网络,如有侵权,请及时告知,我们会第一时间删除,谢谢! 邮箱:opceo@qq.com

    鄂ICP备2023003026号

    网站地图: 企业信息 工商信息 财税知识 网络常识 编程技术

    友情链接: 武汉网站建设