位置: 编程技术 - 正文

不一样的WIN2003服务器安全配置技巧 (不一样的萧先生)

编辑:rootadmin

推荐整理分享不一样的WIN2003服务器安全配置技巧 (不一样的萧先生),希望有所帮助,仅作参考,欢迎阅读内容。

文章相关热门搜索词:不一样的规则怪谈[无限],不一样的金丝雀,不一样的美男子,不一样的原神,不一样的萧先生,不一样的卡梅拉,不一样的卡梅拉,不一样的原神,内容如对您有帮助,希望把文章链接给更多的朋友!

常规的如安全的安装系统,设置和管理帐户,关闭多余的服务,审核策略,修改终端管理端口, 以及配置MS-SQL,删除危险的存储过程,用最低权限的public帐户连接等等,都不说了!下面是windows根目录的一些权限设置。

具体配置如下:

windows下根目录的权限设置:

C:WINDOWSApplication Compatibility Scripts 不用做任何修改,包括其下所有子目录

C:WINDOWSAppPatch AcWebSvc.dll已经有users组权限,其它文件加上users组权限

C:WINDOWSConnection Wizard 取消users组权限

C:WINDOWSDebug users组的默认不改

C:WINDOWSDebugUserMode默认不修改有写入文件的权限,取消users组权限,给特别的权限,看演示

C:WINDOWSDebugWPD不取消Authenticated Users组权限可以写入文件,创建目录.

C:WINDOWSDriver Cache取消users组权限,给i文件夹下所有文件加上users组权限

C:WINDOWSHelp取消users组权限

C:WINDOWSHelpiisHelpcommon取消users组权限

C:WINDOWSIIS Temporary Compressed Files默认不修改

C:WINDOWSime不用做任何修改,包括其下所有子目录

C:WINDOWSinf不用做任何修改,包括其下所有子目录

C:WINDOWSInstaller 删除everyone组权限,给目录下的文件加上everyone组读取和运行的权限

C:WINDOWSjava 取消users组权限,给子目录下的所有文件加上users组权限

C:WINDOWSMAGICSET 默认不变

C:WINDOWSMedia 默认不变

C:WINDOWSMicrosoft.NET不用做任何修改,包括其下所有子目录

C:WINDOWSmsagent 取消users组权限,给子目录下的所有文件加上users组权限

C:WINDOWSmsapps 不用做任何修改,包括其下所有子目录

C:WINDOWSmui取消users组权限

C:WINDOWSPCHEALTH 默认不改

C:WINDOWSPCHEALTHERRORREPQHEADLES 取消everyone组的权限

C:WINDOWSPCHEALTHERRORREPQSIGNOFF 取消everyone组的权限

C:WINDOWSPCHealthUploadLB 删除everyone组的权限,其它下级目录不用管,没有user组和everyone组权限

C:WINDOWSPCHealthHelpCtr 删除everyone组的权限,其它下级目录不用管,没有user组和everyone组权限(这个不用按照演示中的搜索那些文件了,不须添加users组权限就行)

C:WINDOWSPIF 默认不改

C:WINDOWSPolicyBackup默认不改,给子目录下的所有文件加上users组权限

C:WINDOWSPrefetch 默认不改

C:WINDOWSprovisioning 默认不改,给子目录下的所有文件加上users组权限

C:WINDOWSpss默认不改,给子目录下的所有文件加上users组权限

C:WINDOWSRegisteredPackages默认不改,给子目录下的所有文件加上users组权限

C:WINDOWSRegistrationCRMLog默认不改会有写入的权限,取消users组的权限

C:WINDOWSRegistration取消everyone组权限.加NETWORK SERVICE 给子目录下的文件加everyone可读取的权限,

C:WINDOWSrepair取消users组权限

C:WINDOWSResources取消users组权限

C:WINDOWSsecurity users组的默认不改,其下Database和logs目录默认不改.取消templates目录users组权限,给文件加上users组

C:WINDOWSServicePackFiles 不用做任何修改,包括其下所有子目录

C:WINDOWSSoftwareDistribution不用做任何修改,包括其下所有子目录

C:WINDOWSsrchasst 不用做任何修改,包括其下所有子目录

C:WINDOWSsystem 保持默认

C:WINDOWSTAPI取消users组权限,其下那个tsec.ini权限不要改

C:WINDOWStwain_取消users组权限,给目录下的文件加users组权限

C:WINDOWSvnDrvBas 不用做任何修改,包括其下所有子目录

C:WINDOWSWeb取消users组权限给其下的所有文件加上users组权限

C:WINDOWSWinSxS 取消users组权限,搜索*.tlb,*.policy,*.cat,*.manifest,*.dll,给这些文件加上everyone组和users权限

给目录加NETWORK SERVICE完全控制的权限

C:WINDOWSsystemwbem 这个目录有重要作用。如果不给users组权限,打开一些应用软件时会非常慢。并且事件查看器中有时会报出一堆错误。导致一些程序不能正常运行。但为了不让webshell有浏览系统所属目录的权限,给wbem目录下所有的*.dll文件users组和everyone组权限。

*.dll

users;everyone

我先暂停。你操作时挨个检查就行了

不一样的WIN2003服务器安全配置技巧 (不一样的萧先生)

C:WINDOWS#$#%^$^@!#$%$^S#@#$#$%$#@@@$%!!WERa (我用的temp文件夹路径)temp由于必须给写入的权限,所以修改了默认路径和名称。防止webshell往此目录中写入。修改路径后要重启生效。

至此,系统盘任何一个目录是不可浏览的,唯一一个可写入的C:WINDOWStemp,又修改了默认路径和名称变成C:WINDOWS#$#%^$^@!#$%$^S#@#$#$%$#@@@$%!!WERa

这样配置应该相对安全了些。

我先去安装一下几款流行的网站程序,先暂停.几款常用的网站程序在这样的权限设置下完全正常。还没有装上sql数据库,无法测试动易SQL版了。肯定正常。大家可以试试。

服务设置:

1.设置win2k的屏幕保护,用pcanywhere的时候,有时候下线时忘记锁定计算机了,如果别人破解了你的pcanywhere密码,就直接可以进入你计算机,如果设置了屏保,当你几分钟不用后就自动锁定计算机,这样就防止了用pcanyhwerer直接进入你计算机的可能,也是防止内部人员破坏服务器的一个屏障

2.关闭光盘和磁盘的自动播放功能,在组策略里面设.这样可以防止入侵者编辑恶意的autorun.inf让你以管理员的身份运行他的木马,来达到提升权限的目的。可以用net share 查看默认共享。由于没开server服务,等于已经关闭默认共享了,最好还是禁用server服务。

附删除默认共享的命令:

net share c$Content$nbsp;/del

net share d$Content$nbsp;/del

net share e$Content$nbsp;/del

net share f$Content$nbsp;/del

net share ipc$Content$nbsp;/del

net share admin$Content$nbsp;/del

3.关闭不需要的端口和服务,在网络连接里,把不需要的协议和服务都删掉,这里只安装了基本的Internet协议(TCP/IP),由于要控制带宽流量服务,额外安装了Qos数据包计划程序。在高级tcp/ip设置里--"NetBIOS"设置"禁用tcp/IP上的NetBIOS 。修改远程连接端口(也可以用工具修改更方便)

修改注册表.

开始--运行--regedit,依次展开 HKEY_LOCAL_MACHINE/SYSTEM/CURRENTCONTROLSET/CONTROL/TERMINAL SERVER/WDS/RDPWD/TDS/TCP

右边键值中 PortNumber 改为你想用的端口号.注意使用十进制(例 )HKEY_LOCAL_MACHINE/SYSTEM/CURRENTCONTROLSET/CONTROL/TERMINAL SERVER/WINSTATIONS/RDP-TCP/

右边键值中 PortNumber 改为你想用的端口号.注意使用十进制(例 )注意:别忘了在WINDOWS自带的防火墙给+上端口

修改完毕.重新启动服务器.设置生效.这里就不改了,你可以自己决定是否修改.权限设置的好后,个人感觉改不改无所谓

4.禁用Guest账号:在计算机管理的用户里面把Guest账号禁用。为了保险起见,最好给Guest加一个复杂的密码。你可以打开记事本,在里面输入一串包含特殊字符、数字、字母的长字符串,然后把它作为Guest用户的密码拷进去.我这里随便复制了一段文本内容进去.如果设置密码时提示:工作站服务没有启动 先去本地安全策略里把密码策略里启动密码复杂性给禁用后就可以修改了

5.创建一个陷阱用户:即创建一个名为“Administrator”的本地用户,把它的权限设置成最低,什么事也干不了的那种,并且加上一个超过位的超级复杂密码。这样可以让那些 Hacker们忙上一段时间,借此发现它们的入侵企图。

6.本地安全策略设置

开始菜单—>管理工具—>本地安全策略

A、本地策略——>审核策略

审核策略更改   成功 失败  

审核登录事件   成功 失败

审核对象访问      失败

审核过程跟踪   无审核

审核目录服务访问    失败

审核特权使用      失败

审核系统事件   成功 失败

审核账户登录事件 成功 失败

审核账户管理   成功 失败

B、本地策略——>用户权限分配

关闭系统:只有Administrators组、其它全部删除。

通过终端服务允许登陆:只加入Administrators,Remote Desktop Users组,其他全部删除

运行 gpedit.msc 计算机配置 > 管理模板 > 系统 显示“关闭事件跟踪程序” 更改为已禁用

用户管理,建立另一个备用管理员账号,防止特殊情况发生。安装有终端服务与SQL服务的服务器停用TsInternetUser, sQLDebugger这两 个账号

C、本地策略——>安全选项

交互式登陆:不显示上次的用户名       启用

网络访问:不允许SAM帐户和共享的匿名枚举  启用

网络访问:不允许为网络身份验证储存凭证   启用

网络访问:可匿名访问的共享         全部删除

网络访问:可匿名访问的命          全部删除

网络访问:可远程访问的注册表路径      全部删除

网络访问:可远程访问的注册表路径和子路径  全部删除

帐户:重命名来宾帐户            重命名一个帐户

帐户:重命名系统管理员帐户         重命名一个帐户

7.禁止dump file的产生

dump文件在系统崩溃和蓝屏的时候是一份很有用的查找问题的资料。然而,它也能够给黑客提供一些敏感

信息比如一些应用程序的密码等。控制面板>系统属性>高级>启动和故障恢复把 写入调试信息 改成无。

关闭华医生Dr.Watson

在开始-运行中输入“drwtsn”,或者开始-程序-附件-系统工具-系统信息-工具-Dr Watson,调出系统

里的华医生Dr.Watson ,只保留“转储全部线程上下文”选项,否则一旦程序出错,硬盘会读很久,并占用大量空间。如果以前有此情况,请查找user.dmp文件,删除后可节省几十MB空间。在命令行运行drwtsn -i 可以直接关闭华医生,普通用户没什么用处 .

Windows Server 服务器群集创建和配置指南 WindowsServer服务器群集创建和配置指南作者:EldenChristensenMicrosoftCorporation发布日期:最终修改日期:5//概要本指南提供关于在运行MicrosoftWindowsServe

IIS6架设网站常见问题及症状举例 问题1:未启用父路径症状举例:Server.MapPath()错误'ASP:'不允许的Path字符//dqyllhsub/news/OpenDatabase.asp,行4在MapPath的Path参数中不允许字符'..'

win系统安全详细设置 win详细系统安全设置正确设置磁盘的安全性,具体如下(虚拟机的安全设置,我们以asp程序为例子)重点:1、系统盘权限设置C:分区部分:c:administrators

标签: 不一样的萧先生

本文链接地址:https://www.jiuchutong.com/biancheng/350366.html 转载请保留说明!

上一篇:微软宣布:Windows Server 2003明年7月14日终止服务(微软宣布Q3推出MRTKV3工具包)

下一篇:windows server 2008图片文件无法显示缩略图的解决方法

  • 广州二手房交易契税
  • 库存盘盈盘亏要调整吗
  • 个人提供劳务报酬需要到税务局开发票吗?
  • 账户利息怎么做账务处理
  • 服务发票是增值税发票吗
  • 个体户餐饮经营范围全部怎么写
  • 51电子发票客户端后使用教程
  • 异地成立分公司
  • 小规模纳税人多少免征增值税
  • 装修费用如何摊销成本
  • 公司配股后,会迅速提高公司股票市价
  • 咨询服务费记到什么科目
  • 特许权使用费如何确认收入
  • 租赁场地费入什么科目
  • 出口退税备案信息
  • 税号里的字母要大写还是小写
  • 企业的资金怎么使用
  • 内部收益率的计算步骤有
  • 残保金属于职工薪酬吗
  • 已认证的发票在哪里查
  • 应补退所得税额是什么
  • 4s店 监管
  • 关联公司代付款帐怎么做
  • 个体工商户年检怎么办
  • 使用U盘安装win7出现找不到任何设备驱动程序
  • 更改win10通知
  • 新浪怎么样了
  • 注销公司账上现金多怎么调
  • php实现的链式队列是什么
  • php和mysql的结合是目前web开发中的黄金组合
  • 退货时会计分录的银行存款能是负数吗
  • php获取数据
  • 全卷积网络fcn详解
  • 使用uni-app开发网站
  • axios是干嘛的
  • iis搭建网站教程win10
  • php环境搭建apache
  • apache php mysql开发环境安装教程
  • 税控盘登录密码设置
  • 2022年如何在股室工作中落实党风见证
  • 费用化支出需要摊销吗
  • phpcms文档
  • 图文详解塘鲺、鲶鱼的区别介绍
  • 个体户个税计算公式
  • 小型微利企业企业所得税如何计算
  • 投资折价会计处理
  • 暂估入库有时间限制吗
  • 应付账款的逾期利息计入什么科目
  • 预付款开了增值税专票怎么办
  • 退客户多余货款怎么处理
  • 新建厂房房产证办理流程
  • 房地产企业如何结转成本
  • 收到增值税专用发票会计科目
  • 子公司向母公司借钱
  • 顺风车没有发票是否合法
  • 工资条上为什么不显示生育险
  • 库存商品可以用多栏式吗
  • sqlserver如何查询表数据
  • mac自带的看图软件怎么使用
  • win8的系统
  • 恢复已删除的聊天记录微信
  • 如何去掉windows7开机密码
  • win7怎样关闭ie浏览器
  • awk结果输出到文件
  • linux远程桌面连接工具
  • windows7打不了字怎么办
  • win8系统自带浏览器
  • 铁嘴大师
  • linux命令scp和sftp详细介绍
  • vue@cli
  • android打开相机
  • 狗刨教学视频分解动作视频
  • win7 python
  • jquery跳出方法
  • jquery中获取元素的三种方法
  • 安卓多点触屏在哪里设置
  • 长沙税务网站查询系统
  • 15号扣税
  • 出口退税的管理办法
  • 福州税务局几点关门
  • 免责声明:网站部分图片文字素材来源于网络,如有侵权,请及时告知,我们会第一时间删除,谢谢! 邮箱:opceo@qq.com

    鄂ICP备2023003026号

    网站地图: 企业信息 工商信息 财税知识 网络常识 编程技术

    友情链接: 武汉网站建设