不一样的WIN2003服务器安全配置技巧
发布时间:2023-07-28 07:40:19
常规的如安全的安装系统,设置和管理帐户,关闭多余的服务,审核策略,修改终端管理端口, 以及配置MS-SQL,删除危险的存储过程,用最低权限的public帐户连接等等,都不说了!下面是windows根目录的一些权限设置
常规的如安全的安装系统,设置和管理帐户,关闭多余的服务,审核策略,修改终端管理端口, 以及配置MS-SQL,删除危险的存储过程,用最低权限的public帐户连接等等,都不说了!下面是windows根目录的一些权限设置。
具体配置如下:
windows下根目录的权限设置:
C:\WINDOWS\Application Compatibility Scripts 不用做任何修改,包括其下所有子目录
C:\WINDOWS\AppPatch AcWebSvc.dll已经有users组权限,其它文件加上users组权限
C:\WINDOWS\Connection Wizard 取消users组权限
C:\WINDOWS\Debug users组的默认不改
C:\WINDOWS\Debug\UserMode默认不修改有写入文件的权限,取消users组权限,给特别的权限,看演示
C:\WINDOWS\Debug\WPD不取消Authenticated Users组权限可以写入文件,创建目录.
C:\WINDOWS\Driver Cache取消users组权限,给i386文件夹下所有文件加上users组权限
C:\WINDOWS\Help取消users组权限
C:\WINDOWS\Help\iisHelp\common取消users组权限
C:\WINDOWS\IIS Temporary Compressed Files默认不修改
C:\WINDOWS\ime不用做任何修改,包括其下所有子目录
C:\WINDOWS\inf不用做任何修改,包括其下所有子目录
C:\WINDOWS\Installer 删除everyone组权限,给目录下的文件加上everyone组读取和运行的权限
C:\WINDOWS\java 取消users组权限,给子目录下的所有文件加上users组权限
C:\WINDOWS\MAGICSET 默认不变
C:\WINDOWS\Media 默认不变
C:\WINDOWS\Microsoft.NET不用做任何修改,包括其下所有子目录
C:\WINDOWS\msagent 取消users组权限,给子目录下的所有文件加上users组权限
C:\WINDOWS\msapps 不用做任何修改,包括其下所有子目录
C:\WINDOWS\mui取消users组权限
C:\WINDOWS\PCHEALTH 默认不改
C:\WINDOWS\PCHEALTH\ERRORREP\QHEADLES 取消everyone组的权限
C:\WINDOWS\PCHEALTH\ERRORREP\QSIGNOFF 取消everyone组的权限
C:\WINDOWS\PCHealth\UploadLB 删除everyone组的权限,其它下级目录不用管,没有user组和everyone组权限
C:\WINDOWS\PCHealth\HelpCtr 删除everyone组的权限,其它下级目录不用管,没有user组和everyone组权限(这个不用按照演示中的搜索那些文件了,不须添加users组权限就行)
C:\WINDOWS\PIF 默认不改
C:\WINDOWS\PolicyBackup默认不改,给子目录下的所有文件加上users组权限
C:\WINDOWS\Prefetch 默认不改
C:\WINDOWS\provisioning 默认不改,给子目录下的所有文件加上users组权限
C:\WINDOWS\pss默认不改,给子目录下的所有文件加上users组权限
C:\WINDOWS\RegisteredPackages默认不改,给子目录下的所有文件加上users组权限
C:\WINDOWS\Registration\CRMLog默认不改会有写入的权限,取消users组的权限
C:\WINDOWS\Registration取消everyone组权限.加NETWORK SERVICE 给子目录下的文件加everyone可读取的权限,
C:\WINDOWS\repair取消users组权限
C:\WINDOWS\Resources取消users组权限
C:\WINDOWS\security users组的默认不改,其下Database和logs目录默认不改.取消templates目录users组权限,给文件加上users组
C:\WINDOWS\ServicePackFiles 不用做任何修改,包括其下所有子目录
C:\WINDOWS\SoftwareDistribution不用做任何修改,包括其下所有子目录
C:\WINDOWS\srchasst 不用做任何修改,包括其下所有子目录
C:\WINDOWS\system 保持默认
C:\WINDOWS\TAPI取消users组权限,其下那个tsec.ini权限不要改
C:\WINDOWS\twain_32取消users组权限,给目录下的文件加users组权限
C:\WINDOWS\vnDrvBas 不用做任何修改,包括其下所有子目录
C:\WINDOWS\Web取消users组权限给其下的所有文件加上users组权限
C:\WINDOWS\WinSxS 取消users组权限,搜索*.tlb,*.policy,*.cat,*.manifest,*.dll,给这些文件加上everyone组和users权限
给目录加NETWORK SERVICE完全控制的权限
C:\WINDOWS\system32\wbem 这个目录有重要作用。如果不给users组权限,打开一些应用软件时会非常慢。并且事件查看器中有时会报出一堆错误。导致一些程序不能正常运行。但为了不让webshell有浏览系统所属目录的权限,给wbem目录下所有的*.dll文件users组和everyone组权限。
*.dll
users;everyone
我先暂停。你操作时挨个检查就行了
C:\WINDOWS\#$#%^$^@!#$%$^S#@\#$#$%$#@@@$%!!WERa (我用的temp文件夹路径)temp由于必须给写入的权限,所以修改了默认路径和名称。防止webshell往此目录中写入。修改路径后要重启生效。
至此,系统盘任何一个目录是不可浏览的,唯一一个可写入的C:\WINDOWS\temp,又修改了默认路径和名称变成C:\WINDOWS\#$#%^$^@!#$%$^S#@\#$#$%$#@@@$%!!WERa
这样配置应该相对安全了些。
我先去安装一下几款流行的网站程序,先暂停.几款常用的网站程序在这样的权限设置下完全正常。还没有装上sql2000数据库,无法测试动易2006SQL版了。肯定正常。大家可以试试。
服务设置:
1.设置win2k的屏幕保护,用pcanywhere的时候,有时候下线时忘记锁定计算机了,如果别人破解了你的pcanywhere密码,就直接可以进入你计算机,如果设置了屏保,当你几分钟不用后就自动锁定计算机,这样就防止了用pcanyhwerer直接进入你计算机的可能,也是防止内部人员破坏服务器的一个屏障
2.关闭光盘和磁盘的自动播放功能,在组策略里面设.这样可以防止入侵者编辑恶意的autorun.inf让你以管理员的身份运行他的木马,来达到提升权限的目的。可以用net share 查看默认共享。由于没开server服务,等于已经关闭默认共享了,最好还是禁用server服务。
附删除默认共享的命令:
net share c$Content$nbsp;/del
net share d$Content$nbsp;/del
net share e$Content$nbsp;/del
net share f$Content$nbsp;/del
net share ipc$Content$nbsp;/del
net share admin$Content$nbsp;/del
3.关闭不需要的端口和服务,在网络连接里,把不需要的协议和服务都删掉,这里只安装了基本的Internet协议(TCP/IP),由于要控制带宽流量服务,额外安装了Qos数据包计划程序。在高级tcp/ip设置里--"NetBIOS"设置"禁用tcp/IP上的NetBIOS 。修改3389远程连接端口(也可以用工具修改更方便)
修改注册表.
开始--运行--regedit,依次展开 HKEY_LOCAL_MACHINE/SYSTEM/CURRENTCONTROLSET/CONTROL/TERMINAL SERVER/WDS/RDPWD/TDS/TCP
右边键值中 PortNumber 改为你想用的端口号.注意使用十进制(例 1989 )HKEY_LOCAL_MACHINE/SYSTEM/CURRENTCONTROLSET/CONTROL/TERMINAL SERVER/WINSTATIONS/RDP-TCP/
右边键值中 PortNumber 改为你想用的端口号.注意使用十进制(例 1989 )注意:别忘了在WINDOWS2003自带的防火墙给+上10000端口
修改完毕.重新启动服务器.设置生效.这里就不改了,你可以自己决定是否修改.权限设置的好后,个人感觉改不改无所谓
4.禁用Guest账号:在计算机管理的用户里面把Guest账号禁用。为了保险起见,最好给Guest加一个复杂的密码。你可以打开记事本,在里面输入一串包含特殊字符、数字、字母的长字符串,然后把它作为Guest用户的密码拷进去.我这里随便复制了一段文本内容进去.如果设置密码时提示:工作站服务没有启动 先去本地安全策略里把密码策略里启动密码复杂性给禁用后就可以修改了
5.创建一个陷阱用户:即创建一个名为“Administrator”的本地用户,把它的权限设置成最低,什么事也干不了的那种,并且加上一个超过10位的超级复杂密码。这样可以让那些 Hacker们忙上一段时间,借此发现它们的入侵企图。
6.本地安全策略设置
开始菜单—>管理工具—>本地安全策略
A、本地策略——>审核策略
审核策略更改成功失败
审核登录事件成功失败
审核对象访问失败
审核过程跟踪无审核
审核目录服务访问失败
审核特权使用失败
审核系统事件成功失败
审核账户登录事件成功失败
审核账户管理成功失败
B、本地策略——>用户权限分配
关闭系统:只有Administrators组、其它全部删除。
通过终端服务允许登陆:只加入Administrators,Remote Desktop Users组,其他全部删除
运行 gpedit.msc 计算机配置 > 管理模板 > 系统 显示“关闭事件跟踪程序” 更改为已禁用
用户管理,建立另一个备用管理员账号,防止特殊情况发生。安装有终端服务与SQL服务的服务器停用TsInternetUser, sQLDebugger这两 个账号
C、本地策略——>安全选项
交互式登陆:不显示上次的用户名启用
网络访问:不允许SAM帐户和共享的匿名枚举 启用
网络访问:不允许为网络身份验证储存凭证启用
网络访问:可匿名访问的共享全部删除
网络访问:可匿名访问的命全部删除
网络访问:可远程访问的注册表路径全部删除
网络访问:可远程访问的注册表路径和子路径全部删除
帐户:重命名来宾帐户重命名一个帐户
帐户:重命名系统管理员帐户重命名一个帐户
7.禁止dump file的产生
dump文件在系统崩溃和蓝屏的时候是一份很有用的查找问题的资料。然而,它也能够给黑客提供一些敏感
信息比如一些应用程序的密码等。控制面板>系统属性>高级>启动和故障恢复把 写入调试信息 改成无。
关闭华医生Dr.Watson
在开始-运行中输入“drwtsn32”,或者开始-程序-附件-系统工具-系统信息-工具-Dr Watson,调出系统
里的华医生Dr.Watson ,只保留“转储全部线程上下文”选项,否则一旦程序出错,硬盘会读很久,并占用大量空间。如果以前有此情况,请查找user.dmp文件,删除后可节省几十MB空间。在命令行运行drwtsn32 -i 可以直接关闭华医生,普通用户没什么用处 .


猜你喜欢
- 在平时生活中,我们将图片导入PS中会发现出现打不开的情况,当PS打开图片提示无法完成请求怎么办?接下来我们一起往下看看PS打开图片提示无法完
- 对于游戏玩家而言,一张好用的显卡直接影响到游戏体验感的高低,那就有用户疑惑了显卡低于游戏最低要求就不能玩游戏了吗?当然是可以的,只不过游戏效
- 使用笔记本电脑的朋友都知道,笔记本能够移动使用的原因是有一块电池进行供电,但是使用久了之后,电池难免会有损耗,那么怎么才能知道损耗程度呢?著
- 设置工具栏一般是工具栏隐藏掉找不到了,下面是显示的步骤:1、首先打开wps要操作的文档,然后点击右上角的隐藏的按键;2、然后工具栏就可以显示
- JDK是Java语言的开发工具包,是必备的安装软件,在安装完成后,我们还需要对jdk进行环境变量配置,才能够使用java功能。那么对于使用w
- 在WORD中制作表格时,我们也经常需要绘制斜线表格头,然后再添加相应的文字内容使表格看起来更加清楚明朗。其实,在Word2007中插入表格的
- 众所周知,UTF-8是Linux系统下的一种可变长度的字符万国码,使用UTF-8码就可以支持多种语言。当某些文件并不是UTF-8编码的时候,
- 如果您喜欢旅行,您可能知道在拥挤的旅游景点拍摄您想要的照片是多么困难。每次你认为你有一个清晰的视野,有人走在你的相机前,就像你点击快门。当你
- 方法一:1.单击菜单“工具→公式审核→公式审核模式”,或按“crtl+`”,“`”符号是键盘左上角的第一
- 如何在Word 2007中添加脚注和尾注?使用Word 2007可以轻松地在要创建原始信息来源的文档中添加脚注和尾注。 1、将插入
- win10自带的防火墙虽然弹窗设定非常让人烦恼,但不可否认还是有一定作用的。那要怎么设置才能不让软件被防火墙给拦截呢?快来看看自带防火墙添加
- 在excel中,百分比是如何计算的呢。大家有没有想过利用函数快速的计算百分,下面让小编为你带来excel表格应用百分比函数的方法,不懂的朋友
- 经常在Word中会遇到一些棘手的问题,今天给大家整理了word怎么取消打字被覆盖的解决方法。1、Word打字被覆盖Word中输入新的文字后,
- routerpassview怎么用?routerpassview可以帮助你从你的路由器恢复丢 * 码的文件,是一个找回路由器密码的工具。那ro
- 连信APP漂流瓶怎么玩?连信APP是一款非常不错的社交软件,连信APP有个漂流瓶的功能,你知道要怎么玩漂流瓶吗?下面就给大家分享连信APP漂
- 在工作时对Word文档功能不熟悉,会导致我们的工作速度及效率下降,例如Word 里对齐姓名,若我们一个一个去调整,就会耽误时间,那
- 在win10这款微系统发布了之后,有着许多用户都纷纷的更换上了这款最新的win10微系统。因为它不仅新增加了许多的功能,并且win10还延续
- 一般情况下,在推理方面及表达逻辑关系方面,我们都习惯使用概念图来展示,这样就能让用户清晰的明白个中关系。那么,概念图应该怎么画呢?下面,我们
- 在一般的word中,可以进行如下操作:首先将光标定位至待提升为标题的文本,按Alt+Shift+←键,可把文本提升为标题,且样式为标题1,再
- Word文档和Excel文档都是办公室常用的文件类型。有时候,我们需要将Word文档转换成Excel,以方便对数据进行处理和分析。下面介绍几