windows2003 服务器系统权限与安全配置
来源:安全中国 发布时间:2009-11-28 15:34:00
话锋一转就到了系统权限设置与安全配置的实际操作阶段
系统设置网上有一句话是"最小的权限+最少的服务=最大的安全"。此句基本上是个人都看过,但我好像没有看到过一篇讲的比较详细稍具全面的文章,下面就以我个人经验作一次教学尝试!
2.1 最小的权限如何实现?
NTFS系统权限设置
在使用之前将每个硬盘根加上 Administrators 用户为全部权限(可选加入SYSTEM用户)
删除其它用户,进入系统盘:权限如下
C:\WINDOWS Administrators SYSTEM用户全部权限 Users 用户默认权限不作修改
其它目录删除Everyone用户,切记C:\Documents and Settings下All Users\Default User目录及其子目录
如C:\Documents and Settings\All Users\Application Data 目录默认配置保留了Everyone用户权限
C:\WINDOWS 目录下面的权限也得注意,如 C:\WINDOWS\PCHealth、C:\windows\Installer也是保留了Everyone权限.删除C:\WINDOWS\Web\printers目录,此目录的存在会造成IIS里加入一个.printers的扩展名,可溢出攻击
默认IIS错误页面已基本上没多少人使用了。建议删除C:\WINDOWS\Help\iisHelp目录
删除C:\WINDOWS\system32\inetsrv\iisadmpwd,此目录为管理IIS密码之用,如一些因密码不同步造成500 错误的时候使用 OWA 或 Iisadmpwd 修改同步密码,但在这里可以删掉,下面讲到的设置将会杜绝因系统设置造成的密码不同步问题。
打开C:\Windows 搜索
net.exe;cmd.exe;tftp.exe;netstat.exe;regedit.exe;at.exe;attrib.exe;cacls.exe;format.com;
regsvr32.exe;xcopy.exe;wscript.exe;cscript.exe;ftp.exe;telnet.exe;arp.exe;edlin.exe;
ping.exe;route.exe;finger.exe;posix.exe;rsh.exe;atsvc.exe;qbasic.exe;runonce.exe;syskey.exe修改权限,删除所有的用户只保存Administrators 和SYSTEM为所有权限
关闭445端口
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\netBT\Parameters
新建 "DWORD值"值名为 "SMBDeviceEnabled" 数据为默认值"0"
禁止建立空连接
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa
新建 "DWORD值"值名为 "RestrictAnonymous" 数据值为"1" [2003默认为1]
禁止系统自动启动服务器共享
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters
新建 "DWORD值"值名为 "AutoShareServer" 数据值为"0"
禁止系统自动启动管理共享
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters
新建 "DWORD值"值名为 "AutoShareWks" 数据值为"0"
通过修改注册表防止小规模DDOS攻击
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters
新建 "DWORD值"值名为 "SynAttackProtect" 数据值为"1"
禁止dump file的产生
dump文件在系统崩溃和蓝屏的时候是一份很有用的查找问题的资料。然而,它也能够给黑客提供一些敏感信息比如一些应用程序的密码等。控制面板>系统属性>高级>启动和故障恢复把 写入调试信息 改成无。
关闭华医生Dr.Watson
在开始-运行中输入"drwtsn32",或者开始-程序-附件-系统工具-系统信息-工具-Dr Watson,调出系统里的华医生Dr.Watson ,只保留"转储全部线程上下文"选项,否则一旦程序出错,硬盘会读很久,并占用大量空间。如果以前有此情况,请查找user.dmp文件,删除后可节省几十MB空间。
0
投稿猜你喜欢
- 有用户咨询GoDaddy的Linux主机如何设置高级目录权限,在此整理了份详细的教程更您参考。1、登陆你的Account Manager.2
10月21日消息,今天下午,PChome电脑之家网站在上海召开了2009年全体员工大会,CBSi全球高级副总裁兼中国区总裁王路、CBSi(中- 一、先关闭不需要的端口 我比较小心,先关了端口。只开了3389、21、80、1433,有些人一直说什么默认的3389不安全,对此我不否认,但
- 这个神通广大的模块就是mod_gzip. 它通过用和gzip一样的压缩算法对apache发出的页面进行压缩,可能的话可以把页面压缩成为原来大
- 在各群里发觉很多朋友都在抱怨网站不盈利和没流量的的情况,就随手写了一些本人做站几年经验和见解.希望对您有所帮助呵一 不要太漂(浮躁)大部分新
- VPS主机维护离不开工具,首先介绍一个好用的工具吧:Pietty (搜索一下pietty.exe就可以找到很多下载地址了,绿色版的,直接下载
- DNS(Domain Name System)即域名系统是历史悠久的方法,它可以为具有IP地址的计算机分配域名,使计算机拥有字符型名称,如如
- 现在论坛到处可见,有的论坛很强大,几万几十万甚至几百万IP都有,地域性的(如:某个县的论坛)、实用性的(如炒股论坛)、行业性的(如化工行业)
- 简介本文章主要介绍本人开始进入手机行业后,利用网站结合商城赚钱的心得与方法,网络上有很多的赚钱办法,只要你愿意思考,就没有什么是想不出来的!
- 数据库被挂马我相信很多人都碰到过。在这里,我讲下我处理的方法。第一步:为现有数据库做好备份。第二步:执行如下ASP文件,这样就可以去掉数据库
- ../ 【站点上级目录】 //如果要使用后台的目录相关的功能需要有列出目录的权限 //0444 /&
- 北京时间12月3日消息,据国外媒体报道,MySpace音乐(MySpace Music)将于当地时间周四登陆英国。MySpace Music
- 我们的所有托管计划都会含有一些免费的server-side applications,你可以在建设网站及客户化你的网站时使用它们。可以通过访
- 先说说的自己情况。和许多从学校里出来的学生一样,毕业后的迷惘一度让我很悲观,学校可以学到很多知识,但我学到的东西却不足以在这个社会立足。经过
- 文章标题写的可能有点容易误解,但不知道取个什么名字比较合适,姑且这个就这标题把,还是来个稍微具体点的描述:今日登入我的VPS,发现一个ASP
- IPSec简介IPSec(Internet Protocol Security):是一组基于网络层的,应用密码学的安全通信协议族。IPSec
- Google AdSense英文关键词价格要远远高于中文关键词,初略观察,有实力的同学,做英文站也许是这个经济形式下的一个不错的选择。并不是
- 首先,请记住这两句话:你越努力,你的运气就会越好!没有失败,只是暂时没有成功!第一次来落伍是两年前的事了,那是我无意中在中国站长与广告论坛里
- 好久没有更新了,近期我会把手里在Azure遇到的一些问题,分享给大家没有太多的虚言,一些实际干货,今主要介绍一下,Azure平台的Linux
- 度过了经济危机最严重的时间,最近视频行业重新热闹起来。不过,我感到很纳闷——易观国际的数据说,200
