windows2003 服务器系统权限与安全配置
来源:安全中国 发布时间:2009-11-28 15:34:00
话锋一转就到了系统权限设置与安全配置的实际操作阶段
系统设置网上有一句话是"最小的权限+最少的服务=最大的安全"。此句基本上是个人都看过,但我好像没有看到过一篇讲的比较详细稍具全面的文章,下面就以我个人经验作一次教学尝试!
2.1 最小的权限如何实现?
NTFS系统权限设置
在使用之前将每个硬盘根加上 Administrators 用户为全部权限(可选加入SYSTEM用户)
删除其它用户,进入系统盘:权限如下
C:\WINDOWS Administrators SYSTEM用户全部权限 Users 用户默认权限不作修改
其它目录删除Everyone用户,切记C:\Documents and Settings下All Users\Default User目录及其子目录
如C:\Documents and Settings\All Users\Application Data 目录默认配置保留了Everyone用户权限
C:\WINDOWS 目录下面的权限也得注意,如 C:\WINDOWS\PCHealth、C:\windows\Installer也是保留了Everyone权限.删除C:\WINDOWS\Web\printers目录,此目录的存在会造成IIS里加入一个.printers的扩展名,可溢出攻击
默认IIS错误页面已基本上没多少人使用了。建议删除C:\WINDOWS\Help\iisHelp目录
删除C:\WINDOWS\system32\inetsrv\iisadmpwd,此目录为管理IIS密码之用,如一些因密码不同步造成500 错误的时候使用 OWA 或 Iisadmpwd 修改同步密码,但在这里可以删掉,下面讲到的设置将会杜绝因系统设置造成的密码不同步问题。
打开C:\Windows 搜索
net.exe;cmd.exe;tftp.exe;netstat.exe;regedit.exe;at.exe;attrib.exe;cacls.exe;format.com;
regsvr32.exe;xcopy.exe;wscript.exe;cscript.exe;ftp.exe;telnet.exe;arp.exe;edlin.exe;
ping.exe;route.exe;finger.exe;posix.exe;rsh.exe;atsvc.exe;qbasic.exe;runonce.exe;syskey.exe修改权限,删除所有的用户只保存Administrators 和SYSTEM为所有权限
关闭445端口
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\netBT\Parameters
新建 "DWORD值"值名为 "SMBDeviceEnabled" 数据为默认值"0"
禁止建立空连接
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa
新建 "DWORD值"值名为 "RestrictAnonymous" 数据值为"1" [2003默认为1]
禁止系统自动启动服务器共享
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters
新建 "DWORD值"值名为 "AutoShareServer" 数据值为"0"
禁止系统自动启动管理共享
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters
新建 "DWORD值"值名为 "AutoShareWks" 数据值为"0"
通过修改注册表防止小规模DDOS攻击
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters
新建 "DWORD值"值名为 "SynAttackProtect" 数据值为"1"
禁止dump file的产生
dump文件在系统崩溃和蓝屏的时候是一份很有用的查找问题的资料。然而,它也能够给黑客提供一些敏感信息比如一些应用程序的密码等。控制面板>系统属性>高级>启动和故障恢复把 写入调试信息 改成无。
关闭华医生Dr.Watson
在开始-运行中输入"drwtsn32",或者开始-程序-附件-系统工具-系统信息-工具-Dr Watson,调出系统里的华医生Dr.Watson ,只保留"转储全部线程上下文"选项,否则一旦程序出错,硬盘会读很久,并占用大量空间。如果以前有此情况,请查找user.dmp文件,删除后可节省几十MB空间。
0
投稿猜你喜欢
- 作者:Matthew Coers译者:Sheneyan(子乌)时间:2006.07.12英文原文: Search Engine Optimi
- IBM宣布将用自己的电子商务平台产品为中国知名的运动品牌李宁搭建官方网上商城,以满足其在中国迅速发展的网上购物需求。这也是IBM首次在国内正
- 什么是404错误HTTP 404 错误意味着链接指向的网页不存在,即原始网页的URL失效,这种情况经常会发生,很难避免,比如说:网页URL生
- Apache需要设定成虚拟网站空间方式。新版SuSE的Apache已经改成模组化。所以只要修改几个档案就可以在建立帐号时,网站就对应的到位置
- 打开:inc_channel_unit_functions.php加入下面一段//zouql //$f 列表总数 //$t&nbs
- 经常有人会问:我的网站被莫名的挂上木马,怎么能有效的预防网站被挂马?这个问题需要分具体情况来具体分析。一、如果是自己的服务器因为你只需要远程
- 看上去,马化腾和腾讯王国达到了一个巅峰:2300亿港元的互联网“市值王”,2009年上半年54亿元的
- 迎接奥运,除了做奥运志愿者、抢购奥运门票、学习“How are you”,我们还可以做什么?据AC尼尔森的预测,2008年,网络广告市场受奥
- 本人前几天接到一个包月广告。五周付一次,谈好价格后我挂上他的广告。他说第二天中午2点财务上班把钱给我汇过来。心想着也没事如果他不打钱过来再撤
- 很多企业局域网内都架设了邮件服务器,用于进行公文发送和工作交流。但使用专业的企业邮件系统软件需要大量的资金投入,这对于很多企业来说是无法承受
- 由于提供了FTP下载而又限制了线程,所以总发现有人不断用多线程进行尝试,这样会大大增加服务器的负荷,这种事“损人不利己”!为了“惩罚”这种人
- 早前Google Reader进行了界面及功能的大革新后,越来越多的用户开始关注它。和Gmail及Google的其它很多产品或服务一样,Go
引言:ResellerClub是域名注册行业的领头军,创建于1998年,是通过ICANN和CNNIC认证的域名注册商。ResellerClu- 我的范文中国流量稳定在7000IP/日了,收入也稳定了,在广大网友中已有了一定的影响力了,品牌也日益明显。回首范文中国两年来走过的足迹,感慨
- 为了更好地保护发布商的利益,我们最近对修改收款人姓名政策进行了更新。从现在开始,AdSense 账户将不能变更收款人姓名。如果您需要变更收款
- 种种迹象表明百度Hi马上就要公测了,相信在不久的几天大家就可以共同使用了,作为意外可以登录百度Hi而的用户,还是先做个比较详细的图解让大家看
- 2008年11月13日,中国互联网协会联合谷歌中国、新浪网、搜狐网、腾讯网、网易等国内知名网站,在京召开了主题为"搜索·未来&qu
- 1、ASP程序连接 SQL Server 的账号不要使用sa,或任何属于Sysadmin组的账号,尽量避免应用服务有过高的权限,应使用一个d
- 前几天发布了一篇网志《电子版〈名博是怎样炼成的〉》其中第一段是关于四位作者的描述:《名博是怎样炼成的》全名《名博是怎样炼成的:个人品牌博客全
- 作为Internet上的FTP服务器,系统的安全性是非常重要的,这是建立FTP服务器者所考虑的第一个问题。其安全性主要包括以下几个方面:一、
