安全中國 Win2003安全設置大全分享
2024-09-10 00:04:58
供稿:網友
前面講的都是屁話,潤潤筆而已。(俺也文人一次)
話鋒一轉就到了系統權限設置與安全配置的實際操作階段
系統設置網上有一句話是“最小的權限+最少的服務=最大的安全”。此句基本上是個人都看過,但我好像
沒有看到過一篇講的比較詳細稍具全面的文章,下面就以我個人經驗作一次教學嘗試!
最小的權限如何實現?
NTFS系統權限設置 在使用之前將每個硬盤根加上 Administrators 用戶為全部權限(可選加入SYSTEM用戶)
刪除其它用戶,進入系統盤:權限如下
C:/WINDOWS Administrators SYSTEM用戶全部權限 Users 用戶默認權限不作修改
其它目錄刪除Everyone用戶,切記C:/Documents and Settings下All Users/Default User目錄及其子目錄
如C:/Documents and Settings/All Users/Application Data 目錄默認配置保留了Everyone用戶權限
C:/WINDOWS 目錄下面的權限也得注意,如 C:/WINDOWS/PCHealth、C:/windows/Installer也是保留了Everyone權限.
刪除C:/WINDOWS/Web/printers目錄,此目錄的存在會造成IIS里加入一個.printers的擴展名,可溢出攻擊
默認IIS錯誤頁面已基本上沒多少人使用了。建議刪除C:/WINDOWS/Help/iisHelp目錄
刪除C:/WINDOWS/system32/inetsrv/iisadmpwd,此目錄為管理IIS密碼之用,如一些因密碼不同步造成500
錯誤的時候使用 OWA 或 Iisadmpwd 修改同步密碼,但在這里可以刪掉,下面講到的設置將會杜絕因系統
設置造成的密碼不同步問題。
打開C:/Windows 搜索
net.exe;cmd.exe;tftp.exe;netstat.exe;regedit.exe;at.exe;attrib.exe;cacls.exe;format.com;
regsvr32.exe;xcopy.exe;wscript.exe;cscript.exe;ftp.exe;telnet.exe;arp.exe;edlin.exe;
ping.exe;route.exe;finger.exe;posix.exe;rsh.exe;atsvc.exe;qbasic.exe;runonce.exe;syskey.exe
修改權限,刪除所有的用戶只保存Administrators 和SYSTEM為所有權限
關閉445端口
HKEY_LOCAL_MACHINE/System/CurrentControlSet/Services/netBT/Parameters
新建 “DWORD值”值名為 “SMBDeviceEnabled” 數據為默認值“0”
禁止建立空連接
HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Control/Lsa
新建 “DWORD值”值名為 “RestrictAnonymous” 數據值為“1” [2003默認為1]
禁止系統自動啟動服務器共享
HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services/LanmanServer/Parameters
新建 “DWORD值”值名為 “AutoShareServer” 數據值為“0”
禁止系統自動啟動管理共享
HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services/LanmanServer/Parameters
新建 “DWORD值”值名為 “AutoShareWks” 數據值為“0”
通過修改注冊表防止小規模DDOS攻擊
HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services/Tcpip/Parameters
新建 “DWORD值”值名為 “SynAttackProtect” 數據值為“1”
禁止dump file的產生
dump文件在系統崩潰和藍屏的時候是一份很有用的查找問題的資料。然而,它也能夠給黑客提供一些敏感
