1、終級Winxx服務器安全配置篇 今天演示一下服務器權限的設置，實現目標是系統盤任何一個目錄asp網馬不可以瀏覽,事件查看器完全無錯,所有程序正常運行. 這個不同于之前做的兩個演示，此演示基本上保留系統默認的那些權限組不變，保留原味,以免取消不當造成莫名其妙的錯誤. 看過這個演示，之前的超詳細web服務器權限設置,精確到每個文件夾和超詳細web服務器權限設置,事件查看器完全無報錯就不用再看了.這個比原來做的有所改進.操作系統用的是雨林木風的ghost鏡像,補丁是打上截止11.2號最新的 Power Users組是否取消無所謂 具體操作看演示 windows下根目錄的權限設置： C:WINDOWS

2、Application Compatibility Scripts 不用做任何修改，包括其下所有子目錄 C:WINDOWSAppPatch AcWebSvc.dll已經有users組權限,其它文件加上users組權限 C:WINDOWSConnection Wizard 取消users組權限 C:WINDOWSDebug users組的默認不改 C:WINDOWSDebugUserMode默認不修改有寫入文件的權限,取消users組權限,給特別的權限，看演示 C:WINDOWSDebugWPD不取消Authenticated Users組權限可以寫入文件，創建目錄. C:WINDOWSDriv

3、er Cache取消users組權限,給i386文件夾下所有文件加上users組權限 C:WINDOWSHelp取消users組權限 C:WINDOWSHelpiisHelpmon取消users組權限 C:WINDOWSIIS Temporary Compressed Files默認不修改 C:WINDOWSime不用做任何修改，包括其下所有子目錄 C:WINDOWSinf不用做任何修改，包括其下所有子目錄 C:WINDOWSInstaller 刪除everyone組權限，給目錄下的文件加上everyone組讀取和運行的權限 C:WINDOWSjava 取消users組權限,給子目錄下的所有文

4、件加上users組權限 C:WINDOWSMAGICSET 默認不變 C:WINDOWSMedia 默認不變 C:WINDOWSMicrosoft.NET不用做任何修改，包括其下所有子目錄 C:WINDOWSmsagent 取消users組權限，給子目錄下的所有文件加上users組權限 C:WINDOWSmsapps 不用做任何修改，包括其下所有子目錄 C:WINDOWSmui取消users組權限 C:WINDOWSPCHEALTH 默認不改 C:WINDOWSPCHEALTHERRORREPQHEADLES 取消everyone組的權限 C:WINDOWSPCHEALTHERRORREPQS

5、IGNOFF 取消everyone組的權限 C:WINDOWSPCHealthUploadLB 刪除everyone組的權限，其它下級目錄不用管，沒有user組和everyone組權限 C:WINDOWSPCHealthHelpCtr 刪除everyone組的權限，其它下級目錄不用管，沒有user組和everyone組權限(這個不用按照演示中的搜索那些文件了，不須添加users組權限就行) C:WINDOWSPIF 默認不改 C:WINDOWSPolicyBackup默認不改,給子目錄下的所有文件加上users組權限 C:WINDOWSPrefetch 默認不改 C:WINDOWSprovis

6、ioning 默認不改,給子目錄下的所有文件加上users組權限 C:WINDOWSpss默認不改,給子目錄下的所有文件加上users組權限 C:WINDOWSRegisteredPackages默認不改,給子目錄下的所有文件加上users組權限 C:WINDOWSRegistrationCRMLog默認不改會有寫入的權限，取消users組的權限 C:WINDOWSRegistration取消everyone組權限.加NETWORK SERVICE 給子目錄下的文件加everyone可讀取的權限, C:WINDOWSrepair取消users組權限 C:WINDOWSResources取消us

7、ers組權限 C:WINDOWSsecurity users組的默認不改，其下Database和logs目錄默認不改.取消templates目錄users組權限,給文件加上users組 C:WINDOWSServicePackFiles 不用做任何修改，包括其下所有子目錄 C:WINDOWSSoftwareDistribution不用做任何修改，包括其下所有子目錄 C:WINDOWSsrchasst 不用做任何修改，包括其下所有子目錄 C:WINDOWSsystem 保持默認 C:WINDOWSTAPI取消users組權限，其下那個tsec.ini權限不要改 C:WINDOWStwain_32

8、取消users組權限，給目錄下的文件加users組權限 C:WINDOWSvnDrvBas 不用做任何修改，包括其下所有子目錄 C:WINDOWSWeb取消users組權限給其下的所有文件加上users組權限 C:WINDOWSWinSxS 取消users組權限，搜索*.tlb，*.policy，*.cat，*.manifest,*.dll，給這些文件加上everyone組和users權限 給目錄加NETWORK SERVICE完全控制的權限 C:WINDOWSsystem32wbem 這個目錄有重要作用。如果不給users組權限，打開一些應用軟件時會非常慢。并且事件查看器中有時會報出一堆錯誤

9、。導致一些程序不能正常運行。但為了不讓webshell有瀏覽系統所屬目錄的權限，給wbem目錄下所有的*.dll文件users組和everyone組權限。 *.dll users;everyone 我先暫停。你操作時挨個檢查就行了 C:WINDOWS#$#%$!#$%$S#$#$%$#$%!WERa (我用的temp文件夾路徑)temp由于必須給寫入的權限，所以修改了默認路徑和名稱。防止webshell往此目錄中寫入。修改路徑后要重啟生效。 至此，系統盤任何一個目錄是不可瀏覽的，唯一一個可寫入的C:WINDOWStemp，又修改了默認路徑和名稱變成C:WINDOWS#$#%$!#$%$S#$#

10、$%$#$%!WERa 這樣配置應該相對安全了些。 我先去安裝一下幾款流行的網站程序，先暫停.幾款常用的網站程序在這樣的權限設置下完全正常。還沒有裝上sql2000數據庫，無法測試動易xxSQL版了。肯定正常。大家可以試試。 服務設置： 1.設置win2k的屏幕保護,用pcanywhere的時候,有時候下線時忘記鎖定計算機了，如果別人破解了你的pcanywhere密碼，就直接可以進入你計算機，如果設置了屏保，當你幾分鐘不用后就自動鎖定計算機，這樣就防止了用pcanyhwerer直接進入你計算機的可能，也是防止內部人員破壞服務器的一個屏障 2.關閉光盤和磁盤的自動播放功能，在組策略里面設.這樣可

11、以防止入侵者惡意的autorun.inf讓你以管理員的身份運行他的木馬，來達到提升權限的目的?？梢杂?share 查看默認共享。由于沒開server服務,等于已經關閉默認共享了,最好還是禁用server服務。 附刪除默認共享的命令： share c$Content$nbsp;/del share d$Content$nbsp;/del share e$Content$nbsp;/del share f$Content$nbsp;/del share ipc$Content$nbsp;/del share admin$Content$nbsp;/del 3.關閉不需要的端口和服務，在網絡連接里，

12、把不需要的協議和服務都刪掉，這里只安裝了基本的Inter協議（TCP/IP），由于要控制帶寬流量服務，額外安裝了Qos數據包計劃程序。在高級tcp/ip設置里-NetBIOS設置禁用tcp/IP上的NetBIOS 。 修改3389遠程連接端口(也可以用工具修改更方便) 修改注冊表. 開始-運行-regedit 依次展開 HKEY_LOCAL_MACHINE/SYSTEM/CURRENTCONTROLSET/CONTROL/ TERMINAL SERVER/WDS/RDPWD/TDS/TCP 右邊鍵值中 PortNumber 改為你想用的端口號.注意使用十進制(例 1989 ) HKEY_LOC

13、AL_MACHINE/SYSTEM/CURRENTCONTROLSET/CONTROL/TERMINAL SERVER/ WINSTATIONS/RDP-TCP/ 右邊鍵值中 PortNumber 改為你想用的端口號.注意使用十進制(例 1989 ) 注意：別忘了在WINDOWSxx自帶的防火墻給+上10000端口 修改完畢.重新啟動服務器.設置生效. 這里就不改了,你可以自己決定是否修改.權限設置的好后,個人感覺改不改無所謂 4.禁用Guest賬號 在計算機管理的用戶里面把Guest賬號禁用。為了保險起見，最好給Guest加一個復雜的密碼。你可以打開記事本，在里面輸入一串包含特殊字符、數字、

14、字母的長字符串，然后把它作為Guest用戶的密碼拷進去.我這里隨便復制了一段文本內容進去. 如果設置密碼時提示：工作站服務沒有啟動 先去本地安全策略里把密碼策略里啟動密碼復雜性給禁用后就可以修改了 5.創建一個陷阱用戶 即創建一個名為“Administrator”的本地用戶，把它的權限設置成最低，什么事也干不了的那種，并且加上一個超過10位的超級復雜密碼。這樣可以讓那些 Hacker們忙上一段時間，借此發現它們的入侵企圖。 6.本地安全策略設置 開始菜單管理工具本地安全策略 A、本地策略審核策略 審核策略更改 成功 失敗 審核登錄事件 成功 失敗 審核對象訪問 失敗 審核過程跟蹤 無審核 審核

15、目錄服務訪問 失敗 審核特權使用 失敗 審核系統事件 成功 失敗 審核賬戶登錄事件 成功 失敗 審核賬戶管理 成功 失敗 B、本地策略用戶權限分配 關閉系統：只有Administrators組、其它全部刪除。 通過終端服務允許登陸：只加入Administrators,Remote Desktop Users組，其他全部刪除 運行 gpedit.msc 計算機配置 管理模板 系統 顯示“關閉事件跟蹤程序” 更改為已禁用 用戶管理，建立另一個備用管理員賬號，防止特殊情況發生。安裝有終端服務與SQL服務的服務器停用TsInterUser, sQLDebugger這兩 個賬號 C、本地策略安全選項 交

16、互式登陸：不顯示上次的用戶名 啟用 網絡訪問：不允許SAM帳戶和共享的匿名枚舉 啟用 網絡訪問：不允許為網絡身份驗證儲存憑證 啟用 網絡訪問：可匿名訪問的共享 全部刪除 網絡訪問：可匿名訪問的命 全部刪除 網絡訪問：可遠程訪問的注冊表路徑 全部刪除 網絡訪問：可遠程訪問的注冊表路徑和子路徑 全部刪除 帳戶：重命名來賓帳戶 重命名一個帳戶 帳戶：重命名系統管理員帳戶 重命名一個帳戶 7.禁止dump file的產生 dump文件在系統崩潰和藍屏的時候是一份很有用的查找問題的資料。然而，它也能夠給黑客提供一些敏感 信息比如一些應用程序的密碼等?？刂泼姘逑到y屬性高級啟動和故障恢復把 寫入調試信息 改

17、成無。 關閉華醫生Dr.Watson 在開始-運行中輸入“drwtsn32”，或者開始-程序-附件-系統工具-系統信息-工具-Dr Watson，調出系統 里的華醫生Dr.Watson ，只保留“轉儲全部線程上下文”選項，否則一旦程序出錯，硬盤會讀很久，并占 用大量空間。如果以前有此情況，請查找user.dmp文件，刪除后可節省幾十MB空間。. 在命令行運行drwtsn32 -i 可以直接關閉華醫生,普通用戶沒什么用處 8.禁用不必要的服務 開始-運行-services.msc TCP/IPNetBIOS Helper提供 TCP/IP 服務上的 NetBIOS 和網絡上客戶端的 NetBIO

18、S 名稱解析的支持而使用戶能夠共享 文件、打印和登錄到網絡 Server支持此計算機通過網絡的文件、打印、和命名管道共享 Computer Browser 維護網絡上計算機的最新列表以及提供這個列表 Task scheduler 允許程序在指定時間運行 Messenger 傳輸客戶端和服務器之間的 NET SEND 和 警報器服務消息 Distributed File System: 局域網管理共享文件，不需要可禁用 Distributed linktracking client：用于局域網更新連接信息，不需要可禁用 Error reporting service：禁止發送錯誤報告 Micro

19、soft Serch：提供快速的單詞搜索，建議禁用*不禁用移動*.msc文件后啟動系統時會報錯。禁用后沒影響 NTLMSecuritysupportprovide：tel服務和Microsoft Serch用的，不需要可禁用 PrintSpooler：如果沒有打印機可禁用 Remote Registry：禁止遠程修改注冊表 Remote Desktop Help Session Manager：禁止遠程協助 Workstation 關閉的話遠程NET命令列不出用戶組 以上是在Windows Server xx 系統上面默認啟動的服務中禁用的，默認禁用的服務如沒特別需要的話不要啟動。 看下我開了

20、些什么服務,大家可以參考設置一下.如果把不該禁用的服務禁了，事件查看器可能會出現一些報錯. 9.設置IP篩選，只開放你所要用到的端口，這樣可以防止別人的木馬程序連接，因為任何一個網絡程序要和你服務器通信，都要通過端口。查看本機所開的端口是用stat -na 命令,這兒我們開放了80 1989 21 1433(sqlserver),5631(pcanywhere)和ip6端口,這樣設置后，一般的后門程序就無法連接到本機了，注意要重新啟動了才有效果 附常用服務的各個端口： IIS 80 FTP 21 啟用后需要FTP客戶端關閉PSAV才能連接 SMTP 25 POP3 110 MS SQL 143

21、3 Mysql 3306 PcAnywhere 5631 Windows遠程客戶端 3389 10.修改相關注冊表，個人感覺這樣的效果不大。沒去修改，僅供參考： A、防止SYN洪水攻擊 HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesTcpipParameters 新建DWORD值，名為SynAttackProtect，值為2 新建EnablePMTUDiscovery REG_DWORD 0 新建NoNameReleaseOnDemand REG_DWORD 1 新建EnableDeadGWDetect REG_DWORD 0 新建KeepA

22、liveTime REG_DWORD 300,000 新建PerformRouterDiscovery REG_DWORD 0 新建EnableICMPRedirects REG_DWORD 03. 禁止響應ICMP路由通告報文 HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesTcpipParametersInterfacesinterface 新建DWORD值，名為PerformRouterDiscovery 值為0 B、防止ICMP重定向報文的攻擊 HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServi

23、cesTcpipParameters 將EnableICMPRedirects 值設為0 C、不支持IGMP協議 HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesTcpipParameters 新建DWORD值，名為IGMPLevel 值為0 D、禁止IPC空連接： cracker可以利用 use命令建立空連接，進而入侵，還有 view，nbtstat這些都是基于空連接的，禁止空連接就好了。 Local_MachineSystemCurrentControlSetControlLSA-RestrictAnonymous 把這個值改成”1”即可。

24、 E、更改TTL值 cracker可以根據ping回的TTL值來大致判斷你的操作系統，如： TTL=107(WINNT); TTL=108(win2000); TTL=127或128(win9x); TTL=240或241(linux); TTL=252(solaris); TTL=240(Irix); 實際上你可以自己改的：HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesTcpipParameters：DefaultTTL REG_DWORD 0-0xff(0-255 十進制,默認值128)改成一個莫名其妙的數字如250 11.把系統Admi

25、nistrator賬號改名,我的已經改成了 中央人民政府 ?？梢园延脖P的其它分區或重要目錄設置成僅這個用戶可以訪問。這樣即使入侵者把自己提升成了超級管理員組成員。也無法訪問這些地方。 將Administrators組改名為其他，這樣即使系統出現了溢出漏洞，但系統盤下的.exe程序已被轉移刪除，想加入管理員組基本難以實現。何況Administrators組已被改名，用那個 localgroup administrators xxx /add，不知道管理員組的名字，會提示指定的本地組不存在。這樣即使命令可用也加不上了。 最后給你的管理員帳戶設定一個非常復雜的密碼. 設置本地用戶帳號，把管理員和來賓帳號重新命名，禁止不必用的帳號，最好還要建立一個管理員備用帳號,以防萬一(提示：養成經常看一看本地用戶帳號屬性的習慣，以防后門帳號) 12.控制面板的設置： 修改*.cpl(控制面板文件)的權限為只有管理員可以訪問 移動所有*.msc（管理控制臺文