Windows 2000服务器安全配

[ 2004-09-09 01:45:56 | Author: zhenhua ]
Font Size: Large | Medium | Small
前提:系统装完后立刻把所有补丁都打好。

思路:
1.注册表
2.服务
3.端口
4.权限
5.策略
6.关于IIS
-------------------------
1.修改注册表
修改注册表可以加强和巩固系统安全,由于注册表比较薄弱和好控制,

所以先修改它,具体操作如下:
1.防止ICMP重定向报文的攻击
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Para

meters
  EnableICMPRedirects REG_DWORD 0x0(默认值为0x1)
  说明:该参数控制Windows 2000是否会改变其路由表以响应网络设

备(如路由器)发送给它的ICMP重定向消息,有时会被利用来干坏事.Win2

000中默认值为1,表示响应ICMP重定向报文。

2.禁止C$、D$一类的缺省共享
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserv

er\parameters
AutoShareServer、REG_DWORD、0x0

3、禁止ADMIN$缺省共享
  HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanman

server\parameters
AutoShareWks、REG_DWORD、0x0

4、限制IPC$缺省共享

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa

restrictanonymous REG_DWORD 0x0

0x1 匿名用户无法列举本机用户列表

0x2 匿名用户无法连接本机IPC$共享

说明:如果服务器不提供SQL数据库,改为0x2,否则用0x1

5.更改终端服务端口3389
第一处:HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Ter

minal Server\Wds\Repwd\Tds\Tcp

第二处:HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Ter

minalServer\WinStations

找到PortNumber 十进制 改成你想用的,比如3388

2.关闭不用的服务:
列表如下:
Alerter
服务方向: 负责向用户通报管理警报,该服务和Mesenger服务一起工作,

后者接收并路由前者的信息.
可执行文件: %systemRoot%\system32\services.exe
风险: 潜在可能导致社会工程攻击
建议: 将Alerter服务发出的警告限定为只由管理员接收.
Application Management
服务方向: 提供和active directory之间的通信.通过group policy(组

策划)来指定,发布并删除在系统中安装的应用程序.
可执行文件: winnt\system32\services.exe
风险: 无
建议: 非组策略使用应用程序,最好禁用该服务.

Boot Information Negotiation Layer
服务方向: 与Remote Installation Service(RIS)一起使用,除有需要通

过RIS安装操作系统,否则不要运行.
可执行文件: winnt\system32\services.exe
风险: 无

Brower
服务方向: 负责保存网络上的计算机列表,并将该列表提供给那些请求得

到该列表的程序
可执行文件: winnt\system32\services.exe
风险: 暴露有关网络的信息
建议: 禁止

Indexing
服务方向: 负责索引磁盘上的文档和文档属性,并且在一个目录中保存信

息,使得你在以后可以搜索他们.
可执行文件: winnt\system32\services.exe
风险: 其为IISweb服务器上诸多安全弱点的根源
建议: 除非特别需要,否则禁止.

ClipBook
服务方向: ClipBook支持ClipBook Viewer程序,该程序可以允许剪贴页

被远程计算机上的ClipBook浏览.可以使得用户能够通过网络连接来剪切

和粘贴文本和图形.
可执行文件: winnt\system32\Clipsrv.exe
风险: 潜在被非法用于远程访问ClipBook剪贴页面
建议: 禁止

Distributed File System
服务方向: 允许创建单一逻辑盘.文件分布在网络上不同位置.
可执行文件: winnt\system32\Dfssrc.exe
风险: 暂无已知风险
建议: 禁止(会产生disk error,可忽略该错误)

DHCP client
服务方向: 通过注册和更新IP地址和DNS域名来管理网络配置.
可执行文件: winnt\system32\services.exe
风险: 无已知风险
建议:为服务器分配一个静态IP

Logical Disk Manager Administrative
服务方向: 用于管理逻辑盘
可执行文件: winnt\system32\dmadmin.exe
风险: 暂无已知风险
建议:将服务的启动类型设为手动(Manual)

Logical Disk Manager
服务方向: 该服务为 Logical Disk Manager Watchdog 服务.负责管理

动态磁盘的服务.
可执行文件: winnt\system32\services.exe
风险: 无已知风险
建议: 系统运行时需要,保持默认得自动启动

DNS Server
服务方向: 负责解答DNS域名查询
可执行文件: winnt\system32\dns.exe
风险: 无已知风险
建议: 因其通常是导致许多安全性弱点的根源,该服务应谨慎使用.

DNS Client
服务方向: 用于缓存DNS查询来进行记录.可用于某个入侵检测系统的DNS

查询,可加速DNS查询的速度.
可执行文件: winnt\system32\services.exe
风险: 无已知风险,但攻击者可以查看你的缓存内容.确定你所访问过的

网站. 命令行形式为(ipconfig/displaydns)
建议:可停可不停

Event Log
服务方向:Event Log服务负责记录来自系统和运行中程序的管理事件消

息.虽然该服务功能有限,并具有一些小问题,但是该服务可以用于入侵检

测和系统监视.
可执行文件: winnt\system32\services.exe
风险: 无已知风险
建议: 该服务应该被启动,尤其实在独立服务器上.

COM+Eent System
服务方向: 提供自动事件分布功能来订阅COM组件.
可执行文件: winnt\system32\svchost.exe -k nesvcs
风险: 无已知风险
建议:

如果该服务不需要已安装的任何程序所使用,你可以禁用COM+Event

System 和 System Event Notification服务.

Fax
服务方向: 它负责管理传真的发送和接收.
可执行文件: winnt\system32\faxsvc.exe
风险: 无已知风险
建议: 对于服务器而言,不需要也不建议使用该服务,除非该服务器专门

被指定为用做一个传真服务器.

Single Instance Storage Groveler
服务方向: 该服务和Remote Installation服务一起使用.扫描单一实例

存储卷来寻找重复的文件,并将重复文件指向某个数据存储点以节省磁盘

空间.
风险: 无已知风险
建议: 除非你需要使用 Remote Installation 服务,否则请停止它.

Internet Authentication Service
服务方向: 用于认证拨号和VPN用户.
可执行文件: winnt\system32\svchost.exe -k netsvcs
风险: 无已知风险
建议: 显然除了在拨号和VPN服务器上,该服务不应该使用.禁止.

IIS Admin
服务方向: IIS Admin服务允许通过Internet Services Manager MMC程

序面板来对IIS服务进行管理.
可执行文件: winnt\system32\inetsrv\inetinfo.exe
风险: 无已知风险
建议: 如果服务器正在运行Inetrnet服务,则该服务是需要的.如果没有

运行任何Inetrnet服务,则应当从Control Panel,Add and Remove

Programs中卸载Internet Information Server,这样IIS Admin服务也将

被卸载.

Intersite Messaging
服务方向: Intersite Messaging服务和Active Directory replication

一起使用.
可执行文件: winnt\system32\ismserv.exe
风险: 无已知风险
建议: 除了Active Directory服务器之外,不需要也不建议使用该服务.

Kerberos Key Distribution Center
服务方向: 这是个域服务,提供了Kerberos认证服务(AS Authentication

Service)和票证授予服务(TGT,Ticket-Granting Service)
可执行文件: winnt\system32\lsass.exe
风险: 没有已知风险
建议: Kerberos Key Distribution Center服务和位于某个域控制器是

的Active Directory一起工作的,而且不能被停止,除了在域控制器上,该

服务不应该在其他计算机上运行.

Server
服务方向: 该服务提供RPC支持以及文件,打印和命名管道共享,Server服

务是作为文件系统驱动器来实现的,可以处理I/O请求.
可执行文件: winnt\system32\services.exe
风险: 如果没有提供适当地用户保护,会暴露系统文件和打印机资源
建议: 除非你打算在windows网络上共享文件或打印机,否则不需要运行

该服务. (附言: 对以2000而言,这个是一个高风险服务,2000的用户多知

道默认共享吧,就是该服务的问题,如果不禁止,每次注销或开机,默认共

享就会打开,你的所以重要信息都将暴露.例如winnt文件夹.大家都应该

知道他对于2000的重要.除非你的密码够安全,否则这个共享将是你机子

的死穴!!!!)

Workstation
服务方向: 该服务提供网络连接和通信,该服务以一个文件系统驱动器的

形式工作,并且可以允许用户访问位于windows网络上的资源.
可执行文件: winnt\system32\services.exe
风险: 一些独立服务器,例如web服务器,不应当参与到某个windows网络


建议: 该服务应当只在位于某个内部网络,并受到某个防火墙保护的工作

站和服务器上运行,在任何可以连接到Internet的服务器上都应该禁用这

个服务.

TCP/IP打印服务器
服务方向:

该服务允许远程UNIX用户通过使用TCP/IP协议来访问由某个windows2000

服务器所管理的打印机.
可执行文件: winnt\system32\tcpsvcs.exe
风险: 具有一些安全性弱点,并打开一个监听端口
建议: 该服务具有一些安全性弱点,因为打开了一个到internet的端口,

因此,除非网络通过防火墙与Internet隔离开.否则不要使用该服务.

License Logging
服务方向: 该服务负责管理某个站点的许可协议信息.
可执行文件: winnt\system32\llssrv.exe
风险: 没有已知风险
建议: 除了在域控制器上,其他计算机不应当使用该服务.

TCP/IP NETBIOS Helper
服务方向: 该服务允许在TCP/IP网络上进行NETBIOS通信.
可执行文件: winnt\system32\services.exe
风险: 暴露出系统中的netBIOS安全性弱点,例如NTLM认证
建议: 除非你需要和一个旧版本的windows保持兼容,否则应当禁止该服

务.

Messenger
服务方向: Messenger服务负责发送和接收由管理员或Alerter服务所传

递的消息.
可执行文件: winnt\system32\services.exe
风险: 没有已知风险
建议: 该服务不需要而且应当被禁用.

NetMeeting Remote Desktop Sharing
服务方向:

该服务允许授权用户通过使用NetMeeting来远程访问你的Windows桌面.
可执行文件: winnt\system32\mnmsrvc.exe
风险: 是一个具有潜在不安全性的服务
建议: 该服务应当被禁止.因为它是会导致潜在地安全性弱点的.你可以

使用Terminal服务来代替该服务用于远程桌面访问.

Distributed Transaction Coordinator
服务方向: 微软的Distributed Transaction Coordinator服务(MS DTC)

可以借助OLE Transactions协议来提供一个事务(Transaction)协调工具

,可以协调分布于两个和多个数据库,消息队列文件系统和其他事务保护(

trasaction protected)资源管理器的事务.
可执行文件: winnt\system32\msdtc.exe
风险: 没有已知风险
建议: 无需禁止

FTP Publishing
服务方向:

文件传输协议不是一种安全的协议,如果不进行适当地保护,FTP

Publishing服务将大来很多的安全性风险.
可执行文件: winnt\system32\inetsrv\inetinfo.exe
风险: 微软的FTP Server没有已知风险.但一般而言,FTP是已知不安全的

服务.
建议: 除非你需要通过FTP来提供文件共享,否则该服务应当被禁止.如果

需要,请谨慎地对其进行保护和监视.

Windows Installer
服务方向: 负责管理软件的安装,改服务对于安装和修复软件应用程序时

很有用的.
可执行文件: winnt\system32\msiexec.exe/V
风险:无已知风险
建议: 保留

Network DDE
服务方向: 该服务提供动态数据交换(DDE,Dynamic Data Exhange)数据

流传输和安全性.
可执行文件: winnt\system32\netdde.exe
风险: 通过网络接受DDE请求
建议: 对于大多数应用程序而言,Network DDE是不需要的,你应当将它设

置为手工启动.

Network DDE DSDM
服务方向: 该服务保存一个共享对话(shared conversation)
数据库,这样当某个Network DDE共享被访问时,共享会话将被应用,并且

安全性检测系统将确定请求这是否被允许访问.
可执行文件: winnt\system32\netdde.exe
风险: 没有已知风险
建议: 该服务应当设置为手工启动

Net Logon
服务方向:

支持为域中计算机进行的帐号登录事件的传递认证(pass-through

authentication).
可执行文件: winnt\system32\lsass.exe
风险: 可以用于对强力密码攻击进行传递
建议: 该服务不应当在那些不作为域中一部分的独立服务器上使用.禁止

.

Network Connections
服务方向: 该服务负责管理Network and Dial-Up Connections文件夹中

的对象,该文件夹中你可以看到局域网和远程连接.
可执行文件: winnt\system32\svchost.exe -k netsvcs
风险: 没有已知风险
建议: 由于该服务在需要时将自己启动,因此可以设置为手动启动.

Network News Transport Protocol(NNTP)
服务方向: 用于提供一个新闻服务器服务,例如USENET.
可执行文件: winntsystem32\inetsrv\inetinfo.exe
风险: 没有已知风险
建议: NNTP服务器应当安装在一个DMZ网络中,而且应当像其他网络服务,

例如FTP,Nail和Web服务那样来对待.不建议在私有网络上配置NNTP服务

器,任何位于某个内部网络上的服务器应当卸载或禁用NNTP服务.

File Replication
服务方向: file replication服务(FRS)可以跨域中的服务器来进行文件

,系统策略和登录脚本的复制,该服务还可以用于为分布式文件系统(DFS,

Distributed File System)复制数据.
可执行文件: winnt\system32\ntfrs.exe
风险:没有已知风险
建议:它在多个服务之间维护文件目录内容的文件同步,保持原状.

NTLM Security Support Provider
服务方向: 该服务委远程过程调用(RPC.Remote Procedure Call)程序提

供安全性,这些程序使用除命名管道之外的传输方式.该服务仅当client

for microsoft安装后才在服务列表中出现.
可执行文件: winnt\system32\lsass.exe
风险: 无已知风险
建议: 既然是安装后才有.当然无需去管,只有你没有安装client for

microsoft.

Removable Storage
服务方向: 该服务负责管理可移动媒质,磁盘和库.
可执行文件 : winnt\system32\svchost.exe -k netsvcs
风险: 没有已知风险
建议: 你可以在需要时启动该服务.

Plug-and-Play
服务方向: 该服务负责管理设备安装和配置,并向程序通告设备所出现的

变化.
可执行文件: winnt\system32\services.exe
风险: 无已知风险
建议: 在没有这个服务的情况下启动系统是可能的,但时间较长,而且一

些服务也无法运行了(如RAS),所以服务可能最好是设置为自动启动.

IPSEC Policy Agent
服务方向: 该服务负责管理IP安全并启动ISAKMP/Oakley(IKE)和IP安全

性驱动程序.
可执行文件: winnt\system32\lsass.exe
风险: 无已知风险
建议: 这个服务请保留吧.

Protected Storage
服务方向: 该服务可以为敏感数据(例如私钥)提供受保护的储存来防止

它们被未授权的服务,进程或用户访问.
可执行文件: winnt\system32\services.exe
风险: 没有已知风险
建议: 这个就不必问了,它对系统来说是必须的.

Remote Access Auto Connection Manager
服务方向: 当用户请求访问某个远程网络地址时,该服务将自动拨号网络

连接.
可执行文件: winnt\system32\svchost.exe -k netsvcs
风险: 没有已知风险
建议: 该服务仅在你使用拨号网络连接时才需要,如果你不是通过拨号上

网的,当然也就不需要了.

Remote Access Connection Manager
服务方向: 该服务管理拨号网络连接
可执行文件: winnt\system32\svchost.exe -k netsvcs
风险: 没有已知风险
建议: 只有服务器需要支持Routing and Remote Access Service(RRAS)

时才需要运行该服务,所以你可以禁止.

Routing and Remote Access
服务方向: 该服务在局域网和广域网环境中提供路由服务.该服务仅用于

远程访问点.
可执行文件: winnt\system32\svchost.exe -k netsvcs
风险: 如果配置不当,该服务将会使非法用户在未授权的情况下访问网络
建议: 该服务是不能关闭的,那只好好好配置咯.

Remote Registry
服务方向: 使得经过授权的管理员能够对位于远程主机上的注册表项目

进行操作,对于一些功能,例如远程性能监视,是需要Remote Registry
服务才能工作的.
可执行文件: winnt\system32\regsvc.exe
风险: 如果没有得到适当的配置,会潜在地将注册表暴露
建议: 风险是明显的了,所以啊,不是特别需要,还是禁止吧.

Remote Procedure Call(RPC) Locator
服务方向: 该服务可以使那些支持RPC的应用程序注册资源可用性,并使

客户能够找到兼容的RPC服务器.
可执行文件: winnt\system32\svchost -k rpcss
风险: 无已知风险
建议: 该服务应当仅在某个域控制器上运行

Remote Procedure Call(RPC)
服务方向: 该服务调用位于远程计算机上的可用服务,并用于远程计算机

管理.
可执行文件: winnt\system32\svchost -k rpcss
风险: 会暴露系统信息
建议: 虽然会暴露信息,不过没办法拉,谁叫他是任何Windows2000系统上

都需要的?

QoS Admission Control
服务方向: 该服务提供带宽管理控制来保证到网络服务的访问.
可执行文件: winnt\system32\rsvp.exe -s
风险: 无已知风险
建议: 如果你使用Windows QoS功能的话,就应当启用它,不要就禁了吧.

Secrity Accounts Manager
服务方向: Secrity Accounts Manager(SAM)服务保存了本地用户帐号的

安全性信息以用于认证.
可执行文件: winnt\system32\lsass.exe
风险: 虽然有一些方法可以获得SAM数据,但是SAM服务本身并不会带来安

全性风险.
建议: 这可是个必须的服务

Task Scheduler
服务方向: 该服务将某个程序调度到在指定的时间运行.对于NT4,只有管

理员可以调度任务,而且所以任务都是作为SYSTEM运行的,对于2000,则任

何用户都可以调度某一个任务,而且该任务仅在用户各自的用户环境下运

行.
可执行文件: winnt\system32\MSTask.exe
风险: 入侵者可以在此替你运行他种下的木马服务端喔
建议: 除非你需要对某个任务作业进行调度,否则该服务应当被禁止.

RunAs
服务方向: 该服务使得进程可以在另外的用户凭证下启动,这是微软针对

特洛伊木马程序的一种应对手段.使用RunAs,你可以在作为一个非特权用

户而登录的同时以管理员权限运行某个进程.
可执行文件: winnt\system32\services.exe
风险: 没有已知风险
建议: 该服务应当启动

System Event Notification
服务方向: 该服务跟踪系统事件.
可执行文件: winnt\system32\svchost.exe -k netsvcs
风险: 没有已知风险
建议: 该服务记录windows登录,网络和电源事件,建议服务启用.

Internet Connection Sharing
服务方向: 将某计算机的Internet联机与其他一些计算机进行共享.
可执行文件: winnt\system32\svchost.exe -k netsvcs
风险: 没有已知风险
建议: 该服务应当禁止,因为它可以使得用户使用一个未经授权的连接,

绕过公司网络中的代理和监视服务.

Simple TCP/IP
服务方向:

这个服务是作为基本的TCP/IP服务而运行,打开了TCP端口7,9,13,17,19.
可执行文件: winnt\system32\tcpsvcs.exe
风险: 在各种TCP端口上运行了一些不安全的服务
建议: 虽然有危险,还是运行吧.

Simple Mail Transport Protocol(SMTP)
服务方向: 提供外发的Internet邮件服务.
可执行文件: winnt\system32\inetsrv\inetinfo.exe
风险: 可以实现电子邮件的欺骗和中继
建议: 该服务很有用,应当被限制为只能从本地主机或网络上才能访问她

.

SNMP
服务方向: 可以监视网络设备活动的代理,并将这些监视信息报告给网络

控制台工作站
可执行文件: winnt\system32\snmp.exe
风险: 在默认情况下,被设置为使用Public作为其社区字符串.他会暴露

有关windows2000服务器的敏感信息.
建议: 在内部网上用它才好.

SNMP Trap
服务方向: 接受从其他SNMP代理发过来的SNMP信息
可执行文件: winnt\system32\snmptrap.exe
风险: 没有已知风险
建议: 在内部网使用吧,其他就不要了.

Print Spooler
服务方向: 该服务用于假脱机打印作业,使得应用程序打印文件时不必等

待.
可执行文件: winnt\system32\spoolsv.exe
风险: 没有已知风险
建议: 除非你要处理打印队列,否则应当禁止该服务.

Performance Logs and Alerts
服务方向: 处理性能日志和警报,对系统和网络监视而言都是有用的.
可执行文件: winnt\system32\smlogsvc.exe
风险: 没有已知风险
建议: 当然是启用啊

Telephony
服务方向: 提供电话和基于IP地语音连接.
可执行文件: winnt\system32\svchost.exe -k tapisrv
风险: 没有已知风险
建议: 除非你打算在局域网上使用这种功能,否则应当禁止该服务.

Terminal
服务方向: 可以提供通过TCP/IP连接的远程桌面访问
可执行文件: winnt\system32\termsrv.exe
风险: 可以导致潜在的非法访问远程桌面以及强力攻击.
建议: 你应当通过IP地址的限制来严格限制对该服务的访问.并且应该进

行密切监视.

Terminal Services Licensing
服务方向: 用于在应用程序服务模式下使用Terminal服务时管理客户的

许可协议.
可执行文件: winnt\system32\lserver.exe
风险: 没有已知风险
建议: 该服务当服务器在Application Server Mode下运行Terminal服务

时是必须得.

Trivial FTP Daemon
服务方向: 实现Trivial FTP Internet标准.
可执行文件: winnt\system32\tftpb.exe
风险: 导致潜在的未经授权的文件访问
建议: 应当应用在本地的可信任网络上.

Telnet
服务方向: 该服务允许某个远程用户登录到系统,并使用命令行来运行控

制台程序.
可执行文件: winnt\system32\tlntsvr.exe
风险:他的密码是以明文形式传输,如果MTLM认证被启用,则NTLM密码散列

也会被发现.
建议: 禁止吧

Utility Manager
服务方向: 可以启动和配置可达性工具.
可执行文件: winnt\system32\UtilMan.exe
风险: 没有已知风险
建议: 除非你需要使用可达性工具,否则应当禁止他

Windows Time
服务方向: 从一个网络时间服务器来设置系统时间.
可执行文件: winnt\system32\services.exe
风险: 没有已知风险
建议: 如果你不是2000,就禁了吧

World Wide Web Publishing
服务方向: 该服务提供Internet的匿名Web站点访问服务.
可执行文件: winnt\system32\inetsrv\inetinfo.exe
风险: 各种文件访问,远程命令执行,拒绝服务和其他风险都有
建议: 他是必须得,只有靠其他工具维护他的安全咯

Windows Management Instrumentation
服务方向: 提供系统管理信息,它基本上是一个基于WEB的企业管理兼容

工具,用于从各种来源收集并关联管理数据.
可执行文件: winnt\system32\WBEM\WinMgmt.exe
风险: 具有暴露敏感信息的潜在危险
建议: WMI是一种有用的工具,同样也可用于收集信息.如果你不是特别不

希望使用该服务,还是启用吧

Windows Internet Name Service
服务方向: 是微软用于NetBIOS网络的名称服务.
可执行文件: winnt\system32\win.exe
风险: 具有暴露敏感系统信息的潜在危险
建议: 纯粹的Windows2000网络并不依赖WINS.应当被禁用.或是只在本地

使用好了.

3.封锁端口:
此步骤也可以在IP安全策略中做,但是建议用此方法,因为其验证更牢

固。
在网卡的Internet协议——TCP/IP属性中选高级——选项---TCP/IP筛选

----属性中TCP端口只允许如下:21、25、110、80、3389、10000-10020

,注意3389是远程端口可以自己设定,21和10000-10020是FTP 的PASV端

口,具体在Serv-u里设置,25和110是邮件,80是web。IP协议只允许6,

UDP如无特殊要求,全部允许即可

4.修改权限:

步骤:
-把所有盘的Everyone权限去掉,只允许Administrator完全控制
-将系统盘WINNT/System32目录加上everyone可读取
-把系统盘WINNT/Temp目录加上everyone读取和写入修改权限(IIS数据

库用)
-把系统盘WINNT/Program Files/Common Files 目录加上everyone读取

权限
-在系统盘WINNT目录下找到以下文件:cmd.exe、net.exe、 cacls.exe

、 telnet.exe、 tftp.exe、 tftp.exe,把所有用户权限全部去掉,把

Guests组加上,设置为拒绝全部权限,还有必要把这两个也加上拒绝权

限:Web Anonymous Users 和Web Applications
-在系统盘WINNT目录下找到以下文件:format.com mountvol.exe

mshta.exe,把所有权限都去掉,只允许administrators完全控制

5.做安全策略:
建议下载IPSec.ipsec,这是一个做好的策略,封锁了大多数端口,可以

做网络防火墙用了,导入即可以,在本贴附件中。

手动封锁端口示例:
接着你要做的是右击“IP安全策略”,进入管理IP筛选器和筛选器操作

,在管理IP筛选器列表中,你可以添加要封锁的端口,这里以关闭ICMP

和139端口为例说明。

关闭了ICMP,黑客软件如果没有强制扫描功能就不能扫描到你的机器,

也Ping不到你的机器。关闭ICMP的具体操作如下:点[添加],然后在名

称中输入“关闭ICMP”,点右边的[添加],再点[下一步]。在源地址中

选“任何IP地址”,点[下一步]。在目标地址中选择“我的IP地址”,

点[下一步]。在协议中选择“ICMP”,点[下一步]。回到关闭ICMP属性

窗口,即关闭了ICMP。

下面我们再设置关闭139,同样在管理IP筛选器列表中点“添加”,名称

设置为“关闭139”,点右边的“添加”,点[下一步]。在源地址中选择

“任何IP地址”,点[下一步]。在目标地址中选择“我的IP地址”,点[

下一步]。在协议中选择“TCP”,点[下一步]。在设置IP协议端口中选

择从任意端口到此端口,在此端口中输入139,点[下一步]。即完成关闭

139端口,其他的端口也同样设置

然后进入设置管理筛选器操作,点“添加”,点[下一步],在名称中输

入“拒绝”,点[下一步]。选择“阻止”,点[下一步]。

然后关闭该属性页,右击新建的IP安全策略“安全”,打开属性页。在

规则中选择“添加”,点[下一步]。选择“此规则不指定隧道”,点[下

一步]。在选择网络类型中选择“所有网络连接”,点[下一步]。在IP筛

选器列表中选择“关闭ICMP”,点[下一步]。在筛选器操作中选择“拒

绝”,点[下一步]。这样你就将“关闭ICMP”的筛选器加入到名为“安

全”的IP安全策略中。同样的方法,你可以将“关闭139”等其他筛选器

加入进来。

最后要做的是指派该策略,只有指派后,它才起作用。方法是右击“安

全”,在菜单中选择“所有任务”,选择“指派”。IP安全设置到此结

束,你可根据自己的情况,设置相应的策略。

6.IIS配置
步骤:

--把无用映射都删除、把默认目录Inteput删除
--详细看<<构建免收FSO威胁的虚拟主机>>,本贴附件中有
--删除ASP这两个组件:WScript.Shell、Shell.application
regsvr32/u wshom.ocx
regsvr32/u wshext.dll
regsvr32 shell32.dll /u /s
cacls %systemroot%\system32\shell32.dll /e /d guests
运行完后打开注册表搜索shell.application和wscript.shell,凡是出

现的地方一律删。
注意:如果你在第四步中禁止了cacls.exe的权限,则不能使用了,建议

在配权限前把这些拷贝到别人猜不到的一个目录下自己用,只允许admin

访问:cmd.exe、net.exe、 cacls.exe等。

后记:还有一小部分琐碎的配置没详细说明,无妨大碍了
仅仅这些配置还是不够的,具体还要根据提供的服务和机器配置做更详

细的定位和策略,文章内容具体操作部分资料内容来源于网上。欢迎大家交

流和指出不足,转载请著名出处!

《构建免受FSO威胁的虚拟主机》:http://zhenhua.org/article.asp?id=203
Comments Feed Comments Feed: http://www.zhenhua.org/feed.asp?q=comment&id=205
UTF-8 Encoding Trackback URL: http://www.zhenhua.org/trackback.asp?id=205

There is no comment on this article.

If you feel this site you find this information helpful, please click on the donation, which is voluntary,Thank you.
Post Comment
Smilies
[arrow] [biggrin] [confused] [cool]
[cry] [eek] [evil] [exclaim]
[frown] [idea] [lol] [mad]
[mrgreen] [neutral] [question] [razz]
[redface] [rolleyes] [sad] [smile]
[surprised] [twisted] [wink]
Enable UBB Codes
Auto Convert URL
Show Smilies
Hidden Comment
Username:   Password:   Register Now?
Security Code * Please Enter the Security Code