策略一:關(guān)閉windows2003不必要的服務(wù)
·computer browser 維護(hù)網(wǎng)絡(luò)上計(jì)算機(jī)的最新列表以及提供這個(gè)列表
·task scheduler 允許程序在指定時(shí)間運(yùn)行
·routing and remote access 在局域網(wǎng)以及廣域網(wǎng)環(huán)境中為企業(yè)提供路由服務(wù)
·removable storage 管理可移動(dòng)媒體、驅(qū)動(dòng)程序和庫
·remote registry service 允許遠(yuǎn)程注冊(cè)表操作
·print spooler 將文件加載到內(nèi)存中以便以后打印。
·ipsec policy agent 管理ip安全策略及啟動(dòng)isakmp/oakleyike)和ip安全驅(qū)動(dòng)程序
·distributed link tracking client 當(dāng)文件在網(wǎng)絡(luò)域的ntfs卷中移動(dòng)時(shí)發(fā)送通知
·com+ event system 提供事件的自動(dòng)發(fā)布到訂閱com組件
·alerter 通知選定的用戶和計(jì)算機(jī)管理警報(bào)
·error reporting service 收集、存儲(chǔ)和向 microsoft 報(bào)告異常應(yīng)用程序
·messenger 傳輸客戶端和服務(wù)器之間的 net send 和 警報(bào)器服務(wù)消息
·telnet 允許遠(yuǎn)程用戶登錄到此計(jì)算機(jī)并運(yùn)行程序
策略二:磁盤權(quán)限設(shè)置
c盤只給administrators和system權(quán)限,其他的權(quán)限不給,其他的盤也可以這樣設(shè)置,這里給的system權(quán)限也不一定需要給,只是由于某些第三方應(yīng)用程序是以服務(wù)形式啟動(dòng)的,需要加上這個(gè)用戶,否則造成啟動(dòng)不了。
windows目錄要加上給users的默認(rèn)權(quán)限,否則asp和aspx等應(yīng)用程序就無法運(yùn)行。
策略三:禁止 windows 系統(tǒng)進(jìn)行空連接
在注冊(cè)表中找到相應(yīng)的鍵值hkey_local_machine/system/currentcontrolset/control/lsa,將dword值restrictanonymous的鍵值改為1
策略四:關(guān)閉不需要的端口
本地連接--屬性--internet協(xié)議(tcp/ip)--高級(jí)--選項(xiàng)--tcp/ip篩選--屬性--把勾打上,然后添加你需要的端口即可。(如:3389、21、1433、3306、80)
更改遠(yuǎn)程連接端口方法
開始-->運(yùn)行-->輸入regedit
查找3389:
請(qǐng)按以下步驟查找:
1、hkey_local_machine\system\currentcontrolset\control\terminal server\wds\rdpwd\tds\tcp下的portnumber=3389改為自寶義的端口號(hào)
2、hkey_local_machine\system\currentcontrolset\control\terminal server\winstations\rdp-tcp下的portnumber=3389改為自寶義的端口號(hào)
修改3389為你想要的數(shù)字(在十進(jìn)制下)----再點(diǎn)16進(jìn)制(系統(tǒng)會(huì)自動(dòng)轉(zhuǎn)換)----最后確定!這樣就ok了。
這樣3389端口已經(jīng)修改了,但還要重新啟動(dòng)主機(jī),這樣3389端口才算修改成功!如果不重新啟動(dòng)3389還
是修改不了的!重起后下次就可以用新端口進(jìn)入了!
禁用tcp/ip上的netbios
本地連接--屬性--internet協(xié)議(tcp/ip)--高級(jí)—wins--禁用tcp/ip上的netbios
策略五:關(guān)閉默認(rèn)共享的空連接
首先編寫如下內(nèi)容的批處理文件:
@echo off
net share c$ /delete
net share d$ /delete
net share e$ /delete
net share f$ /delete
net share admin$ /delete
以上文件的內(nèi)容用戶可以根據(jù)自己需要進(jìn)行修改。保存為delshare.bat,存放到系統(tǒng)所在文件夾下的system32\grouppolicy\user\scripts\logon目錄下。然后在開始菜單→運(yùn)行中輸入gpedit.msc,
回車即可打開組策略編輯器。點(diǎn)擊用戶配置→windows設(shè)置→腳本(登錄/注銷)→登錄.
在出現(xiàn)的“登錄 屬性”窗口中單擊“添加”,會(huì)出現(xiàn)“添加腳本”對(duì)話框,在該窗口的“腳本名”欄中輸入delshare.bat,然后單擊“確定”按鈕即可。
重新啟動(dòng)計(jì)算機(jī)系統(tǒng),就可以自動(dòng)將系統(tǒng)所有的隱藏共享文件夾全部取消了,這樣就能將系統(tǒng)安全隱患降低到最低限度。
策略五:iis安全設(shè)置
1、不使用默認(rèn)的web站點(diǎn),如果使用也要將iis目錄與系統(tǒng)磁盤分開。
2、刪除iis默認(rèn)創(chuàng)建的inetpub目錄(在安裝系統(tǒng)的盤上)。
3、刪除系統(tǒng)盤下的虛擬目錄,如:_vti_bin、iissamples、scripts、iishelp、iisadmin、iishelp、msadc。
4、刪除不必要的iis擴(kuò)展名映射。
右鍵單擊“默認(rèn)web站點(diǎn)→屬性→主目錄→配置”,打開應(yīng)用程序窗口,去掉不必要的應(yīng)用程序映射。主要為.shtml、shtm、stm。
5、更改iis日志的路徑
右鍵單擊“默認(rèn)web站點(diǎn)→屬性-網(wǎng)站-在啟用日志記錄下點(diǎn)擊屬性
策略六:注冊(cè)表相關(guān)安全設(shè)置
1、隱藏重要文件/目錄
hkey_local_machine\software\microsoft\windows\current-version\explorer\advanced\folder\hidden\showall”
鼠標(biāo)右擊 “checkedvalue”,選擇修改,把數(shù)值由1改為0。
2、防止syn洪水攻擊
hkey_local_machine\system\currentcontrolset\services\tcpip\parameters
新建dword值,名為synattackprotect,值為2
3、禁止響應(yīng)icmp路由通告報(bào)文
hkey_local_machine\system \ currentcontrolset\ services\tcpip\parameters\interfaces\interface
新建dword值,名為performrouterdiscovery 值為0。
4、防止icmp重定向報(bào)文的攻擊
hkey_local_machine\system\currentcontrolset\services\tcpip\parameters
將enableicmpredirects 值設(shè)為0
5、不支持igmp協(xié)議
hkey_local_machine\system\currentcontrolset\services\tcpip\parameters
新建dword值,名為igmplevel 值為0。
策略七:組件安全設(shè)置篇
a、 卸載wscript.shell 和 shell.application 組件,將下面的代碼保存為一個(gè).bat文件執(zhí)行(分2000和2003系統(tǒng))
windows2000.bat
regsvr32/u c:\winnt\system32\wshom.ocx
del c:\winnt\system32\wshom.ocx
regsvr32/u c:\winnt\system32\shell32.dll
del c:\winnt\system32\shell32.dll
windows2003.bat
regsvr32/u c:\windows\system32\wshom.ocx
del c:\windows\system32\wshom.ocx
regsvr32/u c:\windows\system32\shell32.dll
del c:\windows\system32\shell32.dll
b、改名不安全組件,需要注意的是組件的名稱和clsid都要改,并且要改徹底了,不要照抄,要自己改
【開始→運(yùn)行→regedit→回車】打開注冊(cè)表編輯器
然后【編輯→查找→填寫shell.application→查找下一個(gè)】
用這個(gè)方法能找到兩個(gè)注冊(cè)表項(xiàng):
{13709620-c279-11ce-a49e-444553540000} 和 shell.application 。
第一步:為了確保萬無一失,把這兩個(gè)注冊(cè)表項(xiàng)導(dǎo)出來,保存為xxxx.reg 文件。
第二步:比如我們想做這樣的更改
13709620-c279-11ce-a49e-444553540000 改名為 13709620-c279-11ce-a49e-444553540001
shell.application 改名為 shell.application_nohack
第三步:那么,就把剛才導(dǎo)出的.reg文件里的內(nèi)容按上面的對(duì)應(yīng)關(guān)系替換掉,然后把修改好的.reg文件導(dǎo)入到注冊(cè)表中(雙擊即可),導(dǎo)入了改名后的注冊(cè)表項(xiàng)之后,別忘記了刪除原有的那兩個(gè)項(xiàng)目。這里需要注意一點(diǎn),clsid中只能是十個(gè)數(shù)字和abcdef六個(gè)字母。
其實(shí),只要把對(duì)應(yīng)注冊(cè)表項(xiàng)導(dǎo)出來備份,然后直接改鍵名就可以了,
改好的例子
建議自己改
應(yīng)該可一次成功
windows registry editor version 5.00
[hkey_classes_root\clsid\{13709620-c279-11ce-a49e-444553540001}]
@="shell automation service"
[hkey_classes_root\clsid\{13709620-c279-11ce-a49e-444553540001}\inprocserver32]
@="c:\\winnt\\system32\\shell32.dll"
"threadingmodel"="apartment"
[hkey_classes_root\clsid\{13709620-c279-11ce-a49e-444553540001}\progid]
@="shell.application_nohack.1"
[hkey_classes_root\clsid\{13709620-c279-11ce-a49e-444553540001}\typelib]
@="{50a7e9b0-70ef-11d1-b75a-00a0c90564fe}"
[hkey_classes_root\clsid\{13709620-c279-11ce-a49e-444553540001}\version]
@="1.1"
[hkey_classes_root\clsid\{13709620-c279-11ce-a49e-444553540001}\versionindependentprogid]
@="shell.application_nohack"
[hkey_classes_root\shell.application_nohack]
@="shell automation service"
[hkey_classes_root\shell.application_nohack\clsid]
@="{13709620-c279-11ce-a49e-444553540001}"
[hkey_classes_root\shell.application_nohack\curver]
@="shell.application_nohack.1"
評(píng)論:
wscript.shell 和 shell.application 組件是 腳本入侵過程中,提升權(quán)限的重要環(huán)節(jié),這兩個(gè)組件的卸載和修改對(duì)應(yīng)注冊(cè)鍵名,可以很大程度的提高虛擬主機(jī)的腳本安全性能,一般來說,asp和php類腳本提升權(quán)限的功能是無法實(shí)現(xiàn)了,再加上一些系統(tǒng)服務(wù)、硬盤訪問權(quán)限、端口過濾、本地安全策略的設(shè)置,虛擬主機(jī)因該說,安全性能有非常大的提高,黑客入侵的可能性是非常低了。注銷了shell組件之后,侵入者運(yùn)行提升工具的可能性就很小了,但是prel等別的腳本語言也有shell能力,為防萬一,還是設(shè)置一下為好。下面是另外一種設(shè)置,大同小異。
c、禁止使用filesystemobject組件
filesystemobject可以對(duì)文件進(jìn)行常規(guī)操作,可以通過修改注冊(cè)表,將此組件改名,來防止此類木馬的危害。
hkey_classes_root\scripting.filesystemobject\
改名為其它的名字,如:改為 filesystemobject_changename
自己以后調(diào)用的時(shí)候使用這個(gè)就可以正常調(diào)用此組件了
也要將clsid值也改一下
hkey_classes_root\scripting.filesystemobject\clsid\項(xiàng)目的值
也可以將其刪除,來防止此類木馬的危害。
2000注銷此組件命令:regsrv32 /u c:\winnt\system\scrrun.dll
2003注銷此組件命令:regsrv32 /u c:\windows\system\scrrun.dll
如何禁止guest用戶使用scrrun.dll來防止調(diào)用此組件?
使用這個(gè)命令:cacls c:\winnt\system32\scrrun.dll /e /d guests
d、禁止使用wscript.shell組件
wscript.shell可以調(diào)用系統(tǒng)內(nèi)核運(yùn)行dos基本命令
可以通過修改注冊(cè)表,將此組件改名,來防止此類木馬的危害。
hkey_classes_root\wscript.shell\及hkey_classes_root\wscript.shell.1\
改名為其它的名字,如:改為wscript.shell_changename 或 wscript.shell.1_changename
自己以后調(diào)用的時(shí)候使用這個(gè)就可以正常調(diào)用此組件了
也要將clsid值也改一下
hkey_classes_root\wscript.shell\clsid\項(xiàng)目的值
hkey_classes_root\wscript.shell.1\clsid\項(xiàng)目的值
也可以將其刪除,來防止此類木馬的危害。
e、禁止使用shell.application組件
shell.application可以調(diào)用系統(tǒng)內(nèi)核運(yùn)行dos基本命令
可以通過修改注冊(cè)表,將此組件改名,來防止此類木馬的危害。
hkey_classes_root\shell.application\及
hkey_classes_root\shell.application.1\
改名為其它的名字,如:改為shell.application_changename 或 shell.application.1_changename
自己以后調(diào)用的時(shí)候使用這個(gè)就可以正常調(diào)用此組件了
也要將clsid值也改一下
hkey_classes_root\shell.application\clsid\項(xiàng)目的值
hkey_classes_root\shell.application\clsid\項(xiàng)目的值
也可以將其刪除,來防止此類木馬的危害。
禁止guest用戶使用shell32.dll來防止調(diào)用此組件。
2000使用命令:cacls c:\winnt\system32\shell32.dll /e /d guests
2003使用命令:cacls c:\windows\system32\shell32.dll /e /d guests
注:操作均需要重新啟動(dòng)web服務(wù)后才會(huì)生效。
f、調(diào)用cmd.exe
禁用guests組用戶調(diào)用cmd.exe
2000使用命令:cacls c:\winnt\system32\cmd.exe /e /d guests
2003使用命令:cacls c:\windows\system32\cmd.exe /e /d guests
通過以上四步的設(shè)置基本可以防范目前比較流行的幾種木馬,但最有效的辦法還是通過綜合安全設(shè)置,將服務(wù)器、程序安全都達(dá)到一定標(biāo)準(zhǔn),才可能將安全等級(jí)設(shè)置較高,防范更多非法入侵。
聯(lián)系客服