1、系统更新到最新补丁
2、更改远程端口,端口越后面越好
3、优化一些服务,把不需要的停掉
4.删除"网络连接"里的协议和服务 在"网络连接"里,把不需要的协议和服务都不选,这里选择安装了基本的Internet协议(TCP/IP),同时在高级tcp/ip设置里--"NetBIOS"设置"禁用tcp/IP上的NetBIOS(S)"。5.删除Windows Server 2003默认共享
首先编写如下内容的批处理文件(根据系统几个盘来设置,现在是2个盘的设置 ): @echo off net share C$ /del net share D$ /del net share admin$ /del 文件名为delshare.bat: 单击“开始→运行”,输入“gpedit.msc”后回车,打开组策略编辑器。依次展开“用户配置→Windows 设置→脚本(登录/注销)”,双击登录项,然后添加“delshare.bat”(参数不需要添加),从而删除Windows 2003默认的共享。
接下来再禁用IPC连接:打开注册表编辑器,依次展开[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa ]分支,在右侧窗口中找到“restrictanonymous”子键,将其值改为“1”即可。----(按照下注册服务器)
6、关闭自动播放功能 自动播放功能不仅对光驱起作用,而且对其它驱动器也起作用,这样很容易被***利用来执行***程序。 打开组策略编辑器,依次展开“计算机配置→管理模板→系统”,在右侧窗口中找到“关闭自动播放”选项并双击,在打开的对话框中选择“已启用”,然后在“关闭自动播放”后面的下拉菜单中选择“所有驱动器”,按“确定”即可生效。 5.磁盘权限 系统所在分区下的根目录都要设置为不继承父权限,之后为该分区只赋予Administrators和SYSTEM有完全控制权。 系统盘只给 Administrators 和 SYSTEM 权限 系统盘\Documents and Settings 目录只给 Administrators 和 SYSTEM 权限; 系统盘\Documents and Settings\All Users 目录只给 Administrators 和 SYSTEM,文件名Administrator再加一个iisuser权限; 系统盘\Documents and Settings\All Users\Application Data目录只给 Administrators 和 SYSTEM 权限; 系统盘\Documents and Settings\其下的子目录同样。另外还有一个隐藏目录也需要同样操作。因为如果你安装有PCAnyWhere那么他的的配置信息都保存在其下,使用webshell或FSO可以轻松的调取这个配置文件。 系统盘\Windows 目录只给 Administrators 、 SYSTEM 和 users 权限; 系统盘Windows\System32 net.exe;cmd.exe;ftp.exe;netstat.exe;regedt32.exe;register.exe;at.exe;attrib.exe;cacls.exe;format.com; regsvr32.exe;xcopy.exe;wscript.exe;cscript.exe;ftp.exe;telnet.exe;arp.exe;edlin.exe;ping.exe;route.exe;finger.exe;rsh.exe;runonce.exe;syskey.exe;scrrun.dll 删除所有的用户只保存Administrators 和SYSTEM为所有权限;或system都不留其它盘D\E盘,有安装程序运行的(我的sql server 2000 在D盘)给 Administrators 和 SYSTEM 权限,不能只给 Administrators 权限。
审核MetBase.bin,C:\WINNT\system32\inetsrv目录只有administrator只允许Administrator用户读写。 7.本地安全策略设置 开始菜单—>管理工具—>本地安全策略 A、本地策略——>审核策略 (可选用) 审核策略更改 成功 失败 审核登录事件 成功 失败 审核对象访问 失败 审核过程跟踪 无审核 审核目录服务访问 失败 审核特权使用 失败 审核系统事件 成功 失败 审核账户登录事件 成功 失败 审核账户管理 成功 失败B、本地策略——>用户权限分配
关闭系统:只有Administrators组、其它全部删除。 通过终端服务拒绝登陆:加入Guests组 通过终端服务允许登陆:只加入Administrators组,其他全部删除C、本地策略——>安全选项
交互式登陆:不显示上次的用户名 启用 网络访问:可匿名访问的共享 全部删除 网络访问:可匿名访问的命名管道 全部删除 网络访问:可远程访问的注册表路径 全部删除 网络访问:可远程访问的注册表路径和子路径 全部删除 清除虚拟内存页面文件 更改为"已启用" 不需要按CTRL+ALT+DEL 更改为"已启用" 不允许 SAM 账户的匿名枚举 更改为"已启用" 不允许 SAM 账户和共享的匿名枚举 更改为"已启用"D.本地账户策略:
在账户策略->密码策略中设定: 密码复杂性要求启用 密码长度最小值 6位 强制密码历史 5次 最长存留期 30天 在账户策略->账户锁定策略中设定: 账户锁定 3次错误登录 锁定时间 20分钟 复位锁定计数 20分钟E.组策略编辑器
运行 gpedit.msc 计算机配置 > 管理模板 > 系统 显示“关闭事件跟踪程序” 更改为已禁用F.删除不安全组件
WScript.Shell 、Shell.application 这两个组件一般一些ASP***或一些恶意程序都会使用到。 方案一: regsvr32 /u wshom.ocx 卸载WScript.Shell 组件 regsvr32 /u shell32.dll 卸载Shell.application 组件 如果按照上面讲到的设置,可不必删除这两个文件 八、修改远程端口 开始-->运行-->输入regedit 查找3389: 请按以下步骤查找: 1、hkey_local_machine/system/currentcontrolset/control/terminal server/wds/rdpwd/tds/tcp下的portnumber=3389改为自宝义的端口号 2、hkey_local_machine/system/currentcontrolset/control/terminal server/winstations/rdp-tcp下的portnumber=3389改为自宝义的端口号 修改3389为你想要的数字(在十进制下)----再点16进制(系统会自动转换)----最后确定!这样就ok了。 这样3389端口已经修改了,但还要重新启动主机,这样3389端口才算修改成功!如果不重新启动3389还是修改不了的!重起后下次就可以用新端口进入了!九、Sql2000安全
Sql查询分析器 use master EXEC sp_dropextendedproc 'xp_cmdshell' EXEC sp_dropextendedproc 'Sp_OACreate' EXEC sp_dropextendedproc 'Sp_OADestroy' EXEC sp_dropextendedproc 'Sp_OAGetErrorInfo' EXEC sp_dropextendedproc 'Sp_OAGetProperty' EXEC sp_dropextendedproc 'Sp_OAMethod' EXEC sp_dropextendedproc 'Sp_OASetProperty' EXEC sp_dropextendedproc 'Sp_OAStop' EXEC sp_dropextendedproc 'Xp_regaddmultistring' EXEC sp_dropextendedproc 'Xp_regdeletekey' EXEC sp_dropextendedproc 'Xp_regdeletevalue' EXEC sp_dropextendedproc 'Xp_regenumvalues' EXEC sp_dropextendedproc 'Xp_regread' EXEC sp_dropextendedproc 'Xp_regremovemultistring' EXEC sp_dropextendedproc 'Xp_regwrite' drop procedure sp_makewebtask