1、系統更新到最新補丁
2、更改遠程端口,端口越後面越好
3、優化一些服務,把不需要的停掉
4.刪除"網絡連接"裏的協議和服務
在"網絡連接"裏,把不需要的協議和服務都不選,這裏選擇安裝了基本的Internet協議(TCP/IP),同時在高級tcp/ip設置裏--"NetBIOS"設置"禁用tcp/IP上的NetBIOS(S)"。
5.刪除Windows Server 2003默認共享
首先編寫如下內容的批處理文件(根據系統幾個盤來設置,現在是2個盤的設置 ):
@echo off
net share C$ /del
net share D$ /del
net share admin$ /del
文件名爲delshare.bat:
單擊“開始→運行”,輸入“gpedit.msc”後回車,打開組策略編輯器。依次展開“用戶配置→Windows 設置→腳本(登錄/註銷)”,雙擊登錄項,然後添加“delshare.bat”(參數不需要添加),從而刪除Windows 2003默認的共享。
接下來再禁用IPC連接:打開註冊表編輯器,依次展開[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa ]分支,在右側窗口中找到“restrictanonymous”子鍵,將其值改爲“1”即可。----(按照下注冊服務器)
6、關閉自動播放功能
自動播放功能不僅對光驅起作用,而且對其它驅動器也起作用,這樣很容易被***利用來執行***程序。
打開組策略編輯器,依次展開“計算機配置→管理模板→系統”,在右側窗口中找到“關閉自動播放”選項並雙擊,在打開的對話框中選擇“已啓用”,然後在“關閉自動播放”後面的下拉菜單中選擇“所有驅動器”,按“確定”即可生效。
5.磁盤權限
系統所在分區下的根目錄都要設置爲不繼承父權限,之後爲該分區只賦予Administrators和SYSTEM有完全控制權。
系統盤只給 Administrators 和 SYSTEM 權限
系統盤\Documents and Settings 目錄只給 Administrators 和 SYSTEM 權限;
系統盤\Documents and Settings\All Users 目錄只給 Administrators 和 SYSTEM,文件名Administrator再加一個iisuser權限;
系統盤\Documents and Settings\All Users\Application Data目錄只給 Administrators 和 SYSTEM 權限;
系統盤\Documents and Settings\其下的子目錄同樣。另外還有一個隱藏目錄也需要同樣操作。因爲如果你安裝有PCAnyWhere那麼他的的配置信息都保存在其下,使用webshell或FSO可以輕鬆的調取這個配置文件。
系統盤\Windows 目錄只給 Administrators 、 SYSTEM 和 users 權限;
系統盤Windows\System32
net.exe;cmd.exe;ftp.exe;netstat.exe;regedt32.exe;register.exe;at.exe;attrib.exe;cacls.exe;format.com;
regsvr32.exe;xcopy.exe;wscript.exe;cscript.exe;ftp.exe;telnet.exe;arp.exe;edlin.exe;ping.exe;route.exe;finger.exe;rsh.exe;runonce.exe;syskey.exe;scrrun.dll
刪除所有的用戶只保存Administrators 和SYSTEM爲所有權限;或system都不留
其它盤D\E盤,有安裝程序運行的(我的sql server 2000 在D盤)給 Administrators 和 SYSTEM 權限,不能只給 Administrators 權限。
審覈MetBase.bin,C:\WINNT\system32\inetsrv目錄只有administrator只允許Administrator用戶讀寫。
7.本地安全策略設置
開始菜單—>管理工具—>本地安全策略
A、本地策略——>審覈策略 (可選用)
審覈策略更改 成功 失敗
審覈登錄事件 成功 失敗
審覈對象訪問 失敗
審覈過程跟蹤 無審覈
審覈目錄服務訪問 失敗
審覈特權使用 失敗
審覈系統事件 成功 失敗
審覈賬戶登錄事件 成功 失敗
審覈賬戶管理 成功 失敗
B、本地策略——>用戶權限分配
關閉系統:只有Administrators組、其它全部刪除。
通過終端服務拒絕登陸:加入Guests組
通過終端服務允許登陸:只加入Administrators組,其他全部刪除
C、本地策略——>安全選項
交互式登陸:不顯示上次的用戶名 啓用
網絡訪問:可匿名訪問的共享 全部刪除
網絡訪問:可匿名訪問的命名管道 全部刪除
網絡訪問:可遠程訪問的註冊表路徑 全部刪除
網絡訪問:可遠程訪問的註冊表路徑和子路徑 全部刪除
清除虛擬內存頁面文件 更改爲"已啓用"
不需要按CTRL+ALT+DEL 更改爲"已啓用"
不允許 SAM 賬戶的匿名枚舉 更改爲"已啓用"
不允許 SAM 賬戶和共享的匿名枚舉 更改爲"已啓用"
D.本地賬戶策略:
在賬戶策略->密碼策略中設定:
密碼複雜性要求啓用
密碼長度最小值 6位
強制密碼歷史 5次
最長存留期 30天
在賬戶策略->賬戶鎖定策略中設定:
賬戶鎖定 3次錯誤登錄
鎖定時間 20分鐘
復位鎖定計數 20分鐘
E.組策略編輯器
運行 gpedit.msc 計算機配置 > 管理模板 > 系統 顯示“關閉事件跟蹤程序” 更改爲已禁用
F.刪除不安全組件
WScript.Shell 、Shell.application 這兩個組件一般一些ASP***或一些惡意程序都會使用到。
方案一:
regsvr32 /u wshom.ocx 卸載WScript.Shell 組件
regsvr32 /u shell32.dll 卸載Shell.application 組件
如果按照上面講到的設置,可不必刪除這兩個文件
八、修改遠程端口
開始-->運行-->輸入regedit
查找3389:
請按以下步驟查找:
1、hkey_local_machine/system/currentcontrolset/control/terminal server/wds/rdpwd/tds/tcp下的portnumber=3389改爲自寶義的端口號
2、hkey_local_machine/system/currentcontrolset/control/terminal server/winstations/rdp-tcp下的portnumber=3389改爲自寶義的端口號
修改3389爲你想要的數字(在十進制下)----再點16進制(系統會自動轉換)----最後確定!這樣就ok了。
這樣3389端口已經修改了,但還要重新啓動主機,這樣3389端口才算修改成功!如果不重新啓動3389還是修改不了的!重起後下次就可以用新端口進入了!
九、Sql2000安全
Sql查詢分析器
use master
EXEC sp_dropextendedproc 'xp_cmdshell'
EXEC sp_dropextendedproc 'Sp_OACreate'
EXEC sp_dropextendedproc 'Sp_OADestroy'
EXEC sp_dropextendedproc 'Sp_OAGetErrorInfo'
EXEC sp_dropextendedproc 'Sp_OAGetProperty'
EXEC sp_dropextendedproc 'Sp_OAMethod'
EXEC sp_dropextendedproc 'Sp_OASetProperty'
EXEC sp_dropextendedproc 'Sp_OAStop'
EXEC sp_dropextendedproc 'Xp_regaddmultistring'
EXEC sp_dropextendedproc 'Xp_regdeletekey'
EXEC sp_dropextendedproc 'Xp_regdeletevalue'
EXEC sp_dropextendedproc 'Xp_regenumvalues'
EXEC sp_dropextendedproc 'Xp_regread'
EXEC sp_dropextendedproc 'Xp_regremovemultistring'
EXEC sp_dropextendedproc 'Xp_regwrite'
drop procedure sp_makewebtask