美国主机侦探服务器安全设置教程

手册/FAQ (8) 2016-01-05 11:12:31

1、在运行中输入gpedit.msc回车,打开组策略编辑器,选择计算机配置-Windows设置-安全设置-账户策略-账户锁定策略,将账户设为“三次登陆无效”,“锁定时渖栉?0分钟”,“复位锁定计数设为30分钟”。

 

2、清空远程可访问的注册表路径

开始→运行→gpedit.msc 依次展开“计算机配置→Windows 设置→安全设置→本地策略→安全选项” 在右侧窗口中找到“网络访问:可远程访问的注册表路径” 然后在打开的窗口中、将可远程访问的注册表路径和子路径内容全部设置为空即

 

3、取消关机原因提示

开始→运行→gpedit.msc 打开组策略编辑器、依次展开:计算机配置→管理模板→系统 双击右侧窗口出现的(显示“关闭事件跟踪程序”) 将(未配置)改为(已禁用)即可

 

4、在安全设置-本地策略-安全选项中将“不显示上次的用户名”设为启用

 

5、禁止C$、D$、ADMIN$一类的缺省共享

打开注册表,HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters,在右边的窗口中新建Dword值,名称设为AutoShareServer值设为0

 

6、禁用IPC连接

开始→运行→regedit找到如下组建(HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa)中的(restrictanonymous)子键将其值改为1即

 

7、解除NetBios与TCP/IP协议的绑定

右击网上邻居-属性-右击本地连接-属性-双击Internet协议-高级-Wins-禁用TCP/IP上的NETBIOS

 

8、防止列出用户组和系统进程:

开始→程序→管理工具→服务 找到 Workstation 停止它、禁用它

 

9、解除FSO上传程序小于200k限制:

在服务里关闭IIS admin service服务

打开 C:\WINDOWS\system32\inetsrv\MetaBase.xml

找到ASPMaxRequestEntityAllowed

将其修改为需要的值、默认为204800、即200K、把它修改为51200000(50M)、然后重启IIS admin service服务

 

10、关闭不需要的服务,以下为建议选项

  Computer Browser:维护网络计算机更新,禁用

  Distributed File System: 局域网管理共享文件,不需要禁用

  Distributed linktracking client:用于局域网更新连接信息,不需要禁用

  Error reporting service:禁止发送错误报告

  Microsoft Serch:提供快速的单词搜索,不需要可禁用

  NTLMSecuritysupportprovide:telnet服务和Microsoft Serch用的,不需要禁用

  PrintSpooler:如果没有打印机可禁用

  Remote Registry:禁止远程修改注册表

  Remote Desktop Help Session Manager:禁止远程协助

    Telnet

    TCP\IP NetBIOS Helper

    Workstation

 

11、卸载最不安全的组件:

△开始→运行→cmd→回车键

▲cmd里输入:

regsvr32/u C:\WINDOWS\system32\wshom.ocx

del C:\WINDOWS\system32\wshom.ocx

regsvr32/u C:\WINDOWS\system32\shell32.dll

del C:\WINDOWS\system32\shell32.dll

或将以上的内容代码保存为一个.BAT文件双击运行就行了,可能会提示无法删除文件,不用管它!

也可以设置为禁止guests用户组访问

 

12、磁盘权限设置:

C:\盘 administrators(组) 完全控制权限、system(内置安全主体) 完全控制权限

△D:\盘 (如果用户网站内容放置在这个分区中)、administrators(组)和system 完全控制权限

△E:\盘 administrators(组) 完全控制权限、system(内置安全主体) 完全控制权限

△f:\盘 administrators(组) 完全控制权限、system(内置安全主体) 完全控制权限

△如有其他盘符类推下去.

 

13、目录安全访问权限

▲c:\windows\

administrators(组) 完全控制权限、system(内置安全主体) 完全控制权限

▲c:\windows\system32\

administrators(组) 完全控制权限、system(内置安全主体) 完全控制权限、iwam_服务器名(用户) 读取+运行权限

▲c:\windows\temp\

administrators(组) 完全控制权限、system(内置安全主体) 完全控制权限、guests(组) 完全控制权限

▲C:\WINDOWS\system32\config\

administrators(组) 完全控制权限、system(内置安全主体) 完全控制权限

▲c:\Program Files\

administrators(组) 完全控制权限、system(内置安全主体) 完全控制权限

▲C:\Program Files\Common Files\

administrators(组) 完全控制权限、system(内置安全主体) 完全控制权限、guests(组) 读取+运行权限

▲c:\Documents and Settings\

administrators(组) 完全控制权限、system(内置安全主体) 完全控制权限

▲C:\Documents and Settings\All Users\

administrators(组) 完全控制权限、system(内置安全主体) 完全控制权限

▲C:\Documents and Settings\All Users\Application Data\

administrators(组) 完全控制权限、system(内置安全主体) 完全控制权限

▲C:\Documents and Settings\All Users\Application Data\Microsoft\

administrators(组) 完全控制权限、system(内置安全主体) 完全控制权限

▲C:\Documents and Settings\All Users\Application Data\Microsoft\HTML Help\

administrators(组) 完全控制权限、system(内置安全主体) 完全控制权限

 

14、禁止系统盘下的EXE文件:

net.exe、cmd.exe、ftp.exe、netstat.exe、regedit.exe、regedt32.exe、at.exe、attrib.exe、cacls.exe

设置成 administrators和system 完全控制权限

 

15、对FTP的设置

1、默认FTP站点 属性

安全帐户:取消“允许匿名访问”

主目录:读取 写入 记录访问 都选上

2、设置C:\Inetpub\ftproot的目录权限

只要Everyone读取权限

3、默认FTP站点 右键 新建 虚拟目录 将“虚拟主机目录访问权限”中的都选上

4、FTP用户对目录的权限设置:

FTP用户对FTP目录 拒绝 只有该文件夹 删除

FTP用户对FTP目录 特殊 只有该文件夹 除掉“完全控制”“遍历文件夹/运行文件”“删除子文件夹和文件”“取得所有权”不选外其他都选上

5、\system32\inetsrv\inetinfo.exe加入防火墙例外 让防火墙不拦截FTP的动态分配的端口连接

6、一般防火墙要开启的端口

21(FTP) 25(SMTP) 53(DNS) 80(HTTP) 110(POP3) 143(IMAP) 443(Https) 1433(MSSQL) 3306(MYSQL) 5353(MX) 3389(远程桌面) 8888(WebMail)

可以打开“Windows防火墙”的‘高级’选项卡,RCMP设置,“允许传入回显请求”打上钩,你的域就可以被ping通了

星外主机管理系统:

注意,在启动防火墙前,您需要先在例外中,设置允许以下的TCP端口:

3389 1433 3306 25 21 20 80 110 53 8888

再设置允许以下的程序使用网络(在例外中选择添加程序)

C:\windows\system32\inetsrv\inetinfo.exe

C:\windows\system32\inetsrv\w3wp.exe

C:\windows\7i24tool.exe

请设置sytem32目录的cmd.exe, at.exe, cacls.exe, ftp.exe 的文件只能有adms,system的全权权限.不能有其他的权限

注意不要安装windows update中的Windows PowerShell,如果已安装了,请删除它!因为这个组件有大量服务器管理的权限.不能安装

请将服务器中的"Distributed Transaction Coordinator"服务禁止,传IIS中存在没有补丁了漏洞,这个服务必须禁止。运行以下命令可以自动禁止:

sc stop MSDTC & sc config MSDTC start= disabled

如果以下目录存在,请删除这个目录:

c:\windows\ServicePackFiles,否则里面有文件有可能被黑客利用

C:\RECYCLER只保留administrators和system完全控制权限

PHP的一个安全设置:在php.ini里设其值为Off

allow_url_fopen = Off

并且:

;extension=php_sockets.dll

前面的;号一定要有,意思就是限制用sockets.dll

然后重启IIS

 

16、SQL2000危险扩展存储删除和恢复

将有安全问题的SQL过程删除.比较全面.一切为了安全!

删除了调用shell,注册表,COM组件的破坏权限

使用系统帐户登陆查询分析器

运行以下脚本

use master

exec sp_dropextendedproc 'xp_enumgroups'

exec sp_dropextendedproc 'xp_loginconfig'

exec sp_dropextendedproc 'xp_enumerrorlogs'

exec sp_dropextendedproc 'xp_getfiledetails'

exec sp_dropextendedproc 'xp_cmdshell'

exec sp_dropextendedproc 'xp_dirtree'

exec sp_dropextendedproc 'Sp_OACreate'

exec sp_dropextendedproc 'Sp_OADestroy'

exec sp_dropextendedproc 'Sp_OAGetErrorInfo'

exec sp_dropextendedproc 'Sp_OAGetProperty'

exec sp_dropextendedproc 'Sp_OAMethod'

exec sp_dropextendedproc 'Sp_OASetProperty'

exec sp_dropextendedproc 'Sp_OAStop'

exec sp_dropextendedproc 'xp_regaddmultistring'

exec sp_dropextendedproc 'xp_regdeletekey'

exec sp_dropextendedproc 'xp_regdeletevalue'

exec sp_dropextendedproc 'xp_regenumvalues'

exec sp_dropextendedproc 'Xp_regread'

exec sp_dropextendedproc 'xp_regremovemultistring'

exec sp_dropextendedproc 'xp_regwrite'

drop procedure sp_makewebtask

go

 

几个说明:

exec sp_dropextendedproc 'xp_cmdshell' [删除此项扩展后,将无法远程连接数据库]

还有以下3个存储过程会在SQL SERVER恢复备份时被使用,非必要请勿删除

exec sp_dropextendedproc 'xp_dirtree' [删除此项扩展后,将无法新建或附加数据库]

exec sp_dropextendedproc 'Xp_regread' [删除此项扩展后, 还原数据库辅助]

exec sp_dropextendedproc 'xp_fixeddrives' [删除此项扩展后,将无法还原数据库]

星外虚拟主机管理系统用户执行代码:

use master

exec sp_dropextendedproc 'xp_cmdshell'

exec sp_dropextendedproc 'xp_dirtree'

exec sp_dropextendedproc 'Sp_OACreate'

exec sp_dropextendedproc 'Sp_OADestroy'

exec sp_dropextendedproc 'Sp_OAGetErrorInfo'

exec sp_dropextendedproc 'Sp_OAGetProperty'

exec sp_dropextendedproc 'Sp_OAMethod'

exec sp_dropextendedproc 'Sp_OASetProperty'

exec sp_dropextendedproc 'Sp_OAStop'

exec sp_dropextendedproc 'xp_regaddmultistring'

exec sp_dropextendedproc 'xp_regdeletekey'

exec sp_dropextendedproc 'xp_regdeletevalue'

exec sp_dropextendedproc 'xp_regenumvalues'

exec sp_dropextendedproc 'Xp_regread'

exec sp_dropextendedproc 'xp_regremovemultistring'

exec sp_dropextendedproc 'xp_regwrite'

drop procedure sp_makewebtask

go

 

恢复脚本

use master

EXEC sp_addextendedproc xp_cmdshell ,@dllname ='xplog70.dll'

EXEC sp_addextendedproc xp_enumgroups ,@dllname ='xplog70.dll'

EXEC sp_addextendedproc xp_loginconfig ,@dllname ='xplog70.dll'

EXEC sp_addextendedproc xp_enumerrorlogs ,@dllname ='xpstar.dll'

EXEC sp_addextendedproc xp_getfiledetails ,@dllname ='xpstar.dll'

EXEC sp_addextendedproc Sp_OACreate ,@dllname ='odsole70.dll'

EXEC sp_addextendedproc Sp_OADestroy ,@dllname ='odsole70.dll'

EXEC sp_addextendedproc Sp_OAGetErrorInfo ,@dllname ='odsole70.dll'

EXEC sp_addextendedproc Sp_OAGetProperty ,@dllname ='odsole70.dll'

EXEC sp_addextendedproc Sp_OAMethod ,@dllname ='odsole70.dll'

EXEC sp_addextendedproc Sp_OASetProperty ,@dllname ='odsole70.dll'

EXEC sp_addextendedproc Sp_OAStop ,@dllname ='odsole70.dll'

EXEC sp_addextendedproc xp_regaddmultistring ,@dllname ='xpstar.dll'

EXEC sp_addextendedproc xp_regdeletekey ,@dllname ='xpstar.dll'

EXEC sp_addextendedproc xp_regdeletevalue ,@dllname ='xpstar.dll'

EXEC sp_addextendedproc xp_regenumvalues ,@dllname ='xpstar.dll'

EXEC sp_addextendedproc xp_regremovemultistring ,@dllname ='xpstar.dll'

EXEC sp_addextendedproc xp_regwrite ,@dllname ='xpstar.dll'

EXEC sp_addextendedproc xp_dirtree ,@dllname ='xpstar.dll'

EXEC sp_addextendedproc xp_regread ,@dllname ='xpstar.dll'

EXEC sp_addextendedproc xp_fixeddrives ,@dllname ='xpstar.dll'

go

全部复制到"SQL查询分析器"

点击菜单上的--"查询"--"执行",就会将有安全问题的SQL过程删除

 

另:其他的一些设置:

改远程桌面端口:

Windows 2003系统中的远程终端服务是一项功能非常强大的服务,同时也成了入侵者长驻主机的通道,入侵者可以利用一些手段得到管理员账号和密码并入侵主机。下面,我们来看看如何通过修改默认端口,防范黑客入侵。

众所周知,远程终端服务基于端口3389。入侵者一般先扫描主机开放端口,一旦发现其开放了3389端口,就会进行下一步的入侵,所以我们只需要修改该务默认端口就可以避开大多数入侵者的耳目。

步骤:

1、打开“开始→运行”,输入“regedit”,打开注册表,进入以下路径:[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\Wds\rdpwd\Tds\tcp],看见PortNamber值了吗?其默认值是3389,修改成所希望的端口即可,例如5188。

2、再打开[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Tenninal Server\WinStations\RDP\Tcp],将PortNumber的值(默认是3389)修改成端口5188。

3、修改完毕,重新启动电脑,以后远程登录的时候使用端口5188就可以了。

 

关闭驱动搜索:

   运行“gpedit.msc"打开组策略

    “计算机配置\管理模板\系统”

    启用“关闭 Windows Update 设备驱动程序搜索”

    “管理模板/系统/Internet 通信管理/Internet 通信设置”

    启用“关闭 Windows Update 设备驱动程序搜索”

    “用户配置\管理模板\系统”

    启用“配置驱动程序搜索位置” (不搜索软盘,光驱,Windows Update)

    “用户配置\管理模板\系统”

    忽略“设备驱动程序的代码签名”

    检查系统属性中的驱动签名是否为忽略,update是否为从不搜索。

 

关闭系统休眠:桌面右键选择“属性”——“屏幕保护”(将屏幕保护程序选择无)——“电源”——“休眠”将“启用休眠”前的勾去掉。

关闭远程连接:右键“我的电脑”选择“属性”——“远程”

关闭自动更新:右键“我的电脑”选择“属性”——“更新”

加快启动时间:右键“我的电脑”选择“属性”——“高级”--“启动和故障恢复”里——“设置”-显示的时间修改为3秒。并将下面的“发送管理警报”和“自动重新启动”前的勾去掉。

 

转移虚拟内存页面文件:

右键“我的电脑”选择“属性”——“高级”——“性能”里面的“设置”——“高级”——“高级”——选中当前系统分区,再选“自定义大小”,将“初始化大小”和“最大值”设为“0”,点击“设置”,然后选择需存放页面文件的分区(如D:等)然后将“初始化大小”和“最大值”设为“原先C:的参数”,点击 “设置”,再点击“确定”退出。

 

解决w3wp.exe占用CPU和内存问题:

1、在任务管理器中增加显示pid字段。就可以看到占用内存或者cpu最高的进程pid

2、在命令提示符下运行iisapp -a。注意,第一次运行,会提示没有js支持,点击确定。然后再次运行就可以了。这样就可以看到pid对应的应用程序池

3、到iis中察看该应用程序池对应的网站,就ok了。

 

关闭光盘U盘自动播放:

1.策略组关闭法

在前段时间熊猫烧香流行的时候,网上就流传着使用策略组关闭移动硬盘或者U盘自动关闭功能的方法。具体如:单击“开始-运行”,在“打开”框中,键入“gpedit.msc”,单击“确定”按钮,打开“组策略”窗口。在左窗格的“本地计算机策略”下,展开“计算机配置-管理模板-系统”,然后在右窗格的“设置”标题下,双击“关闭自动播放”。单击“设置”选项卡,选中“已启用”复选钮,然后在“关闭自动播放”框中单击“所有驱动器”,单击“确定”按钮,最后关闭组策略窗口。

2、关闭服务法

在“我的电脑”点击鼠标右键,选择“管理”,在打开的“计算机管理”中找到“服务和应用程序-服务”,然后在右窗格找到“Shell Hardware Detection”服务,这个服务的功能就是为自动播放硬件事件提供通知,双击它,在“状态”中点击“停止”按钮,然后将“启动类型”修改为“已禁用”或者“手动”就可以了。

 

本地安全策略的设置:

“开始”-“管理工具”-“本地安全策略”-“本地策略”-“安全选项”

找到“交互式登录:不显示上次的用户名”双击改为“已启用”

找到“交互式登录:不需要按CTRL+ALT+DEL”双击改为“已启用”

找到“交互式登录:可被缓存的前次登陆次数”双击修改为“0”

找到“帐户:重新命名系统管理员帐户”双击修改为你想要的,我们这里修改为“laoyang”等

 

不缓存缩略图图标:

打开“我的电脑”-“工具”-“文件夹选项”-“查看”勾上“不缓存缩略图”,去掉“自动搜索网络文件夹和打印机”前的勾。

 

用鼠标点任务栏中显示的时间(桌面右下方),点Internet时间,把自动与Internet时间保持同步前面的勾去掉

 

删除多余的启动项:

hkey_local_machine\software\microsoft\windows\currentversion\run

我是用优化大师绿色版,在非C盘运行讲日文输入法、繁体输入法、韩文输入法启动项删除的!

 

修改注册表永久删除共享:

在运行对话框中输入“regedit”并回车,打开注册表编辑器,在左侧面板中定位到“HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\ Parameters”,在该位置下新建一个名为“AutoShareWks”的DWORD值,并将其数值设置为“0”重启系统后所有的默认共享都将被自动删除,并且不会继续创建。

 

清除3389连接后留下的日志,清除3389远程桌面连接记录,清空远程桌面连接中的记录:

@echo off

@reg delete "HKEY_CURRENT_USER\Software\Microsoft\Terminal Server Client\Default" /va /f

@del "%USERPROFILE%\My Documents\Default.rdp" /a

@exit

保存为批处理"*.bat"。运行即可

/va 删除项下面所有键值

/f不提示

/a 删除隐藏文件

THE END