1、在运行中输入gpedit.msc回车,打开组策略编辑器,选择计算机配置-Windows设置-安全设置-账户策略-账户锁定策略,将账户设为“三次登陆无效”,“锁定时渖栉?0分钟”,“复位锁定计数设为30分钟”。
2、清空远程可访问的注册表路径
开始→运行→gpedit.msc 依次展开“计算机配置→Windows 设置→安全设置→本地策略→安全选项” 在右侧窗口中找到“网络访问:可远程访问的注册表路径” 然后在打开的窗口中、将可远程访问的注册表路径和子路径内容全部设置为空即
3、取消关机原因提示
开始→运行→gpedit.msc 打开组策略编辑器、依次展开:计算机配置→管理模板→系统 双击右侧窗口出现的(显示“关闭事件跟踪程序”) 将(未配置)改为(已禁用)即可
4、在安全设置-本地策略-安全选项中将“不显示上次的用户名”设为启用
5、禁止C$、D$、ADMIN$一类的缺省共享
打开注册表,HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters,在右边的窗口中新建Dword值,名称设为AutoShareServer值设为0
6、禁用IPC连接
开始→运行→regedit找到如下组建(HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa)中的(restrictanonymous)子键将其值改为1即
7、解除NetBios与TCP/IP协议的绑定
右击网上邻居-属性-右击本地连接-属性-双击Internet协议-高级-Wins-禁用TCP/IP上的NETBIOS
8、防止列出用户组和系统进程:
开始→程序→管理工具→服务 找到 Workstation 停止它、禁用它
9、解除FSO上传程序小于200k限制:
在服务里关闭IIS admin service服务
打开 C:\WINDOWS\system32\inetsrv\MetaBase.xml
找到ASPMaxRequestEntityAllowed
将其修改为需要的值、默认为204800、即200K、把它修改为51200000(50M)、然后重启IIS admin service服务
10、关闭不需要的服务,以下为建议选项
Computer Browser:维护网络计算机更新,禁用
Distributed File System: 局域网管理共享文件,不需要禁用
Distributed linktracking client:用于局域网更新连接信息,不需要禁用
Error reporting service:禁止发送错误报告
Microsoft Serch:提供快速的单词搜索,不需要可禁用
NTLMSecuritysupportprovide:telnet服务和Microsoft Serch用的,不需要禁用
PrintSpooler:如果没有打印机可禁用
Remote Registry:禁止远程修改注册表
Remote Desktop Help Session Manager:禁止远程协助
Telnet
TCP\IP NetBIOS Helper
Workstation
11、卸载最不安全的组件:
△开始→运行→cmd→回车键
▲cmd里输入:
regsvr32/u C:\WINDOWS\system32\wshom.ocx
del C:\WINDOWS\system32\wshom.ocx
regsvr32/u C:\WINDOWS\system32\shell32.dll
del C:\WINDOWS\system32\shell32.dll
或将以上的内容代码保存为一个.BAT文件双击运行就行了,可能会提示无法删除文件,不用管它!
也可以设置为禁止guests用户组访问
12、磁盘权限设置:
C:\盘 administrators(组) 完全控制权限、system(内置安全主体) 完全控制权限
△D:\盘 (如果用户网站内容放置在这个分区中)、administrators(组)和system 完全控制权限
△E:\盘 administrators(组) 完全控制权限、system(内置安全主体) 完全控制权限
△f:\盘 administrators(组) 完全控制权限、system(内置安全主体) 完全控制权限
△如有其他盘符类推下去.
13、目录安全访问权限
▲c:\windows\
administrators(组) 完全控制权限、system(内置安全主体) 完全控制权限
▲c:\windows\system32\
administrators(组) 完全控制权限、system(内置安全主体) 完全控制权限、iwam_服务器名(用户) 读取+运行权限
▲c:\windows\temp\
administrators(组) 完全控制权限、system(内置安全主体) 完全控制权限、guests(组) 完全控制权限
▲C:\WINDOWS\system32\config\
administrators(组) 完全控制权限、system(内置安全主体) 完全控制权限
▲c:\Program Files\
administrators(组) 完全控制权限、system(内置安全主体) 完全控制权限
▲C:\Program Files\Common Files\
administrators(组) 完全控制权限、system(内置安全主体) 完全控制权限、guests(组) 读取+运行权限
▲c:\Documents and Settings\
administrators(组) 完全控制权限、system(内置安全主体) 完全控制权限
▲C:\Documents and Settings\All Users\
administrators(组) 完全控制权限、system(内置安全主体) 完全控制权限
▲C:\Documents and Settings\All Users\Application Data\
administrators(组) 完全控制权限、system(内置安全主体) 完全控制权限
▲C:\Documents and Settings\All Users\Application Data\Microsoft\
administrators(组) 完全控制权限、system(内置安全主体) 完全控制权限
▲C:\Documents and Settings\All Users\Application Data\Microsoft\HTML Help\
administrators(组) 完全控制权限、system(内置安全主体) 完全控制权限
14、禁止系统盘下的EXE文件:
net.exe、cmd.exe、ftp.exe、netstat.exe、regedit.exe、regedt32.exe、at.exe、attrib.exe、cacls.exe
设置成 administrators和system 完全控制权限
15、对FTP的设置
1、默认FTP站点 属性
安全帐户:取消“允许匿名访问”
主目录:读取 写入 记录访问 都选上
2、设置C:\Inetpub\ftproot的目录权限
只要Everyone读取权限
3、默认FTP站点 右键 新建 虚拟目录 将“虚拟主机目录访问权限”中的都选上
4、FTP用户对目录的权限设置:
FTP用户对FTP目录 拒绝 只有该文件夹 删除
FTP用户对FTP目录 特殊 只有该文件夹 除掉“完全控制”“遍历文件夹/运行文件”“删除子文件夹和文件”“取得所有权”不选外其他都选上
5、\system32\inetsrv\inetinfo.exe加入防火墙例外 让防火墙不拦截FTP的动态分配的端口连接
6、一般防火墙要开启的端口
21(FTP) 25(SMTP) 53(DNS) 80(HTTP) 110(POP3) 143(IMAP) 443(Https) 1433(MSSQL) 3306(MYSQL) 5353(MX) 3389(远程桌面) 8888(WebMail)
可以打开“Windows防火墙”的‘高级’选项卡,RCMP设置,“允许传入回显请求”打上钩,你的域就可以被ping通了
星外主机管理系统:
注意,在启动防火墙前,您需要先在例外中,设置允许以下的TCP端口:
3389 1433 3306 25 21 20 80 110 53 8888
再设置允许以下的程序使用网络(在例外中选择添加程序)
C:\windows\system32\inetsrv\inetinfo.exe
C:\windows\system32\inetsrv\w3wp.exe
C:\windows\7i24tool.exe
请设置sytem32目录的cmd.exe, at.exe, cacls.exe, ftp.exe 的文件只能有adms,system的全权权限.不能有其他的权限
注意不要安装windows update中的Windows PowerShell,如果已安装了,请删除它!因为这个组件有大量服务器管理的权限.不能安装
请将服务器中的"Distributed Transaction Coordinator"服务禁止,传IIS中存在没有补丁了漏洞,这个服务必须禁止。运行以下命令可以自动禁止:
sc stop MSDTC & sc config MSDTC start= disabled
如果以下目录存在,请删除这个目录:
c:\windows\ServicePackFiles,否则里面有文件有可能被黑客利用
C:\RECYCLER只保留administrators和system完全控制权限
PHP的一个安全设置:在php.ini里设其值为Off
allow_url_fopen = Off
并且:
;extension=php_sockets.dll
前面的;号一定要有,意思就是限制用sockets.dll
然后重启IIS
16、SQL2000危险扩展存储删除和恢复
将有安全问题的SQL过程删除.比较全面.一切为了安全!
删除了调用shell,注册表,COM组件的破坏权限
使用系统帐户登陆查询分析器
运行以下脚本
use master
exec sp_dropextendedproc 'xp_enumgroups'
exec sp_dropextendedproc 'xp_loginconfig'
exec sp_dropextendedproc 'xp_enumerrorlogs'
exec sp_dropextendedproc 'xp_getfiledetails'
exec sp_dropextendedproc 'xp_cmdshell'
exec sp_dropextendedproc 'xp_dirtree'
exec sp_dropextendedproc 'Sp_OACreate'
exec sp_dropextendedproc 'Sp_OADestroy'
exec sp_dropextendedproc 'Sp_OAGetErrorInfo'
exec sp_dropextendedproc 'Sp_OAGetProperty'
exec sp_dropextendedproc 'Sp_OAMethod'
exec sp_dropextendedproc 'Sp_OASetProperty'
exec sp_dropextendedproc 'Sp_OAStop'
exec sp_dropextendedproc 'xp_regaddmultistring'
exec sp_dropextendedproc 'xp_regdeletekey'
exec sp_dropextendedproc 'xp_regdeletevalue'
exec sp_dropextendedproc 'xp_regenumvalues'
exec sp_dropextendedproc 'Xp_regread'
exec sp_dropextendedproc 'xp_regremovemultistring'
exec sp_dropextendedproc 'xp_regwrite'
drop procedure sp_makewebtask
go
几个说明:
exec sp_dropextendedproc 'xp_cmdshell' [删除此项扩展后,将无法远程连接数据库]
还有以下3个存储过程会在SQL SERVER恢复备份时被使用,非必要请勿删除
exec sp_dropextendedproc 'xp_dirtree' [删除此项扩展后,将无法新建或附加数据库]
exec sp_dropextendedproc 'Xp_regread' [删除此项扩展后, 还原数据库辅助]
exec sp_dropextendedproc 'xp_fixeddrives' [删除此项扩展后,将无法还原数据库]
星外虚拟主机管理系统用户执行代码:
use master
exec sp_dropextendedproc 'xp_cmdshell'
exec sp_dropextendedproc 'xp_dirtree'
exec sp_dropextendedproc 'Sp_OACreate'
exec sp_dropextendedproc 'Sp_OADestroy'
exec sp_dropextendedproc 'Sp_OAGetErrorInfo'
exec sp_dropextendedproc 'Sp_OAGetProperty'
exec sp_dropextendedproc 'Sp_OAMethod'
exec sp_dropextendedproc 'Sp_OASetProperty'
exec sp_dropextendedproc 'Sp_OAStop'
exec sp_dropextendedproc 'xp_regaddmultistring'
exec sp_dropextendedproc 'xp_regdeletekey'
exec sp_dropextendedproc 'xp_regdeletevalue'
exec sp_dropextendedproc 'xp_regenumvalues'
exec sp_dropextendedproc 'Xp_regread'
exec sp_dropextendedproc 'xp_regremovemultistring'
exec sp_dropextendedproc 'xp_regwrite'
drop procedure sp_makewebtask
go
恢复脚本
use master
EXEC sp_addextendedproc xp_cmdshell ,@dllname ='xplog70.dll'
EXEC sp_addextendedproc xp_enumgroups ,@dllname ='xplog70.dll'
EXEC sp_addextendedproc xp_loginconfig ,@dllname ='xplog70.dll'
EXEC sp_addextendedproc xp_enumerrorlogs ,@dllname ='xpstar.dll'
EXEC sp_addextendedproc xp_getfiledetails ,@dllname ='xpstar.dll'
EXEC sp_addextendedproc Sp_OACreate ,@dllname ='odsole70.dll'
EXEC sp_addextendedproc Sp_OADestroy ,@dllname ='odsole70.dll'
EXEC sp_addextendedproc Sp_OAGetErrorInfo ,@dllname ='odsole70.dll'
EXEC sp_addextendedproc Sp_OAGetProperty ,@dllname ='odsole70.dll'
EXEC sp_addextendedproc Sp_OAMethod ,@dllname ='odsole70.dll'
EXEC sp_addextendedproc Sp_OASetProperty ,@dllname ='odsole70.dll'
EXEC sp_addextendedproc Sp_OAStop ,@dllname ='odsole70.dll'
EXEC sp_addextendedproc xp_regaddmultistring ,@dllname ='xpstar.dll'
EXEC sp_addextendedproc xp_regdeletekey ,@dllname ='xpstar.dll'
EXEC sp_addextendedproc xp_regdeletevalue ,@dllname ='xpstar.dll'
EXEC sp_addextendedproc xp_regenumvalues ,@dllname ='xpstar.dll'
EXEC sp_addextendedproc xp_regremovemultistring ,@dllname ='xpstar.dll'
EXEC sp_addextendedproc xp_regwrite ,@dllname ='xpstar.dll'
EXEC sp_addextendedproc xp_dirtree ,@dllname ='xpstar.dll'
EXEC sp_addextendedproc xp_regread ,@dllname ='xpstar.dll'
EXEC sp_addextendedproc xp_fixeddrives ,@dllname ='xpstar.dll'
go
全部复制到"SQL查询分析器"
点击菜单上的--"查询"--"执行",就会将有安全问题的SQL过程删除
另:其他的一些设置:
改远程桌面端口:
Windows 2003系统中的远程终端服务是一项功能非常强大的服务,同时也成了入侵者长驻主机的通道,入侵者可以利用一些手段得到管理员账号和密码并入侵主机。下面,我们来看看如何通过修改默认端口,防范黑客入侵。
众所周知,远程终端服务基于端口3389。入侵者一般先扫描主机开放端口,一旦发现其开放了3389端口,就会进行下一步的入侵,所以我们只需要修改该务默认端口就可以避开大多数入侵者的耳目。
步骤:
1、打开“开始→运行”,输入“regedit”,打开注册表,进入以下路径:[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\Wds\rdpwd\Tds\tcp],看见PortNamber值了吗?其默认值是3389,修改成所希望的端口即可,例如5188。
2、再打开[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Tenninal Server\WinStations\RDP\Tcp],将PortNumber的值(默认是3389)修改成端口5188。
3、修改完毕,重新启动电脑,以后远程登录的时候使用端口5188就可以了。
关闭驱动搜索:
运行“gpedit.msc"打开组策略
“计算机配置\管理模板\系统”
启用“关闭 Windows Update 设备驱动程序搜索”
“管理模板/系统/Internet 通信管理/Internet 通信设置”
启用“关闭 Windows Update 设备驱动程序搜索”
“用户配置\管理模板\系统”
启用“配置驱动程序搜索位置” (不搜索软盘,光驱,Windows Update)
“用户配置\管理模板\系统”
忽略“设备驱动程序的代码签名”
检查系统属性中的驱动签名是否为忽略,update是否为从不搜索。
关闭系统休眠:桌面右键选择“属性”——“屏幕保护”(将屏幕保护程序选择无)——“电源”——“休眠”将“启用休眠”前的勾去掉。
关闭远程连接:右键“我的电脑”选择“属性”——“远程”
关闭自动更新:右键“我的电脑”选择“属性”——“更新”
加快启动时间:右键“我的电脑”选择“属性”——“高级”--“启动和故障恢复”里——“设置”-显示的时间修改为3秒。并将下面的“发送管理警报”和“自动重新启动”前的勾去掉。
转移虚拟内存页面文件:
右键“我的电脑”选择“属性”——“高级”——“性能”里面的“设置”——“高级”——“高级”——选中当前系统分区,再选“自定义大小”,将“初始化大小”和“最大值”设为“0”,点击“设置”,然后选择需存放页面文件的分区(如D:等)然后将“初始化大小”和“最大值”设为“原先C:的参数”,点击 “设置”,再点击“确定”退出。
解决w3wp.exe占用CPU和内存问题:
1、在任务管理器中增加显示pid字段。就可以看到占用内存或者cpu最高的进程pid
2、在命令提示符下运行iisapp -a。注意,第一次运行,会提示没有js支持,点击确定。然后再次运行就可以了。这样就可以看到pid对应的应用程序池
3、到iis中察看该应用程序池对应的网站,就ok了。
关闭光盘U盘自动播放:
1.策略组关闭法
在前段时间熊猫烧香流行的时候,网上就流传着使用策略组关闭移动硬盘或者U盘自动关闭功能的方法。具体如:单击“开始-运行”,在“打开”框中,键入“gpedit.msc”,单击“确定”按钮,打开“组策略”窗口。在左窗格的“本地计算机策略”下,展开“计算机配置-管理模板-系统”,然后在右窗格的“设置”标题下,双击“关闭自动播放”。单击“设置”选项卡,选中“已启用”复选钮,然后在“关闭自动播放”框中单击“所有驱动器”,单击“确定”按钮,最后关闭组策略窗口。
2、关闭服务法
在“我的电脑”点击鼠标右键,选择“管理”,在打开的“计算机管理”中找到“服务和应用程序-服务”,然后在右窗格找到“Shell Hardware Detection”服务,这个服务的功能就是为自动播放硬件事件提供通知,双击它,在“状态”中点击“停止”按钮,然后将“启动类型”修改为“已禁用”或者“手动”就可以了。
本地安全策略的设置:
“开始”-“管理工具”-“本地安全策略”-“本地策略”-“安全选项”
找到“交互式登录:不显示上次的用户名”双击改为“已启用”
找到“交互式登录:不需要按CTRL+ALT+DEL”双击改为“已启用”
找到“交互式登录:可被缓存的前次登陆次数”双击修改为“0”
找到“帐户:重新命名系统管理员帐户”双击修改为你想要的,我们这里修改为“laoyang”等
不缓存缩略图图标:
打开“我的电脑”-“工具”-“文件夹选项”-“查看”勾上“不缓存缩略图”,去掉“自动搜索网络文件夹和打印机”前的勾。
用鼠标点任务栏中显示的时间(桌面右下方),点Internet时间,把自动与Internet时间保持同步前面的勾去掉
删除多余的启动项:
hkey_local_machine\software\microsoft\windows\currentversion\run
我是用优化大师绿色版,在非C盘运行讲日文输入法、繁体输入法、韩文输入法启动项删除的!
修改注册表永久删除共享:
在运行对话框中输入“regedit”并回车,打开注册表编辑器,在左侧面板中定位到“HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\ Parameters”,在该位置下新建一个名为“AutoShareWks”的DWORD值,并将其数值设置为“0”重启系统后所有的默认共享都将被自动删除,并且不会继续创建。
清除3389连接后留下的日志,清除3389远程桌面连接记录,清空远程桌面连接中的记录:
@echo off
@reg delete "HKEY_CURRENT_USER\Software\Microsoft\Terminal Server Client\Default" /va /f
@del "%USERPROFILE%\My Documents\Default.rdp" /a
@exit
保存为批处理"*.bat"。运行即可
/va 删除项下面所有键值
/f不提示
/a 删除隐藏文件
