终级Win2017服务器安全配置篇(一)
概要:C:\WINDOWS\Web取消users组权限给其下的所有文件加上users组权限 C:\WINDOWS\WinSxS 取消users组权限,搜索*.tlb,*.policy,*.cat,*.manifest,*.dll,给这些文件加上everyone组和users权限 给目录加NETWORK SERVICE完全控制的权限 C:\WINDOWS\system32\wbem 这个目录有重要作用。如果不给users组权限,打开一些应用软件时会非常慢。并且事件查看器中有时会报出一堆错误。导致一些程序不能正常运行。但为了不让webshell有浏览系统所属目录的权限,给wbem目录下所有的*.dll文
终级Win2017服务器安全配置篇(一),标签:windows2003学习,windows2003知识,http://www.5ijcw.com
C:\WINDOWS\Web取消users组权限给其下的所有文件加上users组权限
C:\WINDOWS\WinSxS 取消users组权限,搜索*.tlb,*.policy,*.cat,*.manifest,*.dll,给这些文件加上everyone组和users权限
给目录加NETWORK SERVICE完全控制的权限
C:\WINDOWS\system32\wbem 这个目录有重要作用。如果不给users组权限,打开一些应用软件时会非常慢。并且事件查看器中有时会报出一堆错误。导致一些程序不能正常运行。但为了不让webshell有浏览系统所属目录的权限,给wbem目录下所有的*.dll文件users组和everyone组权限。
*.dll
users;everyone
我先暂停。你操作时挨个检查就行了
C:\WINDOWS\#$#%^$^@!#$%$^S#@\#$#$%$#@@@$%!!WERa (我用的temp文件夹路径)temp由于必须给写入的权限,所以修改了默认路径和名称。防止webshell往此目录中写入。修改路径后要重启生效。
至此,系统盘任何一个目录是不可浏览的,唯一一个可写入的C:\WINDOWS\temp,又修改了默认路径和名称变成C:\WINDOWS\#$#%^$^@!#$%$^S#@\#$#$%$#@@@$%!!WERa
这样配置应该相对安全了些。
我先去安装一下几款流行的网站程序,先暂停.几款常用的网站程序在这样的权限设置下完全正常。还没有装上sql2000数据库,无法测试动易2006SQL版了。肯定正常。大家可以试试。
服务设置:
1.设置win2k的屏幕保护,用pcanywhere的时候,有时候下线时忘记锁定计算机了,如果别人破解了你的pcanywhere密码,就直接可以进入你计算机,如果设置了屏保,当你几分钟不用后就自动锁定计算机,这样就防止了用pcanyhwerer直接进入你计算机的可能,也是防止内部人员破坏服务器的一个屏障
2.关闭光盘和磁盘的自动播放功能,在组策略里面设.这样可以防止入侵者编辑恶意的autorun.inf让你以管理员的身份运行他的木马,来达到提升权限的目的。可以用net share 查看默认共享。由于没开server服务,等于已经关闭默认共享了,最好还是禁用server服务。
附删除默认共享的命令:
net share c$Content$nbsp;/del
net share d$Content$nbsp;/del
net share e$Content$nbsp;/del
net share f$Content$nbsp;/del
net share ipc$Content$nbsp;/del
net share admin$Content$nbsp;/del
3.关闭不需要的端口和服务,在网络连接里,把不需要的协议和服务都删掉,这里只安装了基本的Internet协议(TCP/IP),由于要控制带宽流量服务,额外安装了Qos数据包计划程序。在高级tcp/ip设置里--"NetBIOS"设置"禁用tcp/IP上的NetBIOS 。
修改3389远程连接端口(也可以用工具修改更方便)
修改注册表.
开始--运行--regedit
依次展开 HKEY_LOCAL_MACHINE/SYSTEM/CURRENTCONTROLSET/CONTROL/
TERMINAL SERVER/WDS/RDPWD/TDS/TCP
右边键值中 PortNumber 改为你想用的端口号.注意使用十进制(例 1989 )
HKEY_LOCAL_MACHINE/SYSTEM/CURRENTCONTROLSET/CONTROL/TERMINAL SERVER/
WINSTATIONS/RDP-TCP/
右边键值中 PortNumber 改为你想用的端口号.注意使用十进制(例 1989 )
注意:别忘了在WINDOWS2 www.5ijcw.com 003自带的防火墙给+上10000端口
修改完毕.重新启动服务器.设置生效.
这里就不改了,你可以自己决定是否修改.权限设置的好后,个人感觉改不改无所谓
4.禁用Guest账号
在计算机管理的用户里面把Guest账号禁用。为了保险起见,最好给Guest加一个复杂的密码。你可以打开记事本,在里面输入一串包含特殊字符、数字、字母的长字符串,然后把它作为Guest用户的密码拷进去.我这里随便复制了一段文本内容进去.
如果设置密码时提示:工作站服务没有启动 先去本地安全策略里把密码策略里启动密码复杂性给禁用后就可以修改了
5.创建一个陷阱用户
即创建一个名为“Administrator”的本地用户,把它的权限设置成最低,什么事也干不了的那种,并且加上一个超过10位的超级复杂密码。这样可以让那些 Hacker们忙上一段时间,借此发现它们的入侵企图。
6.本地安全策略设置
关键字: Tag:windows2003,windows2003学习,windows2003知识,电脑学习 - 操作系统 - windows2003
上一篇:Win2017操作技巧(一)
《终级Win2017服务器安全配置篇(一)》相关文章
- 终级Win2017服务器安全配置篇(一)
- › 终级Win2017服务器安全配置篇(一)
- 在百度中搜索相关文章:终级Win2017服务器安全配置篇(一)
- 在谷歌中搜索相关文章:终级Win2017服务器安全配置篇(一)
- 在soso中搜索相关文章:终级Win2017服务器安全配置篇(一)
- 在搜狗中搜索相关文章:终级Win2017服务器安全配置篇(一)