第一篇:web服务器安全配置WEB 服务器安全配置方法(推荐）
IIS 的相关设置： 删除默认建立的站点的虚拟目录，停止默认 web 站点，删除对应的文件目录 c:inetpub， 配置所有站点的公共设置，设置好相关的连接数限制，带宽设置以及性能设置等其他设置。配置应用程序映射，删除所有不必要的应用程序扩展，只保留 asp，php，cgi，pl，aspx 应 用程序扩展。对于 php 和 cgi， 推荐使用 isapi 方式解析， exe 解析对安全和性能有所影响。用 用户程序调试设置发送文本错误信息给户。对于数据库，尽量采用 mdb 后缀，不需要更改 为 asp，可在 IIS 中设置一个 mdb 的扩展映射，将这个映射使用一个无关的 dll 文件如 C: WINNTsystem32inetsrvssinc.dll 来防止数据库被下载。设置 IIS 的日志保存目录， 调整日志记 录信息。设置为发送文本错误信息。修改 403 错误页面，将其转向到其他页，可防止一些扫 描器的探测。另外为公开系统信息，防止 TELnet 到 80 端口所泄露的系统版本信息可修改 IIS 的 banner 信息，可以使用 winhex 手工修改或者使用相关软件如 banneredit 修改。对于用户站点所在的目录，在此说明一下，用户的 FTP 根目录下对应三个文件佳， wwwroot，database，logfiles，分别存放站点文件，数据库备份和该站点的日志。如果一旦 发生入侵事件可对该用户站点所在目录设置具体的权限， 图片所在的目录只给予列目录的权 限，程序所在目录如果不需要生成文件（如生成 html 的程序）不给予写入权限。因为是虚 拟主机平常对脚本安全没办法做到细致入微的地步，更多的只能在方法用户从脚本提升权 限： ASP 的安全设置： 设置过权限和服务之后，防范 asp 木马还需要做以下工作，在 cmd 窗口运行以下命令： regsvr32/u C:\\WINNT\\System32\\wshom.ocx del C:\\WINNT\\System32\\wshom.ocx regsvr32/u C:\\WINNT\\system32\\shell32.dll del C:\\WINNT\\system32\\shell32.dll 即可将 WScript.Shell, Shell.application, WScript.network 组件卸载，可有效防止 asp 木马 通过 wscript 或 shell.application 执行命令以及使用木马查看一些系统敏感信息。另法：可取 消以上文件的 users 用户的权限，重新启动 IIS 即可生效。但不推荐该方法。另外，对于 FSO 由于用户程序需要使用，服务器上可以不注销掉该组件，这里只提一 下 FSO 的防范，但并不需要在自动开通空间的虚拟商服务器上使用，只适合于手工开通的 站点。可以针对需要 FSO 和不需要 FSO 的站点设置两个组，对于需要 FSO 的用户组给予 c: winntsystem32scrrun.dll 文件的执行权限，不需要的不给权限。重新启动服务器即可生效。对于这样的设置结合上面的权限设置，你会发现海阳木马已经在这里失去了作用！ PHP 的安全设置： 默认安装的 php 需要有以下几个注意的问题： C:\\winnt\\php.ini 只给予 users 读权限即可。在 php.ini 里需要做如下设置： Safe_mode=on register_globals = Off allow_url_fopen = Off
display_errors = Off magic_quotes_gpc = On [默认是 on，但需检查一遍] open_basedir =web 目录 disable_functions =passthru,exec,shell_exec,system,phpinfo,get_cfg_var,popen,chmod 默认设置 com.allow_dcom = true 修改为 false[修改前要取消掉前面的；] [Page] MySQL 安全设置： 如果服务器上启用 MySQL 数据库，MySQL 数据库需要注意的安全设置为： 删除 mysql 中的所有默认用户，只保留本地 root 帐户，为 root 用户加上一个复杂的密 码。赋予普通用户 updatedeletealertcreatedrop 权限的时候，并限定到特定的数据库，尤其要 避免普通客户拥有对 mysql 数据库操作的权限。检查 mysql.user 表，取消不必要用户的 shutdown_priv,relo ad_priv,process_priv 和 File_priv 权限，这些权限可能泄漏更多的服务器信息包括非 mysql 的 其它信息出去。可以为 mysql 设置一个启动用户，该用户只对 mysql 目录有权限。设置安装 目录的 data 数据库的权限(此目录存放了 mysql 数据库的数据信息)。对于 mysql 安装目录给 users 加上读取、列目录和执行权限。Serv-u 安全问题： 安装程序尽量采用最新版本，避免采用默认安装目录，设置好 serv-u 目录所在的权限， 设置一个复杂的管理员密码。修改 serv-u 的 banner 信息，设置被动模式端口范围（4001― 4003）在本地服务器中设置中做好相关安全设置：包括检查匿名密码，禁用反超时调度，拦 截“FTP bounce”攻击和 FXP，对于在 30 秒内连接超过 3 次的用户拦截 10 分钟。域中的设 置为：要求复杂密码，目录只使用小写字母，高级中设置取消允许使用 MDTM 命令更改文 件的日期。更改 serv-u 的启动用户：在系统中新建一个用户，设置一个复杂点的密码，不属于任何 组。将 servu 的安装目录给予该用户完全控制权限。建立一个 FTP 根目录，需要给予这个用 户该目录完全控制权限，因为所有的 ftp 用户上传，删除，更改文件都是继承了该用户的权 限，否则无法操作文件。另外需要给该目录以上的上级目录给该用户的读取权限，否则会在 连接的时候出现 530 Not logged in, home directory does not exist。比如在测试的时候 ftp 根目 录为 d:soft，必须给 d 盘该用户的读取权限，为了安全取消 d 盘其他文件夹的继承权限。而 一般的使用默认的 system 启动就没有这些问题，因为 system 一般都拥有这些权限的。数据库服务器的安全设置 对于专用的 MSSQL 数据库服务器，按照上文所讲的设置 TCP/IP 筛选和 IP 策略，对外 只开放 1433 和 5631 端口。对于 MSSQL 首先需要为 sa 设置一个强壮的密码，使用混合身 份验证,加强数据库日志的记录,审核数据库登陆事件的”成功和失败”.删除一些不需要的和 危险的 OLE 自动存储过程(会造成企业管理器中部分功能不能使用),这些过程包括如下: Sp_OACreate Sp_OADestroy Sp_OAGetErrorInfo Sp_OAGetProperty Sp_OAMethod Sp_OASetProperty Sp_OAStop 去掉不需要的注册表访问过程,包括有: Xp_regaddmultistring Xp_regdeletekey Xp_regdeletevalue
Xp_regenumvalues Xp_regread Xp_regremovemultistring Xp_regwrite 去掉其他系统存储过程，如果认为还有威胁，当然要小心 Drop 这些过程，可以在测试 机器上测试，保证正常的系统能完成工作，这些过程包括： xp_cmdshell xp_dirtree xp_dropwebtask sp_addsrvrolemember xp_makewebtask xp_runwebtask xp_subdirs sp_addlogin sp_addextendedproc 在实例属性中选择 TCP/IP 协议的属性。选择公开 SQL Server 实例可防止对 1434 端口 的探测,可修改默认使用的 1433 端口。除去数据库的 guest 账户把未经认可的使用者据之在 外。例外情况是 master 和 tempdb 数据库,因为对他们 guest 帐户是必需的。另外注意设置 好各个数据库用户的权限，对于这些用户只给予所在数据库的一些权限。在程序中不要用 sa 用户去连接任何数据库。网络上有建议大家使用协议加密的，千万不要这么做，否则你 只能重装 MSSQL 了。[Page] 入侵检测和数据备份 入侵检测工作 作为服务器的日常管理，入侵检测是一项非常重要的工作，在平常的检测过程中，主要 包含日常的服务器安全例行检查和遭到入侵时的入侵检查， 也就是分为在入侵进行时的安全 检查和在入侵前后的安全检查。系统的安全性遵循木桶原理，木桶原理指的是：一个木桶由 许多块木板组成， 如果组成木桶的这些木板长短不一， 那么这个木桶的最大容量不取决于长 的木板， 而取决于最短的那块木板。应用到安全方面也就是说系统的安全性取决于系统中最 脆弱的地方，这些地方是日常的安全检测的重点所在。日常的安全检测 日常安全检测主要针对系统的安全性，工作主要按照以下步骤进行： 1．查看服务器状态： 打开进程管理器，查看服务器性能，观察 CPU 和内存使用状况。查看是否有 CPU 和内 存占用过高等异常情况。2．检查当前进程情况 切换“任务管理器”到进程，查找有无可疑的应用程序或后台进程在运行。用进程管理 器查看进程时里面会有一项 taskmgr， 这个是进程管理器自身的进程。如果正在运行 windows 更新会有一项 wuauclt.exe 进程。对于拿不准的进程或者说不知道是服务器上哪个应用程序 开启的进程， 可以在网络上搜索一下该进程名加以确定[进程知识库： http:///]。通常的后门如果有进程的话，一般会取一个与系统进程类似的名称，如 svch0st.exe，此时要 仔细辨别[通常迷惑手段是变字母 o 为数字 0，变字母 l 为数字 1] 3．检查系统帐号 打开计算机管理，展开本地用户和组选项，查看组选项，查看 administrators 组是否添 加有新帐号，检查是否有克隆帐号。4．查看当前端口开放情况 使用 activeport，查看当前的端口连接情况，尤其是注意与外部连接着的端口情况，看
是否有未经允许的端口与外界在通信。如有， 立即关闭该端口并记录下该端口对应的程序并 记录，将该程序转移到其他目录下存放以便后来分析。打开计算机管理==》软件环境==》 正在运行任务[在此处可以查看进程管理器中看不到的公开进程]，查看当前运行的程序，如 果有不明程序，记录下该程序的位置，打开任务管理器结束该进程，对于采用了守护进程的 后门等程序可尝试结束进程树，如仍然无法结束，在注册表中搜索该程序名，删除掉相关键 值，切换到安全模式下删除掉相关的程序文件。5．检查系统服务 运行 services.msc，检查处于已启动状态的服务，查看是否有新加的未知服务并确定服 务的用途。对于不清楚的服务打开该服务的属性，查看该服务所对应的可执行文件是什么， 如果确定该文件是系统内的正常使用的文件， 可粗略放过。查看是否有其他正常开放服务依 存在该服务上，如果有，可以粗略的放过。如果无法确定该执行文件是否是系统内正常文件 并且没有其他正常开放服务依存在该服务上， 可暂时停止掉该服务， 然后测试下各种应用是 否正常。对于一些后门由于采用了 hook 系统 API 技术，添加的服务项目在服务管理器中是 无法看到的，这时需要打开注册表中的 HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServices 项进行查找， 通过查看各服务 的名称、对应的执行文件来确定是否是后门、木马程序等。6．查看相关日志 [Page] 运行 eventvwr.msc，粗略检查系统中的相关日志记录。在查看时在对应的日志记录上点 右键选“属性” ，在“筛选器”中设置一个日志筛选器，只选择错误、警告，查看日志的来 源和具体描述信息。对于出现的错误如能在服务器常见故障排除中找到解决办法则依照该办 法处理该问题，如果无解决办法则记录下该问题，详细记录下事件来源、ID 号和具体描述 信息，以便找到问题解决的办法。7．检查系统文件 主要检查系统盘的 exe 和 dll 文件，建议系统安装完毕之后用 dir *.exe /s &1.txt 将 C 盘 所有的 exe 文件列表保存下来，然后每次检查的时候再用该命令生成一份当时的列表，用 fc 比较两个文件，同样如此针对 dll 文件做相关检查。需要注意的是打补丁或者安装软件后重 新生成一次原始列表。检查相关系统文件是否被替换或系统中是否被安装了木马后门等恶意 程序。必要时可运行一次杀毒程序对系统盘进行一次扫描处理。8．检查安全策略是否更改 打开本地连接的属性，查看“常规”中是否只勾选了“TCP/IP 协议” ，打开“TCP/IP” 协议设置， “高级” “选项” 查看 “IP 安全机制” 点 ==》 ， 是否是设定的 IP 策略， “TCP/IP” 查看 筛选允许的端口有没有被更改。打开“管理工具”=》 “本地安全策略” ，查看目前使用的 IP 安全策略是否发生更改。9．检查目录权限 重点查看系统目录和重要的应用程序权限是否被更改。需要查看的目录有 c:;c: C:winntsystem32;c:winntsystem32c:winntsystem32c:documents and S然后再检查 serv-u 安装目录， 查看这些目录的权限是否做过变动。检查 system32 下的一些重要文件是否更改过权限，包括：cmd，net，ftp，tftp，cacls 等文件。
10．检查启动项 主要检查当前的开机自启动程序。可以使用 AReporter 来检查开机自启动的程序。发现入侵时的应对措施 对于即时发现的入侵事件， 以下情况针对系统已遭受到破坏情况下的处理， 系统未遭受 到破坏或暂时无法察觉到破坏先按照上述的检查步骤检查一遍后再酌情考虑以下措施。系统 遭受到破坏后应立即采取以下措施： 视情况严重决定处理的方式， 是通过远程处理还是通过实地处理。如情况严重建议采用实地 处理。如采用实地处理，在发现入侵的第一时间通知机房关闭服务器，待处理人员赶到机房 时断开网线，再进入系统进行检查。如采用远程处理，如情况严重第一时间停止所有应用服 务，更改 IP 策略为只允许远程管理端口进行连接然后重新启动服务器，重新启动之后再远 程连接上去进行处理， 重启前先用 AReporter 检查开机自启动的程序。然后再进行安全检查。以下处理措施针对用户站点被入侵但未危及系统的情况， 如果用户要求加强自己站点的 安全性，可按如下方式加固用户站点的安全： 站点根目录----只给 administrator 读取权限，权限继承下去。wwwroot ------给 web 用户读取、写入权限。高级里面有删除子文件夹和文件权限 logfiles------给 system 写入权限。database------给 web 用户读取、写入权限。高级里面没有删除子文件夹和文件权限 如需要进一步修改，可针对用户站点的特性对于普通文件存放目录如 html、js、图片文 件夹只给读取权限，对 asp 等脚本文件给予上表中的权限。另外查看该用户站点对应的安全 日志，找出漏洞原因，协助用户修补程序漏洞。数据备份和数据恢复 数据备份工作大致如下： 1． 每月备份一次系统数据。2． 备份系统后的两周单独备份一次应用程序数据，主要包括 IIS、serv-u、数据库等数 据。3． 确保备份数据的安全， 并分类放置这些数据备份。因基本上采用的都是全备份方法， 对于数据的保留周期可以只保留该次备份和上次备份数据两份即可。本文来自猴岛论坛 ：/r28382/
第一篇:web服务器安全配置6、先关闭不需要的端口 开启防火墙 导入 IPSEC 策略 、 在” 网络连接”里，把不需要的协议和服务都删掉，这里只安装了基本的 Internet 协议（TCP/IP），由于 要控制带宽流量服务，额外安装了 Qos 数据包计划程序。在高级 tcp/ip 设置里--&NetBIOS&设置&禁用 tcp/IP 上的 NetBIOS（S）&。在高级选项里，使用&Internet 连接防火墙&，这是 windows 2003 自带 的防火墙， 2000 系统里没有的功能， 在 虽然没什么功能， 但可以屏蔽端口， 这样已经基本达到了一个 IPSec 的功能。
然后点击确定―&下一步安装。（具体见本文附件 1） ３、系统补丁的更新 点击开始菜单―&所有程序―&Windows Update 按照提示进行补丁的安装。４、备份系统 用 GHOST 备份系统。５、安装常用的软件 安装常用的软件 例如：杀毒软件、解压缩软件等；安装完毕后,配置杀毒软件,扫描系统漏洞,安装之后用 GHOST 再次备份
修改 3389 远程连接端口 修改注册表. 开始--运行--regedit 依次展开 HKEY_LOCAL_MACHINE/SYSTEM/CURRENTCONTROLSET/CONTROL/ TERMINAL SERVER/WDS/RDPWD/TDS/TCP 右边键值中 PortNumber 改为你想用的端口号.注意使用十进制(例 10000 )
HKEY_LOCAL_MACHINE/SYSTEM/CURRENTCONTROLSET/CONTROL/TERMINAL SERVER/ WINSTATIONS/RDP-TCP/ 右边键值中 PortNumber 改为你想用的端口号.注意使用十进制(例 10000 )
注意：别忘了在 WINDOWS2003 自带的防火墙给+上 10000 端口 修改完毕.重新启动服务器.设置生效. 二、用户安全设置 1、禁用 Guest 账号 、 在计算机管理的用户里面把 Guest 账号禁用。为了保险起见，最好给 Guest 加一个复杂的密码。你可以 打开记事本，在里面输入一串包含特殊字符、数字、字母的长字符串，然后把它作为 Guest 用户的密码拷 进去。2、限制不必要的用户 、 去掉所有的 Duplicate User 用户、测试用户、共享用户等等。用户组策略设置相应权限，并且经常检查 系统的用户，删除已经不再使用的用户。这些用户很多时候都是黑客们入侵系统的突破口。3、把系统 Administrator 账号改名 、 大家都知道，Windows 2003 的 Administrator 用户是不能被停用的，这意味着别人可以一遍又一遍地 尝试这个用户的密码。尽量把它伪装成普通用户，比如改成 Guesycludx。4、创建一个陷阱用户 、 什么是陷阱用户?即创建一个名为“Administrator”的本地用户，把它的权限设置成最低，什么事也干不了 的那种，并且加上一个超过 10 位的超级复杂密码。这样可以让那些 Hacker 们忙上一段时间，借此发现 它们的入侵企图。如下图 Administrator 已经不是管理员，是陷阱用户。
5、把共享文件的权限从 Everyone 组改成授权用户 、 任何时候都不要把共享文件的用户设置成“Everyone”组，包括打印共享，默认的属性就是“Everyone”组 的，一定不要忘了改。6、开启用户策略 、
开始菜单―&管理工具―&本地安全策略，使用用户策略，分别设置复位用户锁定计数器时间为 20
分钟，用户锁定时间为 20 分钟，用户锁定阈值为 3 次。（该项为可选）
7、不让系统显示上次登录的用户名 、
不显示上次登录的用户名 ， 。一、打开“我的电脑”――“控制面板” 双击打开“管理工具” 打开“我的电脑”――“控制面板” 双击打开“管理工具”
。二、在“管理工具”界面中，双击打开“本地安全策略” 管理工具”界面中，双击打开“本地安全策略”
。三、在弹出的“本地安全设置”对话框中，选择“安全选项” 在弹出的“本地安全设置”对话框中，选择“安全选项”
。四、在“安全选项”列表中，选择“交互式登录：不显示上次的用户名” 安全选项”列表中，选择“交互式登录：不显示上次的用户名”
。五、单击右键，选择“属性” 单击右键，选择“属性”
， 六、在弹出的“交互式登录：不显示上次的用户名属性”选项框中，选择“已启用” 单击 在弹出的“交互式登录：不显示上次的用户名属性”选项框中，选择“已启用” 确定”按钮，完成设置。“确定”按钮，完成设置。
密码安全设置 1、使用安全密码 、 一些公司的管理员创建账号的时候往往用公司名、计算机名做用户名， 一些公司的管理员创建账号的时候往往用公司名、计算机名做用户名，然后又把这些用户的密码设置得太 管理员创建账号的时候往往用公司名 简单，比如“ 简单，比如“welcome”等等。因此，要注意密码的复杂性，还要记住经常改密码。”等等。因此，要注意密码的复杂性，还要记住经常改密码。2、设置屏幕保护密码 、 这是一个很简单也很有必要的操作。设置屏幕保护密码也是防止内部人员破坏服务器的一个屏障。这是一个很简单也很有必要的操作。设置屏幕保护密码也是防止内部人员破坏服务器的一个屏障。3、开启密码策略 、 注意应用密码策略，如启用密码复杂性要求， 注意应用密码策略，如启用密码复杂性要求，设置密码长度最小值为 6 位 ，设置强制密码历史为 5 次， 时间为 42 天。4、考虑使用智能卡来代替密码 、 对于密码，总是使安全管理员进退两难，密码设置简单容易受到黑客的攻击，密码设置复杂又容易忘记。对于密码，总是使安全管理员进退两难，密码设置简单容易受到黑客的攻击，密码设置复杂又容易忘记。复杂又容易忘记 如果条件允许，用智能卡来代替复杂的密码是一个很好的解决方法。如果条件允许，用智能卡来代替复杂的密码是一个很好的解决方法。三、系统权限的设置
１、磁盘权限 (如下设置，我们已经写一个 CMD 脚本，按要求复制运行即可以取代如下手工设定) 系统盘及所有磁盘只给 Administrators 组和 SYSTEM 的完全控制权限 系统盘\Documents and Settings 目录只给 Administrators 组和 SYSTEM 的完全控制权限 系统盘\Documents and Settings\All Users 目录只给 Administrators 组和 SYSTEM 的完全控制 权限 系统盘\Windows\System32\cacls.exe、cmd.exe、net.exe、net1.exe、ftp.exe、 tftp.exe、telnet.exe 、netstat.exe、regedit.exe、at.exe、attrib.exe、、 del 文件只给 Administrators 组和 SYSTEM 的完全 控制权限 另将\System32\cmd.exe、、ftp.exe 转移到其他目录或更名
Documents and Settings 下所有些目录都设置只给 adinistrators 权限。并且要一个一个目录查看，包 括下面的所有子目录。删除 c:\inetpub 目录
系统的 NTFS 磁盘权限设置，大家可能看得都多了，但是 2003 服务器有些细节地 方需要注意的，我看很多文章都没写完全。C 盘只给 administrators 和 system 权限，其他的权限不给，其他的盘也可以这 样设置，这里给的 system 权限也不一定需要给，只是由于某些第三方应用程序 是以服务形式启动的，需要加上这个用户，否则造成启动不了。
Windows 目录要加上给 users 的默认权限，否则 ASP 和 ASPX 等应用程序就无法 运行。以前有朋友单独设置 Instsrv 和 temp 等目录权限，其实没有这个必要的。
另外在 c:/Documents and Settings/这里相当重要，后面的目录里的权限根本 不会继承从前的设置，如果仅仅只是设置了 C 盘给 administrators 权限，而在 All Users/Application Data 目录下会 出现 everyone 用户有完全控制权限， 这样入侵这可以跳转到这个目录，写入脚本或只文件，再结合其他漏洞来提升权 限。在用做 web/ftp 服务器的系 统里，建议是将这些目录都设置的锁死。其他 每个盘的目录都按照这样设置，没个盘都只给 adinistrators 权限。
http:// 另外， 还将： net.exe， cmd.exe， tftp.exe， netstat.exe， regedit.exe， at.exe， attrib.exe，cacls.exe，这些文件都设置只允许 administrators 访问。把不必要的服务都禁止掉，尽管这些不一定能被攻击者利用得上，但是按照安全 规则和标准上来说，多余的东西就没必要开启，减少一份隐患。
２、本地安全策略设置 开始菜单―&管理工具―&本地安全策略 A、本地策略――&审核策略 审核策略更改 审核登录事件 成功 成功 失败 失败
审核对象访问失败 审核过程跟踪 无审核
审核目录服务访问失败 审核特权使用失 败 审核系统事件 成功 失败
审核账户登录事件 审核账户管理 成功
B、本地策略――&用户权限分配 关闭系统：只有 Administrators 组、其它全部删除。通过终端服务允许登陆：只加入 Administrators,Remote Desktop Users 组，其他全部删除
C、本地策略――&安全选项 交互式登陆：不显示上次的用户名 启用 启用
网络访问：不允许 SAM 帐户和共享的匿名枚举 网络访问：不允许为网络身份验证储存凭证 网络访问：可匿名访问的共享 全部删除 启用
网络访问：可匿名访问的命全部删除 网络访问：可远程访问的注册表路径全部删除 网络访问：可远程访问的注册表路径和子路径全部删除 帐户：重命名来宾帐户重命名一个帐户 帐户：重命名系统管理员帐户 重命名一个帐户
运行-services.msc (如下设置，我们已经写一个 CMD 脚本，按要求复制 ３、禁用不必要的服务 开始 运行 禁用不必要的服务 开始-运行 运行即可以取代如下手工设定,) TCP/IPNetBIOS Helper 提供 TCP/IP 服务上的 NetBIOS 和网络上客户端的 NetBIOS 名称解析的 支持而使用户能够共享 文件、打印和登录到网络 Server 支持此计算机通过网络的文件、打印、和命名管道共享 Computer Browser 维护网络上计算机的最新列表以及提供这个列表 Task scheduler 允许程序在指定时间运行 Messenger 传输客户端和服务器之间的 NET SEND 和 警报器服务消息 Distributed File System: 局域网管理共享文件，不需要可禁用 Distributed linktracking client：用于局域网更新连接信息，不需要可禁用 Error reporting service：禁止发送错误报告 Microsoft Serch：提供快速的单词搜索，不需要可禁用 NTLMSecuritysupportprovide：telnet 服务和 Microsoft Serch 用的，不需要可禁用 PrintSpooler：如果没有打印机可禁用 Remote Registry：禁止远程修改注册表 Remote Desktop Help Session Manager：禁止远程协助 Workstation 关闭的话远程 NET 命令列不出用户组 以上是在 Windows Server 2003 系统上面默认启动的服务中禁用的，默认禁用的服务如没特别需要的 话不要启动。４、修改注册表 (如下设置，我们已经写一个 CMD 脚本，按要求复制运行即可以取代如下手工设定,) 修改注册表 注册 修改注册表，让系统更强壮 4.1、隐藏重要文件/目录可以修改注册表实现完全隐藏 (如下设置，我们已经写一个 CMD 脚本，按要求 、隐藏重要文件 目录可以修改注册表实现完全隐藏 目录可以修改注册 复制运行即可以取代如下手工设定,)
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\ Current-Version\Explorer\Advanced\Folder\Hi-dden\SHOWALL”，鼠标右击 “CheckedValue”， 选择修改，把数值由 1 改为 0 4.2、防止 SYN 洪水攻击 (如下设置，我们已经写一个 CMD 脚本，按要求复制运行即可以取代如下手工 、 设定,) HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters 新建 DWORD 值，名为 SynAttackProtect，值为 2 新建 EnablePMTUDiscovery REG_DWORD 0 新建 NoNameReleaseOnDemand REG_DWORD 1 新建 EnableDeadGWDetect REG_DWORD 0 新建 KeepAliveTime REG_DWORD 300,000 新建 PerformRouterDiscovery REG_DWORD 0 新建 EnableICMPRedirects REG_DWORD 0
SYN 攻击属于 DOS 攻击的一种，它利用 TCP 协议缺陷，通过发送大量的半连 接请求， 耗费 CPU 和内存资源。攻击除了能影响主机外， SYN 还可以危害路由器、 防火墙等网络系统，事实上 SYN 攻击并不管目标是什么系统，只要这些系统打开 TCP 服 务就可以实施。从上图可看到，服务器接收到连接请求（syn=j），将此 信息加入未连接队列，并发送请求包给客户（syn=k,ack=j+1），此时进 入 SYN_RECV 状态。当服务器未收到客户端的确认包时，重发请求包，一直到超时， 才将此条目从未连接队列删除。配合 IP 欺骗，SYN 攻击能达到很好的 效果，通 常，客户端在短时间内伪造大量不存在的 IP 地址，向服务器不断地发送 syn 包， 服务器回复确认包，并等待客户的确认，由于源地址是不存在的，服务 器需要 不断的重发直至超时，这些伪造的 SYN 包将长时间占用未连接队列，正常的 SYN 请求被丢弃，目标系统运行缓慢，严重者引起网络堵塞甚至系统瘫痪。为防范 SYN 攻击，win2000 系统的 tcp/ip 协议栈内嵌了 SynAttackProtect 机制，Win2003 系统也采用此机制。SynAttackProtect 机制是通过关闭某些 socket 选项，增加额 外的连接指示和减少超时时间，使系统能处理更多的 SYN 连接，以达到防范 SYN 攻击的目的。默认情况下，Win2000 操作系统并不支持 SynAttackProtect 保护机制，需要在注册表以下位置增加 SynAttackProtect 键 值：HKLM\SYSTEM \CurrentControlSet\Services\Tcpip\Parameters 当 SynAttackProtect 值（如无特别说明，本文提到的注册表键值都为十六 进制）为 0 或不设置时，系统不受 SynAttackProtect 保护。当 SynAttackProtect 值为 2 时，系统通过减少重传次数和延迟未连接时路 由缓冲项（route cache entry）防范 SYN 攻击。
修改注册表，防止 SYN 攻击 一、单击“开始”――“运行”输入“regedit”，单击“确定”按钮，打 单击“开始”――“运行”输入“regedit”，单击“确定”按钮， “regedit” 开注册表。开注册表。
二、找到注册表位置： 找到注册表位置： HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\ HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameter s SynAttackProtect。新建 DWORD 值，名为 SynAttackProtect。
键值的属性。三、点击右键修改 SynAttackProtec t 键值的属性。
对话框数值数据栏中输入“2” 三、在弹出的“编辑 DWORD 值”对话框数值数据栏中输入“2” 在弹出的“ 出的
洪水攻击。四、单击“确定”，继续在注册表中添加下列键值，防范 SYN 洪水攻击。单击“确定” 继续在注册表中添加下列键值， EnablePMTUDiscovery REG_DWORD 0 NoNameReleaseOnDemand REG_DWORD 1 EnableDeadGWDetect REG_DWORD 0 KeepAliveTime REG_DWORD 300,000 PerformRouterDiscovery REG_DWORD 0 EnableICMPRedirects REG_DWORD 0
4.3. 禁止响应 ICMP 路由通告报文 (如下设置，我们已经写一个 CMD 脚本，按要求复制运行即可以取 代如下手工设定,) HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters \Interfaces\interface 新建 DWORD 值，名为 PerformRouterDiscovery 值为 0 4.4. 防止 ICMP 重定向报文的攻击 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters 将 EnableICMPRedirects 值设为 0 4.5. 不支持 IGMP 协议 (如下设置，我们已经写一个 CMD 脚本，按要求复制运行即可以取代如下手工 设定,)
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters 新建 DWORD 值，名为 IGMPLevel 值为 0 4.6、禁止 IPC 空连接 (如下设置，我们已经写一个 CMD 脚本，按要求复制运行即可以取代如下手工设 、 定,) cracker 可以利用 net use 命令建立空连接， 进而入侵， 还有 net view， nbtstat 这些都是基于空连接的， 禁止空连接就好了。Local_Machine\System\CurrentControlSet\Control\LSA-RestrictAnonymous 把这个值改成”1” 即可。4.7、更改 TTL 值 、 cracker 可以根据 ping 回的 TTL 值来大致判断你的操作系统，如： TTL=107(WINNT); TTL=108(win2000); TTL=127 或 128(win9x); TTL=240 或 241(linux); TTL=252(solaris); TTL=240(Irix); 实际上你可以自己改的：HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ Tcpip\ Parameters：DefaultTTL REG_DWORD 0-0xff(0-255 十进制,默认值 128)改成一个莫名其 妙的数字如 258，起码让那些小菜鸟晕上半天，就此放弃入侵你也不一定哦 4.8. 删除默认共享 (如下设置，我们已经写一个 CMD 脚本，按要求复制运行即可以取代如下手工设定,) 有人问过我一开机就共享所有盘，改回来以后，重启又变成了共享是怎么回事，这是 2K 为管理而设置的 默认共享，HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services \LanmanServer\Parameters：AutoShareServer 类型是 REG_DWORD 把值改为 0 即可 4.9. 禁止建立空连接 (如下设置， 我们已经写一个 CMD 脚本， 按要求复制运行即可以取代如下手工设定,) 默认情况下，任何用户通过通过空连接连上服务器，进而枚举出帐号，猜测密码。我们可以通过修改注册 表来禁止建立空连接： Local_Machine\System\CurrentControlSet\Control\LSA-RestrictAnonymous 的值改成”1”即 可。4.10. 建立一个记事本，填上以下代码。保存为*.bat 并加到启动项目中 建立一个记事本，填上以下代码。保存为 以下代码 net share c$ /del net share d$ /del net share e$ /del net share f$ /del net share ipc$ /del net share admin$ /del 5、IIS 站点设置： 、 站点设置：
5.1、将 IIS 目录＆数据与系统磁盘分开，保存在专用磁盘空间内。、 目录＆数据与系统磁盘分开，保存在专用磁盘空间内。5.2、启用父级路径 、 5.3、在 IIS 管理器中删除必须之外的任何没有用到的映射（保留 asp, aspx html htm 等必要映射 、 管理器中删除必须之外的任何没有用到的映射（ 即可） 即可） 5.4、在 IIS 中将 HTTP404 Object Not Found 出错页面通过 URL 重定向到一个定制 HTM 文件 、 5.5、Web 站点权限设定（建议） 、 站点权限设定（建议） 读 允许 写 不允 许 脚本源访问 不允许 目录浏览 建议关闭 日志访问 建议关闭 索引资源 建议关闭 执行 推荐选择 “纯脚本”
5.6、建议使用 W3C 扩充日志文件格式，每天记录客户 IP 地址，用户名，服务器端口，方法，URI 字 、 扩充日志文件格式 格式， 地址，用户名，服务器端口 方法， 器端口， 状态，用户代理，而且每天均要审查日志。根，HTTP 状态，用户代理，而且每天均要审查日志。（最好不要使用缺省的目录，建议更换一个记日志 的路径，同时设置日志的访问权限，只允许管理员和 system 为 Full Control）。
5.7、程序安全: 、程序安全 1) 涉及用户名与口令的程序最好封装在服务器端，尽量少的在 ASP 文件里出现，涉及到与数据库连接地 用户名与口令应给予最小的权限; 2) 需要经过验证的 ASP 页面，可跟踪上一个页面的文件名，只有从上一页面转进来的会话才能读取这个 页面。3) 防止 ASP 主页.inc 文件泄露问题; 4) 防止 UE 等编辑器生成 some.asp.bak 文件泄露问题。6、IIS 权限设置的思路 ?要为每个独立的要保护的个体（比如一个网站或者一个虚拟目录）创建一个系统用户，让这个站点在系统 中具有惟一的可以设置权限的身份。?在 IIS 的【站点属性或者虚拟目录属性→目录安全性→匿名访问和验证控制→编辑→匿名访问→编辑】填 写刚刚创建的那个用户名。?设置所有的分区禁止这个用户访问，而刚才这个站点的主目录对应的那个文件夹设置允许这个用户访问 （要去掉继承父权限，并且要加上超管组和 SYSTEM 组）。
7、卸载最不安全的组件 （注意 按实际要求删除，删除后用不了 FSO 的） 、 注意: 按实际要求删除， (如下设置，我们已经写一个 CMD 脚本，按要求复制运行即可以取代如下手工设定,) 最简单的办法是直接卸载后删除相应的程序文件。将下面的代码保存为一个.BAT 文件，( 以下均以 WIN2000 为例，如果使用 2003，则系统文件夹应该是 C:\WINDOWS\ ) regsvr32/u C:\WINDOWS\System32\wshom.ocx del C:\WINDOWS\System32\wshom.ocx regsvr32/u C:\WINDOWS\system32\shell32.dll del C:\WINNT\WINDOWS\shell32.dll 然后运行一下，WScript.Shell, Shell.application, WScript.Network 就会被卸载了。可能会提示无法 删除文件，不用管它，重启一下服务器，你会发现这三个都提示“×安全”了。为了方便大家，和减示错误，大部份步骤可以用如下脚本代替，我已经改成脚本 cmd，新建一个 txt 文把， 把如下代码，复制到里面后，把扩展名改为.cmd 双击运行，运行后，请按提示 backup。代码如下 @echo off ECHO. ECHO. ECHO. ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
~~~~~~~~~~~~~~~~~~ ECHo. ECHo 你现在使用世界网络教研室整理的&一建做安全&脚本 ECHo. ECHO. ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~~~~~~~~~~~~~~~ ECHO. ECHO. ECHO. ------------------------------------------------------------------------ECHo 请按提示操作备份好注册表,否则修改后无法还原,本人不负责. ECHO. ECHO YES=next set NO=exit (this time 30 Second default for n) ECHO. ------------------------------------------------------------------------CHOICE /T 30 /C yn /D n if errorlevel 2 goto end if errorlevel 1 goto next
:next if EXIST backup (echo.)else md backup
if EXIST temp (rmdir /s/q temp|md temp) else md temp
if EXIST backup\backupkey.reg (move backup\backupkey.reg backup\backupkey_old.reg ) else goto run
:run regedit /e temp\backup-reg1.key1 &HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\& regedit /e temp\backup-reg2.key2 &HKEY_CLASSES_ROOT\& copy /b /y /v temp\backup-reg1.key1+temp\backup-reg2.key2 backup\backupkey.reg
if exist backup\wshom.ocx (echo 备份已存在) else copy /v/y %SystemRoot%\System32\wshom.ocx backup\wshom.ocx
if exist backup\shell32.dll (echo 备份已存在) else copy
/v/y %SystemRoot%\system32\shell32.dll backup\shell32.dll
ECHO 备份已经完成 ECHO. goto next2
:next2 ECHO. ECHO. ------------------------------------------------------------------ECHo 修改权限 system32 目录中不安全的几个 exe 文件,改为只有 Administrators 才有权限运行 ECHO YES=next set NO=this set ignore (this time 30 Second default for y) ECHO. ------------------------------------------------------------------CHOICE /T 30 /C yn /D y if errorlevel 2 goto next3 if errorlevel 1 goto next21
:next21 xcacls.exe %SystemRoot%\system32\net.exe /t /g Administrators:F /y /C xcacls.exe %SystemRoot%\system32\net1.exe /t /g Administrators:F /y /C xcacls.exe %SystemRoot%\system32\cmd.exe /t /g Administrators:F /y /C xcacls.exe %SystemRoot%\system32\tftp.exe /t /g Administrators:F /y /C xcacls.exe %SystemRoot%\system32\netstat.exe /t /g Administrators:F /y /C xcacls.exe %SystemRoot%\system32\regedit.exe /t /g Administrators:F /y /C xcacls.exe %SystemRoot%\system32\at.exe /t /g Administrators:F /y /C xcacls.exe %SystemRoot%\system32\attrib.exe /t /g Administrators:F /y /C xcacls.exe %SystemRoot%\system32\cacls.exe /t /g Administrators:F /y /C xcacls.exe %SystemRoot%\ /t /g Administrators:F /y /C xcacls.exe %SystemRoot%\system32\secedit.exe /t /g Administrators:F /y /C
echo &虚拟主机 C 盘权限设定&
echo &删除 C 盘的 everyone 的权限& cd/ cacls &%SystemDrive%& /r &everyone& /e
cacls &%SystemRoot%& /r &everyone& /e cacls &%SystemRoot%/Registration& /r &everyone& /e cacls &%SystemDrive%/Documents and Settings& /r &everyone& /e
echo &删除 C 盘的所有的 users 的访问权限&
cacls &%SystemDrive%& /r &users& /e cacls &%SystemDrive%/Program Files& /r &users& /e cacls &%SystemDrive%/Documents and Settings& /r &users& /e
cacls &%SystemRoot%& /r &users& /e cacls &%SystemRoot%/addins& /r &users& /e cacls &%SystemRoot%/AppPatch& /r &users& /e cacls &%SystemRoot%/Connection Wizard& /r &users& /e cacls &%SystemRoot%/Debug& /r &users& /e cacls &%SystemRoot%/Driver Cache& /r &users& /e cacls &%SystemRoot%/Help& /r &users& /e cacls &%SystemRoot%/IIS Temporary Compressed Files& /r &users& /e cacls &%SystemRoot%/java& /r &users& /e cacls &%SystemRoot%/msagent& /r &users& /e cacls &%SystemRoot%/mui& /r &users& /e cacls &%SystemRoot%/repair& /r &users& /e cacls &%SystemRoot%/Resources& /r &users& /e cacls &%SystemRoot%/security& /r &users& /e cacls &%SystemRoot%/system& /r &users& /e cacls &%SystemRoot%/TAPI& /r &users& /e cacls &%SystemRoot%/Temp& /r &users& /e cacls &%SystemRoot%/twain_32& /r &users& /e cacls &%SystemRoot%/Web& /r &users& /e
cacls &%SystemRoot%/system32/3com_dmi& /r &users& /e cacls &%SystemRoot%/system32/administration& /r &users& /e cacls &%SystemRoot%/system32/Cache& /r &users& /e
cacls &%SystemRoot%/system32/CatRoot2& /r &users& /e cacls &%SystemRoot%/system32/Com& /r &users& /e cacls &%SystemRoot%/system32/config& /r &users& /e cacls &%SystemRoot%/system32/dhcp& /r &users& /e cacls &%SystemRoot%/system32/drivers& /r &users& /e cacls &%SystemRoot%/system32/export& /r &users& /e cacls &%SystemRoot%/system32/icsxml& /r &users& /e cacls &%SystemRoot%/system32/lls& /r &users& /e cacls &%SystemRoot%/system32/LogFiles& /r &users& /e cacls &%SystemRoot%/system32/MicrosoftPassport& /r &users& /e cacls &%SystemRoot%/system32/mui& /r &users& /e cacls &%SystemRoot%/system32/oobe& /r &users& /e cacls &%SystemRoot%/system32/ShellExt& /r &users& /e cacls &%SystemRoot%/system32/wbem& /r &users& /e
echo &添加 iis_wpg 的访问权限& cacls &%SystemRoot%& /g iis_wpg:r /e cacls &%SystemDrive%/Program Files/Common Files& /g iis_wpg:r /e
cacls &%SystemRoot%/Downloaded Program Files& /g iis_wpg:c /e cacls &%SystemRoot%/Help& /g iis_wpg:c /e cacls &%SystemRoot%/IIS Temporary Compressed Files& /g iis_wpg:c /e cacls &%SystemRoot%/Offline Web Pages& /g iis_wpg:c /e cacls &%SystemRoot%/System32& /g iis_wpg:c /e cacls &%SystemRoot%/WinSxS& /g iis_wpg:c /e cacls &%SystemRoot%/WinSxS& /r &users& /e cacls &%SystemRoot%/Tasks& /g iis_wpg:c /e cacls &%SystemRoot%/Temp& /g iis_wpg:c /e cacls &%SystemRoot%/Web& /g iis_wpg:c /e
echo &添加 iis_wpg 的访问权限[.net 专用]& cacls &%SystemRoot%/Assembly& /g iis_wpg:c /e cacls &%SystemRoot%/Microsoft.NET& /g iis_wpg:c /e
echo &添加 iis_wpg 的访问权限[装了 MACFEE 的软件专用]& cacls &%SystemDrive%/Program Files/Network Associates& /g iis_wpg:r /e
echo &添加 users 的访问权限& cacls &%SystemRoot%/temp& /g users:c /e goto next3
:next3 ECHO. ECHO. ECHO. -----------------------------------------------------------------------ECHo 禁止不必要的服务,如果要退出请按 Ctrl+C ECHO YES=next set NO=this set ignore (this time 30 Second default for y) ECHO. -----------------------------------------------------------------------CHOICE /T 30 /C yn /D y if errorlevel 2 goto next4 if errorlevel 1 goto next31
:next31 echo Windows Registry Editor Version 5.00 &temp\Services.reg echo [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanworkstation] &&te mp\Services.reg echo &Start&=dword: &&temp\Services.reg
echo [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Alerter] &&temp\Services. reg echo &Start&=dword: &&temp\Services.reg
echo [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Browser] &&temp\Service s.reg
echo &Start&=dword: &&temp\Services.reg
echo [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Dfs] &&temp\Services.reg echo &Start&=dword: &&temp\Services.reg
echo [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Scheduler] &&temp\Servic es.reg echo &Start&=dword: &&temp\Services.reg
echo [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LmHosts] &&temp\Service s.reg echo &Start&=dword: &&temp\Services.reg
echo [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\TlntSvr] &&temp\Services .reg echo &Start&=dword: &&temp\Services.reg
echo [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RemoteAccess] &&temp\S ervices.reg echo &Start&=dword: &&temp\Services.reg
echo [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NtmsSvc] &&temp\Service s.reg echo &Start&=dword: &&temp\Services.reg
echo [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RemoteRegistry] &&temp\ Services.reg echo &Start&=dword: &&temp\Services.reg
echo [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\TrkWks] &&temp\Services
.reg echo &Start&=dword: &&temp\Services.reg
echo [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ERSvc] &&temp\Services.r eg echo &Start&=dword: &&temp\Services.reg
echo [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Messenger] &&temp\Servi ces.reg echo &Start&=dword: &&temp\Services.reg
echo [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NetLogon] &&temp\Servic es.reg echo &Start&=dword: &&temp\Services.reg
echo [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NetLogon] &&temp\Servic es.reg echo &Start&=dword: &&temp\Services.reg
echo [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NetDDE] &&temp\Services .reg echo &Start&=dword: &&temp\Services.reg
echo [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NetDDEdsdm] &&temp\Se rvices.reg echo &Start&=dword: &&temp\Services.reg
regedit /s temp\Services.reg
goto next4
:next4 ECHO. ECHO. ------------------------------------------------------------------------ECHo 防止人侵和攻击. 如果要退出请按 Ctrl+C ECHO YES=next set NO=this set ignore (this time 30 Second default for y) ECHO. ------------------------------------------------------------------------CHOICE /T 30 /C yn /D y if errorlevel 2 goto next5 if errorlevel 1 goto next41
:next41 echo Windows Registry Editor Version 5.00 &temp\skyddos.reg
echo [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters] &&tem p\skyddos.reg echo &EnableDeadGWDetect&=dword: &&temp\skyddos.reg echo &EnableICMPRedirects&=dword: &&temp\skyddos.reg echo &PerformRouterDiscovery&=dword: &&temp\skyddos.reg echo &NoNameReleaseOnDemand&=dword: &&temp\skyddos.reg echo &KeepAliveTime&=dword: &&temp\skyddos.reg echo &EnablePMTUDiscovery&=dword: &&temp\skyddos.reg echo &SynAttackProtect&=dword: &&temp\skyddos.reg echo &TcpMaxHalfOpen&=dword: &&temp\skyddos.reg echo &TcpMaxHalfOpenRetried&=dword: &&temp\skyddos.reg echo &TcpMaxConnectResponseRetransmissions&=dword: &&temp\skyddos.reg echo &TcpMaxDataRetransmissions&=dword: &&temp\skyddos.reg echo &TCPMaxPortsExhausted&=dword: &&temp\skyddos.reg echo &DisableIPSourceRouting&=dword:0000002 &&temp\skyddos.reg echo &TcpTimedWaitDelay&=dword:0000001e &&temp\skyddos.reg echo &EnableSecurityFilters&=dword: &&temp\skyddos.reg echo &TcpNumConnections&=dword: &&temp\skyddos.reg
echo &TcpMaxSendFree&=dword: &&temp\skyddos.reg echo &IGMPLevel&=dword: &&temp\skyddos.reg echo &DefaultTTL&=dword: &&temp\skyddos.reg
echo 删除 IPC$(Internet Process Connection)是共享“命名管道”的资源 echo [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa] &&temp\skyddos.reg echo &restrictanonymous&=dword: &&temp\skyddos.reg
echo [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfac es\interfaces] &&temp\skyddos.reg echo &PerformRouterDiscovery&=dword: &&temp\skyddos.reg echo [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NetBT\Parameters] &&te mp\skyddos.reg echo &BacklogIncrement&=dword: &&temp\skyddos.reg echo &MaxConnBackLog&=dword: &&temp\skyddos.reg echo [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Afd\Parameters] &&temp\ skyddos.reg echo &EnableDynamicBacklog&=dword: &&temp\skyddos.reg echo &MinimumDynamicBacklog&=dword: &&temp\skyddos.reg echo &MaximumDynamicBacklog&=dword:00002e20 &&temp\skyddos.reg echo &DynamicBacklogGrowthDelta&=dword:0000000a &&temp\skyddos.reg
echo [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters] &&temp\skyddos.reg echo &autoshareserver&=dword: &&temp\skyddos.reg
regedit /s temp\skyddos.reg ECHO. ECHO. goto next5
:next5 ECHO. ECHO. -----------------------------------------------------------------------ECHo 防止 ASP 木马运行 卸除 WScript.Shell, Shell.application, WScript.Network ECHO YES=next set NO=this set ignore (this time 30 Second default for y) ECHO. ----------------------------------------------------------------------CHOICE /T 30 /C yn /D y if errorlevel 2 goto next6 if errorlevel 1 goto next51
:next51 echo Windows Registry Editor Version 5.00 &temp\del.reg
echo [-HKEY_CLASSES_ROOT\Shell.Application] &&temp\del.reg
echo [-HKEY_CLASSES_ROOT\Shell.Application.1] &&temp\del.reg
echo [-HKEY_CLASSES_ROOT\CLSID\{9-11CE-A49E-}] &&temp \del.reg
echo [-HKEY_CLASSES_mand\CLSID] &&temp\del.reg
echo [-HKEY_CLASSES_ROOT\CLSID\{0-AA006D2EA4}] &&temp \del.reg
regedit /s temp\del.reg
regsvr32 /u %SystemRoot%\system32\wshom.ocx del /f/q %SystemRoot%\System32\wshom.ocx regsvr32 /u %SystemRoot%\system32\shell32.dll del /f/q %SystemRoot%\System32\shell32.dll
rmdir /q/s temp
ECHO. goto next6
:next6 ECHO. ECHO. ECHO. --------------------------------------------------------------------ECHo 设置已经完成重启后才能生效. ECHO YES=reboot server NO=exit (this time 60 Second default for y) ECHO. ---------------------------------------------------------------------CHOICE /T 30 /C yn /D y if errorlevel 2 goto end if errorlevel 1 goto reboot
:reboot shutdown /r /t 0
phpmyadmin3.3.0 正式版本刚出，多语言版本也有了。下载后，拷贝至目录，大 概看了下，把根目录 下，config.sample.inc.php 文件，复制一份，重命名为： config.inc.php，然后修改其中的 blowfish_sccret 为任意数据，那个登陆 config 已经不用修改了，这个版本自动为 cookie，也就是登陆用户名和密码验 证式的。保存此 文件，已经可以使用了。相比较以前版本的配置，要简单得太多了。
第一篇:web服务器安全配置Windows 2003 Server Web 服务器安全配置
第一步： 一、先关闭不需要的端口 我比较小心，先关了端口。只开了
1433（MYSQL）有些人 一直说什么默认的 3389 不安全， 对此我不否认， 但是利用的途径也只能一个一 个的穷举爆破，你把帐号改 了密码设置为十五六位，我估计他要破上好几年，哈哈!办法:本地连接--属性 --Internet 协议(TCP/IP)--高级--选项--TCP/IP 筛选--属性--把勾打上 然后 添加你需要的端口即可。PS 一句:设置完端口需要重新启动! 当然大家也可以更改远程连接端口方法: Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Termi nal Server\WinStations\RDP-Tcp] &PortNumber&=dword: 保存为.REG 文件双击即可!更改为 9859， 当然大家也可以换别的端口， 直 接打开以上注册表的地址，把值改为十进制的输入你想要的端口即可!重启生效! 还有一点， 在 2003 系统里， 用 TCP/IP 筛选里的端口过滤功能， 使用 FTP 服务器的时候，只开放 21 端口，在进行 FTP 传输的时候，FTP 特有的 Port 模 式和 Passive 模式，在进行数据传输的时候，需要动态的打开高端口，所以在 使用 TCP/IP 过滤的情况下，经常会出现连接上后无法列 出目录和数据传输的 问题。所以在 2003 系统上增加的 windows 连接防火墙能很好的解决这个问题， 所以都不推荐使用网卡的 TCP/IP 过滤功能。所做 FTP 下载的用户看仔细点， 表怪俺说俺写文章是垃圾...如果要关闭不必要的端口，在 \\system32\\drivers\\etc \\services 中有列表，记事本就可以打开的。如 果懒惰的话，最简单的方法是启用 WIN2003 的自身带的网络防火墙，并进行 端口的改变。功能还可 以!Internet 连接防火墙可以有效地拦截对 Windows 2003 服务器的非法入侵，防止非法远程主机对服务器的扫描，提高 Windows 2003 服务器的安全性。同时，也可以有效拦截利用操作系统漏洞进行端口攻击 的病毒，如冲击波等蠕虫病毒。如果在用 Windows 2003 构造的虚拟路由器上 启用此防火墙功能，能够对整个内部网络起到很好的保护作用。二、关闭不需要的服务 打开相应的审核策略 我关闭了以下的服务 Computer Browser 维护网络上计算机的最新列表以及提供这个列表 Task scheduler 允许程序在指定时间运行 Routing and Remote Access 在局域网以及广域网环境中为企业提供路由服 务 Removable storage 管理可移动媒体、驱动程序和库 Remote Registry Service 允许远程注册表操作 Print Spooler 将文件加载到内存中以便以后打印。要用打印机的朋友不能禁用 这项
IPSEC Policy Agent 管理 IP 安全策略以及启动 ISAKMP/OakleyIKE）和 IP 安全驱动程序 Distributed Link Tracking Client 当文件在网络域的 NTFS 卷中移动时发送 通知 Com+ Event System 提供事件的自动发布到订阅 COM 组件 Alerter 通知选定的用户和计算机管理警报 Error Reporting Service 收集、存储和向 Microsoft 报告异常应用程序 Messenger 传输客户端和服务器之间的 NET SEND 和 警报器服务消息 Telnet 允许远程用户登录到此计算机并运行程序 把不必要的服务都禁止掉， 尽管这些不一定能被攻击者利用得上，但是按照 安全规则和标准上来说，多余的东西就没必要开启，减少一份隐患。在&网络连接&里，把不需要的协议和服务都删掉，这里只安装了基本的 Internet 协议(TCP/IP)，由于要控制带宽流量服务，额外安装了 Qos 数据包 计划程序。在高级 tcp/ip 设置里--&NetBIOS&设置&禁用 tcp/IP 上的 NetBIOS(S)&。在高级选项里，使 用&Internet 连接防火墙&，这是 windows 2003 自带的防火墙，在 2000 系统里没有的功能，虽然没什么功能，但可以屏 蔽端口，这样已经基本达到了一个 IPSec 的功能。在运行中输入 gpedit.msc 回车，打开组策略编辑器，选择计算机配置 -Windows 设置-安全设置-审核策略在创建审核项目时需要注意的是如果审核 的项目太 多，生成的事件也就越多，那么要想发现严重的事件也越难当然如果 审核的太少也会影响你发现严重的事件，你需要根据情况在这二者之间做出选 择。推荐的要审核的项目是: 登录事件 成功 失败 账户登录事件 成功 失败 系统事件 成功 失败 策略更改 成功 失败 对象访问 失败 目录服务访问 失败 特权使用 失败 三、磁盘权限设置 1.系统盘权限设置 C:分区部分： c:\ administrators 全部（该文件夹，子文件夹及文件） CREATOR OWNER 全部（只有子文件来及文件） system 全部（该文件夹，子文件夹及文件） IIS_WPG 创建文件/写入数据（只有该文件夹） IIS_WPG（该文件夹，子文件夹及文件） 遍历文件夹/运行文件 列出文件夹/读取数据 读取属性 创建文件夹/附加数据 读取权限
c:\Documents and Settings administrators 全部（该文件夹，子文件夹及文件） Power Users （该文件夹，子文件夹及文件） 读取和运行 列出文件夹目录 读取 SYSTEM 全部（该文件夹，子文件夹及文件） C:\Program Files administrators 全部（该文件夹，子文件夹及文件） CREATOR OWNER 全部（只有子文件来及文件） IIS_WPG （该文件夹，子文件夹及文件） 读取和运行 列出文件夹目录 读取 Power Users（该文件夹，子文件夹及文件） 修改权限 SYSTEM 全部（该文件夹，子文件夹及文件） TERMINAL SERVER USER （该文件夹，子文件夹及文件） 修改权限 2.网站及虚拟机权限设置（比如网站在 E 盘） 说明：我们假设网站全部在 E 盘 wwwsite 目录下，并且为每一个虚拟机创建了 一个 guest 用户，用户名为 vhost1...vhostn 并且创建了一个 webuser 组， 把所有的 vhost 用户全部加入这个 webuser 组里面方便管理。E:\ Administrators 全部（该文件夹，子文件夹及文件） E:\wwwsite Administrators 全部（该文件夹，子文件夹及文件） system 全部（该文件夹，子文件夹及文件） service 全部（该文件夹，子文件夹及文件） E:\wwwsite\vhost1 Administrators 全部（该文件夹，子文件夹及文件） system 全部（该文件夹，子文件夹及文件） vhost1 全部（该文件夹，子文件夹及文件） 3.数据备份盘 数据备份盘最好只指定一个特定的用户对它有完全操作的权限。比如 F 盘为数据 备份盘，我们只指定一个管理员对它有完全操作的权限。4.其它地方的权限设置 请找到 c 盘的这些文件，把安全性设置只有特定的管理员有完全操作权限。下列这些文件只允许 administrators 访问 net.exe net1.exet cmd.exe tftp.exe netstat.exe
regedit.exe at.exe attrib.exe cacls. 5.删除 c:\inetpub 目录，删除 iis 不必要的映射，建立陷阱帐号，更改描述。四、防火墙、杀毒软件的安装 我 见过的 Win2000/Nt 服务器从来没有见到有安装了防毒软件的， 其实这一点 非常重要。一些好的杀毒软件不仅能杀掉一些著名的病毒，还能查杀大量木马和 后门程序。这样的话，“黑客”们使用的那些有名的木马就毫无用武之地了。不要 忘了经常升级病毒库，我们推荐 mcafree 杀毒软件+blackice 防火 墙 五、SQL2000 SERV-U FTP 安全设置 SQL 安全方面 1.System Administrators 角色最好不要超过两个 2.如果是在本机最好将身份验证配置为 Win 登陆 3.不要使用 Sa 账户，为其配置一个超级复杂的密码 4.删除以下的扩展存储过程格式为: use master sp_dropextendedproc '扩展存储过程名' xp_cmdshell:是进入操作系统的最佳捷径，删除 访问注册表的存储过程，删除 Xp_regaddmultistring Xp_regdeletekey Xp_regdeletevalue Xp_regenumvalues Xp_regread Xp_regwrite Xp_regremovemultistring OLE 自动存储过程，不需要删除 Sp_OACreate Sp_OADestroy Sp_OAGetErrorInfo Sp_OAGetProperty Sp_OAMethod Sp_OASetProperty Sp_OAStop 5.隐藏 SQL Server、更改默认的 1433 端口 右击实例选属性-常规-网络配置中选择 TCP/IP 协议的属性， 选择隐藏 SQL Server 实例，并改原默认的 1433 端口 serv-u 的几点常规安全需要设置下: 选中&Block &FTP_bounce&attack and FXP&。什么是 FXP 呢?通常，当 使用 FTP 协议进行文件传输时，客户端首先向 FTP 服务器发出一个&PORT&命 令， 该命令中包含此用户的 IP 地址和 将被用来进行数据传输的端口号， 服务器 收到后，利用命令所提供的用户地址信息建立与用户的连接。大多数情况下，上 述过程不会出现任何问题， 但当客户端是一 名恶意用户时， 可能会通过在 PORT 命令中加入特定的地址信息，使 FTP 服务器与其它非客户端的机器建立连接。虽然这名恶意用户可能本身无权直接访问某一 特定机器，但是如果 FTP 服务器 有权访问该机器的话，那么恶意用户就可以通过 FTP 服务器作为中介，仍然能 够最终实现与目标服务器的连接。这就是 FXP， 也称跨服务器攻击。选中后就 可以防止发生此种情况。六、IIS 安全设置
IIS 的相关设置： 删除默认建立的站点的虚拟目录， 停 止默认 web 站点， 删除对应的文件目录 c： inetpub，配置所有站点的公共设置，设置好相关的连接数限制，带宽设置以及 性能设置等其他设置。配置应用 程序映射，删除所有不必要的应用程序扩展， 只保留 asp，php，cgi，pl，aspx 应用程序扩展。对于 php 和 cgi，推荐使用 isapi 方式解 析，用 exe 解析对安全和性能有所影响。用户程序调试设置发送 文本错误信息给户。对于数据库，尽量采用 mdb 后缀，不需要更改为 asp，可 在 IIS 中设置 一个 mdb 的扩展映射， 将这个映射使用一个无关的 dll 文件如 C： WINNTsystem32inetsrvssinc.dll 来防止数据库被下载。设置 IIS 的日志保 存目录，调整日志记录信息。设置为发送文本错误信息。修改 403 错误页面， 将其转向到其他页，可防止一些扫描器的探测。另外为隐藏系统信 息，防止 telnet 到 80 端口所泄露的系统版本信息可修改 IIS 的 banner 信息， 可以使用 winhex 手工修改或者使用相关软件如 banneredit 修改。对于用户站点所在的目录，在此说明一下，用户的 FTP 根目录下对应三个文件 佳，wwwroot，database，logfiles，分别存放站点文件，数据库备份和该站 点的日志。如果一旦发生入侵事件可对该用户站点所在目录设 置具体的权限， 图片所在的目录只给予列目录的权限，程序所在目录如果不需要生成文件（如生 成 html 的程序）不给予写入权限。因为是虚拟主机平常对脚本安 全没办法做 到细致入微的地步，更多的只能在方法用户从脚本提升权限： ASP 的安全设置： 设置过权限和服务之后，防范 asp 木马还需要做以下工作，在 cmd 窗口运行以 下命令： regsvr32/u C：\WINNT\System32\wshom.ocx del C：\WINNT\System32\wshom.ocx regsvr32/u C：\WINNT\system32\shell32.dll del C：\WINNT\system32\shell32.dll 即 可将 WScript.Shell， Shell.application， WScript.Network 组件卸载， 可有效防止 asp 木马通过 wscript 或 shell.application 执行命令以及使用木马 查看一些系 统敏感信息。另法：可取消以上文件的 users 用户的权限，重新启 动 IIS 即可生效。但不推荐该方法。另外，对于 FSO 由于用户程序需要使用，服 务器上可以不注销掉该组件，这里 只提一下 FSO 的防范，但并不需要在自动开通空间的虚拟商服务器上使用，只 适合于手工开通的站点。可以针对需要 FSO 和不 需要 FSO 的站点设置两个组， 对于需要 FSO 的用户组给予 c：winntsystem32scrrun.dll 文件的执行权限， 不需要的不给权限。重新启 动服务器即可生效。对于这样的设置结合上面的权限设置，你会发现海阳木马已经在这里失去了作 用！ PHP 的安全设置： 默认安装的 php 需要有以下几个注意的问题： C：\winnt\php.ini 只给予 users 读权限即可。在 php.ini 里需要做如下设置： Safe_mode=on register_globals = Off allow_url_fopen = Off display_errors = Off
magic_quotes_gpc = On [默认是 on，但需检查一遍] open_basedir =web 目录 disable_functions =passthru，exec，shell_exec，system，phpinfo， get_cfg_var，popen，chmod 默认设置 com.allow_dcom = true 修改为 false[修改前要取消掉前面的；] MySQL 安全设置： 如果服务器上启用 MySQL 数据库，MySQL 数据库需要注意的安全设置为： 删 除 mysql 中的所有默认用户， 只保留本地 root 帐户， 为 root 用户加上一个 复杂的密码。赋予普通用户 updatedeletealertcreatedrop 权限的时候，并限 定到特定的数据库，尤其要避免普通客户拥有对 mysql 数据库操作的权限。检 查 mysql.user 表，取消不必要用户的 shutdown_priv，relo ad_priv，process_priv 和 File_priv 权限，这些权限可能泄漏更多的服务器 信息包括非 mysql 的其它信息出去。可以为 mysql 设置一个启动用户，该用户 只对 mysql 目录有权限。设置安装 目录的 data 数据库的权限（此目录存放了 mysql 数据库的数据信息）。对于 mysql 安装目录给 users 加上读取、列目录 和执行权限。Serv-u 安全问题： 安 装程序尽量采用最新版本，避免采用默认安装目录，设置好 serv-u 目录所 在的权限，设置一个复杂的管理员密码。修改 serv-u 的 banner 信息，设 置 被动模式端口范围（）在本地服务器中设置中做好相关安全设置： 包括检查匿名密码，禁用反超时调度，拦截“FTP bounce”攻击和 FXP，对于在 30 秒内连接超过 3 次的用户拦截 10 分钟。域中的设置为：要求复杂密码，目 录只使用小写字母，高级中设置取消允许使用 MDTM 命令更改文件的日期。更改 serv-u 的启动用户：在系统中新建一个用户，设置一个复杂点的密码，不 属于任何组。将 servu 的安装目录 给予该用户完全控制权限。建立一个 FTP 根目录，需要给予这个用户该目录完全控制权限，因为所有的 ftp 用户上传，删 除，更改文件都是继承了该用户的权 限，否则无法操作文件。另外需要给该目 录以上的上级目录给该用户的读取权限，否则会在连接的时候出现 530 Not logged in， home directory does not exist.比如在测试的时候 ftp 根目录 为 d：soft，必须给 d 盘该用户的读取权限，为了安全取消 d 盘其他文件夹的继 承权限。而一般的使用默认的 system 启动就没有这些问题，因为 system 一 般都拥有这些权限的。七、其它 1.隐藏重要文件/目录可以修改注册表实现完全隐 藏： HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\ Current-Version\Explorer\Advanced\Folder\Hi-dden\SHOWALL”， 鼠标 右击 “CheckedValue”，选择修改，把数值由 1 改为 0 2.启动系统自带的 Internet 连接防火墙，在设置服务选项中勾选 Web 服务器； 3.防止 SYN 洪水攻击： HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\ Parameters 新建 DWORD 值，名为 SynAttackProtect，值为 2 EnablePMTUDiscovery REG_DWORD 0 NoNameReleaseOnDemand REG_DWORD 1
EnableDeadGWDetect REG_DWORD 0 KeepAliveTime REG_DWORD 300，000 PerformRouterDiscovery REG_DWORD 0 EnableICMPRedirects REG_DWORD 0 4. 禁止响应 ICMP 路由通告报文： HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\ Parameters\Interfaces\interface 新建 DWORD 值，名为 PerformRouterDiscovery 值为 0 5. 防止 ICMP 重定向报文的攻击： HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\ Parameters 将 EnableICMPRedirects 值设为 0 6. 不支持 IGMP 协议： HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\ Parameters 新建 DWORD 值，名为 IGMPLevel 值为 0 7.修改终端服务端口： 运 行 regedit，找到[HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Control \ Terminal Server \ Wds \ rdpwd \ Tds \ tcp]， 看到右边的 PortNumber 了吗？在十进制状态下改成你想要的端口号吧， 比如 7126 之类的，只要不与其它冲突即可。第二处 HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Control \ Terminal Server \ WinStations \ RDP-Tcp，方法同上，记得改 的端口号和上面改的一样就行了。8.禁止 IPC 空连接： cracker 可以利用 net use 命令建立空连接， 进而入侵， 还有 net view， nbtstat 这些都是基于空连接的，禁止空连接就好了。打开注册表，找到 Local_Machine\System \CurrentControlSet\Control\LSA-RestrictAnonymous 把这个值改成”1” 即可。9.更改 TTL 值： cracker 可以根据 ping 回的 TTL 值来大致判断你的操作系统，如： TTL=107（WINNT）; TTL=108（win2000）; TTL=127 或 128（win9x）; TTL=240 或 241（linux）; TTL=252（solaris）; TTL=240（Irix）; 实际上你可以自己更改的： HKEY_LOCAL_MACHINE\SYSTEM \CurrentControlSet\Services\Tcpip\Parameters：DefaultTTL REG_DWORD 0-0xff（0-255 十进制，默认值 128）改成一个莫名其妙的数 字如 258，起码让那些小菜鸟晕上半天，就此放弃入侵你也不一定哦。10. 删除默认共享：
有 人问过我一开机就共享所有盘，改回来以后，重启又变成了共享是怎么回事， 这是 2K 为管理而设置的默认共享，必须通过修改注册表的方式取消 它： HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Lanma nServer \Parameters：AutoShareServer 类型是 REG_DWORD 把值改为 0 即可 11. 禁止建立空连接： 默认情况下， 任何用户通过通过空连接连上服务器， 进而枚举出帐号， 猜测密码。我们可以通过修改注册表来禁止建立空连接： Local_Machine\System\CurrentControlSet\Control\LSA-RestrictAnon ymous 的值改成”1”即可。12.禁用 TCP/IP 上的 NetBIOS 网上邻居-属性-本地连接-属性-Internet 协议（TCP/IP）属性-高级-WINS 面 板-NetBIOS 设置-禁用 TCP/IP 上的 NetBIOS。这样 cracker 就无法用 nbtstat 命令来读取你的 NetBIOS 信息和网卡 MAC 地址了。13. 账户安全 首 先禁止一切账户，除了你自己，呵呵。然后把 Administrator 改名。我呢就 顺手又建了个 Administrator 账户，不过是什么权限都没有的 那种，然后打开 记事本，一阵乱敲，复制，粘贴到“密码”里去，呵呵，来破密码吧~！破完了才 发现是个低级账户，看你崩溃不？ 创建 2 个管理员用帐号 虽 然这点看上去和上面这点有些矛盾，但事实上是服从上面的规则的。创建一 个一般权限帐号用来收信以及处理一些日常事物，另一个拥有 Administrators 权限的帐户只在需要的时候使用。可以让管理员使用 “ RunAS” 命令来执行一 些需要特权才能作的一些工作，以方便管理 14.更改 C:\WINDOWS\Help\iisHelp\common\404b.htm 内容改为这样， 出错了自动转到首页。15.本地安全策略和组策略的设置，如果你在设置本地安全策略时设置错了，可 以这样恢复成它的默认值 打开 %SystemRoot%\Security 文件夹，创建一个 &OldSecurity&子目录， 将%SystemRoot%\Security 下所有的.log 文件移到这个新建的子文件夹中 在%SystemRoot%\Security\database\下找到&Secedit.sdb&安全数据库 并将其改名，如改为&Secedit.old& 启动&安全配置和分析&MMC 管理单元:&开始&-&&运行&-&&MMC&，启动管理控 制台，&添加/删除管理单元&，将&安全配置和分析&管理单元添加上 右击&安全配置和分析&-&&打开数据库&，浏览 &C:\WINNT\security\Database&文件夹，输入文件名&secedit.sdb&，单击& 打开& 当 系统提示输入一个模板时，选择&Setup Security.inf&，单击&打开&，如果 系统提示&拒绝访问数据库&，不管他，你会发现在&C:\WINNT\security \Database&子文件夹中重新生成了新的安全数据库， 在&C:\WINNT\security& 子文件夹下重新生成了 log 文件，安全数据库重建成 功。16.禁用 DCOM: 运行中输入 Dcomcnfg.exe。回车， 单击“控制台根节点”下的“组件服务”。打
开“计算机”子文件夹。对于本地计算机， 请以右键单击“我的电脑”， 然后选择“属 性”。选择“默认属性”选项卡。清除“在这台计算机上启用分布式 COM”复选框。
第二步： 尽管 Windows 2003 的功能在不断增强，但是由于先天性的原因，它还存在不 少安全隐患，要是不将这些隐患“堵住”，可能会给整个系统带来不必要的麻烦； 下面笔者就介绍 Windows2003 中不常见的安全隐患的防堵方法，希望能对各 位带来帮助！ 堵住自动保存隐患 Windows 2003 操作系统在调用应用程序出错时，系统中的 Dr. Watson 会自动将一些重要的调试信息保存起来，以便日后维护系统时查看，不过这些信 息很有可能被黑客“瞄上”，一旦瞄上的话，各种重要的调试信息就会 暴露无疑， 为了堵住 Dr. Watson 自动保存调试信息的隐患，我们可以按如下步骤来实现： 1、打开开始菜单，选中“运行”命令，在随后打开的运行对话框中，输入注 册表编辑命令“ergedit”命令，打开一个注册表编辑窗口； 2、在该窗口中，用鼠标依次展开 HKEY_local_machine＼software＼ Microsoft＼WindowsdowsNT＼CurrentVersion＼AeDebug 分支，在对应 AeDebug 键值的右边子窗口中，用鼠标双击 Auto 值，在弹出的参数设置窗口 中，将其数值重新设置为“0”， 3、 打开系统的 Windows 资源管理器窗口， 并在其中依次展开 Documents and Settings 文件夹、All Users 文件夹、Shared Documents 文件夹、 DrWatson 文件夹，最后将对应 DrWatson 中的 User.dmp 文件、 Drwtsn32.log 文件删除掉。完成上面的设置后，重新启动一下系统，就可以堵住自动保存隐患了。堵住资源共享隐患 为了给局域网用户相互之间传输信息带来方便，Windows Server 2003 系统很是“善解人意”地为各位提供了文件和打印共享功能， 不过我们在享受该功 能带来便利的同时，共享功能也会“引狼入室”，“大度”地向黑客们敞 开了不少 漏洞，给服务器系统造成了很大的不安全性；所以，在用完文件或打印共享功能 时，大家千万要随时将功能关闭哟，以便堵住资源共享隐患，下面就是关闭 共 享功能的具体步骤： 1、执行控制面板菜单项下面的“网络连接”命令，在随后出现的窗口中，用 鼠标右键单击一下“本地连接”图标；
2、在打开的快捷菜单中，单击“属性”命令，这样就能打开一个“Internet 协议(TCP/IP)”属性设置对话框； 3、在该界面中取消“Microsoft 网络的文件和打印机共享”这个选项； 4、如此一来，本地计算机就没有办法对外提供文件与打印共享服务了，这 样黑客自然也就少了攻击系统的“通道”。堵住远程访问隐患 在 Windows2003 系统下，要进行远程网络访问连接时，该系统下的远程 桌面功能可以将进行网 络连接时输入的用户名以及密码，通过普通明文内容方 式传输给对应连接端的客户端程序；在明文帐号传输过程中，实现“安插”在网络 通道上的各种嗅探工具，会 自动进入“嗅探”状态，这个明文帐号就很容易被“俘 虏”了；明文帐号内容一旦被黑客或其他攻击者另谋他用的话，呵呵，小心自己 的系统被“疯狂”攻击吧！为 了杜绝这种安全隐患，我们可以按下面的方法来为 系统“加固”： 1、点击系统桌面上的“开始”按钮，打开开始菜单； 2、从中执行控制面板命令，从弹出的下拉菜单中，选中“系统”命令，打开 一个系统属性设置界面； 3、在该界面中，用鼠标单击“远程”标签； 4、在随后出现的标签页面中，将“允许用户远程连接到这台计算机”选项取 消掉，这样就可以将远程访问连接功能屏蔽掉，从而堵住远程访问隐患了。堵住用户切换隐患 Windows 2003 系统为我们提供了快速用户切换功能，利用该功能我们可 以很轻松地登录到系统中；不过在享受这种轻松时，系统也存在安装隐患，例如 我们要是执行系统 “开始”菜单中的“注销”命令来，快速“切换用户”时，再用传 统的方式来登录系统的话， 系统很有可能会本次登录，错误地当作是对计算机系 统的一次暴力“袭 击”， 这样 Windows2003 系统就可能将当前登录的帐号当作 非法帐号，将它锁定起来，这显然不是我们所需要的；不过，我们可以按如下步 骤来堵住用户 切换时，产生的安全隐患： 在 Windows 2003 系统桌面中，打开开始菜单下面的控制面板命令，找到 下面的“管理工具”命令，再执行下级菜单中的“计算机管理”命令，找到“用户帐 户”图标，并在 随后出现的窗口中单击“更改用户登录或注销的方式”；在打开的 设置窗口中，将“使用快速用户切换”选项取消掉就可以了。堵住页面交换隐患
Windows 2003 操作系统即使在正常工作的情况下，也有可能会向黑客或 者其他访问者泄漏重要的机密信息，特别是一些重要的帐号信息。也许我们永远 不会想到要查看一 下，那些可能会泄漏隐私信息的文件，不过黑客对它们倒是 很关心的哟！Windows 2003 操作系统中的页面交换文件中，其实就隐藏了不 少重要隐私信息，这些信息都是在动态中产生的，要是不及时将它们清除，就很 有可能成为黑客的入侵突破 口； 为此， 我们必须按照下面的方法， 来让 Windows 2003 操作系统在关闭系统时，自动将系统工作时产生的页面文件全部删除掉： 1、在 Windows 2003 的“开始”菜单中，执行“运行”命令，打开运行对话 框，并在其中输入“Regedit”命令，来打开注册表窗口； 2、在该窗口的左边区域中，用鼠标依次单击 HKEY_local_machine＼ system＼currentcontrolset＼control＼sessionmanager＼memory management 键值，找到右边区域中的 ClearPageFileAtShutdown 键值， 并用鼠标双击之，在随后打开的数值设置窗口中，将该 DWORD 值重新修改为 “1”； 3、完成设置后，退出注册表编辑窗口，并重新启动计算机系统，就能让上 面的设置生效了。
《》出自:链接地址：/show/OaYaOMLqxHuLvQlU.html