１、磁盤權(quán)限

　　系統(tǒng)盤只給 Administrators 組和 SYSTEM 的完全控制權(quán)限
其他磁盤只給 Administrators 組完全控制權(quán)限
　　系統(tǒng)盤\Documents and Settings 目錄只給 Administrators 組和 SYSTEM 的完全控制權(quán)限
　　系統(tǒng)盤\Documents and Settings\All Users 目錄只給 Administrators 組和 SYSTEM 的完全控制權(quán)限
　　系統(tǒng)盤\windows\system32\config\ 禁止guests組
　　系統(tǒng)盤\Documents and Settings\All Users\「開始」菜單\程序\ 禁止guests組
　　系統(tǒng)盤\windowns\system32\inetsrv\data\ 禁止guests組
　　系統(tǒng)盤\Windows\System32\ at.exe、attrib.exe、cacls.exe、net.exe、net1.exe、netstat.exe、regedit.exe 文件只給 Administrators 組和 SYSTEM 的完全控制權(quán)限
　　系統(tǒng)盤\Windows\System32\ cmd.exe、format.com 僅 Administrators 組完全控制權(quán)限
把所有（Windows\system32和Windows\ServicePackFiles\i386） format.com 更名為 format_nowayh.com

　　２、本地安全策略設(shè)置

　　開始菜單->管理工具->本地安全策略
　　A、本地策略-->審核策略
　　審核策略更改　　　成功　失敗　　
　　審核登錄事件　　　成功　失敗
　　審核對(duì)象訪問(wèn)　　　　　　失敗
　　審核過(guò)程跟蹤　　　無(wú)審核
　　審核目錄服務(wù)訪問(wèn)　　　　失敗
　　審核特權(quán)使用　　　　　　失敗
　　審核系統(tǒng)事件　　　成功　失敗
　　審核賬戶登錄事件　成功　失敗
　　審核賬戶管理　　　成功　失敗

　　B、本地策略-->用戶權(quán)限分配
　　關(guān)閉系統(tǒng)：只有Administrators組、其它全部刪除。
　　通過(guò)終端服務(wù)拒絕登陸：加入Guests組
　　通過(guò)終端服務(wù)允許登陸：加入Administrators、Remote Desktop Users組，其他全部刪除

　　C、本地策略-->安全選項(xiàng)
　　交互式登陸：不顯示上次的用戶名　　　　　　　啟用
　　網(wǎng)絡(luò)訪問(wèn)：不允許SAM帳戶和共享的匿名枚舉　　 啟用
　　網(wǎng)絡(luò)訪問(wèn)：不允許為網(wǎng)絡(luò)身份驗(yàn)證儲(chǔ)存憑證　　　啟用
　　網(wǎng)絡(luò)訪問(wèn)：可匿名訪問(wèn)的共享　　　　　　　　　全部刪除
　　網(wǎng)絡(luò)訪問(wèn)：可匿名訪問(wèn)的命　　　　　　　　　　全部刪除
　　網(wǎng)絡(luò)訪問(wèn)：可遠(yuǎn)程訪問(wèn)的注冊(cè)表路徑　　　　　　全部刪除
　　網(wǎng)絡(luò)訪問(wèn)：可遠(yuǎn)程訪問(wèn)的注冊(cè)表路徑和子路徑　　全部刪除
　　帳戶：重命名來(lái)賓帳戶　　　　　　　　　　　　重命名一個(gè)帳戶
　　帳戶：重命名系統(tǒng)管理員帳戶　　　　　　　　　重命名一個(gè)帳戶

　　D、賬戶策略-->賬戶鎖定策略
將賬戶設(shè)為“5次登陸無(wú)效”，“鎖定時(shí)間為30分鐘”，“復(fù)位鎖定計(jì)數(shù)設(shè)為30分鐘”

　　其他配置

√·把Administrator賬戶更改
管理工具→本地安全策略→本地策略→安全選項(xiàng)

√·新建一無(wú)任何權(quán)限的假Administrator賬戶
管理工具→計(jì)算機(jī)管理→系統(tǒng)工具→本地用戶和組→用戶
更改描述：管理計(jì)算機(jī)(域)的內(nèi)置帳戶


×·重命名IIS來(lái)賓賬戶
1、管理工具→計(jì)算機(jī)管理→系統(tǒng)工具→本地用戶和組→用戶→重命名IUSR_ComputerName
2、打開 IIS 管理器→本地計(jì)算機(jī)→屬性→允許直接編輯配置數(shù)據(jù)庫(kù)
3、進(jìn)入Windows\system32\inetsrv文件夾→MetaBase.xml→右鍵編輯→找到"AnonymousUserName"→寫入"IUSR_"新名稱→保存
4、關(guān)閉"允許直接編輯配置數(shù)據(jù)庫(kù)"

√·禁止文件共享
本地連接屬性→去掉"Microsoft網(wǎng)絡(luò)的文件和打印共享"和"Microsoft 網(wǎng)絡(luò)客戶端"前面的"√"


√·禁止NetBIOS（關(guān)閉139端口）
本地連接屬性→TCP/IP屬性→高級(jí)→WINS→禁用TCP/IP上的NetBIOS
管理工具→計(jì)算機(jī)管理→設(shè)備管理器→查看→顯示隱藏的設(shè)備→非即插即用驅(qū)動(dòng)程序→禁用 NetBios over tcpip→重啟

√·防火墻的設(shè)置
本地連接屬性→高級(jí)→Windows防火墻設(shè)置→高級(jí)→第一個(gè)"設(shè)置"，勾選FTP、HTTP、遠(yuǎn)程桌面服務(wù)


√·禁止ADMIN$缺省共享、磁盤默認(rèn)共享、限制IPC$缺省共享（匿名用戶無(wú)法列舉本機(jī)用戶列表、禁止空連接）
新建REG文件，導(dǎo)入注冊(cè)表
----------------------------------
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters]
"AutoshareWks"=dword:00000000
"AutoShareServer"=dword:00000000
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa]
"restrictanonymous"=dword:00000001
----------------------------------

√·刪除以下注冊(cè)表主鍵
----------------------------------
　　WScript.Network
　　WScript.Network.1
{093FF999-1EA0-4079-9525-9614C3504B74}
　　WScript.Shell
　　WScript.Shell.1
{72C24DD5-D70A-438B-8A42-98424B88AFB8}
　　Shell.Application
　　Shell.Application.1
{13709620-C279-11CE-A49E-444553540000}
----------------------------------


√·更改3389端口為12344
這里只介紹如何更改，既然本端口公布出來(lái)了，那大家就別用這個(gè)了，端口可用windows自帶的計(jì)算器將10進(jìn)制轉(zhuǎn)為16進(jìn)制，16進(jìn)制數(shù)替換下面兩個(gè)的dword:后面的值（7位數(shù)，不夠的在前面補(bǔ)0），登陸的時(shí)候用10進(jìn)制，端口更改在服務(wù)器重啟后生效
新建REG文件，導(dǎo)入注冊(cè)表
----------------------------------
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\Wds\rdpwd\Tds\tcp]
"PortNumber"=dword:0003038

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp]
"PortNumber"=dword:00003038
----------------------------------
最后別忘了Windows防火墻允許12344端口，關(guān)閉3389端口


√·禁止非管理員使用at命令
新建REG文件，導(dǎo)入注冊(cè)表
----------------------------------
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa]
"SubmitControl"=dword:00000001
----------------------------------


√·卸載最不安全的組件
運(yùn)行"卸載最不安全的組件.bat"，重啟后更名或刪掉Windows\System32\里的wshom.ocx和shell32.dll
----------------卸載最不安全的組件.bat-----------------
regsvr32/u %SystemRoot%\System32\wshom.ocx
regsvr32/u %SystemRoot%\System32\shell32.dll
regsvr32/u %SystemRoot%\System32\wshext.dll
-------------------------------------------------------


√·Windows日志的移動(dòng)
打開"HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Eventlog\"
Application 子項(xiàng)：應(yīng)用程序日志
Security 子項(xiàng)：安全日志
System 子項(xiàng)：系統(tǒng)日志
分別更改子項(xiàng)的File鍵值，再把System32\config目錄下的AppEvent.Evt、SecEvent.Evt、SysEvent.Evt復(fù)制到目標(biāo)文件夾，重啟。


√·Windows日志的保護(hù)
1、移動(dòng)日志后的文件夾→屬性→安全→高級(jí)→去掉"允許父系的繼承權(quán)限……"→復(fù)制→確定
2、保留System賬戶和User組，System賬戶保留除完全控制和修改之外的權(quán)限，User組僅保留只讀權(quán)限
3、AppEvent.Evt、SysEvent.Evt保留Administrator、System賬戶和User組，Administrator、System賬戶保留除完全控制和修改之外的權(quán) 限，User組僅保留只讀權(quán)限；
DnsEvent.Evt、SecEvent.Evt保留System賬戶和User組，System賬戶保留除完全控制和修改之外的權(quán)限，User組僅保留只讀權(quán)限


√·要手動(dòng)停止/禁用的服務(wù)：Computer Browser、Error reporting service、Microsoft Serch、Print Spooler、Remote Registry、Server 、TCP/IP NetBIOS Helper、Workstation


√·解決在 IIS 6.0 中，無(wú)法下載超過(guò)4M的附件（現(xiàn)改為10M）
停止IIS服務(wù)→打開WINDOWS\system32\inetsrv\→記事本打開MetaBase.xml→找到 AspBufferingLimit 項(xiàng)→值改為 10485760


√·設(shè)置Web上傳單個(gè)文件最大值為10 MB
停止IIS服務(wù)→打開WINDOWS\system32\inetsrv\→記事本打開MetaBase.xml→找到 AspMaxRequestEntityAllowed 項(xiàng)→值改為 10485760


×·重新定位和設(shè)置 IIS 日志文件的權(quán)限
1、將 IIS 日志文件的位置移動(dòng)到非系統(tǒng)分區(qū)：在非系統(tǒng)的NTFS分區(qū)新建一文件夾→打開 IIS 管理器→右鍵網(wǎng)站→屬性→單擊"啟用日志 記錄"框架中的"屬性"→更改到剛才創(chuàng)建的文件夾
2、設(shè)置 IIS 日志文件的權(quán)限：瀏覽至日志文件所在的文件夾→屬性→安全→確保Administrators和System的權(quán)限設(shè)置為"完全控制"


×·配置 IIS 元數(shù)據(jù)庫(kù)權(quán)限
打開 Windows\System32\Inetsrv\MetaBase.xml 文件→屬性→安全→確認(rèn)只有 Administrators 組的成員和 LocalSystem 帳戶擁有對(duì)元 數(shù)據(jù)庫(kù)的完全控制訪問(wèn)權(quán)，刪除所有其他文件權(quán)限→確定
解釋 Web 內(nèi)容的權(quán)限
打開IIS管理器→右鍵想要配置的網(wǎng)站的文件夾、網(wǎng)站、目錄、虛擬目錄或文件
? 腳本源文件訪問(wèn)。用戶可以訪問(wèn)源文件。如果選擇"讀"，則可以讀源文件；如果選擇"寫"，則可以寫源文件。腳本源訪問(wèn)包括腳本的源代碼 。如果"讀"或"寫"均未選擇，則此選項(xiàng)不可用。
? 讀（默認(rèn)情況下選擇）。用戶可以查看目錄或文件的內(nèi)容和屬性。
? 寫。用戶可以更改目錄或文件的內(nèi)容和屬性。
? 目錄瀏覽。用戶可以查看文件列表和集合。
? 日志訪問(wèn)。對(duì)網(wǎng)站的每次訪問(wèn)創(chuàng)建日志項(xiàng)。
? 檢索資源。允許檢索服務(wù)檢索此資源。這允許用戶搜索資源。


√·關(guān)閉自動(dòng)播放
運(yùn)行組策略編輯器（gpedit.msc）→計(jì)算機(jī)配置→管理模板→系統(tǒng)→關(guān)閉自動(dòng)播放→屬性→已啟用→所有驅(qū)動(dòng)器

√·禁用DCOM
運(yùn)行Dcomcnfg.exe。控制臺(tái)根節(jié)點(diǎn)→組件服務(wù)→計(jì)算機(jī)→右鍵單擊“我的電腦”→屬性”→默認(rèn)屬性”選項(xiàng)卡→清除“在這臺(tái)計(jì)算機(jī)上啟用分布式 COM”復(fù)選框。


√·啟用父路徑
IIS管理器→右鍵網(wǎng)站→屬性→主目錄→配置→選項(xiàng)→啟用父路徑


√·IIS 6.0 系統(tǒng)無(wú)任何動(dòng)作超時(shí)時(shí)間和腳本超時(shí)時(shí)間
IIS管理器→右鍵網(wǎng)站→屬性→主目錄→配置→選項(xiàng)→分別改為40分鐘和180秒


√·刪除不必要的IIS擴(kuò)展名映射
　　IIS管理器→右擊Web站點(diǎn)→屬性→主目錄→配置→映射，去掉不必要的應(yīng)用程序映射，主要為.shtml, .shtm, .stm


√·增加IIS對(duì)MIME文件類型的支持
IIS管理器→選擇服務(wù)器→右鍵→屬性→MIME類型（或者右鍵web站點(diǎn)→屬性→HTTP頭→MIME類型→新建）添加如下表內(nèi)容，然后重啟IIS
擴(kuò)展名 MIME類型
.iso application/octet-stream
.rmvb application/vnd.rn-realmedia


√·禁止dump file的產(chǎn)生
　　
我的電腦→右鍵→屬性→高級(jí)→啟動(dòng)和故障恢復(fù)→寫入調(diào)試信息→無(wú)。
dump文件在系統(tǒng)崩潰和藍(lán)屏的時(shí)候是一份很有用的查找問(wèn)題的資料(不然我就照字面意思翻譯成垃圾文件了)。然而，它也能夠給黑客提供 一些敏感信息比如一些應(yīng)用程序的密碼等。



→→→→→→→→→→→→→→→→→→→→→→→→→→→→→→→→→→
Serv-U FTP服務(wù)的設(shè)置
√·本地服務(wù)器→設(shè)置→攔截"FTP_bounce"攻擊和FXP
對(duì)于60秒內(nèi)連接超過(guò)10次的用戶攔截5分鐘
√·本地服務(wù)器→域→用戶→選中需要設(shè)置的賬號(hào)→右邊的"同一IP只允許2個(gè)登錄"

√·本地服務(wù)器→域→設(shè)置→高級(jí)→取消"允許MDTM命令來(lái)更改文件的日期/時(shí)間"

設(shè)置Serv-U程序所在的文件夾的權(quán)限，Administrator組完全控制，禁止Guests組和IIS匿名用戶有讀取權(quán)限

服務(wù)器消息，自上而下分別改為：
服務(wù)器工作正常，現(xiàn)已準(zhǔn)備就緒...
錯(cuò)誤！請(qǐng)與管理員聯(lián)系！
FTP服務(wù)器正在離線維護(hù)中，請(qǐng)稍后再試！
FTP服務(wù)器故障，請(qǐng)稍后再試！
當(dāng)前賬戶達(dá)到最大用戶訪問(wèn)數(shù)，請(qǐng)稍后再試！
很抱歉，服務(wù)器不允許匿名訪問(wèn)！
您上傳的東西太少，請(qǐng)上傳更多東西后再嘗試下載！


→→→→→→→→→→→→→→→→→→→→→→→→→→→→→→→→→→
SQL安全設(shè)置

審核指向SQL Server的連接
企業(yè)管理器→展開服務(wù)器組→右鍵→屬性→安全性→失敗

修改sa賬戶密碼
企業(yè)管理器→展開服務(wù)器組→安全性→登錄→雙擊sa賬戶

SQL查詢分析器
use master
exec sp_dropextendedproc 'xp_cmdshell'
exec sp_dropextendedproc 'xp_dirtree'
exec sp_dropextendedproc 'xp_enumgroups'
exec sp_dropextendedproc 'xp_fixeddrives'
exec sp_dropextendedproc 'xp_loginconfig'
exec sp_dropextendedproc 'xp_enumerrorlogs'
exec sp_dropextendedproc 'xp_getfiledetails'
exec sp_dropextendedproc 'Sp_OACreate'
exec sp_dropextendedproc 'Sp_OADestroy'
exec sp_dropextendedproc 'Sp_OAGetErrorInfo'
exec sp_dropextendedproc 'Sp_OAGetProperty'
exec sp_dropextendedproc 'Sp_OAMethod'
exec sp_dropextendedproc 'Sp_OASetProperty'
exec sp_dropextendedproc 'Sp_OAStop'
exec sp_dropextendedproc 'Xp_regaddmultistring'
exec sp_dropextendedproc 'Xp_regdeletekey'
exec sp_dropextendedproc 'Xp_regdeletevalue'
exec sp_dropextendedproc 'Xp_regenumvalues'
exec sp_dropextendedproc 'Xp_regread'
exec sp_dropextendedproc 'Xp_regremovemultistring'
exec sp_dropextendedproc 'Xp_regwrite'
drop procedure sp_makewebtask