本配置僅適合Win2003,部分內(nèi)容也適合于Win2000。很多人覺得3389不安全,其實只要設置好,密碼夠長,攻破3389也不是件容易的事情,我覺得別的遠程軟件都很慢,還是使用了3389連接。
經(jīng)測試,本配置在Win2003 + IIS6.0 + Serv-U + SQL Server 的單服務器多網(wǎng)站中一切正常。以下配置中打勾的為推薦進行配置,打叉的為可選配置。
一、系統(tǒng)權(quán)限的設置
1、磁盤權(quán)限
系統(tǒng)盤只給 Administrators 組和 SYSTEM 的完全控制權(quán)限
其他磁盤只給 Administrators 組完全控制權(quán)限
系統(tǒng)盤\Documents and Settings 目錄只給 Administrators 組和 SYSTEM 的完全控制權(quán)限
系統(tǒng)盤\Documents and Settings\All Users 目錄只給 Administrators 組和 SYSTEM 的完全控制權(quán)限
系統(tǒng)盤\windows\system32\config\ 禁止guests組
系統(tǒng)盤\Documents and Settings\All Users\「開始」菜單\程序\ 禁止guests組
系統(tǒng)盤\windowns\system32\inetsrv\data\ 禁止guests組
系統(tǒng)盤\Windows\System32\ at.exe、attrib.exe、cacls.exe、net.exe、net1.exe、netstat.exe、regedit.exe 文件只給 Administrators 組和 SYSTEM 的完全控制權(quán)限
系統(tǒng)盤\Windows\System32\ cmd.exe、format.com 僅 Administrators 組完全控制權(quán)限
把所有(Windows\system32和Windows\ServicePackFiles\i386) format.com 更名為 format_nowayh.com
2、本地安全策略設置
開始菜單->管理工具->本地安全策略
A、本地策略-->審核策略
審核策略更改 成功 失敗
審核登錄事件 成功 失敗
審核對象訪問失敗
審核過程跟蹤 無審核
審核目錄服務訪問失敗
審核特權(quán)使用失敗
審核系統(tǒng)事件 成功 失敗
審核賬戶登錄事件 成功 失敗
審核賬戶管理 成功 失敗
B、本地策略-->用戶權(quán)限分配
關閉系統(tǒng):只有Administrators組、其它全部刪除。
通過終端服務拒絕登陸:加入Guests組
通過終端服務允許登陸:加入Administrators、Remote Desktop Users組,其他全部刪除
C、本地策略-->安全選項
交互式登陸:不顯示上次的用戶名 啟用
網(wǎng)絡訪問:不允許SAM帳戶和共享的匿名枚舉 啟用
網(wǎng)絡訪問:不允許為網(wǎng)絡身份驗證儲存憑證 啟用
網(wǎng)絡訪問:可匿名訪問的共享 全部刪除
網(wǎng)絡訪問:可匿名訪問的命全部刪除
網(wǎng)絡訪問:可遠程訪問的注冊表路徑全部刪除
網(wǎng)絡訪問:可遠程訪問的注冊表路徑和子路徑全部刪除
帳戶:重命名來賓帳戶重命名一個帳戶
帳戶:重命名系統(tǒng)管理員帳戶 重命名一個帳戶
D、賬戶策略-->賬戶鎖定策略
將賬戶設為“5次登陸無效”,“鎖定時間為30分鐘”,“復位鎖定計數(shù)設為30分鐘”
二、其他配置
√·把Administrator賬戶更改
管理工具→本地安全策略→本地策略→安全選項
√·新建一無任何權(quán)限的假Administrator賬戶
管理工具→計算機管理→系統(tǒng)工具→本地用戶和組→用戶
更改描述:管理計算機(域)的內(nèi)置帳戶
×·重命名IIS來賓賬戶
1、管理工具→計算機管理→系統(tǒng)工具→本地用戶和組→用戶→重命名IUSR_ComputerName
2、打開 IIS 管理器→本地計算機→屬性→允許直接編輯配置數(shù)據(jù)庫
3、進入Windows\system32\inetsrv文件夾→MetaBase.xml→右鍵編輯→找到"AnonymousUserName"→寫入"IUSR_"新名稱→保存
4、關閉"允許直接編輯配置數(shù)據(jù)庫"
√·禁止文件共享
本地連接屬性→去掉"Microsoft網(wǎng)絡的文件和打印共享"和"Microsoft 網(wǎng)絡客戶端"前面的"√"
√·禁止NetBIOS(關閉139端口)
本地連接屬性→TCP/IP屬性→高級→WINS→禁用TCP/IP上的NetBIOS
管理工具→計算機管理→設備管理器→查看→顯示隱藏的設備→非即插即用驅(qū)動程序→禁用 NetBios over tcpip→重啟
√·防火墻的設置
本地連接屬性→高級→Windows防火墻設置→高級→第一個"設置",勾選FTP、HTTP、遠程桌面服務
√·禁止ADMIN$缺省共享、磁盤默認共享、限制IPC$缺省共享(匿名用戶無法列舉本機用戶列表、禁止空連接)
新建REG文件,導入注冊表
Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters] "AutoshareWks"=dword:00000000 "AutoShareServer"=dword:00000000 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa] "restrictanonymous"=dword:00000001 |
√·刪除以下注冊表主鍵
WScript.Network
WScript.Network.1
{093FF999-1EA0-4079-9525-9614C3504B74}
WScript.Shell
WScript.Shell.1
{72C24DD5-D70A-438B-8A42-98424B88AFB8}
Shell.Application
Shell.Application.1
{13709620-C279-11CE-A49E-444553540000}
|
√·更改3389端口為12344
這里只介紹如何更改,既然本端口公布出來了,那大家就別用這個了,端口可用windows自帶的計算器將10進制轉(zhuǎn)為16進制,16進制數(shù)替換下面兩個的dword:后面的值(7位數(shù),不夠的在前面補0),登陸的時候用10進制,端口更改在服務器重啟后生效。新建REG文件,導入注冊表
Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\Wds\rdpwd\Tds\tcp] "PortNumber"=dword:0003038 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp] "PortNumber"=dword:00003038 |
最后別忘了Windows防火墻允許12344端口,關閉3389端口
√·禁止非管理員使用at命令,新建REG文件,導入注冊表
Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa] "SubmitControl"=dword:00000001 |
√·卸載最不安全的組件
運行"卸載最不安全的組件.bat",重啟后更名或刪掉Windows\System32\里的wshom.ocx和shell32.dll
----------------卸載最不安全的組件.bat----------------- regsvr32/u %SystemRoot%\System32\wshom.ocx regsvr32/u %SystemRoot%\System32\shell32.dll regsvr32/u %SystemRoot%\System32\wshext.dll ------------------------------------------------------- |
√·Windows日志的移動
打開"HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Eventlog\" |
Application 子項:應用程序日志
Security 子項:安全日志
System 子項:系統(tǒng)日志
分別更改子項的File鍵值,再把System32\config目錄下的AppEvent.Evt、SecEvent.Evt、SysEvent.Evt復制到目標文件夾,重啟。
| 共2頁: 1 [2] 下一頁 | ||
|
