2022年配置网络服务器安全 .pdf-淘文阁

资源描述

《2022年配置网络服务器安全 .pdf》由会员分享，可在线阅读，更多相关《2022年配置网络服务器安全 .pdf（30页珍藏版）》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。

1、一总述windows 的安全的设置一般人还是比较熟悉的，这里只是为了方便大家而总结的一个流程。资料来源于网络和杂志,在此向这些作者表示感谢。可能出现的结果是，如实的做了，但可能您的服务转不起来了。自己要在安全和平衡之间做个合适的选择。本文档是免费的，可以任意下载与交流，不能用于商业用途，如要转载请保留此段。同时希望您也参与进来，您可以把您的建议以邮件的形式发送到注明：windows 安全设置建议(如：本文档提到的工具名称，来源错误。设置技巧的错误。以及需要完善的地方等)。二.安装安全（注意：安装时一定不要将主机连入internet）做为服务器使用，建议使用英文版本的系统软件，还有2003

2、比 2000 强很多，系统格式采用NTFS 格式。推荐使用WIN2000 服务器版或高级服务器版、WIN2003 企业版，因为在IIS 连接数上没有什么限制，而专业版PRO、家庭版 HOME 、以及所有WINXP 版本（ HOME 、PRO）均有 IIS 同时连接数量限制（APACHE 中则称为并发连接）密码策略中设定：密码复杂性要求启用密码长度最小值6 位强制密码历史5 次最长存留期30 天（口令必须定期更改，建议至少两周该一次）在账户策略 -账户锁定策略中设定：账户锁定3 次错误登录锁定时间20 分钟复位锁定计数20 分钟10.除了管理员root,IUSER 以及 IWAM 以及 ASP

3、NET 用户外 .禁用其他一切用户.包括SQL DEBUG 以及 TERMINAL USER等等。再为每个虚拟目录下每个站点建一个用户. 11.提倡使用底权限的用户来使用电脑。但总出现 “ 权限不够 ” 的提示很讨厌。可以安装名为 “DropMyRights” 的程序，使用它来启动其他程序，用这个软件启动其他程序，这样启动的程序就只具有基本的权限，无法对系统产生破坏。方法很简单，以ie 为例：右击桌面ie快捷图标。属性-快捷方式 - 目标位置输入下面命令程序安装目录DropMyRights.exe c:Program Filesinternet Exploreriexplore.exe N

4、 12.USERS 组用户使用ie 1）建立用户icy_cold ，删除桌面上的ie 图标。打开 “ c:Internet Explorer”右击 iexplore.exe 发送到桌面快捷方式。右击新建的图标，属性，切换到“ 快捷方式 ” 选项卡-高级 -以其他用户身份运行2）以非 icy_cold 运行系统，比如是管理员，双击 ie，弹出对话框，在其中输入icy_cold和密码 ,正常使用ie，当安装流氓软件的时候是默认是icy-cold 用户安装的。3）如果 icy-cold 用户的 ie 被糟蹋的不行的时候，就把icy-cold 那个用户删了。13.不要为了方便让windows 每次重启

5、后不输入密码就自动登陆，这样用户名和密码信息会写入到注册表中。四.关闭不需要的服务。名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 3 页，共 30 页 - - - - - - - - - 1.关闭不需要的服务，以下为建议选项Computer Browser: 维护网络计算机更新，禁用Distributed File System: 局域网管理共享文件，不需要禁用Distributed linktracking client：用于局域网更新连接信息，不需要禁用Error report

6、ing service ：禁止发送错误报告Microsoft Serch ：提供快速的单词搜索，不需要可禁用NTLMSecuritysupportprovide ：telnet 服务和 Microsoft Serch 用的，不需要禁用PrintSpooler：如果没有打印机可禁用Remote Registry：禁止远程修改注册表Remote Desktop Help Session Manager：禁止远程协助telnet 禁用2.必要的服务名简介COM+ Event System 提供事件的自动发布到订阅COM 组件Computer Browser 维护网络上计算机的最新列表以及提供这个列表

7、Machine Debug Manager Manages local and remote debugging for Visual Studio debuggers Network Connections 管理 “ 网络和拨号连接” 文件夹中对象，在其中您可以查看局域网和远程连接Plug and Play 管理设备安装以及配置，并且通知程序关于设备更改的情况Protected Storage 提供对敏感数据（如私钥）的保护性存储，以便防止未授权的服务，过程或用户对其的非法访问（备注：缺少了此项后可能造成在IE 中输入文字后死机）Remote Procedure Call (RPC) 提供终

8、结点映射程序（endpoint mapper）以及其它RPC 服务Security Accounts Manager 存储本地用户帐户的安全信息名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 4 页，共 30 页 - - - - - - - - - Server 提供RPC 支持、文件、打印以及命名管道共享（这个服务关闭后就象我和刘贺看到的那样，资源管理器里面的用户名看不到了）Windows Management Instrumentation Driver Extensio

9、ns 与驱动程序间交换系统管理信息一般 webshell 都提供查看服务的相关信息，这是可以禁用workstation 服务就看不到了。3. 2000 服务与运行进程详解为保持文章连贯性，详见后面附录1。五 IIS 服务安全(附录 2 IIS6.0 安全特性 ) 1.只安装 (运行里命令 “ appwiz.cpl”打开添加删除程序-windows 程序 )确实需要的服务即可。这里特别提醒注意的是：“Indexing Service”、 “FrontPage 2000 Server Extensions”、 “ Internet Service Manager”这几个危险服务双击 Intern

10、et 信息服务 (iis)，勾选以下选项：Internet 信息服务管理器；公用文件；后台智能传输服务(BITS) 服务器扩展；万维网服务。如果您使用FrontPage 扩展的Web 站点再勾选：FrontPage 2002 Server Extensions （注释： Microsoft FrontPage 2000 服务器扩展是一组在站点服务器的程序，它可以支持管理、创作和浏览一个用FrontPage 扩展的站点。 FrontPage 服务器扩展使用公共网关接口 (CGI) 或 Internet 服务器应用程序接口(ISAPI) ，这些接口几乎是站点服务器扩展机制所通用的。他们可以与所有的

11、标准站点服务器共同工作，包含商业站点服务器如Microsoft 、Netscape、 Stronghold 和 OReilly 与 Associates 以及例如Apache 和 NCSA 等的免费和共享软件服务器。服务器扩展为易于移植到所有流行的硬件和软件平台而设计，以提供跨平台的兼容性。客户端计算机和包含有服务器扩展的站点服务器之间使用开放的HTTP 协议进行通讯，这个协议与客户端计算机上的Web 浏览器和站点服务器互操作时所用的相同。站点服务器机器上不需要文件共享，也不需要FTP 和 telnet。使用FrontPage 服务器扩展不需要专门的文件系统共享调用。当站点服务器上安装Fro

12、ntPage 服务器扩展之后，不论在Internet 还是在intranet 上，名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 5 页，共 30 页 - - - - - - - - - 每个有FrontPage 客户端的计算机都有对FrontPage 站点进行创作和管理的功能。任何Web 浏览器都有服务器扩展的浏览阶段功能。）2.删除默认的站点。首先，删除C 盘下的 Inetpub 目录，在 D 盘建一个Inetpub，在 IIS 管理器中将主目录指向 D:Inetpub 。其次，

13、把 IIS 安装时默认的：_vti_bin 、IISSamples(Inetpubiissamples) 、Scripts、IIShelp(winnthelpiishelp)、IISAdmin 、IIShelp、MSADC(program Filescommon filessystemmsadc)等虚拟目录也一概删除，如果您需要什么权限的目录可以以后再建（特别注意写权限和执行程序的权限）。3.设置虚拟目录设置虚拟目录的方法这里就不写了。但注意其中的几个地方，首先虚拟目录的名字设置的要 BT，如一个叫gadgadfgadg，而另个叫dfasdfadfdf,自己做好记录。这样可以防止别人轻易的跳

14、出他所在的目录。而且一个虚拟目录对应一个用户。在属性的虚拟目录那页执行权限一般选择纯脚本，应用程序保护选中，尤其要注意的是上面的执行权限和读的权限设置。目录浏览一定不要选上,选上的话会出现比如找不到index.asp 而把您的站的目录全列出来的情况.脚本资源访问(对网站的脚本可以读取原文件)和写权限要慎重的分配。然后是应用程序的配置。在IIS 管理器中把无用映射都统统删除（当然必须保留如ASP，象 cer,asa等还是删除吧。自己再添加个任意执行文件，后缀名是.mdb 的应用程序扩展名映射，这样可以防止mdb 文件被下载）。在 IIS 管理器中 “ 主机属性 WWW 服务编辑主目录配置

15、应用程序映射” ，然后开始一个个删吧。比如：htw 与 webhits.dll 的映射删除接着再在应用程序调试书签内，将“ 脚本错误消息 ” 改为 “ 发送文本 ” 。点击 “ 确定 ” 退出时别忘了让虚拟站点继承刚才设定好的属性。并且可以考虑把错误的返回页面的内容重写或是重定向到自己做的一个页面，这样可以使一些根据返回错误页面来判断的扫描器失去作用。4.数据库文件不要和web 文件放到一块，要分开放。同时象 images 这样存放图片的目录一定不要有写的权限和脚本运行的权限（上传图片的地方可以写但不能有运行的权限）。数据库目录可以写。其他的 (象包含文件可以放到inc目录下， asp

16、这样的脚本文件可以放到一个目录下，静态的网页放到一个目录下)您都要注意了。同时，最好把主页这样的关键文件设置成只有system 和 administrators 组的用户可以改，别人就不要有写的权限了。而且要把主页单独放到一个文件夹里. 同时，对重要的（比如数据库连接文件，用户登陆的判断文件)进行加密处理 ,可以把access数据库放到深成次目录比如12/154/8654/目录下。也可以设置密码：使用ACCESS 来为数据库文件编码及加密。首先在选取工具 -安全-加密 /解密数据库，选取数据库（如：employer.mdb），然后接确定，接着会出现数据库加密后另存为的窗口，存为：employ

17、er1.mdb。接着 employer.mdb 就会被编码，然后存名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 6 页，共 30 页 - - - - - - - - - 为 employer1.mdb. 要注意的是，以上的动作并不是对数据库设置密码，而只是对数据库文件加以编码，目的是为了防止他人使用别的工具来查看数据库文件的内容。接下来我们为数据库加密，首先以打开经过编码了的employer1.mdb，在打开时，选择独占方式。然后选取功能表的工具 -安全 -设置数据库密

18、码，接着输入密码即可。这样即使他人得到了employer1.mdb 文件，没有密码他是无法看到employer1.mdb 的。不过要在 ASP 程序中的connection 对象的 open 方法中增加PWD 的参数即可，例如：param=driver=Microsoft Access Driver (*.mdb)wd=yfdsfs param=param&;dbq=&server.mappath(employer1.mdb) conn.open param 这样即使他人得到了employer1.mdb 文件，没有密码他是无法看到employer1.mdb 的 . 对于可能存在注入漏洞的

19、目录使用防注入工具。同时您的管理员后台登陆地址要改的让人猜不到（登陆界面上的标题拦什么的就不要出现login，管理等关键字）.数据库文件要做防下载处理典型的是mdb 改成 asp结尾的 access库，前面加个 #如#13464dfadf.asp。(%23#13464dfadf.asp 是个更好的选择。)或是在 access文件里新建个表写进%这样的数据 .当您检查如asp这样的文件时，用打开普通文件的方法打开，不要浏览。主目录设置读取就可以了。windows2003 默认是不支持ASP 脚本运行的，我们可以如下做是它重新支持ASP：1)internet 信息服务管理器2）属性 -web 服务

20、器扩展3）双击 Actives server pages,然后将任务栏设置项处 “ 允许 ” 按钮单击一下。5.需要注意的是，如果您的机器上还要支持php，我最好您不要这样做。最好是单一脚本的服务器。但如果您坚持这样做，我建议去看看php 的安全设置。我个人认为还是在linux上玩 php 比较好。在windows 上默认的php 具有很高的权限，权限不设置，上传个php 木马的话那就死定了。同时注意 2003 默认系统有个ASP.NET 的用户，原来它是USERS 组的，把它设置成GUEST 组的用户，免的被提权。另外，同时使用apache和 IIS 的一个解决方案- 转自： CS

21、DN 在这种情况下，将 apache设为使用80 端口，IIS 使用其它端口，比如 81，然后将 apache作为 IIS 的代理。在 httpd.conf 里面，取消下面四行的注释：LoadModule proxy_module modules/mod_proxy.so LoadModule proxy_connect_module modules/mod_proxy_connect.so LoadModule proxy_http_module modules/mod_proxy_http.so LoadModule proxy_ftp_module modules/mod_prox

22、y_ftp.so 然后建立一个虚拟主机，将该域名的所有访问转向81 端口。名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 7 页，共 30 页 - - - - - - - - - ServerName ProxyPass / http:/localhost:81/ ProxyPassReverse / http:/localhost:81/ 这样，对外就可以只需要一个端口，即可同时使用apache和 IIS 的功能了。6、如果使用的是2000 可以使用iislockdown(htt

23、p:/ . easeID=33961=33961)来保护 IIS，在 2003 运行的 IE6.0 的版本不需要7、使用 UrlScan UrlScan 是一个 ISAPI 筛选器，它对传入的HTTP 数据包进行分析并可以拒绝任何可疑的通信量。目前最新的版本是2.5，如果是2000Server 需要先安装1.0 或 2.0 的版本。下载地址见页未的链接如果没有特殊的要求采用UrlScan 默认配置就可以了。但如果您在服务器运行ASP.NET 程序，并要进行调试您需打开要%WINDIR%System32InetsrvURLscan 文件夹中的URLScan.ini 文件，然后在UserAllow

24、Verbs 节添加 debug 谓词，注意此节是区分大小写的。如果您的网页是.asp网页您需要在DenyExtensions 删除 .asp相关的内容。如果您的网页使用了非ASCII 代码，您需要在 Option 节中将 AllowHighBitCharacters的值设为1 在对 URLScan.ini 文件做了更改后，您需要重启IIS 服务才能生效，快速方法运行中输入 iisreset 如果您在配置后出现什么问题，您可以通过添加/删除程序删除UrlScan。可以使用 IIS 的备份功能，将刚刚的设定全部备份下来，这样就可以随时恢复IIS 的安全配置。还有，如果您怕IIS 负荷过高导致服务器

25、满负荷死机，也可以在性能中打开CPU限制，例如将IIS 的最大 CPU 使用率限制在70%。六、目录和文件权限为了控制好服务器上用户的权限，同时也为了预防以后可能的入侵和溢出，还必须非常小心地设置目录和文件的访问权限。NT 的访问权限分为：读取、写入、读取及执行、修改、列目录、完全控制。在默认的情况下，大多数的文件夹对所有用户（Everyone 这个组）是完全敞开的（Full Control ），您需要根据应用的需要进行权限重设。名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 8

26、页，共 30 页 - - - - - - - - - 1.在进行权限控制时，请记住以下几个原则：2.3.a. 权限是累计的，如果一个用户同时属于两个组，那么他就有了这两个组所允许的所有权限。4.5.b. 拒绝的权限要比允许的权限高（拒绝策略会先执行）。如果一个用户属于一个被拒绝访问某个资源的组，那么不管其他的权限设置给他开放了多少权限，他也一定不能访问这个资源。6.7.c. 文件权限比文件夹权限高。8.9.d. 利用用户组来进行权限控制是一个成熟的系统管理员必须具有的优良习惯。10.11.e. 只给用户真正需要的权限，权限的最小化原则是安全的重要保障。12.13.2.权限设置跟我做(这个部分

27、还存在问题，需要核实,这也是叫我最头痛的地方，看了很多资料，没什么统一的答案，比如附录四) 14.15.首先假设有C 盘（系统盘） D 盘（ IIS 服务盘） E 盘（ FTP 服务盘）。我们把D，E盘的权限只有System 组和 administartors 组的用户才有完全控制（everyone 那个组千万要删掉）。然后按照虚拟目录的设置进行设置（请看文章其他部分）。16.17.至于 C 盘才是我们的重点。这里有我们容易忽视的可写的目录。将C 盘的所有子目录和子文件继承C 盘的 administrator( 组或用户 )和 SYSTEM 所有权限的两个权限然后做如下修改18.19.Doc

28、uments and settings 以及 Program files ，只给 Administrator 完全控制权，或者干脆直接把 Program files 给删除掉20.21.给系统卷的根目录多加一个Everyone 的读、写权；22.23.C:Program FilesCommon Files 开放 Everyone默认的读取及运行列出文件目录读取三个权限24.25.C:WINDOWS 开放 Everyone默认的读取及运行列出文件目录读取三个权限26.27.C:WINDOWSTemp 开放 Everyone 修改 ,读取及运行 ,列出文件目录 ,读取 ,写入权限28.现在 Web

31、51.= 52.A:完全控制53.B：读取和运行：选择“ 遍历文件夹 /运行文件 ” ，“ 列出文件夹 /读取数据 ” ， “ 读取属性” ，“ 读取扩展属性” ，“ 读去权限 ”54.C：特殊：不选择 “ 完全控制 ” ，“ 遍历文件夹 /运行文件 ” ，“ 删除 ” ，“ 删除子文件夹及文件 ”55.56.ASP 文件的运行方式是在服务器上执行，只把执行的结果传回最终用户的浏览器，这没错，但 ASP 文件不是系统意义上的可执行文件，它是由 WEB 服务的提供者 -IIS 来解释执行的，所以它的执行并不需要运行的权限。57.58.如果您装了Serv-U 的话，千万serv-U 的配置文件不

32、可写。（添加用户时我们再改过来）保证serv-U 中的用户用强口令。我们不能保证那个配置文件是不可读的，因此其中能透露我们的FTP 用户名。因此强口令是非常重要的。59.60.下面是重点的提升权限的目录也是我们要注意的地方。(AccessEnum 这个工具可以帮助我们查询普通程序和注册表的用户使用权限) 61. 62._ 正在完善中63.各个盘符根目录64.65.在 2000 中_vti_bin 目录是存在的，c:program FilesCommon FilesMicrosoft 下。66.名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - -

33、 - - - 名师精心整理 - - - - - - - 第 10 页，共 30 页 - - - - - - - - - 67.C:Program FilesCommon FilesSystemmsadc 68.69.C:WINNTsystem32config 下的 SAM ，能被暴破出管理员密码。70.71.c:perl 如果你使用过Active perl 的话就会知道在命令行下执行perl 脚本感觉和平时的命令差不多。如果哪个坏蛋在c:perlbin 下加个而 ( 先 net.exe执行 )是执行的后门的话。就中招了。72.73.cocument and SettingAll userDo

34、cuments everyone 完全控制。74.75.c:autorun.inf 76.c:Temp 77.78.c:windowstemp 79.80.c:mysql 注意修改mysql 的默认的口密码mysqladmin -u root - p password 81.82.C:PHP 83.84.开始菜单程序启动下容易被加入 .bat 批处理或是 vbs 脚本。85.86.或87.这里个目录下的*.cif 文件，容易使对方破解出做为远程管理软件的pcanywhere 的密码。88.89.Ser-U 的安装目录 (默认 everyone 可以浏览修改)， ServUDaemen.i

35、ni 文件要有写权限容易加用户。同时，即使你更改了默认的密码，在有的版本中被加秘后的秘文被放在ServUDaemon.ini 文件的 LocalSetupPassword=后。只要把默认的密码加后的密文覆盖过去。对方就可以使用默认口令进行入侵。90.91.目录下 everyone 用户完全控制. adminscriptsadsutil.vbs 此为 IIS 自带的管理脚本可以运行cscript C:InetpubAdminScriptadsutil.vbs get w3sve/ inprocessiapiapps来提升权限 . c:Program FilesJava Web Start 这个目

36、录可以使用JSP木马的 webshell，权限不大。c:program filesMicrosoft SQL server 象 MSSQL 的数据库连接文件比如conn.asp这样的文件放着数据库连接帐号和密码，如果是 SA 权限就可以添加系统管理员了。因此，尽量不用SA，而且数据库连接文件的权限名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 11 页，共 30 页 - - - - - - - - - 设置的高点，并要加密。C:Documents and SettingsAll Us

37、ersApplication Data下 McAfee 新建的日志文件的权限设置是 Everyone 权限。危险。c:program fileskv2004 c:program filesRSINGRA V 这里要注意下在c:program filesRSINGRFW目录下是瑞星防火墙的规则文件。注意别让黑客替换了此规则文件。c:program filesRealRealServer 这个目录下的替换服务。( 冷寒冰 :替换服务的方法,把下面存为 .bat 文件 . Net stop scardsvr /停掉 “ Smart Card”服务Sc config scardsvr binpath=

38、 c:windowssystem32muma.exe / 将“ Smart Card/服务的路径换成后门路径Sc config scardsvr start=auto/ 自动启动Net start scardsvr/启动 Smart Card 服务) 3.注册表权限安全设置(使用当前的user用户。不要使用管理员权限的用户) 1)禁止程序启动HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrnetVersionRunOnce HKEY

39、_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRunEx HKEY_LCOAL_MACHINESoftwareMicrosoftWindwosCurrentVersionPoliciesExplorerRun HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRunServoces HKEY_CURRENT_USER下也是，为什么？你可以去看讲注册表的书就知道了。比如在第一个“Run ”分支上点右键，选择权限命令，将当前帐户对该分支的“ 读取 ” 权限设置为 “ 允许 ” ，

40、并取消 “ 完全控制 ” 的选择。2)禁止服务启动HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServices分支。将当前用户的“ 读取 ” 权限设置为允许。完全控制取消。3)系统安全设置还需要设置权限的有如下地方：HKEY_LOCAL_MACHINESoftwareMicrosoftWindows NTCurrentVersionWinlogonUserinit HKEY_LOCAL_MACHINESoftwareMicrosoftWindows NTCurrentVersionWinlogonshell HLMSoftwareMicrosoftWind

41、ows NTCurrentVersionWinlogonGinaDll HLMSoftwareMicrosoftWindows NTCurrentVersionWinlogonSystem HCUSoftwareMicrosoftWindowsCurrentVersionPolicies 名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 12 页，共 30 页 - - - - - - - - - 4)文件关联HKEY_CLASSES_ROOT分支下 exe,com,cmd,bat,vb

42、s 的权限也要设置。. 七。常用安全设置1.不显示上一次登陆名打开注册表，进入HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionWinlogon 在右边找一个键值DontDisplayLastUserName 然后改成 1 2.禁止 IPC 空连接与默认共享服务器HKEY_LOCAL_MACHINsystemcurrentcontrolsetserviceslanmanserver在其下找到主健arameters在其下新建一个二进值名为 AutoShareServer 并拊值为 0即可 . 工作站HKEY_LOCAL_MAC

43、HINsystemcurrentcontrolsetserviceslanmanserver在其下找到主健arameters在其下新建一个二进值名为 AutoShareWks 并拊值为 0 即可 . 如果您想彻底去除共享,您可在服务里找到 SERVER 项将其改为手动禁用或卸载MICROSOFT网络的文件和打印机共享(自己拉线上网删可以)即可 . HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlLsa 这里，找到这个主键restrictanonymous 把它改成 1 3.3389 关闭终端服务：在 Windows2000 Seve

44、r 版中打开 “ 我的电脑 ”“控制面板 ”“ 添加 /删除程序 ”“添加删除Windwos 组件 ” ，把其中的 “ 终端连接器 ” 反安装即可！修改服务端端口(也可以使用3389 端口修改器 ) HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlTerminal ServerWinStationsRDP-Tcp 找到 PortNumber 修改客户端端口：按正常步骤建一个客户端连接，选中这个连接，在 “ 文件 ” 菜单中选择导出，在指定位置会生成一个后缀为.cns 的文件。打开该文件，修改“Server Port”值为与服务器端的 PortN

45、umber 对应的值。然后再导入该文件(方法：菜单文件导入 )，这样客户端就修改了端口。名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 13 页，共 30 页 - - - - - - - - - 作为管理员可以通过开始程序管理工具终端服务管理器来管理登陆服务器的用户。绿色的为自己。点任意用户的头像右键有：连接、断开、发送消息、远程控制、复位、状态和注销等命令。暴力点的你可以直接结束他的关键进程就象结束本地进程一样。4.重要命令的防范。重命名 net: ren net.exe ne

46、ticycold.exe 把 net.exe 重命名为neticycold.exe 了，比较重要的命令比如cmd.exe,net1.exe,telnet.exe,tftp.exe,ftp.exe,cacls.exe（可以修改权限）, mshta.exe,mountvol.exe, 改名或加高的权限设置。只有特定的管理员可以使用，其他用户包括system,administrators 组等都无访问权限。我们可以使用这样的命令来取消guests用户使用cmd.exe，cacls c:winntsystem32cmd.exe /e /d guests 同时我们也该注意些合法的工具被非法的利用，WI

47、NDOWS2000 的资源包中的rcmdsvc.exe 的小工具开启445 端口以服务的形式启动，可以rcmdsvc -install net start rcmdsvc sc config rcmdsvc DisplayName=Messenger sc description rcmdsvc 传输客户端和服务器之间的NET SEND 和 Alerter 服务消息这样的方式被替换服务后被用做后门。也可以在注册表里修禁用命令提示符：HKEY_CURRENT_USER/Software/Policies/Microsoft/Windows/System/新建一个名为“ DisableCMD ”的

48、双字节（ REG_DWORD) 键，并将其修改为1，这样批处理和命令提示符都不能运行了。改为2，只是禁止命令提示符。改为0 表示可以运行。同样可以使用组策略来限制，gpedit.msc-用户配置 -管理模板 -系统 -阻止访问命令提示符。cmd 的终极防守因为 cmd 如果没指定 /D 这个参数会寻找如下的注册表位置。这样编辑如下的注册表，执行我们设定好的脚本。编辑HKEY_CURRENT_USERSoftwareMicrosoftCommand ProcessorAutoRun 的内容（没有的话您可以新建一个）为您自定义的一个脚本的位置，如内容为 c:winntsystem32cmd.bat

49、。编辑 cmd.dat 可以是 exit 直接退出。或是记录入侵者的入侵时间和ip。echo off netstat -anc:winntsystem32net.log date /tc:winntsystem32net.log time /tc:winntsystem32net.log 打印 cmd.txt 的内容 attrib +s +h c:winntsystem32cmd.bat attrib +s +h c:winntsystem32net.log 名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - -

50、 - - - - - 第 14 页，共 30 页 - - - - - - - - - pause exit cmd.txt 里的内容可以是警告的语句，如：您的 ip 已经被记录，请不要非法入侵别人的电脑！我们会追究您的法律责任！因为我们做的隐藏（其实做隐藏没什么用），所以查看的时候在CMD 里，切换到 cmd.bat所在目录。运行：attrib -s -h c:cmd.bat attrib -s -h c:cmd.log telnet.exe 的防范，我们一般是不开telnet 的服务的。而且，我们宁愿很多情况下删除telnet.exe 这个工具。但下面的讨论也是有益处的。如修改我机器的

展开阅读全文