>

2000域中介绍Win,R2常规安全设置及基本安全策略

- 编辑:www.bifa688.com -

2000域中介绍Win,R2常规安全设置及基本安全策略

Windows Server家族操作系统平昔有3个毛病正是Administrators组用户权限异常高,如远程IPC连接、终端服务登入,使用管理员帐号是不受限制的,这和Windows XP、Windows Vista有着本质的界别,明天Vista地带就来讲一下什么预防黑客创设IPC$空连接,那样就防止远程用户的无名氏访问,展开注册表编辑器,定位到HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlLSA分支,在左边修改RestrictAnonymous为一.如图一所示

在Windows 两千域中是何等分析Win XP组策略的吗?下文给出了详细的叙说。

用的腾讯云最早选购的时候悲催的唯有Windows Server 2009奥迪Q52的系统,原来一向用的Windows Server 200三对二〇〇八用起来还不是游刃有余,对于有些中坚设置及着力安全计谋,在网络搜了弹指间,整理大约有以下一七个方面,若是有没谈起的只求大家踊跃提议哈!

   www.bifa688.com 1

组计策是在Windows 两千/XP域中用于调控用户和Computer桌面情状的依据活动目录的建制,针对安全、软件安装回想脚本的装置都得以因此组战术实行。组计谋能够凭借目的在活动目录中的地方而使用于用户组或然Computer。

正如关键的几部

 图1

组计策的装置存款和储蓄在域调整器GPOGroup Policy objects,组计策对象)中,GPO连接到活动目录结构的各样容器站点、域以及OU)中。因为组战术与活动目录的合并分外连贯,由此在实践组攻略前对移动目录结构与安全有2个着力认知是很有至关重要的。

一.更动默许administrator用户名,复杂密码
二.展开防火墙
三.设置杀毒软件

  有关RestrictAnonymous的值的三种景况解释:

组攻略是承接保险Windows XP安全的主干工具,它能够被用来使用和保险网络中享有Computer的计谋配置的一致性。

一)新做系统一定要先打上补丁
二)安装须求的杀毒软件
三)删除系统私下认可共享

  0 注重于暗中认可权限 1 不允许枚举SAM 帐户和名称 2未有显式无名氏权限就不可能访问,同时Vista地带提示您在域调整器DC中需求小心的

概述

四)修改本地计谋——>安全选项
交互式登录:不显得最终的用户名 启用
互联网访问:不容许SAM 帐户和共享的无名氏枚举 启用
网络访问: 不容许存款和储蓄网络身份验证的凭据或 .NET Passports 启用
互联网访问:可长途访问的注册表路线和子路径 全体去除
伍)禁止使用不须要的服务
TCP/IP NetBIOS Helper、Server、 Distributed Link Tracking Client 、Print Spooler、Remote Registry、Workstation
6)禁用IPV6

www.bifa688.com,   当基于 Windows 两千/2000/二〇〇八 的域调整器上的 RestrictAnonymous 注册表值被设置为 2 时,下列职务受到限制: • 下级成员专门的工作站或服务器不能树立 netlogon 安全通道。
• 信任域中的下级域调控器无法树立 netlogon 安全通道。
• Microsoft Windows NT 用户在密码过期后不可能改动密码。其余,Macintosh 用户根本无法退换他们的密码。
• 浏览器服务不或者从在 RestrictAnonymous 注册表值设置为 二的处理器上运营的备份浏览器、主浏览器或域主浏览器中检索域列表或服务器列表。由此,全体正视浏览器服务的主次都心有余而力不足符合规律干活。
出于上述结果,提议您不要在包蕴下级客户端的混合方式情状上校RestrictAnonymous 注册表值设置为 贰。唯有在 Windows 两千/2002/200九碰到下,并且唯有当进行了尽量的品质担保测试以表达适当的劳动等第和次序功效继续维持之后,才应思虑将 RestrictAnonymous 注册表值设置为 贰。

Windows XP组战术中援引了原先从未有过包蕴在Windows 三千中的新性格,然则Windows 三千域调控器同样能够因此活动目录给Windows XP客户端发表组计谋设置。

server 二零零六 r贰交互式登6: 不突显最终的用户名

您恐怕感兴趣的文章:

  • Win二〇〇九远程序调整制安全设置本事
  • win贰零零9 CRUISER贰装置网址安全狗提醒HTTP 错误 500.二一的减轻情势
  • Win二〇〇八服务器或VPS安全配置基础教程
  • Win二〇〇八 网络计谋设置方法 让走访更安全
  • WIN二〇〇八ENCORE二上有惊无险升高地点的4点注意事项!
  • Win二零一零中距离调节确定保证安全的装置才具
  • IIS7.5 安全安排研商(推荐)

为了选择Windows XP中有着新特征,GPO必须在运作Windows XP的微管理器上编写制定。管理员还足以在Windows 三千域调节器上拓展后期的GPO管理把GPO链接到域可能OU)。要是GPO被选择到并且涵盖Windows XP和Windows 两千客户端的域,Windows 三千将会忽视仅针对Windows XP的新安装,而仅使用能够被Windows 3000施用的装置,Windows XP计算机则会选取具备的设置。在将GPO应用到Windows 两千域在此以前请参阅Guide to Securing Microsoft Windows 3000 Group Policy。同时,还是能参照“Upgrading Windows 贰仟 Group Policy for Windows XP”:http://support.microsoft.com/support/kb/articles/Q307/9/00.asp

骨子里最重视的便是开启防火墙 服务器安全狗(安全狗自带的部分效果基本上都安装的诸多了) mysql(sqlserver)低权限运转基本上就基本上了。338玖远道登6,一定要界定ip登陆。

有惊无险设置扩展

一、系统及顺序

从一篇安全告知能够领略,安全设置扩展是组计策中最根本的1部分之一。许多与安全辅车相依的设置都以在天水设置中进行的,安全设置允许助理馆员加强大多与安全有关的目的,并经过组攻略和活动目录把它们选用到自由一台运行着Windows XP的微型Computer。

1、荧屏爱戴与电源

有惊无险设置扩充位于GPO的微处理器配置Windows设置康宁设置的路径下,并得以经过MMC的组计谋组件访问。安全设置是指向Computer的,而不是专门针对有些用户,同时也包罗了辽阳模板中全数的拉萨区域举个例子账户战略、本地计策等),除了那个之外还有活动目录的公钥战术以及IP安全计谋。

桌面右键--〉本性化--〉荧屏爱惜程序,显示屏保护程序 采用无,更换电源设置 选拔高质量,选用关闭显示器的日子 关闭显示屏 选 从不 保存修改

创建 Windows XP GPO

2、配置IIS7组件、FTP7、php 5.5.7、mysql 5.6.15、phpMyAdmin 4.1.8、phpwind 9.0、ISAPI_Rewrite遭逢。在此处作者给大家能够推荐下Ali云的服务器一键境况布署,全自动安装设置很不利的。点击查看地址

Windows XP GPO必须在运营Windows XP的机器上编写制定,要开垦或创办一个GPO,能够在三个1度参预了域的运作Windows XP的微管理器上张开如下操作:

贰、系统安全配置

运转微软保管理调控制台mmc.exe)

壹、目录权限

选用调控台- 增添/删除组件

除系统所在分区之外的富有分区都予以Administrators和SYSTEM有完全调整权,之后再对其下的子目录作单独的目录权限

点击增加

2、远程连接

挑选组计策

本身的微型Computer属性--〉远程设置--〉远程--〉只同意运行带互连网一流身份验证的远程桌面包车型地铁微管理器连接,选择允许运营肆意版本远程桌面包车型大巴管理器连接(较不安全)。备注:方便七种本子Windows远程管理服务器。windows server 二〇〇九的远程桌面连接,与2003比照,引进了互连网级身份验证(NLA,network level authentication),XP SP三不援救那种互联网级的身份验证,vista跟win7扶助。不过在XP系统中修改一投注册表,就能够让XP SP三协理互连网级身份验证。HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlLsa在右窗口中双击Security Pakeages,增添一项“tspkg”。HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlSecurityProviders,在右窗口中双击SecurityProviders,加多credssp.dll;请留意,在增进那项值时,一定要在原来的值后增添逗号后,别忘了要空1格(英文状态)。然后将XP系统重启一下就能够。再查看一下,就能够发掘XP系统现已帮助网络级身份验证

点击增加

3、修改远程访问服务端口

并发2个取舍组战术对象窗口,在组计谋对象选项下,暗中同意会显示本地计算机,要编写GPO,点击浏览开关在域中,定为到要运用GPO的容器,容器展现后,选拔3个早就存在的GPO或然点击窗口上方的第2个按键新建四个GPO,然后选中这几个GPO

变动远程连接端口方法,可用windows自带的总结器将10进制转为1陆进制。改变338玖端口为820八,重启生效!

点击明确

Windows Registry Editor Version 5.00

点击关闭

[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlTerminal ServerWdsrdpwdTdstcp]
"PortNumber"=dword:0002010

点击明确

[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlTerminal ServerWinStationsRDP-Tcp]
"PortNumber"=dword:00002010

导入安全模板到GPO中

(1)在先导--运营菜单里,输入regedit,进入注册表编辑,按上边包车型大巴门径进入修改端口的地方
(2)HKEY_LOCAL_MACHINESystemCurrentControlSetControlTerminal ServerWinStationsRDP-Tcp
(三)找到入手的 "PortNumber",用十进制方式呈现,默以为338九,改为(举例)666陆端口
(4)HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlTerminal ServerWdsrdpwdTdstcp
(伍)找到动手的 "PortNumber",用10进制形式体现,默以为338玖,改为同上的端口
(6)在调整面板--Windows 防火墙--高端设置--入站规则--新建规则
(7)选取端口--协商和端口--TCP/特定地点端口:同上的端口
(捌)下一步,选择允许连接
(玖)下一步,选拔公用
(10)下一步,名称:远程桌面-新(TCP-In),描述:用于远程桌面服务的入站规则,以允许PRADODP通讯。[TCP 同上的端口]
(1壹)删除远程桌面(TCP-In)规则
(1二)重新开动计算机

要把已存在的安全模板导入到Windows XP GPO,可进展如下操作:

四、配置当地连接

在组战术组件中,定位到Computer配置Windows设置吕梁设置

网络--〉属性--〉管理互联网连接--〉本地连接,张开“本地连接”界面,选择“属性”,左键点击“Microsoft网络客户端”,再点击“卸载”,在弹出的对话框中“是”确认卸载。点击“Microsoft网络的公文和打印机共享”,再点击“卸载”,在弹出的对话框中挑选“是”确认卸载。

在导入模板前开始展览安全设置节点,图12突显了开展后的安全设置扩充

铲除Netbios和TCP/IP协议的绑定13九端口:展开“当地连接”界面,采纳“属性”,在弹出的“属性”框中双击“Internet协议版本(TCP/IPV四)”,点击“属性”,再点击“高等”—“WINS”,选用“禁止使用TCP/IP上的NETBIOS”,点击“确认”并关闭当地连接属性。

www.bifa688.com 2

明确命令禁止暗中同意共享:点击“开头”—“运转”,输入“Regedit”,展开注册表编辑器,展开注册表项“HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServiceslanmanserverparameters”,在左边的窗口中新建Dword值,名称设为AutoShareServer,值设为“0”。

图 12

关闭 445端口:HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesNetBTParameters,新建 Dword(三十人)名称设为SMBDeviceEnabled 值设为“0”

告诫:依照MMC中的五个Bug,在导入模板前开始展览安全设置节点时发出的荒唐有相当的大可能率导致模板载入的谬误。

5、共享和意识

右键点击安全设置

右键“互联网” 属性 网络和共享中央  共享和意识
关门,互联网共享,文件共享,公用文件共享,打字与印刷机共享,展现作者正在共享的具有文件和文件夹,显示那台计算机上保有共享的网络文件夹

从弹出美食指南选取导入计谋

6、用防火墙限制Ping

导入攻略自窗口中将会展现%SystemRoot%securitytemplates文件夹中的全部模板,从那几个文件夹中采取三个模板可能通过浏览功用查找其余适合的沙盘。

英特网协侦查吧,ping照旧常事要求动用的

点击张开

柒、防火墙的设置

被入选的沙盘中的设置已经被导入到了广安选项节点,未来你能够通过安全设置树查看和改变这么些设置。

调整面板→Windows防火墙设置→改造设置→例外,勾选FTP、HTTP、远程桌面服务 宗旨网络

告诫:为了让二个新的GPO能够被正确行使,你必须首先注册那壹转移,轻巧地把模版导入到新的GPO并不能够起到这么些效应,哪怕关闭组攻略组件中的GPO然后稍等片刻重新张开它的时候系统会报告说导入的平安设置已经被封存。组攻略被刷新后GPO将会被清空而不是被采用。要登记多少个变动,在载入安全模板后编辑GPO中的跋扈几个装置,哪怕你随意改动贰个设置后再度又把设置该回来。

HTTPS用不到能够不勾

在Windows 3000 域调整器上管住Windows XP GPO

3306:Mysql
1433:Mssql

在早期的明确中,1旦Windows XP GPO在运维Windows XP的微机上被编辑过后,前期的GPO管理举个例子链接GPO到域也许OU)就足以在Windows 两千域调整器上拓展了。

⑧、禁用不必要的和危险的服务,以下列出服务都急需禁止使用。

当使用Windows 3000域调节器查看Windows XP GPO时,假使Windows XP独有的用户或用户组比方LOCAL SE中华VVICE、NETWOKugaK SE库罗德VICE)呈现在三个文书也许注册表的权能设置中时,当定位到Computer配置Windows设置安全设置节点就也许滋生“Windows不能展开模板文件”的错误音讯。但是即使这个安全设置不能在Windows 3000下查看,GPO照旧能够被正确行使。

调节面板 管理工科具 服务

本地组战略对象

Distributed linktracking client   用于局域网更新连接音讯
PrintSpooler  打字与印刷服务
Remote Registry  远程修改注册表
Server 计算机通过互连网的文件、打字与印刷、和命名管道共享
TCP/IP NetBIOS Helper  提供
TCP/IP (NetBT) 服务上的
NetBIOS 和网络上客户端的
NetBIOS 名称解析的匡助
Workstation   泄漏系统用户名列表 与Terminal Services Configuration 关联
计算机 Browser 维护网络Computer更新 暗中同意已经禁止使用
Net Logon   域调控器通道管理 暗中同意已经手动
Remote Procedure Call (RPC) Locator   RpcNs*长距离进度调用 (RPC) 默许已经手动
除去服务sc delete MySql

每台计算机无论是或不是域成员都有地点组计谋,本地组战略是率先个被运用的政策。尽管其余后期的组计谋都大概覆盖当地战术的安装,可是假如是在地点组计策中设定并不曾在其他策略中设定的宗旨都将被保留。因而本地计谋和活动目录组计策的配置壹致是很关键的。

玖、安全设置-->本地攻略-->安全选项

本土组战略对象Local GPO)被保留在 %SystemRoot%System32Group Policy,能够通过组计策组件中的选取远程Computer如故在管理工科具菜单下抉择本地安全攻略来拜访和查看。

在运营中输入gpedit.msc回车,展开组战略编辑器,采取Computer配置-->Windows设置-->安全设置-->本地战略-->安全选项

LGPO并不是归纳了移动目录组战术的凡事装置,举个例子来讲,在平安设置节点下,只有账户攻略和本地战略可用,因而若是3个安全模板被导入本地战略,实际上就唯有在本地攻略中可用的1对被真正导入了。其他的安装,举例注册表和文书权限能够因此平安安顿和分析组件应用到本地。

交互式登入:不出示最后的用户名       启用
网络访问:差别意SAM帐户的无名枚举       启用 已经启用
网络访问:不相同意SAM帐户和共享的无名枚举   启用
网络访问:区别意积存互连网身份验证的证据   启用
网络访问:可无名氏访问的共享         内容全方位去除
互联网访问:可佚名访问的命名管道       内容总体剔除
互联网访问:可长途访问的注册表路径      内容全方位删减
互连网访问:可长途访问的注册表路径和子路线  内容总体删减
帐户:重命名乌兰察布帐户            这里能够改动guest帐号
帐户:重命名系统助理馆员帐户         这里能够变动Administrator帐号

强制组攻略更新

拾、安全设置-->账户战略-->账户锁定战略

组战略会通过活动目录周期性的被更新,默许的安装会每九十分钟更新3回事业站的组战略设置。

在运营中输入gpedit.msc回车,展开组计策编辑器,接纳Computer配置-->Windows设置-->安全设置-->账户战术-->账户锁定计策,将账户锁定阈值设为“二回登录无效”,“锁定时期为二十七分钟”,“重新载入参数锁定计数设为二十六分钟”。

要强制组计谋立时在本机更新可以应用命令行工具gpupdate.exe。输入gpupdate /?将会看出该命令全部可用的参数。举个例子,要强制立时刷新计算机配置那一部分的组攻略设置,可以运用:

1一、本地安全设置

Gpupdate /target:computer /force

分选Computer配置-->Windows设置-->安全设置-->本地计谋-->用户权限分配
关闭系统:唯有Administrators组、其它任何去除。
因此极端服务拒绝登录:参加Guests组、IUSBMWX3_*****、IWAM_*****、NETWORK SERVICE、SQLDebugger  
透过极端服务允许登入:到场Administrators、Remote Desktop Users组,别的全体删减

查看战略结果集

1贰、退换Administrator,guest账户,新建一无别的权力的假Administrator账户

据书上说指标所在的器皿不一样,多少个GPO能够而且使用到域对象。比方来讲,2个域品级的GPO设置能够被运用到域中的全部计算机上,针对不一样OU的GPO也足以分级被选取到1贰分OU的呼应对象。人工剖断哪些GPO被使用以及它们以什么的11被应用是一个累赘的行事,特别是在贰个错综复杂的域情况中,那使得组计谋难题的错误排查显得格外艰苦。好在Windows XP提供了三个工具PRADOsoPResultant Set of Policy,计谋结果集)和gpresult.exe,能够用来查看三个对象上GPO的利用情形。

管理工科具→Computer管理→系统工具→本地用户和组→用户
新建四个Administrator帐户作为陷阱帐户,设置超长密码,并去掉全数用户组
改换描述:管理Computer(域)的停放帐户

RsoP组件

一叁、密码战略

哈弗SoP.msc是多少个用来显示本地计算机上战术应用意况的MMC组件,要开荒那几个组件,能够一向在命令行窗口输入RubiconSoP.msc恐怕加上计策结果集到MMC中。图一三展现了方针结果集组件。

挑选Computer配置-->Windows设置-->安全设置-->密码攻略
开发银行 密码必须符合复杂性必要
最短密码长度

www.bifa688.com 3

14、禁用DCOM ("冲击波"病毒 RPC/DCOM 漏洞)

图 13

运作Dcomcnfg.exe。调控台根节点→组件服务→Computer→右键单击“作者的微型Computer”→属性”→暗许属性”选项卡→清除“在那台微型计算机上启用遍布式 COM”复选框。

对各种组战略设置,中华VsoP都会显得Computer设置当前计算机的装置意况)以及GPO来源哪个GPO最终发生了现阶段的设置)。

15、ASP漏洞

Gpresult.exe

最重若是卸载WScript.Shell 和 Shell.application 组件,是不是删除看是还是不是要求。

Gpresult.exe是二个命令行工具,能够用来查阅Computer上最终一遍被利用的组战略的详尽意况:应用了哪些GPO以及利用的先后顺序,以及因为何原因怎么GPO未有被采用。同时Gpresult还足以采集网络中任何Computer的有关音信。

regsvr32/u C:WINDOWSSystem32wshom.ocx
regsvr32/u C:WINDOWSsystem32shell32.dll

要翻看gpresult全体可用的参数,能够在命令行下输入

除去大概权限不够

gpresult /?

del C:WINDOWSSystem32wshom.ocx
del C:WINDOWSsystem32shell32.dll

已知难点

若是的确要动用,大概也得以给它们改个名字。

本段会就出席Windows 2000域的Windows XPComputer大概会境遇的难点作出表明。

WScript.Shell能够调用系统基本运行DOS基本命令

RestrictAnonymous 设置以及“用户必须在下次报到时修改密码”

可以透过更换注册表,将此组件改名,来幸免此类木马的祸害。

暗许情状下Windows XP不会给无名氏用户空连接)指派与伊夫ryone组同样的权柄,但是在Windows NT和Windows 三千中佚名用户则是具备那种权力的。假诺Windows 三千域中用户被安装了用户下次登陆时务必修改密码选项同时Windows 两千域调节器上RestrictAnonymous注册表键棉被服装置为无名用户并未有别的权力,除非被派出注册表键值被安装为贰),那种情景下Windows 3000域用户登6Windows XPComputer时也许会超出有的诡秘的难题。

HKEY_CLASSES_ROOTWScript.Shell及HKEY_CLASSES_ROOTWScript.Shell.1

从Windows 2000Professional客户端上登6的用户不会遭受任何登入难点,在急需的时候也得以修改他的密码。然we从Windows XP客户端登入的同1个用户大概会在输入新密码后相见“你未曾退换密码的权限”的错误消息。唯一的缓和办法是在Windows 3000域调控器上把RestrictAnonymous键的键值由二改为0或然1。要留意修改Windows 3000的装置大概会在域调节器上爆发多数驾驭的情景消息,那一个情况音信都能被黑客利用,哪怕是登记表键棉被服装置为壹那种小事。有众多工具软件能够搜聚这个音讯,乃至枚举全体的用户帐户讯息。那几个中的安全风险必须中度注意。

化名字为其它的名字,如:改为WScript.Shell_ChangeName 或 WScript.Shell.1_ChangeName

在Windows 两千域中介绍完Win XP组战略后,相信我们对Win XP组战术有了三个轮廓的刺探了,而越多关于组计策的知识有待于读者去读书和加固。

温馨事后调用的时候使用那些就足以健康调用此组件了

2000域中是何等剖析Win XP 组计策的呢?下文给出了详尽的讲述。 组战术是在Windows 2000/XP域中用来调节用户和管理器桌面情况的基于...

也要将clsid值也改一下

HKEY_CLASSES_ROOTWScript.ShellCLSID项目标值

HKEY_CLASSES_ROOTWScript.Shell.1CLSID花色的值

也得以将其除去,来防范此类木马的加害。

Shell.Application能够调用系统基本运转DOS基本命令

能够经过改造注册表,将此组件改名,来防止此类木马的摧残。

HKEY_CLASSES_ROOTShell.Application及HKEY_CLASSES_ROOTShell.Application.1化名叫其它的名字,如:改为Shell.Application_ChangeName 或 Shell.Application.1_ChangeName

温馨之后调用的时候使用那些就能够健康调用此组件了

也要将clsid值也改一下

HKEY_CLASSES_ROOTShell.ApplicationCLSID体系的值
HKEY_CLASSES_ROOTShell.ApplicationCLSID类型的值

也得以将其删除,来严防此类木马的侵蚀。

禁绝Guest用户选用shell3贰.dll来防护调用此组件。

贰仟接纳命令:cacls C:WINNTsystem32shell32.dll /e /d guests
2003运用命令:cacls C:WINDOWSsystem32shell32.dll /e /d guests

明令禁止行使FileSystemObject组件,FSO是使用率非常高的零部件,要小心明确是或不是卸载。改名后调用将在改程序了,Set FSO = Server.CreateObject("Scripting.FileSystemObject")。

FileSystemObject能够对文件实行健康操作,能够经过改变注册表,将此组件改名,来防护此类木马的迫害。
HKEY_CLASSES_ROOTScripting.FileSystemObject
更名叫其余的名字,如:改为 FileSystemObject_ChangeName
投机事后调用的时候使用那个就足以健康调用此组件了
也要将clsid值也改一下HKEY_CLASSES_ROOTScripting.FileSystemObjectCLSID项目标值
也足以将其除去,来幸免此类木马的迫害。
2000注销此组件命令:RegSrv32 /u C:WINNTSYSTEMscrrun.dll
2003收回此组件命令:RegSrv3二 /u C:WINDOWSSYSTEMscrrun.dll
哪些禁止Guest用户选用scrrun.dll来防止调用此组件?
应用那个命令:cacls C:WINNTsystem32scrrun.dll /e /d guests

15、打开UAC

调节面板 用户账户 展开或关闭用户账户调整

1陆、程序权限

"net.exe","net1.exe","cmd.exe","tftp.exe","netstat.exe","regedit.exe","at.exe","attrib.exe","cacls.exe","format.com","c.exe"
或完全取缔上述命令的进行
gpedit.msc-〉用户配置-〉管理模板-〉系统
启用 阻止访问命令提醒符 同时 也停用命令提醒符脚本甩卖
启用 阻止访问注册表编辑工具
启用 不要运维钦赐的windows应用程序,增加底下的
at.exe attrib.exe c.exe cacls.exe cmd.exe format.com net.exe net1.exe netstat.exe regedit.exe tftp.exe

一7、Serv-u安全主题素材(个人提出不是特地高的须要没要求用serv_U能够应用FTP服务器 FileZilla Server

安装程序尽量选拔新式版本,幸免选择暗中同意安装目录,设置好serv-u目录所在的权杖,设置四个千头万绪的领队密码。修改serv-u的banner消息,设置被动形式端口范围(400一—400三)在地头服务器中装置中盘活相关安全设置:包蕴检查无名密码,禁止使用反超时调整,拦截“FTP bounce”攻击和FXP,对于在30秒内连接超过三次的用户拦截10分钟。域中的设置为:须要复杂密码,目录只使用小写字母,高档中安装撤废允许利用MDTM命令改变文件的日子。

改变serv-u的起步用户:在系统中新建2个用户,设置1个复杂点的密码,不属于任何组。将servu的安装目录给予该用户完全调整权限。建构2个FTP根目录,要求给予这些用户该目录完全调节权限,因为兼具的ftp用户上传,删除,退换文件都以继续了该用户的权柄,不然无法操作文件。其余部需要要给该目录以上的上级目录给该用户的读取权限,不然会在再3再四的时候现身530 Not logged in, home directory does not exist。举例在测试的时候ftp根目录为d:soft,必须给d盘该用户的读取权限,为了安全裁撤d盘别的文件夹的接续权限。而貌似的应用暗中同意的system启动就不曾那几个难题,因为system一般都具有那几个权限的。若是FTP不是必须每一日都用,不及就关了吧,要用再展开。

上边是其他网上好友的补偿:大家能够参照下

Windows Web Server 二〇〇八 Evoque二服务器轻便安全设置

一、新做系统一定要先打三月知补丁,以往也要立刻关切微软的尾巴报告。略。
二、全数盘符根目录只给system和Administrator的权位,别的的去除。
三、将富有磁盘格式调换为NTFS格式。
命令:convert c:/fs:ntfs c:代表C盘,其余盘类推。WIN0捌 r2 C盘一定是ntfs格式的,不然不可能设置系统
四、开启Windows Web Server 2010 揽胜二自带的高级级防火墙。
默许已经拉开。
伍、安装须要的杀毒软件如mcafee,安装1款ARP防火墙,安天ARP好像不错。略。
6、设置荧屏屏爱惜。
七、关闭光盘和磁盘的自动播放功效。
八、删除系统暗中认可共享。
一声令下:net share c$ /del 那种办法下次运转后大概会油可是生,不到头。也得以做成1个批管理公事,然后设置开机自动执动那么些批处理。然则仍旧引入上边包车型地铁不2法门,直修改注册表的情势。
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesLanmanserverparameters下边新建AutoShareServer ,值为0 。。重启一下,测试。已经恒久生效了。
九、重命Administrator和Guest帐户,密码必须复杂。GUEST用户我们得以复制一段文本作为密码,你说那几个密码哪个人能破。。。。也唯有协调了。...
重命名助理馆员用户组Administrators。
拾、创制一个骗局用户Administrator,权限最低。

地方2步重命名最棒放在安装IIS和SQL在此之前做好,那自个儿这里就不演示了。

1一、本地战略——>审查战略
审结计谋改动 成功 战败
审批登入事件 成功 失利
核查对象访问 战败
查对进程跟踪 无审查批准
审结目录服务走访 失败
审查批准特权选择 战败
考察系统事件 成功 失败
核对账户登六事件 成功 战败
审付钱户管理 成功 退步

12、本地战略——>用户权限分配
关闭系统:唯有Administrators 组、此外的整套删减。

管住模板 > 系统 展现“关闭事件追踪程序”更动为已禁止使用。那几个看大家欢娱。

一三、本地计策——>安全选项
交互式登录:不显得最后的用户名 启用
网络访问:不容许SAM 帐户和共享的无名氏枚举 启用
网络访问: 不容许存储互连网身份验证的凭证或 .NET Passports 启用
网络访问:可长途访问的注册表路线 全部刨除
互连网访问:可长途访问的注册表路线和子路线 全体刨除
14、禁止dump file 的产生。
系统性格>高档>运维和故障苏醒把 写入调节和测试消息 改成“无”
15、禁用不须求的劳务。
TCP/IP NetBIOS Helper
Server
Distributed Link Tracking Client
Print Spooler
Remote Registry
Workstation

1六、站点方件夹安全品质设置
删除C: inetpub 目录。删不了,不探讨了。把权力最低。。。禁止使用或删除暗中同意站点。作者那边不删除了。截止就可以。一般给站点目录权限为:
System 完全调整
Administrator 完全调节
Users 读
IIS_Iusrs 读、写
在IIS7 中删除不常用的映射 构建站点试一下。一定要选到程序所在的目录,这里是www.postcha.com目录,如若只选拔到wwwroot目录的话,站点就形成子目录或虚拟目录安装了,相比勤奋。所以毫无疑问要选取站点文件所在的目录,填上主机头。因为大家是在虚拟机上测试,所以对hosts文件修改一下,模拟用域名访问。真实境况中,无需修改hosts文件,直接表明域名到主机就行。目录权限不够,那个下个学科继续阐明。至少,咱们的页面已经屡见不鲜了。

17、禁用IPV6。看操作。

在windows server 二〇〇八 奥迪Q72操作系统下安排weblogic web application,计划产生后开始展览测试,开掘测试页的地址使用的是隧道适配器的位置,而不是静态的ip地址,而且所在的互连网并未ipv陆接入,因而调节将ipv陆和隧道适配器禁止使用,操作如下:
禁止使用ipv陆相当粗略,进入 调控面板网络和 Internet网络和共享中央单击面板左边“更动适配器设置”进入互连网连接分界面,选择要安装的连天,右键选拔属性,撤销Internet 协议版本 六 (TCP/IPv陆) 前边的抉择框分明就可以。
www.bifa688.com 4
要禁用隧道适配器须要更改注册表音讯,操作如下:
初始 -> 运营 - > 输入 Regedit 进入注册表编辑器
定位到:
[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesTcpip6Parameters]
右键点击 Parameters,采用新建 -> DWOCRUISERD (3二-位)值
命名值为 DisabledComponents,然后修改值为 ffffffff (1陆进制)
重启后生效
DisableComponents 值定义:
0, 启用全数 IPv 陆 组件,暗中同意设置
0xffffffff,禁止使用全体 IPv 陆 组件, 除 IPv 6 环回接口
0x20, 从前缀战术中采纳 IPv 四 而不是 IPv 陆
0x十, 禁止使用本机 IPv 陆 接口
0x01, 禁止使用具备隧道 IPv 六 接口
0x11, 禁止使用除用于 IPv 陆 环回接口全数 IPv 六 接口

OVER ! 重启下服务器吧

你可能感兴趣的小说:

  • windows server 2010服务器安全设置初级配置
  • Win二〇〇9 Tiggo二 WEB 服务器安全设置指南之禁用不供给的劳动和破产端口
  • Win二零零六 福睿斯二 WEB 服务器安全设置指南之文件夹权限设置本领
  • win二零零六 哈弗二 WEB 服务器安全设置指南之组计策与用户设置
  • Win二零零六 RAV4贰 WEB 服务器安全设置指南之修改3389端口与更新补丁
  • Win二零零六远程序调整制安全设置技艺
  • win2010 r二服务器安全设置之安全狗设置图像和文字化教育程

本文由bifa688.com发布,转载请注明来源:2000域中介绍Win,R2常规安全设置及基本安全策略