分配权限2.docx
- 文档编号:10767884
- 上传时间:2023-02-22
- 格式:DOCX
- 页数:14
- 大小:23.79KB
分配权限2.docx
《分配权限2.docx》由会员分享,可在线阅读,更多相关《分配权限2.docx(14页珍藏版)》请在冰豆网上搜索。
分配权限2
2003权限及安全设置
一、系统的安装
1、按照Windows2003安装光盘的提示安装,默认情况下2003没有把IIS6.0安装在系统里面。
2、IIS6.0的安装
开始菜单—>控制面板—>添加或删除程序—>添加/删除Windows组件
应用程序——ASP.NET(可选)
|——启用网络COM+访问(必选)
|——Internet信息服务(IIS)——Internet信息服务管理器(必选)
|——公用文件(必选)
|——万维网服务——ActiveServerpages(必选)
|——Internet数据连接器(可选)
|——WebDAV发布(可选)
|——万维网服务(必选)
|——在服务器端的包含文件(可选)
3、系统补丁的更新
点击开始菜单—>所有程序—>WindowsUpdate
按照提示进行补丁的安装。
4、备份系统
用GHOST备份系统。
5、安装常用的软件
例如:
杀毒软件、解压缩软件等;安装完毕后,配置杀毒软件,扫描系统漏洞,安装之后用GHOST再次备份系统。
6、先关闭不需要的端口开启防火墙导入IPSEC策略
在”网络连接”里,把不需要的协议和服务都删掉,这里只安装了基本的Internet协议(TCP/IP),由于要控制带宽流量服务,额外安装了Qos数据包计划程序。
在高级tcp/ip设置里--"NetBIOS"设置"禁用tcp/IP上的NetBIOS(S)"。
在高级选项里,使用"Internet连接防火墙",这是windows2003自带的防火墙,在2000系统里没有的功能,虽然没什么功能,但可以屏蔽端口,这样已经基本达到了一个IPSec的功能。
win2003服务器防止海洋木马的安全设置
1.
删除以下的注册表主键:
WScript.Shell
WScript.Shell.1
Shell.application
Shell.application.1
WSCRIPT.NETWORK
WSCRIPT.NETWORK.1
regsvr32/uwshom.ocx回车、regsvr32/uwshext.dll回车
regsvr32/uC:
\WINNT\System32\wshom.ocx
delC:
\WINNT\System32\wshom.ocx
regsvr32/uC:
\WINNT\system32\shell32.dll
delC:
\WINNT\system32\shell32.dll
再把以上2个文件权限设置为ADMINISTRATOR组完全权限所有
这里只提一下FSO的防范,但并不需要在自动开通空间的虚拟商服务器上使用,只适合于手工开通的站点。
可以针对需要FSO和不需要FSO的站点设置两个组,对于需要FSO的用户组给予c:
winnt\system32\scrrun.dll文件的执行权限,不需要的不给权限。
重新启动服务器即可生效。
对于这样的设置结合上面的权限设置,你会发现海阳木马已经在这里失去了作用!
改名不安全组件
需要注意的是组件的名称和Clsid都要改,并且要改彻底了。
下面以Shell.application为例来介绍方法。
打开注册表编辑器【开始→运行→regedit回车】,然后【编辑→查找→填写Shell.application→查找下一个】,用这个方法能找到两个注册表项:
“{ 13709620-C279-11CE-A49E-444553540000 }”和“Shell.application”。
为了确保万无一失,把这两个注册表项导出来,保存为.reg文件。
比如我们想做这样的更改
13709620-C279-11CE-A49E-444553540000改名为13709620-C279-11CE-A49E-444553540001
Shell.application改名为Shell.application_ajiang
那么,就把刚才导出的.reg文件里的内容按上面的对应关系替换掉,然后把修改好的.reg文件导入到注册表中(双击即可),导入了改名后的注册表项之后,别忘记了删除原有的那两个项目。
这里需要注意一点,Clsid中只能是十个数字和ABCDEF六个字母。
下面是我修改后的代码(两个文件我合到一起了):
WindowsRegistryEditorVersion5.00
[HKEY_CLASSES_ROOT\CLSID\{ 13709620-C279-11CE-A49E-444553540001 }]
@="ShellAutomationService"
[HKEY_CLASSES_ROOT\CLSID\{ 13709620-C279-11CE-A49E-444553540001 }\InProcServer32]
@="C:
\\WINNT\\system32\\shell32.dll"
"ThreadingModel"="Apartment"
[HKEY_CLASSES_ROOT\CLSID\{ 13709620-C279-11CE-A49E-444553540001 }\ProgID]
@="Shell.Application_ajiang.1"
[HKEY_CLASSES_ROOT\CLSID\{ 13709620-C279-11CE-A49E-444553540001 }\TypeLib]
@="{ 50a7e9b0-70ef-11d1-b75a-00a0c90564fe }"
[HKEY_CLASSES_ROOT\CLSID\{ 13709620-C279-11CE-A49E-444553540001 }\Version]
@="1.1"
[HKEY_CLASSES_ROOT\CLSID\{ 13709620-C279-11CE-A49E-444553540001 }\VersionIndependentProgID]
@="Shell.Application_ajiang"
[HKEY_CLASSES_ROOT\Shell.Application_ajiang]
@="ShellAutomationService"
[HKEY_CLASSES_ROOT\Shell.Application_ajiang\CLSID]
@="{ 13709620-C279-11CE-A49E-444553540001 }"
[HKEY_CLASSES_ROOT\Shell.Application_ajiang\CurVer]
@="Shell.Application_ajiang.1"
你可以把这个保存为一个.reg文件运行试一下,但是可别就此了事,因为万一黑客也看了我的这篇文章,他会试验我改出来的这个名字的。
c:
\windows
administrators全部
system全部
Users读取和运行(此权限最后调整完成后可以取消)
c:
\ProgramFiles
Everyone只有该文件夹
不是继承的
列出文件夹/读数据
administrators全部
iis_wpg只有该文件夹
列出文件/读数据
读属性
读扩展属性
读取权限
c:
\windows\temp
Administrator全部权限
System全部权限
users全部权限
c:
\ProgramFiles\CommonFiles
administrators全部
Creatorowner
不是继承的
只有子文件夹及文件
完全
PowerUsers
修改,读取和运行,列出文件夹目录,读取,写入
system全部
TERMINALSERVERUsers(如果有这个用户)
修改,读取和运行,列出文件夹目录,读取,写入
Users读取和运行,列出文件夹目录,读取
c:
\windows\php.ini
administrators全部
system全部权限
SERVICE全部
Users只读和运行
CMD.EXENET.EXEATTRIB.EXEAt.EXENET1.EXEFTP.EXETELNET.EXECOMMAND.COMCAcls.EXEnetstat.exe
3.系统安全策略
A.账户策略密码策略:
B.密码设定最小值不能少于10位
C.密码设定需要保证复杂性
D.登陆计数器需要开启
E.本地策略审核策略:
F.审核策略更改:
成功
G.审核登陆事件:
成功、失败
H.审核目录服务访问:
成功
I.审核特权使用:
成功
J.审核系统事件:
成功、失败
K.审核账户登陆事件:
成功、失败
M.审核账户管理:
成功
N.本地策略本地策略:
O.不显示上次的登陆名:
启用
P.只有本地用户才能访问cd-rom:
启用
Q.只有本地用户才能访问软驱:
启用
4.网络设置[这里针对网卡参数进行设置]
PCI网络适配器。
分别为Public,Private
实际使用中会改为相关IP
A.网卡顺序调整为外网卡优先,顺序为:
a)公用网络
b)专用网络
c)远程访问连接
B.公网网卡设置:
General
1.配置:
LinkSpeed/DuplexMode:
automode
2.TCP/IP
高级WINS:
禁用TCP/IPNetBios
高级选项TCP/IP筛选:
启用TCP/IP筛选,只开放所需TCP端口
删除文件和打印机共享协议[FileandPrinterSharingforMicrosoftNetworks]
Advanced
1.启用InternetConnectionFirewall---settings---RemoteDesktop
2.SecurityLogging,ICMP协议的设置
5.本地安全性配置
本地安全设置.本地策略.安全选项
1.网络访问.不允许SAM帐户的匿名枚举启用
2.网络访问.可匿名的共享将后面的值删除
3.网络访问.可匿名的命名管道将后面的值删除
4.网络访问.可远程访问的注册表路径将后面的值删除
5.网络访问.可远程访问的注册表的子路径将后面的值删除
6.网络访问.限制匿名访问命名管道和共享
7.帐户.重命名来宾帐户guest
8.帐户.重命名系统管理员帐户
6.TerminalServiceConfigration
A.RDP设置中删除系统管理员组(administratorsgroup)的用户登陆权限,只允许系统管理员单一账户登陆[Permissions]
B.权限-高级中配置安全审核,记录登录、注销等所有事件
将有安全问题的SQL过程删除.比较全面.一切为了安全!
删除了调用shell,注册表,COM组件的破坏权限
usemaster
EXECsp_dropextendedproc’xp_cmdshell’
EXECsp_dropextendedproc’Sp_OACreate’
EXECsp_dropextendedproc’Sp_OADestroy’
EXECsp_dropextendedproc’Sp_OAGetErrorInfo’
EXECsp_dropextendedproc’Sp_OAGetProperty’
EXECsp_dropextendedproc’Sp_OAMethod’
EXECsp_dropextendedproc’Sp_OASetProperty’
EXECsp_dropextendedproc’Sp_OAStop’
EXECsp_dropextendedproc’Xp_regaddmultistring’
EXECsp_dropextendedproc’Xp_regdeletekey’
EXECsp_dropextendedproc’Xp_regdeletevalue’
EXECsp_dropextendedproc’Xp_regenumvalues’
EXECsp_dropextendedproc’Xp_regread’
EXECsp_dropextendedproc’Xp_regremovemultistring’
EXECsp_dropextendedproc’Xp_regwrite’
dropproceduresp_makewebtask
全部复制到"SQL查询分析器"
点击菜单上的--"查询"--"执行",就会将有安全问题的SQL过程删除
关键DLL改名
PHP安全
修改3389远程连接端口
修改注册表.
开始--运行--regedit
依次展开HKEY_LOCAL_MACHINE/SYSTEM/CURRENTCONTROLSET/CONTROL/
TERMINALSERVER/WDS/RDPWD/TDS/TCP
右边键值中PortNumber改为你想用的端口号.注意使用十进制(例10000)
HKEY_LOCAL_MACHINE/SYSTEM/CURRENTCONTROLSET/CONTROL/TERMINALSERVER/
WINSTATIONS/RDP-TCP/
右边键值中PortNumber改为你想用的端口号.注意使用十进制(例10000)
注意:
别忘了在WINDOWS2003自带的防火墙给+上10000端口
修改完毕.重新启动服务器.设置生效.
用户安全设置
1、禁用Guest账号
在计算机管理的用户里面把Guest账号禁用。
为了保险起见,最好给Guest加一个复杂的密码。
你可以打开记事本,在里面输入一串包含特殊字符、数字、字母的长字符串,然后把它作为Guest用户的密码拷进去。
2、限制不必要的用户
去掉所有的DuplicateUser用户、测试用户、共享用户等等。
用户组策略设置相应权限,并且经常检查系统的用户,删除已经不再使用的用户。
这些用户很多时候都是黑客们入侵系统的突破口。
3、把系统Administrator账号改名
大家都知道,Windows2003的Administrator用户是不能被停用的,这意味着别人可以一遍又一遍地尝试这个用户的密码。
尽量把它伪装成普通用户,比如改成Guesycludx。
4、创建一个陷阱用户
什么是陷阱用户?
即创建一个名为“Administrator”的本地用户,把它的权限设置成最低,什么事也干不了的那种,并且加上一个超过10位的超级复杂密码。
这样可以让那些Hacker们忙上一段时间,借此发现它们的入侵企图。
5、把共享文件的权限从Everyone组改成授权用户
任何时候都不要把共享文件的用户设置成“Everyone”组,包括打印共享,默认的属性就是“Everyone”组的,一定不要忘了改。
6、开启用户策略
使用用户策略,分别设置复位用户锁定计数器时间为20分钟,用户锁定时间为20分钟,用户锁定阈值为3次。
(该项为可选)
7、不让系统显示上次登录的用户名
默认情况下,登录对话框中会显示上次登录的用户名。
这使得别人可以很容易地得到系统的一些用户名,进而做密码猜测。
修改注册表可以不让对话框里显示上次登录的用户名。
方法为:
打开注册表编辑器并找到注册表“HKLM\Software\Microsoft\WindowsT\CurrentVersion\Winlogon\Dont-DisplayLastUserName”,把REG_SZ的键值改成1。
密码安全设置
1、使用安全密码
一些公司的管理员创建账号的时候往往用公司名、计算机名做用户名,然后又把这些用户的密码设置得太简单,比如“welcome”等等。
因此,要注意密码的复杂性,还要记住经常改密码。
2、设置屏幕保护密码
这是一个很简单也很有必要的操作。
设置屏幕保护密码也是防止内部人员破坏服务器的一个屏障。
3、开启密码策略
注意应用密码策略,如启用密码复杂性要求,设置密码长度最小值为6位,设置强制密码历史为5次,时间为42天。
4、考虑使用智能卡来代替密码
对于密码,总是使安全管理员进退两难,密码设置简单容易受到黑客的攻击,密码设置复杂又容易忘记。
如果条件允许,用智能卡来代替复杂的密码是一个很好的解决方法。
三、系统权限的设置
1、磁盘权限
系统盘及所有磁盘只给Administrators组和SYSTEM的完全控制权限
系统盘\DocumentsandSettings目录只给Administrators组和SYSTEM的完全控制权限
系统盘\DocumentsandSettings\AllUsers目录只给Administrators组和SYSTEM的完全控制权限
系统盘\Windows\System32\cacls.exe、cmd.exe、net.exe、net1.exe、ftp.exe、tftp.exe、telnet.exe、netstat.exe、regedit.exe、at.exe、attrib.exe、、del文件只给Administrators组和SYSTEM的完全控制权限
另将
DocumentsandSettings下所有些目录都设置只给adinistrators权限。
并且要一个一个目录查看,包括下面的所有子目录。
删除c:
\inetpub目录
2、本地安全策略设置
开始菜单—>管理工具—>本地安全策略
A、本地策略——>审核策略
审核策略更改 成功 失败
审核登录事件 成功 失败
审核对象访问 失败
审核过程跟踪 无审核
审核目录服务访问 失败
审核特权使用 失败
审核系统事件 成功 失败
审核账户登录事件 成功 失败
审核账户管理 成功 失败
B、本地策略——>用户权限分配
关闭系统:
只有Administrators组、其它全部删除。
通过终端服务允许登陆:
只加入Administrators,RemoteDesktopUsers组,其他全部删除
C、本地策略——>安全选项
交互式登陆:
不显示上次的用户名 启用
网络访问:
不允许SAM帐户和共享的匿名枚举 启用
网络访问:
不允许为网络身份验证储存凭证 启用
网络访问:
可匿名访问的共享 全部删除
网络访问:
可匿名访问的命 全部删除
网络访问:
可远程访问的注册表路径 全部删除
网络访问:
可远程访问的注册表路径和子路径 全部删除
帐户:
重命名来宾帐户 重命名一个帐户
帐户:
重命名系统管理员帐户 重命名一个帐户
3、禁用不必要的服务开始-运行-services.msc
TCP/IPNetBIOSHelper提供TCP/IP服务上的NetBIOS和网络上客户端的NetBIOS名称解析的支持而使用户能够共享
文件、打印和登录到网络
Server支持此计算机通过网络的文件、打印、和命名管道共享
ComputerBrowser维护网络上计算机的最新列表以及提供这个列表
Taskscheduler允许程序在指定时间运行
Messenger传输客户端和服务器之间的NETSEND和警报器服务消息
DistributedFileSystem:
局域网管理共享文件,不需要可禁用
Distributedlinktrackingclient:
用于局域网更新连接信息,不需要可禁用
Errorreportingservice:
禁止发送错误报告
MicrosoftSerch:
提供快速的单词搜索,不需要可禁用
NTLMSecuritysupportprovide:
telnet服务和MicrosoftSerch用的,不需要可禁用
PrintSpooler:
如果没有打印机可禁用
RemoteRegistry:
禁止远程修改注册表
RemoteDesktopHelpSessionManager:
禁止远程协助
Workstation关闭的话远程NET命令列不出用户组
以上是在WindowsServer2003系统上面默认启动的服务中禁用的,默认禁用的服务如没特别需要的话不要启动。
4、修改注册表
修改注册表,让系统更强壮
1、隐藏重要文件/目录可以修改注册表实现完全隐藏
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Current-Version\Explorer\Advanced\Folder\Hi-dden\SHOWALL”,鼠标右击“CheckedValue”,选择修改,把数值由1改为0
2、防止SYN洪水攻击
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters
新建DWORD值,名为SynAttackProtect,值为2
新建EnablePMTUDiscoveryREG_DWORD0
新建NoNameReleaseOnDemandREG_DWORD1
新建EnableDeadGWDetectREG_DWORD0
新建KeepAliveTimeREG_DWORD300,000
新建PerformRouterDiscoveryREG_DWORD0
新建EnableICMPRedirectsRE
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 分配 权限
![提示](https://static.bdocx.com/images/bang_tan.gif)