资料内容仅供您学习参考如有不当或者侵权请联系改正或者删除。
IIS虚拟主机网站防木马权限设置安全配置整理
参考了网络上很多关于WIN的安全设置以及自己动手做了一些实践,综合了这些安全设置文章整理而成, 希望对大家有所帮助, 另外里面有不足之处还请大家多多指点, 然后给补上,谢谢
一、 系统的安装
1 、 按照Windows安装光盘的提示安装,默认情况下没有把I IS6.0安装在系统里面。
2 、 IIS6.0的安装
以下为引用的内容:
开始菜单—>控制面板—>添加或删除程序—>添加/删除Window s组件
应用程序———ASP.NET(可选)
|——启用网络COM访问(必选)
|——Internet信息服务(IIS)———Internet信息服务管理器(必选)
|——公用文件(必选)
|——万维网服务———Active Server pages(必选)
|——Internet数据连接器(可选)
|——WebDAV发布(可选)
|——万维网服务(必选)
|——在服务器端的包含文件(可选)
然后点击确定—>下一步安装。
3 、 系统补丁的更新:点击开始菜单—>所有程序—>Windows Upda te按照提示进行补丁的安装。
4 、 备份系统:用GHOST备份系统。
资料内容仅供您学习参考如有不当或者侵权请联系改正或者删除。
5 、 安装常见的软件:例如: 杀毒软件、 解压缩软件等; 安装完毕后,配置杀毒软件,扫描系统漏洞,安装之后用GHOST再次备份系统。
6 、 先关闭不需要的端口开启防火墙导入I PSEC策略
在"网络连接"里, 把不需要的协议和服务都删掉, 这里只安装了基本的Internet协议(TCP/IP) , 由于要控制带宽流量服务,额外安装了Qos数据包计划程序。 在高级tcp/ip 设置里- - "Ne tB IOS"设置"禁用t cp/IP上的NetB IOS(S)" 。 在高级选项里, 使用"Internet连接防火墙" ,这是windows 自带的防火墙, 在系统里没有的功能, 虽然没什么功能,但能够屏蔽端口,这样已经基本达到了一个IPSec的功能。
修改3389远程连接端口
修改注册表
开始- -运行- -regedit
依次展开HKEY_LOCAL_MACHINE/SYSTEM/CURRENTCONTROLSET/CONTROL/
TERMINAL SERVER/WDS/RDPWD/TDS/TCP
右边键值中Por tNumber改为你想用的端口号.注意使用十进制(例10000)
HKEY_LOCAL_MACHINE/SYSTEM/CURRENTCONTROLSET/CONTROL/TERMINAL
SERVER/WINSTAT IONS/RDP-TCP/
右边键值中Por tNumber改为你想用的端口号.注意使用十进制(例10000)
注意: 别忘了在WINDOWS自带的防火墙给上10000端口
修改完毕。 重新启动服务器设置生效。
二、 用户安全设置
1 、 禁用Gue s t账号
在计算机管理的用户里面把Gue s t账号禁用。 为了保险起见, 最好给Gue s t加一个复杂的密码。你能够打开记事本,在里面输入一串包含特殊字符、 数字、 字母的长字符串,
资料内容仅供您学习参考如有不当或者侵权请联系改正或者删除。
然后把它作为Gue s t用户的密码拷进去。
2 、 限制不必要的用户
去掉所有的Duplicate User用户、 测试用户、 共享用户等等。 用户组策略设置相应权限, 而且经常检查系统的用户,删除已经不再使用的用户。 这些用户很多时候都是黑客们入侵系统的突破口。
3 、 把系统Adminis trator账号改名
大家都知道,Windows 的Admini s tra tor用户是不能被停用的,这意味着别人能够一遍又一遍地尝试这个用户的密码。 尽量把它伪装成普通用户,比如改成Guesyc ludx 。
4 、 创立一个陷阱用户
什么是陷阱用户?即创立一个名为"Adminis trator"的本地用户,把它的权限设置成最低,
什么事也干不了的那种, 而且加上一个超过10位的超级复杂密码。 这样能够让那些Hacke r们忙上一段时间,借此发现它们的入侵企图。
5 、 把共享文件的权限从Everyone组改成授权用户
任何时候都不要把共享文件的用户设置成"Everyone"组, 包括打印共享,默认的属性就是"Everyone"组的, 一定不要忘了改。
6 、 开启用户策略
使用用户策略, 分别设置复位用户锁定计数器时间为20分钟, 用户锁定时间为20分钟,用户锁定阈值为3次。 (该项为可选)
7 、 不让系统显示上次登录的用户名
默认情况下, 登录对话框中会显示上次登录的用户名。 这使得别人能够很容易地得到系统的一些用户名,进而做密码猜测。 修改注册表能够不让对话框里显示上次登录的用户名 。 方 法 为 : 打 开 注 册 表 编 辑 器 并 找 到 注 册表 "HKLMSoftwareMicrosof tWindowsTCurrentVers ionWinlogonDont-
资料内容仅供您学习参考如有不当或者侵权请联系改正或者删除。
DisplayLas tUserName" ,把REG_SZ的键值改成1 。
8 、 密码安全设置a 、 使用安全密码
一些公司的管理员创立账号的时候往往用公司名、 计算机名做用户名,然后又把这些用户的密码设置得太简单,比如"welcome"等等。 因此, 要注意密码的复杂性,还要记住经常改密码。b 、 设置屏幕保护密码
这是一个很简单也很有必要的操作。 设置屏幕保护密码也是防止内部人员破坏服务器的一个屏障。c 、 开启密码策略
注意应用密码策略, 如启用密码复杂性要求,设置密码长度最小值为6位,设置强制密码历史为5次, 时间为42天。d 、 考虑使用智能卡来代替密码
对于密码, 总是使安全管理员进退两难, 密码设置简单容易受到黑客的攻击, 密码设置复杂又容易忘记。 如果条件允许, 用智能卡来代替复杂的密码是一个很好的解决方法。
三、 系统权限的设置
1 、 磁盘权限
系统盘及所有磁盘只给Adminis trators组和SYSTEM的完全控制权限
系统盘Documents and Settings 目录只给Administrators组和SYSTEM的完全控制权限系统盘Documents and SettingsAll Users 目录只给Administrators组和SYSTEM的完全控制权限
系统盘WindowsSystem32cacls .exe 、 cmd.exe 、 net.exe 、 net1 .exe 、 ftp.exe 、 tftp.exe 、 telnet.exe 、 netstat .exe 、 regedit .exe 、 at .exe 、 attrib.exe
资料内容仅供您学习参考如有不当或者侵权请联系改正或者删除。
、 format.com、 del文件只给Administrators组和SYSTEM的完全控制权限
另将<systemroot>System32cmd.exe 、 format.com、 f tp.exe转移到其它目录或更名Documents and Settings下所有些目录都设置只给adinistrators权限。 而且要一个一个目录查看,包括下面的所有子目录。
删除c:inetpub目录
2 、 本地安全策略设置
开始菜单—>管理工具—>本地安全策略
A、 本地策略——>审核策略
审核策略更改 成功 失败
审核登录事件 成功 失败
审核对象访问 失败审核过程跟踪 无审核
审核目录服务访问 失败
审核特权使用 失败
审核系统事件 成功 失败
审核账户登录事件 成功 失败
审核账户管理 成功 失败
B、 本地策略——>用户权限分配
关闭系统:只有Adminis trators组、 其它全部删除。
经过终端服务允许登陆: 只加入Administrators,Remote Desktop Users组,其它全部删除
C、 本地策略——>安全选项
交互式登陆: 不显示上次的用户名 启用
资料内容仅供您学习参考如有不当或者侵权请联系改正或者删除。
网络访问: 不允许SAM帐户和共享的匿名枚举 启用
网络访问: 不允许为网络身份验证储存凭证 启用
网络访问: 可匿名访问的共享 全部删除
网络访问: 可匿名访问的命 全部删除
网络访问: 可远程访问的注册表路径 全部删除
网络访问: 可远程访问的注册表路径和子路径 全部删除
帐户:重命名来宾帐户 重命名一个帐户
帐户:重命名系统管理员帐户 重命名一个帐户
3 、 禁用不必要的服务开始-运行-services.msc
TCP/IPNetBIOS Helper提供TCP/IP服务上的NetBIOS和网络上客户端的NetBIOS名称解析的支持而使用户能够共享文件、 打印和登录到网络
Server支持此计算机经过网络的文件、 打印、 和命名管道共享
Computer Browser维护网络上计算机的最新列表以及提供这个列表
Task scheduler允许程序在指定时间运行
Messenger传输客户端和服务器之间的NET SEND和警报器服务消息
Distributed File System:局域网管理共享文件, 不需要可禁用
Distributed l inktracking client : 用于局域网更新连接信息, 不需要可禁用Error reporting service :禁止发送错误报告
Microsoft Serch :提供快速的单词搜索, 不需要可禁用
NTLMSecuritysupportprovide : telnet服务和Microsoft Serch用的, 不需要可禁用PrintSpooler : 如果没有打印机可禁用
Remote Registry :禁止远程修改注册表
Remote Desktop Help Session Manager :禁止远程协助
资料内容仅供您学习参考如有不当或者侵权请联系改正或者删除。
Workstation关闭的话远程NET命令列不出用户组
以上是在Windows Server 系统上面默认启动的服务中禁用的,默认禁用的服务如没特别需要的话不要启动。
4 、 修改注册表:修改注册表, 让系统更强壮a 、 隐藏重要文件/目录能够修改注册表实现完全隐藏
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows Current-Vers ionExplorerAdvancedFolderHi-ddenSHOWALL" , 鼠标右击"CheckedValue" ,选择修改,把数值由1改为0b 、 防止SYN洪水攻击
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesTcpipParameters
新建DWORD值, 名为SynAttackPro tec t ,值为2
新建EnablePMTUDiscovery REG_DWORD 0
新建NoNameReleaseOnDemand REG_DWORD 1
新建EnableDeadGWDetect REG_DWORD 0
新建KeepAliveTime REG_DWORD 300,000
新建PerformRouterDiscovery REG_DWORD 0
新建EnableICMPRedirects REG_DWORD 03.禁止响应ICMP路由通告报文
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesTcpipParametersInterface sinterface
新建DWORD值, 名为PerformRouterDiscovery值为0c.防止ICMP重定向报文的攻击
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesTcpipParameters
将EnableICMPRedirects值设为0
资料内容仅供您学习参考如有不当或者侵权请联系改正或者删除。d.不支持IGMP协议
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesTcpipParameters
新建DWORD值, 名为IGMPLev e l值为0e 、 禁止IPC空连接:cracker能够利用net use命令建立空连接,进而入侵,还有net view, nbtstat这些都是基于空连接的,禁止空连接就好了。
Local_MachineSys temCurrentContro lSetContro lLSA-Restr ic tAnonymous把这个值改成"1"即可。f 、 更改TTL值cracker能够根据ping回的TTL值来大致判断你的操作系统, 如:
TTL=107(WINNT);
TTL=108(win) ;
TTL=127或128(win9x) ;
TTL=240或241(l inux) ;
TTL=252(solaris) ;
TTL=240(Irix) ;
实 际 上 你 能 够 自 己 改 的 :HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesTcpipParameters :Defaul tTTL REG_DWORD 0-0xff(0-255十进制,默认值128)改成一个莫名其妙的数字如258,起码让那些小菜鸟晕上半天,就此放弃入侵你也不一定哦g.删除默认共享
有人问过我一开机就共享所有盘, 改回来以后, 重启又变成了共享是怎么回事,这是2K 为 管 理 而 设 置 的 默 认 共 享 ,
资料内容仅供您学习参考如有不当或者侵权请联系改正或者删除。
HKEY_LOCAL_MACHINESYSTEMCurrentContro lSetServicesLanmanServerParameters :AutoShareServer类型是REG_DWORD把值改为0即可h.禁止建立空连接
默认情况下,任何用户经过经过空连接连上服务器,进而枚举出帐号,猜测密码。 我们能够经过修改注册表来禁止建立空连接:
Local_MachineSys temCurrentContro lSetContro lLSA-Restr ic tAnonymous 的值改成"1"即可。i 、 建立一个记事本,填上以下代码。 保存为*.bat并加到启动项目中
以下为引用的内容:net share c$ /del net share d$ /del net share e$ /del net share f$ /del net share ipc$ /del net share admin$ /del
5 、 IIS站点设置:a 、 将IIS目录&数据与系统磁盘分开,保存在专用磁盘空间内。b 、 启用父级路径c 、 在IIS管理器中删除必须之外的任何没有用到的映射(保留asp等必要映射即可)d 、 在IIS中将HTTP404 Object Not Found出错页面经过URL重定向到一个定制HTM文件e 、 Web站点权限设定(建议)
读允许
写不允许
脚本源访问不允许
hostwinds怎么样?2021年7月最新 hostwinds 优惠码整理,Hostwinds 优惠套餐整理,Hostwinds 西雅图机房直连线路 VPS 推荐,目前最低仅需 $4.99 月付,并且可以免费更换 IP 地址。本文分享整理一下最新的 Hostwinds 优惠套餐,包括托管型 VPS、无托管型 VPS、Linux VPS、Windows VPS 等多种套餐。目前 Hostwinds...
弘速云怎么样?弘速云是创建于2021年的品牌,运营该品牌的公司HOSU LIMITED(中文名称弘速科技有限公司)公司成立于2021年国内公司注册于2019年。HOSU LIMITED主要从事出售香港vps、美国VPS、香港独立服务器、香港站群服务器等,目前在售VPS线路有CN2+BGP、CN2 GIA,该公司旗下产品均采用KVM虚拟化架构。可联系商家代安装iso系统,目前推出全场vps新开7折,...
DMIT,最近动作频繁,前几天刚刚上架了日本lite版VPS,正在酝酿上线日本高级网络VPS,又差不多在同一时间推出了美国cn2 gia线路不限流量的美国云服务器,不过价格太过昂贵。丐版只有30M带宽,月付179.99 美元 !!目前美国云服务器已经有个4个套餐,分别是,Premium(cn2 gia线路)、Lite(普通直连)、Premium Secure(带高防的cn2 gia线路),Prem...