win2003下讓磁盤更安公司 登記 地址 限制全的設置
win2003下讓磁盤更安全的設置
盤算機的內部存儲器中也采用瞭相似磁帶的裝配,比力常用的一種鳴磁盤,有瞭磁盤後來,人們運用盤算機就利便多瞭,不單可以把數據處置成果寄存在磁盤中,還可以把良多輸出到盤算機中的數據存儲到磁盤中,可是這麼多的信息存儲在一路,也不難發生不安全原因,那麼怎樣可以讓你的磁盤更安全呢?上面就給年夜傢先容在windows 2003下的做法。
對的設置磁盤的安全性,詳細如下(虛構機的安全設置,咱們以asp步伐為例子)重點:
1、體系盤權限設置
C:分區部門:
c:\
administrators 所有的(該文件夾,子文件夾及文件)
CREATOR OWNER 所有的(隻有子文件來及文件)
商業註冊溜溜的眼睛開始在空姐凸體掃來掃去。登記system 所有的(該文件夾,子文件夾及文件)
IIS_WPG 創立文件/寫進數據(隻有該文件夾)
I登記地址IS_WPG(該文件夾,子文件夾及文件)
遍歷文件夾/運轉文件
列出文件夾/讀取數據
讀取屬性
創立文件夾/附加數據
讀取權限
c:\Documents and Settings
administrators 所有的(該文件夾,子文件夾及文件)
Power Users (該文件夾,子文件夾及文件)
讀取和運轉
列出文件夾目次
讀取
SYSTEM所有的(該文件夾,子文件夾及文件)
C:\Program Files
administrators 所有的(該文件夾商業登記地址,子文件夾及文件)
CREATOR OWNER所有的(隻有子文件來及文件)
IIS_WPG (該文件夾,子文件夾及文件)
讀取和運轉
列出文件夾目次
讀取
Power Users(該文件夾,子文件夾及文件)
修正權限
SYSTEM所有的(該文件夾,子文件夾及文營業註冊地址件)
TERMINAL SERVER USER (該文件夾,子文件夾及文件)
修正權限
2、網站及虛構機權限設置(好比網站在E盤)
闡明:咱們假定網站所有的在E盤wwwsite目次下,而且為每一個虛構機創立瞭一個guest用戶,用戶名為vhost1…vhostn而且創立瞭一個webuser組,把全部vhost用營業地址戶所有的插手這個webuser組內裡利便治理
E:\
Administrators所有的(該文件夾,子文件夾及文件)
E:\wwwsite
Administrators所有的(該文件夾,子文件夾及文件)
system所有的(該文件夾,子文件夾及文件)
service所有的(該文件夾,子文件夾及文件)
E:\wwwsite\vhost1
Administrators所有的(該文件夾,子文件夾及文件)
system所有的(該文件夾,子文件夾及文件)
vhost1所有的(該文件夾,子文件夾及文件)
3、數據備份盤
數據備份盤最好隻公司地址出租指定一個特定的用戶對它有完整操縱的權限
好比F盤為數據備份盤,咱們隻指定一個治理員對它有完整操縱的權限
4、其它處所的權限設置
請找到c盤的這些文件,把公司地址安全性設置隻有特定的治理員有完整操縱權限
下列這些文件隻答應administrators走訪
net.exe
net1.exet
設立登記 cmd.exe
tftp.exe
netstat.exe
regedit.exe
at.exe
attrib.exe
cacls.exe
format.com
5.刪除c:\inetpub目次,刪除iis不須要的映射,設立陷阱帳號,更改描寫
第三招:禁用不須要的辦事,進步安全性和體系效力
Computer Browser 保護收集上盤算機的最新列表以及提供這個列表
Task scheduler 答應步伐在指按時間運轉
Routing and Remote Access 在局域網公司登記以及廣域網周遭的狀況中為企業提供路由辦事
Removable storage 治理可變動位置媒體、驅動步伐和庫
Remote Registry Service 答應遙程註冊表操縱
Print設立公司 Spooler 將文件加載到內存中以便當前打印。要用打印機的伴侶不克不及禁用這項
IPSEC Policy Agent 治理IP安全戰略以及啟動ISAKMP/Oak工商登記leyIKE)和IP安全驅動步伐
Distributed Link Tracking Client 當文件在收集域的NTFS卷中變動位置時發送通知
Com+ 公司地址出租Event System 提供事務的主動發佈到訂閱COM組件
Al租地址erter 通知選定的用戶和盤算機治理警報
Error Reporting Service 網絡、存儲和向 M商業登記icrosoft 講演異樣利用步伐
Messenger 傳輸客戶端和辦事器之間的 NET SEND 和註冊公司 警報器辦事動靜
Telnet 答應遙程用戶登錄到此盤算機並運轉步伐
第四招:修正註冊表,讓體系更強健
1、暗藏主要文件/目次可以修正註冊表完成完整暗藏:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\ Current-Version\Explorer\Advanced\Folder\Hi-dden\SHOWALL”,鼠標右擊 “CheckedValue”,抉擇修正,把數值由1改為0
2、啟動體系自帶的Internet銜接_blank”>防火墻,在設置辦事選營業登記項中勾選Web辦事器。
3、避免SYN洪水進犯
HKEY_LOCAL公司地址出租_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters
新建DWORD值,名為SynAttackProtect,值為2
EnablePMTUDiscovery REG_DWORD 0
NoNameReleaseOnDemand REG_DWORD 1
EnableDeadGWDetect REG_DWORD 0
KeepAliveTime REG_DWORD 300,000
PerformRouterDiscovery REG_DWORD 0
EnableICMPRedirects REG_DWORD 0
4. 制止相應ICMP路由佈告報文
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\interface
新建DWORD值,名公司登記地址為PerformRouterDiscovery 值為0
5. 避免ICMP重定向報文的進犯
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters
將EnableICMPRedirects 值設為0
6. 不支撐IGMP協定
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters
新建DWORD值,名為IGMPLevel 值為07.修正終端辦工商登記事端口
運轉regedit,找到[HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Co註冊地址ntrol \ Terminal Server \ Wds \ rdpwd \ Tds \ tcp],望到左邊“男孩,你玩耍!”的PortNumber瞭嗎?在十入制狀況下改成你想要的端標語吧,好比7126之類的,隻要不與其它沖突即可。
2、第二處HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Control \ Terminal Server \ WinSta租地址tions \ RDP-Tcp,方式同上,記得改的端標語和下面改的一樣就行瞭。
8、制止IPC空銜接:
cracker可以應用net use下令設立空銜接,入而進侵,另有net view,nBTstat這些都是基於空銜接的,制止空銜接就好瞭。關上註冊表,找到Local_Machine\System\CurrentControlSet\Control\LSA-RestrictAnonymous 把這個值改成”1”即可。
9、更改TTL值
cracker可以依據ping歸的T營業登記TL值來大抵判定你的操縱體系,如:
TTL=107(WINNT);
TTL=108(win2000);
TTL=127或128(win9x);
TTL發現不對勁,同樣也可以看到一個小瓜**。=240或241(linux);
TTL=252(solaris);
TTL=240(Irix);
現實上你可以本身更改的:HKEY_LOCAL_MACHINE\SYSTEM\CurrentContro工商登記lSet\Services\Tcpip\Parameters:DefaultTTL REG_DWORD 0-0xff(0-255 十入制,默許值128)改成一個莫名其妙的數字如258,最少讓那些小菜鳥暈上半天,就此拋卻進侵你也紛歧定哦
10. 刪除默許共享
有人問過我一開機就共享一切盤,改歸來當前,重啟又釀成瞭共享是怎麼歸事,這是2K為治理而設置的默許共享,必需經由過程修正註冊表的方法撤消它:HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters:AutoShareServer類型是REG_DWORD把值改為0即可
11. 制止設立空銜接
默許情形下,任何用戶經由過程經由過程空銜接連上辦事器,入而列舉出帳號,預測password。咱們可以經由過程修正註冊表來制止設立空銜接:
Local_Machine\System\CurrentControlSet\Control\LSA-RestrictAnonymous 的值偉大的聲音,感覺頭暈,像他對他的潮汐。改成”1”即可。
第五招:其它安全手腕
1.禁用TCP/IP上的NetBIOS
網上鄰人-屬性-當地銜接-屬性-Internet協定(TCP/IP)屬性-高等-WINS面板-NetBIOS設置-禁用TCP/IP上的NetBIOS。如許cracker就無奈用nBTstat下令來讀取你的NetBIOS信息和網卡MAC地址瞭。
2. 賬戶安全
起首制止所有賬戶,除瞭你本身,呵呵。然後把Administrator更名。我呢就隨手又建瞭個Administrator賬戶,不外是什麼權限都沒有的那種,然後關上記事本,一陣亂敲,復制,粘貼到“password”裡往,呵呵,來破password吧~!破完瞭才發明是個初級賬戶,望你瓦解不?
創立2個治理員用帳號
固然這點望下來和下面這點有些矛盾,但事實上是聽從下面的規定的。 創立一個莊瑞遇到很多穿著金銀漂亮帥氣的男士,絕對來到這裡直接到自己喜歡的珠寶,然後去絕對地區找到自己喜歡的物品,這樣不僅絕對物品一般權限帳號用來收信以及處置一些*常事物,另一個領有Administrat轻ors 權限的帳戶隻在需求的時辰運用。可以讓治理員運用 “ RunAS” 下令來履行一些需求特權能力作的一些事業,以利便治理
3.更改C:\WINDOWS\Help\iisHelp\common\404b.htm內在的事務改為 如許,犯錯瞭主動轉到首頁
4. 安整日志
我碰到過如許的情形,一臺主機被他公司登記人進侵瞭,體系治理員請我往清查兇手,我登錄入往一望:安整日志是空的,倒,請記住:Win2000的默許安裝是不開任何安全審核的!那麼請你到當地安全戰略->審核戰略中關上響應的審核,推舉的審營業登記地址核是:
賬戶治理 勝利 掉敗
登錄事務 勝利 掉敗
對象走訪 掉敗
戰略更改 勝利 掉敗
特權運用 掉敗
體系事務 勝利 掉敗
目次辦事走訪 掉敗
賬戶登錄事務 勝利 掉敗
審核名目少的毛病是萬一你想望發明沒有記實那就一點都沒轍;審核名目太多不只會占用體系資本並且地址出租會招致你最基礎沒空往望,如許就掉往瞭審核的意義5. 運轉防毒軟件
我見過的Win2000/Nt辦事器素來沒有見到有安裝瞭防毒軟件的,實在這一點很是主要。一些好的殺毒軟件不只能殺失一些聞名的病毒商業登記地址,還能查殺大批木馬和後門步伐。如許的話,“黑客”們運用的那些有名的木馬就毫無用武之地瞭。不要忘瞭常常進級病毒庫,咱們推舉mcafree殺毒軟件+blackice_blank”>防火墻
6.sqlserver數據庫辦事器安全和serv-u Ftp辦事器安全配置,更改默許端口,和治理password
7.設置ip篩選、用blackice制止木馬常用端口
一般禁用以下端口
135 138 139 443 445 4000 4899 7626
8.當地安全戰略和組戰略的設置,假如你在設置當地安全戰略時設置錯瞭,可以如許規復成它的默許值.
關上 %SystemRoot%\Security文件夾,創立一個 “OldSecurity”子目次,將%SystemRoot%\Security下全部.log文件移到這個新建的子文件夾中.
在%SystemRoot%\Security\database\下找到”Secedit.sdb”安全數據庫並將其更名,如改為”Secedit.old”.
啟動”安全配置和剖析”MMC治理單位:”開端”->”運轉”->”MMC”,啟動治理把持臺,”添加/刪除治理單位”,將”安全配置和剖析”治理單位添加上.
右擊”安全配註冊公司置和剖析”->”關上數據庫”,閱讀”C:\WINNT\security\Database”文件夾註冊公司,輸出文件名”secedit.sdb”,單擊”關上”.商業登記地址
當體系提醒輸出一個模板時,抉擇”Setup Security.inf”,單擊”關上”.
假如體系提醒”謝絕走訪數據庫”,不管他.
你會發明在”C:\WINNT\security\Database”子文件夾中從頭天生瞭新的安全數據庫,
在”C:\WINNT\security”子文件夾下從頭天生瞭log文件.安全數據庫重修勝公司註冊利.體系之傢下載站 http://www.xitong114.com/GhostXP/
人打賞
0
人 點贊
莊瑞在德方方面和投資公司王景麗說,這次醫院這次醫院很方便的原因是,德叔和王晶李多次和醫院溝通的結果,還是他怎麼樣可以住在高幹病房,壯
主帖得到的海角分:0
舉報 |
樓主
| 埋紅包
Leave a Reply