|
1系统补丁及时更新;启用Windows自带防火墙,并开放80 21 3306 52013 端口.(想开什么端口自己加)<br>修改3389远程连接端口<br>修改注册表. 依次展开 HKEY_LOCAL_MACHINE/SYSTEM/CURRENTCONTROLSET/CONTROL/ <br>TERMINAL SERVER/WDS/RDPWD/TDS/TCP <br>右边键值中 PortNumber 改为你想用的端口号.注意使用十进制(例 10000 ) <br>HKEY_LOCAL_MACHINE/SYSTEM/CURRENTCONTROLSET/CONTROL/TERMINAL SERVER/ <br>WINSTATIONS/RDP-TCP/ <br>右边键值中 PortNumber 改为你想用的端口号.注意使用十进制(例 10000 ) <br>注意:别忘了在WINDOWS2003自带的防火墙给+上10000端口<br>修改完毕.重新启动服务器.设置生效.<br><br>2.删除以下的注册表主键:<br>WScript.Shell<br>WScript.Shell.1<br>Shell.application<br>Shell.application.1<br>WSCRIPT.NETWORK<br>WSCRIPT.NETWORK.1<br>修改注册表,让系统更强壮<br>1、隐藏重要文件/目录可以修改注册表实现完全隐藏<br>HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\ Current-Version\Explorer\Advanced\Folder\Hi-dden\SHOWALL”,鼠标右击 “CheckedValue”,选择修改,把数值由1改为0 <br><br>2、防止SYN洪水攻击 <br>HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters <br>新建DWORD值,名为SynAttackProtect,值为2 <br>新建EnablePMTUDiscovery REG_DWORD 0 <br>新建NoNameReleaseOnDemand REG_DWORD 1 <br>新建EnableDeadGWDetect REG_DWORD 0 <br>新建KeepAliveTime REG_DWORD 300,000 <br>新建PerformRouterDiscovery REG_DWORD 0 <br>新建EnableICMPRedirects REG_DWORD 0<br><br>3. 禁止响应ICMP路由通告报文 <br>HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\interface <br>新建DWORD值,名为PerformRouterDiscovery 值为0 <br><br>4. 防止ICMP重定向报文的攻击 <br>HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters <br>将EnableICMPRedirects 值设为0 <br><br>5. 不支持IGMP协议 <br>HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters <br>新建DWORD值,名为IGMPLevel 值为0<br>6、禁止IPC空连接:<br>cracker可以利用net use命令建立空连接,进而入侵,还有net view,nbtstat这些都是基于空连接的,禁止空连接就好了。<br>Local_Machine\System\CurrentControlSet\Control\LSA-RestrictAnonymous 把这个值改成”1”即可。<br><br>7、更改TTL值<br>cracker可以根据ping回的TTL值来大致判断你的操作系统,如: <br>TTL=107(WINNT); <br>TTL=108(win2000); <br>TTL=127或128(win9x); <br>TTL=240或241(linux); <br>TTL=252(solaris); <br>TTL=240(Irix); <br>实际上你可以自己改的:HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters:DefaultTTL REG_DWORD 0-0xff(0-255 十进制,默认值128)改成一个莫名其妙的数字如258,起码让那些小菜鸟晕上半天,就此放弃入侵你也不一定哦<br><br>8. 删除默认共享<br>有人问过我一开机就共享所有盘,改回来以后,重启又变成了共享是怎么回事,这是2K为管理而设置的默认共享,HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters:AutoShareServer类型是REG_DWORD把值改为0即可<br><br>9. 禁止建立空连接 <br>默认情况下,任何用户通过通过空连接连上服务器,进而枚举出帐号,猜测密码。我们可以通过修改注册表来禁止建立空连接: <br>Local_Machine\System\CurrentControlSet\Control\LSA-RestrictAnonymous 的值改成”1”即可。<br><br>regsvr32 /u wshom.ocx回车、regsvr32 /u wshext.dll回车<br><br>3.删除没有必要的储存过程<br>use master<br>EXEC sp_dropextendedproc 'xp_cmdshell'<br>EXEC sp_dropextendedproc 'Sp_OACreate'<br>EXEC sp_dropextendedproc 'Sp_OADestroy'<br>EXEC sp_dropextendedproc 'Sp_OAGetErrorInfo'<br>EXEC sp_dropextendedproc 'Sp_OAGetProperty'<br>EXEC sp_dropextendedproc 'Sp_OAMethod'<br>EXEC sp_dropextendedproc 'Sp_OASetProperty'<br>EXEC sp_dropextendedproc 'Sp_OAStop'<br>EXEC sp_dropextendedproc 'Xp_regaddmultistring'<br>EXEC sp_dropextendedproc 'Xp_regdeletekey'<br>EXEC sp_dropextendedproc 'Xp_regdeletevalue'<br>EXEC sp_dropextendedproc 'Xp_regenumvalues'<br>EXEC sp_dropextendedproc 'Xp_regread'<br>EXEC sp_dropextendedproc 'Xp_regremovemultistring'<br>EXEC sp_dropextendedproc 'Xp_regwrite'<br>drop procedure sp_makewebtask<br><br>(本人建议直接找对应的DLL文件删除比较保险)<br><br>4.禁用Workstation服务,防止ASP木马列出用户.<br><br>5.关闭默认共享防止LAN内IPC入侵。可以用批处理来实现.如下:<br>echo off<br>net share c$ /del<br>net share d$ /del<br>net share e$ /del<br>net share f$ /del<br>保存为bat放到C:\Documents and Settings\All Users\「开始」菜单\程序\启动 即可<br><br>6.定时重启IIS服务及SQL服务.释放资源.可以用计划任务来实现.怎么弄自己想去。<br><br>7.设置终端登陆权限,只允许授权用户登陆.开始-程序-管理工具-终端服务配置-RDP-属性-权限<br>Administrator chadmin system 完全控制,<br>禁用Guest账号,为了保险起见,最好给Guest加一个复杂的密码。你可以打开记事本,在里面输入一串包含特殊字符、数字、字母的长字符串,然后把它作为Guest用户的密码拷进去。<br>不过尽管这样还是有一定的不安全,克隆个帐 |
|
转播
