置
一、目录权限设置
在使用之前将每个硬盘根加上 Administrators SYSTEM用户为全部权限
删除其它用户
进入系统盘
C:\WINDOWS
Administrators SYSTEM用户全部权限 Users 用户默认权限
其它目录删除Everyone用户,切记C:\WINDOWS\PCHealth、C:\windows\Installer 、C:\Documents and Settings下All Users\Default User目录及其子目录
删除C:\WINDOWS\Web\printers目录
打开C:\Windows 搜索
net.exe,net1.exe,cmd.exe,tftp.exe,netstat.exe,regedit.exe,at.exe,attrib.exe,cacls.exe,format.com
修改权限,删除所有的用户只保存Administrators 和SYSTEM为所有权限
4.禁用DCOM:
运行中输入 Dcomcnfg.exe。 回车, 单击“控制台根节点”下的“组件服务”。 打开“计算机”子文件夹。
对于本地计算机,请以右键单击“我的电脑”,然后选择“属性”。选择“默认属性”选项卡。
清除“在这台计算机上启用分布式 COM”复选框。
二、禁用危险端口、用户及服务
通过本地安全策略关闭端口
TCP 135、139、593、1025 端口和 UDP 135、137、138、445 端口
卸载除QoS数据包计划程序和Internet协议(TCP/IP)外的所有网络协议和网络服务
本地安全策略配置
开始 > 程序 > 管理工具 > 本地安全策略
账户策略 > 账户锁定策略 >账户锁定阈值 5 次 账户锁定时间 10分钟 [个人推荐配置]
禁用来宾账户
重命名系统管理员账号
禁用Internet协议(TCP/IP)>属性>高级>Wins下的NetBIOS
禁止建立空连接
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa
新建 DWORD值值名为 RestrictAnonymous 数据值为1 [2003默认为1]
禁止系统自动启动服务器共享
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters
新建 DWORD值值名为 AutoShareServer 数据值为0
禁止系统自动启动管理共享
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters
新建 DWORD值值名为 AutoShareWks 数据值为0
通过修改注册表防止小规模DDOS攻击
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters
新建 DWORD值值名为 SynAttackProtect 数据值为1
删除不安全组件
regsvr32 /u wshom.ocx 卸载WScript.Shell 组件
regsvr32 /u shell32.dll 卸载Shell.application 组件
停用SQLDebugger这个账号
禁用不需要的和危险的服务。
Alerter 发送管理警报和通知
Computer Browser:维护网络计算机更新
Distributed File System: 局域网管理共享文件
Distributed linktracking client 用于局域网更新连接信息
Error reporting service 发送错误报告
Remote Procedure Call (RPC) Locator RpcNs*远程过程调用 (RPC)
Remote Registry 远程修改注册表
Removable storage 管理可移动媒体、驱动程序和库
Remote Desktop Help Session Manager 远程协助
Routing and Remote Access 在局域网以及广域网环境中为企业提供路由服务
Messenger 消息文件传输服务
Net Logon 域控制器通道管理
NTLMSecuritysupportprovide telnet服务和Microsoft Serch用的
PrintSpooler 打印服务
telnet telnet服务
Workstation 泄漏系统用户名列表
三、站点的建立
严格控制每个站点的权限,删除默认的Users用户组.
建立站点前 首先在用户管理中建立一个站点所需要使用的用户,如:
建立一用户Iusr_hostnew.com [对IIS用户增加统一的前缀方便将来的管理] 设置一个复杂的密码
修改该用户所属用户组为Guests 或 你准备好的IIS用户组。
给站点需要使用的目录加上这个用户为读取、写入权限。不要是默认权限,默认权限拥有运行权限
一、目录权限设置
在使用之前将每个硬盘根加上 Administrators SYSTEM用户为全部权限
删除其它用户
进入系统盘
C:\WINDOWS
Administrators SYSTEM用户全部权限 Users 用户默认权限
其它目录删除Everyone用户,切记C:\WINDOWS\PCHealth、C:\windows\Installer 、C:\Documents and Settings下All Users\Default User目录及其子目录
删除C:\WINDOWS\Web\printers目录
打开C:\Windows 搜索
net.exe,net1.exe,cmd.exe,tftp.exe,netstat.exe,regedit.exe,at.exe,attrib.exe,cacls.exe,format.com
修改权限,删除所有的用户只保存Administrators 和SYSTEM为所有权限
4.禁用DCOM:
运行中输入 Dcomcnfg.exe。 回车, 单击“控制台根节点”下的“组件服务”。 打开“计算机”子文件夹。
对于本地计算机,请以右键单击“我的电脑”,然后选择“属性”。选择“默认属性”选项卡。
清除“在这台计算机上启用分布式 COM”复选框。
二、禁用危险端口、用户及服务
通过本地安全策略关闭端口
TCP 135、139、593、1025 端口和 UDP 135、137、138、445 端口
卸载除QoS数据包计划程序和Internet协议(TCP/IP)外的所有网络协议和网络服务
本地安全策略配置
开始 > 程序 > 管理工具 > 本地安全策略
账户策略 > 账户锁定策略 >账户锁定阈值 5 次 账户锁定时间 10分钟 [个人推荐配置]
禁用来宾账户
重命名系统管理员账号
禁用Internet协议(TCP/IP)>属性>高级>Wins下的NetBIOS
禁止建立空连接
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa
新建 DWORD值值名为 RestrictAnonymous 数据值为1 [2003默认为1]
禁止系统自动启动服务器共享
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters
新建 DWORD值值名为 AutoShareServer 数据值为0
禁止系统自动启动管理共享
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters
新建 DWORD值值名为 AutoShareWks 数据值为0
通过修改注册表防止小规模DDOS攻击
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters
新建 DWORD值值名为 SynAttackProtect 数据值为1
删除不安全组件
regsvr32 /u wshom.ocx 卸载WScript.Shell 组件
regsvr32 /u shell32.dll 卸载Shell.application 组件
停用SQLDebugger这个账号
禁用不需要的和危险的服务。
Alerter 发送管理警报和通知
Computer Browser:维护网络计算机更新
Distributed File System: 局域网管理共享文件
Distributed linktracking client 用于局域网更新连接信息
Error reporting service 发送错误报告
Remote Procedure Call (RPC) Locator RpcNs*远程过程调用 (RPC)
Remote Registry 远程修改注册表
Removable storage 管理可移动媒体、驱动程序和库
Remote Desktop Help Session Manager 远程协助
Routing and Remote Access 在局域网以及广域网环境中为企业提供路由服务
Messenger 消息文件传输服务
Net Logon 域控制器通道管理
NTLMSecuritysupportprovide telnet服务和Microsoft Serch用的
PrintSpooler 打印服务
telnet telnet服务
Workstation 泄漏系统用户名列表
三、站点的建立
严格控制每个站点的权限,删除默认的Users用户组.
建立站点前 首先在用户管理中建立一个站点所需要使用的用户,如:
建立一用户Iusr_hostnew.com [对IIS用户增加统一的前缀方便将来的管理] 设置一个复杂的密码
修改该用户所属用户组为Guests 或 你准备好的IIS用户组。
给站点需要使用的目录加上这个用户为读取、写入权限。不要是默认权限,默认权限拥有运行权限
