建议设置
极限测试在”网络连接”里,把不需要的协议和服务都删掉,这里只安装了基本的Internet协议(TCP/IP),由于要控制带宽流量服务,额外安装了Qos数据包计划程序。
在高级tcp/ip设置里--"NetBIOS"设置"禁用tcp/IP上的NetBIOS(S)"。
在2003系统里,不推荐用TCP/IP筛选里的端口过滤功能,譬如在使用FTP服务器的时候,如果仅仅只开放21端口,由于FTP协议的特殊性,在进行FTP传输的时候,由于FTP
在高级选项里,使用”Internet连接防火墙”,这是windows
放开使用到的端口,如果修改了远程桌面的端口,别忘记添加上。如果有邮件服务器的话还要放开SMTP服务器端口25
修改ICMP设置,建议全部启用,便于网络测试ping等
权限的设置所有磁盘分区的根目录只给Administrators组和SYSTEM
c:/Documents
Windows目录要加上给users的默认权限,否则ASP和ASPX等应用程序就无法运行。如果修改的话,不要应用到子对象的项目替代所有子对象的权限项目。系统目录权限拿不准的话就不要动了,一般做好根目录和Documents
另外Documents
系统盘下
【管理工具-本地安全设置
帐户策略→帐户锁定策略
用户锁定阈值
置复位帐户锁定计数器
帐户锁定时间
本地策略→审核策略
审核策略更改 成功 失败
审核登录事件 成功 失败
审核对象访问 失败
审核过程跟踪 无审核
审核目录服务访问 失败
审核特权使用 失败
审核系统事件 成功 失败
审核账户登录事件 成功 失败
审核账户管理 成功 失败
本地策略→用户权限分配
关闭系统:只有Administrators组、其它全部删除。
通过终端服务允许登陆:只加入Administrators,Remote
本地策略→安全选项
交互式登陆:不显示上次的用户名 启用
网络访问:不允许SAM帐户和共享的匿名枚举 启用
网络访问:不允许为网络身份验证储存凭证 启用
网络访问:可匿名访问的共享 全部删除
网络访问:可匿名访问的命 全部删除
网络访问:可远程访问的注册表路径 全部删除
网络访问:可远程访问的注册表路径和子路径 全部删除
帐户:重命名来宾帐户 重命名一个帐户
帐户:重命名系统管理员帐户 重命名一个帐户
【禁用不必要的服务
Computer
Distributed
Distributed
Error
Messenger :传输客户端和服务器之间的
Microsoft
NT
Print
Remote
Remote
Server :支持此计算机通过网络的文件、打印、和命名管道共享
Task
TCP/IPNetBIOS
Workstation :关闭的话远程NET命令列不出用户组
以上是在Windows
【卸载最不安全的组件】
最简单的办法是直接卸载后删除相应的程序文件。
将下面的代码保存为一个.BAT文件,(
regsvr32
regsvr32
regsvr32
如果有可能删除这些组件
del
del
del
然后运行一下,WScript.Shell,
去http://www.ajiang.net/products/aspcheck/下载阿江的探针查看相关安全设置情况。
可能会提示无法删除文件,不用管它,重启一下服务器,你会发现这三个都提示“×安全”了。
恢复的话,去掉/u就行了
FSO(FileSystemObject)是微软ASP的一个对文件操作的控件,该控件可以对服务器进行读取、新建、修改、删除目录以及文件的操作。是ASP编程中非常有用的一个控件。但是因为权限控制的问题,很多虚拟主机服务器的FSO反而成为这台服务器的一个公开的后门,因为客户可以在自己的ASP网页里面直接就对该控件编程,从而控制该服务器甚至删除服务器上的文件。因此不少业界的虚拟主机提供商都干脆关掉了这个控件,让客户少了很多灵活性。我们公司的W2K虚拟主机服务器具有高安全性,可以让客户在自己的网站空间中任意使用却有没有办法危害系统或者妨碍其他客户网站的正常运行。
修改远程桌面连接的3389端口为9874,十六进制2692等于十进制9874,根据需要修改成合适的端口。将下面的内容保存为.reg文件,导入注册表即可。(非必需)
Windows
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal
"PortNumber"=dword:00002692
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal
"PortNumber"=dword:00002692
杀毒
这里介绍MCAFEE
因为这个版本对于国内的许多恶意代码和木马都能够及时的更新.
比如已经能够检测到海阳顶端2006
而且能够杀除IMAIL等SMTP软件使用的队列中MIME编码的病毒文件
而很多人喜欢安装诺顿企业版.而诺顿企业版,对于WEBSHELL.基本都是没有反应的.
而且无法对于MIME编码的文件进行杀毒.
在MCAFEE中.
我们还能够加入规则.阻止在windows目录建立和修改EXE.DLL文件等
我们在软件中加入对WEB目录的杀毒计划.
每天执行一次
并且打开实时监控.
注意:安装一些杀毒软件会影响ASP地执行,是因为禁用了jscript.dll和vbscript.dll组件
在dos方式下运行
比如出现
regsvr32
regsvr32
关掉杀毒软件里的script
详细出处参考:http://www.jb51.net/article/26012.htm
详细出处参考:http://www.jb51.net/article/26012.htm