Cisco路由器安全配置方案 维护必备手册

1 禁止CDP(Cisco Discovery Protocol)。如:
Router(Config)#no cdp run
Router(Config-if)# no cdp enable
2 禁止其他的TCP、UDP Small服务。
Router(Config)# no service tcp-small-servers

Router(Config)# no service udp-samll-servers
3 禁止Finger服务。
Router(Config)# no ip finger
Router(Config)# no service finger
4 建议禁止HTTP服务。
Router(Config)# no ip http server
如果启用了HTTP服务则需要对其进行安全配置:设置用户名和密码;采用访问列表进行控制。
5 禁止BOOTp服务。
Router(Config)# no ip bootp server
6 禁止IP Source Routing。
Router(Config)# no ip source-route
7 建议如果不需要ARP-Proxy服务则禁止它,路由器默认识开启的。
Router(Config)# no ip proxy-arp
Router(Config-if)# no ip proxy-arp
8禁止IP Directed Broadcast。
Router(Config)# no ip directed-broadcast
9 禁止IP Classless。
Router(Config)# no ip classless
10 禁止ICMP协议的IP Unreachables, Redirects, Mask Replies。
Router(Config-if)# no ip unreacheables
Router(Config-if)# no ip redirects
Router(Config-if)# no ip mask-reply
11 建议禁止SNMP协议服务。在禁止时必须删除一些SNMP服务的默认配置。如:
Router(Config)# no snmp-server community public Ro
Router(Config)# no snmp-server community admin RW
12 如果没必要则禁止WINS和DNS服务。
Router(Config)# no ip domain-lookup
如果需要则需要配置:
Router(Config)# hostname Router
Router(Config)# ip name-server 219.150.32.xxx
13 明确禁止不使用的端口。如:
Router(Config)# interface eth0/3
Router(Config)# shutdown

二、路由器访问控制的安全配置(可选)
路由器的访问控制是比较重要的安全措施,但是目前由于需求不明确,可以考虑暂时不实施。作为建议提供。
1 建议不要远程访问路由器。即使需要远程访问路由器,建议使用访问控制列表和高强度的密码控制。
2 严格控制CON端口的访问。
配合使用访问控制列表控制对CON口的访问。
如:Router(Config)#Access- list 1 permit 192.168.0.1
Router(Config)#line con 0
Router(Config-line)#Transport input none
Router(Config-line)#Login local
Router(Config-line)#Exec-timeoute 5 0
Router(Config-line)#access-class 1 in
Router(Config-line)#end
同时给CON口设置高强度的密码。
3 如果不使用AUX端口,则禁止这个端口。默认是未被启用。禁止如:
Router(Config)#line aux 0
Router(Config-line)#transport input none
Router(Config-line)#no exec
4 建议采用权限分级策略。如:
Router(Config)#username test privilege 10 xxxx
Router(Config)#privilege EXEC level 10 telnet
Router(Config)#privilege EXEC level 10 show ip access-list
5 为特权模式的进入设置强壮的密码。不要采用enable password设置密码。而要采用enable secret命令设置。并且要启用Service password-encryption。
Router(config)#service password-encryption
Router(config)#enable secret
6 控制对VTY的访问。如果不需要远程访问则禁止它。如果需要则一定要设置强壮的密码。由于VTY在网络的传输过程中为加密,所以需要对其进行严格的控制。如:设置强壮的密码;控制连接的并发数目;采用访问列表严格控制访问的地址;可以采用AAA设置用户的访问控制等。

三、路由器路由协议安全配置
1 建议启用IP Unicast Reverse-Path Verification。它能够检查源IP地址的准确性,从而可以防止一定的IP Spooling。但是它只能在启用CEF(Cisco Express Forwarding)的路由器上使用。
uRPF有三种方式,strict方式、ACL方式和loose方式。在接入路由器上实施时,对于通过单链路接入网络的用户,建议采用strict方式;对于通过多条链路接入到网络的用户,可以采用ACL方式和loose方式。在出口路由器上实施时,采用loose方式。

Strict方式:
Router# config t
! 启用CEF
Router(Config)# ip cef
!启用Unicast Reverse-Path Verification
Router(Config)# interface eth0/1
Router(Config-if)# ip verify unicast reverse-path

ACL方式:
interface pos1/0
ip verify unicast reverse-path 190
access-list 190 permit ip {customer network} {customer network mask} any
access-list 190 deny ip any any [log]
这个功能检查每一个经过路由器的数据包的源地址,若是不符合ACL的,路由器将丢弃该数据包。

Loose方式:
interface pos 1/0
ip ver unicast source reachable-via any
这个功能检查每一个经过路由器的数据包,在路由器的路由表中若没有该数据包源IP地址的路由,路由器将丢弃该数据包。

2 启用OSPF路由协议的认证。默认的OSPF认证密码是明文传输的,建议启用MD5认证。并设置一定强度密钥(key,相对的路由器必须有相同的Key)。
3 RIP协议的认证。只有RIP-V2支持,RIP-1不支持。建议启用RIP-V2。并且采用MD5认证。普通认证同样是明文传输的。
4 启用passive-interface命令可以禁用一些不需要接收和转发路由信息的端口。建议对于不需要路由的端口,启用passive- interface。但是,在RIP协议是只是禁止转发路由信息,并没有禁止接收。在OSPF协议中是禁止转发和接收路由信息。
5 启用访问列表过滤一些垃圾和恶意路由信息,控制网络的垃圾信息流。如:
Router(Config)# access-list 10 deny 192.168.1.0 0.0.0.255
Router(Config)# access-list 10 permit any
! 禁止路由器接收更新192.168.1.0网络的路由信息
Router(Config)# router ospf 100
Router(Config-router)# distribute-list 10 in
!禁止路由器转发传播192.168.1.0网络的路由信息
Router(Config)# router ospf 100
Router(Config-router)# distribute-list 10 out

四、路由器其他安全配置
1 IP欺骗简单防护。如过滤非公有地址访问内部网络。过滤自己内部网络地址;回环地址(127.0.0.0/8);RFC1918私有地址;DHCP自定义地址(169.254.0.0/16);科学文档作者测试用地址(192.0.2.0/24);不用的组播地址(224.0.0.0/4);SUN公司的古老的测试地址(20.20.20.0/24;204.152.64.0/23);全网络地址(0.0.0.0/8)。
Router(Config)# access-list 100 deny ip 127.0.0.0 0.255.255.255 any
Router(Config)# access-list 100 deny ip 192.168.0.0 0.0.255.255 any
Router(Config)# access-list 100 deny ip 172.16.0.0 0.15.255.255 any
Router(Config)# access-list 100 deny ip 10.0.0.0 0.255.255.255 any
Router(Config)# access-list 100 deny ip 169.254.0.0 0.0.255.255 any
Router(Config)# access-list 100 deny ip 192.0.2.0 0.0.0.255 any
Router(Config)# access-list 100 deny ip 224.0.0.0 15.255.255.255 any
Router(Config)# access-list 100 deny ip 20.20.20.0 0.0.0.255 any
Router(Config)# access-list 100 deny ip 204.152.64.0 0.0.2.255 any
Router(Config)# access-list 100 deny ip 0.0.0.0 0.255.255.255 any
Router(Config)# access-list 100 permit ip any any
Router(Config-if)# ip access-group 100 in

2 建议采用访问列表控制流出内部网络的地址必须是属于内部网络的。(可选)如:
Router(Config)# no access-list 101
Router(Config)# access-list 101 permit ip 192.168.0.0 0.0.255.255 any
Router(Config)# access-list 101 deny ip any any
Router(Config)# interface eth 0/1
Router(Config-if)# description “internet Ethernet”
Router(Config-if)# ip address 192.168.0.254 255.255.255.0
Router(Config-if)# ip access-group 101 in

其他可选项:
1、 建议启用SSH,废弃掉Telnet。但只有支持并带有IPSec特征集的IOS才支持SSH。并且IOS12.0-IOS12.2仅支持SSH-V1。如下配置SSH服务的例子:
Router(Config)# config t
Router(Config)# no access-list 22
Router(Config)# access-list 22 permit 192.168.0.22
Router(Config)# access-list deny any
Router(Config)# username test privilege 10 ****
! 设置SSH的超时间隔和尝试登录次数
Router(Config)# ip ssh timeout 90
Router(Config)# ip ssh anthentication-retries 2
Router(Config)# line vty 0 4
Router(Config-line)# access-class 22 in
Router(Config-line)# transport input ssh
Router(Config-line)# login local
Router(Config-line)# exit
!启用SSH服务,生成RSA密钥对。
Router(Config)# crypto key generate rsa
The name for the keys will be: router.xxx
Choose the size of the key modulus in the range of 360 to 2048 for your General Purpose Keys .Choosing a key modulus greater than 512 may take a few minutes.
How many bits in the modulus[512]: 2048
Generating RSA Keys…
[OK]
Router(Config)#

2、 TCP SYN的防范。如:
A: 通过访问列表防范。
Router(Config)# no access-list 106
Router(Config)# access-list 106 permit tcp any 192.168.0.0 0.0.0.255 established
Router(Config)# access-list 106 deny ip any any
Router(Config)# interface eth 0/2
Router(Config-if)# description “external Ethernet”
Router(Config-if)# ip address 192.168.1.254 255.255.255.0
Router(Config-if)# ip access-group 106 in
B:通过TCP截取防范。(这会给路由器产生一定负载)
Router(Config)# ip tcp intercept list 107
Router(Config)# access-list 107 permit tcp any 192.168.0.0 0.0.0.255
Router(Config)# access-list 107 deny ip any any
Router(Config)# interface eth0
Router(Config)# ip access-group 107 in

3、 LAND.C 进攻的防范。
Router(Config)# access-list 107 deny ip host 192.168.1.254 host 192.168.1.254
Router(Config)# access-list 107 permit ip any any
Router(Config)# interface eth 0/2
Router(Config-if)# ip address 192.168.1.254 255.255.255.0
Router(Config-if)# ip access-group 107 in

4、 Smurf进攻的防范。
Router(Config)# access-list 108 deny ip any host 192.168.1.255
Router(Config)# access-list 108 deny ip any host 192.168.1.0
Router(Config)# access-list 108 permit ip any any
Router(Config-if)# ip access-group 108 in

5、 ICMP协议的安全配置。对于进入ICMP流,我们要禁止ICMP协议的ECHO、Redirect、Mask request。也需要禁止TraceRoute命令的探测。对于流出的ICMP流,我们可以允许ECHO、Parameter Problem、Packet too big。还有TraceRoute命令的使用。
! outbound ICMP Control
Router(Config)# access-list 110 deny icmp any any echo
Router(Config)# access-list 110 deny icmp any any redirect
Router(Config)# access-list 110 deny icmp any any mask-request
Router(Config)# access-list 110 permit icmp any any
! Inbound ICMP Control
Router(Config)# access-list 111 permit icmp any any echo
Router(Config)# access-list 111 permit icmp any any Parameter-problem
Router(Config)# access-list 111 permit icmp any any packet-too-big
Router(Config)# access-list 111 permit icmp any any source-quench
Router(Config)# access-list 111 deny icmp any any
! Outbound TraceRoute Control
Router(Config)# access-list 112 deny udp any any range 33400 34400
! Inbound TraceRoute Control
Router(Config)# access-list 112 permit udp any any range 33400 34400

6、 DDoS(Distributed Denial of Service)的防范。
! The TRINOO DDoS system
Router(Config)# access-list 113 deny tcp any any eq 27665
Router(Config)# access-list 113 deny udp any any eq 31335
Router(Config)# access-list 113 deny udp any any eq 27444
! The Stacheldtraht DDoS system
Router(Config)# access-list 113 deny tcp any any eq 16660
Router(Config)# access-list 113 deny tcp any any eq 65000
! The TrinityV3 System
Router(Config)# access-list 113 deny tcp any any eq 33270
Router(Config)# access-list 113 deny tcp any any eq 39168
! The SubSeven DDoS system and some Variants
Router(Config)# access-list 113 deny tcp any any range 6711 6712
Router(Config)# access-list 113 deny tcp any any eq 6776
Router(Config)# access-list 113 deny tcp any any eq 6669
Router(Config)# access-list 113 deny tcp any any eq 2222
Router(Config)# access-list 113 deny tcp any any eq 7000
Router(Config)# access-list 113 permit ip any any
Router(Config-if)# ip access-group 113 in

7、 Sql蠕虫的防范
Router(Config)# access-list 114 deny udp any any eq 1434
Router(Config)# access-list 114 permit ip any any
Router(Config-if)# ip access-group 114 in

8、 减少BGP的收敛时间,保证黑客攻击后网络能尽快恢复。
建议增加如下配置:(需在所有运行BGP的路由器上增加)
1、在每个BGP互连的接口上,增加hold-queue 1500命令,将接口的hold-queue由默认的75增加到1500。在做此配置之前需要先检查板卡的内存,确保其free memory至少为20M。
2、增加以下有关TCP的配置,增强BGP的收敛性能。
ip tcp selective-ack
ip tcp mss 1460
ip tcp window-size 65535
ip tcp queuemax 50
ip tcp path-mtu-discovery
3、在GSR上,增加ip cef linecard ipc memory 10000命令,提高download FIB的速度。

9、 启用CAR和系统日志等来增强(略)

其他注意事项:
1,及时的升级IOS软件,并且要迅速的为IOS安装补丁。
2, 要严格认真的为IOS作安全备份。
3,要为路由器的配置文件作安全备份。
4,购买UPS设备,或者至少要有冗余电源。
5,要有完备的路由器的安全访问和维护记录日志。

自己动手做好Win2003服务器安全

1.将mysql运行在普通用户权限下,这是最重要的一点,大部分的入侵都是利用数据库的权限进行的。
  MYSQL的降权运行

  新建立一个用户比如mysqlstart

  net user mysqlstart fuckmicrosoft /add

  net localgroup users mysqlstart /del

  不属于任何组

  如果MYSQL装在d:mysql ,那么,给 mysqlstart 完全控制的权限

  然后在系统服务中设置,MYSQL的服务属性,在登录属性当中,选择此用户 mysqlstart 然后输入密码,确定。

  重新启动 MYSQL服务,然后MYSQL就运行在低权限下了。

2.使用附件里的IP策略关闭所有没用的端口

管理工具—–本地安全策略—–IP安全策略—-所有任务—导入策略 然后指派…

3.所有盘的根目录都不能有everyone,users 的读与运行权限。
C盘只给administrators 和system权限
其他的盘也可以这样设置
Windows目录要加上给users的默认权限,否则ASP和ASPX等应用程序就无法运行
另外在c:/Documents and Settings/这里相当重要,后面的目录里的权限根本不会继承从前的设置,如果仅仅只是设置了C盘给administrators权限,而在All Users/Application Data目录下会 出现everyone用户有完全控制权限,这样入侵这可以跳转到这个目录,写入脚本或只文件,再结合其他漏洞来提升权限;譬如利用serv-u的本地溢出提升权限,或系统遗漏有补丁,数据库的弱点

把不必要的服务都禁止掉,尽管这些不一定能被攻击者利用得上,但是按照安全规则和标准上来说,多余的东西就没必要开启,减少一份隐患。

4.加强PHP的安全
关闭危险函数
如果打开了安全模式,那么函数禁止是可以不需要的,但是我们为了安全还是考虑进去。比如,
我们觉得不希望执行包括system()等在那的能够执行命令的php函数,或者能够查看php信息的
phpinfo()等函数,那么我们就可以禁止它们:
disable_functions = system,passthru,exec,shell_exec,popen,phpinfo
关闭PHP版本信息在http头中的泄漏

  我们为了防止黑客获取服务器中php版本的信息,可以关闭该信息斜路在http头中:

  expose_php = Off

  比如黑客在 telnet www.12345.com 80 的时候,那么将无法看到PHP的信息。

  (1) 关闭注册全局变量

  在PHP中提交的变量,包括使用POST或者GET提交的变量,都将自动注册为全局变量,能够直接访问,
  这是对服务器非常不安全的,所以我们不能让它注册为全局变量,就把注册全局变量选项关闭:
  register_globals = Off
  当然,如果这样设置了,那么获取对应变量的时候就要采用合理方式,比如获取GET提交的变量var,
  那么就要用$_GET['var']来进行获取,这个php程序员要注意。

  (2) 打开magic_quotes_gpc来防止SQL注入

  SQL注入是非常危险的问题,小则网站后台被入侵,重则整个服务器沦陷,

  所以一定要小心。php.ini中有一个设置:

  magic_quotes_gpc = Off

  这个默认是关闭的,如果它打开后将自动把用户提交对sql的查询进行转换,
  比如把 ' 转为 '等,这对防止sql注射有重大作用。所以我们推荐设置为:

  magic_quotes_gpc = On

  (3) 错误信息控制

  一般php在没有连接到数据库或者其他情况下会有提示错误,一般错误信息中会包含php脚本当
  前的路径信息或者查询的SQL语句等信息,这类信息提供给黑客后,是不安全的,所以一般服务器建议禁止错误提示:

  display_errors = Off

  如果你却是是要显示错误信息,一定要设置显示错误的级别,比如只显示警告以上的信息:

  error_reporting = E_WARNING & E_ERROR

  当然,我还是建议关闭错误提示。

  (4) 错误日志

  建议在关闭display_errors后能够把错误信息记录下来,便于查找服务器运行的原因:

  log_errors = On

  同时也要设置错误日志存放的目录,建议根apache的日志存在一起:

  error_log = D:/usr/local/apache2/logs/php_error.log

  注意:给文件必须允许apache用户的和组具有写的权限。

  如果是在windos平台下搭建的apache我们还需要注意一点,apache默认运行是system权限,
  这很恐怖,这让人感觉很不爽.那我们就给apache降降权限吧。

  net user apache fuckmicrosoft /add

  net localgroup users apache /del

  ok.我们建立了一个不属于任何组的用户apche。

  我们打开计算机管理器,选服务,点apache服务的属性,我们选择log on,选择this account,我们填入上面所建立的账户和密码,
  重启apache服务,ok,apache运行在低权限下了。

  实际上我们还可以通过设置各个文件夹的权限,来让apache用户只能执行我们想让它能干的事情,给每一个目录建立一个单独能读写的用户。
  这也是当前很多虚拟主机提供商的流行配置方法哦,不过这种方法用于防止这里就显的有点大材小用了。

.不要装PCanywhere或Radmin因为它们本身就存在安全问题,可以直接用windows 2003自带的3389,它比任何远程控制软件都安全。

.不要在服务器上双击运行任何程序,不然你中了木马都不知道。

.不要在服务器上用IE打开用户的硬盘中的网页,这是危险的行为。

.不要在服务器上浏览图片,以前windows就出过GDI 的安全漏洞。

.确保你自己的电脑安全,如果你自己的电脑不安全,服务器也不可能安全。

.检查sytem32目录的net.exe,cmd.exe,tftp.exe,netstat.exe,regedit.exe,at.exe,attrib.exe,cacls.exe只能有adms,system的全权权限.

网站目录也要用普通用户运行,附件和头像目录不能有执行权限。。

在网上邻居 右键属性 把打印和共享卸载掉

打开组策略编辑器,依次展开“计算机配置→Windows 设置→安全设置→本地策略→安全选项”,在右侧窗口中找到“网络访问:可远程访问的注册表路径”,然后在打开的窗口中,将可远程访问的注册表路径和子路径内容全部设置为空

为了防止登陆到其中的用户,随意启动服务器中的应用程序,给服务器的正常运行带来不必要的麻烦,我们很有必要根据不同用户的访问权限,来限制

  他们去调用应用程序。实际上我们只要使用组策略编辑器作进一步的设置,即可实现这一目的,具体步骤如下:

  打开“组策略编辑器”的方法为:依次点击“开始→运行”,在“运行”对话框中键入“gpedit.msc”命令并回车,即可打开“组策略编辑器”窗口。然后依次打开“组策略控制台→用户配置→管理模板→系统”中的“只运行许可的Windows应用程序”并启用此策略

 然后点击下面的“允许的应用程序列表”边的“显示”按钮,弹出一个“显示内容”对话框,在此单击“添加”按钮来添加允许运行的应用程序即可,以后一般用户只能运行“允许的应用程序列表”中的程序

PS:关于ASP
目前比较流行的ASP木马主要通过三种技术来进行对服务器的相关操作。

开始 运行 regedit.exe 进行下面的操作

  一、使用FileSystemObject组件

  FileSystemObject可以对文件进行常规操作

  可以通过修改注册表,将此组件改名,来防止此类木马的危害。

  HKEY_CLASSES_ROOTScripting.FileSystemObject

  改名为其它的名字,如:改为FileSystemObject_ChangeName

  自己以后调用的时候使用这个就可以正常调用此组件了

  也要将clsid值也改一下

  HKEY_CLASSES_ROOTScripting.FileSystemObjectCLSID项目的值

  也可以将其删除,来防止此类木马的危害。

  注销此组件命令:RegSrv32 /u C:WINDOWSSYSTEMscrrun.dll

  禁止Guest用户使用scrrun.dll来防止调用此组件。

  使用命令:cacls C:WINDOWSsystem32scrrun.dll /e /d guests

  二、使用WScript.Shell组件

  WScript.Shell可以调用系统内核运行DOS基本命令

  可以通过修改注册表,将此组件改名,来防止此类木马的危害。

  HKEY_CLASSES_ROOTWScript.Shell
  及HKEY_CLASSES_ROOTWScript.Shell.1

  改名为其它的名字,如:改为WScript.Shell_ChangeName或WScript.Shell.1_ChangeName

  自己以后调用的时候使用这个就可以正常调用此组件了

  也要将clsid值也改一下

  HKEY_CLASSES_ROOTWScript.ShellCLSID项目的值
  HKEY_CLASSES_ROOTWScript.Shell.1CLSID项目的值

  也可以将其删除,来防止此类木马的危害。

  三、使用Shell.Application组件

  Shell.Application可以调用系统内核运行DOS基本命令

  可以通过修改注册表,将此组件改名,来防止此类木马的危害。

  HKEY_CLASSES_ROOTShell.Application
  及HKEY_CLASSES_ROOTShell.Application.1

  改名为其它的名字,如:改为Shell.Application_ChangeName或Shell.Application.1_ChangeName

  自己以后调用的时候使用这个就可以正常调用此组件了

  也要将clsid值也改一下

  HKEY_CLASSES_ROOTShell.ApplicationCLSID项目的值
  HKEY_CLASSES_ROOTShell.ApplicationCLSID项目的值

  也可以将其删除,来防止此类木马的危害。

  禁止Guest用户使用shell32.dll来防止调用此组件。

  使用命令:cacls C:WINDOWSsystem32shell32.dll /e /d guests

  注:操作均需要重新启动WEB服务后才会生效

摘自SIne安全小组 http://www.sinesafe.cn

WIN2003服务器安全策略

在网上搜索了好多教程,感觉乱的很。干脆自己总结了一套windows2003服务器安全策略。绝非是网上转载的。都是经过测试的。自己感觉还行吧!欢迎大家测试,也希望与我一起交流服务器的安全问题。希望对大家有帮助!
  策略一:关闭windows2003不必要的服务
  ·computer browser 维护网络上计算机的最新列表以及提供这个列表
  ·task scheduler 允许程序在指定时间运行
  ·routing and remote access 在局域网以及广域网环境中为企业提供路由服务
  ·removable storage 管理可移动媒体、驱动程序和库
  ·remote registry service 允许远程注册表操作
  ·print spooler 将文件加载到内存中以便以后打印。
  ·ipsec policy agent 管理ip安全策略及启动isakmp/oakleyike)和ip安全驱动程序
  ·distributed link tracking client 当文件在网络域的ntfs卷中移动时发送通知
  ·com+ event system 提供事件的自动发布到订阅com组件
  ·alerter 通知选定的用户和计算机管理警报
·error reporting service 收集、存储和向 microsoft 报告异常应用程序
  ·messenger 传输客户端和服务器之间的 net send 和 警报器服务消息
  ·telnet 允许远程用户登录到此计算机并运行程序
  策略二:磁盘权限设置
  c盘只给administrators和system权限,其他的权限不给,其他的盘也可以这样设置,这里给的system权限也不一定需要给,只是由于某些第三方应用程序是以服务形式启动的,需要加上这个用户,否则造成启动不了。
  windows目录要加上给users的默认权限,否则asp和aspx等应用程序就无法运行。
  策略三:禁止 windows 系统进行空连接
  在注册表中找到相应的键值hkey_local_machine/system/currentcontrolset/control/lsa,将dword值restrictanonymous的键值改为1
  策略四:关闭不需要的端口
  本地连接–属性–internet协议(tcp/ip)–高级–选项–tcp/ip筛选–属性–把勾打上,然后添加你需要的端口即可。(如:3389、21、1433、3306、80)
  更改远程连接端口方法
  开始–>运行–>输入regedit
  查找3389:
请按以下步骤查找:
  1、hkey_local_machinesystemcurrentcontrolsetcontrolterminal serverwdsrdpwdtdstcp下的portnumber=3389改为自宝义的端口号
  2、hkey_local_machinesystemcurrentcontrolsetcontrolterminal serverwinstationsrdp-tcp下的portnumber=3389改为自宝义的端口号
  修改3389为你想要的数字(在十进制下)—-再点16进制(系统会自动转换)—-最后确定!这样就ok了。
  这样3389端口已经修改了,但还要重新启动主机,这样3389端口才算修改成功!如果不重新启动3389还
  是修改不了的!重起后下次就可以用新端口进入了!
  禁用tcp/ip上的netbios
  本地连接–属性–internet协议(tcp/ip)–高级—wins–禁用tcp/ip上的netbios
  策略五:关闭默认共享的空连接
  首先编写如下内容的批处理文件:
  @echo off
  net share c$ /delete
  net share d$ /delete
net share e$ /delete
  net share f$ /delete
  net share admin$ /delete
  以上文件的内容用户可以根据自己需要进行修改。保存为delshare.bat,存放到系统所在文件夹下的system32grouppolicyuserscriptslogon目录下。然后在开始菜单→运行中输入gpedit.msc,
  回车即可打开组策略编辑器。点击用户配置→windows设置→脚本(登录/注销)→登录.
  在出现的“登录 属性”窗口中单击“添加”,会出现“添加脚本”对话框,在该窗口的“脚本名”栏中输入delshare.bat,然后单击“确定”按钮即可。
  重新启动计算机系统,就可以自动将系统所有的隐藏共享文件夹全部取消了,这样就能将系统安全隐患降低到最低限度。
  策略五:iis安全设置
  1、不使用默认的web站点,如果使用也要将iis目录与系统磁盘分开。
  2、删除iis默认创建的inetpub目录(在安装系统的盘上)。
  3、删除系统盘下的虚拟目录,如:_vti_bin、iissamples、scripts、iishelp、iisadmin、iishelp、msadc。
  4、删除不必要的iis扩展名映射。
  右键单击“默认web站点→属性→主目录→配置”,打开应用程序窗口,去掉不必要的应用程序映射。主要为.shtml、shtm、stm。
5、更改iis日志的路径
  右键单击“默认web站点→属性-网站-在启用日志记录下点击属性
  策略六:注册表相关安全设置
  1、隐藏重要文件/目录
  hkey_local_machinesoftwaremicrosoftwindowscurrent-versionexploreradvancedfolderhiddenshowall”
  鼠标右击 “checkedvalue”,选择修改,把数值由1改为0。
  2、防止syn洪水攻击
  hkey_local_machinesystemcurrentcontrolsetservicestcpipparameters
  新建dword值,名为synattackprotect,值为2
  3、禁止响应icmp路由通告报文
  hkey_local_machinesystem currentcontrolset servicestcpipparametersinterfacesinterface
  新建dword值,名为performrouterdiscovery 值为0。
  4、防止icmp重定向报文的攻击
  hkey_local_machinesystemcurrentcontrolsetservicestcpipparameters
  将enableicmpredirects 值设为0
5、不支持igmp协议
  hkey_local_machinesystemcurrentcontrolsetservicestcpipparameters
  新建dword值,名为igmplevel 值为0。
  策略七:组件安全设置篇
  a、 卸载wscript.shell 和 shell.application 组件,将下面的代码保存为一个.bat文件执行(分2000和2003系统)
  windows2000.bat
  regsvr32/u c:winntsystem32wshom.ocx
  del c:winntsystem32wshom.ocx
  regsvr32/u c:winntsystem32shell32.dll
  del c:winntsystem32shell32.dll
  windows2003.bat
  regsvr32/u c:windowssystem32wshom.ocx
  del c:windowssystem32wshom.ocx
  regsvr32/u c:windowssystem32shell32.dll
  del c:windowssystem32shell32.dll
b、改名不安全组件,需要注意的是组件的名称和clsid都要改,并且要改彻底了,不要照抄,要自己改
  【开始→运行→regedit→回车】打开注册表编辑器
  然后【编辑→查找→填写shell.application→查找下一个】
  用这个方法能找到两个注册表项:
  {13709620-c279-11ce-a49e-444553540000} 和 shell.application 。
  第一步:为了确保万无一失,把这两个注册表项导出来,保存为xxxx.reg 文件。
  第二步:比如我们想做这样的更改
  13709620-c279-11ce-a49e-444553540000 改名为 13709620-c279-11ce-a49e-444553540001
  shell.application 改名为 shell.application_nohack
  第三步:那么,就把刚才导出的.reg文件里的内容按上面的对应关系替换掉,然后把修改好的.reg文件导入到注册表中(双击即可),导入了改名后的注册表项之后,别忘记了删除原有的那两个项目。这里需要注意一点,clsid中只能是十个数字和abcdef六个字母。
  其实,只要把对应注册表项导出来备份,然后直接改键名就可以了,
  改好的例子
  建议自己改
应该可一次成功
  windows registry editor version 5.00
  [hkey_classes_rootclsid{13709620-c279-11ce-a49e-444553540001}]
  @="shell automation service"
  [hkey_classes_rootclsid{13709620-c279-11ce-a49e-444553540001}inprocserver32]
  @="c:\winnt\system32\shell32.dll"
  "threadingmodel"="apartment"
  [hkey_classes_rootclsid{13709620-c279-11ce-a49e-444553540001}progid]
  @="shell.application_nohack.1"
  [hkey_classes_rootclsid{13709620-c279-11ce-a49e-444553540001}typelib]
  @="{50a7e9b0-70ef-11d1-b75a-00a0c90564fe}"
  [hkey_classes_rootclsid{13709620-c279-11ce-a49e-444553540001}version]
  @="1.1"
  [hkey_classes_rootclsid{13709620-c279-11ce-a49e-444553540001}versionindependentprogid]
@="shell.application_nohack"
  [hkey_classes_rootshell.application_nohack]
  @="shell automation service"
  [hkey_classes_rootshell.application_nohackclsid]
  @="{13709620-c279-11ce-a49e-444553540001}"
  [hkey_classes_rootshell.application_nohackcurver]
  @="shell.application_nohack.1"
  评论:
  wscript.shell 和 shell.application 组件是 脚本入侵过程中,提升权限的重要环节,这两个组件的卸载和修改对应注册键名,可以很大程度的提高虚拟主机的脚本安全性能,一般来说,asp和php类脚本提升权限的功能是无法实现了,再加上一些系统服务、硬盘访问权限、端口过滤、本地安全策略的设置,虚拟主机因该说,安全性能有非常大的提高,黑客入侵的可能性是非常低了。注销了shell组件之后,侵入者运行提升工具的可能性就很小了,但是prel等别的脚本语言也有shell能力,为防万一,还是设置一下为好。下面是另外一种设置,大同小异。
  c、禁止使用filesystemobject组件(也就是FSO不懂的不要改,改了后网站程序也要改)
  filesystemobject可以对文件进行常规操作,可以通过修改注册表,将此组件改名,来防止此类木马的危害。
  hkey_classes_rootscripting.filesystemobject
改名为其它的名字,如:改为 filesystemobject_changename
  自己以后调用的时候使用这个就可以正常调用此组件了
  也要将clsid值也改一下
  hkey_classes_rootscripting.filesystemobjectclsid项目的值
  也可以将其删除,来防止此类木马的危害。
  2000注销此组件命令:regsrv32 /u c:winntsystemscrrun.dll
  2003注销此组件命令:regsrv32 /u c:windowssystemscrrun.dll
  如何禁止guest用户使用scrrun.dll来防止调用此组件?
  使用这个命令:cacls c:winntsystem32scrrun.dll /e /d guests
  d、禁止使用wscript.shell组件
  wscript.shell可以调用系统内核运行dos基本命令
  可以通过修改注册表,将此组件改名,来防止此类木马的危害。
  hkey_classes_rootwscript.shell及hkey_classes_rootwscript.shell.1
  改名为其它的名字,如:改为wscript.shell_changename 或 wscript.shell.1_changename
  自己以后调用的时候使用这个就可以正常调用此组件了
  也要将clsid值也改一下
hkey_classes_rootwscript.shellclsid项目的值
  hkey_classes_rootwscript.shell.1clsid项目的值
  也可以将其删除,来防止此类木马的危害。
  e、禁止使用shell.application组件
  shell.application可以调用系统内核运行dos基本命令
  可以通过修改注册表,将此组件改名,来防止此类木马的危害。
  hkey_classes_rootshell.application及
  hkey_classes_rootshell.application.1
  改名为其它的名字,如:改为shell.application_changename 或 shell.application.1_changename
  自己以后调用的时候使用这个就可以正常调用此组件了
  也要将clsid值也改一下
  hkey_classes_rootshell.applicationclsid项目的值
  hkey_classes_rootshell.applicationclsid项目的值
  也可以将其删除,来防止此类木马的危害。
禁止guest用户使用shell32.dll来防止调用此组件。
  2000使用命令:cacls c:winntsystem32shell32.dll /e /d guests
  2003使用命令:cacls c:windowssystem32shell32.dll /e /d guests
  注:操作均需要重新启动web服务后才会生效。
  f、调用cmd.exe
  禁用guests组用户调用cmd.exe
  2000使用命令:cacls c:winntsystem32cmd.exe /e /d guests
  2003使用命令:cacls c:windowssystem32cmd.exe /e /d guests
  通过以上四步的设置基本可以防范目前比较流行的几种木马,但最有效的办法还是通过综合安全设置,将服务器、程序安全都达到一定标准,才可能将安全等级设置较高,防范更多非法入侵。

下面是系统服务名称的解释

1. 服务名称:Alerter
显示名称:Alerter
服务描述:通知选定的用户和计算机管理警报。如果服务停止,使用管理警报的程序将不会收到它们。如果此服务被禁用,任何直接依赖它的服务都将不能启动。
可执行文件路径:C:WINDOWSsystem32svchost.exe -k LocalService
其他补充:
操作建议:停止并禁用

2. 服务名称:ALG
显示名称:Application Layer Gateway Service
服务描述:为应用程序级协议插件提供支持并启用网络/协议连接。如果此服务被禁用,任何依赖它的服务将无法启动。
可执行文件路径:C:WINDOWSSystem32alg.exe
其他补充:
操作建议:手动

3. 服务名称:AeLookupSvc
显示名称:Application Experience Lookup Service
服务描述:在应用程序启动时为应用程序处理应用程序兼容性查找请求。
可执行文件路径:C:WINDOWSsystem32svchost.exe -k netsvcs
其他补充:
操作建议:停止并禁用

4. 服务名称: Appmgmt
显示名称: Application Management
服务描述:为 Active Directory 智能映像组策略程序处理安装、删除和枚举请求。如果此服务被停用,用户将无法安装、删除或枚举任何智能映像程序。如果此服务被禁用,任何依赖于它的服务将无法启动。
可执行文件路径:C:WINDOWSsystem32svchost.exe -k netsvcs
其他补充:
操作建议:手动

5. 服务名称: aspnet_state
显示名称: ASP.NET State Service
服务描述:为 ASP.NET 提供进程外会话状态支持。如果此服务被停止,进程外请求将得不到处理。如果此服务被禁用,任何显式依赖它的服务将无法启动。
可执行文件路径:C:WINDOWSMicrosoft.NETFrameworkv1.1.4322aspnet_state.exe
其他补充:
操作建议:手动

6. 服务名称:Wuauserv
显示名称:Automatic Updates
服务描述:从 Windows Update 启用重要的 Windows 更新的下载和安装。如果禁用该服务,操作系统可以在 Windows Update Web 网站手动更新。
可执行文件路径:C:WINDOWSsystem32svchost.exe -k netsvcs
其他补充:
操作建议:手动或自动

7. 服务名称:BITS
显示名称:Background Intelligent Transfer Service
服务描述:利用空闲的网络带宽在后台传输文件。如果服务被停用,例如 Windows Update 和 MSN Explorer 的功能将无法自动下载程序和其他信息。如果此服务被禁用,任何依赖它的服务如果没有容错技术以直接通过 IE 传输文件,一旦 BITS 被禁用,就可能无法传输文件。
可执行文件路径:C:WINDOWSsystem32svchost.exe -k netsvcs
其他补充:
操作建议:手动或自动

8. 服务名称: ClipSrv
显示名称: ClipBook
服务描述:启用“剪贴簿查看器”储存信息并与远程计算机共享。如果此服务终止,“剪贴簿查看器”将无法与远程计算机共享信息。如果此服务被禁用,任何依赖它的服务将无法启动。
可执行文件路径:C:WINDOWSsystem32clipsrv.exe
其他补充:
操作建议:停止并禁用

9. 服务名称: EventSystem
显示名称: COM+ Event System
服务描述:支持系统事件通知服务 (SENS),此服务为订阅的组件对象模型 (COM) 组件提供自动分布事件功能。如果停止此服务,SENS 将关闭,而且不能提供登录和注销通知。如果禁用此服务,显式依赖此服务的其他服务都将无法启动。
可执行文件路径:C:WINDOWSsystem32svchost.exe -k netsvcs
其他补充:
操作建议:停止并禁用

10. 服务名称: COMSysApp
显示名称: COM+ System Application
服务描述:管理基于组件对象模型 (COM+) 的组件的配置和跟踪。如果停止该服务,则大多数基于 COM+ 的组件将不能正常工作。如果禁用该服务,则任何明确依赖它的服务都将无法启动。
可执行文件路径:C:WINDOWSsystem32dllhost.exe /Processid:{02D4B3F1-FD88-11D1-960D-00805FC79235}
其他补充:
操作建议:手动

11. 服务名称: Browser
显示名称: Computer Browser
服务描述:维护网络上计算机的更新列表,并将列表提供给计算机指定浏览。如果服务停止,列表不会被更新或维护。如果服务被禁用,任何直接依赖于此服务的服务将无法启动。
可执行文件路径:C:WINDOWSsystem32svchost.exe -k netsvcs
其他补充:
操作建议:停止并禁用

12. 服务名称: CryptSvc
显示名称: Cryptographic Services
服务描述:提供三种管理服务: 编录数据库服务,它确定 Windows 文件的签名;受保护的根服务,它从此计算机添加和删除受信根证书颁发机构的证书;和密钥(Key)服务,它帮助注册此计算机获取证书。如果此服务被终止,这些管理服务将无法正常运行。如果此服务被禁用,任何依赖它的服务将无法启动。
可执行文件路径:C:WINDOWSsystem32svchost.exe -k netsvcs
其他补充:
操作建议:自动

13. 服务名称: DCOMLaunch
显示名称: DCOM Server Process Launcher
服务描述:为 DCOM 服务提供启动的功能。
可执行文件路径:C:WINDOWSsystem32svchost.exe -k DcomLaunch
其他补充:
操作建议:自动
14. 服务名称:Dfs
显示名称:Distributed File System
服务描述:将分散的文件共享合并成一个逻辑名称空间并在局域网或广域网上管理这些逻辑卷。如果这个服务被停止,用户则无法访问文件共享。如果这个服务被禁用,任何依赖它的服务将无法启动。
可执行文件路径:C:WINDOWSsystem32Dfssvc. exe
其他补充:
操作建议:停止或禁用

15. 服务名称: Dhcp
显示名称: DHCP Client
服务描述:为此计算机注册并更新 IP 地址。如果此服务停止,计算机将不能接收动态 IP 地址和 DNS 更新。如果此服务被禁用,所有明确依赖它的服务都将不能启动。
可执行文件路径:C:WINDOWSsystem32svchost.exe -k NetworkService
其他补充:
操作建议:停止并禁用

16. 服务名称: TrkWks
显示名称:Distributed Link Tracking Client
服务描述:启用客户端程序跟踪链接文件的移动,包括在同一 NTFS 卷内移动,移动到同一台计算机上的另一 NTFS、或另一台计算机上的 NTFS。如果此服务被停用,这台计算机上的链接将不会维护或跟踪。如果此服务被禁用,任何依赖于它的服务将无法启用。
可执行文件路径:C:WINDOWSsystem32svchost.exe -k netsvcs
其他补充:
操作建议:停止并禁用

17. 服务名称: TrkSvr
显示名称:Distributed Link Tracking Server
服务描述:启用同域内的分布式链接跟踪客户端服务,以便在同域内提供更高的可靠性和有效维护。如果此服务被禁用,任何依赖于它的服务将无法启用。
可执行文件路径:C:WINDOWSsystem32svchost.exe -k netsvcs
其他补充:
操作建议:停止并禁用

18. 服务名称: MSDTC
显示名称: Distributed Transaction Coordinator
服务描述:协调跨多个数据库、消息队列、文件系统等资源管理器的事务。如果停止此服务,则不会发生这些事务。如果禁用此服务,显式依赖此服务的其他服务将无法启动。
可执行文件路径:C:WINDOWSsystem32msdtc.exe
其他补充:
操作建议:自动

19. 服务名称: Dnscache
显示名称: DNS Client
服务描述:为此计算机解析和缓冲域名系统(DNS)名称。如果此服务被停止,计算机将不能解析 DNS 名称并定位 Active Directory 域控制器。如果此服务被禁用,任何明确依赖它的服务将不能启动。
可执行文件路径:C:WINDOWSsystem32svchost.exe -k NetworkService
其他补充:
操作建议:自动

20. 服务名称: Ersvc
显示名称: Error Reporting Service
服务描述:收集、存储和向 Microsoft 报告异常应用程序崩溃。如果此服务被停用,那么错误报告仅在内核错误和某些类型用户模式错误时发生。如果此服务被禁用,任何依赖于它的服务将无法启用。
可执行文件路径:C:WINDOWSSystem32svchost.exe -k WinErr
其他补充:
操作建议:停止并禁用

21. 服务名称: Eventlog
显示名称: Event Log
服务描述:启用在事件查看器查看基于 Windows 的程序和组件颁发的事件日志消息。无法终止此服务。
可执行文件路径:C:WINDOWSsystem32services.exe
其他补充:
操作建议:自动

22. 服务名称: NtFrs
显示名称: File Replication
服务描述:允许在多个服务器上自动同时复制和管理文件。如果此服务被终止,文件复制将不会进行并且服务器也不会同步。如果此服务被禁用,任何依赖它的服务将无法启动。
可执行文件路径:C:WINDOWSsystem32ntfrs.exe
其他补充:
操作建议:停止并禁用

系统服务篇第一部分列出了服务显示名称首字母为A到G的所有服务,并给出了服务名、服务描述、可执行文件路径等相应的信息,并针对每一个服务提出了计算机作为服务器使用的时候对这些服务的操作建议,让管理员既可以知道怎么设置服务,又可以知道服务的用途,防止了在特殊应用下有的服务需要开启而关闭的情况。
23. 服务名称: helpsvc
显示名称: Help and Support
服务描述: 启用在此计算机上运行帮助和支持中心。如果停止服务,帮助和支持中心将不可用。如果禁用服务,任何直接依赖于此服务的服务将无法启动。
可执行文件路径:C:WINDOWSSystem32svchost.exe -k netsvcs
其他补充:
操作建议:停止并禁用

24. 服务名称: HTTPFilter
显示名称: HTTP SSL
服务描述: 此服务通过安全套接字层(SSL)实现 HTTP 服务的安全超文本传送协议(HTTPS)。如果此服务被禁用,任何依赖它的服务将无法启动。
可执行文件路径:C:WINDOWSsystem32lsass.exe
其他补充:
操作建议: 手动

25. 服务名称: IISADMIN
显示名称: IIS Admin Service
服务描述: 允许此服务器管理 Web 和 FTP 服务。如果此服务被停止,服务器将不能运行 Web,FTP,NNTP,SMTP 站点,或配置 IIS。如果此服务被禁止,任何明确依赖于它的服务都将不能启动。
可执行文件路径:C:WINDOWSsystem32inetsrvinetinfo.exe
其他补充:
操作建议: 自动

26. 服务名称: ImapiService
显示名称: IMAPI CD-Burning COM Service
服务描述: 用 Image Mastering Applications Programming Interface (IMAPI) 管理 CD 录制。如果停止该服务,这台计算机将无法录制 CD。如果该服务被禁用,任何依靠它的服务都无法启动。
可执行文件路径:C:WINDOWSsystem32imapi.exe
其他补充:
操作建议: 停止并禁用

27. 服务名称: Cisvc
显示名称: Indexing Service
服务描述: 本地和远程计算机上文件的索引内容和属性;通过灵活查询语言提供文件快速访问。
可执行文件路径:C:WINDOWSsystem32cisvc.exe
其他补充:
操作建议: 停止并禁用

28. 服务名称: IsmServ
显示名称: Intersite Messaging
服务描述: 启用在运行 Windows Server 的站点间交换消息。如果此服务被停用,消息将不交换,而且不计算其他服务的站点路由信息。如果此服务被禁用,任何依赖于它的服务将无法启用。
可执行文件路径:C:WINDOWSSystem32ismserv.exe
其他补充:
操作建议: 停止并禁用

29. 服务名称: PolicyAgent
显示名称: IPSEC Services
服务描述: 提供 TCP/IP 网络上客户端和服务器之间端对端的安全。如果此服务被停用,网络上客户端和服务器之间的 TCP/IP 安全将不稳定。如果此服务被禁用,任何依赖它的服务将无法启动。
可执行文件路径:C:WINDOWSsystem32lsass.exe
其他补充:
操作建议:自动

30. 服务名称: kdc
显示名称: Kerberos Key Distribution Center
服务描述: 在域控制器上此服务启用用户使用 Kerberos 授权协议登录网络。如果此服务在域控制器上被停用,用户将无法登录网络。如果此服务被禁用,任何依赖于它的服务将无法启用。
可执行文件路径:C:WINDOWSSystem32lsass.exe
其他补充:
操作建议: 停止并禁用

31. 服务名称: LicenseService
显示名称: License Logging
服务描述: 监视和记录操作系统部分(如 IIS、终端服务器和文件/打印)的客户端访问授权,也监视和记录不属于操作系统的产品,如 SQL 和 Exchange Server。如果这个服务被停止,会执行授权操作,但是不会得到监视。
可执行文件路径:C:WINDOWSSystem32llssrv.exe
其他补充:
操作建议: 停止并禁用

32. 服务名称: dmserv
显示名称: Logical Disk Manager
服务描述: 监测和监视新硬盘驱动器并向逻辑磁盘管理器管理服务发送卷的信息以便配置。如果此服务被终止,动态磁盘状态和配置信息会过时。如果此服务被禁用,任何依赖它的服务将无法启动。
可执行文件路径:C:WINDOWSSystem32svchost.exe -k netsvcs
其他补充:
操作建议: 自动

33. 服务名称: dmadmin
显示名称: Logical Disk Manager Administrative Service
服务描述: 配置硬盘驱动器和卷。此服务只为配置处理运行,然后终止。
可执行文件路径:C:WINDOWSSystem32dmadmin.exe /com
其他补充:
操作建议: 手动

34. 服务名称: Messenger
显示名称: Messenger
服务描述: 传输客户端和服务器之间的 NET SEND 和 警报器服务消息。此服务与 Windows Messenger 无关。如果服务停止,警报器消息不会被传输。如果服务被禁用,任何直接依赖于此服务的服务将无法启动。
可执行文件路径:C:WINDOWSsystem32svchost.exe -k netsvcs
其他补充:
操作建议: 停止并禁用

35. 服务名称: MSSEARCH
显示名称: Microsoft Search
服务描述: 基于结构化和半结构化数据的内容以及属性生成全文索引,以便可以对数据进行快速的单词搜索
可执行文件路径:"C:Program FilesCommon FilesSystemMSSearchBinmssearch.exe"
其他补充:
操作建议: 手动

36. 服务名称: swprv
显示名称: Microsoft Software Shadow Copy Provider
服务描述: 管理卷影复制服务制作的基于软件的卷影副本。如果该服务被停止,将无法管理基于软件的卷影副本。如果该服务被禁用,任何依赖它的服务将无法启动。
可执行文件路径:C:WINDOWSSystem32svchost.exe -k swprv
其他补充:
操作建议: 停止并禁用

37. 服务名称: MSSQLSERVER
显示名称: MSSQLSERVER
服务描述: 微软SQL SERVER数据库
可执行文件路径:C:PROGRA~1MICROS~1MSSQLbinnsqlservr.exe
其他补充:
操作建议: 自动

38. 服务名称: MSSQLServerADHelper
显示名称: MSSQLServerADHelper
服务描述:
可执行文件路径:C:Program FilesMicrosoft SQL Server80ToolsBinnsqladhlp.exe
其他补充:
操作建议: 手动

39. 服务名称: Netlogon
显示名称: Net Logon
服务描述: 为用户和服务身份验证维护此计算机和域控制器之间的安全通道。如果此服务被停用,计算机可能无法验证用户和服务身份并且域控制器无法注册 DNS 记录。如果此服务被禁用,任何依赖它的服务将无法启动。
可执行文件路径:C:WINDOWSsystem32lsass.exe
其他补充:
操作建议: 手动

40. 服务名称: mnmsrvc
显示名称: NetMeeting Remote Desktop Sharing
服务描述: 允许经过授权的用户用 NetMeeting 在公司 intranet 上远程访问这台计算机。如果服务被停止,远程桌面共享将不可用。如果服务被禁用,依赖这个服务的任何服务都会无法启动。
可执行文件路径:C:WINDOWSsystem32mnmsrvc.exe
其他补充:
操作建议: 停止并禁用

41. 服务名称: Netman
显示名称: Network Connections
服务描述: 管理“网络和拨号连接”文件夹中对象,在其中您可以查看局域网和远程连接。如果服务被禁用,您将无法查看局域网和远程连接而且任何依赖它的服务将无法启动。
可执行文件路径:C:WINDOWSSystem32svchost.exe -k netsvcs
其他补充:
操作建议: 手动

42. 服务名称: NetDDE
显示名称: Network DDE
服务描述: 为在同一台计算机或不同计算机上运行的程序提供动态数据交换 (DDE) 的网络传输和安全。如果此服务被终止,DDE 传输和安全将不可用。如果此服务被禁用,任何依赖它的服务将无法启动。
可执行文件路径:C:WINDOWSsystem32netdde.exe
其他补充:
操作建议: 停止并禁用

43. 服务名称: NetDDEdsdm
显示名称: Network DDE DSDM
服务描述: 管理动态数据交换 (DDE) 网络共享。如果此服务终止,DDE 网络共享将不可用。如果此服务被禁用,任何依赖它的服务将无法启动。
可执行文件路径:C:WINDOWSsystem32netdde.exe
其他补充:
操作建议: 停止并禁用

44. 服务名称: Nla
显示名称: Network Location Awareness (NLA)
服务描述: 收集并保存网络配置和位置信息,并在信息改动时通知应用程序。
可执行文件路径:C:WINDOWSsystem32svchost.exe -k netsvcs
其他补充:
操作建议:停止并禁用

45. 服务名称: xmlprov
显示名称: Network Provisioning Service
服务描述:在域内为自动网络提供管理 XML 配置文件。
可执行文件路径:C:WINDOWSSystem32svchost.exe -k netsvcs
其他补充:
操作建议:手动

46. 服务名称: NtLmSsp
显示名称: NT LM Security Support Provider
服务描述:为使用传输协议而不是命名管道的远程过程调用(RPC)程序提供安全机制。
可执行文件路径:C:WINDOWSsystem32lsass.exe
其他补充:
操作建议:手动

系统服务篇第二部分列出了服务显示名称首字母为H到N的所有服务,并给出了服务名、服务描述、可执行文件路径等相应的信息,并针对每一个服务提出了计算机作为服务器使用的时候对这些服务的操作建议,让管理员既可以知道怎么设置服务,又可以知道服务的用途,防止了在特殊应用下有的服务需要开启而关闭的情况。
47. 服务名称: SysmonLog
显示名称: Performance Logs and Alerts
服务描述: 收集本地或远程计算机基于预先配置的计划参数的性能数据,然后将此数据写入日志或触发警报。如果此服务被终止,将不会收集性能信息。如果此服务被禁用,任何依赖它的服务将无法启动。
可执行文件路径:C:WINDOWSsystem32smlogsvc.exe
其他补充:
操作建议:停止并禁用
48. 服务名称: PlugPlay
显示名称: Plug and Play
服务描述: 使计算机在极少或没有用户输入的情况下能识别并适应硬件的更改。终止或禁用此服务会造成系统不稳定。
可执行文件路径:C:WINDOWSsystem32services.exe
其他补充:
操作建议:自动
49. 服务名称: Spooler
显示名称: Print Spooler
服务描述:管理所有本地和网络打印队列及控制所有打印工作。如果此服务被停用,本地计算机上的打印将不可用。如果此服务被禁用,任何依赖于它的服务将无法启用。
可执行文件路径:C:WINDOWSsystem32spoolsv.exe
其他补充:
操作建议:停止并禁用
50. 服务名称: ProtectedStorage
显示名称: Protected Storage
服务描述:保护敏感数据(如私钥)的存储,以便防止未授权的服务、过程或用户对其的非法访问。如果此服务被停用,保护性存储将不可用。如果此服务被禁用,任何依赖于它的服务将无法启用。
可执行文件路径:C:WINDOWSsystem32lsass.exe
其他补充:
操作建议:自动
51. 服务名称: RasAuto
显示名称: Remote Access Auto Connection Manager
服务描述:检测连接到远程网络或计算机的不成功尝试并提供其它连接方法。如果此服务停止,用户将需要手动连接。如果此服务被禁用,任何明确依赖它的服务都将不能启动。
可执行文件路径:C:WINDOWSsystem32svchost.exe -k netsvcs
其他补充:
操作建议:手动
52. 服务名称: Rasman
显示名称: Remote Access Connection Manager
服务描述:管理从此计算机到 Internet 或其它远程网络的拨号和虚拟专用网络(VPN)连接。如果此服务停止,操作系统可能无法正常工作。如果此服务被禁用,任何明确依赖它的服务都将不能启动。
可执行文件路径:C:WINDOWSsystem32svchost.exe -k netsvcs
其他补充:
操作建议:手动
53. 服务名称: RDSessMgr
显示名称: Remote Desktop Help Session Manager
服务描述:管理并控制远程协助。如果此服务被终止,远程协助将不可用。终止此服务前,请参见“属性”对话框上的“依存关系”选项卡。
可执行文件路径:C:WINDOWSsystem32sessmgr.exe
其他补充:
操作建议:手动
54. 服务名称: RpcSs
显示名称: Remote Procedure Call (RPC)
服务描述:作为终结点映射程序(endpoint mapper)和 COM 服务控制管理器使用。如果此服务被停用或禁用,使用 COM 或远程过程调用(RPC)服务的程序工作将不正常。
可执行文件路径:C:WINDOWSsystem32svchost.exe -k rpcss
其他补充:
操作建议:自动
55. 服务名称: RpcLocator
显示名称: Remote Procedure Call (RPC) Locator
服务描述:启用使用 RpcNs* 系列 API 的远程过程调用 (RPC) 客户端来定位 RPC 服务器。如果此服务被停用或禁用,使用 RpcNs* APIs 的 RPC 客户端可能无法定位服务器或无法启动。Windows 内部不使用 RpcNs* APIs。
可执行文件路径:C:WINDOWSsystem32locator.exe
其他补充:
操作建议:手动
56. 服务名称: RemoteRegistry
显示名称: Remote Registry
服务描述:使远程用户能修改此计算机上的注册表设置。如果此服务被终止,只有此计算机上的用户才能修改注册表。如果此服务被禁用,任何依赖它的服务将无法启动。
可执行文件路径:C:WINDOWSsystem32svchost.exe -k regsvc
其他补充:
操作建议:停止并禁用
57. 服务名称: NtmsSvc
显示名称: Removable Storage
服务描述:管理和编录可移动媒体并操作自动化可移动媒体设备。如果这个服务被停止,依赖可移动存储的程序,如备份和远程存储将放慢速度。如果禁用这个服务,所有专依赖这个服务的服务将无法启动。
可执行文件路径:C:WINDOWSsystem32svchost.exe -k netsvcs
其他补充:
操作建议:停止并禁用
58. 服务名称: RSoPProv
显示名称: Resultant Set of Policy Provider
服务描述:启用用户连接到远程计算机,访问该计算机的 Windows Management Instrumentation 数据库,并验证计算机的当前组策略设置或在应用设置之前检查它。如果此服务被停用,远程验证将不可用。如果此服务被禁用,任何依赖于它的服务将无法启用。
可执行文件路径:C:WINDOWSsystem32RSoPProv.exe
其他补充:
操作建议:手动
59. 服务名称: RemoteAccess
显示名称: Routing and Remote Access
服务描述:为此网络上的客户端和服务器启用多重协议 LAN 到 LAN,LAN 到 WAN,虚拟专用网络(VPN)和网络地址转换(NAT)路由服务。如果此服务停止,这些服务将不可用。如果此服务被禁用,任何明确依赖它的服务都将不能启动。
可执行文件路径:C:WINDOWSsystem32svchost.exe -k netsvcs
其他补充:
操作建议:禁用
60. 服务名称: seclogon
显示名称: Secondary Logon
服务描述:启用替换凭据下的启用进程。如果此服务被终止,此类型登录访问将不可用。如果此服务被禁用,任何依赖它的服务将无法启动。
可执行文件路径:C:WINDOWSSystem32svchost.exe -k netsvcs
其他补充:
操作建议:禁用
61. 服务名称: SamSs
显示名称: Security Accounts Manager
服务描述:此服务的启动通知其他服务安全帐户管理 (SAM) 准备好接收请求。禁用此服务将使系统中的其他服务接收不到 SAM 准备好的通知,从而导致这些服务启动不正确。此服务不应被禁用。
可执行文件路径:C:WINDOWSsystem32lsass.exe
其他补充:
操作建议:手动
62. 服务名称: lanmanserver
显示名称: Server
服务描述:支持此计算机通过网络的文件、打印、和命名管道共享。如果服务停止,这些功能不可用。如果服务被禁用,任何直接依赖于此服务的服务将无法启动。
可执行文件路径:C:WINDOWSsystem32svchost.exe -k netsvcs
其他补充:
操作建议:停止并禁用
63. 服务名称: ShellHWDetection
显示名称: Shell Hardware Detection
服务描述:为自动播放硬件事件提供通知。
可执行文件路径:C:WINDOWSSystem32svchost.exe -k netsvcs
其他补充:
操作建议:手动
64. 服务名称: SCardSvr
显示名称: Smart Card
服务描述:管理此计算机对智能卡的取读访问。如果此服务被终止,此计算机将无法取读智能卡。如果此服务被禁用,任何依赖它的服务将无法启动。
可执行文件路径:C:WINDOWSSystem32SCardSvr.exe
其他补充:
操作建议:停止并禁用
65. 服务名称: sacsvr
显示名称: Special Administration Console Helper
服务描述:允许管理员使用紧急管理服务远程访问命令行提示符。
可执行文件路径:C:WINDOWSSystem32svchost.exe -k netsvcs
其他补充:
操作建议:手动

66. 服务名称: SQLSERVERAGENT
显示名称: SQLSERVERAGENT
服务描述:
可执行文件路径:C:Program FilesMicrosoft SQL ServerMSSQLbinnsqlagent.exe -i MSSQLSERVER
其他补充:
操作建议:自动
67. 服务名称: SENS
显示名称: System Event Notification
服务描述:监视系统事件并通知 COM+ 事件系统“订阅者(subscriber)”。如果此服务被停用,COM+ 事件系统“订阅者”将接收不到系统事件通知。如果此服务被禁用,任何依赖于它的服务将无法启用。
可执行文件路径:C:WINDOWSsystem32svchost.exe -k netsvcs
其他补充:
操作建议:停止并禁用
68. 服务名称: Schedule
显示名称: Task Scheduler
服务描述:使用户能在此计算机上配置和计划自动任务。如果此服务被终止,这些任务将无法在计划时间里运行。如果此服务被禁用,任何依赖它的服务将无法启动。
可执行文件路径:C:WINDOWSSystem32svchost.exe -k netsvcs
其他补充:
操作建议:手动
69. 服务名称: LmHosts
显示名称: TCP/IP NetBIOS Helper
服务描述:提供 TCP/IP (NetBT) 服务上的 NetBIOS 和网络上客户端的 NetBIOS 名称解析的支持,从而使用户能够共享文件、打印和登录到网络。如果此服务被停用,这些功能可能不可用。如果此服务被禁用,任何依赖它的服务将无法启动。
可执行文件路径:C:WINDOWSsystem32svchost.exe -k LocalService
其他补充:
操作建议:停止并禁用
70. 服务名称: TapiSrv
显示名称: Telephony
服务描述:提供客户端的 TAPI 支持,以便程序控制电话设备和基于 IP 的语音连接。如果此服务被停用,所有依赖于此的程序功能将削弱。如果此服务被禁用,任何依赖于它的服务将无法启用。
可执行文件路径:C:WINDOWSSystem32svchost.exe -k tapisrv
其他补充:
操作建议:停止并禁用
71. 服务名称: TlntSvr
显示名称: Telnet
服务描述:允许远程用户登录到此计算机并运行程序,并支持多种 TCP/IP Telnet 客户端,包括基于 UNIX 和 Windows 的计算机。如果此服务停止,远程用户就不能访问程序,任何直接依赖于它的服务将会启动失败。
可执行文件路径:C:WINDOWSsystem32tlntsvr.exe
其他补充:
操作建议:停止并禁用
72. 服务名称: TermService
显示名称: Terminal Services
服务描述:允许用户以交互方式连接到远程计算机。远程桌面、快速用户切换、远程协助和终端服务器依赖此服务 – 停止或禁用此服务会使您的计算机变得不可靠。要阻止远程使用此计算机,请在“系统”属性控制面板项目上清除“远程”选项卡上的复选框。
可执行文件路径:C:WINDOWSSystem32svchost.exe -k termsvcs
其他补充:
操作建议:自动
73. 服务名称: Tssdis
显示名称: Terminal Services Session Directory
服务描述:允许用户连接请求路由到群集中合适的终端服务器。如果这个服务被停止,连接请求会被路由到第一个可用服务器。
可执行文件路径:C:WINDOWSSystem32tssdis.exe
其他补充:
操作建议:停止并禁用
74. 服务名称: Themes
显示名称: Themes
服务描述:为用户提供使用主题管理的经验。
可执行文件路径:C:WINDOWSSystem32svchost.exe -k netsvcs
其他补充:
操作建议:停止并禁用
系统服务篇第一部分列出了服务显示名称首字母为O到T的所有服务,并给出了服务名、服务描述、可执行文件路径等相应的信息,并针对每一个服务提出了计算机作为服务器使用的时候对这些服务的操作建议,让管理员既可以知道怎么设置服务,又可以知道服务的用途,防止了在特殊应用下有的服务需要开启而关闭的情况。

2003服务器系统安全配置-中级安全权限配置

2003服务器系统安全配置-中级安全配置!做好此教程的设置可防御一般入侵,需要高级服务器安全维护,请联系我。我们一起交流一下!做为一个网管,应该在处理WEB服务器或者其他服务器的时候配合程序本身或者代码本身去防止其他入侵,例如跨站等等!前提,系统包括软件服务等的密码一定要强壮!
服务器安全设置
1.系统盘和站点放置盘必须设置为NTFS格式,方便设置权限.
2.系统盘和站点放置盘除administrators 和system的用户权限全部去除.

3.启用windows自带防火墙,只保留有用的端口,比如远程和Web,Ftp(3389,80,21)等等,有邮件服务器的还要打开25和130端口.



4.安装好SQL后进入目录搜索 xplog70 然后将找到的三个文件改名或者删除.

5.更改sa密码为你都不知道的超长密码,在任何情况下都不要用sa这个帐户.

6.改名系统默认帐户名并新建一个Administrator帐户作为陷阱帐户,设置超长密码,并去掉所有用户组.(就是在用户组那里设置为空即可.让这个帐号不属于任何用户组)同样改名禁用掉Guest用户.

7.配置帐户锁定策略(在运行中输入gpedit.msc回车,打开组策略编辑器,选择计算机配置-Windows设置-安全设置-账户策略-账户锁定策略,将账户设为“三次登陆无效”,“锁定时间30分钟”,“复位锁定计数设为30分钟”。)

8.在安全设置里 本地策略-安全选项 将
网络访问:可匿名访问的共享 ;
网络访问:可匿名访问的命名管道 ;
网络访问:可远程访问的注册表路径 ;
网络访问:可远程访问的注册表路径和子路径 ;
以上四项清空.

9.在安全设置里 本地策略-安全选项通过终端服务拒绝登陆 加入
ASPNET
Guest
IUSR_*****
IWAM_*****
NETWORK SERVICE
SQLDebugger
(****表示你的机器名,具体查找可以点击 添加用户或组 选 高级 选 立即查找 在底下列出的用户列表里选择. 注意不要添加进user组和administrators组添加进去以后就没有办法远程登陆了.)

10.去掉默认共享,将以下文件存为reg后缀,然后执行导入即可.
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServiceslanmanserverparameters]
"AutoShareServer"=dword:00000000
"AutoSharewks"=dword:00000000

11. 禁用不需要的和危险的服务,以下列出服务都需要禁用.
Alerter 发送管理警报和通知
Computer Browser:维护网络计算机更新
Distributed File System: 局域网管理共享文件
Distributed linktracking client 用于局域网更新连接信息
Error reporting service 发送错误报告
Remote Procedure Call (RPC) Locator RpcNs*远程过程调用 (RPC)
Remote Registry 远程修改注册表
Removable storage 管理可移动媒体、驱动程序和库
Remote Desktop Help Session Manager 远程协助
Routing and Remote Access 在局域网以及广域网环境中为企业提供路由服务
Messenger 消息文件传输服务
Net Logon 域控制器通道管理
NTLMSecuritysupportprovide telnet服务和Microsoft Serch用的
PrintSpooler 打印服务
telnet telnet服务
Workstation 泄漏系统用户名列表
12.更改本地安全策略的审核策略
账户管理 成功失败
登录事件 成功失败
对象访问 失败
策略更改 成功失败
特权使用 失败
系统事件 成功失败
目录服务访问 失败
账户登录事件 成功 失败
13.更改有可能会被提权利用的文件运行权限,找到以下文件,将其安全设置里除administrators用户组全部删除,重要的是连system也不要留.
net.exe
net1.exe
cmd.exe
tftp.exe
netstat.exe
regedit.exe
at.exe
attrib.exe
cacls.exe
format.com
c.exe 特殊文件 有可能在你的计算机上找不到此文件.
在搜索框里输入
"net.exe","net1.exe","cmd.exe","tftp.exe","netstat.exe","regedit.exe","at.exe","attrib.exe","cacls.exe","format.com","c.exe" 点击搜索 然后全选 右键 属性 安全

以上这点是最最重要的一点了,也是最最方便减少被提权和被破坏的可能的防御方法了.
14.后备工作,将当前服务器的进程抓图或记录下来,将其保存,方便以后对照查看是否有不明的程序。将当前开放的端口抓图或记录下来,保存,方便以后对照查看是否开放了不明的端口。当然如果你能分辨每一个进程,和端口这一步可以省略。
以上是设置安全服务器必要的步骤.下面我们来说说数据库安装.
1.在企业管理器内建立一个空的数据库名为oblog4,打开查询分析器,将data目录的oblog4.sql导入查询分析器.找到oblog4数据库执行.
2.将初始数据库oblog4.mdb导入我们刚刚建立好的数据库.
好了数据库装好了,下面我们来说说IIS的安全设置.
1. 在计算机管理中设定一个新的用户组 iis guest 这个用户组来将我们的站点使用的匿名用户归类.方便管理.
2. 新建一个用户已 U_开头 以后站点的匿名用户就都是以U_开头方便识别和管理 当然你可以自己设定,只要方便识别即可.然后去掉其所归属的user用户组添加入 iis guest用户组.比如新建的站点是www.lovalaozang.cn 那么我我们就新建一个
U_lovelaozang.cn用户,然后将它除去user组的隶属关系,然后将其加入guest组.
3. 在发布盘上新建一个文件夹作为网站目录.再这里我们新建E:wwwroot为我们的站点文件夹[目录最好带有迷惑性如:E:wireless security]
4. 将网站传入到此文件夹下.
5. 设置iis发布此站点.站点的主机头设为您的域名.

6. 设置iis匿名用户访问权限为刚刚我们新建的U_lovelaozang.cn用户.

7. 设置发布目录文件夹权限所有为U_lovelaozang.cn用户读取运行权限.

8. 设置 目录U(用户日志生成静态目录),目录 Uploadfiles(上传目录) skin下的skin.mdb 根目录下的 index.html 等目录或文件权限为可以修改.

9. 在iis上设置Uploadfiles文件夹为不可执行脚本.

10. 修改conn.asp和config.asp文件.适应我们的设置.

11. 访问您设定的网址 安装完成.

windows下根目录的权限设置:

C:WINDOWSDownloaded Program Files 默认不改

C:WINDOWSOffline Web Pages 默认不改

C:WINDOWSHelp TERMINAL SERVER USER 除前两项权限不选其余都选

C:WINDOWSIIS Temporary Compressed Files IIS_WPG选全部权限

C:WINDOWSInstaller 删除EVEryone组权限

C:WINDOWSPrefetch 默认权限不改

C:WINDOWSRegistration 添加NETWORK SERVICE 选择其中三项权限,其它保留默认

C:WINDOWSsystem32 添加NETWORK SERVICE 选择其中三项权限,其它保留默认

C:WINDOWSTAPI 删除user组,其它组的权限保留默认

C:WINDOWSTemp 删除user组,其它组的权限保留默认

C:WINDOWSWeb 注意权限设置为继承。具体看演示

C:WINDOWSWinSxS 添加NETWORK SERVICE 选择其中三项权限,其它保留默认

C:WINDOWSApplication Compatibility Scripts

C:WINDOWSDebugUserMode 删除users组的权限
C:WINDOWSDebugWPD 目录删除Authenticated Users组权限。其它默认不变

C:WINDOWSime

C:WINDOWSinf

C:WINDOWSInstaller 删除其子目录下所有包含EVEryone组的权限

C:WINDOWSMicrosoft.NET 和C:WINDOWSMicrosoft.NETFrameworkv1.1.4322 子目录中有很多组权限。保留默认就行

C:WINDOWSPCHealthUploadLB 删除everyone组的权限,其它下级目录不用管,没有user组和EVEryone组权限
C:WINDOWSPCHealthHelpCtr 删除everyone组的权限,其它下级目录不用管,没有user组和EVEryone组权限
如果C:WINDOWSPCHealth还有其它演示中没有的目录,也如此操作,依情况灵活运用

C:WINDOWSRegistrationCRMLog 删除users组的权限

C:WINDOWSsecuritytemplates 删除users组的权限及多余权限,看演示

下面开始
system32根目录的设置:

此目录中基本上是删除user组和其它不必要的组后,其余组的权限保留就行了。要改的地方没几处

C:WINDOWSsystem32GroupPolicy 删除Authenticated Users组,其下子目录保留默认不用改就行*******

C:WINDOWSsystem32inetsrv 及其下子目录均保持不改就行*******

C:WINDOWSsystem32spool*************
C:WINDOWSsystem32spooldrivers 删除EVEryone组的权限
C:WINDOWSsystem32spoolPRINTERS 删除EVEryone组的权限

C:WINDOWSsystem32wbemAutoRecover 删除EVEryone组的权限
C:WINDOWSsystem32wbemLogs 同上
C:WINDOWSsystem32wbemmof 同上
C:WINDOWSsystem32wbemRepository 同上
在这里提供给大家一段批处理 windows 2003权限设置批处理
echo.
echo ------------------------------------------------------
echo.
echo ...........
echo.
net share c$ /delete
net share d$ /delete
net share e$ /delete
net share f$ /delete
net share admin$ /delete
net share ipc$ /delete
net stop server
net stop lanmanworkstation

regsvr32/u C:WINDOWSSystem32wshom.ocx
regsvr32/u C:WINDOWSsystem32shell32.dll
cacls c:WINDOWSsystem32shell32.dll /g administrators:f system:f
cacls c:WINDOWSsystem32shell.dll /g administrators:f system:f
cacls c: /g administrators:f system:f
cacls d: /g administrators:f system:f
echo.
echo ..........
echo.
echo ------------------------------------------------------
echo.
echo .................
echo.
echo .. delshare.reg .......
echo Windows Registry Editor Version 5.00> c:delshare.reg
echo [HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServiceslanmanserverparameters]>> c:delshare.reg
echo "AutoShareWks"=dword:00000000>> c:delshare.reg
echo "AutoShareServer"=dword:00000000>> c:delshare.reg
echo .. delshare.reg .....
regedit /s c:delshare.reg
echo .. delshare.reg ....
del c:delshare.reg
echo .
echo ........
echo .
echo =========================================================
echo .
echo .....................dos....
echo .
echo .........
echo Windows Registry Editor Version 5.00> c:dosforwin.reg
echo [HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesTcpipParameters]>> c:dosforwin.reg
echo "EnableICMPRedirect"=dword:00000000>> c:dosforwin.reg
echo "DeadGWDetectDefault"=dword:00000001>> c:dosforwin.reg
echo "DontAddDefaultGatewayDefault"=dword:00000000>> c:dosforwin.reg
echo "EnableSecurityFilters"=dword:00000000">> c:dosforwin.reg
echo "AllowUnqualifiedQuery"=dword:00000000>> c:dosforwin.reg
echo "PrioritizeRecordData"=dword:00000001>> c:dosforwin.reg
echo "ReservedPorts"=hex(7):31,00,34,00,33,00,33,00,2d,00,31,00,34,00,33,00,34,00,>> c:dosforwin.reg
echo 00,00,00,00>> c:dosforwin.reg
echo "SynAttackProtect"=dword:00000002>> c:dosforwin.reg
echo "EnablePMTUDiscovery"=dword:00000000>> c:dosforwin.reg
echo "NoNameReleaseOnDemand"=dword:00000001>> c:dosforwin.reg
echo "EnableDeadGWDetect"=dword:00000000>> c:dosforwin.reg
echo "KeepAliveTime"=dword:00300000>> c:dosforwin.reg
echo "PerformRouterDiscovery"=dword:00000000>> c:dosforwin.reg
echo "EnableICMPRedirects"=dword:00000000>> c:dosforwin.reg
echo .
echo ==========================================================
echo .. dosforwin.reg .....
regedit /s c:dosforwin.reg
echo .. dosforwin.reg ....
del c:dosforwin.reg
echo ==============================================================
echo .
echo ..........(......................).
echo .
echo ..telnet,......telnet.
echo ..........
echo Windows Registry Editor Version 5.00> c:telnet.reg
echo [HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesTlntSvr]>> c:telnet.reg
echo "Start"=dword:00000004>> c:telnet.reg
echo .
echo .. telnet.reg .....
regedit /s c:telnet.reg
echo .
echo .. telnet.reg ....
del c:telnet.reg
echo .
echo

echo ..Remote Registry Service...........
echo .........
echo .
echo Windows Registry Editor Version 5.00> c:regedit.reg
echo [HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesRemoteRegistry]>> c:regedit.reg
echo "Start"=dword:00000004>> c:regedit.reg
echo .
echo .. regedit.reg .....
regedit /s c:regedit.reg
echo .
echo ......
del c:regedit.reg
echo ===============================================================
echo ..Messenger.......
echo .........
echo Windows Registry Editor Version 5.00> c:message.reg
echo [HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesMessenger]>> c:message.reg
echo "Start"=dword:00000004>> c:message.reg
echo .
echo .. message.reg .....
regedit /s c:message.reg
echo .
echo .. message.reg
del c:message.reg
echo ===============================================================
echo ..lanmanworkstation.......
echo .........
echo Windows Registry Editor Version 5.00> c:lanmanworkstation.reg
echo [HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServiceslanmanworkstation]>> c:lanmanworkstation.reg
echo "Start"=dword:00000004>> c:lanmanworkstation.reg
echo .
echo .. lanmanworkstation.reg .....
regedit /s c:lanmanworkstation.reg
echo .
echo .. lanmanworkstation.reg
del c:lanmanworkstation.reg

echo ===============================================================
echo ..lanmanserver.......
echo .........
echo Windows Registry Editor Version 5.00> c:lanmanserver.reg
echo [HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServiceslanmanserver]>> c:lanmanserver.reg
echo "Start"=dword:00000004>> c:lanmanserver.reg
echo .
echo .. lanmanserver.reg .....
regedit /s c:lanmanserver.reg
echo .
echo .. lanmanserver.reg
del c:lanmanserver.reg

echo ===============================================================
echo ..lanmanserver.......
echo .........
echo Windows Registry Editor Version 5.00> c:lanmanserver.reg
echo [HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServiceslanmanserver]>> c:lanmanserver.reg
echo "Start"=dword:00000004>> c:lanmanserver.reg
echo .
echo .. lanmanserver.reg .....
regedit /s c:lanmanserver.reg
echo .
echo .. lanmanserver.reg
del c:lanmanserver.reg

echo ===============================================================
echo ..Alerter.......
echo .........
echo Windows Registry Editor Version 5.00> c:Alerter.reg
echo [HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesAlerter]>> c:Alerter.reg
echo "Start"=dword:00000004>> c:Alerter.reg
echo .
echo .. Alerter.reg .....
regedit /s c:Alerter.reg
echo .
echo .. Alerter.reg
del c:Alerter.reg

echo ===============================================================
echo ..Browser.......
echo .........
echo Windows Registry Editor Version 5.00> c:Browser.reg
echo [HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesBrowser]>> c:Browser.reg
echo "Start"=dword:00000004>> c:Browser.reg
echo .
echo .. Browser.reg .....
regedit /s c:Browser.reg
echo .
echo .. Browser.reg
del c:Browser.reg

echo ===============================================================
echo ..Dfs.......
echo .........
echo Windows Registry Editor Version 5.00> c:Dfs.reg
echo [HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesDfs]>> c:Dfs.reg
echo "Start"=dword:00000004>> c:Dfs.reg
echo .
echo .. Dfs.reg .....
regedit /s c:Dfs.reg
echo .
echo .. Dfs.reg
del c:Dfs.reg

echo ===============================================================
echo ..Spooler.......
echo .........
echo Windows Registry Editor Version 5.00> c:Spooler.reg
echo [HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesSpooler]>> c:Spooler.reg
echo "Start"=dword:00000004>> c:Spooler.reg
echo .
echo .. Spooler.reg .....
regedit /s c:Spooler.reg
echo .
echo .. Spooler.reg
del c:Spooler.reg

echo ==============================================================
echo ...TCP/IP NetBIOS Helper Service
echo .........
echo Windows Registry Editor Version 5.00> c:netbios.reg
echo [HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesLmHosts]>> c:netbios.reg
echo "Start"=dword:00000004>> c:netbios.reg
echo .
echo .. netbios.reg .....
regedit /s c:netbios.reg
echo .
echo .. netbios.reg
del c:netbios.reg
echo ===============================================================
echo ===============================================================
goto :END

Windows 2003 IIS下Web服务器一键批量批处理设置文件夹权限

本人从事IDC工作有很长的一段时间了,由于时常与Windows 2003打交道,加上多年长期管理多台Windows 2003虚拟主机,所以对windows 2003的系统安全与IIS设置方面有着自己的独到地看法,现将我的认识与看法共享出来与大家一同分享。
在实际生活中,我们有许多客户常抱怨自己的服务器老是被黑,我想在互联网上肯定也有很多管理服务器的同胞们时常在抱怨吧。为什么会这样呢?以我愚见,我认为系统的漏洞,只要你及时更新系统补丁,它的漏洞远比起您服务器的开发程序(诸如Web站点)要少得多。所以我写得这篇文章也是治标不治本的,或许只能对你的系统在被入侵过程中给黑客带来更大的考验,而在确保您的开发程序无漏洞的情况,此文档却能起到锦上添花的作用。
好了,废话还是少说,现在直入主题,我对系统安全从二个方面着手,一是权限,二是服务。开放服务仅需要的权限,以最小的权限运行服务,不用的服务坚决禁用。这就是我对安全的认识。
我这里说到的权限,包括系统权限与服务正常运行所需的权限,先讲系统权限,服务权限,我着重会在《Windows 2003系统安全+IIS下Web与FTP的完美结合(下)》中对Web服务的权限来加以阐述。
一、系统权限的设置
在网上有好多设置系统权限的文档,很多,雷同性也很大,你照着这些文档去逐个设置,花上个把小时是情理之中的事,而且效果也未必很明显。下面,我这里着重讲述我写的系统权限设置方法,在讲之前,我们学习一个命令——Cacls命令,命令用法如下:
C:Userstamenglang>cacls/?
显示或者修改文件的访问控制列表(ACL)
CACLS filename [/T] [/M] [/L] [/S[:SDDL]] [/E] [/C] [/G user:perm]
[/R user […]] [/P user:perm […]] [/D user […]]
filename 显示 ACL。
/T 更改当前目录及其所有子目录中,指定文件的 ACL。
/L 对照目标处理符号链接本身
/M 更改装载到目录的卷的 ACL
/S 显示 DACL 的 SDDL 字符串。
/S:SDDL 使用在 SDDL 字符串中指定的 ACL 替换ACL。 /E、/G、/R、/P 或 /D 无效)。
/E 编辑 ACL 而不替换。
/C 在出现拒绝访问错误时继续。
/G user:perm 赋予指定用户访问权限。
Perm 可以是: R 读取
W 写入
C 更改(写入)
F 完全控制
/R user 撤销指定用户的访问权限(仅在与 /E 一起使用时合法)。
/P user:perm 替换指定用户的访问权限。Perm 可以是: N 无
R 读取
W 写入
C 更改(写入)
F 完全控制
我们先看一个实例,针对此实例来再加以分析:
cacls C: /t /c /g administrators:F system:F
C: 表示C盘
/t表示这里的C盘的根目录及其所有子目录
/c表示在出现拒绝访问错误时继续
/g administrators:F system:F 表示赋予C盘的根目录及其所有子目录administrators与system的完全控制的权限,这里的F是完全控制,还有R表示读取,W表示写入,C表示更改
再讲几个我们下面需要的参数,OK?
/e 在原有权限的基本上增加用户的访问权限
/r 撤销指定用户的访问权限(仅在与 /E 一起使用时合法)
或许你看了上面的这个命令,您或许会有所纳闷,为什么我要花这么长的篇幅去介绍好像与系统权限没有关系的文字呢?其实不然,我写上面命令的目的是准备写一个批处理脚本,来快速地(不到一分钟的时间)来帮您设置好您的系统权限。
现附上我新手写的系统盘加固脚本:
先不要急着复制运行,最后面有整个代码全集@echo off
echo 本程序是源自tamenglang.blog.51cto.com,tamenglang亲手创作,此程序会自动加固您的系统 …………………
cacls C: /t /c /g administrators:F system:F
Cacls "C:Program FilesCommon Files" /t /e /c /g everyone:R
Cacls "C:WINDOWSIIS Temporary Compressed Files" /t /e /c /g
everyone:C
Cacls C:WINDOWSMicrosoft.Net /t /e /c /g everyone:R
Cacls "C:WINDOWSMicrosoft.NETFrameworkv1.1.4322Temporary ASP.NET Files" /t /e /c /g everyone:C
Cacls "C:WINDOWSMicrosoft.NETFrameworkv2.0.50727Temporary ASP.NET Files" /t /e /c /g everyone:C
Cacls C:WINDOWSRegistration /t /e /c /g everyone:R
Cacls C:WINDOWSTemp /t /e /c /g everyone:C
Cacls C:WINDOWSassembly /t /e /c /g everyone:R
Cacls C:WINDOWSWinSxS /t /e /c /g everyone:R
Cacls C:WINDOWSFonts /t /e /c /g everyone:R
Cacls C:WINDOWSSystem32 /t /e /c /g everyone:R
Cacls C:windowssystem32msdtc /t /e /c /g networkservice:C
Cacls "C:WINDOWSsystem32inetsrvASP Compiled Templates"
/t /e /c /g everyone:C
Cacls C:WINDOWSSystem32*.exe /e /c /r everyone
Cacls C:WINDOWSSystem32cmd.exe /e /c /r system
Cacls C:WINDOWSSystem32net.exe /e /c /r system
Cacls C:WINDOWSSystem32net1.exe /e /c /r system
Cacls C:WINDOWSSystem32msdtc.exe /e /c /g everyone:R
Cacls C:WINDOWSSystem32dllhost.exe /e /c /g everyone:R
Cacls C:WINDOWSSystem32svchost.exe /e /c /g everyone:R

此程序实现的功能如下:
C: administrators,system完全控制
C:Program FilesCommon Files Everyone 读取
C:WINDOWSIIS Temporary Compressed Files Everyone 更改
C:WindowsMicrosoft.Net Everyone 读取
C:WINDOWSMicrosoft.NETFrameworkv1.1.4322Temporary ASP.NET Files Everyone 更改
C:WINDOWSMicrosoft.NETFrameworkv2.0.50727Temporary ASP.NET Files Everyone 更改
C:WindowsRegistration Everyone 读取
C:WindowsTemp Everyone 更改
C:Windowsassembly Everyone 读取
C:WindowsWinSxS Everyone 读取
C:WindowsFonts Everyone 读取
C:WindowsSystem32 Everyone 读取
C:windowssystem32msdtc NETWORK SERVICE 更改
C:WINDOWSsystem32inetsrvASP Compiled Templates Everyone 更改
C:WindowsSystem32*.exe 去除 Everyone 权限
C:windowssystem32msdtc.exe Everyone 读取
C:WindowsSystem32dllhost.exe Everyone 读取
C:WindowsSystem32svchost.exe Everyone 读取
系统权限的设置大致如上。
二、服务启动类型的设置
下面我们需要设置的是将一些不常用的服务停止,我们的通常做的操作是到服务中(命令提示符下用services.msc命令)中加以禁用,为了方便起见,这里我也以脚本的形式对不常用的服务加以停止。现在我们还需要学上一个用于与服务控制管理器通信的命令行程序,即sc命令,命令的用法如下:
用法:
sc [command] [service name]
选项 的格式为 "\ServerName"
可以键入 "sc [command]"以获得命令的进一步帮助
命令:
query———–查询服务的状态,或枚举服务类型的状态。
queryex———查询服务的扩展状态,或枚举服务类型的状态。
start———–启动服务。
pause———–发送 PAUSE 控制请求到服务。
interrogate—–发送 INTERROGATE 控制请求到服务。
continue——–发送 CONTINUE 控制请求到服务。
stop————发送 STOP 请求到服务。
config———-(永久地)更改服务的配置。
description—–更改服务的描述。
failure———更改服务失败时所进行的操作。
qc————–查询服务的配置信息。
qdescription—-查询服务的描述。
qfailure——–查询失败服务所进行的操作。
delete———-(从注册表)删除服务。
create———-创建服务(将其添加到注册表)。
control———发送控制到服务。
sdshow———-显示服务的安全描述符。
sdset———–设置服务的安全描述符。
GetDisplayName–获取服务的 DisplayName。
GetKeyName——获取服务的 ServiceKeyName。
EnumDepend——枚举服务的依存关系。
因为我们要更改服务的启动类型,我们只需要了解sc config就可以了,sc config的用法如下:
sc config [service name]
选项:
注意: 选项名称包括等号。
type=
start=
error=
binPath=
group=
因为我们这里要永久更改启动类型,只要用start选项加上disabled就可以了,好了,比方说我们要中止dhcp client这个服务,只需用如下命令:
sc config Dhcp start= disable
好了,为了系统安全,我们来对经常用不到的服务的启动类型来加以禁用设置吧
rem server
rem 微软:支持此计算机通过网络的文件、打印、和命名管道共享。如果服务停止,这些功能不可用。如果服务被禁用,任何直接依赖于此服务的服务将无法启动。
sc config lanmanserver start= disabled

rem remote registry
rem 微软:使远程用户能修改此计算机上的注册表设置。如果此服务被终止,只有此计算机上的用户才能修改注册表。如果此服务被禁用,任何依赖它的服务将无法启动。
sc config RemoteRegistry start= disabled

rem TCP/IP NetBIOS Helper
rem 微软:提供 TCP/IP (NetBT) 服务上的 NetBIOS 和网络上客户端的 NetBIOS 名称解析的支持,从而使用户能够共享文件、打印和登录到网络。
sc config LmHosts start= disabled

rem Print Spooler
rem 微软: 管理所有本地和网络打印队列及控制所有打印工作。如果此服务被停用,本地计算机上的打印将不可用。如果此服务被禁用,任何依赖于它的服务将无法启用。
sc config Spooler start= disabled

rem Computer Browser (计算机浏览器)
rem 微软: 维护网络上计算机的更新列表,并将列表提供给计算机指定浏览。如果服务停止,列表不会被更新或维护。如果服务被禁用,任何直接依赖于此服务的服务将无法启动。
sc config Browser start= disabled

rem Shell Hardware Detection
rem 微软: 为自动播放硬件事件提供通知。
sc config ShellHWDetection start= disabled

rem Secondary Logon
rem 微软: 启用替换凭据下的启用进程。如果此服务被终止,此类型登录访问将不可用。如果此服务被禁用,任何依赖它的服务将无法启动。。
sc config seclogon start= disabled

rem Wireless Configuration
rem 微软: 启用 IEEE 802.11 适配器的自动配置。如果此服务停止,自动配置将不可用。如果此服务被禁用,所有明确依赖它的服务都将不能启动。
sc config WZCSVC start= disabled

rem Distributed Link Tracking Client
rem 启用客户端程序跟踪链接文件的移动,包括在同一 NTFS 卷内移动,移动到同一台计算机上的另一 NTFS、或另一台计算机上的 NTFS.
sc config TrkWks start= disabled

rem Distributed Link Tracking Server
rem 启用同域内的分布式链接跟踪客户端服务,以便在同域内提供更高的可靠性和有效维护
sc config TrkSvr start= disabled

rem Distributed Transaction Coordinator
rem 协调跨多个数据库、消息队列、文件系统等资源管理器的事务。如果停止此服务,则不会发生这些事务
sc config MSDTC start= disabled

rem Cryptographic Services
rem 提供三种管理服务: 编录数据库服务,它确定 Windows 文件的签名;受保护的根服务,它从此计算机添加和删除受信根证书颁发机构的证书;和密钥(Key)服务,它帮助注册此计算机获取证书。如果此服务被终止,这些管理服务将无法正常运行。如果此服务被禁用,任何依赖它的服务将无法启动。
sc config CryptSvc start= disabled

rem DHCP Client (DHCP 客户端)
rem 微软: 为此计算机注册并更新 IP 地址。如果此服务停止,计算机将不能接收动态 IP 地址和 DNS 更新。如果此服务被禁用,所有明确依赖它的服务都将不能启动
sc config Dhcp start= disabled

rem Help and Support
rem 启用在此计算机上运行帮助和支持中心。如果停止服务,帮助和支持中心将不可用。如果禁用服务,任何直接依赖于此服务的服务将无法启动。
rem 依存:remote Procedure Call (RPC)
sc config helpsvc start= disabled

三、组件的卸载
现在我们需要将一些不常用的组件加以卸载,在卸载它们前,我们还需要认识一个命令,一个注册或卸载动态链接库文件(DLL)和嵌入式控件(OCX)的命令,它就是regsvr32。命令的格式如下:
Regsvr32 [ /u ][ /s ][ /n ][ /i [ :cmdline ] ] dll文件名
Regsvr32命令一共有四个参数,我们只需用到二个就可以了,分别是:
/s:注册或卸载成功后不显示操作成功的提示框
/u:卸载已安装的控件或DLL文件
为了防止木马利用这些动态链接库与组件,我们需要将W.Shell 组件和Shell.application 组件加以卸载,代码如下:
rem 卸载W.Shell 组件和卸载Shell.application 组件
regsvr32 /u /s wshom.ocx
regsvr32 /u /s shell32.dll

好了,系统的安全基本上都讲完了,其他的诸如防火墙的设置,IP策略的设置等,我都不加以介绍了,因为这样的设置要根据自己的需求进行设置的,上面的这些设置是我经常对windows 2003进行系统安全常用的,从实践效果来看还是比较明显的,我想对于您来说肯定也是能用得上的。不过, 建议您在使用之前先要对自己的系统与服务进行评估再加以设置,不然到时候出现问题不知道从何着手就不好了。呵呵,到时可不要投诉我哟。
为了方便大家的总结与使用,现将上述所有的脚本综合如下,写成批处理脚本的形式,供大家借鉴与使用。
@echo off
echo 本程序是源自tamenglang.blog.51cto.com,tamenglang亲手创作,此程序会自动加固您的系统 …………………
cacls C: /t /c /g administrators:F system:F
Cacls "C:Program FilesCommon Files" /t /e /c /g everyone:R
Cacls "C:WINDOWSIIS Temporary Compressed Files" /t /e /c /g everyone:C
Cacls C:WINDOWSMicrosoft.Net /t /e /c /g everyone:R
Cacls "C:WINDOWSMicrosoft.NETFrameworkv1.1.4322Temporary ASP.NET Files" /t /e /c /g everyone:C
Cacls "C:WINDOWSMicrosoft.NETFrameworkv2.0.50727Temporary ASP.NET Files" /t /e /c /g everyone:C
Cacls C:WINDOWSRegistration /t /e /c /g everyone:R
Cacls C:WINDOWSTemp /t /e /c /g everyone:C
Cacls C:WINDOWSassembly /t /e /c /g everyone:R
Cacls C:WINDOWSWinSxS /t /e /c /g everyone:R
Cacls C:WINDOWSFonts /t /e /c /g everyone:R
Cacls C:WINDOWSSystem32 /t /e /c /g everyone:R
Cacls C:windowssystem32msdtc /t /e /c /g networkservice:C
Cacls "C:WINDOWSsystem32inetsrvASP Compiled Templates" /t /e /c /g everyone:C
Cacls C:WINDOWSSystem32*.exe /e /c /r everyone
Cacls C:WINDOWSSystem32cmd.exe /e /c /r system
Cacls C:WINDOWSSystem32net.exe /e /c /r system
Cacls C:WINDOWSSystem32net1.exe /e /c /r system
Cacls C:WINDOWSSystem32msdtc.exe /e /c /g everyone:R
Cacls C:WINDOWSSystem32dllhost.exe /e /c /g everyone:R
Cacls C:WINDOWSSystem32svchost.exe /e /c /g everyone:R

echo 现在对您的服务器服务启动类型加以设置
rem server
rem 微软:支持此计算机通过网络的文件、打印、和命名管道共享。如果服务停止,这些功能不可用。如果服务被禁用,任何直接依赖于此服务的服务将无法启动。
sc config lanmanserver start= disabled

rem remote registry
rem 微软:使远程用户能修改此计算机上的注册表设置。如果此服务被终止,只有此计算机上的用户才能修改注册表。如果此服务被禁用,任何依赖它的服务将无法启动。
sc config RemoteRegistry start= disabled

rem TCP/IP NetBIOS Helper
rem 微软:提供 TCP/IP (NetBT) 服务上的 NetBIOS 和网络上客户端的 NetBIOS 名称解析的支持,从而使用户能够共享文件、打印和登录到网络。
sc config LmHosts start= disabled

rem Print Spooler
rem 微软: 管理所有本地和网络打印队列及控制所有打印工作。如果此服务被停用,本地计算机上的打印将不可用。如果此服务被禁用,任何依赖于它的服务将无法启用。
sc config Spooler start= disabled

rem Computer Browser (计算机浏览器)
rem 微软: 维护网络上计算机的更新列表,并将列表提供给计算机指定浏览。如果服务停止,列表不会被更新或维护。如果服务被禁用,任何直接依赖于此服务的服务将无法启动。
sc config Browser start= disabled

rem Shell Hardware Detection
rem 微软: 为自动播放硬件事件提供通知。
sc config ShellHWDetection start= disabled

rem Secondary Logon
rem 微软: 启用替换凭据下的启用进程。如果此服务被终止,此类型登录访问将不可用。如果此服务被禁用,任何依赖它的服务将无法启动。。
sc config seclogon start= disabled

rem Wireless Configuration
rem 微软: 启用 IEEE 802.11 适配器的自动配置。如果此服务停止,自动配置将不可用。如果此服务被禁用,所有明确依赖它的服务都将不能启动。
sc config WZCSVC start= disabled

rem Distributed Link Tracking Client
rem 启用客户端程序跟踪链接文件的移动,包括在同一 NTFS 卷内移动,移动到同一台计算机上的另一 NTFS、或另一台计算机上的 NTFS.
sc config TrkWks start= disabled

rem Distributed Link Tracking Server
rem 启用同域内的分布式链接跟踪客户端服务,以便在同域内提供更高的可靠性和有效维护
sc config TrkSvr start= disabled

rem Distributed Transaction Coordinator
rem 协调跨多个数据库、消息队列、文件系统等资源管理器的事务。如果停止此服务,则不会发生这些事务
sc config MSDTC start= disabled

rem Cryptographic Services
rem 提供三种管理服务: 编录数据库服务,它确定 Windows 文件的签名;受保护的根服务,它从此计算机添加和删除受信根证书颁发机构的证书;和密钥(Key)服务,它帮助注册此计算机获取证书。如果此服务被终止,这些管理服务将无法正常运行。如果此服务被禁用,任何依赖它的服务将无法启动。
sc config CryptSvc start= disabled

rem DHCP Client (DHCP 客户端)
rem 微软: 为此计算机注册并更新 IP 地址。如果此服务停止,计算机将不能接收动态 IP 地址和 DNS 更新。如果此服务被禁用,所有明确依赖它的服务都将不能启动
sc config Dhcp start= disabled

rem Help and Support
rem 启用在此计算机上运行帮助和支持中心。如果停止服务,帮助和支持中心将不可用。如果禁用服务,任何直接依赖于此服务的服务将无法启动。
rem 依存:remote Procedure Call (RPC)
sc config helpsvc start= disabled

echo 现在此程序对您服务器的组件进行设置
rem 卸载W.Shell 组件和卸载Shell.application 组件
regsvr32 /u /s wshom.ocx
regsvr32 /u /s shell32.dll

系统的安全在上部分都已经讲述得差不多了,现在着手来对IIS中的Web与FTP来进行设置,使之能够完美结合在一起,此方法针对虚拟主机来说效果更佳,因为虚拟主机站点比较多,单独建那么多FTP站点不太现实。
首先看一台虚拟主机,以截图的方式展现给大家:


此虚拟主机只有一个ftp站点与80多个站点供客户使用,此ftp是如何让这么多虚拟主机客户去上传他们的站点程序的呢?这Ftp是如何与这么多Web站点完美结合在一起的呢?好了,现在我们来对IIS下的Web与Ftp来加以设置。
一、IIS下FTP站点搭建
按照常理来设置或者用Serv_U来设置的话,多少个Web站点,应该用多少个FTP站点与之相对应,如果这样的话,势必很繁烦,而且端口都不能一致(ftp默认端口为21),因为如此,我们只建了一个FTP站点(上图中的“用户FTP”)来实现不同虚拟主机用户FTP访问的。具体做法如下:
1、建立FTP用户(即系统用户),可以到计算机管理中添加用户,我这里以命令的形式直接添加,建立二个用户test1,test2:

2、在D盘(根据个人的需要来设置,我这里直接以D盘来做说明)建立LocalUser文件夹,在其中建立二个站点文件夹test1,test2,D盘与test1,test2的权限设置为:
D: administrators,system 完全控制
D:LocalUsertest1 test1 完全控制
D:LocalUsertest2 test2 完全控制
用脚本的形式来操作,脚本代码如下:

Cacls D: /t /c /g administrators:F system:F
Cacls D:LocalUsertest1 /t /e /c /g test1:F
Cacls D:LocalUsertest2 /t /e /c /g test2:F

3、接着建立FTP站点,在建之前,先讲一下第2步的目的是什么?在第2步中使用LocalUser的目的其实就是为了FTP隔离用户(FTP用户名必须与站点目录名称要一致)而使用的,使用隔离用户,就不需要为每一个Web站点单独建上一个FTP站点了。还有,选择FTP站点主目录的时候一定要选择LocalUser上层的目录哟,在这里就是根目录D盘。好了,为了直观起见,我们看截图吧。



OK,看到上面的图片了吧,FTP关键设置就在这里,这样设置后,就可以保证LocalUser文件夹下面的站点目录对应用户都能各自访问自己的FTP了,是不是感觉很爽,呵呵。
二、IIS下Web站点的搭建
FTP的搭建基本设置完毕,现在紧接着对Web站点来加以设置,Web站点的设置只要注意一个地方即可,其他的地方与正常的设置雷同,这里就不加以阐述了,不知道你有没有注意到,我们在讲述FTP站点搭建时,提到给LocalUser下面的站点目录设置权限,而IIS下的Web默认匿名访问用户是IUSR_计算机名,此时由于站点目录下面没有此用户,所以我们需要在IIS下Web站点下面的匿名访问用户要加以更改,更改为对应网站目录的FTP用户,这里我们以test1站点来加以设置,请看截图:

这样的目的不仅是为了能够正常打开网站而设置的,更主要地是为了安全而考虑的。
这样一来,整个IIS下的FTP与Web的搭建基本上完成了,现在等待您的,就是去付诸实践了,呵呵,祝您成功哟!

美国核电站集体神秘关闭 技术故障威胁国家安全

2月26日下午,因受核电站意外自动关闭的影响,美国佛罗里达南部地区发生大面积停电,约440万人受影响。尽管美国各方迅速宣称,这起事故与恐怖袭击无关,但核电站安全对民生的影响迅速引起了各方的强烈关注。

神秘自动关闭

当地时间26日13时,位于迈阿密南部“佛罗里达电力和照明公司”的两座核反应堆在毫无征兆的情况下突然自动关闭,祸不单行的是,迈阿密北部的水晶河核反应堆和圣路斯土因的两座核反应堆“运行异常”,一时间,从佛罗里达州西南到东北部广大地区的电力供应全部中断,受波及的大城市有迈阿密、坦帕、奥兰多和杰克逊威尔。

受此影响,约440万人遭遇大规模停电;全美第三大机场迈阿密机场也暂时停电,起降航班均受轻微的影响,但好在备用电很快恢复。迈阿密的多家医院也在停电后纷纷启用备用发电机,从而保证医疗系统的正常运行;迈阿密的大中小学校提前放学,并确保校车安全将学生们送回家。

2月26日,美国佛罗里达州的一名电力工人在维修电路。

在备用电力设施充分的地区,大面积停电事故发生15分钟至1小时后,电力供应陆续恢复,但在部分地区停电时间则长达5个小时以上。

与恐怖袭击无关

戴德县行政长官卡洛斯・阿尔弗雷兹表示:“停电是技术故障,不是犯罪行径。”美国国土安全部发言人劳拉・基内尔也表示:“可以肯定的是与恐怖袭击无关。”

美国电力网地区办公室的官员证实说,尽管两座核反应堆自动关闭的原因不明,但“没有安全方面的担心,核反应堆是按事先设计的程序遇故障自动关闭的”。

特写 市民享受免费午餐

受大面积停电影响的民众多数并不紧张,反而有偷闲的感觉。

在迈阿密西郊的多勒尔,尽管经理嚷嚷说停电损失了不少生意,但对一般来说午间最忙碌的面包师帕尼拉来说却是难得的空闲;一条街外的星巴克咖啡厅内,店员开始向老顾客们免费派送三明治,主要是担心不送出去也坏了。35岁的“世界燃油服务”亚太区销售经理尼尔逊・苏雷兹很高兴享受一顿免费的午餐: “没电了,我没法工作,但能享受一份免费午餐却是不错的结果。”

但停电地区的警察却忙得焦头烂额。迈阿密警官格里・戴维逊说:“整个地区的交通信号灯全瞎了,每位警官都要上马路指挥交通。”

苏州市城市房屋安全管理办法

苏州市人民政府令

第 88 号

  《苏州市城市房屋安全管理办法》已经2005年11月23日市政府第50次常务会议讨论通过,现予发布。

  市长 阎立

  二○○五年十二月二十九日

苏州市城市房屋安全管理办法

第一章 总 则

  第一条 为加强城市房屋安全管理,保障人民生命财产安全,根据《建设工程质量管理条例》、《江苏省工程建设管理条例》等法规规章,结合本市实际,制定本办法。

  第二条 本办法适用于本市行政区域内城市(含建制镇,下同)房屋安全管理。

  第三条 本办法所称房屋安全管理,是指房屋使用安全管理、房屋安全鉴定管理和危险房屋防治管理。

  涉及工程主体和承重结构变动时工业和民用建筑加层的安全管理,法律、法规另有规定的,从其规定。

  第四条 市房产行政主管部门是本市房屋安全管理工作的行政主管部门。市房屋安全管理机构受市房产行政主管部门的委托,负责本市房屋安全的日常监督管理工作。

  县级市房产行政主管部门负责本行政区域内的房屋安全管理工作。

  规划、建设、城管、公安、消防、工商、文广、教育、安监等有关行政主管部门,应当按照各自职责,共同做好房屋安全监督与管理工作。

  第五条 房屋安全管理遵循预防为主、防治结合、综合治理、科学鉴定、确保安全的原则。

第二章 房屋使用安全管理

  第六条 使用房屋,应当保证房屋原有的整体性、抗震性、耐久性和结构安全,并在房屋允许承载范围内进行合理使用。

  第七条 拆改房屋的主体和承重结构应当依法办理审批手续。房屋所有人或者使用人具有下列情形之一的,应当向房屋所在地市、县级市房产行政主管部门申请:

  (一)拆改房屋墙体、柱、梁、板等主体结构;

  (二)在建成房屋下建造地下室或者降低房屋地面地坪标高;

  (三)住宅改为公共场所用房、办公用房、工业或者仓储用房,办公用房改为公共场所用房、工业或者仓储用房,公共场所用房改为工业或者仓储用房等改变房屋用途,拆改房屋主体和房屋承重结构的;

  (四)未改变房屋用途,超过设计标准或者规范,增加楼面荷载的;

  (五)在房屋屋顶上设置水箱、铁塔、花园、游泳池等设施的;

  (六)其他拆改房屋主体和承重结构,明显加大荷载的行为。

  涉及其他许可的,申请人还应当按照有关法律法规办理手续。

  第八条 申请拆改房屋主体和承重结构,应当向房产行政主管部门提交下列主要材料:

  (一)房屋所有权证或者房屋租赁证明以及房屋所有人书面同意证明;

  (二)原房屋的相关技术资料;

  (三)原设计单位或者其他具有相应资质的设计单位出具的加固施工图;

  (四)房屋安全鉴定机构出具的鉴定结论;

  (五)房产行政主管部门需要审验的其他材料。

  第九条 申请人拆改房屋主体和承重结构的,必须严格按照批准的要求进行施工。

  房产行政主管部门应当建立健全监督制度,对拆改房屋主体和承重结构的情况进行核查。

  第十条 兴建大型建筑或者有桩基、地下建筑物和构筑物等建设项目的,建设单位应当在开工前申请对施工区相邻房屋进行房屋安全跟踪监测,并按照规定采取安全维护措施。

  第十一条 物业管理和社区机构在其管辖区内发现房屋所有人或者使用人未经许可擅自拆改房屋主体和承重结构的,应当及时予以制止,并报告所在地房产行政主管部门。

第三章 房屋安全鉴定管理

  第十二条 房屋安全鉴定,是指由依法设立的房屋安全鉴定机构对房屋的完好与损坏程度和使用状况的安全性进行鉴别、评定。

  第十三条 市、县级市房产行政主管部门设立的房屋安全鉴定机构(以下简称鉴定机构),负责房屋安全鉴定工作,并统一启用房屋安全鉴定专用章。

  第十四条 房屋所有人或者使用人委托鉴定机构进行鉴定时,应当提供下列材料:

  (一)房屋安全鉴定委托书;

  (二)房屋所有权证或租赁合同,或者其他证明其与鉴定房屋有相关民事权利的有效证件;

  (三)房屋的相关技术资料;

  (四)法律、法规规定应当提供的其他材料。

  第十五条 鉴定机构在接受鉴定委托后,一般应当在20日内、复杂项目应当在30日内出具房屋安全鉴定文书。

  对有明显险情的房屋,鉴定机构应当在接受委托后立即安排鉴定。对被鉴定房屋需要进行跟踪监测的,可以适当延长鉴定期限。

  第十六条 鉴定机构进行房屋安全鉴定按照下列程序办理:

  (一)受理委托;

  (二)初始调查,摸清房屋的历史和现状;

  (三)现场查勘、测试,记录房屋损坏状况和各种数据;

  (四)检测验算,整理技术资料;

  (五)全面分析,论证定性,作出综合判断,提出处理建议;

  (六)签发鉴定文书。

  第十七条 进行房屋安全鉴定,必须有两名以上鉴定人员参加,对特殊复杂的鉴定项目,鉴定机构可以聘请有关专家或者邀请有关部门派员参与鉴定。

  第十八条 填写房屋安全鉴定文书应当使用规范术语,并提出处理建议。

  经鉴定属危险房屋的,鉴定机构必须及时发出危险房屋通知书;属非危险房屋的,应当在鉴定文书上注明在正常使用条件下的有效期限。

  第十九条 鉴定机构应当按照物价部门核定的标准向鉴定委托人收取有关鉴定费、检测费。

  第二十条 进行房屋安全鉴定,执行建设部《危险房屋鉴定标准》、《民用建筑可靠性鉴定标准》和《房屋完损等级评定标准》等规定。对工业建筑、公共建筑、高层建筑、文物保护建筑、园林建筑等的鉴定,还应当参照有关专业技术标准、规范和规程。

  第二十一条 对鉴定机构出具的鉴定结论有异议的,由房产行政主管部门按规定组织专家论证。房屋所在地的鉴定机构应当根据专家论证意见,重新出具安全鉴定结论。

第四章 危险房屋防范与处理

  第二十二条 房屋所有人应当加强房屋安全管理,并在每年汛期、重大节日前对其房屋进行全面安全检查,建立安全管理档案,对安全隐患及时进行治理。

  房屋使用人与所有人不一致的,使用人发现房屋有不安全因素时,应当及时通知所有人进行房屋安全鉴定,并积极配合治理隐患。

  房产行政主管部门应当加强监督检查,指导、督促和协助有关单位或者个人治理危险房屋。

  第二十三条 房屋有下列情形之一的,所有人应当委托鉴定机构对房屋进行安全鉴定:

  (一)达到或者超过房屋合理使用年限的,需要继续使用的;

  (二)发生自然灾害或者其他事故,危及房屋安全的;

  (三)未改变原设计结构,但超过合理使用年限一半的人口密集的大中型公共建筑5年内未作安全鉴定的;

  (四)改变原设计结构的人口密集的大中型公共建筑5年内未作安全鉴定的。

  第二十四条 危险房屋的买卖、交换、出租、抵押按照有关规定执行。

  第二十五条 对经鉴定确认的危险房屋,房屋所有人必须按照鉴定机构的处理建议,及时加固或者修缮治理。需要使用人暂时迁出的,使用人应当及时迁出;拒不迁出的,由使用人承担由此而产生的一切责任。

  第二十六条 对被鉴定为危险房屋的,由房屋所有人按照以下的方式进行处理:

  (一)观察使用。适用于采取适当安全技术措施后,尚能短期使用,但需继续观察的房屋。

  (二)处理使用。适用于采取适当技术措施后,可解除危险的房屋。

  (三)停止使用。适用于已无修缮价值,暂时不便拆除,又不危及相邻建筑和影响他人安全的房屋。

  (四)整体拆除。适用于整幢危险且无修缮价值,需要立即拆除的房屋。

  产权不清或者所有人下落不明的危险房屋,由房屋使用人负责出资解除危险,出资费用可以抵扣租金。

第五章 罚 则

  第二十七条 房屋所有人或者使用人未经批准,擅自拆改房屋主体和承重结构的,由市、县级市房产行政主管部门责令限期整改,可并处5万元以上10万元以下的罚款。

  第二十八条 违反本办法第九条第一款、第十条、第二十三条第(三)、(四)项规定的,由市、县级市房产行政主管部门责令限期整改,对非经营活动中的违法行为,可并处1000元以下的罚款;对经营活动中的违法行为,可并处1000元以上1万元以下的罚款。

  第二十九条 房屋所有人或者使用人怠于管理,致使房屋发生损坏或者对安全隐患不及时治理,给他人造成人身伤害、财产损失的,应当承担相应的事故责任;构成犯罪的,由司法机关依法追究刑事责任。

  第三十条 任何单位和个人对未经批准擅自拆改房屋主体和承重结构的行为,有权进行举报,房产行政主管部门应当及时受理并进行查处。

  拒绝、阻碍房产行政主管部门依法执行公务的,由公安机关依法给予治安处罚。

  第三十一条 房产行政主管部门工作人员、鉴定机构鉴定人员徇私舞弊,玩忽职守,导致造成财产损失、人身伤害的,应追究其相应的行政责任;情节严重,构成犯罪的,依法追究其刑事责任。

第六章 附 则

  第三十二条 本办法所称危险房屋,是指结构已严重损坏或者承重构件已属危险构件,随时可能丧失结构稳定和承载能力,不能保证居住和使用安全的房屋。

  本办法所称房屋的相关技术资料,是指房屋的设计资料、地质勘探资料、施工技术资料等。

  本办法所称房屋合理使用年限,是指钢混结构房屋使用满55年,砖混结构房屋使用满50年,砖木结构房屋使用满40年,简易结构房屋使用满10年。

  本办法所称公共建筑,是指车站、宾馆、饭店、医院、商场、交易场所、体育场所、学校、文化娱乐场所等建筑。

  第三十三条 军产、宗教产及文物建筑的安全管理按照国家有关规定执行。

  第三十四条 构筑物及有关房屋附属设施、农村房屋的使用安全管理参照本办法执行。

  第三十五条 本办法自2006年3月1日起施行。

央视揭秘网络黑客 背后竟是网络公司安全专家


在电脑搜索引擎里随意输入了破解邮箱、攻击网站等几个字,随即记者便找到了无数条与电脑黑客有关的信息,虽然网页十分简单,但在网站提供的业务上,除为客户专业破解个人VIP邮箱、企业邮箱,以及各种网站的登陆密码之外,同时还承接服务器攻击,编写黑客软件、木马病毒定制等业务。

据最新发布的《2007年上半年中国电脑病毒疫情及互联网安全报告》指出,截至2007年上半年,全国被感染的计算机已超过759万台,与去年同期相比增长了12.2%,其中被感染的计算机中,遭受过木马病毒攻击的更是高达91.35%。
黑客留给我们的印象,似乎是一群天生对网络技术着迷的发烧友,然而,现在它也开始变成了一门生意,互联网上如今可以看到不少黑客广告,只要你交300元钱,他们可以帮你在一天之内破解一个电子邮箱,交5000元钱,可以帮你同时攻击5000台计算机,而如果出价更高的话,黑客甚至能为你攻击一家公司的网站和服务器,这些黑客的幕后究竟隐藏着什么秘密?
黑客肆意攻击,背后竟是网络公司的安全专家
我们在电脑搜索引擎里,随意输入了破解邮箱、攻击网站等几个字,随即记者便找到了无数条与电脑黑客有关的信息,在一家名叫兰盟业务的网站,记者看到,虽然网页十分简单,但以美国大片《黑客帝国》为背景的剧照却十分引人注目,在网站提供的业务上,除为客户专业破解个人VIP邮箱、企业邮箱,以及各种网站的登陆密码之外,同时还承接服务器攻击,编写黑客软件、木马病毒定制等业务,这些内容到底是真是假?提供这些业务的又究竟是什么样的人?按照网页上留下的QQ号码,记者找到了一个网名叫做“兰盟业务”的人。
画面文字:“你好!能帮我破解一个邮箱吗?可以啊,那个邮箱最近登录过没有?”
记者:“给他说登陆过,你再问问他要多少钱?”
不一会儿,兰盟业务就告诉记者,破解邮箱的价格要看是免费邮箱,还是VIP会员邮箱来决定。
记者:“你就跟他说,比如说免费的要多少钱一个?”
兰盟业务:“500元。”
接着,记者又试探性地向兰盟业务打听,能否帮我们攻击一家公司的网络服务器,兰盟业务很快做出回应,攻击网络服务器虽然不像破解邮箱那么容易,但这对他们来说同样是小菜一碟,不过收费会比破解邮箱要高一些。
记者:“那你问他大概要多少钱?”
兰盟业务:“如果难度不大,最少要800块钱一个小时。”
兰盟业务介绍说,如果要求攻击的难度大,攻击破坏程度比较严重的话,那么价格至少要1300元钱一个小时,在一番讨价还价之后,兰盟业务答应先以400元钱的价格,帮记者破解一个免费邮箱。
兰盟业务:“你把钱先打过来。”
记者:“问他卡号是多少,让他把卡号告诉我,你先等会儿。”
几分钟以后,兰盟业务把他的银行卡卡号告诉了记者,并同时让记者提供需要破解的邮箱地址,与兰盟业务一样,同样在网上大张旗鼓地叫卖黑客攻击业务的还有很多,记者在另一家黑客网页的业务栏里同样看到,他们除了提供破解邮箱、攻击网站等业务之外,还出售破解邮箱密码软件、灰鸽子生成器、QQ密码等破解工具软件,而与兰盟业务不同的是,这家网站的联系方式不仅有QQ号,同时还留下了手机号码。
记者:“那个VIP邮箱你们能破吗?”
“可以的,可以破。”
记者:“价格呢?”
“这个,都收一千块钱吧。”
在电话中,这位男子不无炫耀的告诉记者,他们对windows、 nux系统很有研究,并且擅长各种脚本注入,挖掘脚本漏洞,这位男子还介绍说,攻击网站服务器也是他们拿手的活。
“挂(病毒)码,那个就贵了。”
记者:“那个多少钱?”
“挂(病毒)码,有两千的,有一千五的。”
俗话说,有钱能使鬼推磨,这话放到这些黑客身上到真是不假,只要肯给钱,无论窃取别人计算机里的机密材料,还是攻击别人的网站服务器,黑客们都会帮你去做,那他们的这种生意又会给那些被攻击的企业和个人带来什么后果呢?
四川省世纪名流绿色科技有限公司,是一家专业代理国内外知名节电产品的私营企业,就在今年上半年,公司网络系统就遭受到了一场网络黑客的攻击,这至今还让公司负责人心有余悸。
张经理:“我们正在做一个标书,正准备投一个标,一个地方的标,然后标书已经做出来了,但是在投标的前一天晚上,我们电脑就出现问题了,死机,打不开。”
据公司张经理介绍,当时他们准备去参加一个标底为800多万的市政节电项目的招标,为竞争这个项目,他们前期做了大量的准备工作,做好的标书也全都保存在公司的电脑里,情急之下,他们找到一位精通电脑的朋友,而最后他们得知,公司联网的几台电脑全被中了病毒,所有硬盘被格式化,电脑里的投标资料和一些重要的客户资料,也全部丢失。
记者:“如果能正常参加投标的话,你的把握有多大?”
张经理:“百分之七八十吧,因为我们的产品还是比较有优势的。”
这次突如其来的网络灾难,不仅让世纪名流绿色科技公司的业务无法正常运转,同时也因为竞标流产,给公司造成了近百万元的经济损失,而事实上,因为遭受网络黑客攻击,导致重大经济损失的,绝非四川这一家公司。就在不久前,北京联众科技公司在推出一款大型游戏产品时,也同样遭到了网络黑客的攻击,新在游戏发布的当天,联众在北京、上海等地的服务器遭到猛夜セ鳎?罅抗セ魇?萃蝗淮油?嫌坷矗?贾峦?咎被荆??澄薹ù蚩??诙嗤婕椅薹??胗蜗贰?/p>
赵鹏:“持续的大流量攻击,那样时候已经超出了我们所能够去抵御的范围。”
公司负责人:“我来到联众大概有三年左右,这次的攻击其实是以前从来没见过的,一个大规模的攻击。”
在接下来的几天里,对方的攻击依然有增无减,而且对方攻击的针对性非常明确,大规模的攻击全是有备而来,联众公司对此毫无抵御之力。
公司负责人:“所以这样我们就认为,这完全是一种恶意攻击了。”
在一切可能抵御手段都宣告失败的时候,联众公司向北京警方报了警,与此同时,联众公司不断尝试使用了几家国内外知名公司的防火墙设备,但都没有明显的效果,就在他们一筹莫展的时候,上海一家网络安全公司主动打电话向联众推销起了他们的防火墙,并承诺他们研发的防火墙,绝对能够阻止外来攻击,而联众在试用其防火墙设备后,果然发现,攻击立刻大幅下降,但当联众停用其防火墙,表示不愿购买防火墙产品时,联众网站马上又遭到更加猛烈的大规模攻击。
警方:“当联众公司不在使用他的产品,准备撤掉之后,又遭到了同一个攻击源的攻击,这一点我们感到很反常。”
警方经过几天缜密侦查,很快将攻击黑客锁定在了上海这家网络安全公司经理罗某及销售人员李某身上,不久,警方在上海将几名犯罪嫌疑人全部抓获,而联众公司为此却遭受了数百万元的经济损失,令人惊诧的是,这些网络黑客,在现实中竟然是网络公司的安全专家。
现实世界中的黑客帝国
黑客攻击给一些企业带了巨大的经济损失,现在很多企业的业务越来越离不开电脑和网络,那黑客们是怎么突破一道道防火墙,肆意破坏和盗取这些信息?他们这种行为背后,又隐藏着什么样的经济利益?我们记者几经努力,终于找到一名曾经经历过黑客生涯的网络高手,并最终说服他接受了我们的采访。
在见到黑客张之前,记者一直充满着好奇,当记者见到他的第一个要求,就是让他当场做一个破解邮箱的演示。
黑客张:“这是一款风暴截取工具,就是说,我们可以轻易的用编程的方式来实现一个这样的软件,点一个邮箱的时候,他在身份验证的同时,可以立刻知道用户名和密码。”
记者把自己的邮箱地址告诉了黑客张,让他在最短时间内破解掉邮箱密码。
黑客张:“我们给这个用户发一封邮件,包含我们的木马程序,然后我们把木马程序运行了之后,会监视你所有的邮箱的操作,当发现你登陆邮箱的时候,他就会记录你的用户名和密码。”
接着,记者按照黑客张的要求,在旁边另一台电脑上登陆了一次自己的邮箱,让人惊讶的是,就在我们退出邮箱后短短的几分钟,黑客张就破解了邮箱的密码。
黑客张:“这个就是USFR,testuser0001,testuser,这个就是密码,这个就是用户名,那还有比如说我们要攻击一个网站,全部都可以做。”
记者:“那个简单吗?”
黑客张:“也是非常容易,利用现有的工具就可以完成,难度都不大。”
据黑客张透露,他今年虽然不到35岁,但在黑客圈里已经堪称“大师”级的人物了,在惊叹黑客张的网络技术之余,记者同样感到好奇,他们到底是怎样开展业务的?又是通过什么手段去谋取暴利的?黑客张介绍说,诸如他这样级别的,被圈内称作为“造枪人”,他可以为买家们制造出各种用来偷盗账户密码,攻击网站,以及发送垃圾邮件和插件广告的木马病毒。
记者:“怎么来谈这个生意的?”
黑客张:“一般来说通过论坛,或者通过技术聊天工具,比如说QQ来进行谈生意等等。”
黑客张告诉记者,他们所有的业务都是在网上交易完成,对每一笔交易也都是小心谨慎。
“就是说黑客一般来说都不会出面,都是通过网上的方式,要么是银行卡转账,网银转账,或者通过支付宝、淘宝之类的这种交易平台转账。”
而在黑客张看来,那些破解一个邮箱密码,盗取一些QQ号的事,他都不屑一顾,但在网上,到处寻找这样业务的黑客们却是大有人在。
黑客张:“因为有蛮多那种黑客论坛等等,或说黑客网站,他们上面都明码标价,就是说攻击网站或者是怎么样,让它瘫痪多久,然后他的费用从几千块到上万块都有可能。”
黑客张透露说,在圈内,黑客们可以牟取暴利的业务有很多,时下网上交易比较看好的是“肉鸡”业务,而所谓肉鸡,就是黑客们借壳一些免费电影网站,植入恶意软件,一旦有网民浏览该网页,木马病毒就秘密潜入,将对方电脑控制,黑客们就可以如同使用自己的计算机一样,去浏览对方的电脑,窃取“肉鸡”上的QQ号、游戏装备等。
“那些黑客就教过来学习的用户如何攻击别人计算机,如何获取肉机,然后这些学员会把自己攻击得到的肉机,再卖给黑客。”
黑客们以低廉的价格,从网上其他散户那里收回大量的肉鸡,接着再将肉鸡组成一个个具有强大攻击力的“僵尸网络”,据资料显示,目前中国互联网上至少有5个僵尸网络操控的“肉鸡”规模已超过10万台,个别僵尸网络已经达到30万台以上,而拥有这些僵尸网络的黑客,则在网上明码标价租售,如果租用由5000台肉鸡组成的僵尸网络,租金就是5000元钱一次,而仅从出租买卖这些僵尸网络,黑客们每年就至少有上百万元的经济收益。
“目前的形势都是出租,就是说按照时间段和时间,还有数量这个来收费的。”
据黑客张透露,虽然“僵尸网络”在圈内十分走俏,但这些仅仅是黑客们牟利的一部分,真正能赚大钱的还是靠出卖一些网站的漏洞。
“特别就是说,操作系统的漏洞,服务器、Web服务器的漏洞等等,就是说他们这个都是明码标价的,而且价格都不菲。”
记者:“一个漏洞大概能卖多少钱?”
“几十万到几百万。”
然而,这样天价般的漏洞却不是一般黑客能找到的,而这样的漏洞,也因其强大的打击面和攻击性,让许多想打击竞争对手的商业用户趋之若鹜。
黑客张:“比如说我通过客户端这边访问网站的同时,利用一段精心处理的代码,可以在服务器上执行一段程序的,这种漏洞都是可以卖到天价的。”
黑客张介绍说,现在一些拥有高超技艺的黑客,已经把寻找大型网站的漏洞,当成了他们重要的生财之道。
“微软的漏洞的修补,他就算打过补丁之后,还会有新的漏洞出来,然后还有的公司就是说,专业去挖掘这些漏洞。”
对于网络黑客们的灰色收入,黑客张直言不讳地说,这是现在投入成本和违法成本最低,收入却最丰厚的黑色职业之一,黑客们一般都有一份正当的职业,作为一个稍有技术实力的网络黑客,他们的年收入大多在百万元以上。
“然后就是说如果有规模的、有组织的那种,他肯定是收入不菲,而且他不是只在国内做,他可能是国际性的。”
记者:“那种一年,就单个的,一年收入多少钱?”
“上百万,几千万,应该是没有问题。”
暴利背后的互联网黑色产业正在摧毁大众对网络经济的信任
黑客张刚才的讲述,让我们发现了一个现实世界中的黑客帝国,在这里,同样有巨大的利益诱惑,同样有疯狂敛财的黑幕,随着这条地下产业链逐步形成,黑客们的组织手段和攻击目标也不断升级,从盗取QQ号、Q币这种虚拟财产,开始转向直接攻击商业用户,不法黑客的危害正在日益显现,那我们能够容忍这样巧取豪夺的游戏规则吗?
据最新发布的《2007年上半年中?缒圆《疽咔榧盎チ??踩?ǜ妗分赋觯?刂?007年上半年,全国被感染的计算机已超过759万台,与去年同期相比增长了12.2%,其中被感染的计算机中,遭受过木马病毒攻击的更是高达91.35%。业内人士指出,现在黑客们制造木马、传播木马病毒,以及如何通过第三方平台销赃、洗钱等等,都有了明确分工。
傅盛:“他完全是一种叫做有社会分工的,有这个流水体系的,有上下级关系的这么一个系统吧。”
傅盛,北京一家互联网安全卫士小组的负责人,他告诉记者,在一些黑客团伙中,他们有人专门负责传播病毒,有人负责销售偷盗来的游戏装备等,还有人专门负责洗钱,同时,他们还与一些木马病毒和流氓软件等合作,互为攻守,以盗取QQ里游戏装备为例,黑客在盗取游戏装备之前,首先要去偷一个QQ号,而窃取QQ号的第一步,就是先买一个木马病毒,接着再把木马种植到被偷的机器当中。
“那么,我要有一款木马,这个木马在网上有非常非常多的人在销售,而且他会教你如何加隐藏壳,加壳的话,就是你那个受害人,用户受害人即使装了杀毒软件,他也查不出来。”
买到木马病毒这仅仅是第一步,接下来他们就开始大规模地把木马植入到无数的计算机里,而那些中木马病毒的电脑就全在黑客的控制之中,这样他们就可以肆意盗取别人电脑里的QQ号和其它重要资料。
“偷到手上以后,一般这些人他不会直接去做最底层的销售,他把这个QQ号然后进行打包销售,他要卖给下家,这个下家在网络上叫做信封,比如这个信封里面就放着1000个QQ号。”
据傅盛介绍,这些下家买到打包销售的QQ号后,他们接下来就开始拆包处理,把里面的QQ号进行分类整理后,再进行销售。
“有这种短QQ号,很挣钱的,那么我直接拿这种QQ号,叫靓号嘛,靓号就直接可以卖了,这种QQ号本身就可以拿出来卖钱。”
接着,这些下家就把剩下那些不值钱的QQ号,再捆绑打包后卖给其他下家,而另外下家,就利用这些QQ号上的好友资料,给他们群发虚假信息,骗取钱财。
“这消息有可能是说,我有急事了,你给我汇五十块钱吧,可能有的人都收到过,或者说是有个什么,我给你点了一首歌,你打这个电话拨一下,你就能听到,也就是说,最后一层是利用QQ的好友资源,实现一个木马的扩散,或一个盈利的扩散。”
而业内许多人士认为,那些盗取QQ号、窃取网银和游戏装备等,仅仅是黑客经济产业链中最底层的一环,现在黑客最容易获取暴利的还是制作木马和挖掘大型网站的漏洞,他们为获取更大利益,往往相互捆绑在一起,按照收入的比例分红和提成,此外,黑客之间合作牟利的方式还有很多。
知情者:“我就做一个能够生成木马的工具,然后靠出售这个工具来获利,有些人专门还开在网上开培训班,来教人怎么写木马程序,或怎么用木马这种工具,那这也可以获利,有些人他是控制这些,通过木马程序控制这些机器,这些机器俗称肉机,他可以把控制这些机器,叫出售肉机来获利。”
据业内资深专家估计,全国有80%-90%联网电脑,都是或者曾经是被网络黑客控制的机器,而其中大部分计算机主人对此都毫不知情,对于目前互联网黑色产业愈演愈烈的局势,国家计算机应急处理中心杜跃敬博士表示出极大的担忧,他认为互联网的黑色产业正在摧毁大众对网络经济的信任。
杜跃敬:“一个他们黑客现在掌握的资源非常多,因此他们的破坏力是非常强大的,这是一方面的特点,也就是说对方太强大;第二方面的特点,太猖狂,就说攻击者是明目张胆,肆无忌惮。”
杜跃敬博士告诉记者,目前全国网络安全形势十分严峻,大规模的网络攻击也越来越多,而对于网络犯罪的打击,却一直困难重重,按照目前我国《刑法》第285、286和287这3条法规来打击网络犯罪,实际上非常困难,首先,在互联网上取证难度很大,因为多数攻击是在机主不知情的情况下发动的,所以很难抓住元凶;其次,《刑法》规定的“重大经济损失”在互联网上很难认定;再有就是对打击网络犯罪的执法审批程序十分繁琐。
“就是虽然法律上已经有很多,但是还会有一些事件导致在法律具体运用的层面上,运用的时候呢,不是那么容易就能够适用一些特定的案例的,还是有一些法律上的空白。”
半小时观察
本来以为,《黑客帝国》只是一个存在于人们想象中的科幻故事。然而,当看到互联网上的这条黑客产业链渐渐成型的时候,我们突然发现,黑客帝国并不遥远,它正在威胁着我们的现实生活,它的危害一点不亚于电影中虚构的角色。
在虚拟的世界里,这些黑客就像穿着夜行衣、拿着利刃的盗贼。他们要么翻墙入室,溜门撬锁,要么明火执杖,打家劫舍,如同出入无人之境。现实世界的道德、法律,在他们面前反倒变得虚幻起来,只有巨额的不义之财才是唯一真实的存在。如果说,早期的黑客多少带着对网络技术的好奇,那如今这种职业黑客集团的出现,已经变成了一种纯粹的网络犯罪。
黑客在发起每一次攻击前,他们总是在寻找网络系统的漏洞,只有找到技术漏洞,他们才有下手的机会。但现在看来,最大的漏洞其实并不在网络和电脑技术上,而是在于我们的法律体系,还没有跟上黑客转型的脚步,面对种种花样翻新的作案手段还拿不出对应的惩罚措施。如何真正打败这些黑客,我们最需要的不是电影中身怀绝技的打斗高手,也不是天天升级的防火墙和杀毒软件,而是一套健全的法律体系。

Kaspersky互联网安全套装通用破解注册码

 
功能:
       处理KIS注册文件黑名单问题
       无限期使用KIS
[声明]:
       此工具仅适用于个人计算机紧急情况处理,
由此带来的版权问题,概不负责。

注意:使用期请选择默认的20年,不要太多,因为Kaspersky处理日期有问题,太大的日期它过敏

 

让Windows XP系统更安全的超级必杀技

大家使用Windows XP已经有很长一段时间了,对与Windows XP操作系统已经是非常熟悉了吧!有没有总结出一些的经验来与大家共享呢?下面笔者就把在使用Windows XP操作系统过程中积累的一些经验共享出来,也便能让你在使用Windows XP操作系统的过程中能快速上手。熟练的掌握XP的使用技巧就能更好的享受XP系统带给你的强大功能。

  1、恢复被破坏的Win XP系统文件

  如果Windows XP的系统文件被病毒或其它原因破坏了,我们可以从Windows XP的安装盘中恢复那些被破坏的文件。

  具体方法:在Windows XP的安装盘中搜索被破坏的文件,需要注意的是,文件名的最后一个字符用底线“_”代替,例如:如果要搜索“Notepad.exe”则需要用“Notepad.ex_”来进行搜索。

  搜索到了之后,打开命令行模式(在“运行”中输入“cmd”),然后输入:“EXPAND 源文件的完整路径 目标文件的完整路径”。例如:EXPAND D:SETUPNOTEPAD.EX_ C:WindowsNOTEPAD.EXE。有一点需要注意的是,如果路径中有空格的话,那么需要把路径用双引号(英文引号)包括起来。

  找到当然是最好的,但有时我们在Windows XP盘中搜索的时候找不到我们需要的文件。产生这种情况的一个原因是要找的文件是在“CAB”文件中。由于Windows XP把“CAB”当作一个文件夹,所以对于Windows XP系统来说,只需要把“CAB”文件右拖然后复制到相应目录即可。

  如果使用的是其他Windows平台,搜索到包含目标文件名的“CAB”文件。然后打开命令行模式,输入:“EXTRACT /L 目标位置 CAB文件的完整路径”,例如:EXTRACT /L C:Windows D:I386Driver.cab Notepad.exe。同前面一样,如同路径中有空格的话,则需要用双引号把路径包括起来。   

  2、拒绝“分组相似任务栏”

  虽然Windows XP “分组相似任务栏按钮”设置虽然可以让你的任务栏少开窗口,保持干净,但对于一些需要打开同类多个窗口的工作非常不便,。如你是经常用QQ这样的通讯软件和人在线聊天的话,如果有两个以上的好友同时和你交谈,你马上会感到XP这种默认设置造成的不便 D D每次你想切换交谈对象的时候,要先点击组,然后弹出的菜单里再选要交谈的好友,而且每个好友在组里显示的都是一样的图标,谈话对象多的时候,你可能要一个个的点击来看到底刚才是谁回复了话,在等着你反应,而且选错了一个,又得从组开始选,很麻烦。显然地,这样不如原来的开出几个窗口,在任务栏里的各个小窗口点击一次就可进行开始聊天。更改方法:点击“开始→控制面板→外观和主题→任务栏和‘开始’菜单”,在弹出的窗口内,将“分组相似任务栏按钮”选项前面的钩去掉。

  3、通过注册表卸载无用的动态链接

  资源管理器经常在内存中留下无用的动态链接,为了消除这种现象,你可以打开注册表编辑器,设置键值:HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows

CurrentVersionEXPlorerAlwaysUnloadDLL=DWORD: 1将其设为0,这一功能就会被关闭。注意:为了让设置生效,需要重新启动计算机。

  4、清除prefetch文件夹中的预读文件

  当Win XP使用一段时间后,预读文件夹里的文件会变得很大,里面会有死链文件,这会减慢系统时间。建议:定期删除这些文件。(Windowsprefetch)   

  5、Windows XP减肥法

  以下方法为本人目前的winXP的减肥法,经过使用,觉得比较安全,效果明显,至少可以减少300m空间。注意:不建议初学者使用。

  删除驱动备份: WindowsDriver cachei386目录下的Driver.cab文件(73MB) 但是以后我们每次安装新硬件时必须插入Windows的安装光盘。

  删除系统文件备份(一般不怎么用到的): 运行命令行sfc /purgecache

  删掉备用的dll文件:只要你拷贝了安装文件或者有安装光盘,可以这样做。Windowssystem32dllcache下文件(减去200——300mb)。

  6、了解Win XP启动时间

  尽管Windows XP的启动速度已经能让我们感到满意了,但微软仍然为我们提供了一款用于了解的Windows XP启动时具体所消耗启动时间的小工具,以及查看CPU的使用率、Disk I/O等等,由于该工具用图形的方式显示出来,因此一目了然。工具可到此处下载。

  7、恢复EXE文件关联

  EXE文件关联出错非常的麻烦,因为这种情况的出现多是由于病毒引起的,而杀毒软件的主文件都是EXE文件,既然EXE文件关联出错,又怎能运行得了杀毒软件呢?还好XP提供了安全模式下的命令行工具供我们使用,可以利用命令行工具来解决这个问题。

  在安全模式下输入:assoc<空格 >.exe=exefile<回车>,屏幕上将显示“.exe=exefile”。现在关闭命令提示符窗口,按Ctrl+Alt+Del组合键调出“Windows安全”窗口,按“关机”按钮后选择“重新启动”选项,按正常模式启动Windows后,所有的EXE文件都能正常运行了!

  8、让Win XP能自动更新

  当Windows 有了更新时,自动更新系统会提示你进行Windows的升级工作,当然这项功能会在上网之后才会有真正的效果。有一点可以肯定的就是,要想实现自动更新,系统必定会收集用户的电脑信息,然后传送到微软站点,通过反馈信息来决定是否要进行升级工作。这项设置也是在“系统属性”窗口,切换到“自动更新”选项卡可以看到这里有三个选择,选了最后一个“关闭自动更新”,这样系统就不会出现经常提示你进行自动更新了,如果你没用正版的Windows XP操作系统,建议你关闭此功能,因为他可能会让你在不知道的情况就把系统升级至Windows XP SP2版,这样会造成系统的不稳定。

  9、在Home版中安装IIS

  大家知道,Windows XP Home版不能安装IIS或者PWS。按照一般的方法,你只能升级到XP Professional或者使用Windows 2000,不过只要略使手段,你就可以在Windows XP Home上安装IIS了。

  首先在“开始”菜单的“运行”中输入“c:\Windows\inf\sysoc.inf”,系统会自动使用记事本打开sysoc.inf这个文件。在sysoc.inf中找到“[Components]”这一段,并继续找到类似“iis=iis.dll,OcEntry,iis.inf,hide,7”的一行字,把这一行替换为“iis=iis2.dll,OcEntry,iis2.inf,,7”。之后保存并关闭。

  把Windows 2000 Professional的光盘插入光驱,同时按下Shift键禁止光驱的自动运行。在运行中输入“CMD”然后回车,打开命令行模式,在命令行下输入下列的两条命令,在每一行命令结束后回车(假设光驱是D盘):

  EXPand d:\i386\iis.dl_ c:\Windows\system32\setup\iis2.dll

  EXPand d:\i386\iis.in_ c:\Windows\inf\iis2.inf

  这时,打开你的控制面板,并点击“添加删除程序”图标,之后点击“添加删除Windows组件”。

  请仔细看,在“开始”菜单中显示的操作系统是Windows XP Home,但是经过修改,已经有了添加IIS的选项了。

  然后你可以按照在Windows XP Professional或者Windows 2000中的方法添加IIS,在本例中我们只安装了WWW服务。系统会开始复制文件,这需要一些时间。并且在这起见,请保持Windows 2000 Professional的光盘还在光驱中。

  在安装结束后,你可以打开“控制面板→性能和选项→管理工具”,“Internet信息服务管理”已经出现在那里。

  如果你想要验证IIS是否运行正常,而已打开IE,在地址栏中输入“http://localhost”然后回车,如果能看到图三的界面,那么你的IIS就全部正常运行了。

  最后还有一点注意的:如果你在安装过程中,系统需要你插入Window Whistler CD或者需要你提供exch_adsiisex.dll这个文件,那是因为你按照默认的选项安装了IIS。要解决这个问题,只要在安装IIS的时候先点击“详细信息”,然后取消对SMTP的选择(即不要安装SMTP服务器),那么复制文件的时候就不会需要那两个文件了。

  如果在你安装的到图1的位置后发现,已经显示了Internet信息服务(IIS)的安装项目,但是它们根本无法被选中,那很可能因为你使用的iis.dl_和iis.in_是从Windows XP Professional中取出的,只要换成Windows 2000 Professional中的就可以继续正常安装了。

  经过验证,WWW、FTP等几个服务经过这样的修改都可以在Windows XP Home上正常运行。