时间:2010-08-14 | 栏目:电脑技巧 | 点击:次
陆陆续续谈微软漏洞的文章越来越多了,但是相对的安全技巧和配置的却很久没有见过朋友们发,SO,今天慕容总结一下POST出来,希望大家可以一起来完善这份TIPS,让我们的系统更加安全和稳定。
1.解除NetBios与TCP/IP协议的绑定
说明:NetBois在局域网内是不可缺少的功能,在网站服务器上却成了黑客扫描工具的首选目标。方法:NT:控制面版——网络——绑定——NetBios接口——禁用 2000:控制面版——网络和拨号连接——本地网络——属性——TCP/IP——属性——高级——WINS——禁用TCP/IP上的NETBIOS
2.删除所有的网络共享资源,在网络连接的设置中删除文件和打印共享,只留下TCP/IP协议
说明:NT与2000在默认情况下有不少网络共享资源,在局域网内对网络管理和网络通讯有用,在网站服务器上同样是一个特大的安全隐患。(卸载"Microsoft 网络的文件和打印机共享"。当查看"网络和拨号连接"中的任何连接属性时,将显示该选项。单击"卸载"按钮删除该组件;清除"Microsoft 网络的文件和打印机共享"复选框将不起作用。)
默认情况下IPC$每次开机都会启动,在开始菜单---启动里加一个bat东东啦:我加了2种方法,有时候默认从1 开始的方法失败的很。
@echo off
:Rem 检查参数
if {%1}=={} goto :Usage
:Rem 程序主体
echo.
echo ------------------------------------------------------
echo
echo 删除当前的系统共享目录
echo
:Usage
net share %1$ /delete
net share %2$ /delete
net share %3$ /delete
net share %4$ /delete
net share %5$ /delete
net share %6$ /delete
net share %7$ /delete
net share %8$ /delete
net share %9$ /delete
net share admin$ /del
net share ipc$ /del
net share c$ /del
net share d$ /del
net share e$ /del
net share f$ /del
net share g$ /del
net share h$ /del
net share i$ /del
echo
echo 共享目录全部删除完毕
echo
echo ------------------------------------------------------
echo
echo 修改注册表项,修改系统默认共享属性
echo
echo 生成 delshare.reg 准备修改注册表
echo Windows Registry Editor Version 5.00> c:\delshare.reg
echo [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters]>> c:\delshare.reg
echo "AutoShareWks"=dword:00000000>> c:\delshare.reg
echo "AutoShareServer"=dword:00000000>> c:\delshare.reg
echo 运行 delshare.reg 修改注册表
regedit /s c:\delshare.reg
echo 删除 delshare.reg 临时文件
del c:\delshare.reg
goto :END
echo
echo ------------------------------------------------------
echo
echo Windows NT/2000 系统默认共享清除工具,成功完成清除工作
echo
echo 作者:swap
echo 主页:
echo 请先关闭安全策略中安全选项:sam枚举(对匿名连接的额外限制)
echo ------------------------------------------------------
echo
:EOF
?3.使用ACCESS来为数据库文件编码及加密。首先在选取 "工具->安全->加密/解密数据库,选取数据库(如:data.mdb),然后接确定,接着会出现 "数据库加密后另存为"的窗口,存为:data1.mdb。 接着employer.mdb就会被编码,然后存为data1.mdb
说明:很多中小型网站的后台数据库都使用了access,但是常因为路径或者其他信息泄露而被入侵者搞到,并且多数时候密码均为明文(傻子也会复制粘贴啦)
外一种复杂点的方案,禁止匿名获得用户名列表
Win2000的默认安装允许任何用户通过空用户得到系统所有账号/共享列表,这个本来是为了方便局域网用户共享文件的,但是一个远程用户也可以得到你的用户列表并使用暴力法破解用户密码。很多朋友都知道可以通过更改注册表Local_Machine\System\CurrentControlSet\Control\LSA-RestrictAnonymous = 1来禁止139空连接,实际上win2000的本地安全策略(如果是域服务器就是在域服务器安全和域安全策略中)就有这样的选项RestrictAnonymous(匿名连接的额外限制),这个选项有三个值: 0:None. Rely on default permissions(无,取决于默认的权限 1 :Do not allow enumeration of SAM accounts and shares(不允许枚举SAM帐号和共享) 2:No access without explicit anonymous permissions(没有显式匿名权限就不允许访问) 0这个值是系统默认的,什么限制都没有,远程用户可以知道你机器上所有的账号、组信息、共享目录、网络传输列表(NetServerTransportEnum等等,对服务器来说这样的设置非常危险。 1这个值是只允许非NULL用户存取SAM账号信息和共享信息。 2这个值是在win2000中才支持的,需要注意的是,如果你一旦使用了这个值,你的共享估计就全部完蛋了,所以我推荐你还是设为1比较好。 好了,入侵者现在没有办法拿到我们的用户列表,我们的账户安全了
4.禁止显示上次登陆的用户名HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\winlogon项中的Don’t Display Last User Name串数据改成1,这样系统不会自动显示上次的登录用户名。将服务器注册表HKEY_LOCAL_ MACHINE\SOFTWARE\Microsoft\