|
众所周知,远程终端服务基于端口3389。入侵者一般先扫描主机开放端口,一旦发现其开放了3389端口,就会进行下一步的入侵,所以我们只需要修改该务默认端口就可以避开大多数入侵者的耳目。
步骤:打开“开始→运行”,输入“regedit”,打开注册表,进入以下路径:[HKEY_LOCAL_MACHINE\SYSTEM\
CurrentControlSet\Control\Terminal Server\
Wds\rdpwd\Tds\tcp],看见PortNamber值了吗?其默认值是3389,修改成所希望的端口即可,例如6111。
再打开[HKEY_LOCAL_MACHINE\
SYSTEM\CurrentContro1Set\Control\Tenninal Server\WinStations\RDP\Tcp],将PortNumber的值(默认是3389)修改成端口6111。
重新启动服务器后立即生效。
主题:服务器防黑安全设置
测试环境:Windows 2003 系统
今天是2008年05月15日
前言:
使用NTFS格式分区
把硬盘的所有分区都改成NTFS格式。NTFS文件系统要比FAT,FAT32的文件系统安全得多。这点不必多说,想必大家得服务器都已经是NTFS的了。
C盘转换为NTFS格式
@ ECHO OFF
@ ECHO.
@ ECHO. 说 明
@ ECHO ---------------------------------------------------------------
@ ECHO NTFS格式是WinXP推荐使用的格式。转换为NTFS格式能提高硬盘存储的
@ ECHO 效率,并可设置访问权限以保护文件。但NTFS格式的分区在DOS/WIN9X
@ ECHO 下均不能被识别,可能会给初级用户造成不便。如无必要请不要转换。
@ ECHO ---------------------------------------------------------------
@ ECHO.
pause
convert c:/fs:ntfs
新建一个记事本
然后复制上面的命令并粘贴到记事本里去
然后重命名为*.bat即可,运行批处理,重启电脑后生效,重启后电脑就会变成NTFS格式。
通过以上的批处理,就可以把你的系统转换成NTFS格式。
这里我就不多说了
NTFS权限设置,请记住分区的时候把所有的硬盘都分为NTFS分区,然后我们可以确定每个分区对每个用户开放的权限。【文件(夹)上右键→属性→安全】在这里管理NTFS文件(夹)权限。
关于系统安全,我这里先给大家讲解计算机端口的安全
为了让你的系统变为铜墙铁壁,应该封闭这些端口,主要有:TCP 135、139、445、593、1025 端口和 UDP 135、137、138、445 端口,一些流行病毒的后门端口(如 TCP 2745、3127、6129 端口),以及远程服务访问端口3389。
教程不做语音了,大家认真看我的操作吧
首先要看看你的电脑打开135,139,445的端口没有,运行--CMD--输入netstat -an就可以看到。
开始菜单,运行,输入cmd,然后再输入netstat -an
这样可以查看本机所有开放的端口以后监听的Ip等信息。
1、netstat 的一些常用选项
·netstat –s
本选项能够按照各个协议分别显示其统计数据。如果我们的应用程序(如Web浏览器)运行速度比较慢,或者不能显示Web页之类的数据,那么我们就可以用本选项来查看一下所显示的信息。我们需要仔细查看统计数据的各行,找到出错的关键字,进而确定问题所在。
·netstat –e
本选项用于显示关于以太网的统计数据。它列出的项目包括传送的数据报的总字节数、错误数、删除数、数据报的数量和广播的数量。这些统计数据既有发送的数据报数量,也有接收的数据报数量。这个选项可以用来统计一些基本的网络流量)。
·netstat –r
本选项可以显示关于路由表的信息,类似于后面所讲使用route print命令时看到的 信息。除了显示有效路由外,还显示当前有效的连接。
·netstat –a
本选项显示一个所有的有效连接信息列表,包括已建立的连接(ESTABLISHED),也包括监听连接请求(LISTENING)的那些连接。
·netstat –n
显示所有已建立的有效连接。
135端口的打开方法:启动“Distributed Transaction Coordinator”服务,运行dcomcnfg,
展开“组件服务”→“计算机”,在“我的电脑”上点右键选“属性”,切换到“默认属性”,
打勾“启用分布式COM”;然后切换到“默认协议”,添加“面向连接的TCP/IP”。
139端口的打开方法:网上邻居--属性--本地连接--属性--Internet协议(TCP/IP)--高级--WINS;
如果你填写了本地连接的IP,你就启动TCP/IP上的NetBIOS。
如果你没有填写本地连接的IP,在NETBIOS设置里面选默认。
445端口的打开方法:开始-运行输入regedit.确定后定位到
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NetBT\Parameters
删除“SMBDeviceEnabled”的DWORD值。
下面说一下常见的漏洞的端口如何关闭:
1.关闭139端口:右击网上邻居--属性--右击本地连接--属性--internet协议/(TCP/IP)--属性--高级--WINS--禁用TCP/IP上的NETBIOS--确定。
2.右击-网上邻居-属性/本地连接-属性,在microsoft网络客户端前的小勾去掉。接着也把microsoft网络的文件和打印机共享的小勾也去掉。
3.关闭445端口:打开注册表编辑器,在[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NetBT\Parameters]下增加一个dword键项,命名为"SmbDeviceEnabled"(不包含引号),将值设为0。
重启电脑之后,445就关闭了。
4。关闭3389端口:右击我的电脑,点属性--远程,把允许从这台计算机发送远程协助邀请前的勾去掉。
5。关闭135端口:
如何关闭135端口
Windows XP系统
运行dcomcnfg,展开“组件服务”→“计算机”,在“我的电脑”上点右键选“属性”,切换到“默认属性”,取消“启用分布式COM”;然后切换到“默认协议”,删除“面向连接的TCP/IP”。
以上选项有对应的注册表键值,因此也可通过注册表来修改:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Ole\EnableDCOM的值改为“N”
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Rpc\DCOM Protocols 中删除“ncacn_ip_tcp”
此外,还需要停用“Distributed Transaction Coordinator”服务。
重启之后, 135端口就没有了。
大多数的系统重装后,都会开放135、445、139等
第一:安装补丁
服务器安装好操作系统之后,最好能在托管之前就完成补丁的安装,系统补丁打好,虽然不升级漏洞不一定会被别人利用,但升级一下总有好处。
第二:杀毒软件要装好
不要指望杀毒软件杀掉所有的木马,因为ASP木马的特征是可以通过一定手段来避开杀毒软件的查杀。
免杀的马当然可以过杀毒软件,所以说杀毒软件也不是万能的。
第三:注意你所使用的程序要注意升级
打上网上一些服务器安全补丁,关闭一些有害端口,修改一些有用端口,还要装上一些辅助防毒软件。这里我推荐使用几个工具:
1、关闭一些经常被黑客利用入侵的端口;
2、3389默认端口修改,把远程桌面改一个不常用的靠后的端口,别人就是扫描也要一段时间;
3、在局域网中隐藏计算机,还有一些东西你自己看着用;
4、360安全卫士,保护全部打开,还要注意设好arp防火墙,要手动设置网关mac和ip,如果真的有不懂的人,cmd下arp -a,你就可以查到网关。这个东西对arp挂马有很好好的效果;
现在讲讲基于Windows的tcp/ip的过滤。
控制面板——网络和拨号连接——本地连接——INTERNET协议(tcp/ip)--属性--高级---选项-tcp/ip筛选--属性!!
然后添加需要的tcp 和UDP端口就可以了~如果对端口不是很了解的话,不要轻易进行过滤,不然可能会导致一些程序无法使用。
只添加80,21,3389
修改之后,重启生效。
==服务器正在重启。。。
虽然在命令下查看到有些端口仍然开放着,但是刚才的设置已经生效了,你不相信的话,可以用扫描工具扫描一下
如果怀疑安全性,不防可以先手动关掉这些危险的端口,前面已经有文字说明了,大家可以按照前面说的做
这里节约时间就不多说了
权限设置
磁盘权限
系统盘及所有磁盘只给 Administrators 组和 SYSTEM 的完全控制权限
系统盘\Documents and Settings 目录只给 Administrators 组和 SYSTEM 的完全控制权限
系统盘\Documents and Settings\All Users 目录只给 Administrators 组和 SYSTEM 的完全控制权限
接着刚才做,刚才我的网络有问题,不好意思。
系统盘\Inetpub 目录及下面所有目录、文件只给 Administrators 组和 SYSTEM 的完全控制权限
系统盘\Windows\System32\cacls.exe、cmd.exe、net.exe、net1.exe 文件只给 Administrators 组和 SYSTEM 的完全控制权限
禁用不必要的服务
开始菜单—>管理工具—>服务
Print Spooler
Remote Registry
TCP/IP NetBIOS Helper
Server
以上是在Windows Server 2003 系统上面默认启动的服务中禁用的,默认禁用的服务如没特别需要的话不要启动。
改名或卸载不安全组件
卸载最不安全的组件
最简单的办法是直接卸载后删除相应的程序文件。将下面的代码保存为一个.BAT文件
regsvr32/u C:\WINDOWS\System32\wshom.ocx
del C:\WINDOWS\System32\wshom.ocx
regsvr32/u C:\WINDOWS\system32\shell32.dll |