WindowsServer2008系統(tǒng)安全配置大全

1、Windows 2008服務(wù)器 安全設(shè)置 技術(shù)實例目錄Windows 2008服務(wù)器 安全設(shè)置 技術(shù)實例1一、 服務(wù)器安全設(shè)置之-硬盤權(quán)限篇1二、 服務(wù)器安全設(shè)置之-系統(tǒng)服務(wù)篇(設(shè)置完畢需要重新啟動)13三、 服務(wù)器安全設(shè)置之-組件安全設(shè)置篇18四、 服務(wù)器安全設(shè)置之-本地安全策略設(shè)置 （重要）20A、 帳戶策略>密碼策略20B、 帳戶策略>帳戶鎖定策略20D、 本地策略>用戶權(quán)限分配21E、 本地策略>安全選項21五、 服務(wù)器安全設(shè)置之-本地安全策略-IP安全策略21六、 服務(wù)器安全設(shè)置之-高級安全windows防火墻(掌握好很重要)23七、 服務(wù)器安全設(shè)置之-本地安

2、全策略-高級審核策略配置24a. 系統(tǒng)審核策略>帳戶登錄25b. 系統(tǒng)審核策略>帳戶管理25c. 系統(tǒng)審核策略>詳細跟蹤25d. 系統(tǒng)審核策略>DS訪問25e. 系統(tǒng)審核策略>登陸/注銷25f. 系統(tǒng)審核策略>對象訪問25g. 系統(tǒng)審核策略>策略更改25h. 系統(tǒng)審核策略>特權(quán)使用26八、 服務(wù)器安全設(shè)置之-遠程桌面服務(wù)策略26九、 服務(wù)器安全設(shè)置之-組策略配置（掌握好很重要）26十、 服務(wù)器安全設(shè)置之-用戶安全設(shè)置 28十一、 選配防御PHP木馬攻擊的技巧301、 服務(wù)器安全設(shè)置之-硬盤權(quán)限篇這里著重談需要的權(quán)限，也就是最終文件夾或硬盤需要的權(quán)

3、限，可以防御各種木馬入侵，提權(quán)攻擊，跨站攻擊等。本實例經(jīng)過多次試驗，安全性能很好，服務(wù)器基本沒有被木馬威脅的擔憂了（注：紅色背景為主要審查配置對象）。 硬盤或文件夾: C: D: E: F: 類推 主要權(quán)限部分：其他權(quán)限部分：Administrators完全控制無如果安裝了其他運行環(huán)境，比如PHP等，則根據(jù)PHP的環(huán)境功能要求來設(shè)置 硬盤權(quán)限，一般是安裝目錄加上users讀取運行權(quán)限就足夠了，比如c:php的話，就在根目錄權(quán)限繼承的情況下加上users讀取運行權(quán)限，需要寫入數(shù) 據(jù)的比如tmp文件夾，則把users的寫刪權(quán)限加上，運行權(quán)限不要，然后把虛擬主機用戶的讀權(quán)限拒絕即可。如果是mysql

4、的話，用一個獨立用戶運行 MYSQL會更安全，下面會有介紹。如果是winwebmail，則最好建立獨立的應(yīng)用程序池和獨立IIS用戶，然后整個安裝目錄有users用戶的讀/ 運行/寫/權(quán)限，IIS用戶則相同，這個IIS用戶就只用在winwebmail的WEB訪問中，其他IIS站點切勿使用，安裝了winwebmail的 服務(wù)器硬盤權(quán)限設(shè)置后面舉例該文件夾，子文件夾及文件 <不是繼承的>SYSTEM完全控制該文件夾，子文件夾及文件<不是繼承的>硬盤或文件夾: C:Inetpub 主要權(quán)限部分：其他權(quán)限部分：Administrators完全控制無該文件夾，子文件夾及文

5、件 <繼承于c:>CREATOR OWNER完全控制只有子文件夾及文件<繼承于c:>SYSTEM完全控制該文件夾，子文件夾及文件<繼承于c:>硬盤或文件夾: C:Inetpub/temp主要權(quán)限部分：其他權(quán)限部分：Administrators完全控制Users讀取，讀取和執(zhí)行該文件夾，子文件夾及文件該文件夾，子文件夾及文件 <不是繼承的><不是繼承的>SYSTEM完全控制該文件夾，子文件夾及文件<不是繼承的>硬盤或文件夾: C:Inetpub/wwwroot 主要權(quán)限部分：其他權(quán)限部分：Administ

6、rators完全控制IIS_IUSR讀取運行/列出文件夾目錄/讀取該文件夾，子文件夾及文件該文件夾，子文件夾及文件 <不是繼承的><不是繼承的>SYSTEM完全控制Users讀取運行/列出文件夾目錄/讀取該文件夾，子文件夾及文件該文件夾，子文件夾及文件<不是繼承的><不是繼承的>硬盤或文件夾: C:Inetpub/wwwroot/aspnet_client 主要權(quán)限部分：其他權(quán)限部分：Administrators完全控制Users讀取該文件夾，子文件夾及文件該文件夾，子文件夾及文件 <不是繼承的><不是繼承的

7、>SYSTEM完全控制 該文件夾，子文件夾及文件<不是繼承的>硬盤或文件夾: C:Users 主要權(quán)限部分：其他權(quán)限部分：Administrators完全控制Users讀取和運行(包括列出文件夾內(nèi)容，讀取權(quán)限)，USERS組的權(quán)限僅僅限制于讀取和運行，絕對不能加上寫入權(quán)限該文件夾，子文件夾及文件該文件夾，子文件夾及文件 <不是繼承的><不是繼承的>SYSTEM完全控制該文件夾，子文件夾及文件<不是繼承的>硬盤或文件夾: C:Users/Administrator 主要權(quán)限部分：其他權(quán)限部分：Administrators完

8、全控制Administrator完全控制該文件夾，子文件夾及文件該文件夾，子文件夾及文件 <不是繼承的><不是繼承的>SYSTEM完全控制該文件夾，子文件夾及文件<不是繼承的>硬盤或文件夾: C:Users/DefaultC:UsersDefaultAppDataRoaming主要權(quán)限部分：其他權(quán)限部分：Administrators完全控制Users讀取和運行該文件夾，子文件夾及文件該文件夾，子文件夾及文件 <不是繼承的><繼承上一級文件夾>SYSTEM完全控制USERS組的權(quán)限僅僅限制于讀取和運行，絕對不能加上寫

9、入權(quán)限該文件夾，子文件夾及文件<不是繼承的>硬盤或文件夾: C:UsersDefaultAppDataRoamingMicrosoftWindows開始菜單 主要權(quán)限部分：其他權(quán)限部分：Administrators完全控制Users讀取和運行該文件夾，子文件夾及文件該文件夾，子文件夾及文件 <不是繼承的><不是繼承的>SYSTEM完全控制隱藏，只讀該文件夾，子文件夾及文件<不是繼承的>硬盤或文件夾: C:UsersAdministratorAppData主要權(quán)限部分：其他權(quán)限部分：Administrators完全控制Users讀取和運行

10、該文件夾，子文件夾及文件該文件夾，子文件夾及文件 <不是繼承的><不是繼承的>SYSTEM完全控制 該文件夾，子文件夾及文件 <不是繼承的>硬盤或文件夾: C:UsersDefaultAppData 主要權(quán)限部分：其他權(quán)限部分：Administrators完全控制Users讀取和運行該文件夾，子文件夾及文件該文件夾，子文件夾及文件 <不是繼承的><不是繼承的>SYSTEM完全控制隱藏，只讀 該文件夾，子文件夾及文件 <不是繼承的>硬盤或文件夾: C:UsersDe

11、faultDownloadsC:UsersDefaultDocuments主要權(quán)限部分：其他權(quán)限部分：Administrators完全控制Users讀取和運行該文件夾，子文件夾及文件該文件夾，子文件夾及文件 <繼承于上一級文件夾><繼承上一級目錄>SYSTEM完全控制只讀 該文件夾，子文件夾及文件 <繼承于上一級文件夾>硬盤或文件夾: C:UsersAdministratorAppDataRoamingC:UsersAdministratorAppDataLocal主要權(quán)限部分：其他權(quán)限部分：Administrators完全控制

12、該文件夾，子文件夾及文件 <繼承于上一級文件夾>Administrator完全控制該文件夾，子文件夾及文件<繼承于上一級文件夾>SYSTEM完全控制 該文件夾，子文件夾及文件 <繼承于上一級文件夾>硬盤或文件夾: C:UsersDefaultAppDataLocalTemp 主要權(quán)限部分：其他權(quán)限部分：Administrators完全控制Users讀取和運行該文件夾，子文件夾及文件該文件夾，子文件夾及文件 <繼承上一級文件夾><繼承上一級目錄>SYSTEM完全控制只讀 該文件夾，子文件

13、夾及文件 <繼承上一級文件夾>硬盤或文件夾: C:UsersAdministratorAppDataLocalTemp 主要權(quán)限部分：其他權(quán)限部分：Administrators完全控制該文件夾，子文件夾及文件 <繼承上一級文件夾>Administrator完全控制該文件夾，子文件夾及文件<繼承于上一級文件夾>SYSTEM完全控制 該文件夾，子文件夾及文件 <繼承上一級文件夾>硬盤或文件夾: C:UsersDefaultAppDataRoamingMicrosoft 主要權(quán)限部分：其他權(quán)限部分：Adminis

14、trators完全控制Users讀取和運行該文件夾，子文件夾及文件該文件夾，子文件夾及文件 <繼承上一級文件夾><繼承上一級文件夾>SYSTEM完全控制此文件夾包含 Microsoft 應(yīng)用程序狀態(tài)數(shù)據(jù)，系統(tǒng)默認權(quán)限即可。該文件夾，子文件夾及文件<繼承上一級文件夾>硬盤或文件夾: C:UsersAdministratorAppDataRoamingMicrosoftCryptoRSAC:UsersAdministratorAppDataRoamingMicrosoftCrypto主要權(quán)限部分：其他權(quán)限部分：Administrators完全控制存在a

15、dministrator管理員權(quán)限，不用理會。該文件夾，子文件夾及文件 <繼承上一級文件夾>SYSTEM完全控制 該文件夾，子文件夾及文件 <繼承上一級文件夾>硬盤或文件夾: C:UsersAdministratorAppDataRoamingMicrosoftHTML Help 主要權(quán)限部分：其他權(quán)限部分：Administrators完全控制Administrator完全控制該文件夾，子文件夾及文件該文件夾，子文件夾及文件 <繼承上一級文件夾><繼承上一級文件夾>SYSTEM完全控制該文件夾，子文件夾及文

16、件<繼承上一級文件夾>硬盤或文件夾: C:UsersDefaultAppDataRoamingMicrosoftWindowsNetwork Shortcuts主要權(quán)限部分：其他權(quán)限部分：Administrators完全控制Users讀取和運行該文件夾，子文件夾及文件該文件夾，子文件夾及文件 <繼承上一級文件夾><繼承于上一級文件夾>SYSTEM完全控制該文件夾，子文件夾及文件<繼承上一級文件夾>硬盤或文件夾: C:WindowsMedia 主要權(quán)限部分：其他權(quán)限部分：Administrators完全控制Users讀取和運行該文件夾，子

17、文件夾及文件該文件夾，子文件夾及文件 <不是繼承的><繼承于上一級文件夾>SYSTEM完全控制該文件夾，子文件夾及文件<不是繼承的>硬盤或文件夾: C:WindowsC:Program FilesC:Program Files (x86)C:Program FilesCommon FilesC:Program FilesWindows NTC:Program Files (x86)Windows NTC:Program Files (x86)Common FilesC:Program Files (x86)Windows NTAccessories

18、C:Program FilesWindows NTAccessoriesC:Program FilesCommon FilesMicrosoft SharedC:Program Files (x86)Common FilesMicrosoft Shared主要權(quán)限部分：其他權(quán)限部分：Administrators特殊權(quán)限完全控制Users讀取和運行只有該文件夾子文件夾及文件該文件夾，子文件夾及文件 <不是繼承的><不是繼承的><不是繼承的>CREATOR OWNER特殊權(quán)限后續(xù)子文件夾均為繼承父目錄只有該文件夾<不是繼承的>SYSTEM特

19、殊權(quán)限完全控制 只有該文件夾子文件夾及文件 <不是繼承的><不是繼承的>硬盤或文件夾: C:Program FilesMicrosoft SQL ServerMSSQL 主要權(quán)限部分：其他權(quán)限部分：Administrators完全控制Users讀取和運行該文件夾，子文件夾及文件該文件夾，子文件夾及文件<繼承于上一級文件夾><繼承于上一級文件夾>SYSTEM完全控制該文件夾，子文件夾及文件<繼承于上一級文件夾>硬盤或文件夾: E:Program FilesMicrosoft SQL Server E:Program

20、FilesMicrosoft SQL ServerMSSQL(數(shù)據(jù)庫部分裝在E：盤的情況) 主要權(quán)限部分：其他權(quán)限部分：Administrators完全控制Users讀取和運行該文件夾，子文件夾及文件該文件夾，子文件夾及文件<繼承于上一級文件夾><繼承于上一級文件夾>CREATOR OWNER完全控制只有子文件夾及文件<不是繼承的>SYSTEM完全控制 該文件夾，子文件夾及文件<繼承于上一級文件夾>硬盤或文件夾: C:Program FilesInternet Exploreriexplore.exeC:Program Files (x

21、86)Internet Exploreriexplore.exe主要權(quán)限部分：其他權(quán)限部分：Administrators讀取和執(zhí)行，讀取Users讀取和執(zhí)行，讀取該文件夾，子文件夾及文件該文件夾，子文件夾及文件<繼承于上一級文件夾><繼承于上一級文件夾>SYSTEM讀取和執(zhí)行，讀取 該文件夾，子文件夾及文件<繼承于上一級文件夾>硬盤或文件夾: C:WindowsTemp 主要權(quán)限部分：其他權(quán)限部分：Administrators完全控制Users列出文件夾/讀取數(shù)據(jù)該文件夾，子文件夾及文件該文件夾，子文件夾及文件 <不是繼承的>

22、<不是繼承的>CREATOR OWNER完全控制IIS_IUSR（如果服務(wù)器存在IIS或其他應(yīng)用服務(wù)，給予相應(yīng)的讀取權(quán)限）列出文件夾/讀取數(shù)據(jù) 只有子文件夾及文件該文件夾，子文件夾及文件<不是繼承的><不是繼承的>SYSTEM完全控制 該文件夾，子文件夾及文件 <不是繼承的>硬盤或文件夾: C:WINDOWS/system32 主要權(quán)限部分：其他權(quán)限部分：Administrators完全控制Users讀取和運行該文件夾，子文件夾及文件該文件夾，子文件夾及文件 <不是繼承的><不是繼承的>CRE

23、ATOR OWNER完全控制只有子文件夾及文件<不是繼承的>SYSTEM完全控制 該文件夾，子文件夾及文件 <不是繼承的>硬盤或文件夾: C:WINDOWS/system32/config 主要權(quán)限部分：其他權(quán)限部分：Administrators完全控制該文件夾，子文件夾及文件 <不是繼承的>CREATOR OWNER完全控制只有子文件夾及文件<不是繼承的>SYSTEM完全控制 該文件夾，子文件夾及文件 <不是繼承的>硬盤或文件夾: C:WINDOWS/system32/inetsrv

24、 主要權(quán)限部分：其他權(quán)限部分：Administrators完全控制Users讀取和運行該文件夾，子文件夾及文件該文件夾，子文件夾及文件 <不是繼承的><不是繼承的>CREATOR OWNER完全控制只有子文件夾及文件<不是繼承的>SYSTEM完全控制 該文件夾，子文件夾及文件 <不是繼承的>注：其他應(yīng)用程序相關(guān)權(quán)限，除主要的權(quán)限訪問繼承上一級文件夾以外，需對指定的文件夾或文件進行單獨的權(quán)限設(shè)置，規(guī)則按最小權(quán)限給予。2、 服務(wù)器安全設(shè)置之-系統(tǒng)服務(wù)篇(設(shè)置完畢需要重新啟動) *除非特殊情況非開不可，下列系統(tǒng)服務(wù)要停止并

25、禁用： Application Layer Gateway Service服務(wù)名稱:ALG顯示名稱:Application Layer Gateway Service服務(wù)描述:為應(yīng)用程序級協(xié)議插件提供支持并啟用網(wǎng)絡(luò)/協(xié)議連接。如果此服務(wù)被禁用，任何依賴它的服務(wù)將無法啟動。可執(zhí)行文件路徑:E:WINDOWSSystem32alg.exe其他補充: Background Intelligent Transfer Service服務(wù)名稱:BITS顯示名稱:Background Intelligent Transfer Service服務(wù)描述:服務(wù)描述:利用空閑的網(wǎng)絡(luò)帶寬在后臺傳輸文件。如果

26、服務(wù)被停用，例如 Windows Update 和 MSN Explorer 的功能將無法自動下載程序和其他信息。如果此服務(wù)被禁用，任何依賴它的服務(wù)如果沒有容錯技術(shù)以直接通過 IE 傳輸文件，一旦 BITS 被禁用，就可能無法傳輸文件?？蓤?zhí)行文件路徑:E:WINDOWSsystem32svchost.exe -k netsvcs其他補充: Computer Browser服務(wù)名稱:Browser顯示名稱:Computer Browser服務(wù)描述:服務(wù)描述:維護網(wǎng)絡(luò)上計算機的更新列表，并將列表提供給計算機指定瀏覽。如果服務(wù)停止，列表不會被更新或維護。如果服務(wù)被禁用，任何直接依賴于此服務(wù)

27、的服務(wù)將無法啟動?？蓤?zhí)行文件路徑:可執(zhí)行文件路徑: E:WINDOWSsystem32svchost.exe -k netsvcs其他補充: DNS Client （如果沒有開啟DNS服務(wù)器，將禁止掉）服務(wù)名稱:Dnscache顯示名稱:DNS Client服務(wù)描述:DNS 客戶端服務(wù)(dnscache)緩存域名系統(tǒng)(DNS)名稱并注冊該計算機的完整計算機名稱。如果該服務(wù)被停止，將繼續(xù)解析 DNS 名稱。然而，將不緩存 DNS 名稱的查詢結(jié)果，且不注冊計算機名稱。如果該服務(wù)被禁用，則任何明確依賴于它的服務(wù)都將無法啟動。可執(zhí)行文件路徑:svchost.exe -k NetworkSer

28、vice其他補充:Internet Connection Sharing (ICS)服務(wù)名稱:SharedAccess顯示名稱:Internet Connection Sharing (ICS)服務(wù)描述:為家庭和小型辦公網(wǎng)絡(luò)提供網(wǎng)絡(luò)地址轉(zhuǎn)換、尋址、名稱解析和/或入侵保護服務(wù)。可執(zhí)行文件路徑:svchost.exe -k netsvcs其他補充:IP Helper服務(wù)名稱:iphlpsvc顯示名稱:IP Helper服務(wù)描述:使用 IPv6 轉(zhuǎn)換技術(shù)(6to4、ISATAP、端口代理和 Teredo)和 IP-HTTPS 提供隧道連接。如果停止該服務(wù)，則計算機將不具備這些技術(shù)提供的增強連接優(yōu)勢。

29、可執(zhí)行文件路徑:C:WindowsSystem32svchost.exe -k NetSvcs其他補充:Net.Tcp Listener AdapterNet.Pipe Listener AdapterNet.Tcp Listener AdapterNet.Tcp Port Sharing Service服務(wù)名稱:Microsoft.NET組件顯示名稱:Net.Tcp Listener AdapterNet.Pipe Listener AdapterNet.Tcp Listener AdapterNet.Tcp Port Sharing Service服務(wù)描述:Microsoft.NET組件相

30、關(guān)服務(wù)可執(zhí)行文件路徑:C:WindowsMicrosoft.NETFramework*其他補充:可根據(jù)情況進行禁止。Distributed File System服務(wù)名稱:Dfs顯示名稱:Distributed File System服務(wù)描述:將分散的文件共享合并成一個邏輯名稱空間并在局域網(wǎng)或廣域網(wǎng)上管理這些邏輯卷。如果這個服務(wù)被停止，用戶則無法訪問文件共享。如果這個服務(wù)被禁用，任何依賴它的服務(wù)將無法啟動?？蓤?zhí)行文件路徑:C:WINDOWSsystem32Dfssvc.exe其他補充: Print Spooler服務(wù)名稱:Spooler顯示名稱:Print Spooler服務(wù)描述:管

31、理所有本地和網(wǎng)絡(luò)打印隊列及控制所有打印工作。如果此服務(wù)被停用，本地計算機上的打印將不可用。如果此服務(wù)被禁用，任何依賴于它的服務(wù)將無法啟用。可執(zhí)行文件路徑:C:WINDOWSsystem32spoolsv.exe其他補充: Problem Reports and Solutions Control Panel Support服務(wù)名稱:wercplsupport顯示名稱:Problem Reports and Solutions Control Panel Support服務(wù)描述:此服務(wù)為查看、發(fā)送和刪除“問題報告和解決方案”控制面板的系統(tǒng)級問題報告提供支持?？蓤?zhí)行文件路徑:C:Wind

32、owsSystem32svchost.exe -k netsvcs其他補充: Remote Desktop Services UserMode Port Redirector服務(wù)名稱:UmRdpService顯示名稱:Remote Desktop Services UserMode Port Redirector服務(wù)描述:允許為 RDP 連接重定向打印機/驅(qū)動程序/端口可執(zhí)行文件路徑:C:WindowsSystem32svchost.exe -k LocalSystemNetworkRestricted其他補充: Remote Procedure Call (RPC) Lo

33、cator服務(wù)名稱:RpcLocator顯示名稱:Remote Procedure Call (RPC) Locator服務(wù)描述:在 Windows 2003 和 Windows 的早期版本中，遠程過程調(diào)用(RPC)定位器服務(wù)可管理 RPC 名稱服務(wù)數(shù)據(jù)庫。在 Windows Vista 和 Windows 的更新版本中，此服務(wù)不提供任何功能，但可用于應(yīng)用程序兼容性。可執(zhí)行文件路徑:C:Windowssystem32locator.exe其他補充:Remote Registry服務(wù)名稱:RemoteRegistry顯示名稱:Remote Registry服務(wù)描述:使遠程用戶能修改此計算機上的注

34、冊表設(shè)置。如果此服務(wù)被終止，只有此計算機上的用戶才能修改注冊表。如果此服務(wù)被禁用，任何依賴它的服務(wù)將無法啟動?？蓤?zhí)行文件路徑:C:Windowssystem32svchost.exe -k regsvc其他補充: Routing and Remote Access服務(wù)名稱:RemoteAccess顯示名稱:Routing and Remote Access服務(wù)描述:在局域網(wǎng)以及廣域網(wǎng)環(huán)境中為企業(yè)提供路由服務(wù)?？蓤?zhí)行文件路徑:C:WINDOWSSystem32svchost.exe -k netsvcs其他補充: Server服務(wù)名稱:Lanmanserver顯示名稱:Ser

35、ver服務(wù)描述:支持此計算機通過網(wǎng)絡(luò)的文件、打印、和命名管道共享。如果服務(wù)停止，這些功能不可用。如果服務(wù)被禁用，任何直接依賴于此服務(wù)的服務(wù)將無法啟動?？蓤?zhí)行文件路徑:C:WINDOWSSystem32svchost.exe -k netsvcs其他補充: Shell Hardware Detection服務(wù)名稱:ShellHWDetection顯示名稱:Shell Hardware Detection服務(wù)描述:為自動播放硬件事件提供通知?？蓤?zhí)行文件路徑:C:WINDOWSSystem32svchost.exe -k netsvcs其他補充: SSDP Discovery服務(wù)

36、名稱:SSDPSRV顯示名稱:SSDP Discovery服務(wù)描述:當發(fā)現(xiàn)了使用 SSDP 協(xié)議的網(wǎng)絡(luò)設(shè)備和服務(wù)，如 UPnP 設(shè)備，同時還報告了運行在本地計算機上使用的 SSDP 設(shè)備和服務(wù)。如果停止此服務(wù)，基于 SSDP 的設(shè)備將不會被發(fā)現(xiàn)。如果禁用此服務(wù)，任何依賴此服務(wù)的服務(wù)都無法正常啟動?？蓤?zhí)行文件路徑:C:Windowssystem32svchost.exe -k LocalServiceAndNoImpersonation其他補充: Task Scheduler服務(wù)名稱:Schedule顯示名稱:Task Scheduler服務(wù)描述:使用戶能在此計算機上配置和計劃自動任務(wù)

37、。如果此服務(wù)被終止，這些任務(wù)將無法在計劃時間里運行。如果此服務(wù)被禁用，任何依賴它的服務(wù)將無法啟動。可執(zhí)行文件路徑:C:WINDOWSSystem32svchost.exe -k netsvcs其他補充: 如果沒有任務(wù)計劃的程序運行，就直接禁掉TCP/IP NetBIOS Helper服務(wù)名稱:LmHosts顯示名稱:TCP/IP NetBIOS Helper服務(wù)描述:提供 TCP/IP (NetBT) 服務(wù)上的 NetBIOS 和網(wǎng)絡(luò)上客戶端的 NetBIOS 名稱解析的支持，從而使用戶能夠共享文件、打印和登錄到網(wǎng)絡(luò)。如果此服務(wù)被停用，這些功能可能不可用。如果此服務(wù)被禁用，任何依賴它

38、的服務(wù)將無法啟動。可執(zhí)行文件路徑:C:Windowssystem32svchost.exe -k LocalServiceNetworkRestricted其他補充: UPnP Device Host服務(wù)名稱:upnphost顯示名稱:UPnP Device Host服務(wù)描述:允許 UPnP 設(shè)備宿主在此計算機上。如果停止此服務(wù)，則所有宿主的 UPnP 設(shè)備都將停止工作，并且不能添加其他宿主設(shè)備。如果禁用此服務(wù)，則任何顯式依賴于它的服務(wù)將都無法啟動?？蓤?zhí)行文件路徑:C:Windowssystem32svchost.exe -k LocalServiceAndNoImpersonati

39、on其他補充: Workstation服務(wù)名稱:lanmanworkstation顯示名稱:Workstation服務(wù)描述:創(chuàng)建和維護到遠程服務(wù)的客戶端網(wǎng)絡(luò)連接。如果服務(wù)停止，這些連接將不可用。如果服務(wù)被禁用，任何直接依賴于此服務(wù)的服務(wù)將無法啟動?？蓤?zhí)行文件路徑:C:WindowsSystem32svchost.exe -k NetworkService其他補充: 以上是windows2008server標準服務(wù)當中需要停止的服務(wù)，作為IIS網(wǎng)絡(luò)服務(wù)器，以上服務(wù)務(wù)必要停止 3、 服務(wù)器安全設(shè)置之-組件安全設(shè)置篇A、卸載WScript.Shell 和 Shell.a

40、pplication 組件，將下面的代碼保存為一個.BAT文件執(zhí)行（2008系統(tǒng)）windows2008.batregsvr32 /u C:/WINDOWS/System32/wshom.ocx regsvr32 /u C:/Windows/SysWOW64/wshom.ocxregsvr32 /u C:/WINDOWS/system32/shell32.dllregsvr32 /u C:/Windows/SysWOW64/shell32.dllB、改名不安全組件，需要注意的是組件的名稱和Clsid都要改，并且要改徹底了，不要照抄，要自己改 【開始運行regedit回車】打開注冊表編

41、輯器然后【編輯查找填寫Shell.application查找下一個】用這個方法能找到兩個注冊表項：13709620-C279-11CE-A49E-444553540000 和 Shell.application 。第一步：為了確保萬無一失，把這兩個注冊表項導(dǎo)出來，保存為xxxx.reg 文件。第二步：比如我們想做這樣的更改13709620-C279-11CE-A49E-444553540000 改名為 13709620-C279-11CE-A49E-444553540001Shell.application 改名為 Shell.application_nohack第三步：那么，就把剛才導(dǎo)出的.

42、reg文件里的內(nèi)容按上面的對應(yīng)關(guān)系替換掉，然后把修改好的.reg文件導(dǎo)入到注冊表中（雙擊即可），導(dǎo)入了改名后的注冊表項之后，別忘記了刪除原有的那兩個項目。這里需要注意一點，Clsid中只能是十個數(shù)字和ABCDEF六個字母。其實，只要把對應(yīng)注冊表項導(dǎo)出來備份，然后直接改鍵名就可以了，老杜評論：WScript.Shell 和 Shell.application 組件是 腳本入侵過程中，提升權(quán)限的重要環(huán)節(jié)，這兩個組件的卸載和修改對應(yīng)注冊鍵名，可以很大程度的提高虛擬主機的腳本安全性能，一般來說，ASP和php類腳本 提升權(quán)限的功能是無法實現(xiàn)了，再加上一些系統(tǒng)服務(wù)、硬盤訪問權(quán)限、端口過濾、本地安全策略的

43、設(shè)置，虛擬主機因該說，安全性能有非常大的提高，黑客入侵的可 能性是非常低了。注銷了Shell組件之后，侵入者運行提升工具的可能性就很小了，但是prel等別的腳本語言也有shell能力，為防萬一，還是設(shè)置一 下為好。下面是另外一種設(shè)置，大同小異。檢查相關(guān)權(quán)限是否符合下面要求硬盤或文件: C:/WINDOWS/SYSTEM32/scrrun.dllC:/Windows/SysWOW64/scrrun.dllC:/WINDOWS/system32/cmd.exeC:/Windows/SysWOW64/cmd.exeC:/WINDOWS/System32/wshom.ocx C:/Windows/Sy

44、sWOW64/wshom.ocxC:/WINDOWS/system32/shell32.dllC:/Windows/SysWOW64/shell32.dll主要權(quán)限部分：其他權(quán)限部分：Administrators讀取和執(zhí)行Users讀取和執(zhí)行該文件夾，子文件夾及文件該文件夾，子文件夾及文件<繼承于上一級文件夾><繼承于上一級文件夾>SYSTEM讀取和執(zhí)行該文件夾，子文件夾及文件<繼承于上一級文件夾> 如果發(fā)現(xiàn)有權(quán)限不一致的，請強制更改為上面列表的權(quán)限要求。  4、 服務(wù)器安全設(shè)置之-本地安全策略設(shè)置 （重要）安全策略自動更新命令：GPUpdate

45、/force (應(yīng)用組策略自動生效不需重新啟動) 開始菜單>管理工具>本地安全策略A、 帳戶策略>密碼策略密碼必須符合復(fù)雜性要求已啟用密碼長度最小值8個字符密碼最短使用期限0天密碼最長使用期限90強制密碼歷史0個記住的密碼用可還原的加密來存儲密碼已禁用B、 帳戶策略>帳戶鎖定策略帳戶鎖定時間30分鐘帳戶鎖定閾值4次無效登陸重置帳戶鎖定閾值30分鐘之后C、 本地策略>審核策略 審核策略更改成功失敗 審核登錄事件成功失敗 審核對象訪問失敗 審核過程跟蹤無審核 審核目錄服務(wù)訪問失敗 審核特權(quán)使用失敗 審核系統(tǒng)事件成功失敗 審核賬戶登錄事件成功失敗 審核賬戶管理成功失敗

46、D、 本地策略>用戶權(quán)限分配關(guān)閉系統(tǒng)：只有Administrators組、其它全部刪除。拒絕通過遠程桌面服務(wù)登陸：加入Guests組允許通過遠程桌面服務(wù)登陸：只加入Administrators組，其他全部刪除 E、 本地策略>安全選項Microsoft 網(wǎng)絡(luò)服務(wù)器: 對通信進行數(shù)字簽名(始終)已啟用交互式登錄：不顯示最后的用戶名已啟用網(wǎng)絡(luò)訪問：不允許SAM帳戶的匿名枚舉已啟用網(wǎng)絡(luò)訪問：不允許SAM帳戶和共享的匿名枚舉已啟用網(wǎng)絡(luò)訪問：不允許存儲網(wǎng)絡(luò)身份驗證的密碼和憑證已啟用網(wǎng)絡(luò)訪問：可匿名訪問的共享（全部清除）網(wǎng)絡(luò)訪問：可遠程訪問的注冊表路徑（全部清除）網(wǎng)絡(luò)訪問：可遠程訪問的注冊表路

47、徑和子路徑（全部清除）網(wǎng)絡(luò)訪問：限制對命名管道和共享的匿名訪問已啟用帳戶：來賓帳戶狀態(tài)已禁用帳戶：重命名來賓帳戶（重命名一個）帳戶：重命名系統(tǒng)管理員帳戶（重命名一個）5、 服務(wù)器安全設(shè)置之-本地安全策略-IP安全策略與高級安全windows防火墻配合(僅僅列出需要屏蔽或阻止的端口或協(xié)議)協(xié)議IP協(xié)議端口源地址目標地址描述方式ICMP任意端口任何IP地址-從任意端口任何IP地址-從任意端口ICMP阻止TCP135任何IP地址-從任意端口我的IP地址-135135-UDP阻止UDP136任何IP地址-從任意端口我的IP地址-136136-UDP阻止TCP/UDP137任何IP地址-從任意端口我的I

48、P地址-137137-TCP/UDP阻止TCP/UDP138任何IP地址-從任意端口我的IP地址-138138-TCP/UDP阻止TCP/UDP139任何IP地址-從任意端口我的IP地址-139139-TCP/UDP阻止TCP445任何IP地址-從任意端口我的IP地址-445445-TCP阻止UDP445任何IP地址-從任意端口我的IP地址-445445-UDP阻止TCP21我的IP地址-從任意端口任何IP地址-到21端口阻止tftp出站阻止TCP22我的IP地址-22任何IP地址-任意端口阻止阻止TCP23我的IP地址-22任何IP地址-任意端口阻止阻止TCP3389指定IP地址-從任意端口

49、我的IP地址-3389RDP-TCP允許以上是IP安全策略里的設(shè)置，可以根據(jù)實際情況，增加或刪除端口 關(guān)閉139端口的方法是在“網(wǎng)絡(luò)連接”中“本地連接”中選取“Internet協(xié)議版本4(TCP/IPv4)”的屬性，在“常規(guī)”選項卡中進入“高級”設(shè)置，“WINS設(shè)置”里面有一項“禁用TCP/IP的NETBIOS”，打勾就關(guān)閉了139端口。6、 服務(wù)器安全設(shè)置之-高級安全windows防火墻(掌握好很重要)啟用windows防火墻不允許關(guān)閉或禁止點擊“控制面板”-“系統(tǒng)和安全”-“windows防火墻”，點擊左邊的“打開或關(guān)閉windows防火墻”：在“家庭和工作網(wǎng)絡(luò)位置設(shè)置”和“公用網(wǎng)絡(luò)位置設(shè)

50、置”勾選“啟動windows防火墻”。 允許程序或功能通過windows防火墻在“windows防火墻”，點擊左邊的“允許程序或功能通過windows防火墻”：可以選擇自己需要的程序和功能，允許通過防火墻通信，沒有的程序也可以進行添加。遠程桌面公用 這里只設(shè)置允許遠程桌面連接，詳細的配置可以進入到“高級安全windows防火墻”的“入站規(guī)則”中設(shè)置，對開通web服務(wù)的服務(wù)器，可以允許“HTTP服務(wù)”，其他配合“高級設(shè)置”來進行操作。 高級設(shè)置在“windows防火墻”，點擊左邊的“高級設(shè)置”，進入到“高級安全windows防火墻”： 入站規(guī)則添加并按照以下規(guī)則重新配置，可根據(jù)情況禁止

51、相應(yīng)規(guī)則：名稱配置文件已啟用操作程序本地地址遠程地址協(xié)議本地端口遠程端口21,22,23所有是阻止任何任何任何TCP21,22,23任何135所有是阻止任何任何任何TCP135任何137所有是阻止任何任何任何TCP137任何138所有是阻止任何任何任何TCP138任何139所有是阻止任何任何任何TCP139任何445所有是阻止任何任何任何TCP445任何ICMPv6所有是阻止任何任何任何ICMPv6任何任何ICMPv6所有是阻止任何任何任何ICMPv4任何任何遠程桌面公用是允許System任何指定IPTCP3389任何具體配置步驟，舉例：在高級安全 Windows 防火墻 MMC 管理單元中，

52、右鍵單擊“入站規(guī)則”或“出站規(guī)則”（或單擊“入站規(guī)則”，在右側(cè)的“操作”列表中），然后單擊“新建規(guī)則”，此時系統(tǒng)屏幕會自動彈出“新建入站（出站）規(guī)則向?qū)А睂υ捒颉Ｔ凇耙?guī)則類型”頁上，選擇“程序”或“自定義”，在向?qū)е袉螕簟跋乱徊健?，再將“所有程序”項目選中，之后從協(xié)議類型列表中選中“相應(yīng)的協(xié)議類”，同時設(shè)置相應(yīng)端口或任意端口（對相同規(guī)則的端口可以使用逗號“,”分隔），下一步，在“作用域”中設(shè)置相應(yīng)的“本地和遠程IP地址”，在下一步操作中設(shè)置“阻止連接”，根據(jù)實際情況設(shè)置配置文件為相應(yīng)的“域”、“專用”和“公用”規(guī)則，重新命名后完成新建規(guī)則。出站規(guī)則以默認出站規(guī)則為主即可，排查有無可疑的出站規(guī)則

53、，進行禁止或阻止規(guī)則操作。7、 服務(wù)器安全設(shè)置之-本地安全策略-高級審核策略配置a. 系統(tǒng)審核策略>帳戶登錄審核其他賬戶登錄事件成功和失敗b. 系統(tǒng)審核策略>帳戶管理審核應(yīng)用程序組管理未配置審核計算機帳戶管理成功審核通訊組管理未配置審核其他帳戶管理事件成功和失敗審核安全組管理未配置審核用戶帳戶管理成功和失敗c. 系統(tǒng)審核策略>詳細跟蹤審核進程創(chuàng)建成功和失敗審核進程終止成功和失敗d. 系統(tǒng)審核策略>DS訪問審核目錄服務(wù)訪問成功和失敗e. 系統(tǒng)審核策略>登陸/注銷審核帳戶鎖定成功和失敗審核注銷成功和失敗審核登錄成功和失敗審核其他登錄/注銷事件成功和失敗審核特殊登錄成功和失敗審核網(wǎng)絡(luò)策略服務(wù)器（如果服務(wù)器是網(wǎng)絡(luò)策略服務(wù)器），需要設(shè)置審核事