Chinaunix首页 | 论坛 | 博客
  • 博客访问: 443832
  • 博文数量: 95
  • 博客积分: 7012
  • 博客等级: 少将
  • 技术积分: 1127
  • 用 户 组: 普通用户
  • 注册时间: 2008-05-13 22:49
文章存档

2010年(5)

2009年(43)

2008年(47)

我的朋友

分类: WINDOWS

2009-03-26 21:00:32

    第一 :给CMD加密
    主要是防止溢出方面,大家都知道微软的系统溢出漏洞到处可见,再者骇客们进入计算机的着重途径就是拿下CMD权限所以给CMD加密是第一步的窗户纸防御。

    首先:写一段批处理文件
    代码如下:
    ================================
    @echo off??
    color a????????????????????????????????????????????????????? /:改变颜色
    cls
    title???
    set pass=0
    set time=0
    echo???
    echo 队长别开枪是我啊/////要密码验证才可以哦! /:没什么意思嘿嘿
    :start
    set /p pass=请输入CMD密码:
    if %pass%==123 goto ok?? 123 /:是我设置的密码,你也可以修改成自己的.
    if %time%==0 goto end
    set /A times=%time%-1
    :end
    exit
    cls
    :ok
    title 密码正确!欢迎进入莫无名的DOS世界!  /:输入密码正确后进入的标题
    ===============================

    代码结束,另存格式为.BAT格式放到XX盘下。随后进入注册表,找到如下位置:HKEY_LOCAL_MACHINE-SOFTWARE-Microsoft-Command processor双击AutoRun,输入你批处理的绝对路径即可。之后用户要进入CMD时就需输入设置密码,密码正确进入,不正确将自动退出。

第二、关闭高危端口
    首先创建IP筛选器和筛选器操作
    1、"开始"->"程序"->"管理工具"->"本地安全策略",微软建议使用本地安全策略进行IPsec的设置,因为本地安全策略只应用到本地计算机上,而通常ipsec都是针对某台计算机量身定作的。

    2、右击"Ip安全策略,在本地机器",选择"管理 IP 筛选器表和筛选器操作",启动管理 IP 筛选器表和筛选器操作对话框。只有创建一个IP筛选器和相关操作才能够建立一个相应的IPsec安全策略.

    3、在"管理 IP 筛选器表"中,按"添加"按钮建立新的IP筛选器:
    1)、在跳出的IP筛选器列表对话框内,填上合适的名称,我们这儿使用"tcp135",描述随便填写.单击右侧的"添加..."按钮,启动IP筛选器向导;
    2)、跳过欢迎对话框,下一步;
    3)、在IP通信源页面,源地址选"任何IP地址",下一步;
    4)、在IP通信目标页面,目标地址选"我的IP地址",下一步;
    5)、在IP类型页面,选择"TCP".下一步;
    6)、在IP端口页面,选择"到此端口"并设置为"135",其它不变.下一步;
    7)、完成后关闭IP筛选器列表对话框时会发现tcp135IP筛选器出现在IP筛选器列表中。
    注:可接着增加端口号,方法同上,这里不在一一陈述。

    4、选择"管理筛选器操作"标签,创建一个拒绝操作:
    1)单击"添加"按钮,启动"筛选器操作向导",下一步;
    2)在筛选器操作名称页面,填写名称,这儿填写"拒绝",下一步;
    3)在筛选器操作常规选项页面,将行为设置为"阻止",下一步;
    4)完成,关闭"管理 IP 筛选器表和筛选器操作"对话框。

    接着创建IP安全策略
    1、右击"Ip安全策略,在本地机器"选择"创建IP安全策略",启动IP安全策略向导,跳过欢迎页面,下一步;

    2、在IP安全策略名称页面,填写合适的IP安全策略名称,这儿我们可以填写"拒绝对tcp135端口的访问",描述可以随便填写,下一步;

    3、在安全通信要求页面,不选择"激活默认响应规则",下一步;

    4.、在完成页面选择"编辑属性",完成。

    5、在"拒绝对tcp135端口的访问属性"对话框中进行设置,首先设置规则:
    1)、单击下面的"添加..."按钮,启动安全规则向导,下一步;
    2)、在隧道终结点页面选择默认的"此规则不指定隧道",下一步;
    3)、在网络类型页面选择默认的"所有网络连接",下一步;
    4)、在身份验证方法页面选择默认的"windows 2000默认值(Kerberos V5 )",下一步;
    5)、在IP筛选器列表页面选择刚建立的"tcp135"筛选器,下一步;
    6)、在筛选器操作页面刚建立的"拒绝"操作,下一步;
    7)、在完成页面中不选择"编辑属性",随后确定完成,关闭"拒绝对tcp135端口的访问属性"对话框即可。

    指派和应用IPsec安全策略
    1、缺省情况下,任何IPsec安全策略都未被指派.首先我们要对新建立的安全策略进行指派,在本地安全策略MMC中,右击我们刚刚建立的""拒绝对tcp135端口的访问属性"安全策略,选择"指派。

    2、立即刷新组策略,使用"secedit /refreshpolicy machine_policy"命令可立即刷新组策略。
    通过以上方法融会贯通可以关闭自己本机不需要的端口,至于哪些是高危,在这里就不用我说了吧。

第三、检测服务器
    在这里服务器本身的安全设置基本完成一半了,大家可以使用流光或者X-SAN 等扫描软件在其他机器上对服务器进行扫描看看还有哪些方面有问题,正常来说2003本身安全性就比较高,应该是没问题了,如果条件不允许没有以上骇客软件的话也可登录天网防火墙的官方网站上面有在线端口扫描,可以帮助你检测下自己的服务器。

    第四、IIS方面
     WINDOWS2003的系统使用IIS 6.0的默认的安全已经很不错了,在安装IIS的时候不推荐开始--控制面板--安装删除程序-系统组件安装,不推荐以上,2003里面有一个管理你的服务器用那个安装相对比较好适用新手,因为你每安装一步都会有相应的说明,不需要的服务就别装,IIS的基本设置就不用说了吧应该都会吧网上的文章满天飞,不用的扩展删除。

    第五、WEB设置
    提到这个WEB就头痛哈,最容易出问题的地方,上传、注入,等等到处都是,面对众多的ASP 、PHP 、JSP等等后门木马我们怎么办,尤其大型网站诸多版块要是你去一个一个那可是长期的工作了,上传漏洞多数因为网站程序本身对后缀的过滤不严格,注入一般是因为网站程序的字符过滤问题,在这里笔者着重于说明的是如何配置安全服务器,对于网站程序本身的漏洞就不解释了,笔者也不专业,笔者用了一款比较流行的ASP后门做的,相对相对设置如下:

   首先设置:所有盘、windows、Documents and Settings、Program Files 等只允许系统管理员用户访问,其他删除,这样就可以防止ASP木马浏览你的系统盘了,(系统盘为NTFS)也可以单独建立一个用户,此用户设置权限为最低,然后指派给此用户专门就给WEB单独工作。

    一、禁用服务里面workstation 服务,可以防止列出用户和服务。

    二、使用WScript.Shell组件
    WScript.Shell可以调用系统内核运行DOS基本命令 可以通过修改注册表,将此组件改名,来防止此类木马的危害。将注册表下的HKEY_CLASSES_ROOT\WScript.Shell\及HKEY_CLASSES_ROOT\WScript.Shell.1\ 改名为其它的名字,如:改为WScript.Shell_ChangeName或 WScript.Shell.1_ChangeName。自己以后调用的时候使用这个就可以正常调用此组件了,同时也要将clsid值也改动 HKEY_CLASSES_ROOT\WScript.Shell\CLSID\项目的值 ,HKEY_CLASSES_ROOT\WScript.Shell.1\CLSID\项目的值,并禁止使用Guest用户使用shell32.dll来防止调用此组件。使用命令:regsvr32 WSHom.Ocx /u也可以将其删除,来防止此类木马的危害。

阅读(1536) | 评论(0) | 转发(0) |
给主人留下些什么吧!~~