来源:远方网络 | 2005-3-29 10:44:14 | (有2153人读过)
Alerter 服务方向: 负责向用户通报管理警报,该服务和Mesenger服务一起工作,后者接收并路由前者的信息. 可执行文件: %systemRoot%\system32\services.exe 风险: 潜在可能导致社会工程攻击 建议: 将Alerter服务发出的警告限定为只由管理员接收. Application Management 服务方向: 提供和active directory之间的通信.通过group policy(组策划)来指定,发布并删除在系统中安装的应用程序. 可执行文件: winnt\system32\services.exe 风险: 无 建议: 非组策略使用应用程序,最好禁用该服务. Boot Information Negotiation Layer 服务方向: 与Remote Installation Service(RIS)一起使用,除有需要通过RIS安装操作系统,否则不要运行. 可执行文件: winnt\system32\services.exe 风险: 无 Brower 服务方向: 负责保存网络上的计算机列表,并将该列表提供给那些请求得到该列表的程序 可执行文件: winnt\system32\services.exe 风险: 暴露有关网络的信息 建议: 禁止 Indexing 服务方向: 负责索引磁盘上的文档和文档属性,并且在一个目录中保存信息,使得你在以后可以搜索他们. 可执行文件: winnt\system32\services.exe 风险: 其为IISweb服务器上诸多安全弱点的根源 建议: 除非特别需要,否则禁止. ClipBook 服务方向: ClipBook支持ClipBook Viewer程序,该程序可以允许剪贴页被远程计算机上的ClipBook浏览.可以使得用户能够通过网络连接来剪切和粘贴文本和图形. 可执行文件: winnt\system32\Clipsrv.exe 风险: 潜在被非法用于远程访问ClipBook剪贴页面 建议: 禁止 Distributed File System 服务方向: 允许创建单一逻辑盘.文件分布在网络上不同位置. 可执行文件: winnt\system32\Dfssrc.exe 风险: 暂无已知风险 建议: 禁止(会产生disk error,可忽略该错误) DHCP client 服务方向: 通过注册和更新IP地址和DNS域名来管理网络配置. 可执行文件: winnt\system32\services.exe 风险: 无已知风险 建议:为服务器分配一个静态IP Logical Disk Manager Administrative 服务方向: 用于管理逻辑盘 可执行文件: winnt\system32\dmadmin.exe 风险: 暂无已知风险 建议:将服务的启动类型设为手动(Manual) Logical Disk Manager 服务方向: 该服务为 Logical Disk Manager Watchdog 服务.负责管理动态磁盘的服务. 可执行文件: winnt\system32\services.exe 风险: 无已知风险 建议: 系统运行时需要,保持默认得自动启动 DNS Server 服务方向: 负责解答DNS域名查询 可执行文件: winnt\system32\dns.exe 风险: 无已知风险 建议: 因其通常是导致许多安全性弱点的根源,该服务应谨慎使用. DNS Client 服务方向: 用于缓存DNS查询来进行记录.可用于某个入侵检测系统的DNS查询,可加速DNS查询的速度. 可执行文件: winnt\system32\services.exe 风险: 无已知风险,但攻击者可以查看你的缓存内容.确定你所访问过的网站. 命令行形式为(ipconfig/displaydns) 建议:可停可不停 Event Log 服务方向:Event Log服务负责记录来自系统和运行中程序的管理事件消息.虽然该服务功能有限,并具有一些小问题,但是该服务可以用于入侵检测和系统监视. 可执行文件: winnt\system32\services.exe 风险: 无已知风险 建议: 该服务应该被启动,尤其实在独立服务器上. COM+Eent System 服务方向: 提供自动事件分布功能来订阅COM组件. 可执行文件: winnt\system32\svchost.exe -k nesvcs 风险: 无已知风险 建议: 如果该服务不需要已安装的任何程序所使用,你可以禁用COM+Event System 和 System Event Notification服务. Fax 服务方向: 它负责管理传真的发送和接收. 可执行文件: winnt\system32\faxsvc.exe 风险: 无已知风险 建议: 对于服务器而言,不需要也不建议使用该服务,除非该服务器专门被指定为用做一个传真服务器. Single Instance Storage Groveler 服务方向: 该服务和Remote Installation服务一起使用.扫描单一实例存储卷来寻找重复的文件,并将重复文件指向某个数据存储点以节省磁盘空间. 风险: 无已知风险 建议: 除非你需要使用 Remote Installation 服务,否则请停止它. Internet Authentication Service 服务方向: 用于认证拨号和VPN用户. 可执行文件: winnt\system32\svchost.exe -k netsvcs 风险: 无已知风险 建议: 显然除了在拨号和VPN服务器上,该服务不应该使用.禁止. IIS Admin 服务方向: IIS Admin服务允许通过Internet Services Manager MMC程序面板来对IIS服务进行管理. 可执行文件: winnt\system32\inetsrv\inetinfo.exe 风险: 无已知风险 建议: 如果服务器正在运行Inetrnet服务,则该服务是需要的.如果没有运行任何Inetrnet服务,则应当从Control Panel,Add and Remove Programs中卸载Internet Information Server,这样IIS Admin服务也将被卸载. Intersite Messaging 服务方向: Intersite Messaging服务和Active Directory replication一起使用. 可执行文件: winnt\system32\ismserv.exe 风险: 无已知风险 建议: 除了Active Directory服务器之外,不需要也不建议使用该服务. Kerberos Key Distribution Center 服务方向: 这是个域服务,提供了Kerberos认证服务(AS Authentication Service)和票证授予服务(TGT,Ticket-Granting Service) 可执行文件: winnt\system32\lsass.exe 风险: 没有已知风险 建议: Kerberos Key Distribution Center服务和位于某个域控制器是的Active Directory一起工作的,而且不能被停止,除了在域控制器上,该服务不应该在其他计算机上运行. Server 服务方向: 该服务提供RPC支持以及文件,打印和命名管道共享,Server服务是作为文件系统驱动器来实现的,可以处理I/O请求. 可执行文件: winnt\system32\services.exe 风险: 如果没有提供适当地用户保护,会暴露系统文件和打印机资源 建议: 除非你打算在windows网络上共享文件或打印机,否则不需要运行该服务. (附言: 对以2000而言,这个是一个高风险服务,2000的用户多知道默认共享吧,就是该服务的问题,如果不禁止,每次注销或开机,默认共享就会打开,你的所以重要信息都将暴露.例如winnt文件夹.大家都应该知道他对于2000的重要.除非你的密码够安全,否则这个共享将是你机子的死穴!!!!) Workstation 服务方向: 该服务提供网络连接和通信,该服务以一个文件系统驱动器的形式工作,并且可以允许用户访问位于windows网络上的资源. 可执行文件: winnt\system32\services.exe 风险: 一些独立服务器,例如web服务器,不应当参与到某个windows网络中 建议: 该服务应当只在位于某个内部网络,并受到某个防火墙保护的工作站和服务器上运行,在任何可以连接到Internet的服务器上都应该禁用这个服务. TCP/IP打印服务器 服务方向: 该服务允许远程UNIX用户通过使用TCP/IP协议来访问由某个windows2000服务器所管理的打印机. 可执行文件: winnt\system32\tcpsvcs.exe 风险: 具有一些安全性弱点,并打开一个监听端口 建议: 该服务具有一些安全性弱点,因为打开了一个到internet的端口,因此,除非网络通过防火墙与Internet隔离开.否则不要使用该服务. License Logging 服务方向: 该服务负责管理某个站点的许可协议信息. 可执行文件: winnt\system32\llssrv.exe 风险: 没有已知风险 建议: 除了在域控制器上,其他计算机不应当使用该服务. TCP/IP NETBIOS Helper 服务方向: 该服务允许在TCP/IP网络上进行NETBIOS通信. 可执行文件: winnt\system32\services.exe 风险: 暴露出系统中的netBIOS安全性弱点,例如NTLM认证 建议: 除非你需要和一个旧版本的windows保持兼容,否则应当禁止该服务. Messenger 服务方向: Messenger服务负责发送和接收由管理员或Alerter服务所传递的消息. 可执行文件: winnt\system32\services.exe 风险: 没有已知风险 建议: 该服务不需要而且应当被禁用. NetMeeting Remote Desktop Sharing 服务方向: 该服务允许授权用户通过使用NetMeeting来远程访问你的Windows桌面. 可执行文件: winnt\system32\mnmsrvc.exe 风险: 是一个具有潜在不安全性的服务 建议: 该服务应当被禁止.因为它是会导致潜在地安全性弱点的.你可以使用Terminal服务来代替该服务用于远程桌面访问. Distributed Transaction Coordinator 服务方向: 微软的Distributed Transaction Coordinator服务(MS DTC)可以借助OLE Transactions协议来提供一个事务(Transaction)协调工具,可以协调分布于两个和多个数据库,消息队列文件系统和其他事务保护(trasaction protected)资源管理器的事务. 可执行文件: winnt\system32\msdtc.exe 风险: 没有已知风险 建议: 无需禁止 FTP Publishing 服务方向: 文件传输协议不是一种安全的协议,如果不进行适当地保护,FTP Publishing服务将大来很多的安全性风险. 可执行文件: winnt\system32\inetsrv\inetinfo.exe 风险: 微软的FTP Server没有已知风险.但一般而言,FTP是已知不安全的服务. 建议: 除非你需要通过FTP来提供文件共享,否则该服务应当被禁止.如果需要,请谨慎地对其进行保护和监视. Windows Installer 服务方向: 负责管理软件的安装,改服务对于安装和修复软件应用程序时很有用的. 可执行文件: winnt\system32\msiexec.exe/V 风险:无已知风险 建议: 保留 Network DDE 服务方向: 该服务提供动态数据交换(DDE,Dynamic Data Exhange)数据流传输和安全性. 可执行文件: winnt\system32\netdde.exe 风险: 通过网络接受DDE请求 建议: 对于大多数应用程序而言,Network DDE是不需要的,你应当将它设置为手工启动. Network DDE DSDM 服务方向: 该服务保存一个共享对话(shared conversation) 数据库,这样当某个Network DDE共享被访问时,共享会话将被应用,并且安全性检测系统将确定请求这是否被允许访问. 可执行文件: winnt\system32\netdde.exe 风险: 没有已知风险 建议: 该服务应当设置为手工启动 Net Logon 服务方向: 支持为域中计算机进行的帐号登录事件的传递认证(pass-through authentication). 可执行文件: winnt\system32\lsass.exe 风险: 可以用于对强力密码攻击进行传递 建议: 该服务不应当在那些不作为域中一部分的独立服务器上使用.禁止. Network Connections 服务方向: 该服务负责管理Network and Dial-Up Connections文件夹中的对象,该文件夹中你可以看到局域网和远程连接. 可执行文件: winnt\system32\svchost.exe -k netsvcs 风险: 没有已知风险 建议: 由于该服务在需要时将自己启动,因此可以设置为手动启动. Network News Transport Protocol(NNTP) 服务方向: 用于提供一个新闻服务器服务,例如USENET. 可执行文件: winntsystem32\inetsrv\inetinfo.exe 风险: 没有已知风险 建议: NNTP服务器应当安装在一个DMZ网络中,而且应当像其他网络服务,例如FTP,Nail和Web服务那样来对待.不建议在私有网络上配置NNTP服务器,任何位于某个内部网络上的服务器应当卸载或禁用NNTP服务. File Replication 服务方向: file replication服务(FRS)可以跨域中的服务器来进行文件,系统策略和登录脚本的复制,该服务还可以用于为分布式文件系统(DFS, Distributed File System)复制数据. 可执行文件: winnt\system32\ntfrs.exe 风险:没有已知风险 建议:它在多个服务之间维护文件目录内容的文件同步,保持原状. NTLM Security Support Provider 服务方向: 该服务委远程过程调用(RPC.Remote Procedure Call)程序提供安全性,这些程序使用除命名管道之外的传输方式.该服务仅当client for microsoft安装后才在服务列表中出现. 可执行文件: winnt\system32\lsass.exe 风险: 无已知风险 建议: 既然是安装后才有.当然无需去管,只有你没有安装client for microsoft. Removable Storage 服务方向: 该服务负责管理可移动媒质,磁盘和库. 可执行文件 : winnt\system32\svchost.exe -k netsvcs 风险: 没有已知风险 建议: 你可以在需要时启动该服务. Plug-and-Play 服务方向: 该服务负责管理设备安装和配置,并向程序通告设备所出现的变化. 可执行文件: winnt\system32\services.exe 风险: 无已知风险 建议: 在没有这个服务的情况下启动系统是可能的,但时间较长,而且一些服务也无法运行了(如RAS),所以服务可能最好是设置为自动启动. IPSEC Policy Agent 服务方向: 该服务负责管理IP安全并启动ISAKMP/Oakley(IKE)和IP安全性驱动程序. 可执行文件: winnt\system32\lsass.exe 风险: 无已知风险 建议: 这个服务请保留吧. Protected Storage 服务方向: 该服务可以为敏感数据(例如私钥)提供受保护的储存来防止它们被未授权的服务,进程或用户访问. 可执行文件: winnt\system32\services.exe 风险: 没有已知风险 建议: 这个就不必问了,它对系统来说是必须的. Remote Access Auto Connection Manager 服务方向: 当用户请求访问某个远程网络地址时,该服务将自动拨号网络连接. 可执行文件: winnt\system32\svchost.exe -k netsvcs 风险: 没有已知风险 建议: 该服务仅在你使用拨号网络连接时才需要,如果你不是通过拨号上网的,当然也就不需要了. Remote Access Connection Manager 服务方向: 该服务管理拨号网络连接 可执行文件: winnt\system32\svchost.exe -k netsvcs 风险: 没有已知风险 建议: 只有服务器需要支持Routing and Remote Access Service(RRAS)时才需要运行该服务,所以你可以禁止. Routing and Remote Access 服务方向: 该服务在局域网和广域网环境中提供路由服务.该服务仅用于远程访问点. 可执行文件: winnt\system32\svchost.exe -k netsvcs 风险: 如果配置不当,该服务将会使非法用户在未授权的情况下访问网络 建议: 该服务是不能关闭的,那只好好好配置咯. Remote Registry 服务方向: 使得经过授权的管理员能够对位于远程主机上的注册表项目进行操作,对于一些功能,例如远程性能监视,是需要Remote Registry 服务才能工作的. 可执行文件: winnt\system32\regsvc.exe 风险: 如果没有得到适当的配置,会潜在地将注册表暴露 建议: 风险是明显的了,所以啊,不是特别需要,还是禁止吧. Remote Procedure Call(RPC) Locator 服务方向: 该服务可以使那些支持RPC的应用程序注册资源可用性,并使客户能够找到兼容的RPC服务器. 可执行文件: winnt\system32\svchost -k rpcss 风险: 无已知风险 建议: 该服务应当仅在某个域控制器上运行 Remote Procedure Call(RPC) 服务方向: 该服务调用位于远程计算机上的可用服务,并用于远程计算机管理. 可执行文件: winnt\system32\svchost -k rpcss 风险: 会暴露系统信息 建议: 虽然会暴露信息,不过没办法拉,谁叫他是任何Windows2000系统上都需要的? QoS Admission Control 服务方向: 该服务提供带宽管理控制来保证到网络服务的访问. 可执行文件: winnt\system32\rsvp.exe -s 风险: 无已知风险 建议: 如果你使用Windows QoS功能的话,就应当启用它,不要就禁了吧. Secrity Accounts Manager 服务方向: Secrity Accounts Manager(SAM)服务保存了本地用户帐号的安全性信息以用于认证. 可执行文件: winnt\system32\lsass.exe 风险: 虽然有一些方法可以获得SAM数据,但是SAM服务本身并不会带来安全性风险. 建议: 这可是个必须的服务 Task Scheduler 服务方向: 该服务将某个程序调度到在指定的时间运行.对于NT4,只有管理员可以调度任务,而且所以任务都是作为SYSTEM运行的,对于2000,则任何用户都可以调度某一个任务,而且该任务仅在用户各自的用户环境下运行. 可执行文件: winnt\system32\MSTask.exe 风险: 入侵者可以在此替你运行他种下的木马服务端喔 建议: 除非你需要对某个任务作业进行调度,否则该服务应当被禁止. RunAs 服务方向: 该服务使得进程可以在另外的用户凭证下启动,这是微软针对特洛伊木马程序的一种应对手段.使用RunAs,你可以在作为一个非特权用户而登录的同时以管理员权限运行某个进程. 可执行文件: winnt\system32\services.exe 风险: 没有已知风险 建议: 该服务应当启动 System Event Notification 服务方向: 该服务跟踪系统事件. 可执行文件: winnt\system32\svchost.exe -k netsvcs 风险: 没有已知风险 建议: 该服务记录windows登录,网络和电源事件,建议服务启用. Internet Connection Sharing 服务方向: 将某计算机的Internet联机与其他一些计算机进行共享. 可执行文件: winnt\system32\svchost.exe -k netsvcs 风险: 没有已知风险 建议: 该服务应当禁止,因为它可以使得用户使用一个未经授权的连接,绕过公司网络中的代理和监视服务. Simple TCP/IP 服务方向: 这个服务是作为基本的TCP/IP服务而运行,打开了TCP端口7,9,13,17,19. 可执行文件: winnt\system32\tcpsvcs.exe 风险: 在各种TCP端口上运行了一些不安全的服务 建议: 虽然有危险,还是运行吧. Simple Mail Transport Protocol(SMTP) 服务方向: 提供外发的Internet邮件服务. 可执行文件: winnt\system32\inetsrv\inetinfo.exe 风险: 可以实现电子邮件的欺骗和中继 建议: 该服务很有用,应当被限制为只能从本地主机或网络上才能访问她. SNMP 服务方向: 可以监视网络设备活动的代理,并将这些监视信息报告给网络控制台工作站 可执行文件: winnt\system32\snmp.exe 风险: 在默认情况下,被设置为使用Public作为其社区字符串.他会暴露有关windows2000服务器的敏感信息. 建议: 在内部网上用它才好. SNMP Trap 服务方向: 接受从其他SNMP代理发过来的SNMP信息 可执行文件: winnt\system32\snmptrap.exe 风险: 没有已知风险 建议: 在内部网使用吧,其他就不要了. Print Spooler 服务方向: 该服务用于假脱机打印作业,使得应用程序打印文件时不必等待. 可执行文件: winnt\system32\spoolsv.exe 风险: 没有已知风险 建议: 除非你要处理打印队列,否则应当禁止该服务. Performance Logs and Alerts 服务方向: 处理性能日志和警报,对系统和网络监视而言都是有用的. 可执行文件: winnt\system32\smlogsvc.exe 风险: 没有已知风险 建议: 当然是启用啊 Telephony 服务方向: 提供电话和基于IP地语音连接. 可执行文件: winnt\system32\svchost.exe -k tapisrv 风险: 没有已知风险 建议: 除非你打算在局域网上使用这种功能,否则应当禁止该服务. Terminal 服务方向: 可以提供通过TCP/IP连接的远程桌面访问 可执行文件: winnt\system32\termsrv.exe 风险: 可以导致潜在的非法访问远程桌面以及强力攻击. 建议: 你应当通过IP地址的限制来严格限制对该服务的访问.并且应该进行密切监视. Terminal Services Licensing 服务方向: 用于在应用程序服务模式下使用Terminal服务时管理客户的许可协议. 可执行文件: winnt\system32\lserver.exe 风险: 没有已知风险 建议: 该服务当服务器在Application Server Mode下运行Terminal服务时是必须得. Trivial FTP Daemon 服务方向: 实现Trivial FTP Internet标准. 可执行文件: winnt\system32\tftpb.exe 风险: 导致潜在的未经授权的文件访问 建议: 应当应用在本地的可信任网络上. Telnet 服务方向: 该服务允许某个远程用户登录到系统,并使用命令行来运行控制台程序. 可执行文件: winnt\system32\tlntsvr.exe 风险:他的密码是以明文形式传输,如果MTLM认证被启用,则NTLM密码散列也会被发现. 建议: 禁止吧 Utility Manager 服务方向: 可以启动和配置可达性工具. 可执行文件: winnt\system32\UtilMan.exe 风险: 没有已知风险 建议: 除非你需要使用可达性工具,否则应当禁止他 Windows Time 服务方向: 从一个网络时间服务器来设置系统时间. 可执行文件: winnt\system32\services.exe 风险: 没有已知风险 建议: 如果你不是2000,就禁了吧 World Wide Web Publishing 服务方向: 该服务提供Internet的匿名Web站点访问服务. 可执行文件: winnt\system32\inetsrv\inetinfo.exe 风险: 各种文件访问,远程命令执行,拒绝服务和其他风险都有 建议: 他是必须得,只有靠其他工具维护他的安全咯 Windows Management Instrumentation 服务方向: 提供系统管理信息,它基本上是一个基于WEB的企业管理兼容工具,用于从各种来源收集并关联管理数据. 可执行文件: winnt\system32\WBEM\WinMgmt.exe 风险: 具有暴露敏感信息的潜在危险 建议: WMI是一种有用的工具,同样也可用于收集信息.如果你不是特别不希望使用该服务,还是启用吧 Windows Internet Name Service 服务方向: 是微软用于NetBIOS网络的名称服务. 可执行文件: winnt\system32\win.exe 风险: 具有暴露敏感系统信息的潜在危险 建议: 纯粹的Windows2000网络并不依赖WINS.应当被禁用.或是只在本地使用好了.
端口部分 139端口 1.开始—程序—管理工具—本地安全策略—鼠标右点“IP安全策略,在本地机器”; 2.点击“管理IP筛选器表和筛选器操作”,在“管理IP筛选器列表”上点“添加”; 3.将弹出“IP筛选器列表”窗口; 4.添入名称和描述,比如“禁止139”,点添加,然后会出现一个IP“筛选器向导”,点下一步; 5.到“指定IP源地址”窗口,在“源地址”中选择“任何IP地址”,点下一步; 6.在“IP通信目标”的“目标地址”选择“我的IP地址”,点下一步; 7.在“IP协议类型”的“选择协议类型”选择“TCP”,点下一步; 8.在“筛选器向导”的“设置IP协议端口”里第一拦“从任意端口”,第二拦“到此端口”并且添上“139”,点下一步; 9.点“完成”,然后在点“关闭”,回到“管理IP筛选器表和筛选器操作”; 10.选择“管理筛选器操作”,点“添加”; 11.这时会出现一个“筛选器操作向导”的,点“下一步”,在“名称“里添上“禁止139端口”连接,点下一步,选择“阻止”,再点下一步; 12.点“完成”和“关闭”。 445端口 方法和上面的139端口的方法一样,只是注意在添加筛选器操作的时候不能用同一个“阻止”筛选器操作,否则规则没有作用。 完成上面两项操作后,回到“IP安全策略,在本地机器”,右点“IP安全策略”: 1.“IP安全策略向导”,点“下一步”,在“名称”中,添入“禁止使用139,445端口连接”一路点下一步,完成。 2.在“禁止使用139,445端口连接”里点“添加”,出现“安全规则向导”,一路下一步,到“IP筛选器列表”,选择“禁止139”(就是我们先前关闭139的时候添入的那名称),点下一步,在“筛选器操作”选择“禁止139”,点下一步,最后,点“完成”,“确定”; 3.通过“添加”将禁用445端口的筛选器列表和操作也添进去一路下一步,到“IP筛选器列表”,选择“禁止445”,点下一步,在“筛选器操作”里选“禁止445”,点下一步然后点“关闭”,回到“属性”窗口; 最后,只需要将刚才配置好的东西指派就成了。 135端口 对于135端口开放的问题,可以在你的防火墙上,增加一条规则:拒绝所有的这类进入的UDP包,目的端口是135,源端口是7,19,或者135,这样可以保护内部的系统,防止来自外部的攻击。大多数防火墙或者包过滤器已经设置了很多严格的规则,已覆盖了这条过滤规则,但任需注意:有一些NT的应用程序,它们依靠UDP135端口进行合法的通讯,而打开你135的端口与NT的RPC服务进行通讯。如果真是这样,你一定要在那些原始地址的系统上(需要135口通讯),实施上述的规则,指定来自这些系统的通讯可以通过防火墙,或者,可以被攻击检测系统所忽略,以便维持那些应用程序的正常连接。 关于17,19,7,9端口的打开应该是属于使用的是默认服务配置,关闭的方法;先去下载一个叫做 Configure Port Blocker 的软件,该软件可以直接删除不必要的端口 80端口 使用安全有效的验证用户身份的方法(建议不允许匿名登陆); 在IIS中,将HTTP404 Object Not Found 出错页面通过URL重定向到一个定制的HTM文件。 IIS服务器 1.更改默认的IIS路径,把C盘下的InetPub目录彻底删除,然后随便在什么盘建立一个,在IIS管理器中将主目录指向我们建立的目录 2.打开IIS服务器,到“主目录”页面,找到“设置”,删除不必要的映射,留下我们要用的。删除在IIS管理器中右点主机—属性—WWW 服务编辑—主目录配置—应用程序映射。在那个窗口的应用程序调试书签内,讲脚本错误消息改为发送文本,错误文本随便怎么写好了。退出时,让虚拟站点继承设定的属性。 3.删除默认的那些不必要用到的虚拟目录,比如mstdc,scripts等 4.到C:\Winnt\system32下,把 FTP , CMD, TFTP 这样重要的EXE程序进行一次全新的设置,把系统的“IUSR_计算机名”,这个用户拒绝访问。 其他 1.关掉Guest帐号:把这个账号停用,任何时候都不允许使用他登陆。最好是给他设置一个超复杂密码,用记事本乱打他什么数字,大小写字母,特殊符号,弄他二十几位出来,然后从记事本上复制进去; 2.删除掉没有用处的用户; 3.把Administrator帐号改名,随便改成一个什么。这个帐号好象可以使人用穷举法一次一次的尝试破解的。或者使用超长密码; 4.共享文件的权限改成“授权用户”; 5.打开审核策略记录下比如尝试用户密码,改变帐户策略,未经许可的文件访问等; 6.密码策略得开启; 7.不让系统显示上次登陆的用户名:修改HKLM \ Software \ Microsoft \Windows NT \ CurrentVersion \Winlogon \ DontDisplay LastUserName 把 REG_SZ 的键值 改为 1; 8.禁止建立空连接:默认情况下,任何人都可以通过空连接连上服务器,猜密码。修改Local_Machine \ System \ CurrentControlSet \ Control \ LSA-RestrictAnonymous 的值改成1; 9.如果服务器不玩游戏的话,把DirectDraw关掉: HKLM \ SYSTEM \ CurrentControlSet \ Control \ GraphicsDrivers \DGI的Timeout(TEG_DWORD)为 0; 10.禁止Dump File 的产生:这个东西能提供给别人一些敏感信息,如应用程序的密码等,记录的是在死机,蓝屏时的信息,关掉。控制面板—系统属性—高级—启动和故障恢复,把“写入调试信息”改为 无。 终端服务的设置 1、第一步,更改终端服务的服务器端设置。 打开注册表,找到类似这样的键值HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Terminal Server\Wds\Repwd\Tds\Tcp, 找到PortNumber。0xd3d,这个是16进制,就是3389,这个值是RDP(远程桌面协议)的默认值,也就是说用来配置以后新建的RDP服务的,要改已经建立的RDP服务,我们去下一个键值:HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\TerminalServer\WinStations这里应该有一个或多个类似RDP-TCP的子健(取决于你建立了多少个RDP服务),一样改掉PortNumber。 2、第二步,改客户端。 再来改客户端:打开客户端连接管理器,按照正常的步骤建立一个客户 端连接的快捷方式,选中这个连接,然后在“文件”菜单里选择“导出”(Menu->File->Export),这个操作会生成一个cns文件,就是终端服务客户端的配置文件,你可以用文本编辑器(比如记事本)编辑这个文件,找到“Server Port=3389”,改成你要的端口,然后再选导入(Menu->File->Import),这是的客户端快捷方式已经变成你需要的端口了。 需要注意的是,从微软主页上下载的终端服务客户端Terminal Service Client(MSI版)以及ActiveX版都不能更改端口,只有使用Win2000服务器版终端服务自带的“制作安装盘”功能制作版本可以改端口,这个功能在管理工具的“终端服务客户端生成器”(Terminal Service Client Creator)中。 对于日志的问题,其实Terminal Service自己是有日志功能的,在管理工具中打开远程控制服务配置(Terminal Service Configration),点击“连接”,右击你想配置的RDP服务(比如RDP-TCP(Microsoft RDP5.0)),选中书签“权限”,点击左下角的“高级”,看见上面那个“审核”了吗?我们来加入一个Everyone组,这代表所有的用户,然后审核他的“连接”、“断开”、“注销”的成功和“登陆”的功能和失败就足够了,审核太多了反而不好,这个审核试记录在安全日志中的,可以从“管理工具”->“日志查看器”中查看。现在什么人什么时候登陆都一清二楚了,可是它却不记录客户端的IP(只能查看在线用户的ip)而是记录计算机名。我们建立一个.bat文件,叫做TSLog.bat,这个文件用来记录登录者的ip,内容如下: time /t>>TSLog.log netstat -n -p tcp|find ":3389">>TSLog.log start Explorer 来解释一下这个文件的含义: 第一行是记录用户登陆的时间,Time/t的意思是直接返回系统时间(如果不加/t,系统会等待你输入新的时间),然后我们用追加符号>>把这个时间记入TSLog.log第二行是记录用户的ip地址,Netstat是用来显示当前网络连接状况的命令,-n表示显示ip和端口而不是域名、协议,-p tcp是只显示tcp协议,然后我们用管道符号“|”把这个命令的结果输出给Find命令,从输出结果中查找包含“:3389”的行(这就是我们要得客户的ip所在行,如果你改了终端服务的端口,这个数值也要作相应的改变),最后我们同样把这个结果重定向到日志文件TSLog.log中去,于是在TSLog.log文件中,记录格式如下: 22:40 TCP 192.168.12.28:3389 192.168.10.123:4903ESTABLISHED 22:54 TCP 192.168.12.28:3389 192.168.12.29:1039ESTABLISHED 也就是说只要TSLog.bat文件一运行,所有连在3389端口的ip都会被记录,那么如何让这个批处理文件运行呢?终端服务允许我们为用户自定义起始的程序,在终端服务配置中,我们覆盖用户的登陆脚本设置并指定TSLog.bat为用户登录时需要打开的脚本,这样每个用户登录后都必须执行这个脚本,因为默认得脚本(相当于SHELL环境)是Explorer(资源管理器),所以我在TSLog.bat的最后一行加上了启动Explorer的命令start Explorer,如果不加这一行命令,用户是没有办法进入桌面的。当然,如果你只需要给用户特定的SHELL:例如cmd.exe或者word.exe你也可以把start explorer替换成任意的SHELL。这个脚本也可以有其他的写法,例如写一个脚本把每个登陆用户的ip发送到自己的信箱对于很重要的服务器也是一个很好的方法。正常情况下,一般的用户没有查看终端服务设置的权限,所以他不会知道你对登陆进行了ip审核,只要把TSLog.bat文件和TSLog.log文件放在比较隐蔽的目录里就足够了,不过需要注意的是这只是一个简单的终端服务日志攻略,并没有太多的安全保障措施和权限机制
|