VPS主机-服务器合租-独立服务器-安全设置(2)

"从[开始]菜单删除"帮助"命令"

"从[开始]菜单中删除"运行"菜单"

"从「开始」菜单中删除“图片收藏”图标"

"从「开始」菜单中删除“我的音乐”图标"

"阻止更改"任务栏和[开始]菜单"设置"

"禁止访问任务栏的上下文菜单"

"不要保留最近打开文档的记录"

"退出时清除最近打开的文档的记录"

"关闭个性化菜单"

"关闭用户跟踪"

"阻止在人物栏上对项目分组"

"锁定任务栏"

"删除[开始]菜单项目上的"气球提示""

"从[开始]菜单中删除附加的程序列表"

"从[开始]菜单中删除常用程序列表"

"从[开始]菜单中删除所有程序列表"

"不在任务栏显示任何自定义工具栏"

"从"开始"菜单中删除"设置程序访问和默认""

->"桌面"

"从桌面删除回收站"

"禁止添加,拖.放和关闭任务栏的工具栏"

"禁止调整桌面工具栏"

->"控制面板"

"禁用控制面板" (禁止后,也可以防止终端用户从开始菜单进入控制面板)

2.注册表设置

<1>.WebShell
入侵者上传文件后.需要利用WebShell来执行可执行程序.或者利用WebShell进行更加方便的文件操作.
对应措施:取消相应服务和功能
一般WebShell用到以下组件
WScript.Network
WScript.Network.1
WScript.Shell
WScript.Shell.1
Shell.Application
Shell.Application.1
在注册表中将以上键值改名
将这些键值下CLSID中包含的字串
如{72C24DD5-D70A-438B-8A42-98424B88AFB8}
到/HKEY_CLASSES_ROOT/CLSID下找到以这些字串命名的键值全部删除

<2>.隐藏重要文件/目录,可修改注册表实现完全隐藏

HKEY_LOCAL_MACHINE \ SOFTWARE\Microsoft \ Windows \ Current-Version \ Explorer \ Advanced \ Folder \ Hi-dden \ SHOWALL”

鼠标右击 “CheckedValue”,选择修改,把数值由1改为0

<3>.防止SYN洪水攻击

HKEY_LOCAL_MACHINE\SYSTEM \ CurrentControlSet \ Services \ Tcpip \ Parameters
新建DWORD值,名为SynAttackProtect,值为2

EnablePMTUDiscovery REG_DWORD 0

NoNameReleaseOnDemand REG_DWORD 1

EnableDeadGWDetect REG_DWORD 0
KeepAliveTime REG_DWORD 300,000
PerformRouterDiscovery REG_DWORD 0
EnableICMPRedirects REG_DWORD 0

<3>.禁止响应ICMP路由通告报文
HKEY_LOCAL_MACHINE\SYSTEM \ CurrentControlSet \ Services \ Tcpip \ Parameters \ Interfaces \ interface
新建DWORD值,名为PerformRouterDiscovery 值为0

<4>.防止ICMP重定向报文的攻击

HKEY_LOCAL_MACHINE\SYSTEM \ CurrentControlSet \ Services \ Tcpip \ Parameters

将EnableICMPRedirects 值设为0

<5>.不支持IGMP协议

HKEY_LOCAL_MACHINE\SYSTEM \ CurrentControlSet \ Services \ Tcpip \ Parameters

新建DWORD值,名为IGMPLevel 值为0

<6>.修改终端服务端口

HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Control \ Terminal Server \ Wds \ rdpwd \ Tds \ tcp 找 PortNumber

HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Control \ Terminal Server \ WinStations \ RDP-Tcp 找 PortNumber

<7>.禁止IPC空连接

可以利用net use命令建立空连接,进而入侵,还有net view,nbtstat这些都是基于空连接的,禁止空连接就好了.打开注册表,

找到 Local_Machine \ System \ CurrentControlSet \ Control \ LSA-RestrictAnonymous 把这个值改成”1”即可.
<8>.更改TTL值
可以根据ping回的TTL值来大致判断你的操作系统,如:
TTL=107(WINNT);
TTL=108(win2000);
TTL=127或128(win9x);
TTL=240或241(linux);
TTL=252(solaris);
TTL=240(Irix);
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters：DefaultTTL REG_DWORD 0-0xff(0-255

十进制,默认值128) .改成一个莫名其妙的数字如258.

<9>.更改终端端口

3.系统设置

<1>.帐号

"将administrator改名,例子中改为olylinux$"

"取消所有除管理员olylinux$外所有用户属性中的 [远程控制->启用远程控制]/[拒绝拨入]

"设置"终端服务妻配置,只允许 administrators和remote desktop Users"

"将guest改名为administrator并且修改复杂密码"

"除了管理员 olylinux$ 和 网站来宾帐号 , IUSER 以及 IWAM 以及 ASPNET 用户外,禁用其他一切用户.包括 SQL DEBUG 以及 TERMINAL USER 等等"

"除了管理员 olylinux$ 外其他用户都属于 guests 组"

"终端用户都属于remote desktop Users组

<2>.服务

Computer Browser 维护网络计算机更新,禁用;

Distributed File System 局域网管理共享文件,禁用;

Distributed linktracking client 用于局域网更新连接信息,禁用;

Error reporting service 禁止发送错误报告,禁用;

Microsoft Serch 提供快速的单词搜索,禁用;

NTLMSecuritysupportprovide,telnet服务和Microsoft Serch用的,禁用;