win2003下讓磁盤更安全的設(shè)置

　　計(jì)算機(jī)的外部存儲(chǔ)器中也采用了類似磁帶的裝置，比較常用的一種叫磁盤，有了磁盤之后，人們使用計(jì)算機(jī)就方便多了，不但可以把數(shù)據(jù)處理結(jié)果存放在磁盤中，還可以把很多輸入到計(jì)算機(jī)中的數(shù)據(jù)存儲(chǔ)到磁盤中，但是這么多的信息存儲(chǔ)在一起，也容易產(chǎn)生不安全因素，那么如何可以讓你的磁盤更安全呢?下面就給大家介紹在windows 2003下的做法。

　　正確設(shè)置磁盤的安全性,具體如下(虛擬機(jī)的安全設(shè)置，我們以asp程序?yàn)槔��?重點(diǎn)：

　　1、系統(tǒng)盤權(quán)限設(shè)置

　　C:分區(qū)部分：

　　c:\

　　administrators 全部(該文件夾，子文件夾及文件)

　　CREATOR OWNER 全部(只有子文件來及文件)

　　system 全部(該文件夾，子文件夾及文件)

　　IIS_WPG 創(chuàng)建文件/寫入數(shù)據(jù)(只有該文件夾)

　　IIS_WPG(該文件夾，子文件夾及文件)

　　遍歷文件夾/運(yùn)行文件

　　列出文件夾/讀取數(shù)據(jù)

　　讀取屬性

　　創(chuàng)建文件夾/附加數(shù)據(jù)

　　讀取權(quán)限

　　c:\Documents and Settings

　　administrators 全部(該文件夾，子文件夾及文件)

　　Power Users (該文件夾，子文件夾及文件)

　　讀取和運(yùn)行

　　列出文件夾目錄

　　讀取

　　SYSTEM全部(該文件夾，子文件夾及文件)

　　C:\Program Files

　　administrators 全部(該文件夾，子文件夾及文件)

　　CREATOR OWNER全部(只有子文件來及文件)

　　IIS_WPG (該文件夾，子文件夾及文件)

　　讀取和運(yùn)行

　　列出文件夾目錄

　　讀取

　　Power Users(該文件夾，子文件夾及文件)

　　修改權(quán)限

　　SYSTEM全部(該文件夾，子文件夾及文件)

　　TERMINAL SERVER USER (該文件夾，子文件夾及文件)

　　修改權(quán)限

　　2、網(wǎng)站及虛擬機(jī)權(quán)限設(shè)置(比如網(wǎng)站在E盤)

　　說明：我們假設(shè)網(wǎng)站全部在E盤wwwsite目錄下，并且為每一個(gè)虛擬機(jī)創(chuàng)建了一個(gè)guest用戶，用戶名為vhost1...vhostn并且創(chuàng)建了一個(gè)webuser組，把所有的vhost用戶全部加入這個(gè)webuser組里面方便管理

　　E:\

　　Administrators全部(該文件夾，子文件夾及文件)

　　E:\wwwsite

　　Administrators全部(該文件夾，子文件夾及文件)

　　system全部(該文件夾，子文件夾及文件)

　　service全部(該文件夾，子文件夾及文件)

　　E:\wwwsite\vhost1

　　Administrators全部(該文件夾，子文件夾及文件)

　　system全部(該文件夾，子文件夾及文件)

　　vhost1全部(該文件夾，子文件夾及文件)

　　3、數(shù)據(jù)備份盤

　　數(shù)據(jù)備份盤最好只指定一個(gè)特定的用戶對(duì)它有完全操作的權(quán)限

　　比如F盤為數(shù)據(jù)備份盤，我們只指定一個(gè)管理員對(duì)它有完全操作的權(quán)限

　　4、其它地方的權(quán)限設(shè)置

　　請(qǐng)找到c盤的這些文件，把安全性設(shè)置只有特定的管理員有完全操作權(quán)限

　　下列這些文件只允許administrators訪問

　　net.exe

　　net1.exet

　　cmd.exe

　　tftp.exe

　　netstat.exe

　　regedit.exe

　　at.exe

　　attrib.exe

　　cacls.exe

　　format.com

　　5.刪除c:\inetpub目錄，刪除iis不必要的映射，建立陷阱帳號(hào)，更改描述

　　第三招：禁用不必要的服務(wù)，提高安全性和系統(tǒng)效率

　　Computer Browser 維護(hù)網(wǎng)絡(luò)上計(jì)算機(jī)的最新列表以及提供這個(gè)列表

　　Task scheduler 允許程序在指定時(shí)間運(yùn)行

　　Routing and Remote Access 在局域網(wǎng)以及廣域網(wǎng)環(huán)境中為企業(yè)提供路由服務(wù)

　　Removable storage 管理可移動(dòng)媒體、驅(qū)動(dòng)程序和庫

　　Remote Registry Service 允許遠(yuǎn)程注冊(cè)表操作

　　Print Spooler 將文件加載到內(nèi)存中以便以后打印。要用打印機(jī)的朋友不能禁用這項(xiàng)

　　IPSEC Policy Agent 管理IP安全策略以及啟動(dòng)ISAKMP/OakleyIKE)和IP安全驅(qū)動(dòng)程序

　　Distributed Link Tracking Client 當(dāng)文件在網(wǎng)絡(luò)域的NTFS卷中移動(dòng)時(shí)發(fā)送通知

　　Com+ Event System 提供事件的自動(dòng)發(fā)布到訂閱COM組件

　　Alerter 通知選定的用戶和計(jì)算機(jī)管理警報(bào)

　　Error Reporting Service 收集、存儲(chǔ)和向 Microsoft 報(bào)告異常應(yīng)用程序

　　Messenger 傳輸客戶端和服務(wù)器之間的 NET SEND 和 警報(bào)器服務(wù)消息

　　Telnet 允許遠(yuǎn)程用戶登錄到此計(jì)算機(jī)并運(yùn)行程序

　　第四招:修改注冊(cè)表，讓系統(tǒng)更強(qiáng)壯

　　1、隱藏重要文件/目錄可以修改注冊(cè)表實(shí)現(xiàn)完全隱藏：HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\ Current-Version\Explorer\Advanced\Folder\Hi-dden\SHOWALL”，鼠標(biāo)右擊 “CheckedValue”，選擇修改，把數(shù)值由1改為0

　　2、啟動(dòng)系統(tǒng)自帶的Internet連接_blank">防火墻，在設(shè)置服務(wù)選項(xiàng)中勾選Web服務(wù)器。

　　3、防止SYN洪水攻擊

　　HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters

　　新建DWORD值，名為SynAttackProtect，值為2

　　EnablePMTUDiscovery REG_DWORD 0

　　NoNameReleaseOnDemand REG_DWORD 1

　　EnableDeadGWDetect REG_DWORD 0

　　KeepAliveTime REG_DWORD 300,000

　　PerformRouterDiscovery REG_DWORD 0

　　EnableICMPRedirects REG_DWORD 0

　　4. 禁止響應(yīng)ICMP路由通告報(bào)文

　　HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\interface

　　新建DWORD值，名為PerformRouterDiscovery 值為0

　　5. 防止ICMP重定向報(bào)文的攻擊

　　HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters

　　將EnableICMPRedirects 值設(shè)為0

　　6. 不支持IGMP協(xié)議

　　HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters

　　新建DWORD值，名為IGMPLevel 值為0

　　7.修改終端服務(wù)端口

　　運(yùn)行regedit，找到[HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Control \ Terminal Server \ Wds \ rdpwd \ Tds \ tcp]，看到右邊的PortNumber了嗎?在十進(jìn)制狀態(tài)下改成你想要的端口號(hào)吧，比如7126之類的，只要不與其它沖突即可。

　　2、第二處HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Control \ Terminal Server \ WinStations \ RDP-Tcp，方法同上，記得改的端口號(hào)和上面改的一樣就行了。

　　8、禁止IPC空連接：

　　cracker可以利用net use命令建立空連接，進(jìn)而入侵，還有net view，nBTstat這些都是基于空連接的，禁止空連接就好了。打開注冊(cè)表，找到Local_Machine\System\CurrentControlSet\Control\LSA-RestrictAnonymous 把這個(gè)值改成”1”即可。

　　9、更改TTL值

　　cracker可以根據(jù)ping回的TTL值來大致判斷你的操作系統(tǒng)，如：

　　TTL=107(WINNT);

　　TTL=108(win2000);

　　TTL=127或128(win9x);

　　TTL=240或241(linux);

　　TTL=252(solaris);

　　TTL=240(Irix);

　　實(shí)際上你可以自己更改的：HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters：DefaultTTL REG_DWORD 0-0xff(0-255 十進(jìn)制,默認(rèn)值128)改成一個(gè)莫名其妙的數(shù)字如258，起碼讓那些小菜鳥暈上半天，就此放棄入侵你也不一定哦

　　10. 刪除默認(rèn)共享

　　有人問過我一開機(jī)就共享所有盤，改回來以后，重啟又變成了共享是怎么回事，這是2K為管理而設(shè)置的默認(rèn)共享，必須通過修改注冊(cè)表的方式取消它：HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters：AutoShareServer類型是REG_DWORD把值改為0即可

　　11. 禁止建立空連接

　　默認(rèn)情況下，任何用戶通過通過空連接連上服務(wù)器，進(jìn)而枚舉出帳號(hào)，猜測(cè)密碼。我們可以通過修改注冊(cè)表來禁止建立空連接：

　　Local_Machine\System\CurrentControlSet\Control\LSA-RestrictAnonymous 的值改成”1”即可。

　　第五招:其它安全手段

　　1.禁用TCP/IP上的NetBIOS

　　網(wǎng)上鄰居-屬性-本地連接-屬性-Internet協(xié)議(TCP/IP)屬性-高級(jí)-WINS面板-NetBIOS設(shè)置-禁用TCP/IP上的NetBIOS。這樣cracker就無法用nBTstat命令來讀取你的NetBIOS信息和網(wǎng)卡MAC地址了。

　　2. 賬戶安全

　　首先禁止一切賬戶，除了你自己，呵呵。然后把Administrator改名。我呢就順手又建了個(gè)Administrator賬戶，不過是什么權(quán)限都沒有的那種，然后打開記事本，一陣亂敲，復(fù)制，粘貼到“密碼”里去，呵呵，來破密碼吧~!破完了才發(fā)現(xiàn)是個(gè)低級(jí)賬戶，看你崩潰不?

　　創(chuàng)建2個(gè)管理員用帳號(hào)

　　雖然這點(diǎn)看上去和上面這點(diǎn)有些矛盾，但事實(shí)上是服從上面的規(guī)則的。 創(chuàng)建一個(gè)一般權(quán)限帳號(hào)用來收信以及處理一些*常事物，另一個(gè)擁有Administrators 權(quán)限的帳戶只在需要的時(shí)候使用�？梢宰尮芾韱T使用 “ RunAS” 命令來執(zhí)行一些需要特權(quán)才能作的一些工作，以方便管理

　　3.更改C:\WINDOWS\Help\iisHelp\common\404b.htm內(nèi)容改為 這樣，出錯(cuò)了自動(dòng)轉(zhuǎn)到首頁

　　4. 安全日志

　　我遇到過這樣的情況，一臺(tái)主機(jī)被別人入侵了，系統(tǒng)管理員請(qǐng)我去追查兇手，我登錄進(jìn)去一看：安全日志是空的，倒，請(qǐng)記�。篧in2000的默認(rèn)安裝是不開任何安全審核的!那么請(qǐng)你到本地安全策略->審核策略中打開相應(yīng)的審核，推薦的審核是：

　　賬戶管理 成功 失敗

　　登錄事件 成功 失敗

　　對(duì)象訪問 失敗

　　策略更改 成功 失敗

　　特權(quán)使用 失敗

　　系統(tǒng)事件 成功 失敗

　　目錄服務(wù)訪問 失敗

　　賬戶登錄事件 成功 失敗

　　審核項(xiàng)目少的缺點(diǎn)是萬一你想看發(fā)現(xiàn)沒有記錄那就一點(diǎn)都沒轍;審核項(xiàng)目太多不僅會(huì)占用系統(tǒng)資源而且會(huì)導(dǎo)致你根本沒空去看，這樣就失去了審核的意義

　　5. 運(yùn)行防毒軟件

　　我見過的Win2000/Nt服務(wù)器從來沒有見到有安裝了防毒軟件的，其實(shí)這一點(diǎn)非常重要。一些好的殺毒軟件不僅能殺掉一些著名的病毒，還能查殺大量木馬和后門程序。這樣的話，“黑客”們使用的那些有名的木馬就毫無用武之地了。不要忘了經(jīng)常升級(jí)病毒庫,我們推薦mcafree殺毒軟件+blackice_blank">防火墻

　　6.sqlserver數(shù)據(jù)庫服務(wù)器安全和serv-u Ftp服務(wù)器安全配置，更改默認(rèn)端口，和管理密碼

　　7.設(shè)置ip篩選、用blackice禁止木馬常用端口

　　一般禁用以下端口

　　135 138 139 443 445 4000 4899 7626

　　8.本地安全策略和組策略的設(shè)置,如果你在設(shè)置本地安全策略時(shí)設(shè)置錯(cuò)了，可以這樣恢復(fù)成它的默認(rèn)值.

　　打開 %SystemRoot%\Security文件夾,創(chuàng)建一個(gè) "OldSecurity"子目錄,將%SystemRoot%\Security下所有的.log文件移到這個(gè)新建的子文件夾中.

　　在%SystemRoot%\Security\database\下找到"Secedit.sdb"安全數(shù)據(jù)庫并將其改名,如改為"Secedit.old".

　　啟動(dòng)"安全配置和分析"MMC管理單元:"開始"->"運(yùn)行"->"MMC",啟動(dòng)管理控制臺(tái),"添加/刪除管理單元",將"安全配置和分析"管理單元添加上.

　　右擊"安全配置和分析"->"打開數(shù)據(jù)庫",瀏覽"C:\WINNT\security\Database"文件夾,輸入文件名"secedit.sdb",單擊"打開".

　　當(dāng)系統(tǒng)提示輸入一個(gè)模板時(shí),選擇"Setup Security.inf",單擊"打開".

　　如果系統(tǒng)提示"拒絕訪問數(shù)據(jù)庫",不管他.

　　你會(huì)發(fā)現(xiàn)在"C:\WINNT\security\Database"子文件夾中重新生成了新的安全數(shù)據(jù)庫,

　　在"C:\WINNT\security"子文件夾下重新生成了log文件.安全數(shù)據(jù)庫重建成功.