WINDOWS VPS (win2003)安全設置中文教程

WINDOWS vps (win2003)安全設置中文教程

      一、禁止默認共享。

　　方法一：

　　建立一個記事本，填上以下代碼。保存為*.bat並加到啟動項目中

　　net share c$ /del

　　net share d$ /del

　　net share e$ /del

　　net share f$ /del

　　net share ipc$ /del

　　net share admin$ /del

　　方法二：修改註冊表，(注意修改註冊表前一定要先備份一下註冊表，備份方法。在運行>regedit，選擇 文件》導出，取個文件名，導出即可，如果修改註冊表失敗，可以找到導出的註冊表文件雙擊運行即可。)

　　HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters

　　新建 「DWORD值」值名為 「AutoShareWks」 數據值為「0」

　　二、遠程桌面連接配置。

　　開始 > 程序 > 管理工具 > 終端服務配置 > 連接

　　選擇右側」RDP-tcp」連接右擊 屬性 > 權限 刪除(除system外)所有用戶組添加單一的允許使用的管理員賬戶,這樣即使服務器被創建了其它的管理員.也無法使用終端服務。

　　三、serv_u安全設置(注意一定要設置管理密碼，否則會被提權)

　　①打開serv_u,點擊「本地服務「，在右邊點擊」設置/更改密碼「，如果沒有設置密碼，」舊密碼「為空，填好新密碼點擊」確定「。

　　②另外，建議修改本地管理端口.只需要在ServUDaemon.ini中的[global]里加上一行LocalSetupPortNo=端口號,即可

　　四、關閉139、445端口

　　①控制面板-網絡-本地鏈接-屬性(這裡勾選取消”網絡文件和打印機共享”)-tcp/ip協議屬性-高級-WINS-Netbios設置-禁用Netbios，即可關閉139端口.

　　②關閉445端口(注意修改註冊表前一定要先備份一下註冊表，備份方法。在 運行>regedit，選擇文件》導出，取個文件名，導出即可，如果修改註冊表失敗，可以找到導出的註冊表文件雙擊運行即可。)

　　HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\netBT\Parameters

　　新建 「DWORD值」值名為 「SMBDeviceEnabled」 數據為默認值「0」

　　五、刪除不安全組件

　　WScript.Shell 、Shell.application 這兩個組件一般一些ASP木馬或一些惡意程序都會使用到。

　　方法：在「運行」裏面分別輸入以下命令

　　①regsvr32 /u wshom.ocx 卸載WScript.Shell 組件

　　②regsvr32 /u shell32.dll 卸載Shell.application 組件。

　　③regsvr32 /u %windir%\system32\Wshext.dll

　　如果程序不使用fso對象，建議最好也卸載fso組件，需要的時候再重新註冊。

　　Regsvr32 /u scrrun.dll

　　六、設置iis權限。

　　針對每個網站單獨建立一個用戶。

　　①首先，右擊「我的電腦」》管理》本地計算機和組》用戶，在右邊。右擊「新用戶」，建立新用戶，並設置好密碼。如圖：

　　例如：添加test為某一網站訪問用戶。

　　②設置站點文件夾權限

　　然後，打開internet信息服務管理器。找到相應站點。右擊，選擇「權限」如圖：

　　選擇權限後，如下圖：

　　只保留一個超級管理員(可以自己定義)，而不是管理員組。和系統用戶(system)，還有添加的網站用戶。可以點擊「添加」將剛才在系統創建的用戶添加裏面(如test)。然後只給該用戶(test)讀取和運行、瀏覽目錄、讀取的權限。其它權限不用給。另外超級管員也不給寫入權限，系統用戶(system)去掉「完全控制」權限。設置後點確定。

　　③設置訪問用戶。

　　右擊 站點 屬性》目錄安全性》編輯， 將剛才添加的用戶(如test)添加到匿名訪問用戶。密碼和原來密碼一致。

　　設置站點訪問權限。

　　右擊要設置的站點。屬性》主目錄 本地路徑下面只選中 讀取 記錄訪問 索引資源

　　其它都不要選擇。執行權限 選擇性「純腳本」.不要選擇「腳本和可執行文件」。如圖所示：

　　其它設置和就是iis站點的一般設置，不再多說。

　　注意：對於 ASP.NET 程序，則需要設置 IIS_WPG 組的帳號權限，上傳目錄的權限設置：用戶的網站上可能會設置一個或幾個目錄允許上傳文件，上傳的方式一般是通過 ASP、PHP、ASP.NET 等程序來完成。這時需要注意，一定要將上傳目錄的執行權限設為「無」，這樣即使上傳了 ASP、PHP 等腳本程序或者 exe 程序，也不會在用戶瀏覽器里就觸發執行

　　將(純腳本)改成(無).

　　七、數據庫安全設置

　　一定要設置數據庫密碼。

　　另外。對於sql數據庫建議卸載擴展存儲過程xp_cmdshell

　　xp_cmdshell是進入操作系統的最佳捷徑，是數據庫留給操作系統的一個大後門。請把它去掉。使用這個SQL語句：

　　use master

　　sp_dropextendedproc ‘xp_cmdshell’

　　如果你需要這個存儲過程，請用這個語句也可以恢復過來。

　　sp_addextendedproc ‘xp_cmdshell’, ‘xpsql70.dll’