转载:黑客基地 作者:黑基版主
来了这里黑基这么久了,终于从壳中爬出来了,正向努力,但偶可是一个合格的水兵,呵呵常到水区活动,到技术版也都是看贴不回的那种。(别拿鸡蛋打我噢)直到今天也知道写东东这么难呀!听说这里多菜的都可以写呵呵。现在肯书吧,来不急了、偶也太懒,就只好吃老本了,写点别人写的少点的吧,一时还想不起来,先用这个对付一下吧!毕人一向文笔不好还老打错字。在向下看就请大家忍受一下吧。
述话说最少的服务+最小的权限=最大的安全。
首先要了解我们的计算机上的服务的作用,每个服务绑定着一个端口。详细可以参照端口对照表和服务对照表。由于那个东东满天都是,字数也太多不易在这里发所以……………
端口对照表
http://hackbase.com/bbs/viewthre ... mp;page=1#pid358202
服务对照表
http://hackbase.com/bbs/viewthread.php?tid=47657 一、关闭常用端口停止服务
关闭21端口:关闭FTP Publishing Service。
关闭23端口:关闭Telnet服务。
关闭25端口:关闭Simple Mail Transport Protocol (SMTP)服务。
关闭135端口:关闭Location Service服务
关闭139端口:
网络和拨号连接中和本地连接—>Internet协议(TCP/IP)属性—>高级TCP/IP设置—>WINS设置里面“禁用TCP/IP的NETBIOS”,勾选就OK了。
关闭3389端口:关闭Terminal Services服务(默认没开)由于3389这个洞洞N流行,说不定那天你就发现你的机器提供Terminal Services这个服务.
1.禁止C$、D$、E$的共享
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters
AutoShareServer、REG_DWORD设置值为0
2.禁止ADMIN$缺省共享
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters
AutoShareWKs、REG_DWORD设置值为0
3.限制IPC$缺省共享
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa
restrictanonemous、REG_DWORD设置值为1
2000、server、XP有点不同。如果觉得上边太麻烦,可直接把server服务停了。Net stop server可当下次启动时还会启动,这个要从开始-->程序-->管理工具-->服务停止后“已禁用”(要是安防火滤掉139、445端口也就不会费那么多事了)
还有\system32\drivers\etc\services这里有知名的端口对照表,看着办吧。
建意把没用的端口和服务都停了,但是也是盲目的停。就像…
Network connections服务,他的作用是管理
网络连接文件夹中的所有对象,如果禁用了他,那么“
网络连接”中的
网络连接里将空无一物,
网络配置的操作也无法进行。
Messenger服务,是一个信使服务是用来在服务器和工作站之间传输net send消息的,如禁用他,来自公司网管的有用信息也被过滤了。
等等………
二、本地administrator、guest账户
大家都知道,
windows 2000以后的操作系统有一个guset账户,对于我们他就是一个隐患。停用这个账户要是在这里说,大家会用中间的手指来顶我的。删除呀还有少数的人不知道,就这个吧!于win2000/XP的用户信息存在SAM这个数据库中,他存在注册表的“HKEY_LOCAL_MACHINE\SAM\SAM”里边。只要把guest的信息删了就OK了。可是用administrator这个用户还是没有这个权限,不信你可以试试,呵呵~~~。
对于2000系统
1、要先下一个psu.exe这个工具,(要是找不到我给你噢)然后保存到system32目录里。
2、还要找到winlogon的PID值,按ctrl+alt+del到进程里找,就是最后过的那个。毕人的是389(他好像会变的噢)。
3、命令提示符输入,psu –p regedit.exe –I 389命令。
4、进入regedit,新sam就可展开访问了,删除以下两个建值,HKEY_LOCAL_MACHINE\SAM\SAM\domains\account\users\names\guset和HKEY_LOCAL_MACHINE\SAM\SAM\domains\account\users\names\00000.F5(以上有可以打错字符,对付着找吧!)
如果还不好使,那就在system\config目录中找SAM文件,右键—>属性—>在安全选项,把admistrator权限设成和systrm一样的权限。在运行psu –p regedit.exe –I 389。
对于XP就好搞多了;regeditHKEY_LOCAL_MACHINE\SAM\SAM右键权限把administrtaor设成system一样的权限就OK了。新删除以上丙个键值就成了。
偶的一个骚友这小子说gqedit.msc中也可以删guest,偶找了N遍偶也没有找到,请大侠们指点。
自于那个administrator(如果是空口令那就死定了)这个建意改名,(计算机管理->系统工具->本地用户和组->用户来改名.),然后在把administrators这个组也删了。要是想删administrator同上边的方法(XP测试通过)。
三、计算机组名及功能。
1、Administrators管理员对计算机/域有不受限制的完全访问权。
2、Backup Operators 备份操作员为了备份或还原文件可以替代安全限制
3、Guests这个组的成员有同等访问权,但来宾帐户的限制更多
4、Network Configuration Operators 组中的成员有部分管理权限来管理
网络功能的配置
5、Power Users行经过验证的应用程序,也可以运行旧版应用程序
6、Remote Desktop Users此组中的成员被授予远程登录的权限
7、Replicator支持域中的文件复制
8、Users经过证明的文件,但不能运行大多数旧版应用程序
9、HelpServicesGroup 帮助和支持中心组
要使用“共享文件夹”,您必须是 Administrators 成员或 Power Users 组成员
Backup Operators 组的成员可以备份和还原计算机上的文件,而不管保护这些文件的权限如何。他们还可以登录到计算机和关闭计算机,但不能更改安全性设置
如果使用Users 组或 Power Users 组中的用户。以 Users 组成员身份登录时,你可以执行日常任务,包括运行程序和访问 Internet 站点。作为 Power Users 组的成员,你可以执行日常任务,也可以安装程序、添加打印机以及使用“控制面板”中的大部分项目。
经常看看你的组里多了什么用户-----net localgroup "组名"。
经常看看里边多了什么吧,听说组也可以删了的,可是偶还没试过。还有就是最好还是把自动更新开着,他会方便我们的.呵呵..偶太懒了。还有设定安全记录的访问权限、开启帐户策略、开启密码密码策略、打开审核策略这些都可以对计算机有一定的保护。还要看看随计算机启动的东东,msconfig、regedit里边的启动项、win.ini、autoexec.bat…………说不定什么木马偷偷的藏着呢!
还有”用户权限指派”里边可以设置什么类型的组可以作什么样的操作,他在管理工具本地安全设置本地策略用户权限指派利如:”远程访问计算机”这个你可以把别的组都删除了,只保留administrators,”从远程强制关机”等设置都在这里边,介绍很全面一看就会.在这就不说了.
这是毕人的处女作,有不对的还请大侠指教,偶愿和大侠们学习,好了就到这吧!我去呼呼了,明天还要上班。^Q^
对了防火墙,记的把IP规则按自己的须要设定一下,默认的不一定安全噢.也不一定适合你。杀毒软件也要安……睡去了.呵呵..
减小字体
增大字体