8AV国产精品爽爽Va在线观看_国产精品视频免费播放_综合精品综合一区二区_蜜臀福利视频免费观看

　　樓主您好
有禮了
我是專業(yè)的IDC服務(wù)器工作人員，我來幫幫您

正確設(shè)置磁盤的**性,具體如下(虛擬機的**設(shè)置，我們以asp程序為例子)重點：

1、系統(tǒng)盤權(quán)限設(shè)置

C:分區(qū)部分：

c:\

administrators 全部(該文件夾，子文件夾及文件)

CREATOR OWNER 全部(只有子文件來及文件)

system 全部(該文件夾，子文件夾及文件)

IIS_WPG 創(chuàng)建文件/寫入數(shù)據(jù)(只有該文件夾)

IIS_WPG(該文件夾，子文件夾及文件)

遍歷文件夾/運行文件

列出文件夾/讀取數(shù)據(jù)

讀取屬性

創(chuàng)建文件夾/附加數(shù)據(jù)

讀取權(quán)限

c:\Documents and Settings

administrators 全部(該文件夾，子文件夾及文件)

Power Users (該文件夾，子文件夾及文件)

讀取和運行

列出文件夾目錄

讀取

SYSTEM全部(該文件夾，子文件夾及文件)

C:\Program Files

administrators 全部(該文件夾，子文件夾及文件)

CREATOR OWNER全部(只有子文件來及文件)

IIS_WPG (該文件夾，子文件夾及文件)

讀取和運行

列出文件夾目錄

讀取

Power Users(該文件夾，子文件夾及文件)

修改權(quán)限

SYSTEM全部(該文件夾，子文件夾及文件)

TERMINAL SERVER USER (該文件夾，子文件夾及文件)

修改權(quán)限

2、網(wǎng)站及虛擬機權(quán)限設(shè)置(比如網(wǎng)站在E盤)

說明：我們假設(shè)網(wǎng)站全部在E盤wwwsite目錄下，并且為每一個虛擬機創(chuàng)建了一個guest用戶，用戶名為vhost1...vhostn并且創(chuàng)建了一個webuser組，把所有的vhost用戶全部加入這個webuser組里面方便管理

E:\

Administrators全部(該文件夾，子文件夾及文件)

E:\wwwsite

Administrators全部(該文件夾，子文件夾及文件)

system全部(該文件夾，子文件夾及文件)

service全部(該文件夾，子文件夾及文件)

E:\wwwsite\vhost1

Administrators全部(該文件夾，子文件夾及文件)

system全部(該文件夾，子文件夾及文件)

vhost1全部(該文件夾，子文件夾及文件)

3、數(shù)據(jù)備份盤

數(shù)據(jù)備份盤更好只指定一個特定的用戶對它有完全操作的權(quán)限

比如F盤為數(shù)據(jù)備份盤，我們只指定一個管理員對它有完全操作的權(quán)限

4、其它地方的權(quán)限設(shè)置

請找到c盤的這些文件，把**性設(shè)置只有特定的管理員有完全操作權(quán)限

下列這些文件只允許administrators訪問

net.exe

net1.exet

cmd.exe

tftp.exe

netstat.exe

regedit.exe

at.exe

attrib.exe

cacls.exe

format.com

5.刪除c:\inetpub目錄，刪除iis不必要的映射，建立陷阱帳號，更改描述

第三招：禁用不必要的服務(wù)，提高**性和系統(tǒng)效率

Computer Browser 維護網(wǎng)絡(luò)上計算機的更新列表以及提供這個列表

Task scheduler 允許程序在指定時間運行

Routing and Remote Access 在局域網(wǎng)以及廣域網(wǎng)環(huán)境中為企業(yè)提供路由服務(wù)

Removable storage 管理可移動媒體、驅(qū)動程序和庫

Remote Registry Service 允許遠程注冊表操作

Print Spooler 將文件加載到內(nèi)存中以便以后打印。要用打印機的朋友不能禁用這項

IPSEC Policy Agent 管理IP**策略以及啟動ISAKMP/OakleyIKE)和IP**驅(qū)動程序

Distributed Link Tracking Client 當文件在網(wǎng)絡(luò)域的NTFS卷中移動時發(fā)送通知

Com+ Event System 提供事件的自動發(fā)布到訂閱COM組件

Alerter 通知選定的用戶和計算機管理警報

Error Reporting Service 收集、存儲和向 Microsoft 報告異常應(yīng)用程序

Messenger 傳輸客戶端和服務(wù)器之間的 NET SEND 和 警報器服務(wù)消息

Telnet 允許遠程用戶登錄到此計算機并運行程序

第四招:修改注冊表，讓系統(tǒng)更強壯

1、 隱藏重要文件/目錄可以修改注冊表實現(xiàn)完全隱藏：HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\ Current-Version\Explorer\Advanced\Folder\Hi-dden\SHOWALL”，鼠標右擊 “CheckedValue”，選擇修改，把數(shù)值由1改為0

2、啟動系統(tǒng)自帶的Internet連接_blank">防火墻，在設(shè)置服務(wù)選項中勾選Web服務(wù)器。

3、防止SYN洪水攻擊

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters

新建DWORD值，名為SynAttackProtect，值為2

EnablePMTUDiscovery REG_DWORD 0

NoNameReleaseOnDemand REG_DWORD 1

EnableDeadGWDetect REG_DWORD 0

KeepAliveTime REG_DWORD 300,000

PerformRouterDiscovery REG_DWORD 0

EnableICMPRedirects REG_DWORD 0

做網(wǎng)站 4. 禁止響應(yīng)ICMP路由通告報文

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\interface

新建DWORD值，名為PerformRouterDiscovery 值為0

5. 防止ICMP重定向報文的攻擊

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters

將EnableICMPRedirects 值設(shè)為0

6. 不支持IGMP協(xié)議

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters

新建DWORD值，名為IGMPLevel 值為0

7.修改終端服務(wù)端口

運 行regedit，找到[HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Control \ Terminal Server \ Wds \ rdpwd \ Tds \ tcp]，看到右邊的PortNumber了嗎？在十進制狀態(tài)下改成你想要的端口號吧，比如7126之類的，只要不與其它沖突即可。

2、 **處HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Control \ Terminal Server \ WinStations \ RDP-Tcp，方法同上，記得改的端口號和上面改的一樣就行了。

8、禁止IPC空連接：

cracker 可以利用net use命令建立空連接，進而入侵，還有net view，nbtstat這些都是基于空連接的，禁止空連接就好了。打開注冊表，找到Local_Machine\System\ CurrentControlSet\Control\LSA-RestrictAnonymous 把這個值改成”1”即可。

9、更改TTL值

cracker可以根據(jù)ping回的TTL值來大致判斷你的操作系統(tǒng)，如：

TTL=107(WINNT);

TTL=108(win2000);

TTL=127或128(win9x);

TTL=240或241(linux);

TTL=252(solaris);

TTL=240(Irix);

實 際上你可以自己更改的：HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\ Parameters：DefaultTTL REG_DWORD 0-0xff(0-255 十進制,默認值128)改成一個莫名其妙的數(shù)字如258，起碼讓那些小菜鳥暈上半天，就此放棄入侵你也不一定哦

10. 刪除默認共享

有 人問過我一開機就共享所有盤，改回來以后，重啟又變成了共享是怎么回事，這是2K為管理而設(shè)置的默認共享，必須通過修改注冊表的方式取消它： HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters： AutoShareServer類型是REG_DWORD把值改為0即可

11. 禁止建立空連接

默認情況下，任何用戶通過通過空連接連上服務(wù)器，進而枚舉出帳號，猜測密碼。我們可以通過修改注冊表來禁止建立空連接：

Local_Machine\System\CurrentControlSet\Control\LSA-RestrictAnonymous 的值改成”1”即可。

第五招:其它**手段

1.禁用TCP/IP上的NetBIOS

網(wǎng)上鄰居-屬性-本地連接-屬性-Internet協(xié)議（TCP/IP）屬性-**-WINS面板-NetBIOS設(shè)置-禁用TCP/IP上的NetBIOS。這樣cracker就無法用nbtstat命令來讀取你的NetBIOS信息和網(wǎng)卡MAC地址了。

2. 賬戶**

前幾 先禁止一切賬戶，除了你自己，呵呵。然后把Administrator改名。我呢就順手又建了個Administrator賬戶，不過是什么權(quán)限都沒有的 那種，然后打開記事本，一陣亂敲，復(fù)制，粘貼到“密碼”里去，呵呵，來破密碼吧~！破完了才發(fā)現(xiàn)是個低級賬戶，看你崩潰不？

創(chuàng)建2個管理員用帳號

雖 然這點看上去和上面這點有些矛盾，但事實上是服從上面的規(guī)則的。 創(chuàng)建一個一般權(quán)限帳號用來收信以及處理一些*常事物，另一個擁有Administrators 權(quán)限的帳戶只在需要的時候使用?？梢宰尮芾韱T使用 “ RunAS” 命令來執(zhí)行一些需要特權(quán)才能作的一些工作，以方便管理

3.更改C:\WINDOWS\Help\iisHelp\common\404b.htm內(nèi)容改為 這樣，出錯了自動轉(zhuǎn)到首頁

4. **日志

我遇到過這樣的情況，一臺主機被別人入侵了，系統(tǒng)管理員請我去追查兇手，我登錄進去一看：**日志是空的，倒，請記?。篧in2000的默認安裝是不開任何**審核的！那么請你到本地**策略->審核策略中打開相應(yīng)的審核，推薦的審核是：

賬戶管理 成功 失敗

登錄事件 成功 失敗

對象訪問 失敗

策略更改 成功 失敗

特權(quán)使用 失敗

系統(tǒng)事件 成功 失敗

目錄服務(wù)訪問 失敗

賬戶登錄事件 成功 失敗

審核項目少的缺點是萬一你想看發(fā)現(xiàn)沒有記錄那就一點都沒轍；審核項目太多不僅會占用系統(tǒng)資源而且會導(dǎo)致你根本沒空去看，這樣就失去了審核的意義

5. 運行防毒軟件

我 見過的Win2000/Nt服務(wù)器從來沒有見到有安裝了防毒軟件的，其實這一點非常重要。一些好的殺毒軟件不僅能殺掉一些**的病毒，還能查殺大量木馬和 后門程序。這樣的話，“黑客”們使用的那些有名的木馬就毫無用武之地了。不要忘了經(jīng)常升級病毒庫,我們推薦mcafree殺毒軟件+ blackice_blank">防火墻

6.sqlserver數(shù)據(jù)庫服務(wù)器**和serv-u ftp服務(wù)器**配置，更改默認端口，和管理密碼

7.設(shè)置ip篩選、用blackice禁止木馬常用端口

一般禁用以下端口

135 138 139 443 445 4000 4899 7626

8.本地**策略和組策略的設(shè)置,如果你在設(shè)置本地**策略時設(shè)置錯了，可以這樣恢復(fù)成它的默認值.

打開 %SystemRoot%\Security文件夾,創(chuàng)建一個 "OldSecurity"子目錄,將%SystemRoot%\Security下所有的.log文件移到這個新建的子文件夾中.

在%SystemRoot%\Security\database\下找到"Secedit.sdb"**數(shù)據(jù)庫并將其改名,如改為"Secedit.old".

啟動"**配置和分析"MMC管理單元:"開始"->"運行"->"MMC",啟動管理控制臺,"添加/刪除管理單元",將"**配置和分析"管理單元添加上.

右擊"**配置和分析"->"打開數(shù)據(jù)庫",瀏覽"C:\WINNT\security\Database"文件夾,輸入文件名"secedit.sdb",單擊"打開".

當系統(tǒng)提示輸入一個模板時,選擇"Setup Security.inf",單擊"打開".

如果系統(tǒng)提示"拒更訪問數(shù)據(jù)庫",不管他.

你會發(fā)現(xiàn)在"C:\WINNT\security\Database"子文件夾中重新生成了新的**數(shù)據(jù)庫,

在"C:\WINNT\security"子文件夾下重新生成了log文件.**數(shù)據(jù)庫重建成功.

很高興為您解答，有什么不明白的，歡迎與我咨詢，海騰數(shù)據(jù)---中尉

　　、負責、專業(yè)、尊重、堅強、專注是本公司網(wǎng)站制作的公司宗旨，得到一些顧客的表揚。急需大型網(wǎng)站**加固和攻擊防范論文此外：各城市眾多網(wǎng)站設(shè)計人的中真實懂的SEO網(wǎng)頁優(yōu)化、高技術(shù)的人更少、完全不會僅為2% 因而必須要找實際實踐多的網(wǎng)站公司合作。單位尋找人做站 能有那些如此一個誤以為：只不過尋找本地方網(wǎng)絡(luò)建設(shè)公司,認為隨意設(shè)計個網(wǎng)頁就會網(wǎng)上實行買賣了，更后木有任何成果。

查看更多寧波網(wǎng)站建設(shè)加固大型網(wǎng)站急需論文防范