俗话说最少的服务+最小的权限=最大的安全。
首先要了解我们的计算机上的服务的作用,每个服务绑定着一个端口。详细可以参照端口对照表和服务对照表。由于那个东东满天都是,字数也太多不易在这里发所以……………
端口对照表http://hackbase.com/bbs/viewthre ... mp;page=1#pid358202
服务对照表http://hackbase.com/bbs/viewthread.php?tid=47657
一、关闭常用端口停止服务
关闭21端口:关闭FTP Publishing Service。
关闭23端口:关闭Telnet服务。
关闭25端口:关闭Simple Mail Transport Protocol (SMTP)服务。
关闭135端口:关闭
Location Service服务
关闭139端口:网络和拨号连接中和本地连接—>Internet协议(TCP/IP)属性—>高级TCP/IP设置—>WINS设置里面“禁用TCP/IP的NETBIOS”,勾选就OK了。
关闭3389端口:关闭Terminal Services服务(默认没开)由于3389这个洞洞N流行,说不定那天你就发现你的机器提供Terminal Services这个服务.
1.禁止C$、D$、E$的共享
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters
AutoShareServer、REG_DWORD设置值为0
2.禁止ADMIN$缺省共享
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters
AutoShareWKs、REG_DWORD设置值为0
3.限制IPC$缺省共享
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa
restrictanonemous、REG_DWORD设置值为1
2000、server、XP有点不同。如果觉得上边太麻烦,可直接把server服务停了。Net stop server可当下次启动时还会启动,这个要从开始-->程序-->管理工具-->服务停止后“已禁用”(要是安防火滤掉139、445端口也就不会费那么多事了)
还有\system32\drivers\etc\services这里有知名的端口对照表,看着办吧。
建意把没用的端口和服务都停了,但是也是盲目的停。就像…
Network connections服务,他的作用是管理网络连接文件夹中的所有对象,如果禁用了他,那么“网络连接”中的网络连接里将空无一物,网络配置的操作也无法进行。
Messenger服务,是一个信使服务是用来在服务器和工作站之间传输net send消息的,如禁用他,来自公司网管的有用信息也被过滤了。
二、本地administrator、guest账户
大家都知道,windows 2000以后的操作系统有一个guset账户,对于我们他就是一个隐患。停用这个账户要是在这里说,大家会用中间的手指来顶我的。删除呀还有少数的人不知道,就这个吧!于win2000/XP的用户信息存在SAM这个数据库中,他存在注册表的“HKEY_LOCAL_MACHINE\SAM\SAM”里边。只要把guest的信息删了就OK了。可是用administrator这个用户还是没有这个权限,不信你可以试试,呵呵~~~。
对于2000系统
1、要先下一个psu.exe这个工具,(要是找不到我给你噢)然后保存到system32目录里。
2、还要找到winlogon的PID值,按ctrl+alt+del到进程里找,就是最后过的那个。毕人的是389(他好像会变的噢)。
3、命令提示符输入,psu ?Cp regedit.exe ?CI 389命令。
4、进入regedit,新sam就可展开访问了,删除以下两个建值,HKEY_LOCAL_MACHINE\SAM\SAM\domains\account\users\names\guset和HKEY_LOCAL_MACHINE\SAM\SAM\domains\account\users\names\00000.F5(以上有可以打错字符,对付着找吧!)
如果还不好使,那就在system\config目录中找SAM文件,右键—>属性—>在安全选项,把admistrator权限设成和systrm一样的权限。在运行psu ?Cp regedit.exe ?CI 389。
对于XP就好搞多了;regeditHKEY_LOCAL_MACHINE\SAM\SAM右键权限把administrtaor设成system一样的权限就OK了。新删除以上丙个键值就成了。
偶的一个骚友这小子说gqedit.msc中也可以删guest,偶找了N遍偶也没有找到,请大侠们指点。
自于那个administrator(如果是空口令那就死定了)这个建意改名,(计算机管理->系统工具->本地用户和组->用户来改名.),然后在把administrators这个组也删了。要是想删administrator同上边的方法(XP测试通过)。
三、计算机组名及功能。
1、Administrators 管理员对计算机/域有不受限制的完全访问权。
2、Backup Operators 备份操作员为了备份或还原文件可以替代安全限制
3、Guests 这个组的成员有同等访问权,但来宾帐户的限制更多
4、Network Configuration Operators 组中的成员有部分管理权限来管理网络功能的配置
5、Power Users 行经过验证的应用程序,也可以运行旧版应用程序
6、Remote Desktop Users 此组中的成员被授予远程登录的权限
7、Replicator 支持域中的文件复制
8、Users 经过证明的文件,但不能运行大多数旧版应用程序
9、HelpServicesGroup 帮助和支持中心组
要使用“共享文件夹”,您必须是 Administrators 成员或 Power Users 组成员
Backup Operators 组的成员可以备份和还原计算机上的文件,而不管保护这些文件的权限如何。他们还可以登录到计算机和关闭计算机,但不能更改安全性设置
如果使用Users 组或 Power Users 组中的用户。以 Users 组成员身份登录时,你可以执行日常任务,包括运行程序和访问 Internet 站点。作为 Power Users 组的成员,你可以执行日常任务,也可以安装程序、添加打印机以及使用“控制面板”中的大部分项目。
经常看看你的组里多了什么用户 -----net localgroup "组名"。
经常看看里边多了什么吧,听说组也可以删了的,可是偶还没试过。还有就是最好还是把自动更新开着,他会方便我们的.呵呵..偶太懒了。还有设定安全记录的访问权限、开启帐户策略、开启密码密码策略、打开审核策略这些都可以对计算机有一定的保护。还要看看随计算机启动的东东,msconfig、regedit里边的启动项、win.ini、autoexec.bat…………说不定什么木马偷偷的藏着呢!
还有”用户权限指派”里边可以设置什么类型的组可以作什么样的操作,他在管理工具本地安全设置本地策略用户权限指派利如:”远程访问计算机”这个你可以把别的组都删除了,只保留administrators,”从远程强制关机”等设置都在这里边,介绍很全面一看就会.在这就不说了.