web服务器安全配置的内容
1终端服务默认端口号:3389。
更改原因:不想让非法用户连接到服务器进行登录实验。当这台服务器托管在外时更不希望发生这种情况,呵呵,还没忘记2000的输入法漏洞吧?
更改方法:
(1)、第一处[hkey_local_machine system currentcontrolset control terminal server wds rdpwd tds tcp],看到右边的portnumber了吗?在十进制状态下改成你想要的端口号吧,比如7126之类的,只要不与其它冲突即可。
(2)、第二处[hkey_local_machine system currentcontrolset control terminal server winstations rdp-tcp,方法同上,记得改的端口号和上面改的一样就行了。
2系统盘windowssystem32cacls.exe、cmd.exe、net.exe、net1.exe、telnet.exe、ftp.exe 文件只给 administrators 组和 system 的完全控制权限
注册表删除 wscript.shell、wscript.shell.1、wscript.network、wscript.network.1、shell.application
注册表改名 adodb.stream、scripting.dictionary、scripting.filesystemobject
3启用防火墙和tcp/ip过滤,再serv-u开启一组端口映射
80 20 21 2121 * 以及serv-u端口组
下面这关于win2003禁止web等目录执行exe,bat,com
运行-----输入 gpedit.msc ----计算机配置---windows 设置----安全设置↓软件限制策略(如果旁边没有什么东西。点右键创建一个策略)---其他规则----(点右键)新建立一个路径规则(p)。
如图1:
这样d:wwwroot目录就无法执行任何exe.bat.com文件了。 不管你是什么权限。即使是system都无法执行。
这样大大的提高了被使用exp提升权限的安全性。
当然这里提一个思路。 。大家都知道c:windowstemp是临时文件夹。 基本都是所有用户都可以写的。它是不需要执行权限的。
当然我们这里可以给他加一个规则。让c:windowstemp无执行权限。 方法如上。
原理:基于软件策略从这些目录都无法运行程序,增加安全。