来讲讲：Windows 2003 服务器平安设置图文教程

在linux中学习命令的最好办法是学习Shell脚本编程，Shell脚本比起其他语言来学习简单,但是功能却十分强大.通过学习Shell编程,能让你掌握大量的linux命令。

1. 倡议设置

复制代码

登录/注册后可看大图

登录/注册后可看大图

1. [b]极限测试[/b]

复制代码

在”收集毗连”里，把不必要的协定和服务都删失落，这里只安装了基础的Internet协定（TCP/IP），因为要把持带宽流量服务，分外安装了Qos数据包企图程序。

登录/注册后可看大图

登录/注册后可看大图

1. 在初级tcp/ip设置里--"NetBIOS"设置"禁用tcp/IP上的NetBIOS（S）"。

复制代码

登录/注册后可看大图

在2003体系里，不保举用TCP/IP选择里的端口过滤功效，比如在利用FTP服务器的时分，假如仅仅只开放21端口，因为FTP协定的特别性，在举行FTP传输的时分，因为FTP独有的Port形式和Passive形式，在举行数据传输的时分，必要静态的翻开高端口，以是在利用TCP/IP过滤的情形下，常常会呈现毗连上后没法列出目次和数据传输的成绩。以是在2003体系上增添的windows毗连防火墙能很好的办理这个成绩，以是都不保举利用网卡的TCP/IP过滤功效。

登录/注册后可看大图

在初级选项里，利用”Internet毗连防火墙”，这是windows2003自带的防火墙，在2000体系里没有的功效，固然没甚么功效，但能够屏障端口，如许已基础到达了一个IPSec的功效。

登录/注册后可看大图

登录/注册后可看大图

登录/注册后可看大图

摊开利用到的端口，假如修正了远程桌面的端口，别健忘增加上。假如有邮件服务器的话还要摊开SMTP服务器端口25POP3服务器端口110。对外供应服务的端口都要加上，否则没法会见服务。

登录/注册后可看大图

登录/注册后可看大图

登录/注册后可看大图

登录/注册后可看大图

修正ICMP设置，倡议全体启用，便于收集测试ping等

登录/注册后可看大图

登录/注册后可看大图

权限的设置一切磁盘分区的根目次只给Administrators组和SYSTEM的完整把持权限，注重体系盘不要交换子目次的权限。windows目次和ProgramFiles目次等一些目次并没有承继父目次权限，这些目次还必要别的一些权限才干运转。C:DocumentsandSettings目次只给Administrators组和SYSTEM的完整把持权限，并使用到子工具的项目替换一切子工具的权限项目。体系盘DocumentsandSettingsAllUsers目次只给Administrators组和SYSTEM的完整把持权限。这里给的system权限也纷歧定必要给，只是因为某些第三方使用程序是以服务情势启动的，必要加上这个用户，不然形成启动不了。

登录/注册后可看大图

登录/注册后可看大图

登录/注册后可看大图

c:/DocumentsandSettings/这里要注重，前面的目次里的权限基本不会承继夙昔的设置，假如仅仅只是设置了C盘给administrators权限，而在AllUsers/ApplicationData目次下会呈现everyone用户有完整把持权限，如许进侵这能够跳转到这个目次，写进剧本或只文件，再分离其他毛病来提拔权限；比如使用serv-u的当地溢出提拔权限，或体系漏掉有补钉，数据库的缺点等等。在用做web/ftp服务器的体系里，倡议设置。

登录/注册后可看大图

Windows目次要加上给users的默许权限，不然ASP和ASPX等使用程序就没法运转。假如修正的话，不要使用到子工具的项目替换一切子工具的权限项目。体系目次权限拿禁绝的话就不要动了，一样平常做好根目次和DocumentsandSettings就对照平安了，asp程序会见不了根目次就会见不了子目次。

登录/注册后可看大图

别的DocumentsandSettings目次增添Users用户组的读取运转权限，能够制止呈现LoadUserProfile失利,必要注重的是一但有users组读取权限，asp木马就可以会见这个目次。为了平安必要承受一些毛病日记。（2009年1月13日备注：貌似是没有system完整就呈现LoadUserProfile，与users有关。）

登录/注册后可看大图

体系盘
下cacls.exe;cmd.exe;net.exe;net1.exe;ftp.exe;tftp.exe;telnet.exe;netstat.exe;regedit.exe;at.exe;attrib.exe;format.com文件只给Administrators组和SYSTEM的完整把持权限。可查找一下一致设置，大概编纂一份批处置，利用cacls命令处置。

登录/注册后可看大图

当地战略→考核战略

　　考核战略变动　　　乐成　失利　　
　　考核登录事务　　　乐成　失利
　　考核工具会见　　　　　　失利
　　考核历程跟踪　　　无考核
　　考核目次服务会见　　　　失利
　　考核特权利用　　　　　　失利
　　考核体系事务　　　乐成　失利
　　考核账户登录事务　乐成　失利
　　考核账户办理　　　乐成　失利

　　当地战略→用户权限分派
　　封闭体系：只要Administrators组、别的全体删除。
　　经由过程终端服务同意上岸：只到场Administrators,RemoteDesktopUsers组，其他全体删除

　　当地战略→平安选项
　　交互式上岸：不显现前次的用户名　　　　　　　启用
　　收集会见：不同意SAM帐户和共享的匿名列举　　启用
　　收集会见：不同意为收集身份考证贮存凭据　　　启用
　　收集会见：可匿名会见的共享　　　　　　　　　全体删除
　　收集会见：可匿名会见的命　　　　　　　　　　全体删除
　　收集会见：可远程会见的注册表路径　　　　　　全体删除
　　收集会见：可远程会见的注册表路径和子路径　　全体删除
　　帐户：重定名宾客帐户　　　　　　　　　　　　重定名一个帐户
　　帐户：重定名体系办理员帐户　　　　　　　　　重定名一个帐户

【禁用不用要的服务入手下手-运转-services.msc】

　　ComputerBrowser　：保护收集上盘算机的最新列表和供应这个列表
　　DistributedFileSystem　：局域网办理共享文件，不必要可禁用
　　DistributedLinkTrackingClient　：用于局域网更新毗连信息，不必要可禁用
　　ErrorReportingService　：克制发送毛病呈报
　　Messenger　：传输客户端和服务器之间的NETSEND和警报器服务动静
　　MicrosoftSerch　：供应疾速的单词搜刮，不必要可禁用
　　NTLMSecuritySupportProvider　：telnet服务和MicrosoftSerch用的，不必要可禁用
　　PrintSpooler　：假如没有打印机可禁用
　　RemoteDesktopHelpSessionManager　：克制远程帮忙
　　RemoteRegistry：克制远程修正注册表
　　Server　：撑持此盘算机经由过程收集的文件、打印、和定名管道共享
　　Taskscheduler　：同意程序在指准时间运转
　　TCP/IPNetBIOSHelper　：供应TCP/IP服务上的NetBIOS和收集上客户真个NetBIOS称号剖析的撑持而利用户可以共享文
　　Workstation　：封闭的话远程NET命令列不出用户组
　　以上是在WindowsServer2003体系下面默许启动的服务中禁用的，默许禁用的服务如没出格必要的话不要启动。

【卸载最不平安的组件】

　　最复杂的举措是间接卸载后删除响应的程叙文件。

　　将上面的代码保留为一个.BAT文件，(以下以win2003为例体系文件夹应当是C:WINDOWS)

.代码以下:

　　regsvr32/uC:WINDOWSsystem32wshom.ocx
　　regsvr32/uC:windowssystem32wshext.dll
　　regsvr32/uC:WINDOWSsystem32shell32.dll



　　假如有大概删除这些组件
　　delC:WINDOWSsystem32shell32.dll
　　delC:WINDOWSsystem32wshom.ocx
　　delC:windowssystem32wshext.dll
　　然后运转一下，WScript.Shell,Shell.application,WScript.Network就会被卸载了。
　　往http://www.ajiang.net/products/aspcheck/下载阿江的探针检察相干平安设置情形。

　　大概会提醒没法删除文件，不必管它，重启一下服务器，你会发明这三个都提醒“×平安”了。

　　恢复的话，往失落/u就好了FSO(FileSystemObject)是微软ASP的一个对文件操纵的控件，该控件能够对服务器举行读取、新建、修正、删除目次和文件的操纵。是ASP编程中十分有效的一个控件。可是由于权限把持的成绩，良多假造主机服务器的FSO反而成为这台服务器的一个公然的后门，由于客户能够在本人的ASP网页内里间接就对该控件编程，从而把持该服务器乃至删除服务器上的文件。因而很多业界的假造主机供应商都爽性关失落了这个控件，让客户少了良多天真性。我们公司的W2K假造主机服务用具有高平安性，可让客户在本人的网站空间中恣意利用却有无举措伤害体系大概妨害其他客户网站的一般运转。

FSO的增加

1、起首在体系盘中查找scrrun.dll，假如存在这个文件，请跳到第三步，假如没有，请实行第二步。
2、在安装文件目次i386中找到scrrun.dl_，用winrar解紧缩后scrrun.dll复制到体系盘:windowssystem32目次。
3、运转regsvr32scrrun.dll便可。

FSO删除
regsvr32/uscrrun.dll
倡议保存

卸载stream工具

在cmd下运转：
regsvr32/s/u"C:ProgramFilesCommonFilesSystemadomsado15.dll"
恢复的话，往失落/u就好了，倡议保存修正远程桌面毗连的3389端口为9874，十六进制2692即是十进制9874，依据必要修正成符合的端口。将上面的内容保留为.reg文件，导进注册表便可。（非必须）
.代码以下:

WindowsRegistryEditorVersion5.00

[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlTerminalServerWdsrdpwdTdstcp]
"PortNumber"=dword:00002692

[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlTerminalServerWinStationsRDP-Tcp]
"PortNumber"=dword:00002692



杀毒

这里先容MCAFEE8.5i中文企业版(s.jb51.net有的下载)
由于这个版本关于国际的很多歹意代码和木马都可以实时的更新.
好比已可以检测到海阳顶端2006
并且可以杀除IMAIL等SMTP软件利用的行列中MIME编码的病毒文件
而良多人喜好安装诺顿企业版.而诺顿企业版,关于WEBSHELL.基础都是没有反响的.
并且没法关于MIME编码的文件举行杀毒.
在MCAFEE中.
我们还可以到场划定规矩.制止在windows目次创建和修正EXE.DLL文件等
我们在软件中到场对WEB目次的杀毒企图.
天天实行一次
而且翻开及时监控.
注重：安装一些杀毒软件会影响ASP地实行，是由于禁用了jscript.dll和vbscript.dll组件
在dos体例下运转regsvr32jscript.dll,regsvr32vbscript.dll排除限定便可
好比呈现哀求的资本在利用中

regsvr32%windir%system32jscript.dll
regsvr32%windir%system32vbscript.dll

功能实在太强了,在配合exec参数或者通过管道重定向到xargs命令和grep命令,可以完成非常复杂的操作,如果同样的操作用图形界面的工具来完成,恐怕要多花十几陪的时间。

现在的linux操作系统如redhat，难点，红旗等，都是用这么一个内核，加上其它的用程序(包括X)构成的。

说实话小时候没想过搞IT，也计算机了解也只是一些皮毛，至于什么UNIX，Linux，听过没见过，就更别说用过了。?

Windows?是图形界面的，Linux类似以前的?DOS，是文本界面的，如果你运行了图形界面程序X-WINDOWS后，Linux?也能显示图形界面，也有开始菜单、桌面、图标等。

笔者五分钟后就给出了解决方法： “首先备份原文件到其他目录，然后删掉/usr/local/unispim/unispimsp.ksc，编辑 /usr/local/unispim/unispimsp.ini，最后重启动计算机

在学习linux的工程中，linux学习方法有很多种，这里是小编的学习心得，给大家拿出来分享一下。

linux鸟哥的私房菜，第三版，基础篇，网上有pdf下的，看它的目录和每章的介绍就行了，这个绝对原创！

感谢老师和同学们在学习上对我的帮助。

让我树立了很大的信心学好这门课程，也学到了不少专业知识和技能。?