九色国产,午夜在线视频,新黄色网址,九九色综合,天天做夜夜做久久做狠狠,天天躁夜夜躁狠狠躁2021a,久久不卡一区二区三区

<>步驟

<>注意：

<>安裝和配置 Windows

Server

2003。

1. 將\System32\cmd.exe轉(zhuǎn)移到其他目錄或更名；

2. 系統(tǒng)賬號(hào)盡量少，更改默認(rèn)帳戶(hù)名（如Administrator）和描述，密碼盡量復(fù)雜；

3. 拒絕通過(guò)網(wǎng)絡(luò)訪(fǎng)問(wèn)該計(jì)算機(jī)（匿名登錄；內(nèi)置管理員帳戶(hù)；Support_388945a0；Guest；所有非操作系統(tǒng)服務(wù)帳戶(hù)）

4. 建議對(duì)一般用戶(hù)只給予讀取權(quán)限，而只給管理員和System以完全控制權(quán)限，但這樣做有可能使某些正常的腳本程序不能執(zhí)行，或者某些需要寫(xiě)的操作不能完成，這時(shí)需要對(duì)這些文件所在的文件夾權(quán)限進(jìn)行更改，建議在做更改前先在測(cè)試機(jī)器上作測(cè)試，然后慎重更改。

5. NTFS文件權(quán)限設(shè)定（注意文件的權(quán)限優(yōu)先級(jí)別比文件夾的權(quán)限高）：

文件類(lèi)型     

                                 

建議的 NTFS 權(quán)限

CGI 文件（.exe、.dll、.cmd、.pl）

腳本文件 (.asp)

包含文件（.inc、.shtm、.shtml）

靜態(tài)內(nèi)容（.txt、.gif、.jpg、.htm、.html）

Everyone（執(zhí)行）

Administrators（完全控制）

System（完全控制）

6. 禁止C$、D$一類(lèi)的缺省共享

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters

AutoShareServer、REG_DWORD、0x0

7. 禁止ADMIN$缺省共享

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters

AutoShareWks、REG_DWORD、0x0

8. 限制IPC$缺省共享

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa

restrictanonymous REG_DWORD 0x0 缺省

0x1 匿名用戶(hù)無(wú)法列舉本機(jī)用戶(hù)列表

0x2 匿名用戶(hù)無(wú)法連接本機(jī)IPC$共享

說(shuō)明:不建議使用2，否則可能會(huì)造成你的一些服務(wù)無(wú)法啟動(dòng)，如SQL Server

9. 僅給用戶(hù)真正需要的權(quán)限，權(quán)限的最小化原則是安全的重要保障

10. 在本地安全策略->審核策略中打開(kāi)相應(yīng)的審核，推薦的審核是：

賬戶(hù)管理 成功 失敗

登錄事件 成功 失敗

對(duì)象訪(fǎng)問(wèn) 失敗

策略更改 成功 失敗

特權(quán)使用 失敗

系統(tǒng)事件 成功 失敗

目錄服務(wù)訪(fǎng)問(wèn) 失敗

賬戶(hù)登錄事件 成功 失敗

審核項(xiàng)目少的缺點(diǎn)是萬(wàn)一你想看發(fā)現(xiàn)沒(méi)有記錄那就一點(diǎn)都沒(méi)轍；審核項(xiàng)目太多不僅會(huì)占用系統(tǒng)資源而且會(huì)導(dǎo)致你根本沒(méi)空去看，這樣就失去了審核的意義。 與之相關(guān)的是：

在賬戶(hù)策略->密碼策略中設(shè)定：

密碼復(fù)雜性要求 啟用

密碼長(zhǎng)度最小值 6位

強(qiáng)制密碼歷史 5次

最長(zhǎng)存留期 30天

在賬戶(hù)策略->賬戶(hù)鎖定策略中設(shè)定：

賬戶(hù)鎖定 3次錯(cuò)誤登錄

鎖定時(shí)間 20分鐘

復(fù)位鎖定計(jì)數(shù) 20分鐘

11. 在Terminal Service Configration（遠(yuǎn)程服務(wù)配置）-權(quán)限-高級(jí)中配置安全審核，一般來(lái)說(shuō)只要記錄登錄、注銷(xiāo)事件就可以了。

12. 解除NetBios與TCP/IP協(xié)議的綁定

控制面版——網(wǎng)絡(luò)——綁定——NetBios接口——禁用 2000：控制面版——網(wǎng)絡(luò)和撥號(hào)連接——本地網(wǎng)絡(luò)——屬性——TCP/IP——屬性——高級(jí)——WINS——禁用TCP/IP上的NETBIOS

13. 在網(wǎng)絡(luò)連接的協(xié)議里啟用TCP/IP篩選，僅開(kāi)放必要的端口（如80）

14. 通過(guò)更改注冊(cè)表Local_Machine\System\CurrentControlSet\Control\LSA-RestrictAnonymous = 1來(lái)禁止139空連接

15. 修改數(shù)據(jù)包的生存時(shí)間(TTL)值

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters

DefaultTTL REG_DWORD 0-0xff(0-255 十進(jìn)制,默認(rèn)值128)

16. 防止SYN洪水攻擊

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters

SynAttackProtect REG_DWORD 0x2(默認(rèn)值為0x0)

17. 禁止響應(yīng)ICMP路由通告報(bào)文

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters

\Interfaces\interface

PerformRouterDiscovery REG_DWORD 0x0(默認(rèn)值為0x2)

18. 防止ICMP重定向報(bào)文的攻擊

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters

EnableICMPRedirects REG_DWORD 0x0(默認(rèn)值為0x1)

19. 不支持IGMP協(xié)議

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters

IGMPLevel REG_DWORD 0x0(默認(rèn)值為0x2)

20. 設(shè)置arp緩存老化時(shí)間設(shè)置

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services:\Tcpip\Parameters

ArpCacheLife REG_DWORD 0-0xFFFFFFFF(秒數(shù),默認(rèn)值為120秒)

ArpCacheMinReferencedLife REG_DWORD 0-0xFFFFFFFF(秒數(shù),默認(rèn)值為600)

21. 禁止死網(wǎng)關(guān)監(jiān)測(cè)技術(shù)

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services:\Tcpip\Parameters

EnableDeadGWDetect REG_DWORD 0x0(默認(rèn)值為ox1)

22. 不支持路由功能

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services:\Tcpip\Parameters

IPEnableRouter REG_DWORD 0x0(默認(rèn)值為0x0)

安裝和配置 IIS 服務(wù)：

1. 僅安裝必要的 IIS 組件。（禁用不需要的如FTP 和 SMTP 服務(wù)）

2. 僅啟用必要的服務(wù)和 Web Service 擴(kuò)展，推薦配置:

UI 中的組件名稱(chēng)

設(shè)置

設(shè)置邏輯

后臺(tái)智能傳輸服務(wù) (BITS) 服務(wù)器擴(kuò)展

啟用

BITS 是 Windows Updates 和“自動(dòng)更新”所使用的后臺(tái)文件傳輸機(jī)制。如果使用 Windows Updates 或“自動(dòng)更新”在 IIS 服務(wù)器中自動(dòng)應(yīng)用 Service Pack 和熱修補(bǔ)程序，則必須有該組件。

公用文件

啟用

IIS 需要這些文件，一定要在 IIS 服務(wù)器中啟用它們。

文件傳輸協(xié)議 (FTP) 服務(wù)

禁用

允許 IIS 服務(wù)器提供 FTP 服務(wù)。專(zhuān)用 IIS 服務(wù)器不需要該服務(wù)。

FrontPage 2002 Server Extensions

禁用

為管理和發(fā)布 Web 站點(diǎn)提供 FrontPage 支持。如果沒(méi)有使用 FrontPage 擴(kuò)展的 Web 站點(diǎn)，請(qǐng)?jiān)趯?zhuān)用 IIS 服務(wù)器中禁用該組件。

Internet 信息服務(wù)管理器

啟用

IIS 的管理界面。

Internet 打印

禁用

提供基于 Web 的打印機(jī)管理，允許通過(guò) HTTP 共享打印機(jī)。專(zhuān)用 IIS 服務(wù)器不需要該組件。

NNTP 服務(wù)

禁用

在 Internet 中分發(fā)、查詢(xún)、檢索和投遞 Usenet 新聞文章。專(zhuān)用 IIS 服務(wù)器不需要該組件。

SMTP 服務(wù)

禁用

支持傳輸電子郵件。專(zhuān)用 IIS 服務(wù)器不需要該組件。

萬(wàn)維網(wǎng)服務(wù)

啟用

為客戶(hù)端提供 Web 服務(wù)、靜態(tài)和動(dòng)態(tài)內(nèi)容。專(zhuān)用 IIS 服務(wù)器需要該組件。

萬(wàn)維網(wǎng)服務(wù)子組件

UI 中的組件名稱(chēng)

安裝選項(xiàng)

設(shè)置邏輯

Active Server Page

啟用

提供 ASP 支持。如果 IIS 服務(wù)器中的 Web 站點(diǎn)和應(yīng)用程序都不使用 ASP，請(qǐng)禁用該組件；或使用 Web 服務(wù)擴(kuò)展禁用它。

Internet

數(shù)據(jù)連接器

禁用

通過(guò)擴(kuò)展名為 .idc 的文件提供動(dòng)態(tài)內(nèi)容支持。如果 IIS 服務(wù)器中的 Web 站點(diǎn)和應(yīng)用程序都不包括 .idc 擴(kuò)展文件，請(qǐng)禁用該組件；或使用 Web 服務(wù)擴(kuò)展禁用它。

遠(yuǎn)程管理 (HTML)

禁用

提供管理 IIS 的 HTML 界面。改用 IIS 管理器可使管理更容易，并減少了 IIS 服務(wù)器的攻擊面。專(zhuān)用 IIS 服務(wù)器不需要該功能。

遠(yuǎn)程桌面 Web 連接

禁用

包括了管理終端服務(wù)客戶(hù)端連接的 Microsoft ActiveX? 控件和范例頁(yè)面。改用 IIS 管理器可使管理更容易，并減少了 IIS 服務(wù)器的攻擊面。專(zhuān)用 IIS 服務(wù)器不需要該組件。

服務(wù)器端包括

禁用

提供 .shtm、.shtml 和 .stm 文件的支持。如果在 IIS 服務(wù)器中運(yùn)行的 Web 站點(diǎn)和應(yīng)用程序都不使用上述擴(kuò)展的包括文件，請(qǐng)禁用該組件。

WebDAV

禁用

WebDAV 擴(kuò)展了 HTTP/1.1 協(xié)議，允許客戶(hù)端發(fā)布、鎖定和管理 Web 中的資源。專(zhuān)用 IIS 服務(wù)器禁用該組件；或使用 Web 服務(wù)擴(kuò)展禁用該組件。

萬(wàn)維網(wǎng)服務(wù)

啟用

為客戶(hù)端提供 Web 服務(wù)、靜態(tài)和動(dòng)態(tài)內(nèi)容。專(zhuān)用 IIS 服務(wù)器需要該組件

3. 將IIS目錄＆數(shù)據(jù)與系統(tǒng)磁盤(pán)分開(kāi)，保存在專(zhuān)用磁盤(pán)空間內(nèi)。

4. 在IIS管理器中刪除必須之外的任何沒(méi)有用到的映射（保留asp等必要映射即可）

5. 在IIS中將HTTP404 Object Not Found出錯(cuò)頁(yè)面通過(guò)URL重定向到一個(gè)定制HTM文件

6. Web站點(diǎn)權(quán)限設(shè)定（建議）

Web 站點(diǎn)權(quán)限：

授予的權(quán)限：

讀

允許

寫(xiě)

不允許

腳本源訪(fǎng)問(wèn)

不允許

目錄瀏覽

建議關(guān)閉

日志訪(fǎng)問(wèn)

建議關(guān)閉

索引資源

建議關(guān)閉

執(zhí)行

推薦選擇 “僅限于腳本”

7. 建議使用W3C擴(kuò)充日志文件格式，每天記錄客戶(hù)IP地址，用戶(hù)名，服務(wù)器端口，方法，URI字根，HTTP狀態(tài)，用戶(hù)代理，而且每天均要審查日志。（最好不要使用缺省的目錄，建議更換一個(gè)記日志的路徑，同時(shí)設(shè)置日志的訪(fǎng)問(wèn)權(quán)限，只允許管理員和system為Full Control）。

8. 程序安全:

1) 涉及用戶(hù)名與口令的程序最好封裝在服務(wù)器端，盡量少的在ASP文件里出現(xiàn)，涉及到與數(shù)據(jù)庫(kù)連接地用戶(hù)名與口令應(yīng)給予最小的權(quán)限;

2) 需要經(jīng)過(guò)驗(yàn)證的ASP頁(yè)面，可跟蹤上一個(gè)頁(yè)面的文件名，只有從上一頁(yè)面轉(zhuǎn)進(jìn)來(lái)的會(huì)話(huà)才能讀取這個(gè)頁(yè)面。

3) 防止ASP主頁(yè).inc文件泄露問(wèn)題;

4) 防止UE等編輯器生成some.asp.bak文件泄露問(wèn)題。

安全更新。

應(yīng)用所需的所有 Service Pack 和 定期手動(dòng)更新補(bǔ)丁。

安裝和配置防病毒保護(hù)。

推薦NAV 8.1以上版本病毒防火墻（配置為至少每周自動(dòng)升級(jí)一次）。

安裝和配置防火墻保護(hù)。

推薦最新版BlackICE Server Protection防火墻（配置簡(jiǎn)單，比較實(shí)用）

監(jiān)視解決方案。

根據(jù)要求安裝和配置 MOM代理或類(lèi)似的監(jiān)視解決方案。

加強(qiáng)數(shù)據(jù)備份。

Web數(shù)據(jù)定時(shí)做備份，保證在出現(xiàn)問(wèn)題后可以恢復(fù)到最近的狀態(tài)。

考慮實(shí)施 IPSec 篩選器。

用 IPSec 過(guò)濾器阻斷端口

Internet 協(xié)議安全性 (IPSec) 過(guò)濾器可為增強(qiáng)服務(wù)器所需要的安全級(jí)別提供有效的方法。本指南推薦在指南中定義的高安全性環(huán)境中使用該選項(xiàng)，以便進(jìn)一步減少服務(wù)器的受攻擊面。

有關(guān)使用 IPSec 過(guò)濾器的詳細(xì)信息，請(qǐng)參閱模塊其他成員服務(wù)器強(qiáng)化過(guò)程。

下表列出在本指南定義的高級(jí)安全性環(huán)境下可在 IIS 服務(wù)器上創(chuàng)建的所有 IPSec 過(guò)濾器。

服務(wù)

協(xié)議

源端口

目標(biāo)端口

源地址

目標(biāo)地址

操作

鏡像

Terminal Services

TCP

所有

3389

所有

ME

允許

是

HTTP Server

TCP

所有

80

所有

ME

允許

是

HTTPS Server

TCP

所有

443

所有

ME

允許

是

在實(shí)施上表所列舉的規(guī)則時(shí)，應(yīng)當(dāng)對(duì)它們都進(jìn)行鏡像處理。這樣可以確保任何進(jìn)入服務(wù)器的網(wǎng)絡(luò)通信也可以返回到源服務(wù)器。

SQL服務(wù)器安全加固

步驟

說(shuō)明

MDAC 升級(jí)

安裝最新的MDAC（http://www.microsoft& ... ownload.htm）

密碼策略

由于SQL Server不能更改sa用戶(hù)名稱(chēng)，也不能刪除這個(gè)超級(jí)用戶(hù)，所以，我們必須對(duì)這個(gè)賬號(hào)進(jìn)行最強(qiáng)的保護(hù)，當(dāng)然，包括使用一個(gè)非常強(qiáng)壯的密碼，最好不要在數(shù)據(jù)庫(kù)應(yīng)用中使用sa賬號(hào)。新建立一個(gè)擁有與sa一樣權(quán)限的超級(jí)用戶(hù)來(lái)管理數(shù)據(jù)庫(kù)。同時(shí)養(yǎng)成定期修改密碼的好習(xí)慣。數(shù)據(jù)庫(kù)管理員應(yīng)該定期查看是否有不符合密碼要求的賬號(hào)。比如使用下面的SQL語(yǔ)句：

Use master

Select name,Password from syslogins where password is null

數(shù)據(jù)庫(kù)日志的記錄

核數(shù)據(jù)庫(kù)登錄事件的“失敗和成功”，在實(shí)例屬性中選擇“安全性”，將其中的審核級(jí)別選定為全部，這樣在數(shù)據(jù)庫(kù)系統(tǒng)和操作系統(tǒng)日志里面，就詳細(xì)記錄了所有賬號(hào)的登錄事件。

管理擴(kuò)展存儲(chǔ)過(guò)程

xp_cmdshell是進(jìn)入操作系統(tǒng)的最佳捷徑，是數(shù)據(jù)庫(kù)留給操作系統(tǒng)的一個(gè)大后門(mén)。請(qǐng)把它去掉。使用這個(gè)SQL語(yǔ)句：

use master

sp_dropextendedproc 'xp_cmdshell'

如果你需要這個(gè)存儲(chǔ)過(guò)程，請(qǐng)用這個(gè)語(yǔ)句也可以恢復(fù)過(guò)來(lái)。

sp_addextendedproc 'xp_cmdshell', 'xpsql70.dll'

OLE自動(dòng)存儲(chǔ)過(guò)程（會(huì)造成管理器中的某些特征不能使用），這些過(guò)程包括如下（不需要可以全部去掉：

Sp_OACreate Sp_OADestroy Sp_OAGetErrorInfo Sp_OAGetProperty

Sp_OAMethod Sp_OASetProperty Sp_OAStop

去掉不需要的注冊(cè)表訪(fǎng)問(wèn)的存儲(chǔ)過(guò)程，注冊(cè)表存儲(chǔ)過(guò)程甚至能夠讀出操作系統(tǒng)管理員的密碼來(lái)，如下：

Xp_regaddmultistring Xp_regdeletekey Xp_regdeletevalue Xp_regenumvalues Xp_regread Xp_regremovemultistring Xp_regwrite

防TCP/IP端口探測(cè)

在實(shí)例屬性中選擇TCP/IP協(xié)議的屬性。選擇隱藏 SQL Server 實(shí)例。

請(qǐng)?jiān)谏弦徊脚渲玫幕A(chǔ)上，更改原默認(rèn)的1433端口。

在IPSec過(guò)濾拒絕掉1434端口的UDP通訊，可以盡可能地隱藏你的SQL Server。

對(duì)網(wǎng)絡(luò)連接進(jìn)行IP限制

使用操作系統(tǒng)自己的IPSec可以實(shí)現(xiàn)IP數(shù)據(jù)包的安全性。請(qǐng)對(duì)IP連接進(jìn)行限制，保證只有自己的IP能夠訪(fǎng)問(wèn)，拒絕其他IP進(jìn)行的端口連接。

附：Win2003系統(tǒng)建議禁用服務(wù)列表

名 稱(chēng)

服務(wù)名

建議設(shè)置

自動(dòng)更新

wuauserv

禁用

Background Intelligent Transfer Service

BITS

禁用

Computer Browser

Browser

禁用

DHCP Client

Dhcp

禁用

NTLM Security Support Provider

NtLmSsp

禁用

Network Location Awareness

NLA

禁用

Performance Logs and Alerts

SysmonLog

禁用

Remote Administration Service

SrvcSurg

禁用

Remote Registry Service

RemoteRegistry

禁用

Server

lanmanserver

禁用

TCP/IP NetBIOS Helper Service

LmHosts

禁用

DHCP Client

Dhcp

禁用

NTLM Security Support Provider

NtLmSsp

禁用

Terminal Services

TermService

禁用

Windows Installer

MSIServer

禁用

Windows Management Instrumentation Driver Extensions

Wmi

禁用

WMI Performance Adapter

WMIApSrv

禁用

Error Reporting

ErrRep

禁用