1.打補丁
微軟的作風就是三天一小補,五天一大補,漏洞太多,補一點就好一點,使用“開始-Windows Update" 然後把所有的補丁都裝進去吧
2.刪除默認共享
2.1刪除IPC$共享
Win2k的缺省安裝很容易被攻擊者取得帳號列表,即使安裝了最新的Service ack也是如此。在Win2k中有一個缺省共享IPC$,並且還有諸如admin$ C$ D$等等,而IPC$允許匿名用戶(即未經登錄的用戶)訪問,利用這個缺省共享可以取得用戶列表。如何防范這東東,很簡單在"管理工具\本地安全策略\安全設置\本地策略\安全選項"中的"對匿名連接的額外限制"可修改為"不允許枚舉SAM帳號和共享"。就可以防止大部分此類連接,但是還沒完,如果使用NetHacker只要使用一個存在的帳號就又可以順利取得所有的帳號名稱。所以,我們還需要另一種方法做後盾,
(1):創建一個文件startup.cmd,內容就是以下的一行命令"net share ipc$ delete"(不包括引號)
(2):在Windows的計劃任務中增加一項任務執行以上的startup.cmd,時間安排為"計算機啟動時執行"。或者把這個文件放到"開始-程序-啟動"中 讓他一啟動就刪除ipc$共享
(3):重新啟動服務器。
2.2刪除admin$共享
修改注冊表:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters增加AutoShareWks子鍵(REG_DWORD),鍵值為0
2.3清除默認磁盤共享(C$,D$等)
修改注冊表:HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters增加AutoShareServer子鍵(REG_DWORD),鍵值為0
3.修改默認用戶名
"管理工具\本地安全策略\安全設置\本地策略\安全選項"中"重命名來賓帳戶"就是把"guest"改個名字而已,改成abc或者其他名字,下面機器登陸名字也設為"abc"或其他的名字,然後再把"重命名系統管理員帳戶"也改一下,有一次我閒著無聊,用小榕的流光隨便掃了一下我的IP段,就發現有N家網吧服務器的管理員名稱是默認的Administrator,並且是簡單密碼。如果有人想搞個肉機的話,實在是很簡單。
至此下來,服務器已經可以很安全穩定的運行下去了,當然別忘了要一兩天重啟一下你的服務器。
SQL服務器安全設置
首先,關閉sql默認的1433(好象是這個吧) 就是把sql的TCP/IP協議刪除就ok了,刪掉後就不能是用遠程了 那總歸少點事情吧sa 設密碼設的密碼為數字加字母等, 不用我多說了吧administrator 別忘了設密碼。
在tcp/ip協議裡關掉所有的無用端口
本地連接狀態 --屬性--tcp/ip協議--高級--選項--tcp/ip篩選 --只允許 tcp端口
開80(網站端口)
開21(ftp端口--可開可不開)
55019(奇跡私服端口)
44405(奇跡私服端口)
以上是針對無路由的使用服務器直接對外的情況。
使用路由的情況見下
映射以下端口就OK了
開80(網站端口)
開21(ftp端口--可開可不開)
55019(奇跡私服端口)
44405(奇跡私服端口)
當然,上面的你也要設一設哦
再來就是asp的安全問題了
請使用fishserver這套工具
就不存在是用asp漏洞改你數據了
這套工具在 夢之奇跡1.05裡有非常方便設置。
