智能地帶

歡迎你登陸【智能地帶】
請點擊登陸,選擇快速登錄
選擇註冊,跳轉到註冊頁面
選擇不再顯示,以後不再顯示此對話框

    Windows2003 Server 設置文檔、二

    分享
    avatar
    Admin
    Admin

    文章數 : 26
    注冊日期 : 2009-06-25
    年齡 : 30
    來自 : 深圳

    Windows2003 Server 設置文檔、二

    發表 由 Admin 于 周一 7月 06, 2009 3:01 pm

    五、如何防範ipc$入侵

    1、禁止空連接進行枚舉(此**作並不能阻止空連接的建立)
    首先運行regedit,找到如下組建[HKEY_LOCAL_MACHINE\\\\\\\\SYSTEM\\\\\\\\CurrentControlSet\\\\\\\\Control\\\\\\\\LSA]把
    RestrictAnonymous = DWORD的鍵值改為:00000001。
    restrictanonymous REG_DWORD
    0x0 缺省
    0x1 匿名用戶無法列舉本機用戶列表
    0x2 匿名用戶無法連接本機IPC$共享
    說明:不建議使用2,否則可能會造成你的一些服務無法啟動,如SQL Server

    2、禁止默認共享

    1)察看本地共享資源
    運行-cmd-輸入net share
    2)刪除共享(每次輸入一個)
    net share ipc$ /delete
    net share admin$ /delete
    net share c$ /delete
    net share d$ /delete(如果有e,f,……可以繼續刪除)
    3)修改註冊表刪除共享
    運行-regedit
    找到如下主鍵[HKEY_LOCAL_MACHINE\\\\\\\\SYSTEM\\\\\\\\CurrentControlSet\\\\\\\\Services\\\\\\\\LanmanServer\\\\\\\\Parameters]把AutoShareServer(DWORD)的鍵值改為:00000000。
    如果上面所說的主鍵不存在,就新建(右擊-新建-雙字節值)一個主健再改鍵值。

    3、停止server服務
    1)暫時停止server服務
    net stop server /y (重新啟動後server服務會重新開啟)
    2)永久關閉ipc$和默認共享依賴的服務:lanmanserver即server服務
    控制面板-管理工具-服務-找到server服務(右擊)-屬性-常規-啟動類型-已禁用

    4、安裝防火墻(選中相關設置),或者端口過濾(濾掉139,445等)

    1).解開文件和打印機共享綁定
      鼠標右擊桌面上[網絡鄰居]→[屬性]→[本地連接]→[屬性],去掉“Microsoft網絡的文件和打印機共享”前面的勾,解開文件和打印機共享綁定。這樣就會禁止所有從139和445端口來的請求,別人也就看不到本機的共享了。

      2).利用TCP/IP篩選
      鼠標右擊桌面上[網絡鄰居]→[屬性]→[本地連接]→[屬性],打開“本地連接屬性”對話框。選擇[Internet協議(TCP/IP)]→[屬性]→[高級]→[選項],在列表中單擊選中“TCP/IP篩選”選項。單擊[屬性]按鈕,選擇“只允許”,再單擊[添加]按鈕(如圖2),填入除了139和445之外要用到的端口。這樣別人使用掃描器對139和445兩個端口進行掃描時,將不會有任何回應。

      3).使用IPSec安全策略阻止對端口139和445的訪問
      選擇[我的電腦]→[控制面板]→[管理工具]→[本地安全策略]→[IP安全策略,在本地機器],在這裏定義一條阻止任何IP地址從TCP139和TCP445端口訪問IP地址的IPSec安全策略規則,這樣別人使用掃描器掃描時,本機的139和445兩個端口也不會給予任何回應。

      4).使用防火墻防範攻擊
      在防火墻中也可以設置阻止其他機器使用本機共享。如在“天網個人防火墻”中,選擇一條空規則,設置數據包方向為“接收”,對方IP地址選“任何地址”,協議設定為“TCP”,本地端口設置為“139到139”,對方端口設置為“0到0”,設置標誌位為“SYN”,動作設置為“攔截”,最後單擊[確定]按鈕,並在“自定義IP規則”列表中勾選此規則即可啟動攔截139端口攻擊了(如圖3)。

    5、給所有賬戶設置復雜密碼,防止通過ipc$窮舉密碼

    六、各種vlk版本的Windows在線更新(win2003 server也可以)

    以下地址適合於各種vlk版本的Windows在線更新(實際上是從微軟站點下載更新包,然後自行安裝)。該方法不像xp內置在線更新那樣檢查序列號的合法性。已經測試,可用。
    http://v4.windowsupdate.microsoft.com/zhcn/default.asp?corporate=true

      現在的時間是 周五 9月 22, 2017 6:57 am