(首先
所有盘取消everyone完全控制权限
取消方法
点击盘符,右键---属性----安全---会看到允许访问该盘的用户组权限,默认的是everyone完全控制,添加administrators[管理员组],和system然后将everyone删除。
有几个文件夹要特殊注意
program files\common files 该文件夹要允许uesr组有读取,运行和列出文件夹三个权限
winnt\system32 该文件夹 要允许uesr组有读取,运行和列出文件夹三个权限
winnt\temp 该文件夹 要允许uesr组有读取,运行、写入和列出文件夹三个权限[否则连接无法连接数据库]
其他的,根据你安装的不同文件设置例如。net的microsoft.net,或php等,都要有允许uesr组有读取,运行、和列出文件夹三个权限)
以上是基本权限的设置,下面是高级权限的设置!
1.禁用空连接,禁止匿名获得用户名列表
win2000的默认安装允许任何用户通过空用户得到系统所有账号/共享列表,这个本来是为了方便局域网用户共享文件的,但是一个远程用户也可以得到你的用户列表并使用暴力法破解用户密码。很多朋友都知道可以通过更改注册表local_machine\system\currentcontrolset\control\lsa-restrictanonymous = 1来禁止139空连接,实际上win2000的本地安全策略(如果是域服务器就是在域服务器安全和域安全策略中)就有这样的选项restrictanonymous(匿名连接的额外限制),这个选项有三个值: 0:none. rely on default permissions(无,取决于默认的权限 1 :do not allow enumeration of sam accounts and shares(不允许枚举sam帐号和共享) 2:no access without explicit anonymous permissions(没有显式匿名权限就不允许访问) 0这个值是系统默认的,什么限制都没有,远程用户可以知道你机器上所有的账号、组信息、共享目录、网络传输列表(netservertransportenum等等,对服务器来说这样的设置非常危险。 1这个值是只允许非null用户存取sam账号信息和共享信息。 2这个值是在win2000中才支持的,需要注意的是,如果你一旦使用了这个值,你的共享估计就全部完蛋了,所以我推荐你还是设为1比较好。 好了,入侵者现在没有办法拿到我们的用户列表,我们的账户安全了
2。禁止显示上次登陆的用户名hkey_local_machine\software\microsoft\windowsnt\currentversion\winlogon项中的don’t display last user name串数据改成1,这样系统不会自动显示上次的登录用户名。将服务器注册表hkey_local_ machine\software\microsoft\
windowsnt\currentversion\winlogon项中的don't display last user name串数据修改为1,隐藏上次登陆控制台的用户名。其实,在2000的本地安全策略中也存在该选项
winnt4.0修改注册表:
hkey_local_machine\software\microsoft\windows nt\current version\winlogon 中增加dontdisplaylastusername,将其值设为1。
2.预防dos:
在注册表hklm\system\currentcontrolset\services\tcpip\parameters中更改以下值可以帮助你防御一定强度的dos攻击 synattackprotect reg_dword 2
enablepmtudiscovery reg_dword 0 nonamereleaseondemand reg_dword 1
enabledeadgwdetect reg_dword 0 keepalivetime reg_dword 300,000
performrouterdiscovery reg_dword 0 enableicmpredirects reg_dword 0
在win2000中如何关闭icmp(ping)
3.针对icmp攻击
icmp的全名是internet control and message protocal即因特网控制消息/错误报文协议,这个协议主要是用来进行错误信息和控制信息的传递,例如著名的ping和tracert工具都是利用icmp协议中的echo request报文进行的(请求报文icmp echo类型8代码0,应答报文icmp echoreply类型0代码0)。
icmp协议有一个特点---它是无连结的,也就是说只要发送端完成icmp报文的封装并传递给路由器,这个报文将会象邮包一样自己去寻找目的地址,这个特点使得icmp协议非常灵活快捷,但是同时也带来一个致命的缺陷---易伪造(邮包上的寄信人地址是可以随便写的),任何人都可以伪造一个icmp报文并发送出去,伪造者可以利用sock_raw编程直接改写报文的icmp首部和ip首部,这样的报文携带的源地址是伪造的,在目的端根本无法追查,(攻击者不怕被抓那还不有恃无恐?)根据这个原理,外面出现了不少基于icmp的攻击软件,有通过网络架构缺陷制造icmp风暴的,有使用非常大的报文堵塞网络的,有利用icmp碎片攻击消耗服务器cpu的,甚至如果将icmp协议用来进行通讯,可以制作出不需要任何tcp/udp端口的木马(参见揭开木马的神秘面纱三)......既然icmp协议这么危险,我们为什么不关掉它呢?
我们都知道,win2000在网络属性中自带了一个tcp/ip过滤器,我们来看看能不能通过这里关掉icmp协议,桌面上右击网上邻居->属性->右击你要配置的网卡->属性->tcp/ip->高级->选项->tcp/ip过滤,这里有三个过滤器,分别为:tcp端口、udp端口和ip协议,我们先允许tcp/ip过滤,然后一个一个来配置,先是tcp端口,点击"只允许",然后在下面加上你需要开的端口,一般来说web服务器只需要开80(www),ftp服务器需要开20(ftp data),21(ftp control),邮件服务器可能需要打开25(smtp),110(pop3),以此类推......接着是udp,udp协议和icmp协议一样是基于无连结的,一样容易伪造,所以如果不是必要(例如要从udp提供dns服务之类)应该选择全部不允许,避免受到洪水(flood)或碎片(fragment)攻击。最右边的一个编辑框是定义ip协议过滤的,我们选择只允许tcp协议通过,添加一个6(6是tcp在ip协议中的代码,ipproto_tcp=6),从道理上来说,只允许tcp协议通过时无论udp还是icmp都不应该能通过,可惜的是这里的ip协议过滤指的是狭义的ip协议,从架构上来说虽然icmp协议和igmp协议都是ip协议的附属协议,但是从网络7层结构上icmp/igmp协议与ip协议同属一层,所以微软在这里的ip协议过滤是不包括icmp协议的,也就是说即使你设置了“只允许tcp协议通过”,icmp报文仍然可以正常通过,所以如果我们要过滤icmp协议还需要另想办法。
刚刚在我们进行tcp/ip过滤时,还有另外一个选项:ip安全机制(ip security),我们过滤icmp的想法就要着落在它身上。
打开本地安全策略,选择ip安全策略,在这里我们可以定义自己的ip安全策略。一个ip安全过滤器由两个部分组成:过滤策略和过滤操作,过滤策略决定哪些报文应当引起过滤器的关注,过滤操作决定过滤器是“允许”还是“拒绝”报文的通过。要新建ip安全过滤器,必须新建自己的过滤策略和过滤操作:右击本机的ip安全策略,选择管理ip过滤器,在ip过滤器管理列表中建立一个新的过滤规则:icmp_any_in,源地址选任意ip,目标地址选本机,协议类型是icmp,切换到管理过滤器操作,增加一个名为deny的操作,操作类型为"阻止"(block)。这样我们就有了一个关注所有进入icmp报文的过滤策略和丢弃所有报文的过滤操作了。需要注意的是,在地址选项中有一个镜像选择,如果选中镜像,那么将会建立一个对称的过滤策略,也就是说当你关注any ip->my ip的时候,由于镜像的作用,实际上你也同时关注了my ip->any ip,你可以根据自己的需要选择或者放弃镜像。再次右击本机的ip安全策略,选择新建ip过滤策略,建立一个名称为icmp filter的过滤器,通过增加过滤规则向导,我们把刚刚定义的icmp_any_in过滤策略指定给icmp filter,然后在操作选框中选择我们刚刚定义的deny操作,退出向导窗口,右击icmp filter并启用它,现在任何地址进入的icmp报文都会被丢弃了。
虽然用ip sec能够对icmp报文进行过滤,不过操作起来太麻烦,而且如果你只需要过滤特定的icmp报文,还要保留一些常用报文(如主机不可达、网络不可达等),ip sec策略就力不从心了,我们可以利用win2000的另一个强大工具路由与远程访问控制(routing & remote access)来完成这些复杂的过滤操作。
路由与远程访问控制是win2000用来管理路由表、配置vpn、控制远程访问、进行ip报文过滤的工具,默认情况下并没有安装,所以首先你需要启用它,打开"管理工具"->"路由与远程访问",右击服务器(如果没有则需要添加本机)选择"配置并启用路由及远程访问",这时配置向导会让你选择是什么样的服务器,一般来说,如果你不需要配置vpn服务器,那么选择"手动配置"就可以了,配置完成后,主机下将出现一个ip路由的选项,在"常规"中选择你想配置的网卡(如果你有多块网卡,你可以选择关闭某一块的icmp),在网卡属性中点击"输入筛选器",添加一条过滤策略"from:any tany 协议:icmp 类型:8 :编码:0 丢弃"就可以了(类型8编码0就是ping使用的icmp_echo报文,如果要过滤所有的icmp报文只需要将类型和编码都设置为255)
细心的朋友刚才可能已经发现,在输入、输出过滤器的下面,还有一个"碎片检查"功能,这个功能使用来应付ip碎片攻击的,这已经超出了本文所讨论的范围,我会在以后的拒绝服务攻击的文章中继续和大家一起探讨的。win2000的路由及远程访问是一个功能非常强大的工具集
4.改变windows系统的一些默认值(例如:数据包的生存时间(ttl)值,不同系统有不同的值,有经验的人可以根据ttl的不同的值判断对方使用的是何种操作系统(例如windows 2000默认值128),我改改改,看你
