构建一个工作机[1]

理由：避免被追踪，防止同行破坏，可以长期的使用,使自己更安全,让你更加的有爱心(一定不要破坏肉鸡<忽略肉鸡国籍>。 
GO~ 
检查补丁状态： 
查看 
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Updates\Windows 2000 
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\HotFix 
或者使用 hfnetchk.exe （微软主页可以找到） 
注意，只是看，好心里有个数！ 
▲ipc$(445 or 139) 
主要的问题是因为默认设置允许空会话。通过匿名，可以获得n多的信息。从而进行用户验证攻击。 
问题：你不能改密码。 
关掉Admin$ 
服务器： 
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters 
AutoShareServer = DWORD:00000000 
工作站： 
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters 
AutoShareWks = DWORD:00000000 
问题：ipc$还存在，它只是关掉了诸如Admin$,c$之类的东西。 
立刻从新启动lanmanserver服务，使其生效 
禁止空会话： 
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA 
RestrictAnonymous = DWORD:00000001 
或者“控制面板”-“本地（域）安全策略”-“安全选项”里...... 
立刻从新启动lanmanserver服务，使其生效 
问题： 
GetAccount.exe这个小工具一样可以轻易的获得用户列表，然后挂字典攻击。 
更改帐号锁定阀值5次。 
此外，还有bug，445 or139 上还有一个漏洞,直接让机器挂掉。 
攻击程序 SMBdie.exe 可以到http://packetstorm.linuxsecurity.com找到。 
相关的补丁 Q326830_W2K_SP4_X86_CN.exe。 
注意，这是在为肉鸡打补丁，不是自己的机器。所以绝对不要安装。 
很烦？所以直接关掉445or139，最好。注意，要关，两个端口一起。关一个没用。（注意这是指windows 2000,不是nt机器） 
通常，是这样的，先连接445端口，如果失败，就会去连接139，所以一定要两个都关了。 
如何关闭？ 
启用ipsec（路由和远程访问也可以），一个强大的玩意。包括icmp。一样可以关掉。也就是ping不通了。 
这里不涉及ipsec如何使用，他确实很强大，建议熟练使用。给出两个相关的连接，给不熟悉的朋友们参考一下。 
Internet 协议安全 (IPSec) 循序渐进指南 
http://www.microsoft.com/china/technet/windows2000/win2ksrv/technote/ispstep.asp 
IPSec 锁定服务器 
http://www.microsoft.com/CHINA/TechNet/windows2000/win2ksrv/ipsecld.asp 
需要注意的是，我们在为肉鸡做安全，不是自己的机器，当然，有些时候是很矛盾的，毕竟你要改的东西很多，相对的，你被管理员发现的可能也增加了。 
通常默认的IPSec的设置是这样的（本地（域）安全策略-ip安全策略） 
默认的有3个：安全服务器（要求安全设置） 客户端（只响应） 服务器（请求安全设置） 
所以，最好不要创建新的策略，直接在原来的基础上改，也就是3个默认设置的其中一个。以免太过于暴露了。连接类型最好指定为远程访问，以免他内网机器访问不到。最后，选中一个策略，右键-指派。立刻生效了。提一下命令行下的操作。以上是通过终端服务上去操作的。要是行命令下，如何做？推荐使用Resource Kit中的ipsecpol.exe。非常强大，也非常复杂。有兴趣的朋友，可以自己看看。 
▲iis （80） 
iis 默认安装完后，漏洞就像蜂窝。 
unicode漏洞：虽然这个漏洞老的已经成为历史，但还是有的，主要是一些默认安装了iis的机器，也别删除它。之所以http://www.xxx.com/scripts/..%c1%1c..%c1%1c..%c1%1c..%c1%1c../winnt/system32/cmd.exe?/c+dir能够执行命令（相当于一个shell）。其实是scripts目录有执行权限。到iis里去掉就可以了。注意一点的是，把每个虚拟目录的的执行权限都去掉。因为在没打补丁之前，所有的有执行权限的虚拟目录都有这个问题，但不一定能被扫描器扫到。如果已经安装了sp2也就不用忙了，补上了。 
单个补丁：http://www.microsoft.com/windows2000/downloads/critical/q269862/default.asp Q269862_W2K_SP2_x86_CN.EXE 
二次解码漏洞：这个漏洞很像上面的那个，一个列子http://www.xxx.com/scripts/..%255c..%255cwinnt/system32/cmd.exe?/c+dir+c:\。同样的去掉所有虚拟目录的执行权限。如果安装了sp3，不用忙了，补上了。 
单个补丁：http://www.microsoft.com/Downloads/Release.asp?ReleaseID=29764 
Q293826_W2k_SP3_x86_cn.exe 
.printer远程益出：同样，一个成为历史的漏洞。到iis设置里把这个映射删掉就可以了，注意一点的是。ms的iis有点变态。有些时候，你安装删除了一些系统组件。映射可能重新产生。如果安装了sp2，不用忙了，补上了。 
单个补丁：Q296576_w2k_sp2_x86_CN.EXE 
Index Server远程益出：同样，一个非常危险的漏洞，直接取得system权限。主要是idq.dll有问题，相对应的映射idq,ida。删掉后，也算补上了。如果安装了sp3，不用忙了，补上了。 
asp分块编码远程溢出：对于这个漏洞，成功率是很低的。你可以到http://packetstorm.linuxsecurity.com找到相关的exploit。而且你所得到的权限是IWAM_computername这个帐号的。但结合一些local exploit。就...。看情况了，如果iis只是被默认安装了，没有网站。把wwwroot目录里的那些默认安装的*.asp删掉，也算是补上了。如果，它已经有web在运做了，这个没办法，或许帮它升级windows update是个不错的注意 ：）。安装了sp3，也不要忙了，补上了。