1.网络故障排查记录-无线网卡驱动错误-2018-11-18
2.局域网访问问题,急求解决!
3.为什么在网上邻居里找不到其他的电脑?
4.谁能给我说一些Windows2003的优化设置
5.关闭NetBios over Tcpip项后 为什么无法上网,找不到IP 地址。
137、138、139、445端口都是为共享而开的,是NetBios协议的应用,你应该禁止别人共享你的机器,所以要把这些端口全部关闭,方法是:单击“开始”/控制面板/系统/硬件/设备管理器,
网络故障排查记录-无线网卡驱动错误-2018-11-18
windows server2003是目前最为成熟的网络服务器平台,安全性相对于windows 2000有大大的提高,但是2003默认的安全配置不一定适合我们的需要,所以,我们要根据实际情况来对win2003进行全面安全配置。说实话,安全配置是一项比较有难度的网络技术,权限配置的太严格,好多程序又运行不起,权限配置的太松,又很容易被黑客入侵,做为网络管理员,真的很头痛,因此,我结合这几年的网络安全管理经验,总结出以下一些方法来提高我们服务器的安全性。
第一招:正确划分文件系统格式,选择稳定的操作系统安装盘
为了提高安全性,服务器的文件系统格式一定要划分成NTFS(新技术文件系统)格式,它比FAT16、FAT32的安全性、空间利用率都大大的提高,我们可以通过它来配置文件的安全性,磁盘配额、EPS文件加密等。如果你已经分成FAT32的格式了,可以用CONVERT 盘符 /FS:NTFS /V 来把FAT32转换成NTFS格式。正确安装windows 2003 server,在网安联盟://cqhk.14023/Soft/yyrj/bigsoft/200504/502.asp>有windows 2003的企业可升级版,这个一个完全破解了的版本,可以直接网上升级,我们安装时尽量只安装我们必须要用的组件,安装完后打上最新的补丁,到网上升级到最新版本!保证操作系统本身无漏洞。
第二招:正确设置磁盘的安全性,具体如下(虚拟机的安全设置,我们以asp程序为例子)重点:
1、系统盘权限设置
C:分区部分:
c:\
administrators 全部(该文件夹,子文件夹及文件)
CREATOR OWNER 全部(只有子文件来及文件)
system 全部(该文件夹,子文件夹及文件)
IIS_WPG 创建文件/写入数据(只有该文件夹)
IIS_WPG(该文件夹,子文件夹及文件)
遍历文件夹/运行文件
列出文件夹/读取数据
读取属性
创建文件夹/附加数据
读取权限
c:\Documents and Settings
administrators 全部(该文件夹,子文件夹及文件)
Power Users (该文件夹,子文件夹及文件)
读取和运行
列出文件夹目录
读取
SYSTEM全部(该文件夹,子文件夹及文件)
C:\Program Files
administrators 全部(该文件夹,子文件夹及文件)
CREATOR OWNER全部(只有子文件来及文件)
IIS_WPG (该文件夹,子文件夹及文件)
读取和运行
列出文件夹目录
读取
Power Users(该文件夹,子文件夹及文件)
修改权限
SYSTEM全部(该文件夹,子文件夹及文件)
TERMINAL SERVER USER (该文件夹,子文件夹及文件)
修改权限
2、网站及虚拟机权限设置(比如网站在E盘)
说明:我们设网站全部在E盘site目录下,并且为每一个虚拟机创建了一个guest用户,用户名为vhost1...vhostn并且创建了一个webuser组,把所有的vhost用户全部加入这个webuser组里面方便管理
E:\
Administrators全部(该文件夹,子文件夹及文件)
E:\site
Administrators全部(该文件夹,子文件夹及文件)
system全部(该文件夹,子文件夹及文件)
service全部(该文件夹,子文件夹及文件)
E:\site\vhost1
Administrators全部(该文件夹,子文件夹及文件)
system全部(该文件夹,子文件夹及文件)
vhost1全部(该文件夹,子文件夹及文件)
3、数据备份盘
数据备份盘最好只指定一个特定的用户对它有完全操作的权限
比如F盘为数据备份盘,我们只指定一个管理员对它有完全操作的权限
4、其它地方的权限设置
请找到c盘的这些文件,把安全性设置只有特定的管理员有完全操作权限
下列这些文件只允许administrators访问
net.exe
net1.exet
cmd.exe
tftp.exe
netstat.exe
regedit.exe
at.exe
attrib.exe
cacls.exe
format
5.删除c:\inetpub目录,删除iis不必要的映射,建立陷阱帐号,更改描述
第三招:禁用不必要的服务,提高安全性和系统效率
Computer Browser 维护网络上计算机的最新列表以及提供这个列表
Task scheduler 允许程序在指定时间运行
Routing and Remote Access 在局域网以及广域网环境中为企业提供路由服务
Removable storage 管理可移动媒体、驱动程序和库
Remote Registry Service 允许远程注册表操作
Print Spooler 将文件加载到内存中以便以后打印。要用打印机的朋友不能禁用这项
IPSEC Policy Agent 管理IP安全策略以及启动ISAKMP/OakleyIKE)和IP安全驱动程序
Distributed Link Tracking Client 当文件在网络域的NTFS卷中移动时发送通知
Com+ Event System 提供的自动发布到订阅COM组件
Alerter 通知选定的用户和计算机管理警报
Error Reporting Service 收集、存储和向 Microsoft 报告异常应用程序
Messenger 传输客户端和服务器之间的 NET SEND 和 警报器服务消息
Telnet 允许远程用户登录到此计算机并运行程序
第四招:修改注册表,让系统更强壮
1、隐藏重要文件/目录可以修改注册表实现完全隐藏:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\ Current-Version\Explorer\Advanced\Folder\Hi-dden\SHOWALL”,鼠标右击 “CheckedValue”,选择修改,把数值由1改为0
2、启动系统自带的Internet连接_blank">防火墙,在设置服务选项中勾选Web服务器。
3、防止SYN洪水攻击
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters
新建DWORD值,名为SynAttackProtect,值为2
EnablePMTUDiscovery REG_DWORD 0
NoNameReleaseOnDemand REG_DWORD 1
EnableDeadGWDetect REG_DWORD 0
KeepAliveTime REG_DWORD 300,000
PerformRouterDiscovery REG_DWORD 0
EnableICMPRedirects REG_DWORD 0
4. 禁止响应ICMP路由通告报文
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\interface
新建DWORD值,名为PerformRouterDiscovery 值为0
5. 防止ICMP重定向报文的攻击
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters
将EnableICMPRedirects 值设为0
6. 不支持IGMP协议
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters
新建DWORD值,名为IGMPLevel 值为0
7.修改终端服务端口
运行regedit,找到[HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Control \ Terminal Server \ Wds \ rdpwd \ Tds \ tcp],看到右边的PortNumber了吗?在十进制状态下改成你想要的端口号吧,比如7126之类的,只要不与其它冲突即可。
2、第二处HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Control \ Terminal Server \ WinStations \ RDP-Tcp,方法同上,记得改的端口号和上面改的一样就行了。
8、禁止IPC空连接:
cracker可以利用net use命令建立空连接,进而入侵,还有net view,nstat这些都是基于空连接的,禁止空连接就好了。打开注册表,找到Local_Machine\System\CurrentControlSet\Control\LSA-RestrictAnonymous 把这个值改成”1”即可。
9、更改TTL值
cracker可以根据ping回的TTL值来大致判断你的操作系统,如:
TTL=107(WINNT);
TTL=108(win2000);
TTL=127或128(win9x);
TTL=240或241(linux);
TTL=252(solaris);
TTL=240(Irix);
实际上你可以自己更改的:HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters:DefaultTTL REG_DWORD 0-0xff(0-255 十进制,默认值128)改成一个莫名其妙的数字如258,起码让那些小菜鸟晕上半天,就此放弃入侵你也不一定哦
10. 删除默认共享
有人问过我一开机就共享所有盘,改回来以后,重启又变成了共享是怎么回事,这是2K为管理而设置的默认共享,必须通过修改注册表的方式取消它:HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters:AutoShareServer类型是REG_DWORD把值改为0即可
11. 禁止建立空连接
默认情况下,任何用户通过通过空连接连上服务器,进而枚举出帐号,猜测密码。我们可以通过修改注册表来禁止建立空连接:
Local_Machine\System\CurrentControlSet\Control\LSA-RestrictAnonymous 的值改成”1”即可。
第五招:其它安全手段
1.禁用TCP/IP上的NetBIOS
网上邻居-属性-本地连接-属性-Internet协议(TCP/IP)属性-高级-WINS面板-NetBIOS设置-禁用TCP/IP上的NetBIOS。这样cracker就无法用nstat命令来读取你的NetBIOS信息和网卡MAC地址了。
2. 账户安全
首先禁止一切账户,除了你自己,呵呵。然后把Administrator改名。我呢就顺手又建了个Administrator账户,不过是什么权限都没有的那种,然后打开记事本,一阵乱敲,复制,粘贴到“密码”里去,呵呵,来破密码吧~!破完了才发现是个低级账户,看你崩溃不?
创建2个管理员用帐号
虽然这点看上去和上面这点有些矛盾,但事实上是服从上面的规则的。 创建一个一般权限帐号用来收信以及处理一些*常事物,另一个拥有Administrators 权限的帐户只在需要的时候使用。可以让管理员使用 “ RunAS” 命令来执行一些需要特权才能作的一些工作,以方便管理
3.更改C:\WINDOWS\Help\iisHelp\common\404b.htm内容改为<META HTTP-EQUIV=REFRESH CONTENT="0;URL=/;">这样,出错了自动转到首页
4. 安全日志
我遇到过这样的情况,一台主机被别人入侵了,系统管理员请我去追查凶手,我登录进去一看:安全日志是空的,倒,请记住:Win2000的默认安装是不开任何安全审核的!那么请你到本地安全策略->审核策略中打开相应的审核,推荐的审核是:
账户管理 成功 失败
登录 成功 失败
对象访问 失败
策略更改 成功 失败
特权使用 失败
系统 成功 失败
目录服务访问 失败
账户登录 成功 失败
审核项目少的缺点是万一你想看发现没有记录那就一点都没辙;审核项目太多不仅会占用系统而且会导致你根本没空去看,这样就失去了审核的意义
5. 运行防毒软件
我见过的Win2000/Nt服务器从来没有见到有安装了防毒软件的,其实这一点非常重要。一些好的杀毒软件不仅能杀掉一些著名的,还能查杀大量木马和后门程序。这样的话,“黑客”们使用的那些有名的木马就毫无用武之地了。不要忘了经常升级库,我们推荐mcafree杀毒软件+blackice_blank">防火墙
6.sqlserver数据库服务器安全和serv-u ftp服务器安全配置,更改默认端口,和管理密码
7.设置ip筛选、用blackice禁止木马常用端口
一般禁用以下端口
135 138 139 443 445 4000 4899 7626
8.本地安全策略和组策略的设置,如果你在设置本地安全策略时设置错了,可以这样恢复成它的默认值.
打开 %SystemRoot%\Security文件夹,创建一个 "OldSecurity"子目录,将%SystemRoot%\Security下所有的.log文件移到这个新建的子文件夹中.
在%SystemRoot%\Security\database\下找到"Secedit.sdb"安全数据库并将其改名,如改为"Secedit.old".
启动"安全配置和分析"MMC管理单元:"开始"->"运行"->"MMC",启动管理控制台,"添加/删除管理单元",将"安全配置和分析"管理单元添加上.
右击"安全配置和分析"->"打开数据库",浏览"C:\WINNT\security\Database"文件夹,输入文件名"secedit.sdb",单击"打开".
当系统提示输入一个模板时,选择"Setup Security.inf",单击"打开".
如果系统提示"拒绝访问数据库",不管他.
你会发现在"C:\WINNT\security\Database"子文件夹中重新生成了新的安全数据库,在"C:\WINNT\security"子文件夹下重新生成了log文件.安全数据库重建成功.
局域网访问问题,急求解决!
在我的电脑-管理-服务-中将一些服务改成了手动启动(非常多的自动和稍后触发),重启后, 电脑不能上网了,WLAN显示为已启用,但自动修复报告说驱动错误。
Y400笔记本带到办公室,有线以太网可以正常使用,可访问谷歌和youtube!无线依然不行!
Wlan适配器的驱动程序可能出现问题 -- 反复出现,卸载删除无线网卡重启多次,都没解决! Qualcomm Atheros AR9485 Wireless Network Adapter
在cmd窗口中测试网络状态,截图附在最后。
找到问题
WLAN 适配器的驱动程序可能出现问题
未修复
无线网络 适配器出现问题
已失败
设置 无线网络 适配器
已完成
找到问题
检测详细信息
WLAN 适配器的驱动程序可能出现问题
未修复
Windows 无法自动将 IP 协议堆栈绑定到网络适配器。
检测详细信息
收集信息
计算机名: IDRA-PC
Windows 版本:
10.0
体系结构:
x64
时间:
2018年11月18日 星期日 18:59:55
发布者详细信息
Windows 网络诊断
检测网络连接问题。
程序包版本:
4.0
发布者:
Microsoft Windows
1
C:\Windows\System32>ipconfig /all
Windows IP 配置
主机名 . . . . . . . . . . . . . : idra-pc
主 DNS 后缀 . . . . . . . . . . . :
节点类型 . . . . . . . . . . . . : 混合
IP 路由已启用 . . . . . . . . . . : 否
WINS 代理已启用 . . . . . . . . . : 否
以太网适配器 以太网:
连接特定的 DNS 后缀 . . . . . . . :
描述. . . . . . . . . . . . . . . : Qualcomm Atheros AR8161 PCI-E 千兆以太网控制器 (NDIS 6.30)
物理地址. . . . . . . . . . . . . : 28-D2-44-03-27-53
DHCP 已启用 . . . . . . . . . . . : 是
自动配置已启用. . . . . . . . . . : 是
IPv6 地址 . . . . . . . . . . . . : 2001:250:6408:1202:38e0:df30:5f54:e85e(首选)
临时 IPv6 地址. . . . . . . . . . : 2001:250:6408:1202:cc53:2a35:d215:a9de(首选)
本地链接 IPv6 地址. . . . . . . . : fe80::38e0:df30:5f54:e85e%10(首选)
IPv4 地址 . . . . . . . . . . . . : 10.60.49.38(首选)
子网掩码 . . . . . . . . . . . . : 255.255.255.0
获得租约的时间 . . . . . . . . . : 2018年11月18日 星期日 18:52:24
租约过期的时间 . . . . . . . . . : 2018年11月21日 星期三 18:52:24
默认网关. . . . . . . . . . . . . : fe80::3e8a:b0ff:fe92:dc01%10
10.60.49.1
DHCP 服务器 . . . . . . . . . . . : 10.70.0.24
DHCPv6 IAID . . . . . . . . . . . : 254333508
DHCPv6 客户端 DUID . . . . . . . : 00-01-00-01-1A-B6-DA-45-28-D2-44-03-27-53
DNS 服务器 . . . . . . . . . . . : 2001:4860:4860::8888
2001:da8:202:10::36
2001:470:20::2
240c::6644
10.70.61.21
10.70.0.22
TCPIP 上的 NetBIOS . . . . . . . : 已启用
以太网适配器 以太网 2:
媒体状态 . . . . . . . . . . . . : 媒体已断开连接
连接特定的 DNS 后缀 . . . . . . . :
描述. . . . . . . . . . . . . . . : Sangfor SSL *** CS Support System VNIC
物理地址. . . . . . . . . . . . . : 00-FF-B8-00-96-62
DHCP 已启用 . . . . . . . . . . . : 否
自动配置已启用. . . . . . . . . . : 是
C:\Windows\System32>
2
名称: 以太网 2
描述: Sangfor SSL *** CS Support System VNIC
物理地址(MAC): 00:ff:b8:00:96:62
状态: 不可操作
最大传输单元: 1400
IPv4 地址: 169.254.238.221/16
IPv6 地址: fe80::94d2:d360:6020:eedd%20/64
DNS 服务器: fec0:0:0:ffff::1%1, fec0:0:0:ffff::2%1, fec0:0:0:ffff::3%1
连接性(IPv4/IPv6): 已断开连接
名称: 以太网
描述: Qualcomm Atheros AR8161 PCI-E 千兆以太网控制器 (NDIS 6.30)
物理地址(MAC): 28:d2:44:03:27:53
状态: 不可操作
最大传输单元: 1500
连接性(IPv4/IPv6): 已断开连接
名称: 本地连接* 7
描述: Microsoft Wi-Fi Direct Virtual Adapter #4
物理地址(MAC): 12:16:d8:f5:c0:ad
状态: 不存在
最大传输单元: 0
连接性(IPv4/IPv6): 已断开连接
名称: 本地连接* 8
描述: Microsoft Wi-Fi Direct Virtual Adapter #5
物理地址(MAC): 22:16:d8:f5:c0:ad
状态: 不存在
最大传输单元: 0
连接性(IPv4/IPv6): 已断开连接
名称: WLAN
描述: Qualcomm Atheros AR9485 Wireless Network Adapter
物理地址(MAC): 20:16:d8:f5:c0:ad
状态: 可操作
最大传输单元: 1500
连接性(IPv4/IPv6): 已断开连接
3 禁用以太网卡后,ipconfig根本看不到无线网卡!
C:\Windows\System32>ipconfig /renew
Windows IP 配置
不能在 以太网 2 上执行任何操作,它已断开媒体连接。
C:\Windows\System32>ipconfig /all
Windows IP 配置
主机名 . . . . . . . . . . . . . : idra-pc
主 DNS 后缀 . . . . . . . . . . . :
节点类型 . . . . . . . . . . . . : 混合
IP 路由已启用 . . . . . . . . . . : 否
WINS 代理已启用 . . . . . . . . . : 否
以太网适配器 以太网 2:
媒体状态 . . . . . . . . . . . . : 媒体已断开连接
连接特定的 DNS 后缀 . . . . . . . :
描述. . . . . . . . . . . . . . . : Sangfor SSL *** CS Support System VNIC
物理地址. . . . . . . . . . . . . : 00-FF-B8-00-96-62
DHCP 已启用 . . . . . . . . . . . : 否
自动配置已启用. . . . . . . . . . : 是
C:\Windows\System32>
4
C:\Windows\System32>ipconfig /all
Windows IP 配置
主机名 . . . . . . . . . . . . . : idra-pc
主 DNS 后缀 . . . . . . . . . . . :
节点类型 . . . . . . . . . . . . : 混合
IP 路由已启用 . . . . . . . . . . : 否
WINS 代理已启用 . . . . . . . . . : 否
无线局域网适配器 本地连接* 18:
媒体状态 . . . . . . . . . . . . : 媒体已断开连接
连接特定的 DNS 后缀 . . . . . . . :
描述. . . . . . . . . . . . . . . : Microsoft Wi-Fi Direct Virtual Adapter #6
物理地址. . . . . . . . . . . . . : 12-16-D8-F5-C0-AD
DHCP 已启用 . . . . . . . . . . . : 是
自动配置已启用. . . . . . . . . . : 是
无线局域网适配器 本地连接* 19:
媒体状态 . . . . . . . . . . . . : 媒体已断开连接
连接特定的 DNS 后缀 . . . . . . . :
描述. . . . . . . . . . . . . . . : Microsoft Wi-Fi Direct Virtual Adapter #7
物理地址. . . . . . . . . . . . . : 22-16-D8-F5-C0-AD
DHCP 已启用 . . . . . . . . . . . : 是
自动配置已启用. . . . . . . . . . : 是
以太网适配器 以太网:
连接特定的 DNS 后缀 . . . . . . . :
描述. . . . . . . . . . . . . . . : Qualcomm Atheros AR8161 PCI-E 千兆以太网控制器 (NDIS 6.30)
物理地址. . . . . . . . . . . . . : 28-D2-44-03-27-53
DHCP 已启用 . . . . . . . . . . . : 是
自动配置已启用. . . . . . . . . . : 是
IPv6 地址 . . . . . . . . . . . . : 2001:250:6408:1202:38e0:df30:5f54:e85e(首选)
临时 IPv6 地址. . . . . . . . . . : 2001:250:6408:1202:615b:ec43:e52a:29bf(首选)
本地链接 IPv6 地址. . . . . . . . : fe80::38e0:df30:5f54:e85e%10(首选)
IPv4 地址 . . . . . . . . . . . . : 10.60.49.38(首选)
子网掩码 . . . . . . . . . . . . : 255.255.255.0
获得租约的时间 . . . . . . . . . : 2018年11月18日 星期日 19:26:08
租约过期的时间 . . . . . . . . . : 2018年11月21日 星期三 19:26:07
默认网关. . . . . . . . . . . . . : fe80::3e8a:b0ff:fe92:dc01%10
10.60.49.1
DHCP 服务器 . . . . . . . . . . . : 10.70.0.24
DHCPv6 IAID . . . . . . . . . . . : 254333508
DHCPv6 客户端 DUID . . . . . . . : 00-01-00-01-1A-B6-DA-45-28-D2-44-03-27-53
DNS 服务器 . . . . . . . . . . . : 2001:4860:4860::8888
2001:da8:202:10::36
2001:470:20::2
240c::6644
10.70.61.21
10.70.0.22
TCPIP 上的 NetBIOS . . . . . . . : 已启用
以太网适配器 以太网 2:
媒体状态 . . . . . . . . . . . . : 媒体已断开连接
连接特定的 DNS 后缀 . . . . . . . :
描述. . . . . . . . . . . . . . . : Sangfor SSL *** CS Support System VNIC
物理地址. . . . . . . . . . . . . : 00-FF-B8-00-96-62
DHCP 已启用 . . . . . . . . . . . : 否
自动配置已启用. . . . . . . . . . : 是
无线局域网适配器 WLAN:
连接特定的 DNS 后缀 . . . . . . . :
描述. . . . . . . . . . . . . . . : Qualcomm Atheros AR9485 Wireless Network Adapter
物理地址. . . . . . . . . . . . . : 20-16-D8-F5-C0-AD
DHCP 已启用 . . . . . . . . . . . : 是
自动配置已启用. . . . . . . . . . : 是
本地链接 IPv6 地址. . . . . . . . : fe80::255b:d4bb:651b:90c0%25(首选)
IPv4 地址 . . . . . . . . . . . . : 10.63.68.227(首选)
子网掩码 . . . . . . . . . . . . : 255.255.248.0
获得租约的时间 . . . . . . . . . : 2018年11月18日 星期日 19:33:04
租约过期的时间 . . . . . . . . . : 2018年11月18日 星期日 23:33:03
默认网关. . . . . . . . . . . . . : 10.63.64.1
DHCP 服务器 . . . . . . . . . . . : 192.168.255.19
DHCPv6 IAID . . . . . . . . . . . : 421533400
DHCPv6 客户端 DUID . . . . . . . : 00-01-00-01-1A-B6-DA-45-28-D2-44-03-27-53
DNS 服务器 . . . . . . . . . . . : 10.70.61.21
10.70.0.21
TCPIP 上的 NetBIOS . . . . . . . : 已启用
为什么在网上邻居里找不到其他的电脑?
1.1.网线。双机互连不使用HUB或交换机,用交叉线连接两机;如果使用HUB或者交换机,均用直连线连接至HUB或交换机,保证交换机、网卡状态灯正常。
1.2.IP协议。WIN98及以后的机器在安装时会默认安装TCP/IP协议,WIN95需要另外安装。在网上邻居->属性(WIN9X/Me)或者网上邻居->属性->本地连接->属性(WIN2K/XP)里可以查看是否安装了TCP/IP协议。
1.3.IP地址。在TCP/IP属性里设置IP地址、子网掩码和网关,如果有需要可以设置DNS和WINS服务器地址。IP地址推荐设置:192.168.X.X,子网掩码:255.255.255.0。如果你的局域网中有DHCP服务器,选择自动获取地址即可。 验证方法:在DOS提示符下使用ping x.x.x.x(对方IP地址),如返回如下信息,说明IP设置成功: Reply from x.x.x.x(对方IP地址):bytes=32 time<1ms TTL=128
1.4.NetBIOS over TCP/IP。网上邻居的浏览和通讯要使用NetBIOS协议,该协议是无法被路由器转发的,因此WIN2K及以后的操作系统均提供将NetBIOS协议封装在TCP/IP中的功能。在Win9X/Me系统中,打开网上邻居->属性可以参看是否安装了NetBIOS协议,在Win2K/XP中,打开TCP/IP属性->高级->WINS->NetBIOS设置,选择“启用TCP/IP上的NetBIOS”。 验证NetBIOS名称解析:使用ping XXXX(对方机器名),如果返回如1.3中的信息,说明NetBIOS协议解析正常。
1.5.HOST文件。如果在1.4中无法正确解析机器名,可以修改host文件,在WINDOWS目录中搜索HOST关键字,找到后,使用记事本打开host(有的系统为host.sam),在末尾加入如下内容: x.x.x.x(对方的IP地址)使用Tab键跳到下一制表列XXXX(对方的机器名) 存盘退出,注意,如果原文件带有.sam扩展名,要去掉扩展名,才能生效。使用与1.4.同样的方法验证。
1.6.启用打印与文件共享。在网上邻居和本地连接属性里可以看到是否安装了打印机与文件共享。验证:如果在网上邻居中看不到自己的机器,说明你没有安装打印机与文件共享。
1.7.启用GUEST用户:WIN2K/XP在工作组模式下要使用Guest用户来允许网络访问,因此要启用Guest用户。打开控制面板->用户帐户或者在管理工具->计算机管理->本地用户和组中打开Guest帐户,如果使用域管理模式,可以忽略这一步。
1.8.启用计算机浏览服务。WIN2K/XP要确保计算机浏览服务正常启动。打开计算机管理->服务和应用程序->服务,确保“Computer Browser”没有被停止或禁用。
1.9.防火墙:确保WINXP自带的防火墙没有开启,打开本地连接属性->高级,关掉Internet连接防火墙。如果使用了第三方的防火墙产品,参考其使用手册,确保防火墙没有禁止以下端口的通讯:UDP-137、UDP-138、TCP-139、TCP-445(仅WIN2K及以后的操作系统)。
1.10.设置共享文件夹和打印机。 经过以上步骤,你的网上邻居应该可以正常工作了。
网上邻居的常见问题
1:所有的网上邻居中的机器不可访问 ----主浏览器死机,还没有选举出新的浏览器
2:某些网上邻居的机器不可用 可以在“网上邻居”中看到一台电脑,但是点击该电脑图标却出现“网络路径不存在”的错误提示----是浏览表中的内容没有更新 。如果一台电脑非法关机,它的名字可能会在网络上保留40多分钟,所以你现在点击的可能是一台非法关机的电脑。因为浏览列表的获得不是通过访问其中每一台机子得到的,很多时候网络中的计算机并不能正确更新浏览列表。当一台计算机正常关机时,它会向网络发出广播宣告,使浏览主控服务器及时将它从浏览列表中删除;而非正常关机后,浏览列表里仍会把该条目保持很长一段时间(NT下是45分钟),这就是我们仍能在网络邻居里看到它的原因。另外有时候,明明计算机已经关了,但网上邻居上却仍然存在 ----这个是网上邻居的正常现象,也是浏览表没有更新的原因。主浏览器的列表更新需要每隔一段时间进行,这样客户机得到的浏览列表就不是实时更新的。比如客户机非法关机后,在主浏览器的浏览列表里还会保存很长一段时间,而实际上该计算机已经无法访问了。 解决方案:如果要访问的计算机不在网上邻居的列表里或在列表里却无法通过NetBIOS名称访问,可以在地址栏里输入“\\IP地址”来访问。
3:用windows98操作系统访问win2000或xp系统时无法访问。可能是win2000或xp系统上的 guest 帐号被禁用或者Win2000用了NTFS分区格式,设置了权限控制。解决方案:启用Win2000里的guest 用户 ,如果没有启用guest用户那么Win98访问Win2000时会要求输入IPC$密码。同时查看要访问的分区或文件夹是否设置了过高的访问权限,一般要允许Win98系统的机器访问的话,Win2000里的安全控制里不要将everyone的账号组删除。 1.如果是98的话,在开启了系统Guest用户的情况下,点击“开始”—→“运行”,输入gpedit.msc,可以调出组策略编辑器,在“本地计算机策略—→计算机配置—→Windows设置—→安全设置—→本地策略—→用户权利指派—→拒绝从网络访问这台计算机”中赫然可以看到有Guest用户!如果在这里删除Guest用户,那么其他电脑就可以从网上邻居中查看这台电脑的共享目录了。 2.如果是2000或者xp的话,你就干脆把网络协议全部删掉,只留有用的,如:TCP/IP,IPX/SPX,NETBUIE。不必要的网络协议往往会影响网络的连接速度和效率。 ping不通,可能是xp自带防火墙,关掉它试试。
4: 网上邻居电脑或工作组名单的来源。 如果是每次需要时才开始在网上查找电脑,寻找方式除了广播以外别无它法,如果有多台电脑同时执行类似任务,势必引发网络大赛车,因此Mircosoft提出了Browser Service(浏览服务)作为解决方案。Mircosoft网络上必须有一台或数台机器充当浏览服务器,维护并随时更新网络上的电脑与工作组名单,这样任何一台电脑需要浏览“网上邻居”,便可以向服务器请求名单,避免了广播查询造成的网络阻塞。可以担任Browser的电脑并不是随意的,这取决与该电脑用什么操作系统和它开机时间长短。一般来说,用WinNT/2000/XP作为操作系统比Win9X/ME的电脑成为Browser的优先级高,如果操作系统相同,则比较系统的版本,新版本优先权高,如果系统和版本相同,则先开机的优先。当网络中第一台电脑开机时,它会发出查询有没有Master Browser,如果没有则自己成为Master Browser,如果有的话则会比较操作系统的版本,高的成为Master Browser。当一台非Master Browser关机时,它会主动通知Master Browser,然后由Master Browser将它从网络清单中清除,但是如果客户机非正常关机,则Master Browser不会将它从网络清单中清除,最长要经过48分钟后才会将它清除掉。
5: “网上邻居”非常慢 。原因:一、网上邻居提速两原则: 1、使用单一网络通信协议 windows允许是用多种通信协议,如NetBEUI和 IPX/spx等,虽然方便,但也制造了更多的网络广播垃圾,同时也减缓了存取网络的速度,只用一种通信协议当然最理想不过,因此若没有必要,将多余的协议删掉。 2、使用WINS服务器配合使用TCP IP ,WinNT/2000 server提供WINS服务器功能,在局域网中安装一台WINS服务器,则网络上所有电脑都成为WiNS客户端,这样客户端只需要向WINS服务器发出请求而不必进行广播查询,对于中大型网络是个不错的选择。 二、Master Browser是关键有的Master Browser系统差不多要耗尽(需要重起),也有的Master Browser被使用了防火墙的用户霸占,这时我们就需要先找到它,然后再取相应方式解决。WinNT/2000 Resource kit中一个叫Browstat.exe的小工具可以帮我们找到Master Browser,安装后执行 net config rdr ,然后记下NetBT_Tcpip_及后边大括号中的内容,如是NetBT_Tcpip_{612E.....},然后执行Browstat GETMASTER NetBT_Tcpip_{612E.....} XXX (XXX是要获得Master Browser的工作组或域)。如果访问一个工作组时被告知该工作组列表拒绝访问,这种情况一般都是该工作组的Master Browser用了防火墙,找到该机器,关闭防火墙就可以解决问题。 为什么我浏览网上邻居的时候很慢?怎样解决? :因为通过网上邻居浏览其它计算机的时候,2000会先搜索自己的共享目录和可作为网络共享的打印机以及任务中和网络相关的任务,所以导致速度慢。 启动注册表编辑器regedit 找到 HKEY_LOCAL_MACHINE/sofeware/Microsoft/Windows/Current Version/Explore/RemoteComputer/NameSpace 删除{2227A280-3AEA-1069-A2DE08002B30309D}(打印机)删除{D6277990-4C6A-11CF8D87-00AA0060F5BF}(任务)再次打开的时候就会发现速度比以前提高很多了。
6:不能浏览网络,但是却能够与局域网的其它计算机玩网络游戏。
(1).确保硬件没有问题 有些人虽然打开网上邻居时有错误,提示不能浏览网络,但是却能够与局域网的其它计算机玩网络游戏。这就表明你的硬件没有问题。再者,用ping命令,ping本地的IP地址或计算机名。如果能ping通,也说明你的硬件没有问题。
(2).网络配置 若是Windows 98系列操作系统,强烈建议宿舍、家庭局域网在网络组件中安装五个网络组件(如图),缺一不可,多则累赘。第一个是Microsoft 网络用户,第二个是正确安装网卡驱程,第三个和第四个是IPX协议和TCP/IP协议,最后一个是Microsoft 网络文件共享。若是Windows 2000、XP操作系统,也只需要做类似设置即可。
(3).TCP/IP里面的设置 保证局域网里面的计算机处于同一网段上。一般把IP地址设为:192.168.1.X,子网掩码:255.255.255.0,就可以了。
(4).不要更改其它网络组件的默认设置 总结 提示读者注意的是,一定要注视第2点所说的安装网络文件共享这个组件。只要局域网中有一台计算机没有装这个东东,出现无法浏览网络的几率就大大提升了。 说到最后,还要加上一句读者不希望看到话:即使是硬件没问题,软件设置没有问题,在对等局域网中出现无法浏览网上邻居还是不可避免的现象!!这涉及到计算机列表保存在主控服务器上的知识, 不是一两句话能够说清楚的。我们只要做到上面几点,就很少会出现无法浏览网上邻居的情况。
7:可以访问别人的电脑,别人看不到自己的电脑。这种情况应该是你只安装了网卡驱动,网络协议和Microsoft网络用户,所以你可以访问别人的电脑,但是没有安装“文件与打印机共享服务”,也就是没有作为服务器的功能,所以别人看不到你的电脑。
谁能给我说一些Windows2003的优化设置
1、同样打开控制面板,设置查看方式为”小图标“,然后找到”管理工具“,点击进入。
2、然后在这个页面中找到“服务”,点击进入,查看Server 服务是否已经启动。
3、找到“serve”,双击打开。
4、在这里就可以看到Server 服务是否已经启动,没有的话,就将其启动,如下图所示。
5、再在刚才那个页面中,找到 Windows Firewall/Internet Connection Sharing (ICS)服务,双击打开。
6、将其开启,如下图所示。
7、同样,又找到“Computer Browser”选项,双击打开。
8、进入设置窗口后,将其启动。
9、最后再找到“TCP/IP NetBIOS Helper”选项,双击打开。
10、同样将其开启,如下图所示,注意服务里的这几个服务必须启动。
关闭NetBios over Tcpip项后 为什么无法上网,找不到IP 地址。
优化你安装精简版好了 要是服务器还是安全与稳定第一
第一步:
一、先关闭不需要的端口
我比较小心,先关了端口。只开了3389 21 80 1433(MYSQL)有些人一直说什么默认的3389不安全,对此我不否认,但是利用的途径也只能一个一个的穷举爆破,你把帐号改了密码设置为十五六位,我估计他要破上好几年,哈哈!办法:本地连接--属性--Internet协议(TCP/IP)--高级--选项--TCP/IP筛选--属性--把勾打上 然后添加你需要的端口即可。PS一句:设置完端口需要重新启动!
当然大家也可以更改远程连接端口方法:
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp]
"PortNumber"=dword:00002683
保存为.REG文件双击即可!更改为9859,当然大家也可以换别的端口, 直接打开以上注册表的地址,把值改为十进制的输入你想要的端口即可!重启生效!
还有一点,在2003系统里,用TCP/IP筛选里的端口过滤功能,使用FTP服务器的时候,只开放21端口,在进行FTP传输的时候,FTP 特有的Port模式和Passive模式,在进行数据传输的时候,需要动态的打开高端口,所以在使用TCP/IP过滤的情况下,经常会出现连接上后无法列出目录和数据传输的问题。所以在2003系统上增加的windows连接防火墙能很好的解决这个问题,所以都不推荐使用网卡的TCP/IP过滤功能。所做FTP下载的用户看仔细点,表怪俺说俺写文章是垃圾...如果要关闭不必要的端口,在\\system32\\drivers\\etc\\services中有列表,记事本就可以打开的。如果懒惰的话,最简单的方法是启用WIN2003的自身带的网络防火墙,并进行端口的改变。功能还可以!Internet 连接防火墙可以有效地拦截对Windows 2003服务器的非法入侵,防止非法远程主机对服务器的扫描,提高Windows 2003服务器的安全性。同时,也可以有效拦截利用操作系统漏洞进行端口攻击的,如冲击波等蠕虫。如果在用Windows 2003构造的虚拟路由器上启用此防火墙功能,能够对整个内部网络起到很好的保护作用。
二、关闭不需要的服务 打开相应的审核策略
我关闭了以下的服务
Computer Browser 维护网络上计算机的最新列表以及提供这个列表
Task scheduler 允许程序在指定时间运行
Routing and Remote Access 在局域网以及广域网环境中为企业提供路由服务
Removable storage 管理可移动媒体、驱动程序和库
Remote Registry Service 允许远程注册表操作
Print Spooler 将文件加载到内存中以便以后打印。要用打印机的朋友不能禁用这项IPSEC Policy Agent 管理IP安全策略以及启动ISAKMP/OakleyIKE)和IP安全驱动程序Distributed Link Tracking Client 当文件在网络域的NTFS卷中移动时发送通知Com+ Event System 提供的自动发布到订阅COM组件
Alerter 通知选定的用户和计算机管理警报
Error Reporting Service 收集、存储和向 Microsoft 报告异常应用程序
Messenger 传输客户端和服务器之间的 NET SEND 和 警报器服务消息
Telnet 允许远程用户登录到此计算机并运行程序
把不必要的服务都禁止掉,尽管这些不一定能被攻击者利用得上,但是按照安全规则和标准上来说,多余的东西就没必要开启,减少一份隐患。
在"网络连接"里,把不需要的协议和服务都删掉,这里只安装了基本的Internet协议(TCP/IP),由于要控制带宽流量服务,额外安装了Qos数据包程序。在高级tcp/ip设置里--"NetBIOS"设置"禁用tcp/IP上的NetBIOS(S)"。在高级选项里,使用"Internet连接防火墙",这是windows 2003 自带的防火墙,在2000系统里没有的功能,虽然没什么功能,但可以屏蔽端口,这样已经基本达到了一个IPSec的功能。
在运行中输入gpedit.msc回车,打开组策略编辑器,选择计算机配置-Windows设置-安全设置-审核策略在创建审核项目时需要注意的是如果审核的项目太多,生成的也就越多,那么要想发现严重的也越难当然如果审核的太少也会影响你发现严重的,你需要根据情况在这二者之间做出选择。
推荐的要审核的项目是:
登录 成功 失败
账户登录 成功 失败
系统 成功 失败
策略更改 成功 失败
对象访问 失败
目录服务访问 失败
特权使用 失败
三、磁盘权限设置
1.系统盘权限设置
C:分区部分:
c:\
administrators 全部(该文件夹,子文件夹及文件)
CREATOR OWNER 全部(只有子文件来及文件)
system 全部(该文件夹,子文件夹及文件)
IIS_WPG 创建文件/写入数据(只有该文件夹)
IIS_WPG(该文件夹,子文件夹及文件)
遍历文件夹/运行文件
列出文件夹/读取数据
读取属性
创建文件夹/附加数据
读取权限
c:\Documents and Settings
administrators 全部(该文件夹,子文件夹及文件)
Power Users (该文件夹,子文件夹及文件)
读取和运行
列出文件夹目录
读取
SYSTEM全部(该文件夹,子文件夹及文件)
C:\Program Files
administrators 全部(该文件夹,子文件夹及文件)
CREATOR OWNER全部(只有子文件来及文件)
IIS_WPG (该文件夹,子文件夹及文件)
读取和运行
列出文件夹目录
读取
Power Users(该文件夹,子文件夹及文件)
修改权限
SYSTEM全部(该文件夹,子文件夹及文件)
TERMINAL SERVER USER (该文件夹,子文件夹及文件)
修改权限
2.网站及虚拟机权限设置(比如网站在E盘)
说明:我们设网站全部在E盘site目录下,并且为每一个虚拟机创建了一个guest用户,用户名为vhost1...vhostn并且创建了一个webuser组,把所有的vhost用户全部加入这个webuser组里面方便管理。
E:\
Administrators全部(该文件夹,子文件夹及文件)
E:\site
Administrators全部(该文件夹,子文件夹及文件)
system全部(该文件夹,子文件夹及文件)
service全部(该文件夹,子文件夹及文件)
E:\site\vhost1
Administrators全部(该文件夹,子文件夹及文件)
system全部(该文件夹,子文件夹及文件)
vhost1全部(该文件夹,子文件夹及文件)
3.数据备份盘
数据备份盘最好只指定一个特定的用户对它有完全操作的权限。比如F盘为数据备份盘,我们只指定一个管理员对它有完全操作的权限。
4.其它地方的权限设置
请找到c盘的这些文件,把安全性设置只有特定的管理员有完全操作权限。
下列这些文件只允许administrators访问
net.exe
net1.exet
cmd.exe
tftp.exe
netstat.exe
regedit.exe
at.exe
attrib.exe
cacls.exe
format
5.删除c:\inetpub目录,删除iis不必要的映射,建立陷阱帐号,更改描述。
四、防火墙、杀毒软件的安装
推荐小红伞晓月版
五、SQL2000 SERV-U FTP安全设置
SQL安全方面
1.System Administrators 角色最好不要超过两个
2.如果是在本机最好将身份验证配置为Win登陆
3.不要使用Sa账户,为其配置一个超级复杂的密码
4.删除以下的扩展存储过程格式为:
use master
sp_dropextendedproc '扩展存储过程名'
xp_cmdshell:是进入操作系统的最佳捷径,删除
访问注册表的存储过程,删除
Xp_regaddmultistring Xp_regdeletekey Xp_regdeletevalue Xp_regenumvalues
Xp_regread Xp_regwrite Xp_regremovemultistring
OLE自动存储过程,不需要删除
Sp_OACreate Sp_OADestroy Sp_OetErrorInfo Sp_OetProperty
Sp_OAMethod Sp_OASetProperty Sp_OAStop
5.隐藏 SQL Server、更改默认的1433端口
右击实例选属性-常规-网络配置中选择TCP/IP协议的属性,选择隐藏 SQL Server 实例,并改原默认的1433端口
serv-u的几点常规安全需要设置下:
选中"Block "FTP_bounce"attack and FXP"。什么是FXP呢?通常,当使用FTP协议进行文件传输时,客户端首先向FTP服务器发出一个"PORT"命令,该命令中包含此用户的IP地址和将被用来进行数据传输的端口号,服务器收到后,利用命令所提供的用户地址信息建立与用户的连接。大多数情况下,上述过程不会出现任何问题,但当客户端是一名恶意用户时,可能会通过在PORT命令中加入特定的地址信息,使FTP服务器与其它非客户端的机器建立连接。虽然这名恶意用户可能本身无权直接访问某一特定机器,但是如果FTP服务器有权访问该机器的话,那么恶意用户就可以通过FTP服务器作为中介,仍然能够最终实现与目标服务器的连接。这就是FXP,也称跨服务器攻击。选中后就可以防止发生此种情况。
六、IIS安全设置
IIS的相关设置:
删除默认建立的站点的虚拟目录,停止默认web站点,删除对应的文件目录c:inetpub,配置所有站点的公共设置,设置好相关的连接数限制,带宽设置以及性能设置等其他设置。配置应用程序映射,删除所有不必要的应用程序扩展,只保留asp,php,cgi,pl,aspx应用程序扩展。对于php和cgi,推荐使用isapi方式解析,用exe解析对安全和性能有所影响。用户程序调试设置发送文本错误信息给户。对于数据库,尽量用mdb后缀,不需要更改为asp,可在IIS中设置一个mdb的扩展映射,将这个映射使用一个无关的dll文件如C:WINNTsystem32inetsrvssinc.dll来防止数据库被下载。设置IIS的日志保存目录,调整日志记录信息。设置为发送文本错误信息。修改403错误页面,将其转向到其他页,可防止一些扫描器的探测。另外为隐藏系统信息,防止telnet到80端口所泄露的系统版本信息可修改IIS的banner信息,可以使用winhex手工修改或者使用相关软件如banneredit修改。
对于用户站点所在的目录,在此说明一下,用户的FTP根目录下对应三个文件佳,root,database,logfiles,分别存放站点文件,数据库备份和该站点的日志。如果一旦发生入侵可对该用户站点所在目录设置具体的权限,所在的目录只给予列目录的权限,程序所在目录如果不需要生成文件(如生成html的程序)不给予写入权限。因为是虚拟主机平常对脚本安全没办法做到细致入微的地步,更多的只能在方法用户从脚本提升权限:
ASP的安全设置:
://.knowsky/system.asp
设置过权限和服务之后,防范asp木马还需要做以下工作,在cmd窗口运行以下命令:
regsvr32/u C:\WINNT\System32\wshom.ocx
del C:\WINNT\System32\wshom.ocx
regsvr32/u C:\WINNT\system32\shell32.dll
del C:\WINNT\system32\shell32.dll
即可将WScript.Shell, Shell.lication, WScript.Network组件卸载,可有效防止asp木马通过wscript或shell.lication执行命令以及使用木马查看一些系统敏感信息。另法:可取消以上文件的users用户的权限,重新启动IIS即可生效。但不推荐该方法。
另外,对于FSO由于用户程序需要使用,服务器上可以不注销掉该组件,这里只提一下FSO的防范,但并不需要在自动开通空间的虚拟商服务器上使用,只适合于手工开通的站点。可以针对需要FSO和不需要FSO的站点设置两个组,对于需要FSO的用户组给予c:winntsystem32scrrun.dll文件的执行权限,不需要的不给权限。重新启动服务器即可生效。
对于这样的设置结合上面的权限设置,你会发现海阳木马已经在这里失去了作用!
PHP的安全设置:
默认安装的php需要有以下几个注意的问题:
C:\winnt\php.ini只给予users读权限即可。在php.ini里需要做如下设置:
Safe_mode=on
register_globals = Off
allow_url_fopen = Off
display_errors = Off
magic_quotes_gpc = On [默认是on,但需检查一遍]
open_basedir =web目录
disable_functions =passthru,exec,shell_exec,system,phpinfo,get_cfg_var,popen,chmod
默认设置com.allow_dcom = true修改为false[修改前要取消掉前面的;]
MySQL安全设置:
如果服务器上启用MySQL数据库,MySQL数据库需要注意的安全设置为:
删除mysql中的所有默认用户,只保留本地root帐户,为root用户加上一个复杂的密码。赋予普通用户updatedeletealertcreatedrop权限的时候,并限定到特定的数据库,尤其要避免普通客户拥有对mysql数据库操作的权限。检查mysql.user表,取消不必要用户的shutdown_priv,relo
ad_priv,process_priv和File_priv权限,这些权限可能泄漏更多的服务器信息包括非mysql的其它信息出去。可以为mysql设置一个启动用户,该用户只对mysql目录有权限。设置安装目录的data数据库的权限(此目录存放了mysql数据库的数据信息)。对于mysql安装目录给users加上读取、列目录和执行权限。
Serv-u安全问题:
安装程序尽量用最新版本,避免用默认安装目录,设置好serv-u目录所在的权限,设置一个复杂的管理员密码。修改serv-u的banner信息,设置被动模式端口范围(4001—4003)在本地服务器中设置中做好相关安全设置:包括检查匿名密码,禁用反超时调度,拦截“FTP bounce”攻击和FXP,对于在30秒内连接超过3次的用户拦截10分钟。域中的设置为:要求复杂密码,目录只使用小写字母,高级中设置取消允许使用MDTM命令更改文件的日期。
更改serv-u的启动用户:在系统中新建一个用户,设置一个复杂点的密码,不属于任何组。将servu的安装目录给予该用户完全控制权限。建立一个FTP根目录,需要给予这个用户该目录完全控制权限,因为所有的ftp用户上传,删除,更改文件都是继承了该用户的权限,否则无法操作文件。另外需要给该目录以上的上级目录给该用户的读取权限,否则会在连接的时候出现530 Not logged in, home directory does not exist.比如在测试的时候ftp根目录为d:soft,必须给d盘该用户的读取权限,为了安全取消d盘其他文件夹的继承权限。而一般的使用默认的system启动就没有这些问题,因为system一般都拥有这些权限的。
七、其它
1.隐藏重要文件/目录可以修改注册表实现完全隐藏:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\ Current-Version\Explorer\Advanced\Folder\Hi-dden\SHOWALL”,鼠标右击 “CheckedValue”,选择修改,把数值由1改为0
2.启动系统自带的Internet连接防火墙,在设置服务选项中勾选Web服务器;
3.防止SYN洪水攻击:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters
新建DWORD值,名为SynAttackProtect,值为2
EnablePMTUDiscovery REG_DWORD 0
NoNameReleaseOnDemand REG_DWORD 1
EnableDeadGWDetect REG_DWORD 0
KeepAliveTime REG_DWORD 300,000
PerformRouterDiscovery REG_DWORD 0
EnableICMPRedirects REG_DWORD 0
4. 禁止响应ICMP路由通告报文:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\interface
新建DWORD值,名为PerformRouterDiscovery 值为0
5. 防止ICMP重定向报文的攻击:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters
将EnableICMPRedirects 值设为0
6. 不支持IGMP协议:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters
新建DWORD值,名为IGMPLevel 值为0
7.修改终端服务端口:
运行regedit,找到[HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Control \ Terminal Server \ Wds \ rdpwd \ Tds \ tcp],看到右边的PortNumber了吗?在十进制状态下改成你想要的端口号吧,比如7126之类的,只要不与其它冲突即可。
第二处HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Control \ Terminal Server \ WinStations \ RDP-Tcp,方法同上,记得改的端口号和上面改的一样就行了。
8.禁止IPC空连接:
cracker可以利用net use命令建立空连接,进而入侵,还有net view,nstat这些都是基于空连接的,禁止空连接就好了。打开注册表,找到Local_Machine\System\CurrentControlSet\Control\LSA-RestrictAnonymous 把这个值改成”1”即可。
9.更改TTL值:
cracker可以根据ping回的TTL值来大致判断你的操作系统,如:
TTL=107(WINNT);
TTL=108(win2000);
TTL=127或128(win9x);
TTL=240或241(linux);
TTL=252(solaris);
TTL=240(Irix);
实际上你可以自己更改的:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters:DefaultTTL REG_DWORD 0-0xff(0-255 十进制,默认值128)改成一个莫名其妙的数字如258,起码让那些小菜鸟晕上半天,就此放弃入侵你也不一定哦。
10. 删除默认共享:
有人问过我一开机就共享所有盘,改回来以后,重启又变成了共享是怎么回事,这是2K为管理而设置的默认共享,必须通过修改注册表的方式取消它:HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters:AutoShareServer类型是REG_DWORD把值改为0即可
11. 禁止建立空连接:
默认情况下,任何用户通过通过空连接连上服务器,进而枚举出帐号,猜测密码。我们可以通过修改注册表来禁止建立空连接:
Local_Machine\System\CurrentControlSet\Control\LSA-RestrictAnonymous 的值改成”1”即可。
12.禁用TCP/IP上的NetBIOS
网上邻居-属性-本地连接-属性-Internet协议(TCP/IP)属性-高级-WINS面板-NetBIOS设置-禁用TCP/IP上的NetBIOS。这样cracker就无法用nstat命令来读取你的NetBIOS信息和网卡MAC地址了。
13. 账户安全
首先禁止一切账户,除了你自己,呵呵。然后把Administrator改名。我呢就顺手又建了个Administrator账户,不过是什么权限都没有的那种,然后打开记事本,一阵乱敲,复制,粘贴到“密码”里去,呵呵,来破密码吧~!破完了才发现是个低级账户,看你崩溃不?
创建2个管理员用帐号
虽然这点看上去和上面这点有些矛盾,但事实上是服从上面的规则的。 创建一个一般权限帐号用来收信以及处理一些日常事物,另一个拥有Administrators 权限的帐户只在需要的时候使用。可以让管理员使用 “ RunAS” 命令来执行一些需要特权才能作的一些工作,以方便管理
14.更改C:\WINDOWS\Help\iisHelp\common\404b.htm内容改为这样,出错了自动转到首页。
15.本地安全策略和组策略的设置,如果你在设置本地安全策略时设置错了,可以这样恢复成它的默认值
打开 %SystemRoot%\Security文件夹,创建一个 "OldSecurity"子目录,将%SystemRoot%\Security下所有的.log文件移到这个新建的子文件夹中
在%SystemRoot%\Security\database\下找到"Secedit.sdb"安全数据库并将其改名,如改为"Secedit.old"
启动"安全配置和分析"MMC管理单元:"开始"->"运行"->"MMC",启动管理控制台,"添加/删除管理单元",将"安全配置和分析"管理单元添加上
右击"安全配置和分析"->"打开数据库",浏览"C:\WINNT\security\Database"文件夹,输入文件名"secedit.sdb",单击"打开"
当系统提示输入一个模板时,选择"Setup Security.inf",单击"打开",如果系统提示"拒绝访问数据库",不管他,你会发现在"C:\WINNT\security\Database"子文件夹中重新生成了新的安全数据库,在"C:\WINNT\security"子文件夹下重新生成了log文件,安全数据库重建成功。
16.禁用DCOM:
运行中输入 Dcomcnfg.exe。 回车, 单击“控制台根节点”下的“组件服务”。 打开“计算机”子文件夹。对于本地计算机,请以右键单击“我的电脑”,然后选择“属性”。选择“默认属性”选项卡。清除“在这台计算机上启用分布式 COM”复选框。
第二步:
尽管Windows 2003的功能在不断增强,但是由于先天性的原因,它还存在不少安全隐患,要是不将这些隐患“堵住”,可能会给整个系统带来不必要的麻烦;下面笔者就介绍Windows2003中不常见的安全隐患的防堵方法,希望能对各位带来帮助!
堵住自动保存隐患
Windows 2003操作系统在调用应用程序出错时,系统中的Dr. Watson会自动将一些重要的调试信息保存起来,以便日后维护系统时查看,不过这些信息很有可能被黑客“瞄上”,一旦瞄上的话,各种重要的调试信息就会暴露无疑,为了堵住Dr. Watson自动保存调试信息的隐患,我们可以按如下步骤来实现:
1、打开开始菜单,选中“运行”命令,在随后打开的运行对话框中,输入注册表编辑命令“ergedit”命令,打开一个注册表编辑窗口;
2、在该窗口中,用鼠标依次展开HKEY_local_machine\software\Microsoft\WindowsdowsNT\CurrentVersion\AeDebug分支,在对应AeDebug键值的右边子窗口中,用鼠标双击Auto值,在弹出的参数设置窗口中,将其数值重新设置为“0”,
3、打开系统的Windows管理器窗口,并在其中依次展开Documents and Settings文件夹、All Users文件夹、Shared Documents文件夹、DrWatson文件夹,最后将对应DrWatson中的User.dmp文件、Drwtsn32.log文件删除掉。
完成上面的设置后,重新启动一下系统,就可以堵住自动保存隐患了。
堵住共享隐患
为了给局域网用户相互之间传输信息带来方便,Windows Server 2003系统很是“善解人意”地为各位提供了文件和打印共享功能,不过我们在享受该功能带来便利的同时,共享功能也会“引狼入室”,“大度”地向黑客们敞开了不少漏洞,给服务器系统造成了很大的不安全性;所以,在用完文件或打印共享功能时,大家千万要随时将功能关闭哟,以便堵住共享隐患,下面就是关闭共享功能的具体步骤:
1、执行控制面板菜单项下面的“网络连接”命令,在随后出现的窗口中,用鼠标右键单击一下“本地连接”图标;
2、在打开的快捷菜单中,单击“属性”命令,这样就能打开一个“Internet协议(TCP/IP)”属性设置对话框;
3、在该界面中取消“Microsoft网络的文件和打印机共享”这个选项;
4、如此一来,本地计算机就没有办法对外提供文件与打印共享服务了,这样黑客自然也就少了攻击系统的“通道”。
堵住远程访问隐患
在Windows2003系统下,要进行远程网络访问连接时,该系统下的远程桌面功能可以将进行网络连接时输入的用户名以及密码,通过普通明文内容方式传输给对应连接端的客户端程序;在明文帐号传输过程中,实现“安插”在网络通道上的各种嗅探工具,会自动进入“嗅探”状态,这个明文帐号就很容易被“俘虏”了;明文帐号内容一旦被黑客或其他攻击者另谋他用的话,呵呵,小心自己的系统被“疯狂”攻击吧!为了杜绝这种安全隐患,我们可以按下面的方法来为系统“加固”:
1、点击系统桌面上的“开始”按钮,打开开始菜单;
2、从中执行控制面板命令,从弹出的下拉菜单中,选中“系统”命令,打开一个系统属性设置界面;
3、在该界面中,用鼠标单击“远程”标签;
4、在随后出现的标签页面中,将“允许用户远程连接到这台计算机”选项取消掉,这样就可以将远程访问连接功能屏蔽掉,从而堵住远程访问隐患了。
堵住用户切换隐患
Windows 2003系统为我们提供了快速用户切换功能,利用该功能我们可以很轻松地登录到系统中;不过在享受这种轻松时,系统也存在安装隐患,例如我们要是执行系统“开始”菜单中的“注销”命令来,快速“切换用户”时,再用传统的方式来登录系统的话,系统很有可能会本次登录,错误地当作是对计算机系统的一次暴力“袭击”,这样Windows2003系统就可能将当前登录的帐号当作非法帐号,将它锁定起来,这显然不是我们所需要的;不过,我们可以按如下步骤来堵住用户切换时,产生的安全隐患:
在Windows 2003系统桌面中,打开开始菜单下面的控制面板命令,找到下面的“管理工具”命令,再执行下级菜单中的“计算机管理”命令,找到“用户帐户”图标,并在随后出现的窗口中单击“更改用户登录或注销的方式”;在打开的设置窗口中,将“使用快速用户切换”选项取消掉就可以了。
堵住页面交换隐患
Windows 2003操作系统即使在正常工作的情况下,也有可能会向黑客或者其他访问者泄漏重要的机密信息,特别是一些重要的帐号信息。也许我们永远不会想到要查看一下,那些可能会泄漏隐私信息的文件,不过黑客对它们倒是很关心的哟!Windows 2003操作系统中的页面交换文件中,其实就隐藏了不少重要隐私信息,这些信息都是在动态中产生的,要是不及时将它们清除,就很有可能成为黑客的入侵突破口;为此,我们必须按照下面的方法,来让Windows 2003操作系统在关闭系统时,自动将系统工作时产生的页面文件全部删除掉:
1、在Windows 2003的“开始”菜单中,执行“运行”命令,打开运行对话框,并在其中输入“Regedit”命令,来打开注册表窗口;
2、在该窗口的左边区域中,用鼠标依次单击HKEY_local_machine\system\currentcontrolset\control\sessionmanager\memory management键值,找到右边区域中的ClearPageFileAtShutdown键值,并用鼠标双击之,在随后打开的数值设置窗口中,将该DWORD值重新修改为“1”;
3、完成设置后,退出注册表编辑窗口,并重新启动计算机系统,就能让上面的设置生效了。
NETBIOS OVER TCPIP默认开启了137、138、139、445端口。... 简单来说:DHCP Client 和 TCP/IP NetBIOS Helper网络服务依赖于netbios over tcpip 驱动,如果将其停止,相关的两个服务也会停止,这样本地PC就无法从DHCP服务器上获取IP
