“pprpuppnl”通过精心收集,向本站投稿了9篇禁止他人进入你的系统安全模式干坏事服务器教程,下面小编给大家整理后的禁止他人进入你的系统安全模式干坏事服务器教程,欢迎阅读与借鉴!
- 目录
篇1:禁止他人进入你的系统安全模式干坏事服务器教程
如果不想他人随意进入的你系统的安全模式,我们可以禁用之,
方法如下:打开注册表编辑器,
定位到[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot],
将其下的Minimal和Netword两个子项删除即可,
注意:在删除前最好先备份,这样日后需要时只需导入备份即可恢复。
篇2:Win 2000检测系统安全清单服务器教程
安全
服务器应该安放在安装了监视器的隔离房间内,并且监视器要保留15天以上的摄像记录,Win 2000检测系统安全清单(1)服务器教程
。另外,机箱,键盘,电脑桌抽屉要上锁,以确保旁人即使进入房间也无法使用电脑,钥匙要放在另外的安全的地方。2.停掉Guest 帐号
在计算机管理的用户里面把guest帐号停用掉,任何时候都不允许guest帐号登陆系统。为了保险起见,最好给guest 加一个复杂的密码,你可以打开记事本,在里面输入一串包含特殊字符,数字,字母的长字符串,然后把它作为guest帐号的密码拷进去。
3.限制不必要的用户数量
去掉所有的duplicate user 帐户, 测试用帐户, 共享帐号,普通部门帐号等等。用户组策略设置相应权限,并且经常检查系统的帐户,删除已经不在使用的帐户。这些帐户很多时候都是 们入侵系统的突破口,系统的帐户越多, 们得到合法用户的权限可能性一般也就越大。国内的nt/2000主机,如果系统帐户超过10个,一般都能找出一两个弱口令帐户。我曾经发现一台主机197个帐户中竟然有180个帐号都是弱口令帐户。
4.创建2个管理员用帐号
虽然这点看上去和上面这点有些矛盾,但事实上是服从上面的规则的,
创建一个一般权限帐号用来收信以及处理一些日常事物,另一个拥有Administrators 权限的帐户只在需要的时候使用。可以让管理员使用 “ RunAS” 命令来执行一些需要特权才能作的一些工作,以方便管理。
5.把系统administrator帐号改名
大家都知道,windows 2000 的administrator帐号是不能被停用的,这意味着别人可以一遍又一边的尝试这个帐户的密码。把Administrator帐户改名可以有效的防止这一点。当然,请不要使用Admin之类的名字,改了等于没改,尽量把它伪装成普通用户,比如改成:guestone 。
6.创建一个陷阱帐号
什么是陷阱帐号? Look!>创建一个名为” Administrator”的本地帐户,把它的权限设置成最低,什么事也干不了的那种,并且加上一个超过10位的超级复杂密码。这样可以让那些 Scripts s忙上一段时间了,并且可以借此发现它们的入侵企图。或者在它的login scripts上面做点手脚。嘿嘿,够损!
7.把共享文件的权限从”everyone”组改成“授权用户”
“everyone” 在win2000中意味着任何有权进入你的网络的用户都能够获得这些共享资料。任何时候都不要把共享文件的用户设置成”everyone”组。包括打印共享,默认的属性就是”everyone”组的,一定不要忘了改。
篇3:巧用组策略保障系统安全服务器教程
为了保护工作站系统的安全,不少朋友往往会下意识地想到使用系统自带的或第三方防火墙,来对系统进行多方面的安全“护卫”,可是在实际保护系统安全的过程中,我们有时会遇到系统防火墙因受到意外损坏而无法启用的现象,这样一来系统的安全就缺少了防火墙的“护卫”,那么系统受到非法攻击的可能性就会大大增加。事实上,在防火墙无法“护卫”系统安全的情况下,我们完全可以变换思路,从系统组策略出发,来让系统仍然享受防火墙级别的安全“护卫”!
1、预防远程入侵连接
为了有效制止非法攻击者通过网络随意攻击或访问本地工作站系统,第三方专业防火墙工具往往都会为我们提供关闭远程网络连接的功能,通过该功能我们可以随时阻止非法攻击者的入侵连接,从而保护系统的安全。但即使没有第三方专业防火墙的安全“护卫”,我们只要按照如下操作步骤修改系统的组策略,仍然能够让系统享受到这种安全“护卫”待遇:
首先依次单击本地工作站系统桌面中的“开始”、“运行”菜单命令,从弹出的系统运行对话框中,输入字符串命令“gpedit.msc”,单击“确定”按钮后,打开本地系统的组策略编辑窗口;
其次在该编辑窗口的左侧显示区域中,用鼠标逐一展开“本地计算机策略”、“用户配置”、“管理模板”、“网络”、“网络连接”分支选项,在“网络连接”分支选项所在的右侧显示区域中,找到“删除所有用户远程访问连接”项目,并用鼠标双击该项目,打开如图1所示的组策略属性设置对话框;
篇4:Windows系统安全设置方法中级安全篇服务器教程
1.利用win2000的安全配置工具来配置策略
微软提供了一套的基于MMC(管理控制台)安全配置和分析工具,利用他们你可以很方便的配置你的服务器以满足你的要求,具体内容请参考微软主页:www.microsoft.com/windows2000/techi...y/sctoolset.asp
2.关闭不必要的服务
windows 2000 的 Terminal Services(终端服务),IIS ,和RAS都可能给你的系统带来安全漏洞。为了能够在远程方便的管理服务器,很多机器的终端服务都是开着的,如果你的也开了,要确认你已经正确的配置了终端服务。有些恶意的程序也能以服务方式悄悄的运行。要留意服务器上面开启的所有服务,中期性(每天)的检查他们。下面是C2级别安装的默认服务:
Computer Browser service TCP/IP NetBIOS Helper
Microsoft DNS server Spooler
NTLM SSP Server
RPC Locator WINS
RPC service Workstation
Netlogon Event log
3.关闭不必要的端口
关闭端口意味着减少功能,在安全和功能上面需要你作一点决策。如果服务器安装在防火墙的后面,冒的险就会少些,但是,永远不要认为你可以高枕无忧了。用端口扫描器扫描系统所开放的端口,确定开放了哪些服务是 入侵你的系统的第一步。system32driversetcservices 文件中有知名端口和服务的对照表可供参考。具体方法为:
网上邻居>属性>本地连接>属性>internet 协议(tcp/ip)>属性>高级>选项>tcp/ip筛选>属性 打开tcp/ip筛选,添加需要的tcp,udp,协议即可。
4.打开审核策略
开启安全审核是win2000最基本的入侵检测方法。当有人尝试对你的系统进行某些方式(如尝试用户密码,改变帐户策略,未经许可的文件访问等等)入侵的时候,都会被安全审核记录下来。很多的管理员在系统被入侵了几个月都不知道,直到系统遭到破坏。下面的这些审核是必须开启的,其他的可以根据需要增加:
策略 设置
审核系统登陆事件 成功,失败
审核帐户管理 成功,失败
审核登陆事件 成功,失败
审核对象访问 成功
审核策略更改 成功,失败
审核特权使用 成功,失败
审核系统事件 成功,失败
5.开启密码密码策略
策略 设置
密码复杂性要求 启用
密码长度最小值 6位
强制密码历史 5 次
强制密码历史 42 天
6.开启帐户策略
策略 设置
复位帐户锁定计数器 20分钟
帐户锁定时间 20分钟
帐户锁定阈值 3次
7.设定安全记录的访问权限
安全记录在默认情况下是没有保护的,把他设置成只有Administrator和系统帐户才有权访问,
8.把敏感文件存放在另外的文件服务器中
虽然现在服务器的硬盘容量都很大,但是你还是应该考虑是否有必要把一些重要的用户数据(文件,数据表,项目文件等)存放在另外一个安全的服务器中,并且经常备份它们。
9.不让系统显示上次登陆的用户名
默认情况下,终端服务接入服务器时,登陆对话框中会显示上次登陆的帐户明,本地的登陆对话框也是一样。这使得别人可以很容易的得到系统的一些用户名,进而作密码猜测。修改注册表可以不让对话框里显示上次登陆的用户名,具体是:
HKLMSoftwareMicrosoftWindows NTCurrentVersionWinlogonDontDisplayLastUserName
把 REG_SZ 的键值改成 1 .
10.禁止建立空连接
默认情况下,任何用户通过通过空连接连上服务器,进而枚举出帐号,猜测密码。我们可以通过修改注册表来禁止建立空连接:
Local_MachineSystemCurrentControlSetControlLSA-RestrictAnonymous 的值改成”1”即可。
11.到微软网站下载最新的补丁程序
很多网络管理员没有访问安全站点的习惯,以至于一些漏洞都出了很久了,还放着服务器的漏洞不补给人家当靶子用。谁也不敢保证数百万行以上代码的2000不出一点安全漏洞,经常访问微软和一些安全站点,下载最新的service pack和漏洞补丁,是保障服务器长久安全的唯一方法。
责编:豆豆技术应用
篇5:Windows系统安全设置方法高级安全篇服务器教程
1. 关闭 DirectDraw
这是C2级安全标准对视频卡和内存的要求,关闭DirectDraw可能对一些需要用到DirectX的程序有影响(比如游戏,在服务器上玩星际争霸?我晕..$%$^%^&??),但是对于绝大多数的商业站点都应该是没有影响的。 修改注册表 HKLMSYSTEMCurrentControlSetControlGraphicsDriversDCI 的Timeout(REG_DWORD)为 0 即可。
2.关闭默认共享
win2000安装好以后,系统会创建一些隐藏的共享,你可以在cmd下打 net share 查看他们。网上有很多关于IPC入侵的文章,相信大家一定对它不陌生。要禁止这些共享 ,打开 管理工具>计算机管理>共享文件夹>共享 在相应的共享文件夹上按右键,点停止共享即可,不过机器重新启动后,这些共享又会重新开启的。
默认共享目录 路径和功能
C$ D$ E$ 每个分区的根目录。Win2000 Pro版中,只有Administrator
和Backup Operators组成员才可连接,Win2000 Server版本
Server Operatros组也可以连接到这些共享目录
ADMIN$ %SYSTEMROOT% 远程管理用的共享目录。它的路径永远都
指向Win2000的安装路径,比如 c:winnt
FAX$ 在Win2000 Server中,FAX$在fax客户端发传真的时候会到。
IPC$ 空连接。IPC$共享提供了登录到系统的能力。
NetLogon 这个共享在Windows 2000 服务器的Net Login 服务在处
理登陆域请求时用到
PRINT$ %SYSTEMROOT%SYSTEM32SPOOLDRIVERS 用户远程管理打印机
解决办法:
打开注册表编辑器。REGEDIT
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServiceslanmanserverparameters
在右边建立一个名为AutoShareServer的DWORD键。值为0
3.禁止dump file的产生
dump文件在系统崩溃和蓝屏的时候是一份很有用的查找问题的资料(不然我就照字面意思翻译成垃圾文件了),
然而,它也能够给 提供一些敏感信息比如一些应用程序的密码等。要禁止它,打开 控制面板>系统属性>高级>启动和故障恢复 把 写入调试信息 改成无。要用的时候,可以再重新打开它。
4.使用文件加密系统EFS
Windows2000 强大的加密系统能够给磁盘,文件夹,文件加上一层安全保护。这样可以防止别人把你的硬盘挂到别的机器上以读出里面的数据。记住要给文件夹也使用EFS,而不仅仅是单个的文件。 有关EFS的具体信息可以查看 www.microsoft.com/windows2000/techi...ity/encrypt.asp
5.加密temp文件夹
一些应用程序在安装和升级的时候,会把一些东西拷贝到temp文件夹,但是当程序升级完毕或关闭的时候,它们并不会自己清除temp文件夹的内容。所以,给temp文件夹加密可以给你的文件多一层保护。
6.锁住注册表
在windows2000中,只有administrators和Backup Operators才有从网络上访问注册表的权限。如果你觉得还不够的话,可以进一步设定注册表访问权限。
7.关机时清除掉页面文件
页面文件也就是调度文件,是win2000用来存储没有装入内存的程序和数据文件部分的隐藏文件。一些第三方的程序可以把一些没有的加密的密码存在内存中,页面文件中也可能含有另外一些敏感的资料。 要在关机的时候清楚页面文件,可以编辑注册表
HKLMSYSTEMCurrentControlSetControlSession ManagerMemory Management
把ClearPageFileAtShutdown的值设置成1。
8.禁止从软盘和CD Rom启动系统
一些第三方的工具能通过引导系统来绕过原有的安全机制。如果你的服务器对安全要求非常高,可以考虑使用可移动软盘和光驱。把机箱锁起来扔不失为一个好方法。
9.考虑使用智能卡来代替密码
对于密码,总是使安全管理员进退两难,容易受到 10phtcrack 等工具的攻击,如果密码太复杂,用户把为了记住密码,会把密码到处乱写。如果条件允许,用智能卡来代替复杂的密码是一个很好的解决方法。
10.考虑使用IPSec
正如其名字的含义,IPSec 提供 IP 数据包的安全性。IPSec 提供身份验证、完整性和可选择的机密性。发送方计算机在传输之前加密数据,而接收方计算机在收到数据之后解密数据。利用IPSec可以使得系统的安全性能大大增强。
责编:豆豆技术应用
篇6:关于域和活动目录帐户模式服务器教程
每个网站都有用户,管理员的部分工作是确保网站的用户具有合适的网站使用权限 ,若要授予对网站的权限,必须将用户添加到网站中(独立的或作为跨网站用户组的一部分),并分配到网站用户组。在 Microsoft Windows SharePoint Services中,可以用两种模式之一添加用户和跨网站用户组:域帐户模式在组织内使用,用来向具有现成域帐户的用户授予权限。 Active Directory 帐户模式供 Internet 服务提供商使用,用来为客户创建唯一帐户。
首次安装和配置 Windows SharePoint Services 时将确定使用哪种模式,以后不能切换模式。不论使用哪种模式,都可以用命令行工具或网站的 HTML 管理网页将用户和跨网站用户组添加到网站。
关于域帐户模式如果在使用 Microsoft Windows 域帐户的组织内使用 Windows SharePoint Services,则可以对用户和跨网站用户组帐户采用域帐户模式。如果使用域帐户模式,则可以使用用户和跨网站用户组的现有域帐户信息(包括其用户名和电子邮件地址),将其添加到网站。域帐户模式是 Windows SharePoint Services 的标准模式。注意,可以用 Active Directory 目录服务来管理域帐户 ― 两种模式的不同之处在于所使用的帐户类型,而不是用来管理它们的工具。
关于 Active Directory 帐户模式如果在万维网上管理基于 Windows SharePoint Services 的网站供客户使用,则可以将 Windows SharePoint Services 配置为自动为新用户和跨网站用户组创建 Active Directory 目录服务帐户,
在首次配置 Windows SharePoint Services 时,必须启用 Active Directory 帐户模式。使用 Active Directory 帐户模式时,不能使用域帐户。
使用 Active Directory 帐户模式创建用户和跨网站用户组的方法与使用域帐户模式创建用户相同,只不过向网站添加用户或跨网站用户组时只输入电子邮件地址,而不是域帐户。Windows SharePoint Services 会检查 Active Directory,查看是否已存在具有该电子邮件地址的帐户。如果用户或跨网站用户组已在 Active Directory 中有帐户,则使用该帐户。如果用户或跨网站用户组是新的,则会使用 Windows SharePoint Services 凭据在 Active Directory 中为该用户或用户组创建帐户;然后通过电子邮件将其帐户名和密码通知用户。
注:在 Active Directory 帐户模式中时,某些管理任务在 HTML 管理网页中不可用。例如,不能创建顶级网站、不能启用自助式网站创建、不能从“管理中心”页向网站添加用户。若要在 Active Directory 帐户模式中执行这些操作,必须使用对象模型。
必须将域控制器上的“密码最短使用期限”组策略设置为 0 天。否则将造成用户无法更改他们的密码,除非他们拥有服务器的管理员权限。有关设置“密码最短使用期限”组策略的详细信息,请参阅 Microsoft Windows 2003 Server 联机帮助。
篇7:有关禁止U盘(移动硬盘)自动播放的测试服务器教程
原来我一直推荐使用组策略来关闭自动播放,今天在论坛看到一个质疑的帖子,帖子试图说明一个观点——避免双击或插入U盘(移动硬盘)中毒的方法,仅靠组策略编辑器是无效的,需要修改相关注册键值。
对此,我小心做了20分钟的测试。测试结果表明——组策略编辑器中禁止所有驱动器的自动播放,是防止双击或插入移动媒体而中毒的最简单有效的方法。长达三年的客服经历,我并不认同技术至上。我的理念是最简单,最容易实现的方案,才是客户最需要的方案。
测试用了一个简单的autorun.inf,内容为
[autorun]
PEN=EXPLORER.EXE
shellopen=打开(&O)
shellopenCommand=EXPLORER.EXE
shellopenDefault=1
shellexplore=资源管理器(&X)
shellexploreCommand=EXPLORER.EXE
为使测试现象更直观,我把notepad.exe复制到U盘,重命名为explorer.exe,
运行,gpedit.msc,在计算机配置,管理模板,系统,右边关闭自动播放双击,选中未配置(我装完系统后,通常会立即修改这个值为所有驱动器),为这个测试,我改回去。重启电脑使配置生效。
然后,双击我的电脑,再双击U盘图标,记事本打开了。再挂载一个WindowsXP 的ISO光盘镜像。双击,弹出安装Windows XP的界面。
继续下一步,重新运行gpedit.msc,把禁止自动播放的值修改为所有驱动器,再重启电脑。
双击我的电脑,再双击U盘,双击光盘,均未启动相应程序,而是在当前窗口中显示了根目录下的文件。
这个试验说明,针对病毒在移动媒体创建autorun.inf的作法,最简单有效的防范手段,还是使用组策略,修改计算机配置->管理模板->禁止自动播放,重启电脑。
不推荐把简单问题复杂化,一句话,“简单粗暴,行之有效”。
篇8:如何设置FTP的主动模式和被动模式?服务器教程
在使用ftp的时侯,经常遇到ftp链接后出现文件列表错误的情况,只是因为ftp的模式不正确,如何设置ftp的工作模式,什么是主动模式,什么又是被动模式,主动模式和被动模式有什么区别,今天搜集了相关资料和常用ftp软件工作模式的设置的方法:
一、什么是PASV和PORT方式
(1)PORT其实是Standard模式的另一个名字,又称为Active模式,中文意思是“主动模式。
(2)PASV也就是Passive的简写。中文就是“被动模式。
二、两者不同
不同之处是由于PORT(主动)这个方式需要在接上TCP 21端口后,服务器通过自己的TCP 20来发出数据。并且需要建立一个新的连接来传送档案。而PORT的命令包含一些客户端没用的资料,所以有了PASv的出现。而PASV模式拥有PORT模式的优点,并去掉一些PORT的缺点。PASV运行方式就是当服务器接收到客户端连接请求时,就会自动从端口1024到5000中随机选择一个和客户端建立连接传递数据。由于被动且自动建立连接,容易受到攻击,所以安全性差。
三、常见的FTP客户端软件PORT方式与PASV方式的切换方法
大部分FTP客户端默认使用PASV方式,
IE默认使用PORT方式。 在大部分FTP客户端的设置里,常见到的字眼都是“PASV”或“被动模式”,极少见到“PORT”或“主动模式”等字眼。因为FTP的登录方式只有两种:PORT和PASV,取消PASV方式,就意味着使用PORT方式。
(1)IE:工具 ->Internet选项 ->高级 ->“使用被动FTP”(需要IE6.0以上才支持)。
(2)CuteFTP:Edit ->Setting ->Connection ->Firewall ->“PASV Mode” 或File ->Site Manager,在左边选中站点 ->Edit ->“Use PASV mode” 。
(3)FlashGet:工具 ->选项 ->代理服务器 ->直接连接 ->编辑 ->“PASV模式”。
(4)FlashFXP:选项 ->参数选择 ->代理/防火墙/标识 ->“使用被动模式” 或 站点管理 ->对应站点 ->选项 ->“使用被动模式”或快速连接 ->切换 ->“使用被动模式”。
篇9:Windows的8种安全模式解析及其运用服务器教程
window|安全
经常使用电脑的人可能都听说过,当电脑出了故障时,Windows会提供一个名为“安全模式”的平台,在这里用户能解决很多问题--不管是硬件(驱动)还是软件的,Windows的8种安全模式解析及其运用服务器教程
。然而你会使用这个安全模式么?今天我们就来带您认识一下它的真面目。初识安全模式
要进入安全模式,只要在启动时不停地按F8,就会出现选项菜单,再用键盘上的上下光标键进行选择即可进入不同的启动模式。选项菜单包括了以下几个:
1.安全模式
只使用基本文件和驱动程序。如鼠标(USB串行鼠标除外)、监视器、键盘、硬盘、基本视频、默认系统服务等,但无网络连接。
如果采用安全模式也不能成功启动计算机,则可能需要使用恢复控制台功能来修复系统。
2.带网络连接的安全模式
在普通安全模式的基础上增加了网络连接。但有些网络程序可能无法正常运行,如MSN等,还有很多自启动的应用程序不会自动加载,如防火墙、杀毒软件等。所以在这种模式下一定不要忘记手动加载,否则恶意程序等可能会入侵在你修复电脑的过程中。
3.带命令行提示符的安全模式
只使用基本的文件和驱动程序来启动,在登录之后,屏幕上显示命令提示符,而非Windows图形界面。
说明:在这种模式下,如果你不小心关闭了命令提示符窗口,屏幕会全黑。可按下组合键Ctrl+Alt+Del,调出“任务管理器”,单击“新任务”,再在弹出对话框的“运行”后输入“C:\\WINDOWS\\explorer.exe”,可马上启动WindowsXP的图形界面,与上述三种安全模式下的界面完全相同,
如果输入“c:\\windows\\system32\\cmd”也能再次打开命令提示符窗口。事实上,在其它的安全模式甚至正常启动时也可通过这种方法来启动命令提示符窗口。
4.启用启动日志
以普通的安全模式启动,同时将由系统加载(或没有加载)的所有驱动程序和服务记录到一个文本文件中。该文件称为 ntbtlog.txt,它位于 %windir% (默认为c:\\windows\\)目录中。启动日志对于确定系统启动问题的准确原因很有用。
5.启用VGA模式
利用基本VGA驱动程序启动。当安装了使Windows不能正常启动的新视频卡驱动程序时,这种模式十分有用。事实上,不管以哪种形式的安全模式启动,它总是使用基本的视频驱动程序。因此,在这些模式下,屏幕的分辨率为640×480且不能改动。但可重新安装驱动程序。
6.最后一次正确的配置
使用Windows上一次关闭时所保存的注册表信息和驱动程序来启动 。最后一次成功启动以来所作的任何更改将丢失。因此一般只在配置不对(主要是软件配置)的情况下,才使用最后一次正确的配置。但是它不能解决由于驱动程序或文件被损坏或丢失所导致的问题。
7.目录服务恢复模式
这是针对服务器操作系统的,并只用于恢复域控制器上的SYSVOL目录和Active Directory目录服务。
8.调试模式
启动时通过串行电缆将调试信息发送到另一台计算机。
如果正在或已经使用远程安装服务在您的计算机上安装Windows,则您可以看到与使用远程安装服务还原或恢复系统相关的附加选项。
禁止他人进入你的系统安全模式干坏事服务器教程(共9篇)
