Windows 2003 安全资料专题(2)-- 服务器安全设置
来源:原创
点击量(325)
发布时间:2013-07-18
<p>Windows 2003 安全资料专题(2)-- 服务器安全设置</p><p><br /></p><h3><span style="color:#800000">把以下代码保存为:safe.bat在服务器上双击执行即可</span></h3><p><span style="color:#800000"></span></p><pre class="brush:php; title:; notranslate"><p style="line-height:normal;"><span style="font-size:14px;">@echo off<br /><br />echo ---------------------------------------------------<br /><br />echo Windows Server 2003服务器安全设置 By:qihang01<br /><br />echo ---------------------------------------------------<br /><br />pause<br /><br />echo ---------------------------------------------------<br /><br />echo 请先打好最新的操作系统补丁<br /><br />echo ---------------------------------------------------<br /><br />pause<br /><br />echo ---------------------------------------------------<br /><br />echo 只勾选TCP/IP协议,禁用TCP/IP上的NetBIOS。<br /><br />echo 有必要的话,做上TCP端口筛选。<br /><br />echo ---------------------------------------------------<br /><br />RunDLL32.EXE shell32.dll,Control_RunDLL ncpa.cpl<br /><br />pause<br /><br />echo ---------------------------------------------------<br /><br />echo 设置盘符目录权限 系统管理员、SYSTEM完全控制权限。<br /><br />echo ---------------------------------------------------<br /><br />echo 设置系统盘权限,当前用户\\\%USERNAME\\\%和system完全控制权<br /><br />fsutil.exe fsinfo drives<br /><br />echo y|cacls C:\ /G \\\%USERNAME\\\%:F system:F 2>nul<br /><br />echo y|cacls D:\ /G \\\%USERNAME\\\%:F system:F 2>nul<br /><br />echo y|cacls E:\ /G \\\%USERNAME\\\%:F system:F 2>nul<br /><br />echo y|cacls F:\ /G \\\%USERNAME\\\%:F system:F 2>nul<br /><br />echo y|cacls G:\ /G \\\%USERNAME\\\%:F system:F 2>nul<br /><br />echo y|cacls H:\ /G \\\%USERNAME\\\%:F system:F 2>nul<br /><br />echo y|cacls I:\ /G \\\%USERNAME\\\%:F system:F 2>nul<br /><br />echo y|cacls G:\ /G \\\%USERNAME\\\%:F system:F 2>nul<br /><br />echo y|cacls K:\ /G \\\%USERNAME\\\%:F system:F 2>nul<br /><br />echo y|cacls L:\ /G \\\%USERNAME\\\%:F system:F 2>nul<br /><br />pause<br /><br />echo ---------------------------------------------------<br /><br />echo 系统属性 - 高级 - 启动和故障恢复 只保留自动重新启动<br /><br />echo 禁用错误报告<br /><br />echo ---------------------------------------------------<br /><br />sysdm.cpl<br /><br />pause<br /><br />echo ---------------------------------------------------<br /><br />echo 更改"服务"<br /><br />echo ---------------------------------------------------<br /><br />sc config Alerter start= disabled<br /><br />sc config browser start= demand<br /><br />sc config dhcp start= disabled<br /><br />sc config dfs start= demand<br /><br />sc config messenger start= disabled<br /><br />sc config Spooler start= disabled<br /><br />sc config Server start= disabled<br /><br />sc config remoteregistry start= disabled<br /><br />sc config lmhosts start= disabled<br /><br />sc config lanmanserver start= disabled<br /><br />sc config tlntsvr start= disabled<br /><br />sc config lanmanworkstation start= disabled<br /><br />sc stop Alerter<br /><br />sc stop browser<br /><br />sc stop wuauserv<br /><br />sc stop dhcp<br /><br />sc stop dfs<br /><br />sc stop messenger<br /><br />sc stop Spooler<br /><br />sc stop Server<br /><br />sc stop remoteregistry<br /><br />sc stop lmhosts<br /><br />sc stop lanmanserver<br /><br />sc stop tlntsvr<br /><br />sc stop lanmanworkstation<br /><br />echo 如要禁用终端请手动运行aio -ConfigService tssdis Disabled<br /><br />pause<br /><br />echo ---------------------------------------------------<br /><br />echo 修改CMD.exe、NET.exe、cacls.exe、<a href="ftp://ftp.exe/">FTP.exe</a>、TFTP.exe、TELNET.exe文件权限<br /><br />echo administrator读取及运行、读取<br /><br />echo Guests、Web Anonymous Users、Web Applications 完全拒绝<br /><br />echo 其中cmd.exe SYSTEM必须有 读取及运行、读取 权限<br /><br />echo 如有配置CGI及Perl,则安装目录给IIS匿名用户的权限为:读取及运行、列出文件夹目录、读取。<br /><br />echo ---------------------------------------------------<br /><br />echo y| cacls \\\%SystemRoot\\\%\system32\cmd.exe /G \\\%USERNAME\\\%:R<br /><br />echo y| cacls \\\%SystemRoot\\\%\system32\net.exe /G \\\%USERNAME\\\%:R<br /><br />echo y| cacls \\\%SystemRoot\\\%\system32\ftp.exe /G \\\%USERNAME\\\%:R<br /><br />echo y| cacls \\\%SystemRoot\\\%\system32\tftp.exe /G \\\%USERNAME\\\%:R<br /><br />echo y| cacls \\\%SystemRoot\\\%\system32\telnet.exe /G \\\%USERNAME\\\%:R<br /><br />echo y| cacls \\\%SystemRoot\\\%\system32\net1.exe /G \\\%USERNAME\\\%:R<br /><br />echo y| cacls \\\%SystemRoot\\\%\system32\cacls.exe /G \\\%USERNAME\\\%:R<br /><br />echo y| cacls \\\%SystemRoot\\\%\system32\at.exe /G \\\%USERNAME\\\%:R<br /><br /><br />pause<br /><br />echo ---------------------------------------------------<br /><br />echo C:\Documents and Settings\All Users目录只留administrators和system,并重置全部子对象<br /><br />echo ---------------------------------------------------<br /><br />echo y| cacls "C:\Documents and Settings\All Users" /G \\\%USERNAME\\\%:F system:F /t >nul<br /><br />echo ---------------------------------------------------<br /><br />pause<br /><br />echo ---------------------------------------------------<br /><br />echo 本地安全策略-计算机配置-Windows设置-安全设置-本地策略-安全选项<br /><br />echo 交互式登录: 不显示最后的用户名 启用<br /><br />echo 网络访问: 可匿名访问的共享 全部删除<br /><br />echo 网络访问: 可匿名访问的命名管道 全部删除<br /><br />echo 网络访问: 可远程访问的注册表路径 全部删除<br /><br />echo 网络访问: 可远程访问的注册表路径和子路径 全部删除<br /><br />echo ---------------------------------------------------<br /><br />gpedit.msc<br /><br />pause<br /><br />echo ---------------------------------------------------<br /><br />echo 反注册存在安全隐患的系统组件<br /><br />echo ---------------------------------------------------<br /><br />Regsvr32 wshom.ocx /u<br /><br />Regsvr32 wshext.dll /u<br /><br />Regsvr32 shell32.dll /u<br /><br />pause<br /><br />echo ---------------------------------------------------<br /><br />echo 设置完成<br /><br />echo ---------------------------------------------------<br /><br />pause<br /><br />Exit</span><br /></p></pre><p><br /></p>