一直以来，WINDOWS服务器的安全都非常令人头痛，ARP问题、挂马问题等让人对服务器又爱又恨，百度一下服务器安全设置，大把相关文章和教程，但基本上都是简单的、过时的安全设置，在黑客技术日新月异的今天，还按这些文章来设置服务器，早就不管用了。


      本人之前也一直受到服务器安全问题的困扰，机房对出现ARP攻击的机器采取的方式就是拔线，一拔线就得跟客户解释半天，排查、杀毒或还原系统，没个几小时根本搞不定。也没办法，其实机房人员更恨ARP攻击，人家恨不得把你的机器从8楼扔下去。那段时间简直是痛不欲生！！



      网站挂马：进入别人服务器跟进自己电脑一样，有时候连用户名和密码都省了，使用一键挂马功能，几秒钟便让所有页面都加上木马代码。问题不是一个人来了就算，非得N多人进来把整个页面都挂上才够劲。


      ARP攻击：对于没有ARP硬防的机房，ARP攻击是常有的事，只要中了ARP病毒，轻则机房拔线查毒，重则就得重装系统，没个一天半夜的根本搞不定。



      本教程仅对win2000或win2003系统有效，使用麦咖啡杀毒软件＋anti arp防火墙.麦咖啡杀毒软件，只要用服务器的人应该都知道，但装上去是不是真会设置呢?不一定！麦咖啡装了不好好设置，等于没装杀毒软件。



      这里主要是用麦咖啡来防病毒、防挂马，同时跟ANTI ARP一起防ARP病毒。实践证明，光使用这两者中的任何一款都是不能完成任务的。两者同时用，但没设置好，也一样起不了作用。麦咖啡对ARP病毒基本上可以说是无动于衷，但通过相关的设置，也能阻隔ARP病毒进入你的服务器。对局域网的ARP攻击，也完全可以用ANTI ARP来拦截。



      购买我的教程，可以一次性解决你服务器挂马、ARP攻击的烦恼。从基本的WINDOWS文件夹权限设置、注册表、组策略、用户管理等方面下手，涉及WINDOWS服务器里的IIS、MSSQL等安全设置，全面保护你服务器的安全。



      教程包括：麦咖啡8.5.0i杀毒软件、麦咖啡安全规则截图、anti arp防火墙4.1.1、ARP防火墙设置截图、我整理的服务器安全设置、一键备份、还原软件。

有需要的朋友请QQ120814651
 

以下是安全设置，你可以一步步开始操作..

 

不让系统显示上次登录的用户名

 

    【实现目标】 默认情况下，登录对话框中会显示上次登录的用户名。这使得别人可以很容易地得到系统的一些用户名，进而做密码猜测。修改注册表可以不让对话框里显示上次登录的用户名。

    【操作方法】 打开注册表编辑器，找到注册表项[HKEY_LOCAL_MACHINE \SOFTWARE \Microsoft \Windows\CurrentVersion\Policies\System]子键，双击右侧名为“DontdisplayLastusername”的键值，把其值改成1。 

 

 

 

禁用cmd.exe

在gpedit.msc--->“用户配置-管理模板-系统”，就把"阻止访问命令提示符"设为"启用"

禁用后在运行里输“CMD”，结果截图如下：

 

 

卸载最不安全的组件

Wscript.Shell和shell.application这2个组件的主要作用是asp调用exe程序。

几乎所有正常的网站都用不到，而要黑服务器却几乎都需要调用这个组件来执行操作

 

最简单的办法是直接卸载后删除相应的程序文件。将下面的代码保存为一个.BAT文件，( 以下均以 WIN2000 为例，如果使用2003，则系统文件夹应该是 C:\WINDOWS\ )

 

以下为引用的内容：

regsvr32/u C:\WINDOWS\System32\wshom.ocx

del C:\WINDOWS\System32\wshom.ocx

regsvr32/u C:\WINDOWS\system32\shell32.dll

del C:\WINNT\WINDOWS\shell32.dll

 

然后运行一下，WScript.Shell, Shell.application, WScript.Network就会被卸载了。可能会提示无法删除文件，不用管它，重启一下服务器。

 

对ASP类危险组件进行处理后，用阿江的asp探针测试了一下,"服务器CPU详情"和"服务器操作系统"根本查不到,内容为空白的。再用海洋测试Wsript.Shell来运行cmd命令也是提示Active无法创建对像。大家就都可以再也不要为ASP木马危害到服务器系统的安全而担扰了。

 

 

 

禁用不必要的服务，提高安全性和系统效率

 

Computer Browser 维护网络上计算机的最新列表以及提供这个列表

 

　　 Task scheduler 允许程序在指定时间运行

 

　　 Routing and Remote Access 在局域网以及广域网环境中为企业提供路由服务

 

　　 Removable storage 管理可移动媒体、驱动程序和库

 

　　 Remote Registry Service 允许远程注册表操作

 

　　 Print Spooler 将文件加载到内存中以便以后打印。要用打印机的朋友不能禁用这项

 

　　 IPSEC Policy Agent 管理IP安全策略以及启动ISAKMP/OakleyIKE)和IP安全驱动程序

 

　　 Distributed Link Tracking Client 当文件在网络域的NTFS卷中移动时发送通知

 

　　 Com+ Event System 提供事件的自动发布到订阅COM组件

 

　　 Alerter 通知选定的用户和计算机管理警报

 

　　 Error Reporting Service 收集、存储和向 Microsoft 报告异常应用程序

 

　　 Messenger 传输客户端和服务器之间的 NET SEND 和 警报器服务消息

 

　　 Telnet 允许远程用户登录到此计算机并运行程序

 

 

 

 

修改3389终端服务端口

 

运行regedit，找到[HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Control \ Terminal Server \ Wds \ rdpwd \ Tds \ tcp]，看到右边的PortNumber了吗？在十进制状态下改成你想要的端口号吧，比如7126之类的，只要不与其它冲突即可。

第二处HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Control \ Terminal Server \ WinStations \ RDP-Tcp，方法同上，记得改的端口号和上面改的一样就行了。

同时，请把3389远程连接的密码改得尽量长，不要怕麻烦。英文数字混合16位以上都行。

 

 

 

禁止IPC空连接：

 

 

 

cracker可以利用net use命令建立空连接，进而入侵，还有net view，nbtstat这些都是基于空连接的，禁止空连接就好了。打开注册表，找到Local_Machine\System\CurrentControlSet\Control\LSA-RestrictAnonymous 把这个值改成”1”即可。

 

 

 

更改TTL值

 

cracker可以根据ping回的TTL值来大致判断你的操作系统，如：

 

TTL=107(WINNT);

TTL=108(win2000);

TTL=127或128(win9x);

TTL=240或241(linux);

TTL=252(solaris);

TTL=240(Irix);

 

实际上你可以自己更改的：HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters：DefaultTTL REG_DWORD 0-0xff(0-255 十进制,默认值128)改成一个莫名其妙的数字如258，起码让那些小菜鸟晕上半天，就此放弃入侵你也不一定哦