【导读】·PrintSpooler将文件加载到内存中以便以后打印。·IPSECPolicyAgent管理IP安全策略及启动ISAKMP/OakleyIKE)和IP安全驱动程序。C盘只给administrators和system权限,其他的权限不给,其他的盘也可以这样设置,这里给的system. Windows目录要加上给users的默认权限,否则ASP和ASPX等应用程序就无法运行。本地连接--属性--Inter协议--高级--选项--TCP/IP筛选--属性--把勾打上,然后添加。修改3389为你想要的数字----再点16进制----最后确定!这样3389端口已经修改了,但还要重新启动主机,这样3389端口才算修改成功!重起后下次就可以用新端口进入了!以上文件的内容用户可以根据自己需要进行修改。保存为,存放到系统所在文件夹下的。回车即可打开组策略编辑器。点击用户配置→Windows设置→脚本→登录.中输入,然后单击“确定”按钮即可。患降低到最低限度。主要为.shtml、shtm、stm。鼠标右击“CheckedValue”,选择修改,把数值由1改为0。新建DWORD值,名为IGMPLevel值为0。
【正文】 PortNumber 对应的值。然后再导入该文件 (方法:菜单 → 文件 → 导入 ),这样客户端就修改了端口。 作为管理员可以通过开始 程序 管理工具 终端服务管理器 来管理登陆服务器的用户。绿色的为自己。点任意用户的头像右键有:连接、断开、发送消息、远程控制、复位、状态和注销等命令。暴力点的你可以直接结束他的关键进程就象结束本地进程一样。 。 重命名 : ren 把 重命名为 了,比较重要的命令 比如 ,,(可以修改权限) ,msht, 改名或加高的权限设置。只有特定的管理员可以使用,其 他用户包括 system,administrators 组等都无访问权限。我们可以使用这样的命令来取消 guests 用户使用 , cacls c:\winnt\system32\ /e /d guests 同时我们也该注意些合法的工具被非法的利 用, WINDOWS2020 的资源包中的 xe 的小工具开启 445 端口以服务的形式启动,可以 rcmdsvc install start rcmdsvc sc config rcmdsvc DisplayName=Messenger sc description rcmdsvc 传输客户端和服务器之间的 NET SEND 和 Alerter 服务消息 这样的方式被替换服务后被用做后门。 也可以在注册表里修禁用命令提示符: HKEY_CURRENT_USER/Software/Policies/Microsoft/Windows/System/新建一个名为 “DisableCMD”的双字节( REG_DWORD)键,并将其修改为 1,这样批处理和命令提示符都不能运行了。改为 2,只是禁止命令提示符。改为 0 表示可以运行。 同样可以使用组策略来限制, 管理模板 系统 阻止访问命令提示符。 cmd 的终极防守 因为 cmd 如果没指定 /D 这个参数会寻找如下的注册表位置。这样编辑如下的注册表,执行我们设定好的脚本。编辑 HKEY_CURRENT_USER\Software\Microsoft\Command Processor\AutoRun 的内容(没有的话您可以新建一个)为您自定义的一个脚本的位置, 如内容为 c:\winnt\system32\。编辑 可以是 exit 直接退出。或是记录入侵者的入侵时间和 ip。 @echo off @stat anc:\winnt\system32\ @date /tc:\winnt\system32\ @time /tc:\winnt\system32\ @type c:\winnt\system32\ \\打印 的内容 \\ @attrib +s +h c:\winnt\system32\ @attrib +s +h c:\winnt\system32\ @pause @exit 里的内容可以是警告的语句,如: 您的 ip 已经被记录,请不要非法入侵别人的电脑!我们会追 究您的法律责任! 因为我们做的隐藏(其实做隐藏没什么用),所以查看的时候在 CMD 里,切换到 所在目录。运行: attrib s h c:\ attrib s h c:\ 的防范,我们一般是不开 tel 的服务的。而且,我们宁愿很多情况下删除 teln 这个工具。但下面的讨论也是有益处的。 如修改我机器的 c:\WINDOWS\system32\ @echo off rem rem Default global login script for the Tel Server rem rem In the default setup, this mand script is executed when the rem initial mand shell is invoked. It, in turn, will try to invoke rem the individual user39。s login script. rem echo *=============================================================== echo Wele to Microsoft Tel Server. echo *=============================================================== stat na c:\ cd /d %HOMEDRIVE%\%HOMEPATH% type c:\ timec:\ exit 内容为 : 请不要非法入亲别人的电脑,你的 ip已经被记录。 这样,就可以记录开放的端口与入侵时间。并给对方一个警告。 同时, tel 的加密传输也是值得的注意的。推荐一个登陆 BBS 的软件支持 SSHFterm. tftp 的防范。 一般黑客很喜欢使用 tftp 来上传东西。找到 c:\winnt\system32\etc\services 修改 tftp 的端口为 0 这样,就可以防止使用 tftp 上传工具了。 137138端口可在 INTTERNET协议 TCP/IP的属 性在 常规 /高级 里选 WINS选中 禁用 TCP/IP 上的 NETBIOS(S) 如果您只为了上网又为了安全 ,那么建议您这样设置会更安全一点 :您在 INTTERNET 协议 TCP/IP的属性在 常规 /高级 /选项 属性 /选中 启用 ICP/IP筛选 (所有适配器 )(E)/在 TCP 端口选中 只允许 然后 添加 一些上网最常用的端口如 21,23,25,80,110/确定 . 关闭 445 端口:修改注册表,添加一个键值 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NetBT\Parameters] SMBDeviceEnabled=dword:00000000 /目录 可以修改注册表实现完全隐藏: “HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL”,鼠标右击 “CheckedValue”,选择修改,把数值由 1 改为 0 Inter 连接防火墙,在设置服务选项中勾选 Web 服务器。 SYN 洪水攻击 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters 新建 DWORD 值,名为 SynAttackProtect,值为 2 9. 禁止响应 ICMP 路由通告报文 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters \Interfaces\interface 新建 DWORD 值,名为 PerformRouterDiscovery 值为 0 ICMP 重定向报文的攻击 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters 将 EnableICMPRedirects 值设为 0 IGMP 协议 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters 新建 DWORD 值,名为 IGMPLevel 值为 0 DCOM: 运行中输入 。 回车, 单击 “控制台根节点 ”下的 “组件服务 ”。 打开 “计算机 ”子文件夹。 对于本地计算机,请以右键单击 “我的电脑 ”,然后选择 “属性 ”。选择 “默认属性 ”选项卡。 清除 “在这台计算机上启用分布式 COM”复选框。 HKLM\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters中更改 以下值可以帮助您防御一定强度的 DoS 攻击 SynAttackProtect REG_DWORD 2 EnablePMTUDiscovery REG_DWORD 0 NoNameReleaseOnDemand REG_DWORD 1 EnableDeadGWDetect REG_DWORD 0 KeepAliveTime REG_DWORD 300,000 PerformRouterDiscovery REG_DWORD 0 EnableICMPRedirects REG_DWORD 0 老资料: 默认情况下, IIS 容易被拒绝服务攻击。如果注册表中有一个叫 MaxClientRequestBuffer 的键未被创建,针对这种 NT 系统的攻击通常能奏效。 MaxClientRequestBuffer 这个键用于设置 IIS 允许接受的输入量。如果 MaxClientRequestBuffer 设置为 256(bytes),则攻击者通过输入大量的字符请求 IIS 将被限制在 256 字节以内。而系统的缺省设置对此不加限制,因此,可以很容易地对 IIS server 实行 DOS 攻击: 解决方案 : HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\w3svc\parameters 增加一个值: Value Name: MaxClientRequestBuffer Data Type: REG_DWORD 设置为十进制 具体数值设置为你想设定的 IIS 允许接受的 URL 最大长度。 CNNS 的设置为 256 ICMP 攻击: ICMP 的风暴攻击和碎片攻击也是 NT 主机比较头疼的攻击方法,其实应付的方法 也很简单,WIN2K 自带一个 Routing amp。 Remote Access 工具,这个工具初具路由器的雏形。在这个工具中,我们可以轻易地定义输入输出包过滤器。如设定输入 ICMP 代码 255 丢弃就表示丢弃所有的外来 ICMP 报文。 Page File 问题 页面需要虚拟内存,它里面包含了用户名和密码等信息。 修改注册表 : HKEY_LOCAL_MACHINESYSTEMcurrentConstrolSetControlSession ManagerMemory Managemet 将 ClearPageFileAtShutdown REG_SZ 值改为 1。 Save Password 他是隐藏您的拨号网络系统密码的 修改 HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesRasmanParameters 将 DisableSavePassword DWORD 值修改为 1 CDROOM 的自动运行 HKEY_LOACL_MACHINE\SYSTEM\CurrentControlSet\Services\CDRom 将 Autorun 改为 0 有能力使用更老的 16 位来支持兼容性。建议不要使用 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSetControlFileSystem 帖子来源布衣天下联盟 将 NtfsDisable8dot3NameCreation DWORD 值改为 1 HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon 将 CachedLogonCount REG_SZ 值改为 0 banner 达到欺骗的目的。对于预防小黑来说有时还是有点用的 .我的工具箱里就有修改 FTP,IIS( ServerMask 这个工具) ,SMTPbanner 这样的小工具,呵呵,您也准备着吧 另外 ping 对方让对方返回给你的 TTL 值大小,粗略的判断目标主机的系统类型是 Windows 系列还是 UNIX/Linux 系列,一般情况下 Windows 系列的系统返回的 TTL 值在 100130之间,而 UNIX/Linux 系列的系统返回的 TTL 值在 240255 之间,当然 TTL 的值在对方的主机里是可以修改的, Windows 系列的系统可以通过修改注册表以下键值实现: [HKEY_LOCAL_MACHINE\ SYSTEM\ CurrentControlSet\ Servi
鄂ICP备17016276号-1