标题:
200元有偿求助批处理服务器系统安全加固
[打印本页]
作者:
小阳
时间:
2017-9-13 05:33
标题:
200元有偿求助批处理服务器系统安全加固
本帖最后由 小阳 于 2018-1-16 17:48 编辑
具体报酬:200元人民币。不满意可以议价
支付方式:支付宝
联系方式:站内私信联系。
有效期限:2018年12月31日之前。
需求描述:
(1)系统环境(Win2003/Win2008/Win2012)
Win2008/Win2012要求如下
1、禁用不需要的服务
以下服务必须禁用:Server、Workstation、Print Spooler、Remote Registry、Routing and Remote Access、TCP/IP NetBIOS Helper、Computer Browser
2、系统权限设置
由于系统权限设置的地方非常多,我们只能公布常用的部分。
部分文件被系统隐藏了,不便于设置,因此我们先将所有文件显示出来。
·更改系统盘所有者为Administrators
·所有盘根目录只保留Administrators和SYSTEM权限。
·系统盘加上Users“读取权限”,仅当前目录
·C:\WINDOWS、C:\WINDOWS\system32、C:\Windows\SysWOW64 只保留Administrators和SYSTEM,以及User读和执行
·C:\Program Files 、C:\Program Files (x86) 只保留Administrators和SYSTEM
·C:\Program Files\Common Files 、C:\Program Files (x86)\Common Files 只保留Administrators和SYSTEM,以及User读和执行
·C:\ProgramData 只保留Administrators和SYSTEM,以及User读和执行
·C:\Users 只保留Administrators和SYSTEM
·C:\inetpub 只保留Administrators和SYSTEM
·C:\inetpub\custerr 只保留Administrators和SYSTEM,以及User读
·C:\inetpub\temp 只保留Administrators和SYSTEM,以及User读写删除和IIS_IUSRS读写删除
·C:\Windows\Temp 只保留Administrators和SYSTEM,以及User读写删除和IIS_IUSRS读写删除
·C:\Windows\tracing 只保留Administrators和SYSTEM,以及User读和network service读
·C:\Windows\Vss 只保留Administrators和SYSTEM,以及User读和network service读写删除
·C:\ProgramData\Microsoft\DeviceSync 只保留Administrators和SYSTEM,以及User读
·C:\WINDOWS\下的部分exe软件只保留Administrators和SYSTEM,如regedit.exe、regedt32.exe、cmd.exe、net.exe、net1.exe、netstat.exe、at.exe、attrib.exe、cacls.exe、format.com、activeds.tlb、shell32.dll、wshom.ocx
3、卸载危险组件
regsvr32 /u %SystemRoot%\system32\shell32.dll
regsvr32 /u %SystemRoot%\system32\wshom.ocx
Win2003要求如下
1、禁用不需要的服务
以下服务必须禁用:Server、Workstation、Telnet、Print Spooler、Remote Registry、Routing and Remote Access、TCP/IP NetBIOS Helper、Computer Browser
2、删除多余的权限
由于系统权限设置的地方非常多,我们只能公布常用的部分。
·所有盘根目录只保留Administrators和SYSTEM权限。
·C:\Documents and Settings 只保留Administrators和SYSTEM权限
·C:\WINDOWS、C:\WINDOWS\system32 只保留Administrators和SYSTEM,以及User读和执行
·C:\WINDOWS\Temp 只保留Administrators和SYSTEM,以及USERS和NETWORK SERVICE的读写删除
·C:\WINDOWS\IIS Temporary Compressed Files 只保留Administrators和SYSTEM,以及USERS和NETWORK SERVICE的读写删除
·C:\WINDOWS\system32\MsDtc 只保留Administrators和SYSTEM,以及USERS和NETWORK SERVICE的读写删除
·C:\WINDOWS\下的部分exe软件只保留Administrators和SYSTEM,如regedit.exe、cmd.exe、net.exe、ne1.exe、netstat.exe、at.exe、attrib.exe、cacls.exe、format.com
3、卸载危险组件
regsvr32 /u %SystemRoot%\system32\shell32.dll
regsvr32 /u %SystemRoot%\system32\wshom.ocx
其它补充信息
因小弟技术有限自己瞎抄袭了网上的禁用不需要的服务
@echo.服务停止禁用中.....
@echo off
net stop LanmanServer
sc config LanmanServer start= disabled
net stop TlntSvr
sc config TlntSvr start= disabled
net stop LanmanWorkstation
sc config LanmanWorkstation start= disabled
net stop Spooler
sc config Spooler start= disabled
net stop RemoteRegistry
sc config RemoteRegistry start= disabled
net stop RemoteAccess
sc config RemoteAccess start= disabled
net stop lmhosts
sc config lmhosts start= disabled
net stop Browser
sc config Browser start= disabled
@echo.服务已停止禁止!
@pause
小弟提供相关文章和视频给大牛方便实现。主要服务器多。而且不能用GHO。一个一个手动设置浪费时间效率低希望大牛帮忙实现
http://v.huweishen.com/video/23.html
http://v.huweishen.com/video/24.html
http://v.huweishen.com/video/25.html
http://file.v.huweishen.com/2003/ServerSafe_pweccn28cnsiere.swf
http://file.v.huweishen.com/2008/secrity_gmmso2e9xs2.flv
http://file.v.huweishen.com/2012/secrity_ghjmk30djd.flv
建议视频出来下载看
作者:
窄口牛
时间:
2017-9-13 07:04
本帖最后由 窄口牛 于 2017-9-13 07:09 编辑
有些貌似不可取?可以做到这些,但是系统还能不能正常使用,就不保证了。
作者:
小阳
时间:
2017-9-13 10:22
回复
2#
窄口牛
有些貌似不可取?不懂你说的意思
作者:
窄口牛
时间:
2017-9-13 13:35
你发的看不到。这种只能看到一楼和我自己发的。
作者:
小阳
时间:
2017-9-13 21:10
回复
4#
窄口牛
现在应该可以看见了吧
作者:
窄口牛
时间:
2017-9-13 21:46
意思这么优化,系统还能正常工作吗?
作者:
小阳
时间:
2017-9-13 22:44
回复
6#
窄口牛
肯定可以。你看看视频
作者:
窄口牛
时间:
2017-9-14 10:14
建议这么处理了,然后封装,安装后看看啥需要二次处理,再用批处理来搞。
作者:
小阳
时间:
2017-9-14 11:17
回复
8#
窄口牛
不需要封装。我就是需要原本系统安装好后对系统加固,其实就是权限设置。一台机器好说手动。机器多就得靠BAT乐不然得设置死人
作者:
窄口牛
时间:
2017-9-16 07:29
嗯,经过几天鼓捣,弄出来了,系统也能基本正常工作。
作者:
小阳
时间:
2017-9-16 23:12
回复
10#
窄口牛
牛。最好你本地自己电脑别设置。你虚拟机捣鼓可以。是bat后缀吗?有其它联系方式吗?
欢迎光临 批处理之家 (http://bathome.net./)
Powered by Discuz! 7.2