荔园在线
荔园之美,在春之萌芽,在夏之绽放,在秋之收获,在冬之沉淀
[回到开始]
[上一篇][下一篇]
发信人: Mic (霸王丸), 信区: Homepage
标 题: 利用批命令文件设置IIS5.0安全
发信站: 荔园晨风BBS站 (Mon Apr 9 14:41:01 2001), 转信
指令文件包括:
w2kseccfg.cmd
w2kseccfg.cmd 文件是主要的指令文件,它实行了数个强制性策略。
Regini.exe
这是一个编辑 Windows 2000 登录资料的工具。
w2kregsec.dat
它是 regini.exe 的主要输入档,这档案内含即将修改的登录机码。
Cryptpwd.exe
这是一个资源辅助工具可用来更改管理员帐户名称
Passprop.exe
通常,若是一个黑客企图去管理员帐户猜密码,这帐户是无法被锁定的。然而在
Windows 2000 Resource Kit 中的这个工具 passprop 对跨网络的
登入管理员帐户支持锁定的选项。
Auditpol.exe
这是一个资源辅助工具用来在服务器上设定审核原则。
Q262694_W2K_SP2_x86_en.EXE -z -q -m
这种格式的文件名称是 Windows 2000 操作系统修复文件。这里所给的文件
名称是一个例子。
Windows 2000 IIS 5.0 Hot fix Checking Tool(实时修复检查工
具)
HFCINST.exe 是一个有用的工具,用来即时审核 Web 服务器。
所有的指令文件和支持的工具可在Windows 2000 Web Server Rapid
Deployment Guide 光盘中找到。
注意: 我修改了以下三个文件, 增加了若干新的安全要点. 有兴趣的朋友也
可以自己手工增加.
W2kseccfg.cmd
REM Windows 2000 安全性设定工具。专为 Windows 2000 所开发,
开发人员是 stevete@microsoft.com
REM 最后修改人员是 kernels@union-tech.net.cn
REM 包括来自 w2k.com 的输入
REM 这个 .cmd 档假设 W2KregSec.dat 和执行档是在相同的
REM 目录中, w2kseccfg.cmd 最新的更新日期是 2001-01-08
REM
REM 以下几行为登录做适当的改变。这些改变是
REM 适用于所有的系统。然而,使用时要小心,它可能导致某些应用程序
REM 无法运作。这是针对特别的客户案例所发展的
REM 和对其它案例而言只适合做为模板使用。
REM “注意该版本的批命令文件, 只适用于英文版的Windows 2000. ”
REM 为了反映 Windows 2000 SP1 的推出在 2000-09-08 做了更新
。
REM 在执行这个工具之前先做 Windows 2000 SP1 的更新。
REM
REM
cmd /c "regini w2kregsec.dat"
REM 设定密码长度最小值为9位,密码最长存留期为60天,强制密码历史为6个
net accounts /minpwlen:9 /maxpwage:60 /uniquepw:6
REM
REM 为管理员帐号更名,以我的名字为例子
REM cryptpwd.exe -r Kernels
REM -锁定管理员帐号,让透过网络存取这个帐号的企图变成失败
passprop /complex /adminlockout
Rem -停用 Guest
net user guest /active:no
REM 启用审核 - 日志大小的特性设在 W2Kregsec.dat
auditpol /logon:all /policy:all /account:all /sam:success
/system:all
REM 以下的安全性的弱点,这些弱点在 W2K SP1 中被修复
REM Q251170_W2K_SP1_X86_en.EXE -Z -Q -M
REM Q260838_W2K_SP1_x86_en.EXE -Z -Q -M
REM Q259622_W2K_SP1_x86_en.EXE -z -q -m
REM Q259401_W2K_SP1_x86_en.EXE -z -q -m
REM Q257870_W2K_SP1_x86_en.EXE -z -q -m
REM Q254142_w2k_sp1_x86_en.exe -z -q -m
REM Q249599_W2K_SP1_X86_en.EXE -z -q -m
REM Q260205_W2K_SP1_x86_en.EXE -z -q -m
REM Q259728_W2K_SP1_x86_en.EXE -z -q –m
REM 注意: 这里只是随便举一个例子. 如果你需要更多的PATCH资料, 可
以使用HFCHECK工具来获得最新的PATCH列表。
Q262694_W2K_SP2_x86_en.EXE -z -q -m
REM - Com 对象 - (这可能中断您的应用程序)
regsvr32 scrrun.dll /u
for /f "tokens=2 delims= " %%i in ('tlist') do if
[%%i]==[inetinfo.EXE] goto ThisIsAWebServer
GOTO Exit
:ThisIsAWebServer
REM 在此新增 xcacl.exe 指令用来修改已选取的应用程序的 NTFS 权
限。
REM 细节请参照《利用批次导向的指令文件安全化 IIS 5.0》
REM 想要知道 xcacls.exe 的语法,请在命令提示窗口中输入 xcacls.
exe /?
REM 请注意:您需要新增额外的 xcaclc 指令来设定在
REM 《安全化 Internet Information Services 5 清单》中所指出
的 ntfs 权限
cmd /c "xcacls.exe *.asp /t /e /c /p everyone:x
administrators:f system:f"
REM 在执行 Xcacls.exe 时,您应将工作目录变更为网站的根目录
REM 先前的 xcacls 指令和接下来的指令都可以很正常的运作 cmd /c
"cd D:\inetpub&& xcacls.exe *.asp......"
REM 在 intranet 环境中要防止 NT 密码被更改。例如,删除 web
版的管理工具
rd %systemroot%\system32\inetsrv\iisadmpwd /s /q
REM 删除范例应用程序目录
rd :\inetpub\iissamples /s /q
rd :\inetpub\adminscripts /s /q
rd ":\program files\common files\system\msadc\samples" /s /q
cd\
del htimage.exe /s
del imagemap.exe /s
REM 含 ASP 的站台 - 一个这些设定值做什么的完整说明,
REM 可在 IIS5 服务器上的说明中找到。
csript adsutil set w3svc/UseHostName "True"
csript adsutil.vbs set w3svc/ASPEnableParentPaths "False"
csript adsutil.vbs set w3svc/AspAllowSessionState "False"
REM csript adsutil.vbs set w3svc/CGITimeOut "900"
REM csript adsutil.vbs set w3svc/NTAuthenticationProviders
"Negotiate,NTLM"
REM csript adsutil.vbs set w3svc/AuthBasic "False"
csript adsutil.vbs set w3svc/AspScriptFileCacheSize "-1"
csript adsutil.vbs set w3svc/AspScriptEngineCacheMax "30"
REM csript adsutil.vbs set w3svc/ASPQueueTimeout "30"
csript adsutil.vbs set w3svc/AspEnableTypelibCache "True"
csript adsutil.vbs set w3svc/ASPErrorsToNTlog "False"
csript adsutil.vbs set w3svc/ASPRequestQueueMax "1000"
csript adsutil.vbs set w3svc/LogExtFileDate "False"
csript adsutil.vbs set w3svc/LogExtFileServerIp "False"
csript adsutil.vbs set w3svc/LogExtFileBytesSent "False"
csript adsutil.vbs set w3svc/LogExtFileProtocolVersion "False"
REM csript adsutil.vbs set w3svc/ServerListenBacklog "1000"
REM csript adsutil.vbs set w3svc/MaxEndPointConnections "1000"
csript adsutil.vbs set w3svc/AspScriptFileCacheSize "1200"
csript adsutil.vbs set w3svc/AppAllowDebugging "False"
REM csript adsutil.vbs set w3svc/ServerSize "2"
csript adsutil.vbs set w3svc/ASPLOGERRORREQUESTS "1"
REM csript adsutil.vbs set w3svc/ASPSCRIPTTIMEOUT "30"
REM csript adsutil.vbs set w3svc/MAXENDPOINTCONNECTIONS "1000"
REM csript adsutil.vbs set w3svc/MAXCONNECTIONS "6000"
REM - SP1 should be applied once certified
services.cmd
:Exit
W2kseccfg.dat
hkey_local_machine
hkey_local_machine\SYSTEM\CurrentControlSet\services\InetInfo\Parameters
DisableMemoryCache = REG_DWORD 0x00000000
hkey_local_machine\SYSTEM\CurrentControlSet\services\InetInfo\Parameters
MaxPoolThreads = REG_DWORD 0x00000004
hkey_local_machine\SYSTEM\CurrentControlSet\services\InetInfo\Parameters
MaxCachedFileSize = REG_DWORD 0x0003E800
hkey_local_machine\SYSTEM\CurrentControlSet\services\InetInfo\Parameters
MemCacheSize = REG_DWORD 0x000005dc
hkey_local_machine\SYSTEM\CurrentControlSet\services\InetInfo\Parameters
ObjectCacheTTL = REG_DWORD 0x0000001e
hkey_local_machine\SYSTEM\CurrentControlSet\services\Tcpip\parameters
NoNameReleaseOnDemand = REG_DWORD 0x00000001
hkey_local_machine\SYSTEM\CurrentControlSet\services\W3SVC\Asp\Parameter
s
ProcessorThreadMax = REG_DWORD 0x00000014
hkey_local_machine\SYSTEM\CurrentControlSet\services\W3SVC\Asp\Parameter
s
RequestQueueMax = REG_DWORD 0x000000C8
hkey_local_machine\SYSTEM\CurrentControlSet\services\Tcpip\parameters
PerformRouterDiscovery = REG_DWORD 0x00000000
hkey_local_machine\SYSTEM\CurrentControlSet\services\Tcpip\parameters
EnableICMPRedirects = REG_DWORD 0x00000000
hkey_local_machine\SYSTEM\CurrentControlSet\Control\SecurityProviders\SC
HANNEL
ServerCacheTime = REG_DWORD 0x00000000
hkey_local_machine\SYSTEM\CurrentControlSet\Control\Lsa
restrictanonymous = REG_DWORD 0x00000001
hkey_local_machine\SOFTWARE\Microsoft\Windows
NT\CurrentVersion\Winlogon
DontDisplayLastUserName = 1
LegalNoticeCaption = WARNING
LegalNoticeText = Use of
this system is prohibited except by authorized personel.
hkey_local_machine\SYSTEM\CurrentControlSet\services\lanmanserver\parame
ters
AutoShareServer = REG_DWORD 0x00000000;
hkey_local_machine\SYSTEM\CurrentControlSet\services\eventlog\security
MaxSize = REG_DWORD 0x00200000;
hkey_local_machine\SYSTEM\CurrentControlSet\services\eventlog\security
Retention = REG_DWORD 0x00000000;
hkey_local_machine\SYSTEM\CurrentControlSet\services\eventlog\applicatio
n
MaxSize = REG_DWORD 0x00200000;
hkey_local_machine\SYSTEM\CurrentControlSet\services\eventlog\applicatio
n
Retention = REG_DWORD 0x00000000;
hkey_local_machine\SYSTEM\CurrentControlSet\services\eventlog\system
MaxSize = REG_DWORD 0x00200000;
hkey_local_machine\SYSTEM\CurrentControlSet\services\eventlog\system
Retention = REG_DWORD 0x00000000;
hkey_local_machine\SYSTEM\CurrentControlSet\services\Tcpip\parameters
EnableICMPRedirect = REG_DWORD 0x00000000;
hkey_local_machine\SYSTEM\CurrentControlSet\services\Tcpip\parameters
EnableSecurityFilters = REG_DWORD 0x00000001
hkey_local_machine\SYSTEM\CurrentControlSet\services\Tcpip\parameters
SynAttackProtect = REG_DWORD 0x00000002
hkey_local_machine\SYSTEM\CurrentControlSet\services\Tcpip\parameters
TcpMaxHalfOpen = REG_DWORD 0x00000500
hkey_local_machine\SYSTEM\CurrentControlSet\services\Tcpip\parameters
TcpMaxHalfOpenRetried = REG_DWORD 0x00000400
hkey_local_machine\SYSTEM\CurrentControlSet\services\Tcpip\parameters
EnableDeadGWDetect = REG_DWORD 0x00000000;
hkey_local_machine\SYSTEM\CurrentControlSet\services\Tcpip\parameters
EnablePMTUDiscovery = REG_DWORD 0x00000000;
hkey_local_machine\SYSTEM\CurrentControlSet\services\Tcpip\parameters
KeepAliveTime = REG_DWORD 0x000493E0
hkey_local_machine\SYSTEM\CurrentControlSet\Control\FileSystem
NtfsDisable8dot3NameCreation = REG_DWORD 0x00000001;
hkey_local_machine\SYSTEM\CurrentControlSet\Control\CrashControl
AutoReboot = REG_DWORD 0x00000001;
hkey_local_machine\SYSTEM\CurrentControlSet\Control\CrashControl
CrashDumpEnabled = REG_DWORD 0x00000001;
hkey_local_machine\SYSTEM\CurrentControlSet\Control\CrashControl
LogEvent = REG_DWORD 0x00000001;
hkey_local_machine\SYSTEM\CurrentControlSet\Control\CrashControl
Overwrite = REG_DWORD 0x00000001;
hkey_local_machine\SYSTEM\CurrentControlSet\Control\CrashControl
SendAlert = REG_DWORD 0x00000001;
Services.cmd
reg add
"hklm\System\CurrentControlSet\Control\FileSystem\LastAccessUpdateDisabl
ed"="1" REG_DWORD
REM 注意: 如果你使用该安全策略,有可能导致安装软件时出现问题。
reg update
"hklm\System\CurrentControlSet\Control\FileSystem\NtfsDisable8Dot3NameCr
eation"="1"
REM 注意: 没事就别按照以下所写的文件执行, 因为安装完成之后十有八九
你的系统会起不了来的.
reg update
"hklm\System\CurrentControlSet\Services\Alerter\Start"="3"
reg update
"hklm\System\CurrentControlSet\Services\Browser\Start"="3"
reg update
"hklm\System\CurrentControlSet\Services\LicenseInfo\Start"="3"
reg update
"hklm\System\CurrentControlSet\Services\LicenseService\Start"="3"
reg update
"hklm\System\CurrentControlSet\Services\Messenger\Start"="3"
reg update
"hklm\System\CurrentControlSet\Services\CertSvc\Start"="3"
reg update
"hklm\System\CurrentControlSet\Services\CiSvc\Start"="3"
reg update "hklm\System\CurrentControlSet\Services\Dfs\Start"="3"
reg update
"hklm\System\CurrentControlSet\Services\DhcpServer\Start"="3"
reg update "hklm\System\CurrentControlSet\Services\Dns\Start"="3"
reg update "hklm\System\CurrentControlSet\Services\Fax\Start"="3"
reg update "hklm\System\CurrentControlSet\Services\Ias\Start"="3"
REM reg update
"hklm\System\CurrentControlSet\Services\IisAdmin\Start"="3"
reg update
"hklm\System\CurrentControlSet\Services\ImdbServer\Start"="3"
reg update
"hklm\System\CurrentControlSet\Services\Irmon\Start"="3"
reg update
"hklm\System\CurrentControlSet\Services\IsmServ\Start"="3"
reg update
"hklm\System\CurrentControlSet\Services\MsDtc\Start"="3"
reg update
"hklm\System\CurrentControlSet\Services\MsFtpSvc\Start"="3"
reg update "hklm\System\CurrentControlSet\Services\MqAc\Start"="3"
reg update "hklm\System\CurrentControlSet\Services\MsMq\Start"="3"
reg update
"hklm\System\CurrentControlSet\Services\NntpSvc\Start"="3"
reg update
"hklm\System\CurrentControlSet\Services\Ntfrs\Start"="3"
reg update
"hklm\System\CurrentControlSet\Services\NtMsSvc\Start"="3"
reg update "hklm\System\CurrentControlSet\Services\RasAcd\Start"="3"
reg update
"hklm\System\CurrentControlSet\Services\RasAuto\Start"="3"
reg update "hklm\System\CurrentControlSet\Services\RasMan\Start"="3"
reg update
"hklm\System\CurrentControlSet\Services\Remote_Storage_Engine\Start"="3"
reg update
"hklm\System\CurrentControlSet\Services\Remote_Storage_File_System_Agent
\Start"="3"
reg update
"hklm\System\CurrentControlSet\Services\Remote_Storage_Subsystem\Start"=
"3"
reg update
"hklm\System\CurrentControlSet\Services\Remote_Storage_User_Link\Start"=
"3"
reg update
"hklm\System\CurrentControlSet\Services\RemoteAccess\Start"="3"
reg update
"hklm\System\CurrentControlSet\Services\RemoteRegistry\Start"="3"
reg update "hklm\System\CurrentControlSet\Services\Rsvp\Start"="3"
reg update
"hklm\System\CurrentControlSet\Services\Schedule\Start"="3"
reg update
"hklm\System\CurrentControlSet\Services\SecLogon\Start"="3"
reg update
"hklm\System\CurrentControlSet\Services\Spooler\Start"="3"
REM reg update
"hklm\System\CurrentControlSet\Services\SmtpSvc\Start"="3"
REM reg update
"hklm\System\CurrentControlSet\Services\Snmp\Start"="3"
REM reg update
"hklm\System\CurrentControlSet\Services\SnmpTrap\Start"="3"
reg update
"hklm\System\CurrentControlSet\Services\TermServLicensing\Start"="3"
reg update "hklm\System\CurrentControlSet\Services\TrkWks\Start"="3"
reg update "hklm\System\CurrentControlSet\Services\TrkSrv\Start"="3"
REM reg update
"hklm\System\CurrentControlSet\Services\W3Svc\Start"="3"
reg update
"hklm\System\CurrentControlSet\Services\NetBT\Parameters\EnableLMHOSTS"=
"0"
reg add
"hklm\System\CurrentControlSet\Services\NetBT\Parameters\NodeType"="8"
REG_DWORD
测试环境
Windows 2000 Advanced Server (英文版)
已经安装SP1
参考文献
Securing IIS 5.0 Using Batch-Orented Command Files
--
﹀ ▲ ▲ \ /
﹀ ▲▲▲ ▲▲ ? ▲▲▲― ● ―
﹀ ▲ ▲▎▲ / \ ▃
▁▅ ▁▃▇█▅▃▁ ▲▲┻▍▲ ▃▇█
▁▃▅▇███▅▁ ∞: ∞: ▍ ▁▃▅████
∞: ∞: ├┼┼┬ γ▍γγ┤ m i c ◤
※ 来源:·荔园晨风BBS站 bbs.szu.edu.cn·[FROM: 192.168.28.108]
[回到开始]
[上一篇][下一篇]
荔园在线首页 友情链接:深圳大学 深大招生 荔园晨风BBS S-Term软件 网络书店