工欲善其事,必先利其器

  • 发布于:2023-02-04
  • 125 人围观
winver---------检查Windows版本
wmimgmt.msc----打开windows管理体系结构(WMI)
wupdmgr--------windows更新程序
wscript--------windows脚本宿主设置
write----------写字板
winmsd---------系统信息
wiaacmgr-------扫描仪和照相机向导
winchat--------XP自带局域网聊天
mem.exe--------显示内存使用情况
Msconfig.exe---系统配置实用程序
mplayer2-------简易widnows media player
mspaint--------画图板
mstsc----------远程桌面连接
mplayer2-------媒体播放机
magnify--------放大镜实用程序
mmc------------打开控制台
mobsync--------同步命令


dxdiag---------检查DirectX信息
drwtsn32------ 系统医生
devmgmt.msc--- 设备管理器
dfrg.msc-------磁盘碎片整理程序
diskmgmt.msc---磁盘管理实用程序
dcomcnfg-------打开系统组件服务
ddeshare-------打开DDE共享设置
dvdplay--------DVD播放器

net stop messenger-----停止信使服务
net start messenger----开始信使服务
notepad--------打开记事本
nslookup-------网络管理的工具向导
ntbackup-------系统备份和还原
narrator-------屏幕“讲述人”
ntmsmgr.msc----移动存储管理器
ntmsoprq.msc---移动存储管理员操作请求
netstat -an----(TC)命令检查接口

syncapp--------创建一个公文包
sysedit--------系统配置编辑器
sigverif-------文件签名验证程序
sndrec32-------录音机
shrpubw--------创建共享文件夹
secpol.msc-----本地安全策略
syskey---------系统加密,一旦加密就不能解开,保护windows xp系统的双重密码
services.msc---本地服务设置
Sndvol32-------音量控制程序
sfc.exe--------系统文件检查器
sfc /scannow---windows文件保护

以帮助管理任务的执行。本文中,这些任务划分为三个独立的任务组;不过,所有任务都是由驱动器盘符:\Inetpub\AdminScripts 文件夹中 Administrator 组的组成员用户执行的。

备注:要打开命令提示符以执行本文介绍的任何任务,请按下列步骤操作:

1、开始;
单击【开始】菜单—【运行】,键入“cmd”,然后单击确定。键入 cd Inetpub\AdminScripts 然后按 ENTER。

2、显示任务;
可用来显示任务的两个命令是 findweb 和 disptree。另一个可用来显示树中某一特定管理节点中的相关域的命令是 dispnode。

3、查找虚拟 Web 站点;
要查找虚拟 Web 站点,请在命令提示符下键入以下命令:
findweb -c _blank>计算机名 www.域名.com

4、显示管理树;
要显示管理树,可在命令提示符下键入下列两个命令之一:
disptree -a IIS://_blank>计算机名
或者
disptree -a IIS://本地主机/w3svc -n

5、创建任务;
可用于创建任务的两个命令是 mkw3site 和 mkwebdir。不过,adsutil 命令行实用程序中包含几个设计用来创建进程内应用程序的命令。

6、创建虚拟 Web 站点;
要创建虚拟 Web 站点,请在命令提示符下键入以下命令:
Mkw3site -r 根目录 驱动器盘符:\文件夹名 -t 新_blank>服务器名 -h 主机名 www.我的新 Web 站点.com

7、创建虚拟 Web 目录;
要创建虚拟 Web 目录,请在命令提示符下键入下面的命令:
Mkwebdir -c _blank>计算机名 -w "Web 站点名" -v 目录名, 驱动器盘符:\文件夹名
或者
Mkwebdir -c 本地主机 -w "Web 站点名" -v 目录名,驱动器盘符:\文件夹名

8、管理任务;
有几个管理命令可用来执行从启动和停止_blank>服务到更改访问属性等各种任务。本文只为两个管理命令提供了分步指南,而下面列出了其他所有命令:
chaccess
contftp
contsrv
contweb
dispnode
disptree
findweb
mkw3site
mkwebdir
pauseftp
pausesrv
pauseweb
startftp
startsrv
startweb
stopftp
stopsrv
stopweb
synciwam

9、在不中断整个 Web _blank>服务的情况下停止虚拟站点;
如想在不中断整个 Web _blank>服务的情况下停止虚拟站点,请从命令提示符下键入下面的命令:
adsutil STOP_blank>_SERVER W3SVC/_blank>服务器号

在本例中,对于 W3SVC/_blank>服务器号,可以键入 W3SVC/1 代表默认_blank>服务器,或者键入 W3SVC/2 代表 foobar _blank>服务器。

10、在不中断整个 Web _blank>服务的情况下启动虚拟站点;
如想在不中断整个 Web _blank>服务的情况下启动虚拟站点,请从命令提示符下键入下面的命令:
adsutil START_blank>_SERVER W3SVC/_blank>服务器号
在本例中,对于 W3SVC/_blank>服务器号,可以键入 W3SVC/1 代表默认_blank>服务器,或者键入 W3SVC/2 代表 foobar _blank>服务器。


疑难解答:

在创建 Virtual Web Directory(虚拟 Web 目录)之前必须为该目录创建文件夹;进程不自动创建此文件夹。如果在创建文件夹之前创建目录,就会收到一条错误消息。

您可以在"Internet Information _blank>服务"控制台检查您在命令提示符下执行的所有进程。如果在命令行进行更改时控制台打开着,则请单击操作,然后单击刷新以在控制台查看这些更改




sys change_on_install ihifk025

system manager  ihisksks


  本文并非本人所著,是本人一个朋友整理实践而来的.适用于Windows 2000以上版本.本文所涉及到的实验在Windwos 2003下通过)

---------------

打造个人电脑安全终极防线.

----------------------------------------

                            
                              【一、禁止默认共享 】

    1.先察看本地共享资源

     运行-cmd-输入net share

    2.删除共享(每次输入一个)

     net share admin$ /delete
     net share c$ /delete
     net share d$ /delete(如果有e,f,……可以继续删除)

    3.删除ipc$空连接

    在运行内输入regedit

    在注册表中找到  HKEY-LOCAL_MACHINESYSTEMCurrentControSetControlLSA

    项里数值名称RestrictAnonymous的数值数据由0改为1.

    4.关闭自己的139端口,ipc和RPC漏洞存在于此.

    关闭139端口的方法是在“网络和拨号连接”中“本地连接”中选取“Internet协议(TCP/IP)”

    属性,进入“高级TCP/IP设置”“WINS设置”里面有一项“禁用TCP/IP的NETBIOS”,打勾就关

    闭了139端口,禁止RPC漏洞.

----------------------------------------


                            【二、设置服务项,做好内部防御】




-------------------

A计划.服务策略:


    控制面板→管理工具→服务

    关闭以下服务:

    1.Alerter[通知选定的用户和计算机管理警报]
    2.ClipBook[启用“剪贴簿查看器”储存信息并与远程计算机共享]
    3.Distributed File System[将分散的文件共享合并成一个逻辑名称,共享出去,关闭后远程计算机无法访问共享
    4.Distributed Link Tracking Server[适用局域网分布式链接跟踪客户端服务]
    5.Human Interface Device Access[启用对人体学接口设备(HID)的通用输入访问]
    6.IMAPI CD-Burning COM Service[管理 CD 录制]
    7.Indexing Service[提供本地或远程计算机上文件的索引内容和属性,泄露信息]
    8.Kerberos Key Distribution Center[授权协议登录网络]
    9.License Logging[监视IIS和SQL如果你没安装IIS和SQL的话就停止]
   10.Messenger[警报]
   11.NetMeeting Remote Desktop Sharing[netmeeting公司留下的客户信息收集]
   12.Network DDE[为在同一台计算机或不同计算机上运行的程序提供动态数据交换]
   13.Network DDE DSDM[管理动态数据交换 (DDE) 网络共享]
   14.Print Spooler[打印机服务,没有打印机就禁止吧]
   15.Remote Desktop Help Session Manager[管理并控制远程协助]
   16.Remote Registry[使远程计算机用户修改本地注册表]
   17.Routing and Remote Access[在局域网和广域往提供路由服务.黑客理由路由服务刺探注册信息]
   18.Server[支持此计算机通过网络的文件、打印、和命名管道共享]
   19.Special Administration Console Helper[允许管理员使用紧急管理服务远程访问命令行提示符]
   20.TCP/IPNetBIOS Helper[提供 TCP/IP 服务上的 NetBIOS 和网络上客户端的 NetBIOS 名称解析的支持
                           而使用户能够共享文件、打印和登录到网络]
   21.Telnet[允许远程用户登录到此计算机并运行程序]
   22.Terminal Services[允许用户以交互方式连接到远程计算机]
   23.Windows Image Acquisition (WIA)[照相服务,应用与数码摄象机]


-------------------

B计划.帐号策略:
    
    一.打开管理工具.本地安全设置.密码策略


           1.密码必须符合复杂要求性.启用
           2.密码最小值.我设置的是10
           3.密码最长使用期限.我是默认设置42天
           4.密码最短使用期限0天
           5.强制密码历史 记住0个密码
           6.用可还原的加密来存储密码 禁用
    
-------------------

C计划.本地策略:


打开管理工具
    
    找到本地安全设置.本地策略.审核策略


           1.审核策略更改 成功失败
           2.审核登陆事件 成功失败
           3.审核对象访问 失败
           4.审核跟踪过程 无审核
           5.审核目录服务访问 失败
           6.审核特权使用 失败
           7.审核系统事件 成功失败
           8.审核帐户登陆时间 成功失败  
           9.审核帐户管理 成功失败
            然后再到管理工具找到
            事件查看器
           应用程序 右键 属性 设置日志大小上限 我设置了512000KB  选择不覆盖事件
           安全性 右键 属性 设置日志大小上限 我也是设置了512000KB 选择不覆盖事件
           系统 右键 属性 设置日志大小上限 我都是设置了512000KB  选择不覆盖事件

-------------------

D计划.安全策略:


打开管理工具
    
    找到本地安全设置.本地策略.安全选项
          
           1.交互式登陆.不需要按 Ctrl+Alt+Del 启用 [根据个人需要,启用比较好,但是我个人是不需要直接输入密码登陆的]
           2.网络访问.不允许SAM帐户的匿名枚举  启用
           3.网络访问.可匿名的共享 将后面的值删除
           4.网络访问.可匿名的命名管道 将后面的值删除
           5.网络访问.可远程访问的注册表路径 将后面的值删除
           6.网络访问.可远程访问的注册表的子路径 将后面的值删除
           7.网络访问.限制匿名访问命名管道和共享
           8.帐户.重命名来宾帐户guest [最好写一个自己能记住中文名]让黑客去猜解guest吧,而且还得删除这个帐户,后面有详细解释]
           9.帐户.重命名系统管理员帐户[建议取中文名]


-------------------


E计划.用户权限分配策略:


打开管理工具
    
    找到本地安全设置.本地策略.用户权限分配
          
           1.从网络访问计算机 里面一般默认有5个用户,除Admin外我们删除4个,当然,等下我们还得建一个属于自己的ID
           2.从远程系统强制关机,Admin帐户也删除,一个都不留          
           3.拒绝从网络访问这台计算机 将ID删除
           4.从网络访问此计算机,Admin也可删除,如果你不使用类似3389服务
           5.通过终端允许登陆 删除Remote Desktop Users
          

---------------------

F计划.终端服务配置


打开管理工具
    
    终端服务配置

         1.打开后,点连接,右键,属性,远程控制,点不允许远程控制
         2.常规,加密级别,高,在使用标准windows验证上点√!
         3.网卡,将最多连接数上设置为0
         4.高级,将里面的权限也删除.[我没设置]
          再点服务器设置,在Active Desktop上,设置禁用,且限制每个使用一个会话


---------------------

G计划.用户和组策略


打开管理工具

    计算机管理.本地用户和组.用户
          
        删除Support_388945a0用户等等
        只留下你更改好名字的adminisrator权限  

    计算机管理.本地用户和组.组
        
        组.我们就不组了.分经验的(不管他.默认设置)

---------------------

X计划.DIY策略[根据个人需要]
        
         1.当登陆时间用完时自动注销用户(本地) 防止黑客密码渗透.
         2.登陆屏幕上不显示上次登陆名(远程)如果开放3389服务,别人登陆时,就不会残留有你登陆的用户名.让他去猜你的用户名去吧.
         3.对匿名连接的额外限制
         4.禁止按 alt+crtl+del
         5.允许在未登陆前关机[防止远程关机/启动、强制关机/启动]
         6.只有本地登陆用户才能访问cd-rom
         7.只有本地登陆用户才能访问软驱
         8.取消关机原因的提示
           1、打开控制面板窗口,双击“电源选项”图标,在随后出现的电源属性窗口中,进入到“高级”标签页面;
           2、在该页面的“电源按钮”设置项处,将“在按下计算机电源按钮时”设置为“关机”,单击“确定”按钮,来退出设置框;
           3、以后需要关机时,可以直接按下电源按键,就能直接关闭计算机了。当然,我们也能启用休眠功能键,来实现快速关机和开机;
           4、要是系统中没有启用休眠模式的话,可以在控制面板窗口中,打开电源选项,进入到休眠标签页面,并在其中将“启用休眠”选项选中就可以了。
         9.禁止关机事件跟踪
               开始“Start ->”运行“ Run ->输入”gpedit.msc “,在出现的窗口的左边部分,
               选择 ”计算机配置“(Computer Configuration )-> ”管理模板“
              (Administrative Templates)-> ”系统“(System),在右边窗口双击
               “Shutdown Event Tracker”  在出现的对话框中选择“禁止”(Disabled),
               点击然后“确定”(OK)保存后退出这样,你将看到类似于windows 2000的关机窗口

----------------------------------------


                            【三、修改权限防止病毒或木马等破坏系统】


winxp、windows2003以上版本适合本方法.
    

    因为目前的木马抑或是病毒都喜欢驻留在system32目录下,如果我们用命令限制system32的写入和修改权限的话
那么,它们就没有办法写在里面了.看命令

---------------------

A命令


    cacls C:windowssystem32 /G administrator:R   禁止修改、写入C:windowssystem32目录
    cacls C:windowssystem32 /G administrator:F   恢复修改、写入C:windowssystem32目录


    呵呵,这样病毒等就进不去了,如果你觉得这个还不够安全,
    还可以进行修改觉得其他危险目录,比如直接修改C盘的权限,但修改c修改、写入后,安装软件时需先把权限恢复过来才行


---------------------

B命令

    cacls C: /G administrator:R   禁止修改、写入C盘
    cacls C: /G administrator:F   恢复修改、写入C盘

    这个方法防止病毒,
    如果您觉得一些病毒防火墙消耗内存太大的话
    此方法稍可解决一点希望大家喜欢这个方法^_^


---------------------

X命令

   以下命令推荐给高级管理员使用[因为win版本不同,请自行修改参数]


cacls %SystemRoot%system32cmd.exe /E /D IUSR_ComSpec  禁止网络用户、本地用户在命令行和gui下使用cmd
cacls %SystemRoot%system32cmd.exe /E /D IUSR_Lsa  恢复网络用户、本地用户在命令行和gui下使用cmd
cacls %SystemRoot%system32tftp.exe /E /D IUSR_Lsa  禁止网络用户、本地用户在命令行和gui下使用tftp.exe
cacls %SystemRoot%system32tftp.exe /E /D IUSR_Lsa  恢复网络用户、本地用户在命令行和gui下使用tftp.exe
cacls %SystemRoot%system32tftp32.exe /E /D IUSR_Lsa  禁止网络用户、本地用户在命令行和gui下使用tftp32.exe
cacls %SystemRoot%system32tftp32.exe /E /D IUSR_Lsa  恢复网络用户、本地用户在命令行和gui下使用tftp32.exe


----------------------------------------


                            【四、重要文件名加密[NTFS格式]】

此命令的用途可加密windows的密码档,QQ密码档等等^.^

命令行方式
    加密:在DOS窗口或“开始” | “运行”的命令行中输入“cipher /e 文件名(或文件夹名)”。
    解密:在DOS窗口或“开始” | “运行”的命令行中输入“cipher /d 文件名(或文件夹名)”。


----------------------------------------


                            【五、修改注册表防御D.D.O.S】


在注册表HKLMSYSTEMCurrentControlSetServicesTcpipParameters中更改以下值可以帮助你防御一定强度的DoS攻击
SynAttackProtect REG_DWORD 2
EnablePMTUDiscovery REG_DWORD 0
NoNameReleaseOnDemand REG_DWORD 1
EnableDeadGWDetect REG_DWORD 0
KeepAliveTime REG_DWORD 300,000
PerformRouterDiscovery REG_DWORD 0
EnableICMPRedirects REG_DWORD 0
更多新的防御技巧请搜索其他信息,
由于本人不敢拿自己的硬盘开玩笑,所以没做实验... ...


----------------------------------------


                            【六、打造更安全的防火墙】


    只开放必要的端口,关闭其余端口.因为在系统安装好后缺省情况下,一般都有缺省的端口对外开放,
    黑客就会利用扫描工具扫描那些端口可以利用,这对安全是一个严重威胁。 本人现将自己所知道的端口公布如下(如果觉得还有危险需要过滤的,请联系本人:OICQ 250875628

端口 协议 应用程序
21 TCP FTP
25 TCP SMTP
53 TCP DNS
80 TCP HTTP SERVER
1433 TCP SQL SERVER
5631 TCP PCANYWHERE
5632 UDP PCANYWHERE
6(非端口) IP协议
8(非端口) IP协议
    那么,我们根据自己的经验,将下面的端口关闭
TCP
21
22
23
25 TCP SMTP
53 TCP DNS
80
135   epmap
138   [冲击波]
139   smb
445
1025  DCE/1ff70682-0a51-30e8-076d-740be8cee98b  
1026  DCE/12345778-1234-abcd-ef00-0123456789ac
1433 TCP SQL SERVER
5631 TCP PCANYWHERE
5632 UDP PCANYWHERE
3389
4444[冲击波]
4489
UDP
67[冲击波]
137 netbios-ns
161 An SNMP Agent is running/ Default community names of the SNMP Agent
关于UDP一般只有腾讯OICQ会打开4000或者是8000端口,那么,我们只运行本机使用4000端口就行了

----------------------------------------


                            【七、保护个人隐私】


1、TT浏览器
       选择用另外一款浏览器浏览网站.我推荐用TT,使用TT是有道理的.
       TT可以识别网页中的脚本,JAVA程序,可以很好的抵御一些恶意的脚本等等,而且TT即使被感染,你删除掉又重新安装一个就是.[TT就是腾讯的浏览器](不过有些人喜欢用MyIE,因为我使用的时间和对他的了解不是很深吧,感觉不出他对安全方面有什么优势一_一~,希望支持MyIE的朋友不要揍我,否则我会哭... ...)

2、移动“我的文档”
       进入资源管理器,右击“我的文档”,选择“属性”,在“目标文件夹”选项卡中点“移动”按钮,
       选择目标盘后按“确定”即可。在Windows 2003中“我的文档”已难觅芳踪,桌面、开始等处都看不到了,
       建议经常使用的朋友做个快捷方式放到桌面上。

3、移动IE临时文件
       进入“开始→控制面板→Internet 选项”,在“常规”选项卡的“Internet 文件”栏里点“设置”按钮,
       在弹出窗体中点“移动文件夹”按钮,选择目标文件夹后,点“确定”,在弹出对话框中选择“是”,
       系统会自动重新登录。点本地连接,高级,安全日志,把日志的目录更改专门分配日志的目录,
       不建议是C:再重新分配日志存储值的大小,我是设置了10000KB


----------------------------------------

                            【八、第三方软件的帮助】

防火墙:天网防火墙(建议)[二道贩子注:winxp以上可以考虑用系统自带的防火墙,win2000可以考虑用IPSEC,是个锻炼的机会)  

杀毒软件:卡巴斯基


二道贩子后注:

现在黑客的攻击有从传统的系统漏洞转向了你的浏览器,所以要在升级一些传统漏洞补丁的同时要注意你的浏览器.


----------------------------------------


【声明】
      根据windows2003的版本不同,有时可以自己调整一下顺序,已经午夜两点了,希望大家能早点休息,毕竟生命的意义不在网络,而是让网络体现出你人生价值观!

                                      win2K安全注意要点(全)

本站评论:这篇本来是整理提交给私服管理员的安全配置篇。现在发在这里,大家可以参考

   WIN2K服务器如果大家是就近才买的光盘,应该注意到了安装后默认都是关闭了GUEST帐号的,如果没有关闭该帐号的朋友请在控制面板管理工具,计算机管理中的用户那里进行永久禁用处理.现在去打上SP4,后门漏洞应该关闭的差不多了,注意开机一定要设定一个密码,最好让WIN2K使用自动升级功能,实现无人管理.

如果你的系统上安装了SQL,一定要屏蔽了3389端口.

私服安全现在已经做的差不多了.现在应该做的是一定把防火墙安装起,如果有条件可以把LockDown给他安装起.他可以有效的制止黑客木马程序运行起作用.

屏蔽端口文章:
用win2000的IP安全策略封闭端口的办法
封锁端口,全面构建防线

黑客大多通过端口进行入侵,所以你的服务器只能开放你需要的端口,那么你需要哪些端口呢?以下是常用端口,你可根据需要取舍:

80为Web网站服务;21为FTP服务;25 为E-mail SMTP服务;110为Email POP3服务。

其他还有SQL Server的端口1433等,你可到网上查找相关资料。那些不用的端口一定要关闭!关闭这些端口,我们可以通过Windows 2000的安全策略进行。
借助它的安全策略,完全可以阻止入侵者的攻击。你可以通过“管理工具→本地安全策略”进入,右击“IP安全策略”,选择“创建IP安全策略”,点[下一步]。输入安全策略的名称,点[下一步],一直到完成,你就创建了一个安全策略:

接着你要做的是右击“IP安全策略”,进入管理IP筛选器和筛选器操作,在管理IP筛选器列表中,你可以添加要封锁的端口,这里以关闭ICMP和139端口为例说明。

关闭了ICMP,黑客软件如果没有强制扫描功能就不能扫描到你的机器,也Ping不到你的机器。关闭ICMP的具体操作如下:点[添加],然后在名称中输入“关闭ICMP”,点右边的[添加],再点[下一步]。在源地址中选“任何IP地址”,点[下一步]。在目标地址中选择“我的IP地址”,点[下一步]。在协议中选择“ICMP”,点[下一步]。回到关闭ICMP属性窗口,即关闭了ICMP。

下面我们再设置关闭139,同样在管理IP筛选器列表中点“添加”,名称设置为“关闭139”,点右边的“添加”,点[下一步]。在源地址中选择“任何IP地址”,点[下一步]。在目标地址中选择“我的IP地址”,点[下一步]。在协议中选择“TCP”,点[下一步]。在设置IP协议端口中选择从任意端口到此端口,在此端口中输入139,点[下一步]。即完成关闭139端口,其他的端口也同样设置


然后进入设置管理筛选器操作,点“添加”,点[下一步],在名称中输入“拒绝”,点[下一步]。选择“阻止”,点[下一步]。


然后关闭该属性页,右击新建的IP安全策略“安全”,打开属性页。在规则中选择“添加”,点[下一步]。选择“此规则不指定隧道”,点[下一步]。在选择网络类型中选择“所有网络连接”,点[下一步]。在IP筛选器列表中选择“关闭ICMP”,点[下一步]。在筛选器操作中选择“拒绝”,点[下一步]。这样你就将“关闭ICMP”的筛选器加入到名为“安全”的IP安全策略中。同样的方法,你可以将“关闭139”等其他筛选器加入进来。


最后要做的是指派该策略,只有指派后,它才起作用。方法是右击“安全”,在菜单中选择“所有任务”,选择“指派”。IP安全设置到此结束,你可根据自己的情况,设置相应的策略。

windows2000服务安全与建议
Alerter
服务方向: 负责向用户通报管理警报,该服务和Mesenger服务一起工作,后者接收并路由前者的信息.
可执行文件: %systemRoot%\system32\services.exe
风险: 潜在可能导致社会工程攻击
建议: 将Alerter服务发出的警告限定为只由管理员接收.
Application Management
服务方向: 提供和active directory之间的通信.通过group policy(组策划)来指定,发布并删除在系统中安装的应用程序.
可执行文件: winnt\system32\services.exe
风险: 无
建议: 非组策略使用应用程序,最好禁用该服务.

Boot Information Negotiation Layer
服务方向: 与Remote Installation Service(RIS)一起使用,除有需要通过RIS安装操作系统,否则不要运行.
可执行文件: winnt\system32\services.exe
风险: 无

Brower
服务方向: 负责保存网络上的计算机列表,并将该列表提供给那些请求得到该列表的程序
可执行文件: winnt\system32\services.exe
风险: 暴露有关网络的信息
建议: 禁止

Indexing
服务方向: 负责索引磁盘上的文档和文档属性,并且在一个目录中保存信息,使得你在以后可以搜索他们.
可执行文件: winnt\system32\services.exe
风险: 其为IISweb服务器上诸多安全弱点的根源
建议: 除非特别需要,否则禁止.

ClipBook
服务方向: ClipBook支持ClipBook Viewer程序,该程序可以允许剪贴页被远程计算机上的ClipBook浏览.可以使得用户能够通过网络连接来剪切和粘贴文本和图形.
可执行文件: winnt\system32\Clipsrv.exe
风险: 潜在被非法用于远程访问ClipBook剪贴页面
建议: 禁止

Distributed File System
服务方向: 允许创建单一逻辑盘.文件分布在网络上不同位置.
可执行文件: winnt\system32\Dfssrc.exe
风险: 暂无已知风险
建议: 禁止(会产生disk error,可忽略该错误)

DHCP client
服务方向: 通过注册和更新IP地址和DNS域名来管理网络配置.
可执行文件: winnt\system32\services.exe
风险: 无已知风险
建议:为服务器分配一个静态IP

Logical Disk Manager Administrative
服务方向: 用于管理逻辑盘
可执行文件: winnt\system32\dmadmin.exe
风险: 暂无已知风险
建议:将服务的启动类型设为手动(Manual)

Logical Disk Manager
服务方向: 该服务为 Logical Disk Manager Watchdog 服务.负责管理动态磁盘的服务.
可执行文件: winnt\system32\services.exe
风险: 无已知风险
建议: 系统运行时需要,保持默认得自动启动

DNS Server
服务方向: 负责解答DNS域名查询
可执行文件: winnt\system32\dns.exe
风险: 无已知风险
建议: 因其通常是导致许多安全性弱点的根源,该服务应谨慎使用.

DNS Client
服务方向: 用于缓存DNS查询来进行记录.可用于某个入侵检测系统的DNS查询,可加速DNS查询的速度.
可执行文件: winnt\system32\services.exe
风险: 无已知风险,但攻击者可以查看你的缓存内容.确定你所访问过的网站. 命令行形式为(ipconfig/displaydns)
建议:可停可不停

Event Log
服务方向:Event Log服务负责记录来自系统和运行中程序的管理事件消息.虽然该服务功能有限,并具有一些小问题,但是该服务可以用于入侵检测和系统监视.
可执行文件: winnt\system32\services.exe
风险: 无已知风险
建议: 该服务应该被启动,尤其实在独立服务器上.

COM+Eent System
服务方向: 提供自动事件分布功能来订阅COM组件.
可执行文件: winnt\system32\svchost.exe -k nesvcs
风险: 无已知风险
建议: 如果该服务不需要已安装的任何程序所使用,你可以禁用COM+Event System 和 System Event Notification服务.

Fax
服务方向: 它负责管理传真的发送和接收.
可执行文件: winnt\system32\faxsvc.exe
风险: 无已知风险
建议: 对于服务器而言,不需要也不建议使用该服务,除非该服务器专门被指定为用做一个传真服务器.

Single Instance Storage Groveler
服务方向: 该服务和Remote Installation服务一起使用.扫描单一实例存储卷来寻找重复的文件,并将重复文件指向某个数据存储点以节省磁盘空间.
风险: 无已知风险
建议: 除非你需要使用 Remote Installation 服务,否则请停止它.

Internet Authentication Service
服务方向: 用于认证拨号和VPN用户.
可执行文件: winnt\system32\svchost.exe -k netsvcs
风险: 无已知风险
建议: 显然除了在拨号和VPN服务器上,该服务不应该使用.禁止.

IIS Admin
服务方向: IIS Admin服务允许通过Internet Services Manager MMC程序面板来对IIS服务进行管理.
可执行文件: winnt\system32\inetsrv\inetinfo.exe
风险: 无已知风险
建议: 如果服务器正在运行Inetrnet服务,则该服务是需要的.如果没有运行任何Inetrnet服务,则应当从Control Panel,Add and Remove Programs中卸载Internet Information Server,这样IIS Admin服务也将被卸载.

Intersite Messaging
服务方向: Intersite Messaging服务和Active Directory replication一起使用.
可执行文件: winnt\system32\ismserv.exe
风险: 无已知风险
建议: 除了Active Directory服务器之外,不需要也不建议使用该服务.

Kerberos Key Distribution Center
服务方向: 这是个域服务,提供了Kerberos认证服务(AS Authentication Service)和票证授予服务(TGT,Ticket-Granting Service)
可执行文件: winnt\system32\lsass.exe
风险: 没有已知风险
建议: Kerberos Key Distribution Center服务和位于某个域控制器是的Active Directory一起工作的,而且不能被停止,除了在域控制器上,该服务不应该在其他计算机上运行.

Server
服务方向: 该服务提供RPC支持以及文件,打印和命名管道共享,Server服务是作为文件系统驱动器来实现的,可以处理I/O请求.
可执行文件: winnt\system32\services.exe
风险: 如果没有提供适当地用户保护,会暴露系统文件和打印机资源
建议: 除非你打算在windows网络上共享文件或打印机,否则不需要运行该服务. (附言: 对以2000而言,这个是一个高风险服务,2000的用户多知道默认共享吧,就是该服务的问题,如果不禁止,每次注销或开机,默认共享就会打开,你的所以重要信息都将暴露.例如winnt文件夹.大家都应该知道他对于2000的重要.除非你的密码够安全,否则这个共享将是你机子的死穴!!!!)

Workstation
服务方向: 该服务提供网络连接和通信,该服务以一个文件系统驱动器的形式工作,并且可以允许用户访问位于windows网络上的资源.
可执行文件: winnt\system32\services.exe
风险: 一些独立服务器,例如web服务器,不应当参与到某个windows网络中
建议: 该服务应当只在位于某个内部网络,并受到某个防火墙保护的工作站和服务器上运行,在任何可以连接到Internet的服务器上都应该禁用这个服务.

TCP/IP打印服务器
服务方向: 该服务允许远程UNIX用户通过使用TCP/IP协议来访问由某个windows2000服务器所管理的打印机.
可执行文件: winnt\system32\tcpsvcs.exe
风险: 具有一些安全性弱点,并打开一个监听端口
建议: 该服务具有一些安全性弱点,因为打开了一个到internet的端口,因此,除非网络通过防火墙与Internet隔离开.否则不要使用该服务.

License Logging
服务方向: 该服务负责管理某个站点的许可协议信息.
可执行文件: winnt\system32\llssrv.exe
风险: 没有已知风险
建议: 除了在域控制器上,其他计算机不应当使用该服务.

TCP/IP NETBIOS Helper
服务方向: 该服务允许在TCP/IP网络上进行NETBIOS通信.
可执行文件: winnt\system32\services.exe
风险: 暴露出系统中的netBIOS安全性弱点,例如NTLM认证
建议: 除非你需要和一个旧版本的windows保持兼容,否则应当禁止该服务.

Messenger
服务方向: Messenger服务负责发送和接收由管理员或Alerter服务所传递的消息.
可执行文件: winnt\system32\services.exe
风险: 没有已知风险
建议: 该服务不需要而且应当被禁用.

NetMeeting Remote Desktop Sharing
服务方向: 该服务允许授权用户通过使用NetMeeting来远程访问你的Windows桌面.
可执行文件: winnt\system32\mnmsrvc.exe
风险: 是一个具有潜在不安全性的服务
建议: 该服务应当被禁止.因为它是会导致潜在地安全性弱点的.你可以使用Terminal服务来代替该服务用于远程桌面访问.

Distributed Transaction Coordinator
服务方向: 微软的Distributed Transaction Coordinator服务(MS DTC)可以借助OLE Transactions协议来提供一个事务(Transaction)协调工具,可以协调分布于两个和多个数据库,消息队列文件系统和其他事务保护(trasaction protected)资源管理器的事务.
可执行文件: winnt\system32\msdtc.exe
风险: 没有已知风险
建议: 无需禁止

FTP Publishing
服务方向: 文件传输协议不是一种安全的协议,如果不进行适当地保护,FTP Publishing服务将大来很多的安全性风险.
可执行文件: winnt\system32\inetsrv\inetinfo.exe
风险: 微软的FTP Server没有已知风险.但一般而言,FTP是已知不安全的服务.
建议: 除非你需要通过FTP来提供文件共享,否则该服务应当被禁止.如果需要,请谨慎地对其进行保护和监视.

Windows Installer
服务方向: 负责管理软件的安装,改服务对于安装和修复软件应用程序时很有用的.
可执行文件: winnt\system32\msiexec.exe/V
风险:无已知风险
建议: 保留

Network DDE
服务方向: 该服务提供动态数据交换(DDE,Dynamic Data Exhange)数据流传输和安全性.
可执行文件: winnt\system32\netdde.exe
风险: 通过网络接受DDE请求
建议: 对于大多数应用程序而言,Network DDE是不需要的,你应当将它设置为手工启动.

Network DDE DSDM
服务方向: 该服务保存一个共享对话(shared conversation)
数据库,这样当某个Network DDE共享被访问时,共享会话将被应用,并且安全性检测系统将确定请求这是否被允许访问.
可执行文件: winnt\system32\netdde.exe
风险: 没有已知风险
建议: 该服务应当设置为手工启动

Net Logon
服务方向: 支持为域中计算机进行的帐号登录事件的传递认证(pass-through authentication).
可执行文件: winnt\system32\lsass.exe
风险: 可以用于对强力密码攻击进行传递
建议: 该服务不应当在那些不作为域中一部分的独立服务器上使用.禁止.

Network Connections
服务方向: 该服务负责管理Network and Dial-Up Connections文件夹中的对象,该文件夹中你可以看到局域网和远程连接.
可执行文件: winnt\system32\svchost.exe -k netsvcs
风险: 没有已知风险
建议: 由于该服务在需要时将自己启动,因此可以设置为手动启动.

Network News Transport Protocol(NNTP)
服务方向: 用于提供一个新闻服务器服务,例如USENET.
可执行文件: winntsystem32\inetsrv\inetinfo.exe
风险: 没有已知风险
建议: NNTP服务器应当安装在一个DMZ网络中,而且应当像其他网络服务,例如FTP,Nail和Web服务那样来对待.不建议在私有网络上配置NNTP服务器,任何位于某个内部网络上的服务器应当卸载或禁用NNTP服务.

File Replication
服务方向: file replication服务(FRS)可以跨域中的服务器来进行文件,系统策略和登录脚本的复制,该服务还可以用于为分布式文件系统(DFS, Distributed File System)复制数据.
可执行文件: winnt\system32\ntfrs.exe
风险:没有已知风险
建议:它在多个服务之间维护文件目录内容的文件同步,保持原状.

NTLM Security Support Provider
服务方向: 该服务委远程过程调用(RPC.Remote Procedure Call)程序提供安全性,这些程序使用除命名管道之外的传输方式.该服务仅当client for microsoft安装后才在服务列表中出现.
可执行文件: winnt\system32\lsass.exe
风险: 无已知风险
建议: 既然是安装后才有.当然无需去管,只有你没有安装client for microsoft.

Removable Storage
服务方向: 该服务负责管理可移动媒质,磁盘和库.
可执行文件 : winnt\system32\svchost.exe -k netsvcs
风险: 没有已知风险
建议: 你可以在需要时启动该服务.

Plug-and-Play
服务方向: 该服务负责管理设备安装和配置,并向程序通告设备所出现的变化.
可执行文件: winnt\system32\services.exe
风险: 无已知风险
建议: 在没有这个服务的情况下启动系统是可能的,但时间较长,而且一些服务也无法运行了(如RAS),所以服务可能最好是设置为自动启动.

IPSEC Policy Agent
服务方向: 该服务负责管理IP安全并启动ISAKMP/Oakley(IKE)和IP安全性驱动程序.
可执行文件: winnt\system32\lsass.exe
风险: 无已知风险
建议: 这个服务请保留吧.

Protected Storage
服务方向: 该服务可以为敏感数据(例如私钥)提供受保护的储存来防止它们被未授权的服务,进程或用户访问.
可执行文件: winnt\system32\services.exe
风险: 没有已知风险
建议: 这个就不必问了,它对系统来说是必须的.

Remote Access Auto Connection Manager
服务方向: 当用户请求访问某个远程网络地址时,该服务将自动拨号网络连接.
可执行文件: winnt\system32\svchost.exe -k netsvcs
风险: 没有已知风险
建议: 该服务仅在你使用拨号网络连接时才需要,如果你不是通过拨号上网的,当然也就不需要了.

Remote Access Connection Manager
服务方向: 该服务管理拨号网络连接
可执行文件: winnt\system32\svchost.exe -k netsvcs
风险: 没有已知风险
建议: 只有服务器需要支持Routing and Remote Access Service(RRAS)时才需要运行该服务,所以你可以禁止.

Routing and Remote Access

服务方向: 该服务在局域网和广域网环境中提供路由服务.该服务仅用于远程访问点.
可执行文件: winnt\system32\svchost.exe -k netsvcs
风险: 如果配置不当,该服务将会使非法用户在未授权的情况下访问网络
建议: 该服务是不能关闭的,那只好好好配置咯.

Remote Registry
服务方向: 使得经过授权的管理员能够对位于远程主机上的注册表项目进行操作,对于一些功能,例如远程性能监视,是需要Remote Registry
服务才能工作的.
可执行文件: winnt\system32\regsvc.exe
风险: 如果没有得到适当的配置,会潜在地将注册表暴露
建议: 风险是明显的了,所以啊,不是特别需要,还是禁止吧.

Remote Procedure Call(RPC) Locator
服务方向: 该服务可以使那些支持RPC的应用程序注册资源可用性,并使客户能够找到兼容的RPC服务器.
可执行文件: winnt\system32\svchost -k rpcss
风险: 无已知风险
建议: 该服务应当仅在某个域控制器上运行

Remote Procedure Call(RPC)
服务方向: 该服务调用位于远程计算机上的可用服务,并用于远程计算机管理.
可执行文件: winnt\system32\svchost -k rpcss
风险: 会暴露系统信息
建议: 虽然会暴露信息,不过没办法拉,谁叫他是任何Windows2000系统上都需要的?

QoS Admission Control
服务方向: 该服务提供带宽管理控制来保证到网络服务的访问.
可执行文件: winnt\system32\rsvp.exe -s
风险: 无已知风险
建议: 如果你使用Windows QoS功能的话,就应当启用它,不要就禁了吧.

Secrity Accounts Manager
服务方向: Secrity Accounts Manager(SAM)服务保存了本地用户帐号的安全性信息以用于认证.
可执行文件: winnt\system32\lsass.exe
风险: 虽然有一些方法可以获得SAM数据,但是SAM服务本身并不会带来安全性风险.
建议: 这可是个必须的服务

Task Scheduler
服务方向: 该服务将某个程序调度到在指定的时间运行.对于NT4,只有管理员可以调度任务,而且所以任务都是作为SYSTEM运行的,对于2000,则任何用户都可以调度某一个任务,而且该任务仅在用户各自的用户环境下运行.
可执行文件: winnt\system32\MSTask.exe
风险: 入侵者可以在此替你运行他种下的木马服务端喔
建议: 除非你需要对某个任务作业进行调度,否则该服务应当被禁止.

RunAs
服务方向: 该服务使得进程可以在另外的用户凭证下启动,这是微软针对特洛伊木马程序的一种应对手段.使用RunAs,你可以在作为一个非特权用户而登录的同时以管理员权限运行某个进程.
可执行文件: winnt\system32\services.exe
风险: 没有已知风险
建议: 该服务应当启动

System Event Notification
服务方向: 该服务跟踪系统事件.
可执行文件: winnt\system32\svchost.exe -k netsvcs
风险: 没有已知风险
建议: 该服务记录windows登录,网络和电源事件,建议服务启用.

Internet Connection Sharing
服务方向: 将某计算机的Internet联机与其他一些计算机进行共享.
可执行文件: winnt\system32\svchost.exe -k netsvcs
风险: 没有已知风险
建议: 该服务应当禁止,因为它可以使得用户使用一个未经授权的连接,绕过公司网络中的代理和监视服务.

Simple TCP/IP
服务方向: 这个服务是作为基本的TCP/IP服务而运行,打开了TCP端口7,9,13,17,19.
可执行文件: winnt\system32\tcpsvcs.exe
风险: 在各种TCP端口上运行了一些不安全的服务
建议: 虽然有危险,还是运行吧.

Simple Mail Transport Protocol(SMTP)
服务方向: 提供外发的Internet邮件服务.
可执行文件: winnt\system32\inetsrv\inetinfo.exe
风险: 可以实现电子邮件的欺骗和中继
建议: 该服务很有用,应当被限制为只能从本地主机或网络上才能访问她.

SNMP
服务方向: 可以监视网络设备活动的代理,并将这些监视信息报告给网络控制台工作站
可执行文件: winnt\system32\snmp.exe
风险: 在默认情况下,被设置为使用Public作为其社区字符串.他会暴露有关windows2000服务器的敏感信息.
建议: 在内部网上用它才好.

SNMP Trap
服务方向: 接受从其他SNMP代理发过来的SNMP信息
可执行文件: winnt\system32\snmptrap.exe
风险: 没有已知风险
建议: 在内部网使用吧,其他就不要了.

Print Spooler
服务方向: 该服务用于假脱机打印作业,使得应用程序打印文件时不必等待.
可执行文件: winnt\system32\spoolsv.exe
风险: 没有已知风险
建议: 除非你要处理打印队列,否则应当禁止该服务.

Performance Logs and Alerts
服务方向: 处理性能日志和警报,对系统和网络监视而言都是有用的.
可执行文件: winnt\system32\smlogsvc.exe
风险: 没有已知风险
建议: 当然是启用啊

Telephony
服务方向: 提供电话和基于IP地语音连接.
可执行文件: winnt\system32\svchost.exe -k tapisrv
风险: 没有已知风险
建议: 除非你打算在局域网上使用这种功能,否则应当禁止该服务.

Terminal
服务方向: 可以提供通过TCP/IP连接的远程桌面访问
可执行文件: winnt\system32\termsrv.exe
风险: 可以导致潜在的非法访问远程桌面以及强力攻击.
建议: 你应当通过IP地址的限制来严格限制对该服务的访问.并且应该进行密切监视.

Terminal Services Licensing
服务方向: 用于在应用程序服务模式下使用Terminal服务时管理客户的许可协议.
可执行文件: winnt\system32\lserver.exe
风险: 没有已知风险
建议: 该服务当服务器在Application Server Mode下运行Terminal服务时是必须得.

Trivial FTP Daemon
服务方向: 实现Trivial FTP Internet标准.
可执行文件: winnt\system32\tftpb.exe
风险: 导致潜在的未经授权的文件访问
建议: 应当应用在本地的可信任网络上.

Telnet
服务方向: 该服务允许某个远程用户登录到系统,并使用命令行来运行控制台程序.
可执行文件: winnt\system32\tlntsvr.exe
风险:他的密码是以明文形式传输,如果MTLM认证被启用,则NTLM密码散列也会被发现.
建议: 禁止吧

Utility Manager
服务方向: 可以启动和配置可达性工具.
可执行文件: winnt\system32\UtilMan.exe
风险: 没有已知风险
建议: 除非你需要使用可达性工具,否则应当禁止他

Windows Time
服务方向: 从一个网络时间服务器来设置系统时间.
可执行文件: winnt\system32\services.exe
风险: 没有已知风险
建议: 如果你不是2000,就禁了吧

World Wide Web Publishing
服务方向: 该服务提供Internet的匿名Web站点访问服务.
可执行文件: winnt\system32\inetsrv\inetinfo.exe
风险: 各种文件访问,远程命令执行,拒绝服务和其他风险都有
建议: 他是必须得,只有*其他工具维护他的安全咯

Windows Management Instrumentation
服务方向: 提供系统管理信息,它基本上是一个基于WEB的企业管理兼容工具,用于从各种来源收集并关联管理数据.
可执行文件: winnt\system32\WBEM\WinMgmt.exe
风险: 具有暴露敏感信息的潜在危险
建议: WMI是一种有用的工具,同样也可用于收集信息.如果你不是特别不希望使用该服务,还是启用吧

Windows Internet Name Service
服务方向: 是微软用于NetBIOS网络的名称服务.
可执行文件: winnt\system32\win.exe
风险: 具有暴露敏感系统信息的潜在危险
建议: 纯粹的Windows2000网络并不依赖WINS.应当被禁用.或是只在本地使用好了.

万企互联
标签: