Remote Procedure Call (RPC) Locator RpcNs*远程过程调用 (RPC) Remote Registry 远程修改注册表
Removable storage 管理可移动媒体、驱动程序和库 Remote Desktop Help Session Manager 远程协助
Routing and Remote Access 在局域网以及广域网环境中为企业提供路由服务 Messenger 消息文件传输服务 Net Logon 域控制器通道管理
NTLMSecuritysupportprovide telnet服务和Microsoft Serch用的 PrintSpooler 打印服务 telnet telnet服务
Workstation 泄漏系统用户名列表 12、更改本地安全策略的审核策略 账户管理 成功 失败 登录事件 成功 失败 对象访问 失败 策略更改 成功 失败 特权使用 失败 系统事件 成功 失败 目录服务访问 失败 账户登录事件 成功 失败
13、更改有可能会被提权利用的文件运行权限,找到以下文件,将其安全设置里除administrators用户组全部删除,重要的是连system也不要留。
net.exe net1.exe cmd.exe tftp.exe netstat.exe regedit.exe at.exe attrib.exe cacls.exe format.com
c.exe 特殊文件 有可能在你的计算机上找不到此文件。 在搜索框里输入
\.exe\
点击搜索 然后全选 右键 属性 安全
以上这点是最最重要的一点了,也是最最方便减少被提权和被破坏的可能的防御方法了。
14、后备工作,将当前服务器的进程抓图或记录下来,将其保存,方便以后对照查看是否有不明的程序。将当前开放的端口抓图或记录下来,保存,方便以后对照查看是否开放了不明的端口。当然如果你能分辨每一个进程,和端口这一步可以省略。
C盘目录及文件权限设置 【首先你的硬盘必须是NTFS格式】
权限设置是防止提权的主要手段 只有设置了足够强度的权限 才能真正挡住黑客的提权操作
我在虚拟机上为大家进行演示操作 环境我已经配置好了
C:\\ 首先设置C盘根目录的权限 只保留administrators组和SYSTEM组用户完全控制权限 其他的
全都删掉 如果你的服务器需要运行net程序 还应该在相应的目录加上IIS_WPG权限 如果不需要
可以忽略此权限设置
这些都是有安全隐患的目录或者文件 需要进行相应的权限设置 否则很容易就被提权了 但是千万
不能乱设置 这些都是系统文件 如果设置错了什么地方 很可能会引起网站打不开等错误的
由于需要设置的文件太多 我就不多打字了 大家仔细看 我教程做慢点
C:\\Documents and Settings
C:\\Documents and Settings\\All Users\\
C:\\Documents and Settings\\All Users\\Application Data C:\\Documents and Settings\\All Users\\Documents
C:\\Documents and Settings\\All Users\\Application Data\\Microsoft
C:\\Documents and Settings\\All Users\\Application Data\\Microsoft\\HTML Help
C:\\Documents and Settings\\All Users\\Application Data\\Microsoft\\Crypto\\RSA\\MachineKeys C:\\Documents and Settings\\All Users\\Application Data\\Microsoft\\Crypto\\DSS\\MachineKeys C:\\Program Files
C:\\Program Files\\Common Files\\Microsoft Shared\\web server extensions C:\\Program Files\\Outlook Express C:\\Program Files\\windows Media Player C:\\Program Files\\windows NT\\Accessories C:\\Program Files\\windowsUpdate C:\\windows
相关推荐:
loading