win2k缺省安装容易被攻击者取得账号列表怎么办？如何解决？

Win2k的缺省安装很容易被攻击者取得帐号列表，即使安装了最新的Service ack也是如此。

方案一 1.打补丁

微软的作风就是三天一小补，五天一大补，漏洞太多，补一点就好一点，使用“开始-WindowsUpdate"然后把所有的补丁都装进去吧

2.删除默认共享

2.1删除IPC$共享

Win2k的缺省安装很容易被攻击者取得帐号列表，即使安装了最新的Serviceack也是如此。在Win2k中有一个缺省共享IPC$，并且还有诸如admin$Content$nbsp;C$Content$nbsp;D$等等,而IPC$允许匿名用户(即未经登录的用户)访问，利用这个缺省共享可以取得用户列表。如何防范这东东，很简单在"管理工具\本地安全策略\安全设置\本地策略\安全选项"中的"对匿名连接的额外限制"可修改为"不允许枚举SAM帐号和共享"。

就可以防止大部分此类连接，但是还没完，如果使用NetHacker只要使用一个存在的帐号就又可以顺利取得所有的帐号名称。所以，我们还需要另一种方法做后盾，

(1)：创建一个文件startup.cmd，内容就是以下的一行命令"netshareipc$Content$nbsp;delete"(不包括引号)

(2)：在Windows的计划任务中增加一项任务执行以上的startup.cmd，时间安排为"计算机启动时执行"。或者把这个文件放到"开始-程序-启动"中　让他一启动就删除ipc$共享

(3)：重新启动服务器。

2.2删除admin$共享

修改注册表:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\meters增加AutoShareWks子键(REG_DWORD)，键值为0

2.3清除默认磁盘共享(C$,D$等)

修改注册表:：HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\meters增加AutoShareServer子键(REG_DWORD)，键值为0

3.修改默认用户名

"管理工具\本地安全策略\安全设置\本地策略\安全选项"中"重命名来宾帐户"就是把"guest"改个名字而已，改成abc或者其他名字，下面机器登陆名字也设为"abc"或其他的名字，然后再把"重命名系统管理员帐户"也改一下，有一次我闲着无聊，用小榕的流光随便扫了一下我的IP段，就发现有N家网吧服务器的管理员名称是默认的Administrator,并且是简单密码。如果有人想搞个肉机的话，实在是很简单。

至此下来，服务器已经可以很安全稳定的运行下去了，当然别忘了要一两天重启一下你的服务器，

SQL服务器安全设置

首先,关闭sql默认的1433(好象是这个吧) 就是把sql的TCP/IP协议删除就ok了,

删掉后就不能是用远程了 那总归少点事情吧

sa 设密码设的密码为数字加字母等, 不用我多说了吧

administrator 别忘了设密码

在tcp/ip协议里关掉所有的无用端口

本地连接状态 --属性--tcp/ip协议--高级--选项--tcp/ip筛选 --只允许 tcp端口

开80(网站端口)

开21(ftp端口--可开可不开)

55019(奇迹私服端口)

44405(奇迹私服端口)

以上是针对无路由的使用服务器直接对外的情况,

使用路由的情况见下

映射以下端口就OK了

开80(网站端口)

开21(ftp端口--可开可不开)

55019(奇迹私服端口)

44405(奇迹私服端口)

当然,上面的你也要设一设哦

再来就是asp的安全问题了

请使用fishserver这套工具

就不存在是用asp漏洞改你数据了

这套工具在 梦之奇迹1.05里有

非常方便设置,

方案二

丸子的一些安全建议

我的服务器一直没被黑

不知道是人家没空搭理我还是怎么的

我不推荐防火墙的

应为在负荷量大的时候防火墙很容易失效

系统的补丁是绝对要打得 最好一个星期一次 上中国微软站点 用它的自动更新

有没没用的都打。。。汗~~

sql的补丁我没打过

因为直接对sql进行连接达到黑你的目的可能性太小了

我的sa密码是36位大小写转换带数字的

我想没那么无聊的黑客去搞那么大的硬盘和字典来穷举把

况且我的1433是关闭的

系统的登录口令也一样

使用弱智口令会造成严重的安全隐患

3389端口也要关闭

另外关闭一切ICMP的连接

我的服武器开的端口不是很多

UDP53DNS

UDP8000 UDP4000QQ

80http

*****mu

*****mu

TCP5000 5050UDP5050 花生

可以说这些端口都是安全的 至少我这么认为

然后我的下一条规则就是禁止所有IP通讯和ICMP通讯

我做过测试的 我的是ADSL如果我不开DNS服务器的端口UDP53那么我的服务器都不能上网

这些是很简单的安全策略

用2ks的本地安全策略的IP安全策略就可以达到了

另外说一下冲击波的端口 冲击波病毒是利用了TCP135 TCP4444UDP69

这三个端口对你进行攻击的 关闭了这三个端口基本上冲击波就over了

其实不用刻意去关闭 因为最后一条规则一定要禁止所有IP通讯

至少现在是 当然系统的补丁是要全部打得

更改DS的端口来防止别人用GS连接你的DS

这个似乎是多余的 因为DS的两个端口也是对外屏蔽的

但是我也改了 呵呵

服务器做到以上的安全设置 基本上没什么问题的

其实防黑说容易也容易

我想没有那么多真正意义上的hack来搞你

他们没时间

我看了下大家被黑 基本上都是改人改装备

这些都是网页的漏洞

点明转生的asp这个漏洞很严重

我去过一个网把 整个网巴的人都会利用这个漏洞进行合法的对sql的操作

命令是人家给出来的 只要在转生asp的密码那里输入指令 就可以绕过服务器监测了

这个也是测试成功的

我说的这么明白 下面的我就不说了吧

关闭1433就没可能被远程连接到sql了

那为什么我们的sql数据还是被更改了呢?

网页对sql的指令是合法的 因为在config.aso和conn.asp里面规定了sql的登录账号

上面我说的那个改人办法就是利用了这点

其实防止网页漏洞的办法 也早说过很多次了

大家翻翻以前的贴子把

如果不是9C和真正意义上的hack搞你

上面这些都做到了

你的服务器会比较安全的

以上都是我个人的建议

哎。。1433 3389口令补丁

这些足够安全了

主要就是注意网页的漏洞

如果不信 当你的服武器改人出现的时候

你立刻停止80服务

方案三

[讨论]被黑的朋友，我个人认为的私服比较安全的方案!

其实，看了很多朋友的被黑经历，我有一个最有效的方法，

那就是请大家使用路由器，因为硬件的安全漏洞要比软件小的多，最便宜的路由器也能使

一个顶级黑客耗费1/ 3的脑细胞和N小时的精力。

这是一个简单的道理，一个防黑客软件再强大，但他毕竟是建立在服务器的系统之上的

但路由器和硬件防火墙就不一样，它是独立的，绝大多数的黑客进攻到路由器就无能

为力了(真正能破硬件的，那就是世界级的黑客了，那是少之又少)这也是为什么电信

的防火墙是硬件的道理一样。

有一点大家要注意，用路由器，最好用端口影射，而不要用DMZ，因为DMZ不安全。

还有那个远程仓库编辑器的端口是1433，不开这个端口，所谓的黑客也就没办法了

其实只要你的注册网页没有后台，而你使用路由器，只影射44405，81，21这三个

端口，我想全中国几乎没有人能黑你的私服，还有你的数据库应该每天备份一次

或定时备份，我想即使被黑，也能在15分钟内恢复，就不会出现XX私服被戒灵那种

不够黑客资格的人渣黑了，搞的数据库也没有了。

方案四

1、ASP/SQL语句注入：在多都是利用网页没有对提交的数据进行过滤而直接带入数据库!

防：注入语句大多有如下字符：" , % & = ; >< 来构成SQL语句!

注意：我们要作的是对写入数据库中的每一个字段都要作过滤!是每一个，千万不怕麻烦!提供如下过滤语句!

"****************************************************

if instr(accountname,""")<>0orinstr(accountname,";")<>0orinstr(accountname,"&")<>0orinstr(accountname,">")<>0orinstr(accountname,",")<>0 orinstr(accountname,"=")<>0or instr(accountname,"%")<>0then

response.write ""

response.end

end if

"****************************************************

把accountname改成需要过滤字段就行了!有多个字段就要多少个如上的判断语句!

2、异地表单提交!(某此人用来突破原网页的种种限制)

防：禁止异地表单提交!在你的数据库连接文件(conn.asp)加入如下判断语句!