查看: 9211|回复: 0

win2003快速服务器安全

[复制链接]
  • TA的每日心情
    开心
    2015-9-8 13:06
  • 签到天数: 1 天

    [LV.1]初来乍到

    发表于 2012-6-2 14:01:31 | 显示全部楼层 |阅读模式
                

                                                
    以下保存为bat文件,运行时还需xcacls.vbs这个东东,可以到网上下载。
    :: 禁用WS命令行组件
    regsvr32 /s wshom.ocx

    :: 防止WINDOWS漏洞[粘滞键]的”变态入侵之有史以来最酷的Windows后门sethc.exe”

    cscript.exe xcacls.vbs “%SystemRoot%/system32/sethc.exe” /D Everyone:M /E
    cscript.exe xcacls.vbs “%SystemRoot%/ServicePackFiles/i386/sethc.exe” /D Everyone:M /E


    :: 删除system32\npptools.dll,新建npptools.dll设为只读,权限上限制 可防止所有arp病毒

    del %SystemRoot%\system32\npptools.dll /A/F/Q
    dir %SystemRoot%\system32\com > %SystemRoot%\system32\npptools.dll
    attrib +R +S +H %SystemRoot%\system32\npptools.dll
    cscript.exe xcacls.vbs “%SystemRoot%/system32/npptools.dll” /D Everyone:M /E

    :: 删除system32\packet.dll,新建packet.dll设为只读,权限上限制 可防止所有arp病毒

    del %SystemRoot%\system32\packet.dll /A/F/Q
    dir %SystemRoot%\system32\com > %SystemRoot%\system32\packet.dll
    attrib +R +S +H %SystemRoot%\system32\packet.dll
    cscript.exe xcacls.vbs “%SystemRoot%/system32/packet.dll” /D Everyone:M /E

    :: 删除system32\pthreadVC.dll,新建pthreadVC.dll设为只读,权限上限制 可防止所有arp病毒

    del %SystemRoot%\system32\pthreadVC.dll /A/F/Q
    dir %SystemRoot%\system32\com > %SystemRoot%\system32\pthreadVC.dll
    attrib +R +S +H %SystemRoot%\system32\pthreadVC.dll
    cscript.exe xcacls.vbs “%SystemRoot%/system32/pthreadVC.dll” /D Everyone:M /E

    :: 删除system32\wpcap.dll,新建wpcap.dll设为只读,权限上限制 可防止所有arp病毒

    del %SystemRoot%\system32\wpcap.dll /A/F/Q
    dir %SystemRoot%\system32\com > %SystemRoot%\system32\wpcap.dll
    attrib +R +S +H %SystemRoot%\system32\wpcap.dll
    cscript.exe xcacls.vbs “%SystemRoot%/system32/wpcap.dll” /D Everyone:M /E

    :: 删除system32\npf.sys,新建npf.sys设为只读,权限上限制 可防止所有arp病毒

    del %SystemRoot%\system32\drivers\npf.sys /A/F/Q
    dir %SystemRoot%\system32\com > %SystemRoot%\system32\drivers\npf.sys
    attrib +R +S +H %SystemRoot%\system32\npf.sys
    cscript.exe xcacls.vbs “%SystemRoot%/system32/drivers/npf.sys” /D Everyone:M /E

    Echo 禁用通过重启重命名方式加载启动项

    :: 重启重命名的执行优先级比传统的自启动(一般指HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\ CurrentVersion\Run)要高, 启

    动完成后又将自己删除或改名回去. 这种方式自启动极为隐蔽,现有的安全工具都无法检测的出来.
    :: 病毒通过重启重命名方式加载,位于注册表HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\ BackupRestore\KeysNotToRestore下

    的Pending Rename Operations字串。

    reg delete “HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager” /v PendingFileRenameOperations /f

    :: 关闭事件跟踪程序
    REG ADD “HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\Reliability” /v ShutdownReasonOn /t REG_DWORD /d

    “00000000″ /f

    :: 防止 Windows 运行您在这个设置中指定的程序。
    :: 如果启用这个设置,用户则无法运行添加到不允许的应用程序列表的程序。

    REG ADD “HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer” /v DisallowRun /t REG_DWORD /d

    “00000001″ /f
    REG ADD “HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\DisallowRun” /v login.scr /t REG_SZ

    /d login.scr /f
    REG ADD “HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\DisallowRun” /v xsiff.exe /t REG_SZ

    /d xsiff.exe /f
    REG ADD “HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\DisallowRun” /v xsniff.exe /t

    REG_SZ /d xsniff.exe /f
    REG ADD “HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\DisallowRun” /v sethc.exe /t REG_SZ

    /d sethc.exe /f
    REG ADD “HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\DisallowRun” /v WinPcap.exe /t

    REG_SZ /d WinPcap.exe /f
    REG ADD “HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\DisallowRun” /v nc.exe /t REG_SZ /d
    nc.exe /f
    REG ADD “HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\DisallowRun” /v sql.exe /t REG_SZ
    /d sql.exe /f
    REG ADD “HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\DisallowRun” /v su.exe /t REG_SZ /d

    su.exe /f

    regsvr32 /s /u wshom.ocx

    Echo 应用软件限制组策略,进一步加强服务器安全性能!
    c:
    cd\
    cd “%SystemRoot%/system32/GroupPolicy/Machine”
    copy Registry.pol Registry.old /y
    copy Registry.pol “%SystemRoot%/system32/GroupPolicy/Machine” /y
    gpupdate /force
    Echo 应用软件限制组策略设置完毕,现在请按任意键返回并选其他操作继续…
    PAUSE >nul
    exit



    回复

    使用道具 举报

    您需要登录后才可以回帖 登录 | 注册

    本版积分规则

    指导单位

    江苏省公安厅

    江苏省通信管理局

    浙江省台州刑侦支队

    DEFCON GROUP 86025

    旗下站点

    邮箱系统

    应急响应中心

    红盟安全

    联系我们

    官方QQ群:112851260

    官方邮箱:security#ihonker.org(#改成@)

    官方核心成员

    Archiver|手机版|小黑屋| ( 苏ICP备2021031567号 )

    GMT+8, 2024-12-26 23:32 , Processed in 0.020742 second(s), 12 queries , Gzip On, MemCache On.

    Powered by ihonker.com

    Copyright © 2015-现在.

  • 返回顶部