批处理之家 - Powered by Discuz! Board

标题: 200元有偿求助批处理服务器系统安全加固 [打印本页]

作者: 小阳 时间: 2017-9-13 05:33 标题: 200元有偿求助批处理服务器系统安全加固

本帖最后由小阳于 2018-1-16 17:48 编辑

具体报酬：200元人民币。不满意可以议价
支付方式：支付宝
联系方式：站内私信联系。
有效期限：2018年12月31日之前。
需求描述：
（1）系统环境（Win2003/Win2008/Win2012）
Win2008/Win2012要求如下
1、禁用不需要的服务
以下服务必须禁用：Server、Workstation、Print Spooler、Remote Registry、Routing and Remote Access、TCP/IP NetBIOS Helper、Computer Browser

2、系统权限设置
由于系统权限设置的地方非常多，我们只能公布常用的部分。
部分文件被系统隐藏了，不便于设置，因此我们先将所有文件显示出来。

·更改系统盘所有者为Administrators
·所有盘根目录只保留Administrators和SYSTEM权限。
·系统盘加上Users“读取权限”，仅当前目录
·C:\WINDOWS、C:\WINDOWS\system32、C:\Windows\SysWOW64 只保留Administrators和SYSTEM，以及User读和执行
·C:\Program Files 、C:\Program Files (x86) 只保留Administrators和SYSTEM
·C:\Program Files\Common Files 、C:\Program Files (x86)\Common Files 只保留Administrators和SYSTEM，以及User读和执行
·C:\ProgramData 只保留Administrators和SYSTEM，以及User读和执行
·C:\Users 只保留Administrators和SYSTEM
·C:\inetpub 只保留Administrators和SYSTEM
·C:\inetpub\custerr 只保留Administrators和SYSTEM，以及User读
·C:\inetpub\temp 只保留Administrators和SYSTEM，以及User读写删除和IIS_IUSRS读写删除
·C:\Windows\Temp 只保留Administrators和SYSTEM，以及User读写删除和IIS_IUSRS读写删除
·C:\Windows\tracing 只保留Administrators和SYSTEM，以及User读和network service读
·C:\Windows\Vss 只保留Administrators和SYSTEM，以及User读和network service读写删除
·C:\ProgramData\Microsoft\DeviceSync 只保留Administrators和SYSTEM，以及User读
·C:\WINDOWS\下的部分exe软件只保留Administrators和SYSTEM，如regedit.exe、regedt32.exe、cmd.exe、net.exe、net1.exe、netstat.exe、at.exe、attrib.exe、cacls.exe、format.com、activeds.tlb、shell32.dll、wshom.ocx
3、卸载危险组件
regsvr32 /u %SystemRoot%\system32\shell32.dll
regsvr32 /u %SystemRoot%\system32\wshom.ocx
Win2003要求如下
1、禁用不需要的服务
以下服务必须禁用：Server、Workstation、Telnet、Print Spooler、Remote Registry、Routing and Remote Access、TCP/IP NetBIOS Helper、Computer Browser

2、删除多余的权限
由于系统权限设置的地方非常多，我们只能公布常用的部分。
·所有盘根目录只保留Administrators和SYSTEM权限。
·C:\Documents and Settings 只保留Administrators和SYSTEM权限
·C:\WINDOWS、C:\WINDOWS\system32 只保留Administrators和SYSTEM，以及User读和执行
·C:\WINDOWS\Temp 只保留Administrators和SYSTEM，以及USERS和NETWORK SERVICE的读写删除
·C:\WINDOWS\IIS Temporary Compressed Files 只保留Administrators和SYSTEM，以及USERS和NETWORK SERVICE的读写删除
·C:\WINDOWS\system32\MsDtc 只保留Administrators和SYSTEM，以及USERS和NETWORK SERVICE的读写删除
·C:\WINDOWS\下的部分exe软件只保留Administrators和SYSTEM，如regedit.exe、cmd.exe、net.exe、ne1.exe、netstat.exe、at.exe、attrib.exe、cacls.exe、format.com

3、卸载危险组件
regsvr32 /u %SystemRoot%\system32\shell32.dll
regsvr32 /u %SystemRoot%\system32\wshom.ocx
其它补充信息
因小弟技术有限自己瞎抄袭了网上的禁用不需要的服务
@echo.服务停止禁用中.....
@echo off
net stop LanmanServer
sc config LanmanServer start= disabled
net stop TlntSvr
sc config TlntSvr start= disabled
net stop LanmanWorkstation
sc config LanmanWorkstation start= disabled
net stop Spooler
sc config Spooler start= disabled
net stop RemoteRegistry
sc config RemoteRegistry start= disabled
net stop RemoteAccess
sc config RemoteAccess start= disabled
net stop lmhosts
sc config lmhosts start= disabled
net stop Browser
sc config Browser start= disabled
@echo.服务已停止禁止！
@pause
小弟提供相关文章和视频给大牛方便实现。主要服务器多。而且不能用GHO。一个一个手动设置浪费时间效率低希望大牛帮忙实现
http://v.huweishen.com/video/23.html
http://v.huweishen.com/video/24.html
http://v.huweishen.com/video/25.html
http://file.v.huweishen.com/2003/ServerSafe_pweccn28cnsiere.swf
http://file.v.huweishen.com/2008/secrity_gmmso2e9xs2.flv
http://file.v.huweishen.com/2012/secrity_ghjmk30djd.flv
建议视频出来下载看

作者: 窄口牛 时间: 2017-9-13 07:04

本帖最后由窄口牛于 2017-9-13 07:09 编辑

有些貌似不可取？可以做到这些，但是系统还能不能正常使用，就不保证了。

作者: 小阳 时间: 2017-9-13 10:22

回复 2# 窄口牛

有些貌似不可取？不懂你说的意思

作者: 窄口牛 时间: 2017-9-13 13:35

你发的看不到。这种只能看到一楼和我自己发的。

作者: 小阳 时间: 2017-9-13 21:10

回复 4# 窄口牛

现在应该可以看见了吧

作者: 窄口牛 时间: 2017-9-13 21:46

意思这么优化，系统还能正常工作吗？

作者: 小阳 时间: 2017-9-13 22:44

回复 6# 窄口牛

肯定可以。你看看视频

作者: 窄口牛 时间: 2017-9-14 10:14

建议这么处理了，然后封装，安装后看看啥需要二次处理，再用批处理来搞。

作者: 小阳 时间: 2017-9-14 11:17

回复 8# 窄口牛

不需要封装。我就是需要原本系统安装好后对系统加固，其实就是权限设置。一台机器好说手动。机器多就得靠BAT乐不然得设置死人

作者: 窄口牛 时间: 2017-9-16 07:29

嗯，经过几天鼓捣，弄出来了，系统也能基本正常工作。

作者: 小阳 时间: 2017-9-16 23:12

回复 10# 窄口牛

牛。最好你本地自己电脑别设置。你虚拟机捣鼓可以。是bat后缀吗？有其它联系方式吗？

欢迎光临批处理之家 (http://www.bathome.net/)