服务器安全策略SOP

《服务器安全策略SOP》由会员分享，可在线阅读，更多相关《服务器安全策略SOP（17页珍藏版）》请在装配图网上搜索。

1、-效劳器平安策略SOP版本: V1.0 华拓数码科技目 录1安装 Win 200* 平安概览.2 1.1硬盘分区的文件系统选择.2 1.2组件的定制.2 1.3接入网络时间.2 1.4账户平安管理.2 1.5平安审核.2 1.6卸载无用的组件模块.22根本系统设置.3 2.1安装补丁.3 2.2分区容规划.3 2.3协议管理.3 2.4关闭所有以下不需要的效劳.3 2.5删除 OS/2 和 POSI* 子系统.4 2.6和密码策略.4 2.7设置文件和目录权限.4 2.8注册表一些条目的修改.5 2.9启用TCP/IP过滤.5 2.10移动局部重要文件并加访问控制.5 2.11下载Hisecw

2、eb.inf平安模板来配置系统.6 2.12 效劳器上其他工具程序的替代.6 2.13设置陷阱脚本.6 2.14取消局部危险文件扩展名.63 IIS 平安设置.6 3.1关闭并删除默认站点.6 3.2建立自己的站点，与系统不在一个分区.6 3.3删除IIS的局部目录.6 3.4删除不必要的IIS映射和扩展.7 3.5禁用父路径.7 3.6在虚拟目录上设置访问控制权限.7 3.7启用日志记录.8 3.8备份IIS配置.8 3.9修改IIS标志.84 数据及备份管理.94.1备份.94.2设置文件共享权限.94.3防止文件名欺骗.94.4 Access数据库的平安概要.94.5 MSSQL 注入攻

3、击的防.11. z.-5其他辅助平安措施.116简单设置防御小流量DDOS攻击.127日常平安检查.151安装 Win 200* 平安概览1.1硬盘分区的文件系统选择在安装Win 200*时，如条件许可，应至少建立两个逻辑分区，一个用作系统分区，另一个用作应用程序分区。尽量修改我的文档及Outlook E*press等应用程序的默认文件夹位置，使其位置不在系统分区。对提供效劳的机器，可按如下设置分区: 分区1：系统分区，安装系统和重要日志文件。分区2：提供应IIS使用。分区3：提供应FTP使用。分区4：放置其他一些资料文件。以上为例如，可灵活把握1.2组件的定制不要按Win 200*的默认安装

4、组件，根据平安原则最少的效劳+最小的权限=最大的平安，只选择确实需要的效劳安装即可。典型Web效劳器需要的最小组件是：公用文件、Internet 效劳管理器、效劳器。1.3接入网络时间在安装完成Win 200*操作系统时，不要立即把效劳器接入网络，因为这时的效劳器还没有打上各种补丁，存在各种漏洞，非常容易感染病毒和被入侵。补丁的安装应该在所有应用程序安装完之后，因为补丁程序往往要替换或修改*些系统文件，如果先安装补丁再安装应用程序有可能导致补丁不能起到应有的效果。IIS的HotFi*要求每次更改IIS的配置时都需要重新安装。1.4账户平安管理1账户要尽可能少，并且要经常用一些扫描工具检查系统账

5、户、账户权限及密码。删除已经不再使用的账户。2停用Guest账号，并给Guest 加一个复杂的密码。3把系统Administrator账号改名，尽量把它伪装成普通用户，名称不要带有Admin字样。 4不让系统显示上次登录的用户名，具体操作如下： 修改注册表HKLMSoftwareMicrosoft WindowsNT Current VersionWinlogonDont Display Last User Name的键值，把REG_SZ 的键值改成1。1.5平安审核在管理工具远程控制效劳配置连接处，右键点击RPD-TCP连接，选择属性，在其窗口选中权限，点击右下角的高级，选择审核，增加一个e

6、veryone组，审核它的连接、断开、注销和登录的成功和失败。在管理工具日记查看平安日记可看到该审核记录。1.6卸载无用的组件模块将Winntinf 下的sysoc.inf 文件中的所有hide用替换法删除；然后在控制面板的添加删除程序中就可以卸载所有不需要的组件。2根本系统设置2.1安装补丁安装Service Pack 和最新的hotfi*；安装SQL和IIS系列补丁。2.2分区容规划1操作系统、Web主目录、日志分别安装在不同的分区。2关闭任何分区的自动运行特性：可以使用 TweakUI 等工具进展修改。以防万一有人放入Autorun程序实现恶意代码自动加载。2.3协议管理卸载不需要的协议

7、，比方IP*/SP*, NetBIOS；在连接属性对话框的TCP)/IP属性的高级选项卡中，选择WINS，选定禁用TCP/IP上的NETBIOS。2.4关闭所有以下不需要的效劳以下仅供参考，具体还要看效劳器上运行的应用来确定！要特别注意各效劳之间的依赖关系，设置不当可能导致*些功能的异常，甚至效劳器不能工作！建议每次只设置两三个工程，重启测试无误后再设置其他工程！* Alerter (disable) * ClipBook Server (disable)* puter Browser (disable)* DHCP Client (disable)* Directory Replicator

8、 (disable)* FTP publishing service (disable)* License Logging Service (disable)* Messenger (disable)* Netlogon (disable)* Network DDE (disable)* Network DDE DSDM (disable)* Network Monitor (disable)* Plug and Play (disable after all hardware configuration)* Remote Access Server (disable)* Remote Pro

9、cedure Call (RPC) locater (disable)* Schedule (disable)* Server (disable)* Simple Services (disable)* Spooler (disable)* TCP/IP Netbios Helper (disable)*Telephone Service (disable)在必要时制止如下效劳：* SNMP service (optional)* SNMP trap (optional)* UPS (optional设置如下效劳为自动启动：* Eventlog ( required )* NT LM Secu

10、rity Provider (required)* RPC service (required)* (required)* Workstation (leave service on: will be disabled later in the document)* MSDTC (required)* Protected Storage (required)2.5删除 OS/2 和 POSI* 子系统:删除如下目录的任何键：HKEY_LOCAL_MACHINESOFTWARE MicrosoftOS/2 Subsystem for NT删除如下的键：HKEY_LOCAL_MACHINESYST

11、EMCurrentControlSetControlSession ManagerEnvironmentOs2LibPath删除如下的键：HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlSession ManagerSubSystemsOptionalHKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlSession ManagerSubSystemsPosi*HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlSession ManagerSubSystem

12、sOs2删除如下目录：c:winntsystem32os22.6和密码策略1保证制止guest2将administrator改名为比拟难猜的3密码唯一性：记录上次的 6 个密码4 最短密码期限：25 密码最长期限：426 最短密码长度：87 密码复杂化(passfilt.dll)：启用8 用户必须登录方能更改密码：启用9 失败登录锁定的门限：610锁定后重新启用的时间间隔：720分钟11本地平安策略：设置本地平安策略本地策略选项中的RestrictAnonymous匿名连接的额外限制为不容许枚举SAM账号和共享。在平安选项中，不显示上次登录用户名、重命名管理员账号名称*些情况下可能导致个别程序

13、运行异常！；在用户权力指派中，限制更改系统时间、关闭系统的权力仅管理员。2.7设置文件和目录权限将C:winntC:windows, C:winntconfigC:windowsconfig, C:winntsystem32C:windowssystem32, C:winntsystemC:windowssystem等目录的访问权限做限制，限制everyone的写权限，限制users组的读写权限；将各分区的根目录的everyone从权限列表中删除，然后分别添加Administrators、PowerUsers、Users、IUSR_*以不同的权限。不要给Guests任何权限。运行Sfc /en

14、able 启动文件保护机制。2.8注册表一些条目的修改1 去除logon对话框中的shutdown按钮将HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrent VersionWinlogon中ShutdownWithoutLogon REG_SZ 值设为02去除logon信息的cashing功能将HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrent VersionWinlogon中CachedLogonsCount REG_SZ 值设为03隐藏上次登陆的用户名将HKEY_LOCAL_MACHI

15、NESOFTWAREMicrosoftWindows NTCurrent VersionWinlogon中DontDisplayLastUserName REG_SZ 值设为14限制LSA匿名访问将HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlLSA中RestricAnonymous REG_DWORD 值设为15去除所有网络共享将HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesLanManServerParameters中AutoShareServer REG_DWORD 值设为0再创立一个A

16、utoShareWks双字节值，设置为0注意大小写。6制止建立空连接默认情况下，任何用户可通过空连接连上效劳器，枚举账号并猜想密码。可以通过以下两种方法制止建立空连接Local_MachineSystemCurrentControlSetControlLSA-RestrictAnonymous 的值改成17修改终端效劳的默认端口终端效劳的默认端口为3389，可考虑修改为别的端口。修改方法为： 翻开注册表，在HKLMSYSTEMCurrent ControlSetControlTerminal ServerWin Stations处找到类似RDP-TCP的子键，修改PortNumber值。2.9

17、启用TCP/IP过滤只允许TCP端口80和443如果使用SSL以及其他可能要用的端口；不允许UDP端口；只允许IP Protocol 6 (TCP)。2.10移动局部重要文件并加访问控制创立一个只有系统管理员能够访问的目录，将system32目录下的一些重要文件移动到此目录注意同时处理System32Dllcache目录中的同名文件！。但有时会因系统文件保护功能被启用而无法实现顺利删除。变通方法是选中这些文件，然后制止任何人访问。为稳妥起见，应当事先将这些文件存放到其他比拟平安的位置供管理员自己使用。*copy.e*e, wscript.e*e, cscript.e*e, net.e*e, f

18、tp.e*e, telnet.e*e,arp.e*e, edlin.e*e,ping.e*e,route.e*e,at.e*e,finger.e*e,posi*.e*e,rsh.e*e,atsvc.e*e, qbasic.e*e,runonce.e*e,syskey.e*e,cacls.e*e, ipconfig.e*e, rcp.e*e, secfi*up.e*e, nbtstat.e*e, rdisk.e*e, debug.e*e, regedt32.e*e, regedit.e*e, edit., netstat.e*e, tracert.e*e, nslookup.e*e, re*ec

19、.e*e, cmd.e*e2.11下载Hisecweb.inf平安模板来配置系统download.microsoft./downl.US/hisecweb.e*e该模板配置根本的 Windows 2000 系统平安策略。将该模板复制到 %windir%securitytemplates 目录。翻开平安模板工具，查看这些设置。翻开平安配置和分析工具，然后装载该模板。右键单击平安配置和分析工具，然后从上下文菜单中选择立即分析计算机。 等候操作完成。查看结果，如有必要就更新该模板。右键单击平安配置和分析工具，然后从上下文菜单中选择立即配置计算机。2.12效劳器上其他工具程序的替代浏览器建议使用Fir

20、eFo*，以免最新的针对IE的漏洞造成的危害。平时尽量不在效劳器上上网。2.13设置陷阱脚本既要防被人启用Telnet效劳，又要考虑万一被入侵后的对策。除Telnet效劳外，对System32目录下的Telsrv.e*e等文件设置访问权限；关闭相关效劳；然后再编辑System32login d文件，在其中添加脚本，目的是导致对方登录后出现异常，无常连接和工作。脚本的容可以自由发挥，以阻断对方操作为准。2.14取消局部危险文件扩展名如reg VBS VBE JS等。3 IIS平安设置3.1关闭并删除默认站点1默认FTP站点 2默认Web站点3管理Web站点3.2建立自己的站点，与系统不在一个分区

21、如：D:root3建立 E:Logfiles 目录，以后建立站点时的日志文件均位于此目录，确保此目录上的访问控制权限是： Administrators完全控制System完全控制3.3删除IIS的局部目录1IISHelp C:winnthelpiishelp 2IISAdmin C:system32inetsrviisadmin 3MSADC C:Program Filesmon FilesSystemmsadc 4删除 C:inetpub 3.4删除不必要的IIS映射和扩展IIS 被预先配置为支持常用的文件名扩展如 .asp 和 .shtm 文件。IIS接收到这些类型的文件请求时，该调用由D

22、LL 处理。如果您不使用其中的*些扩展或功能，则应删除该映射，步骤如下： 翻开 Internet 效劳管理器： 选择计算机名，点鼠标右键，选择属性：然后选择编辑然后选择主目录，点击配置 选择扩展名 .htw, .htr,.idc,.ida,.idq和，点击删除如果不使用server side include，则删除.shtm .stm 和 .shtml3.5禁用父路径 有可能导致*些使用相对路径的子页面不能翻开父路径选项允许您在对诸如 MapPath 函数调用中使用.。在默认情况下，该选项 处于启用状态，应该禁用它。禁用该选项的步骤如下：右键单击该 Web 站点的根，然后从上下文菜单中选择属性

23、。 单击主目录选项卡。单击配置。单击应用程序选项选项卡。取消选择启用父路径复选框。3.6在虚拟目录上设置访问控制权限主页使用的文件按照文件类型应使用不同的访问控制列表：CGI (.e*e, .dll, d, .pl) Everyone (*) Administrators完全控制System完全控制脚本文件 (.asp) Everyone (*) Administrators完全控制System完全控制include文件 (.inc, .shtm, .shtml) Everyone (*) Administrators完全控制System完全控制静态容 (.t*t, .gif, .jpg, .

24、html) Everyone (R) Administrators完全控制System完全控制在创立Web站点时，没有必要在每个文件上设置访问控制权限，应该为每个文件类型创立一个新目录，然后在每个目录上设置访问控制权限、允许访问控制权限传给各个文件。 例如，目录构造可为以下形式：D:rootmyserverstatic (.html) D:rootmyserverinclude (.inc) D:rootmyserver script (.asp) D:rootmyserver e*ecutable (.dll) D:rootmyserver images (.gif, .jpeg) 3.7启

25、用日志记录1日志的审核配置确定效劳器是否被攻击时，日志记录是极其重要的。应使用 W3C 扩展日志记录格式，步骤如下： 翻开 Internet 效劳管理器： 右键单击站点，然后从上下文菜单中选择属性。单击Web 站点选项卡。 选中启用日志记录复选框。从活动日志格式下拉列表中选择W3C 扩展日志文件格式。单击属性。单击扩展属性选项卡，然后设置以下属性：* 客户 IP 地址 * 用户名* 方法* URI资源* HTTP状态* Win32状态* 用户代理* 效劳器 IP 地址 * 效劳器端口2日志的平安管理启用操作系统组策略中的审核功能，对关键事件进展审核记录；启用IIS、FTP效劳器等效劳本身的日志

26、功能；并对所有日志存放的默认位置进展更改同时作好文件夹权限设置！安装Portreport对所有网络访问操作进展监视可选，可能增大效劳器负荷；安装自动备份工具，定时对上述日志进展异地备份，起码是在其他分区的隐蔽位置进展备份，并对备份目录设置好权限仅管理员可访问。准备一款日志分析工具，以便随时可用。要特别关注任何效劳的重启、访问敏感的扩展存储过程等事件。3.8备份IIS配置可使用IIS的备份功能，将设定好的IIS配置全部备份下来，这样就可以随时恢复。3.9修改IIS标志1使用工具程序修改IIS标志修改IIS标志Banner的方法：下载一个修改IIS Banner显示信息的软件IIS/PWS Ban

27、ner Edit。利用它我们可以很轻松地修改IIS的Banner。但要注意在修改之前我们首先要将IIS停顿最好是在效劳中将World Wide Web Publishing停顿,并要将DLLcache下的文件全部去除。否则你会发现即使修改了一点改变也没有。IIS/PWS Banner Edit其实是个傻瓜级的软件，我们只要直接在New Banner中输入想要的Banner信息，再点击Save to file就修改成功了。用IIS/PWS Banner Edit简单地修改，对菜鸟黑客来说他可能已被假的信息迷惑了，可是对一些高手来说这并没有给他们造成什么麻烦。为此我们必须亲自修改IIS的Banne

28、r信息，这样才能做到万无一失。高版本Windows的文件路径为 C:WINDOWSsystem32inetsrvw3svc.dll,可以直接用Ultraedit翻开W3SVC.DLL，然后以Server：为关键字查找。利用编辑器将原来的容替换成我们想要的信息，比方改成Apache的显示信息，这样入侵者就无法判断我们的主机类型，也就无从选择溢出工具了。2修改IIS的默认出错提示信息等。4数据及备份管理4.1备份1要经常把重要数据备份到专用的备份效劳器，备份完毕后，可将备份效劳器与网络隔离。 可采用自动的备份工具进展，要求支持FTP方式备份。2使用系统的备份功能对安装好的系统进展阶段性备份。3使用

29、WinRescue等工具对注册表进展阶段性备份。4使用Ghost对全面配置完毕的系统分区进展映像备份，并存放到隐藏的分区中。4.2设置文件共享权限1限制共享权限设置共享文件时，要注意把共享文件的权限从everyone组改成授权用户，包括打印共享。2关闭默认共享Win 200*安装好以后，系统会创立一些隐藏的共享，在cmd下可用net share命令查看它们。要制止这些共享。操作方法是：翻开管理工具计算机管理共享文件夹共享，在相应的共享文件夹上按右键，点停顿共享即可。不当过机器重新启动后，这些共享又会重新开启。 4.3防止文件名欺骗设置以下选项可防止文件名欺骗，如防止以.t*t或.e*e为后缀的

30、恶意文件被显示为.t*t文件，从而使人大意翻开该文件: 双击我的电脑工具文件夹选项查看，选择显示所有文件和文件夹属性设置，去掉隐藏文件类型扩展名属性设置。4.4 Access数据库的平安概要1新生成的数据库在保证干净的前提下，主动在尾部合并一行ASP代码，容一般可以为重定向，以免费别人通过论坛发帖等方式嵌入有害代码后被得到执行；2对MDB文件创立一个无效的映射，以便在IE中下载时出错；3修改出错页面，建议将出错页面设计为正常被曝库后的容，但给一个数据库的虚假地址最好存在相应的虚假数据库文件，比方一个改名后的病毒等；4在防火墙中对MDB类型的扩展名进展过滤；5删除或禁用的后台数据库备份功能，而用

31、本地安装的专门自动备份程序进展自动增量备份。6ASP 通用防止注入的程序：功能简单说明：1.自动获取页面所有参数，无需手工定义参数名。2.提供三种错误处理方式供选择。(1).提示信息。(2).转向页面。(3).提示信息,再转向页面。3.自定义转向页面。使用方法很简单，只需要在ASP页面头部插入代码包含 Fy_Sql*.Asp 就可以了简单实用%Dim Fy_Url,Fy_a,Fy_*,Fy_Cs(),Fy_Cl,Fy_Ts,Fy_Z*-定义部份 头-Fy_Cl = 1 处理方式：1=提示信息,2=转向页面,3=先提示再转向Fy_Z* = Error.Asp 出错时转向的页面On Error R

32、esume Ne*tFy_Url=Request.ServerVariables(QUERY_STRING)Fy_a=split(Fy_Url,&)redim Fy_Cs(ubound(Fy_a)On Error Resume Ne*tfor Fy_*=0 to ubound(Fy_a)Fy_Cs(Fy_*) = left(Fy_a(Fy_*),instr(Fy_a(Fy_*),=)-1)Ne*tFor Fy_*=0 to ubound(Fy_Cs)If Fy_Cs(Fy_*) ThenIf Instr(LCase(Request(Fy_Cs(Fy_*),)0 or Instr(LCase(R

33、equest(Fy_Cs(Fy_*),and)0 or Instr(LCase(Request(Fy_Cs(Fy_*),select)0 or Instr(LCase(Request(Fy_Cs(Fy_*),update)0 or Instr(LCase(Request(Fy_Cs(Fy_*),chr)0 or Instr(LCase(Request(Fy_Cs(Fy_*),delete%20from)0 or Instr(LCase(Request(Fy_Cs(Fy_*),;)0 or Instr(LCase(Request(Fy_Cs(Fy_*),insert)0 or Instr(LCa

34、se(Request(Fy_Cs(Fy_*),mid)0 Or Instr(LCase(Request(Fy_Cs(Fy_*),master.)0 ThenSelect Case Fy_ClCase 1Response.Write alert( 出现错误！参数 &Fy_Cs(Fy_*)& 的值中包含非法字符串！nn 请不要在参数中出现：;,and,select,update,insert,delete,chr 等非法字符！);window.close();Case 2Response.Write location.href=&Fy_Z*&Case 3Response.Write alert(

35、出现错误！参数 &Fy_Cs(Fy_*)&的值中包含非法字符串！nn 请不要在参数中出现：;,and,select,update,insert,delete,chr 等非法字符！);location.href=&Fy_Z*&;End SelectResponse.EndEnd IfEnd IfNe*t%4.5 MSSQL 注入攻击的防攻击者可调用SQL里的Master里的扩展存储过程中的*p_cmdshell来执行系统指令。1删除扩展存储过程在控制面板计算机管理Microsoft SQL ServerLocal数据库master扩展存储过程*p_cmdshell，右击然后删除！也可以使用命令删

36、除：sp_drope*tendedproc *p_cmdshell接着在系统分区搜索并删除或改名、移除 *plog70.dll 文件防止恶意者恢复上述配置。2删除注册表操作功能删除上述位置下的：*p_regaddmultistring向注册表添加工程*p_regdeletekey向注册表删除一个项*p_regdeletevalue向注册表删除一个键值*p_regnumvalues列举主键下的键值*p_regread读取一主键下的键值*p_regremovemultistring从注册表中删除工程*p_regwrite向注册表中数据3防跨库查询每个数据库分别设置一个数据库用户，该用户只能对其拥有

37、的数据库进展查询，制止其他数据库包括4个系统数据库Master Model Tempdb Msdb和两个用户数据库 Pubs t Northwind。5其他辅助平安措施5.1安装可靠的杀毒软件并立即升级；5.2安装一款可能强大且配置灵活的网络防火墙，并认真做好规则设置；防火墙的选择、安装和配置概览：选择：1一定要有出站审核功能的防火墙，防止反向连接的木马后门；2设置适当的平安级别，安装初期可采用学习模式并小心配置，随后入为最高平安级别；3配置好防火墙规则。建议默认为无匹配规则则拒绝，然后一一添加必须的规则；4防火墙规则要经常备份和检查，发现可疑规则要高度警觉，或者不保存恢复备份规则。5选择建议

38、：天网；Look n Stop、ZoneAlarm；效劳器建议Deer Field。6常用端口：FTP:21 WEB:80 SMTP:25 POP3:110 终端效劳：3389不建议使用；建议修改 MYSQL:3306 可在数据库的配置文件中将端口改一下，比方3389，其他如远程管理工具的端口也不建议使用默认端口。7效劳器建议使用DeerField对各种注入等手段通过URL提交的命令的关键字以及敏感文件的扩展名进展过滤，如.MDB、-、NULL、select、%5c、c:、cmd、system32、*p_ cmdshell、e*ec、a、dir、alert()、or=、WHERE、count(

39、*)、between、and、inetpub、root、nchar、，%2B、%25等。对于提交有上述字串请示的IP，一般都是人为有意进展，因此可令防火墙对这类访问的IP进展较长时间的屏蔽。其他平安工具安装平安工具：如Urls、IISLock等。5.3修改系统目录和程序目录中所有文件的日期、时间为一个特定的值，以便日后查找可疑程序时筛选方便；全部配置完毕，对系统目录和程序目录分别制作文件列表，将列表保存到隐藏分区中。5.4在网络的另一台计算机上，使用多种流行的扫描工具对效劳器进展扫描，检测是否仍然有未处理好的漏洞。5.5针对现有免费代码的利用平安问题免费程序不要真的就免费用，既然你可以共享原码

40、，则攻击者一样可以分析代码。如果有能力的站长最好还是更改一下数据库表名，字段名，只修改关键的admin, username, password就可以了，比方forum_upasswd 这样的字段名谁能猜到？如果你猜到了，最好赶快去买彩票吧，特等奖不是你还会有谁呢？另外，一般站点的关键就在于管理员的密码，很好的保护好你的管理员密码那是至关重要的，至少10位的数字字母组合。另外加上现在大多数站点程序都会使用MD5来加密用户密码，加上你密码的强壮性，那样你站点的平安性就大大的提高了。即使出现了SQL Injection漏洞，攻击者也不可能马上拿下你的站点。5.6文件列表、任务列表和效劳列表的生成和利

41、用生成各种目录列表备份对于日后查找可疑文件是非常重要的，一般在效劳器部署完毕后必须立即进展！1文件列表全部配置完毕，制作系统目录和程序目录等位置的文件列表备份，并保存为文件。建议分别进展完整列表、DLL文件列表和E*E文件列表、TMP文件列表、文件列表、CMD文件列表、SCR文件列表的制作。2任务管理器任务列表可以采用抓图的方法保存任务管理器的任务列表；建议采用专门的进程查看工具导出详细的进程及模块列表备查！3系统效劳列表可对已启动和自动的效劳类型进展排序，然后抓图保存。6简单设置防御小流量DDOS攻击防DDOS攻击并不一定非要用防火墙。一部份DDOS我们可以通过DOS命令netstat -a

42、n|more或者网络综合分析软件：sniff等查到相关攻击手法、如攻击*个主要端口、或者对方主要来自哪个端口、对方IP等。这样我们可以利用w2k自带的远程访问与路由或者IP策略等本身自带的工具解决掉这些攻击。做为无法利用这些查到相关数据的我们也可以尝试一下通过对效劳器进展平安设置来防DDOS攻击。如果通过对效劳器设置不能有效解决，则就可以考虑购置抗DDOS防火墙了。 其实从操作系统角度来说，本身就藏有很多的功能，只是很多是需要我们慢慢的去挖掘的。这里我给大家简单介绍一下如何在Win2000环境下通过修改注册表，增强系统的抗DoS能力。 请注意，以下的平安设置均通过注册表进展修改，该设置的性能取

43、决于效劳器的配置，尤其是CPU的处理能力。如按照如下进展平安设置，采用双路至强2.4G的效劳器配置，经过测试，可承受大约1万个包的攻击量。关闭无效网关的检查。HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesTcpipParameters当效劳器设置了多个网关，这样在网络不通畅的时候系统会尝试连接第二个网关，通过关闭它可以优化网络。EnableDeadGWDetect=dword:00000000制止响应ICMP重定向报文。此类报文有可能用以攻击，所以系统应该拒绝承受ICMP重定向报文。EnableICMPRedirects=dword:0000

44、0000不允许释放NETBIOS名。当攻击者发出查询效劳器NETBIOS名的请求时，可以使效劳器制止响应。注意系统必须安装SP2以上NonameReleaseOnDemand=dword:00000001发送验证保持活动数据包。该选项决定TCP间隔多少时间来确定当前连接还处于连接状态，不设该值，则系统每隔2小时对TCP是否有闲置连接进展检查，这里设置时间为5分钟。KeepAliveTime=dword:000493e0制止进展最大包长度路径检测。该项值为1时，将自动检测出可以传输的数据包的大小，可以用来提高传输效率，如出现故障或平安起见，设项值为0，表示使用固定MTU值576bytes。Ena

45、blePMTUDiscovery=dword:00000000启动syn攻击保护。缺省项值为0，表示不开启攻击保护，项值为1和2表示启动syn攻击保护，设成2之后平安级别更高，对何种状况下认为是攻击，则需要根据下面的TcpMa*HalfOpen和TcpMa*HalfOpenRetried值设定的条件来触发启动了。这里需要注意的是，NT4.0必须设为1，设为2后在*种特殊数据包下会导致系统重启。SynAttackProtect=dword:00000002同时允许翻开的半连接数量。所谓半连接，表示未完整建立的TCP会话，用netstat命令可以看到呈SYN_RCVD状态的就是。这里使用微软建议值

46、，效劳器设为100，高级效劳器设为500。建议可以设稍微小一点。TcpMa*HalfOpen=dword:00000064判断是否存在攻击的触发点。这里使用微软建议值，效劳器为80，高级效劳器为400。TcpMa*HalfOpenRetried=dword:00000050设置等待SYN-ACK时间。缺省项值为3，缺省这一过程消耗时间45秒。项值为2，消耗时间为21秒。项值为1，消耗时间为9秒。最低可以设为0，表示不等待，消耗时间为3秒。这个值可以根据遭受攻击规模修改。微软站点平安推荐为2。TcpMa*ConnectResponseRetransmissions=dword:00000001设置TCP重传单个数据段的次数。缺省项值为5，缺省这