win2003快速服务器安全

小明_

            

                                            
以下保存为bat文件，运行时还需xcacls.vbs这个东东，可以到网上下载。
:: 禁用WS命令行组件
regsvr32 /s wshom.ocx

:: 防止WINDOWS漏洞[粘滞键]的”变态入侵之有史以来最酷的Windows后门sethc.exe”

cscript.exe xcacls.vbs “%SystemRoot%/system32/sethc.exe” /D Everyone:M /E
cscript.exe xcacls.vbs “%SystemRoot%/ServicePackFiles/i386/sethc.exe” /D Everyone:M /E


:: 删除system32\npptools.dll，新建npptools.dll设为只读,权限上限制 可防止所有arp病毒

del %SystemRoot%\system32\npptools.dll /A/F/Q
dir %SystemRoot%\system32\com > %SystemRoot%\system32\npptools.dll
attrib +R +S +H %SystemRoot%\system32\npptools.dll
cscript.exe xcacls.vbs “%SystemRoot%/system32/npptools.dll” /D Everyone:M /E

:: 删除system32\packet.dll，新建packet.dll设为只读,权限上限制 可防止所有arp病毒

del %SystemRoot%\system32\packet.dll /A/F/Q
dir %SystemRoot%\system32\com > %SystemRoot%\system32\packet.dll
attrib +R +S +H %SystemRoot%\system32\packet.dll
cscript.exe xcacls.vbs “%SystemRoot%/system32/packet.dll” /D Everyone:M /E

:: 删除system32\pthreadVC.dll，新建pthreadVC.dll设为只读,权限上限制 可防止所有arp病毒

del %SystemRoot%\system32\pthreadVC.dll /A/F/Q
dir %SystemRoot%\system32\com > %SystemRoot%\system32\pthreadVC.dll
attrib +R +S +H %SystemRoot%\system32\pthreadVC.dll
cscript.exe xcacls.vbs “%SystemRoot%/system32/pthreadVC.dll” /D Everyone:M /E

:: 删除system32\wpcap.dll，新建wpcap.dll设为只读,权限上限制 可防止所有arp病毒

del %SystemRoot%\system32\wpcap.dll /A/F/Q
dir %SystemRoot%\system32\com > %SystemRoot%\system32\wpcap.dll
attrib +R +S +H %SystemRoot%\system32\wpcap.dll
cscript.exe xcacls.vbs “%SystemRoot%/system32/wpcap.dll” /D Everyone:M /E

:: 删除system32\npf.sys，新建npf.sys设为只读,权限上限制 可防止所有arp病毒

del %SystemRoot%\system32\drivers\npf.sys /A/F/Q
dir %SystemRoot%\system32\com > %SystemRoot%\system32\drivers\npf.sys
attrib +R +S +H %SystemRoot%\system32\npf.sys
cscript.exe xcacls.vbs “%SystemRoot%/system32/drivers/npf.sys” /D Everyone:M /E

Echo 禁用通过重启重命名方式加载启动项

:: 重启重命名的执行优先级比传统的自启动（一般指HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\ CurrentVersion\Run）要高, 启

动完成后又将自己删除或改名回去. 这种方式自启动极为隐蔽,现有的安全工具都无法检测的出来.
:: 病毒通过重启重命名方式加载，位于注册表HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\ BackupRestore\KeysNotToRestore下

的Pending Rename Operations字串。

reg delete “HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager” /v PendingFileRenameOperations /f

:: 关闭事件跟踪程序
REG ADD “HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\Reliability” /v ShutdownReasonOn /t REG_DWORD /d

“00000000″ /f

:: 防止 Windows 运行您在这个设置中指定的程序。
:: 如果启用这个设置，用户则无法运行添加到不允许的应用程序列表的程序。

REG ADD “HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer” /v DisallowRun /t REG_DWORD /d

“00000001″ /f
REG ADD “HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\DisallowRun” /v login.scr /t REG_SZ

/d login.scr /f
REG ADD “HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\DisallowRun” /v xsiff.exe /t REG_SZ

/d xsiff.exe /f
REG ADD “HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\DisallowRun” /v xsniff.exe /t

REG_SZ /d xsniff.exe /f
REG ADD “HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\DisallowRun” /v sethc.exe /t REG_SZ

/d sethc.exe /f
REG ADD “HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\DisallowRun” /v WinPcap.exe /t

REG_SZ /d WinPcap.exe /f
REG ADD “HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\DisallowRun” /v nc.exe /t REG_SZ /d
nc.exe /f
REG ADD “HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\DisallowRun” /v sql.exe /t REG_SZ
/d sql.exe /f
REG ADD “HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\DisallowRun” /v su.exe /t REG_SZ /d

su.exe /f

regsvr32 /s /u wshom.ocx

Echo 应用软件限制组策略，进一步加强服务器安全性能!
c:
cd\
cd “%SystemRoot%/system32/GroupPolicy/Machine”
copy Registry.pol Registry.old /y
copy Registry.pol “%SystemRoot%/system32/GroupPolicy/Machine” /y
gpupdate /force
Echo 应用软件限制组策略设置完毕，现在请按任意键返回并选其他操作继续…
PAUSE >nul
exit

热心网友4

感谢分享，这个脚本确实覆盖了Win2003常见的几个安全薄弱点，尤其是对粘滞键后门和ARP病毒相关dll的处理很实用。不过有几个地方想提醒一下： - 删除并替换`npptools.dll`、`packet.dll`等文件后，如果服务器安装了需要WinPcap或网络抓包功能的软件（比如某些监控工具），可能会失效，建议先确认环境。 - 用`dir > 文件`生成的新文件内容其实是目录列表，大小会随情况变化，权限设为只读并拒绝Everyone修改后，病毒确实无法写入，但系统更新或软件安装时可能需要这些文件的实际功能，最好提前备份原文件。 - `ServicePackFiles`目录下的是备份文件，如果系统打过SP补丁且路径存在，这样操作是有效的，但没打补丁的机器上不存在该文件夹，脚本直接执行可能会报错，可以加个存在判断。 整体思路不错，安全性提升很明显，适合纯Web或者数据库服务器使用。建议运行前先在测试环境验证一下。