做网站说什么5.0啥意思有经验的番禺网站建设

做网站说什么5.0啥意思,有经验的番禺网站建设,家乡网页设计模板,郑州那个公司做网站好本清单覆盖 Windows#xff08;含域环境#xff09;、Linux 两大系统#xff0c;包含权限加固、日志监控、服务防护等核心防御操作#xff0c;可直接在靶机或生产环境执行#xff08;生产环境建议先测试#xff09;。一、 Windows 系统防御配置1. 账户与权限加固禁用默认…本清单覆盖Windows含域环境、Linux两大系统包含权限加固、日志监控、服务防护等核心防御操作可直接在靶机或生产环境执行生产环境建议先测试。一、 Windows 系统防御配置1. 账户与权限加固禁用默认管理员账户cmdnet user administrator /active:no创建强密码策略域环境需在 DC 执行cmd# 设置密码长度最小8位、包含数字字母特殊字符、90天过期 net accounts /minpwlen:8 /maxpwage:90 /minpwage:1 /uniquepw:5禁止普通用户修改服务配置cmd# 以WinRM服务为例限制仅管理员可修改 sc sdset WinRM D:(A;;CCLCSWRPWPDTLOCRRC;;;SY)(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCLCSWLOCRRC;;;AU)(A;;CCLCSWRPWPDTLOCRRC;;;PU)排查隐藏账户cmd# 列出所有账户含带$的隐藏账户 net user # 查看域内隐藏账户 net user /domain | findstr $2. 服务与端口防护禁用不必要的高危服务cmd# 禁用SMBv1防范永恒之蓝等漏洞 sc config lanmanworkstation depend bowser/mrxsmb20/nsi sc config mrxsmb10 start disabled # 禁用不必要的远程服务如WMI、Telnet sc config winmgmt start demand # 设为手动启动 sc config tlntsvr start disabled防火墙限制端口访问cmd# 禁止外部访问445SMB、135RPC端口 netsh advfirewall set allprofiles state on netsh advfirewall firewall add rule nameBlock SMB dirin actionblock protocolTCP localport445 netsh advfirewall firewall add rule nameBlock RPC dirin actionblock protocolTCP localport135 # 仅允许管理网段访问3389RDP netsh advfirewall firewall add rule nameAllow RDP dirin actionallow protocolTCP localport3389 remoteip192.168.56.0/243. 日志监控与备份开启日志审计策略cmd# 启用账户登录、账户管理、系统事件审计 auditpol /set /category:账户登录事件 /success:enable /failure:enable auditpol /set /category:账户管理 /success:enable /failure:enable auditpol /set /category:系统事件 /success:enable /failure:enable将日志同步到远程服务器防止本地删除cmd# 1. 配置远程日志服务器需开启事件日志收集服务 # 2. 本地服务器推送日志 wevtutil sl Security /e:true /rt:true /r:192.168.56.200 /u:admin /p:Pssw0rd查看日志是否被篡改cmd# 检查安全日志大小和记录数 wevtutil gl Security4. 域环境专项防御禁用 NTLM 认证强制 Kerberoscmd# 在域控制器执行修改组策略 reg add HKLM\SYSTEM\CurrentControlSet\Control\Lsa /v LmCompatibilityLevel /t REG_DWORD /d 5 /f定期轮换 KRBTGT 账户密码防范黄金票据cmd# 需执行两次间隔至少24小时 ntdsutil set dsrm password reset krbtgt password quit quit监控域管理员登录行为cmd# 查询域管理员最近登录记录 net user administrator /domain | findstr 登录二、 Linux 系统防御配置1. 账户与权限加固禁用 root SSH 登录bash运行# 编辑SSH配置文件 sed -i s/#PermitRootLogin yes/PermitRootLogin no/g /etc/ssh/sshd_config systemctl restart sshd限制 sudo 权限仅授权必要用户bash运行# 编辑sudoers文件必须用visudo避免语法错误 visudo # 添加规则仅允许user1执行指定命令 user1 ALL(ALL) /usr/bin/ls, /usr/bin/cat清理不必要的 SUID/SGID 文件bash运行# 查找所有SUID文件 find / -perm -us -type f 2/dev/null # 移除不必要的SUID权限如find命令 chmod u-s /usr/bin/find2. 服务与端口防护禁用不必要的服务bash运行# 查看开机自启服务 systemctl list-unit-files --typeservice --stateenabled # 禁用无用服务如rsync、telnet systemctl disable rsyncd systemctl stop rsyncd使用 iptables 限制端口访问bash运行# 清空现有规则 iptables -F # 允许回环接口 iptables -A INPUT -i lo -j ACCEPT # 仅允许管理网段访问SSH22端口 iptables -A INPUT -p tcp --dport 22 -s 192.168.56.0/24 -j ACCEPT # 拒绝所有其他入站流量 iptables -P INPUT DROP # 保存规则 iptables-save /etc/iptables/rules.v43. 日志监控与备份开启 SSH 登录审计bash运行# 确保auth.log日志开启默认开启 # 配置日志轮转防止日志过大 vi /etc/logrotate.d/rsyslog # 添加规则每周轮转保留4周日志 /var/log/auth.log { weekly rotate 4 missingok notifempty compress }将日志同步到远程服务器bash运行# 1. 安装rsyslog客户端 apt install rsyslog -y # 2. 编辑配置文件指向远程日志服务器 echo *.* 192.168.56.200:514 /etc/rsyslog.conf systemctl restart rsyslog监控命令历史记录bash运行# 防止用户清空history修改history文件权限 chmod 444 ~/.bash_history # 记录所有用户的命令执行日志 echo export PROMPT_COMMANDhistory -a; /etc/profile source /etc/profile4. 恶意进程与后门检测查找异常进程bash运行# 查看进程树识别未知进程 pstree -pu # 查找隐藏进程对比ps和/proc目录 ls /proc | grep -v -E ^[0-9]$检查 SSH 公钥后门bash运行# 查看所有用户的authorized_keys文件 find /home -name authorized_keys -exec cat {} \;三、 通用防御注意事项所有命令需以管理员 /root 权限执行Windows 用管理员cmdLinux 加sudo。生产环境修改配置前需备份例如cp /etc/ssh/sshd_config /etc/ssh/sshd_config.bak。定期执行脚本自动化检查可将上述命令写入 Shell/PowerShell 脚本每周执行一次。