终端环境下安全设置大纲,欢迎大家补充!
在终端环境下,因为用户可以直接使用服务器的资源所以安全设置就显得更加更要。为了方便大家为服务器做安全设置,我列出一份我们一般情况下的安全设置大纲,以供大家参考。也欢迎大家来补充这个列表(并附上方法简介):1。如果LIC和MPS为同一台服务器,禁止users组访问LIC文件。(设置LIC文件的NTFS权限)
2。隐藏并阻止用户访问服务器驱动器(通过组策略或SA来实现)
3。禁用odbcad32.exe的运行。通过它可以遍览服务器所有驱动器的目录和文件,危险等级高。(通过组策略或SA实现)
4。禁用命令行,但不禁用批处理。因为usrlogon.cmd在登陆时加载。(方法同上)
5。阻止用户在资源管理器中使用右键。通过右键可以新建文本文件或其它,再通过它打开未授权使用的应用,从而进一步使用其它资源。(方法同上)
6。设置错误的IE代理(用于不需要使用IE浏览网站的情况下)以防止用户使用IE浏览或下载。(方法同上)
7。禁用word的VBA组件。(方法同上)
8。禁用系统help,通过它可以调用系统管理工具。(方法同上)
在终端环境下我们可能需要删除或重命名cmd.exe或其它外部命令,如net.exe等。你们尝试直接重命名cmd.exe时你会现它很快会生成一个新的cmd.exe文件,这是因为系统文件保护在作用。你要使用以下命令行来实现。
del c:\windows\system32\dllcache\cmd.exe
ren c:\windows\system32\cmd.exe runcmd.exe
使用这两条命令行就可以成功的重命名系统文件了。要注意的是你成功重命名后系统会提示你的文件被替换成不能被识别的版本这必需点是才可以完成。
页:
[1]