Windows安全设置大全新.docx
- 文档编号:23067270
- 上传时间:2023-04-30
- 格式:DOCX
- 页数:18
- 大小:25.49KB
Windows安全设置大全新.docx
《Windows安全设置大全新.docx》由会员分享,可在线阅读,更多相关《Windows安全设置大全新.docx(18页珍藏版)》请在冰豆网上搜索。
Windows安全设置大全新
最小的权限+最少的服务=最大的安全
最小的权限如何实现?
NTFS系统权限设置在使用之前将每个硬盘根加上Administrators用户为全部权限(可选加入SYSTEM用户)
删除其它用户,进入系统盘:
权限如下
C:
\WINDOWSAdministratorsSYSTEM用户全部权限Users用户默认权限不作修改
其它目录删除Everyone用户,切记C:
\DocumentsandSettings下AllUsers\DefaultUser目录及其子目录
如C:
\DocumentsandSettings\AllUsers\ApplicationData目录默认配置保留了Everyone用户权限
C:
\WINDOWS目录下面的权限也得注意,如C:
\WINDOWS\PCHealth、C:
\windows\Installer也是保留了Everyone权限.
删除C:
\WINDOWS\Web\printers目录,此目录的存在会造成IIS里加入一个.printers的扩展名,可溢出攻击
默认IIS错误页面已基本上没多少人使用了。
建议删除C:
\WINDOWS\Help\iisHelp目录
删除C:
\WINDOWS\system32\inetsrv\iisadmpwd,此目录为管理IIS密码之用,如一些因密码不同步造成500
错误的时候使用OWA或Iisadmpwd修改同步密码,但在这里可以删掉,下面讲到的设置将会杜绝因系统
设置造成的密码不同步问题。
打开C:
\Windows搜索
net.exe;cmd.exe;tftp.exe;netstat.exe;regedit.exe;at.exe;attrib.exe;cacls.exe;;
regsvr32.exe;xcopy.exe;wscript.exe;cscript.exe;ftp.exe;telnet.exe;arp.exe;edlin.exe;
ping.exe;route.exe;finger.exe;posix.exe;rsh.exe;atsvc.exe;qbasic.exe;runonce.exe;syskey.exe
修改权限,删除所有的用户只保存Administrators和SYSTEM为所有权限
关闭445端口
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\netBT\Parameters
新建“DWORD值”值名为“SMBDeviceEnabled”数据为默认值“0”
禁止建立空连接
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa
新建“DWORD值”值名为“RestrictAnonymous”数据值为“1”[2003默认为1]
禁止系统自动启动服务器共享
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters
新建“DWORD值”值名为“AutoShareServer”数据值为“0”
禁止系统自动启动管理共享
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters
新建“DWORD值”值名为“AutoShareWks”数据值为“0”
通过修改注册表防止小规模DDOS攻击
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters
新建“DWORD值”值名为“SynAttackProtect”数据值为“1”
禁止dumpfile的产生
dump文件在系统崩溃和蓝屏的时候是一份很有用的查找问题的资料。
然而,它也能够给黑客提供一些敏感
信息比如一些应用程序的密码等。
控制面板>系统属性>高级>启动和故障恢复把写入调试信息改成无。
关闭华医生Dr.Watson
在开始-运行中输入“drwtsn32”,或者开始-程序-附件-系统工具-系统信息-工具-DrWatson,调出系统
里的华医生Dr.Watson,只保留“转储全部线程上下文”选项,否则一旦程序出错,硬盘会读很久,并占
用大量空间。
如果以前有此情况,请查找user.dmp文件,删除后可节省几十MB空间。
本地安全策略配置
开始>程序>管理工具>本地安全策略
账户策略>密码策略>密码最短使用期限改成0天[即密码不过期,上面我讲到不会造成IIS密码不同步]
账户策略>账户锁定策略>账户锁定阈值5次账户锁定时间10分钟[个人推荐配置]
本地策略>审核策略>
账户管理成功失败
登录事件成功失败
对象访问失败
策略更改成功失败
特权使用失败
系统事件成功失败
目录服务访问失败
账户登录事件成功失败
本地策略>安全选项>清除虚拟内存页面文件更改为"已启用"
>不显示上次的用户名更改为"已启用"
>不需要按CTRL+ALT+DEL更改为"已启用"
>不允许SAM账户的匿名枚举更改为"已启用"
>不允许SAM账户和共享的匿名枚举更改为"已启用"
>重命名来宾账户更改成一个复杂的账户名
>重命名系统管理员账号更改一个自己用的账号[同时可建立一个无用户组的Administrat账户]
组策略编辑器
运行gpedit.msc计算机配置>管理模板>系统显示“关闭事件跟踪程序”更改为已禁用
删除不安全组件
WScript.Shell、Shell.application这两个组件一般一些ASP木马或一些恶意程序都会使用到。
方案一:
regsvr32/uwshom.ocx卸载WScript.Shell组件
regsvr32/ushell32.dll卸载Shell.application组件
如果按照上面讲到的设置,可不必删除这两个文件
方案二:
删除注册表HKEY_CLASSES_ROOT\CLSID\{72C24DD5-D70A-438B-8A42-98424B88AFB8}对应WScript.Shell
删除注册表HKEY_CLASSES_ROOT\CLSID\{13709620-C279-11CE-A49E-444553540000}对应Shell.application
用户管理
建立另一个备用管理员账号,防止特殊情况发生。
安装有终端服务与SQL服务的服务器停用TsInternetUser,SQLDebugger这两个账号
用户组说明
在将来要使用到的IIS中,IIS用户一般使用Guests组,也可以再重新建立一个独立的专供IIS使用的组,但
要将这个组赋予C:
\Windows目录为读取权限[单一读取]个人不建议使用单独目录,太小家子气。
最少的服务如果实现
黑色为自动绿色为手动红色为禁用
Alerter禁用
ApplicationExperienceLookupService手动
ApplicationLayerGatewayService手动
ApplicationManagement手动
AutomaticUpdates[Windows自动更新,可选项]自动
BackgroundIntelligentTransferService
ClipBook禁用
COM+EventSystem自动
COM+SystemApplication手动
ComputerBrowser手动
CryptographicServices手动
DCOMServerProcessLauncher自动
DHCPClient手动
DistributedFileSystem手动
DistributedLinkTrackingClient自动
DistributedLinkTrackingServer禁用
DistributedTransactionCoordinator手动
DNSClient手动
ErrorReportingService手动
EventLog自动
FileReplication禁用
HelpandSupport禁用
HTTPSSL手动
HumanInterfaceDeviceAccess手动
IISAdminService自动
IMAPICD-BurningCOMService禁用
IndexingService禁用
IntersiteMessaging禁用
IPSECServices[如果使用了IP安全策略则自动,如无则禁用,可选操作]禁用
KerberosKeyDistributionCenter禁用
LicenseLogging禁用
LogicalDiskManager自动[可选,多硬盘建议自动]
LogicalDiskManagerAdministrativeService手动
Messenger禁用
MicrosoftSearch
MicrosoftSoftwareShadowCopyProvider手动
MSSQLSERVER自动
MSSQLServerADHelper手动
NetLogon手动
NetMeetingRemoteDesktopSharing禁用
NetworkConnections手动
NetworkDDE禁用
NetworkDDEDSDM禁用
NetworkLocationAwareness(NLA)手动
NetworkProvisioningService手动
NTLMSecuritySupportProvider手动
PerformanceLogsandAlerts手动
PlugandPlay自动
PortableMediaSerialNumberService[微软反盗版工具,目前只针对多媒体类]禁用
PrintSpooler禁用
ProtectedStorage自动
RemoteAccessAutoConnectionManager手动
2、本地安全策略设置
开始菜单—〉管理工具—〉本地安全策略
A、本地策略——〉审核策略
审核策略更改 成功 失败
审核登录事件 成功 失败
审核对象访问 失败审核过程跟踪 无审核
审核目录服务访问 失败
审核特权使用 失败
审核系统事件 成功 失败
审核账户登录事件 成功 失败
审核账户管理 成功 失败
B、本地策略——〉用户权限分配
关闭系统:
只有Administrators组、其它全部删除。
通过终端服务允许登陆:
只加入Administrators,RemoteDesktopUsers组,其他全部删除
C、本地策略——〉安全选项
交互式登陆:
不显示上次的用户名 启用
网络访问:
不允许SAM帐户和共享的匿名枚举 启用
网络访问:
不允许为网络身份验证储存凭证 启用
网络访问:
可匿名访问的共享 全部删除
网络访问:
可匿名访问的命 全部删除
网络访问:
可远程访问的注册表路径 全部删除
网络访问:
可远程访问的注册表路径和子路径 全部删除
帐户:
重命名来宾帐户 重命名一个帐户
帐户:
重命名系统管理员帐户 重命名一个帐户
3、禁用不必要的服务开始-运行-services.msc
TCP/IPNetBIOSHelper提供TCP/IP服务上的NetBIOS和网络上客户端的NetBIOS名称解析的支持而使用户能够共享
文件、打印和登录到网络
Server支持此计算机通过网络的文件、打印、和命名管道共享
ComputerBrowser维护网络上计算机的最新列表以及提供这个列表
Taskscheduler允许程序在指定时间运行
Messenger传输客户端和服务器之间的NETSEND和警报器服务消息
DistributedFileSystem:
局域网管理共享文件,不需要可禁用
Distributedlinktrackingclient:
用于局域网更新连接信息,不需要可禁用
Errorreportingservice:
禁止发送错误报告
MicrosoftSerch:
提供快速的单词搜索,不需要可禁用
NTLMSecuritysupportprovide:
telnet服务和MicrosoftSerch用的,不需要可禁用
PrintSpooler:
如果没有打印机可禁用
RemoteRegistry:
禁止远程修改注册表
RemoteDesktopHelpSessionManager:
禁止远程协助
Workstation关闭的话远程NET命令列不出用户组
以上是在WindowsServer2003系统上面默认启动的服务中禁用的,默认禁用的服务如没特别需要的话不要启动。
三、IIS、终端服务、FTP、SQL的配置
IIS配置
IIS6与IIS5有着很多不同之处,不一一列举,也不是我一个脑袋可以装下的东西。
都在资料上!
IIS6有一个非常不方便的东西,就是他限制了在线上传不得大于200K,如何修改,请看:
首先停用IIS服务,>服务>iisadminservice>停用
C:
\windows\system32\inetsrv\metabase.xml文件用记事本打开它
找到ASPMaxRequestEntityAllowed处。
默认为204800即204800字节(200K)
修改为想要的数字如:
2048000[2M]保存,重启IIS服务即可!
设置基本参数
打开IIS管理器>网站>属性>
网站>启动日志记录>关闭
主目录>配置>应用程序扩展>只保留asp,asa
主目录>配置>选项>启用父目录
主目录>配置>调试>向客户端发送文本错误消息
网站>自定义错误>全部改成默认值[上一章已经删除IIS使用的错误信息页面]
IIS管理器>WEB服务扩展>启用ActiveServerPages
注:
停用IIS默认站点,切勿删除,有可能会造成IIS的不稳定。
站点的建立将在第四节中详细介绍。
IIS支持PHP的配置
以PHP5.1.1为例
下载php-5.1.1-Win32.zip解压到D:
\php或任意目录赋予该目录IIS用户组读取权限
将ext目录中的所有文件复制到C:
\Windows\System32目录下面
以记事本打开php.ini-dist文件
查找extension_dir="./"更改为extension_dir="D:
\php\ext"
查找;WindowsExtensions更改下面的参数
如要开通GD库支持则将;extension=php_gd2.dll前面的冒号删除
依此类推,更多设置参考PHP.INI中文版。
完成设置好另存在C:
\Windows\php.ini
尔后在IIS设置中IIS管理器>网站>属性>主目录>配置>映射
添加D:
\php\php5isapi.dll扩展名.php
其次在WEB服务扩展中添加一个新的扩展名PHP执行位置D:
\php\php5isapi.dll设为允许即可
由于WIN平台对MYSQL与PHP的组合无法体现性能优势。
个人建议WIN平台PHP程序要使用数据库建议远程
或搭配文本数据库。
终端服务配置
开始>程序>管理工具>终端服务配置>连接
选择右侧列出的连接属性>权限删除所有用户组添加单一的允许使用的管理员账户,这样即使服务器
被创建了其它的管理员.也无法使用终端服务。
另外在会话设置中可以进一步设置断开、注销等一些参数。
把不需要的协议和服务都删掉,这里只安装了基本的Internet协议(TCP/IP),由于要控制带宽流量服务,额外安装了Qos数据包计划程序。
在高级tcp/ip设置里——“NetBIOS“设置“禁用tcp/IP上的NetBIOS(S)“。
在高级选项里,使用“Internet连接防火墙“,这是windows2003自带的防火墙,在2000系统里没有的功能,虽然没什么功能,但可以屏蔽端口,这样已经基本达到了一个IPSec的功能。
修改3389远程连接端口
修改注册表.
开始——运行——regedit
依次展开HKEY_LOCAL_MACHINE/SYSTEM/CURRENTCONTROLSET/CONTROL/
TERMINALSERVER/WDS/RDPWD/TDS/TCP
右边键值中PortNumber改为你想用的端口号.注意使用十进制(例10000)
HKEY_LOCAL_MACHINE/SYSTEM/CURRENTCONTROLSET/CONTROL/TERMINALSERVER/
WINSTATIONS/RDP-TCP/
右边键值中PortNumber改为你想用的端口号.注意使用十进制(例10000)
注意:
别忘了在WINDOWS2003自带的防火墙给+上10000端口
修改完毕.重新启动服务器.设置生效.
二、用户安全设置
1、禁用Guest账号
在计算机管理的用户里面把Guest账号禁用。
为了保险起见,最好给Guest加一个复杂的密码。
你可以打开记事本,在里面输入一串包含特殊字符、数字、字母的长字符串,然后把它作为Guest用户的密码拷进去。
2、限制不必要的用户
去掉所有的DuplicateUser用户、测试用户、共享用户等等。
用户组策略设置相应权限,并且经常检查系统的用户,删除已经不再使用的用户。
这些用户很多时候都是黑客们入侵系统的突破口。
3、把系统Administrator账号改名
大家都知道,Windows2003的Administrator用户是不能被停用的,这意味着别人可以一遍又一遍地尝试这个用户的密码。
尽量把它伪装成普通用户,比如改成Guesycludx。
4、创建一个陷阱用户
什么是陷阱用户?
即创建一个名为“Administrator”的本地用户,把它的权限设置成最低,什么事也干不了的那种,并且加上一个超过10位的超级复杂密码。
这样可以让那些Hacker们忙上一段时间,借此发现它们的入侵企图。
5、把共享文件的权限从Everyone组改成授权用户
任何时候都不要把共享文件的用户设置成“Everyone”组,包括打印共享,默认的属性就是“Everyone”组的,一定不要忘了改。
6、开启用户策略
使用用户策略,分别设置复位用户锁定计数器时间为20分钟,用户锁定时间为20分钟,用户锁定阈值为3次。
(该项为可选)
7、不让系统显示上次登录的用户名
默认情况下,登录对话框中会显示上次登录的用户名。
这使得别人可以很容易地得到系统的一些用户名,进而做密码猜测。
修改注册表可以不让对话框里显示上次登录的用户名。
方法为:
打开注册表编辑器并找到注册表“HKLM\Software\Microsoft\WindowsT\CurrentVersion\Winlogon\Dont-DisplayLastUserName”,把REG_SZ的键值改成1。
密码安全设置
1、使用安全密码
一些公司的管理员创建账号的时候往往用公司名、计算机名做用户名,然后又把这些用户的密码设置得太简单,比如“welcome”等等。
因此,要注意密码的复杂性,还要记住经常改密码。
2、设置屏幕保护密码
这是一个很简单也很有必要的操作。
设置屏幕保护密码也是防止内部人员破坏服务器的一个屏障。
3、开启密码策略
注意应用密码策略,如启用密码复杂性要求,设置密码长度最小值为6位,设置强制密码历史为5次,时间为42天。
4、考虑使用智能卡来代替密码
对于密码,总是使安全管理员进退两难,密码设置简单容易受到黑客的攻击,密码设置复杂又容易忘记。
如果条件允许,用智能卡来代替复杂的密码是一个很好的解决方法。
三、系统权限的设置
1、磁盘权限
系统盘及所有磁盘只给Administrators组和SYSTEM的完全控制权限
系统盘\DocumentsandSettings目录只给Administrators组和SYSTEM的完全控制权限
系统盘\DocumentsandSettings\AllUsers目录只给Administrators组和SYSTEM的完全控制权限
系统盘\Windows\System32\cacls.exe、cmd.exe、net.exe、net1.exe、ftp.exe、tftp.exe、telnet.exe、netstat.exe、regedit.exe、at.exe、attrib.exe、、del文件只给Administrators组和SYSTEM的完全控制权限
另将\System32\cmd.exe、、ftp.exe转移到其他目录或更名
DocumentsandSettings下所有些目录都设置只给adinistrators权限。
并且要一个一个目录查看,包括下面的所有子目录。
删除c:
\inetpub目录
2、本地安全策略设置
开始菜单—〉管理工具—〉本地安全策略
A、本地策略——〉审核策略
审核策略更改 成功 失败
审核登录事件 成功 失败
审核对象访问 失败审核过程跟踪 无审核
审核目录服务访问 失败
审核特权使用 失败
审核系统事件 成功 失败
审核账户登录事件 成功 失败
审核账户管理 成功 失败
B、本地策略——〉用户权限分配
关闭系统:
只有Administrators组、其它全部删除。
通过终端服务允许登陆:
只加入Administrators,RemoteDesktopUsers组,其他全部删除
C、本地策略——〉安全选项
交互式登陆:
不显示上次的用户名 启用
网络访问:
不允许SAM帐户和共享的匿名枚举 启用
网络访问:
不允许为网络身份验证储存凭证
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- Windows 安全 设置 大全