Windows2003服務(wù)器安全加固方案(一)
B、本地策略——>用戶權(quán)限分配
關(guān)閉系統(tǒng):只有Administrators組、其它全部刪除。
通過終端服務(wù)拒絕登陸:加入Guests、User組
通過終端服務(wù)允許登陸:只加入Administrators組,其他全部刪除
C、本地策略——>安全選項
交互式登陸:不顯示上次的用戶名 啟用
網(wǎng)絡(luò)訪問:不允許SAM帳戶和共享的匿名枚舉啟用
網(wǎng)絡(luò)訪問:不允許為網(wǎng)絡(luò)身份驗證儲存憑證 啟用
網(wǎng)絡(luò)訪問:可匿名訪問的共享 全部刪除
網(wǎng)絡(luò)訪問:可匿名訪問的命全部刪除
網(wǎng)絡(luò)訪問:可遠程訪問的注冊表路徑全部刪除
網(wǎng)絡(luò)訪問:可遠程訪問的注冊表路徑和子路徑全部刪除
帳戶:重命名來賓帳戶重命名一個帳戶
帳戶:重命名系統(tǒng)管理員帳戶 重命名一個帳戶
4.本地賬戶策略:
在賬戶策略->密碼策略中設(shè)定:
密碼復(fù)雜性要求啟用
密碼長度最小值 6位
強制密碼歷史 5次
最長存留期 30天
在賬戶策略->賬戶鎖定策略中設(shè)定:
賬戶鎖定 3次錯誤登錄
鎖定時間 20分鐘
復(fù)位鎖定計數(shù) 20分鐘
5. 修改注冊表配置:
5.1 通過更改注冊表
local_machinesystemcurrentcontrolsetcontrollsa-restrictanonymous = 1來禁止139空連接
5.2 修改數(shù)據(jù)包的生存時間(ttl)值
hkey_local_machinesystemcurrentcontrolsetservicestcpipparameters
defaultttl reg_dword 0-0xff(0-255 十進制,默認值128)
5.3 防止syn洪水攻擊
hkey_local_machinesystemcurrentcontrolsetservicestcpipparameters
synattackprotect reg_dword 0x2(默認值為0x0)
5.4禁止響應(yīng)icmp路由通告報文
hkey_local_machinesystemcurrentcontrolset
servicestcpipparametersinterfacesinterface
performrouterdiscovery reg_dword 0x0(默認值為0x2)
5.5防止icmp重定向報文的攻擊
hkey_local_machinesystemcurrentcontrolsetservicestcpipparameters
enableicmpredirects reg_dword 0x0(默認值為0x1)
5.6不支持igmp協(xié)議
hkey_local_machinesystemcurrentcontrolsetservicestcpipparameters
5.7修改3389默認端口:
運行 Regedt32 并轉(zhuǎn)到此項:
HKEY_LOCAL_MACHINESystemCurrentControlSetControl
Terminal ServerWinStationsRDP-Tcp, 找到“PortNumber子項,您會看到值 00000D3D,它是 3389 的十六進制表示形式。使用十六進制數(shù)值修改此端口號,并保存新值。
禁用不必要的服務(wù)不但可以降低服務(wù)器的資源占用減輕負擔(dān),而且可以增強安全性。下面列出了
igmplevel reg_dword 0x0(默認值為0x2)
5.8 設(shè)置arp緩存老化時間設(shè)置
hkey_local_machinesystemcurrentcontrolsetservices:tcpipparameters
arpcachelife reg_dword 0-0xffffffff(秒數(shù),默認值為120秒)
arpcacheminreferencedlife reg_dword 0-0xffffffff(秒數(shù),默認值為600)
5.9禁止死網(wǎng)關(guān)監(jiān)測技術(shù)
hkey_local_machinesystemcurrentcontrolsetservices:tcpipparameters
enabledeadgwdetect reg_dword 0x0(默認值為ox1)
5.10 不支持路由功能
hkey_local_machinesystemcurrentcontrolsetservices:tcpipparameters
ipenablerouter reg_dword 0x0(默認值為0x0)
相關(guān)文章:
1. win10更新提示設(shè)備中缺少重要的安全和質(zhì)量修復(fù)2. Unix系統(tǒng)管理員安全手冊3. Win 2000遠程控制的3種安全解決方法(圖)4. 親手打造安全穩(wěn)固的Win2K/XP系統(tǒng)5. Windows10網(wǎng)絡(luò)診斷DNS服務(wù)器未響應(yīng)的解決辦法6. mac安全模式怎么進入? Mac系統(tǒng)進入安全模式方法7. win7系統(tǒng)那些強大的安全功能,win7系統(tǒng)安全介紹8. Windows系統(tǒng)安全模式應(yīng)用技巧9. secbizsrv.exe是什么進程(支付寶安全控件)10. 讓FreeBSD更安全(FreeBSD安全設(shè)置)
網(wǎng)公網(wǎng)安備