(转)Windows2003安全设置/维护
很少收集一些服务器安全方面的内容,今天看到了,以后自己都回来,其实还有一些安全因素要考虑
1、网络配置备份:
备份:netsh dump > c:\bak1txt
恢复:netsh exec c:\bak1txt
2、重命名管理员用户:
本地计算机策略->Windows设置->安全设置->本地策略->安全选项->重命名系统管理员帐户;
重定向程序安装目录
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion
CommonFilesDir —— c:\Program Files\Common Files
ProgramFilesDir —— d:\Program Files
3、终端服务端口重定向:
远程桌面端口号:3389
HLM\System\CurrentControlSet\Control\Terminal Server\Wds\Repwd\Tds\Tcp
HLM\System\CurrentControlSet\Control\Terminal Server\WinStation\RDP-Tcp
远程桌面连接:mstse.exe
Default.rdp打开用文本编辑:
server port:7000
4、删除系统共享
运行del_netshare.bat
代码如下:
net share C$ /delete
net share D$ /delete
net share Admin$ /delete
Win2003
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters
新建DOWN名为AutoShareServer赋值为:00000000
WinXP
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters
新建DOWN值AutoShareWrks赋值为:00000000
5、加密帐户的密码
Syskey对账号密码数据文件进行二次加密。对密码进行128位加密;使用Syskey加密的密码,无法逆操作;
Windows\repair\有sam备份文件;
6、防火墙配置:(视情况而定)
计算机配置->管理模板->网络->网络连接->Windows防火墙->标准配置文件
Windows防火墙:保护所有网络连接 Windows防火墙不运行,管理员从本地登录无法启动防火墙的唯一方法
Windows防火墙:不允许例外
Windows防火墙:定义程序例外
Windows防火墙:允许本地程序例外
Windows防火墙:允许远程管理例外
Windows防火墙:允许文件和打印机共享例外 未被配置
Windows防火墙:允许ICMP例外 未被配置
Windows防火墙:允许远程桌面例外未被配置
Windows防火墙:允许UPnP框架例外未被配置
Windows防火墙:阻止通知 未被配置
Windows防火墙:允许记录日志 未被配置
Windows防火墙:阻止对多播或广播请求的单播响应 未被配置
Windows防火墙:定义端口例外 未被配置
Windows防火墙:允许本地端口例外未被配置
7、安全日志:
日志审核:计算机配置=>Windows设置=>安全设置=>本地策略->审核策略
本地安全策略->审核策略中打开相应的审核,推荐的审核是:
账户管理成功失败
登录事件成功失败
对象访问失败
策略更改成功失败
特权使用失败
系统事件成功失败
目录服务访问失败
账户登录事件成功失败
与之相关的是:
在账户策略->密码策略中设定:
密码复杂性要求启用
密码长度最小值6位
强制密码历史5次
最长存留期30天
在账户策略->账户锁定策略中设定:
账户锁定3次错误登录
锁定时间20分钟
复位锁定计数20分钟
注册表的安全设置:
隐藏重要文件/目录可以修改注册表实现完全隐藏:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL
CheckedValue由1改为0
对匿名连接的额外限制
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa
restrictanonymous由0改为2
关闭默认的根目录和管理共享
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters
添加DWORD autosharews 0
autoshareserver 0
禁用Guest用户访问日志
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\EventLog下的三个子键:Application、Security、System下面的RestrictGuestAccess值改为1
禁止显示上次登录的用户名
HLM\Software\Microsoft\WindowsNT\CurrentVersion\Winlogon
Dontdisplaylastusername为1即可
在关机时清理虚拟内存页面交换文件:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management
把ClearPageFileAtShutdown值改为1