Windows2003工作环境安全配置(一)

一、 基础安装原则

1、系统安装原则

(略)

2、升级系统,打全补丁,安装杀毒软件

3、不要使用Serv-U做FTP服务,尽可能不使用WINDOWS自带的超级终端(如果一定要用切记修改默认服务端口)

 

二、 系统基本设置

1、组策略配置

运行→gpedit.msc

  计算机配置→管理模板→系统 →显示关机事件跟踪→禁用。

  计算机管理→管理模板→系统 →关闭自动播放→已启用→所有驱动器。

2、文件夹选项

常规任务→选中使用windows传统风格的文件夹

查看→选中显示所有文件和文件夹在标题栏显示完整路径;取消选中隐藏已经文件类型的扩展名

在文件夹菜单栏查看中勾选状态栏

3、硬件加速

桌面点击右键→属性→设置→高级→疑难解答。把该页面的硬件加速滚动条拉到完全,点击确定

4、禁用错误报告

"我的电脑"->"属性"->"高级"->"启动和故障修复"中,点"错误报告",选择"禁用错误汇报 "、"但在发生严重错误时通知我"。

5、优化启动和故障恢复设置

"我的电脑"->"属性"->"高级"->"启动和故障修复"中,点击设置,其中的系统失败一栏中,只选择 自动重新启动,写入调试信息选择

6、优化性能设置

"我的电脑"->"属性"->"高级"->"性能"中,点击设置,其中的视觉效果选择 调整为最佳性能高级处理器计划选择后台服务内存使用选择系统缓存

7、TCP/IP上的NetBIOS

"网络连接"把不需要的协议和服务都删掉只保留Internet协议TCP/IP),在高级tcp/ip设置里--"NetBIOS"设置"禁用TCP/IP上的NetBIOSS"

8、关闭华医生Dr.Watson

在开始-运行中输入drwtsn32,调出Dr.Watson ,只保留转储全部线程上下文选项。

9、禁止建立空连接

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa新建 DWORD值值名为 RestrictAnonymous 数据值为1 [2003默认为1]

10、  禁止默认共享

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters新建 DWORD值值名为 AutoShareServer 数据值为0

11、  禁止系统自动启动管理共享

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters新建 DWORD值值名为 AutoShareWks 数据值为0

12、  禁用AUTORUN

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Expolrer 将NoDriveAutoRun设为FF

 

三、 基本安全设置

1、防止小规模DDOS

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters新建 DWORD值值名为 SynAttackProtect 数据值为1

2、防止ICMP重定向报文的攻击

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters 将EnableICMPRedirects 值设为0

3、修改超级终端默认端口

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp 将PortNumber值设为新的端口号

4、盘符权限

C盘只保留Adminstrators组(以下简称ADM组)和System组(以下简称SYS组)完全控制权。

其它盘,有安装程序运行或服务程序运行的给 Administrators 和 SYSTEM 权限,否则只给 Administrators 权限。

5、敏感目录权限设置

C:\Windows 目录只保留 ADM组、SYS组 和 users组 权限

C:\Program Files 目录只保留 ADM组、SYS组权限

C:\Program Files\Common Files 目录增加Every one 读取、读取运行、列目录权限

以下目录只保留 ADM组 和 SYS组 默认权限:

C:\Documents and Settings

C:\Documents and Settings\All Users

C:\Documents and Settings\All Users\Application Data

C:\Documents and Settings\All Users\documents  (共享文档)

C:\Documents and Settings\All Users\桌面

如果安装有PCANYWHERE的话切记将C:\Documents and Settings\All Users\Application Data\Symantec\pcAnywhere 设为GUESTS组拒绝访问

6、敏感文件权限设置

以下文件禁止guests组访问或取消权限继承后只允许ADM组和SYS组访问:(Cmd.exe,net.exe,ftp.exe,cacls.exe,regsvr32.exe,xcopy.exe,netstat.exe,at.exe,attrib.exe

C:\WINNT\system32\Cmd.exeC:\WINNT\system32\net.exeC:\WINNT\system32\ftp.exeC:\WINNT\system32\cacls.exeC:\WINNT\system32\regsvr32.exeC:\WINNT\system32\xcopy.exeC:\WINNT\system32\netstat.exeC:\WINNT\system32\at.exeC:\WINNT\system32\attrib.exeC:\WINNT\regedit.exeC:\WINNT\system32\scrrun.dll(此项禁用后FSO无法使用)C:\WINNT\system32\shell32.dllC:\Windows\System32\wshom.ocx

7、本地安全策略配置

开始 > 程序 > 管理工具 > 本地安全策略

账户策略 > 密码策略 > 密码最短使用期限 改成0天

账户策略 > 账户锁定策略 > 账户锁定阈值15次(慎用!) 账户锁定时间 30分钟

本地策略 > 审核策略 >

  账户管理 成功 失败

  登录事件 成功 失败

  对象访问 失败

  策略更改 成功 失败

  特权使用 失败

  系统事件 成功 失败

  目录服务访问 失败

  账户登录事件 成功 失败

本地策略 > 用户权限分配 >

关闭系统:只保留Administrators组。

允许在本地登录:删除Guests组中的所有用户。

通过终端服务拒绝登陆:加入Guests、Users组

通过终端服务允许登陆:只加入Administrators组

本地策略 > 安全选项 >

  清除虚拟内存页面文件 更改为"已启用"

  不显示上次的用户名 更改为"已启用"

  不允许 SAM 账户的匿名枚举 更改为"已启用"

  不允许 SAM 账户和共享的匿名枚举 更改为"已启用"

  网络访问:可匿名访问的共享 全部删除

  网络访问:可匿名访问的命名管道 全部删除

  网络访问:可远程访问的注册表路径 全部删除

  网络访问:可远程访问的注册表路径和子路径 全部删除

  重命名来宾账户

  重命名系统管理员账号(此操作在MSSQLSERVER安装前进行!)

8、删除不安全组件

WScript.Shell:

  regsvr32 /u wshom.ocx

  del C:\Windows\System32\wshom.ocx(不推荐删除,可以给文件单独设权限)

Shell.application

  regsvr32 /u shell32.dll

  del C:\Windows\system32\shell32.dll不推荐删除可以给文件单独设权限

9、帐号设置

Guests组从Users组中删除

禁用帐号:Guest,TsInternetUser,SQLDebugger

建立一个无用户组的Administrat账户,密码随机13位以上此操作在完成重命名系统管理员账号后进行

10、  禁用服务

Alerter

ClipBook

Help and Support

Distributed Link Tracking Server

Messenger

Remote Registry

Secondary Logon

Shell Hardware Detection

Error reporting service

Computer Browser

Distributed File System

TCP/IP NetBIOS Helper

Task Scheduler没有计划任务的话可以禁用

Windows Image Acquisition (WIA)

Windows Time

Workstation禁用后可防止WEBSHELL获取本地用户及服务信息

 

以下服务可视情况而定:

Indexing Service

Microsoft Search

Print Spooler不涉及到打印服务或虚拟打印时可以禁用个人建议不要禁用

IPSEC Services如果使用了IP安全策略则自动如无则禁用可选操作

Windows Firewall/Internet Connection Sharing (ICS)

posted @ 2011-01-26 08:25  lykyl的自留地  阅读(236)  评论(0编辑  收藏  举报