系统安全设置
- 格式:doc
- 大小:538.00 KB
- 文档页数:23
Windows安全
1.windows下根目录的权限设置
2.系统的安全加固:我们通过配置目录权限,系统安全策略,协议
栈加强,系统服务和访问控制加固您的系统,整体提高服务器的
安全性
3.系统应用程序加固,提供应用程序的安全性,例如sql的安全配置
以及服务器应用软件的安全加固
4.组策略配置
5.本地安全策略设置
6.本地策略——>审核策略
7.本地策略——>用户权限分配
8.本地策略——>安全选项
9.本地账户策略
10.注册表配置
11.多余服务禁用
12.tcp/ip筛选
13.程序安全
14.安全更新
15.安装和配置防病毒保护
16.监视解决方案
17.数据备份
18.日志安全
19.详细设置
服务器安全设置
>> 在”网络连接”里,把不需要的协议和服务都删掉,这里只安装了基本的Internet协议(TCP/IP)和Microsoft网络客户端。在高级tcp/ip设置里--"NetBIOS"设置"禁用tcp/IP上的NetBIOS(S)"。
>>在“本地连接”打开Windows 2003 自带的防火墙,可以屏蔽端口,基本达到一个IPSec的功能,只保留有用的端口,比如远程(3389)和 Web(80),Ftp(21),邮件服务器(25,110),https(443),SQL(1433)
在“服务”里关闭 iis admin service 服务。
找到 windows\system32\inetsrv\ 下的 metabase.xml 文件。
找到 ASPMaxRequestEntityAllowed 把它修改为需要的值(可修改为20M即:20480000)
存盘,然后重启 iis admin service 服务。
>> 修改3389远程连接端口
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\Wds\rdpwd\Tds\tcp] "PortNumber"=dword:0000端口号
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp] "PortNumber"=dword:0000端口号
设置这两个注册表的权限, 添加“IUSR”的完全拒绝禁止显示端口号
>> 本地策略--->用户权限分配
关闭系统:只有Administrators组、其它全部删除。
通过终端服务允许登陆:只加入Administrators,Remote Desktop Users组,其他全部删除
>> 在安全设置里本地策略-用户权利分配,通过终端服务拒绝登陆加入
ASPNET
IUSR_
IWAM_
NETWORK SERVICE
(留下administrator远程登陆)
>> 在安全设置里本地策略-安全选项
网络访问:可匿名访问的共享;
网络访问:可匿名访问的命名管道;
网络访问:可远程访问的注册表路径;
网络访问:可远程访问的注册表路径和子路径;
将以上四项全部删除
>> 不允许 SAM 账户的匿名枚举更改为"已启用"
>> 不允许 SAM 账户和共享的匿名枚举更改为"已启用" ;
>> 网络访问: 不允许存储网络身份验证的凭据或 .NET Passports 更改为"已启用" ;
>> 网络访问.限制匿名访问命名管道和共享,更改为"已启用" ;
将以上四项通通设为“已启用”
>> 计算机管理的本地用户和组
禁用终端服务(TsInternetUser), SQL服务(SQLDebugger), SUPPORT_388945a0
>> 禁用不必要的服务
sc config AeLookupSvc start= AUTO
sc config Alerter start= DISABLED
sc config ALG start= DISABLED
sc config AppMgmt start= DEMAND
sc config aspnet_state start= DEMAND
sc config AudioSrv start= DISABLED
sc config BITS start= DEMAND
sc config Browser start= DEMAND
sc config CiSvc start= DISABLED
sc config ClipSrv start= DISABLED
sc config clr_optimization_v2.0.50727_32 start= DEMAND
sc config COMSysApp start= DEMAND
sc config CryptSvc start= AUTO
sc config DcomLaunch start= AUTO
sc config Dfs start= DEMAND
sc config Dhcp start= AUTO
sc config dmadmin start= DEMAND
sc config dmserver start= AUTO