Win2003 安全设置策略 一 设置和管理账户 1、系统管理员账户最好少建,更改默认的管理员帐户名(Administrator)和描述, 密码最好采用数字加大小写字母加数字的上档键组合,长度最好不少于14位。 2、新建一个名为Administrator的陷阱帐号,为其设置最小的权限,然后随便输入 组合的最好不低于20位的密码。 3、将Guest账户禁用并更改名称和描述,然后输入一个复杂的密码,然后禁用。 4、开始-程序-管理工具-本地安全策略,选择 计算机配置-Windows设置-安全设置-账户策略-账户锁定策略, 将账户设为“三次登陆无效”,“锁定时间为30分钟”,“复位锁定计数设为10分钟”。 5、在安全设置-本地策略-安全选项中将“不显示上次的用户名”设为启用 。 6. 本地策略-安全选项-对匿名连接的额外限制.选择(不允许枚举 SAM 帐号和共享)
二 网络服务安全管理 (1) [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server \WinStations\RDP-Tcp] "PortNumber"=dword:00000b6d [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server \Wds\rdpwd\Tds\tcp] "PortNumber"=dword:00000b6d
1、禁止C$、D$、ADMIN$一类的缺省共享 打开注册表,HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet \Services\lanmanserver\parameters, 在右边的窗口中新建Dword值,名称设为AutoShareServer值设为0. 注册表不了解.不要随便更改. 2、 解除NetBios与TCP/IP协议的绑定 右击网上邻居-属性-右击本地连接-属性-双击Internet协议-高级-Wins-禁用TCP/IP上的NETBIOS 3、关闭不需要的服务,以下为建议选项 开始-所有程序-管理工具-服务 Computer Browser:维护网络计算机更新,禁用 Distributed File System: 局域网管理共享文件,不需要禁用 Distributed linktracking client:用于局域网更新连接信息,不需要禁用 Error reporting service:禁止发送错误报告 Microsoft Serch:提供快速的单词搜索,不需要可禁用 NTLMSecuritysupportprovide:telnet服务和Microsoft Serch用的,不需要禁用 PrintSpooler:如果没有打印机可禁用 Remote Registry:禁止远程修改注册表 Remote Desktop Help Session Manager:禁止远程协助 Messenger:信使服务(windows2000) Task Scheduler: 允许程序在指定时间运行(不用计划任务就禁用掉) TCP/IP NetBIOS Helper Service: NetBIOS (NetBT)”服务以及 NetBIOS 名称解析的支持 注:新上架的服务器已经做过其他安全设置只开以下端口,需要开其他端口可以在。 右击网上邻居-属性-Internet协议(TCP/IP)属性-高级-选项-TCP/IP筛选-属性-TCP端口-添加 你想要开的端口. 默认开启的端口列表: FTP:20.21 mail:25.110 Web:80 pcanywhere:5631 远程桌面:3389 (3389不要关闭,否则将无法远程连接)
三 系统安全管理 1.对于系统的NTFS磁盘权限设置,C盘只给administrators 和system权限,其他的权限不给, 其他的盘也可以这样设置,这里给的system权限也不一定需要给, 只是由于某些第三方应用程序是以服务形式启动的,需要加上这个用户,否则造成启动不了。 2. Windows目录要加上给users的默认权限,否则ASP和ASPX等应用程序就无法运行。 3. 另外在c:/Documents and Settings/这里相当重要, 后面的目录里的权限根本不会继承从前的设置,如果仅仅只是设置了C盘给administrators权限, 而在All Users/Application Data目录下会 出现everyone用户有完全控制权限, 这样入侵这可以跳转到这个目录,写入脚本或只文件,再结合其他漏洞来提升权限. 4. net.exe;net1.exet;cmd.exe;tftp.exe;netstat.exe;regedit.exe;at.exe;attrib.exe;cacls.exe;format.com 这些文件都设置只允许administrators
四 打开相应的审核策略
开始-程序-管理工具-本地安全策略-安全设置-本地策略-审核策略 注:windows2003已经开启部分.windows2000没有开启.可以根据实际情况来设置. 推荐的要审核的项目是: 登录事件 成功 失败 账户登录事件 成功 失败 系统事件 成功 失败 策略更改 成功 失败 对象访问 失败 目录服务访问 失败 特权使用 失败 五、第二防止SERV提高权限只给administrators 六、第四关闭一些木马的组建 regsvr32 /u wshom.ocx regsvr32 wshext.dll /u regsvr32 /u shell32.dll |