对于我们常用的windows服务器,我们可以通过下面的一些方法进行系统加固。
|
帐户管理 |
帐户加固步骤: 1、 删除Guest账号 。 2、 限制不必要的用户 。 3、 Administrator改名 (注意应用程序依存关系)。 4、 创建一个陷阱用户 。 5、开启密码策略 。 |
|
组策略配置 |
策略配置步骤: 1、 设置帐号锁定阀值为3次无效登录,锁定时间为30分钟。 2、 从通过网络访问此计算机中删除Everyone组。 3、 在用户权利指派下,从通过网络访问此计算机中删除Power Users和Backup Operators。 4、 为交互登录启动消息文本。 5、 启用 不允许匿名访问SAM帐号和共享。 6、 启用 不允许为网络验证存储凭据或Passport。 7、 启用 在下一次密码变更时不存储LANMAN哈希值。 8、 启用 清除虚拟内存页面文件。 9、 禁止IIS匿名用户在本地登录。 10、启用 交互登录:不显示上次的用户名。 11、从文件共享中删除允许匿名登录的DFS$和COMCFG。 12、禁用活动桌面。 |
|
强化TCP协议栈 |
强化TCP协议步骤:(对提供网络服务的主机不建议加固) Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\TcpIP\Parameters] “SynAttackProtect”=dword:00000001 “EnablePMTUDiscovery”=dword:00000000 “NoNameReleaseOnDemand”=dword:00000001 “EnableDeadGWDetect”=dword:00000000 “KeepAliveTime”=dword:00300000 “PerformRouterDiscovery”=dword:00000000 “TcpMaxConnectResponseRetransmissions”=dword:00000003 “TcpMaxHalfOpen”=dword:00000100 “TcpMaxHalfOpenRetried”=dword:00000080 “TcpMaxPortsExhausted”=dword:00000005 |
|
文件/目录控制 |
1、 删除NTFS默认访问Everyone权限。 2、设置NTFS认访问权限为Administrator、System。 |
|
系统信任 关系 |
无 |
|
其它安全 配置 |
1、禁止(更改或删除)常用DOS命令。 cmd.exe、cmd32.exe、net.exe、net1.exe、IPconfig.exe、tftp.exe、ftp.exe、user.exe reg.exe、regedit.exe、regedt32.exe、regsvr32.exe 把这些命令放入到特定目录或移动设备上 |