Windows2003服務器安全加固方案(一)
B、本地策略——>用戶權限分配
關閉系統(tǒng):只有Administrators組、其它全部刪除。
通過終端服務拒絕登陸:加入Guests、User組
通過終端服務允許登陸:只加入Administrators組,其他全部刪除
C、本地策略——>安全選項
交互式登陸:不顯示上次的用戶名 啟用
網(wǎng)絡訪問:不允許SAM帳戶和共享的匿名枚舉啟用
網(wǎng)絡訪問:不允許為網(wǎng)絡身份驗證儲存憑證 啟用
網(wǎng)絡訪問:可匿名訪問的共享 全部刪除
網(wǎng)絡訪問:可匿名訪問的命全部刪除
網(wǎng)絡訪問:可遠程訪問的注冊表路徑全部刪除
網(wǎng)絡訪問:可遠程訪問的注冊表路徑和子路徑全部刪除
帳戶:重命名來賓帳戶重命名一個帳戶
帳戶:重命名系統(tǒng)管理員帳戶 重命名一個帳戶
4.本地賬戶策略:
在賬戶策略->密碼策略中設定:
密碼復雜性要求啟用
密碼長度最小值 6位
強制密碼歷史 5次
最長存留期 30天
在賬戶策略->賬戶鎖定策略中設定:
賬戶鎖定 3次錯誤登錄
鎖定時間 20分鐘
復位鎖定計數(shù) 20分鐘
5. 修改注冊表配置:
5.1 通過更改注冊表
local_machinesystemcurrentcontrolsetcontrollsa-restrictanonymous = 1來禁止139空連接
5.2 修改數(shù)據(jù)包的生存時間(ttl)值
hkey_local_machinesystemcurrentcontrolsetservicestcpipparameters
defaultttl reg_dword 0-0xff(0-255 十進制,默認值128)
5.3 防止syn洪水攻擊
hkey_local_machinesystemcurrentcontrolsetservicestcpipparameters
synattackprotect reg_dword 0x2(默認值為0x0)
5.4禁止響應icmp路由通告報文
hkey_local_machinesystemcurrentcontrolset
servicestcpipparametersinterfacesinterface
performrouterdiscovery reg_dword 0x0(默認值為0x2)
5.5防止icmp重定向報文的攻擊
hkey_local_machinesystemcurrentcontrolsetservicestcpipparameters
enableicmpredirects reg_dword 0x0(默認值為0x1)
5.6不支持igmp協(xié)議
hkey_local_machinesystemcurrentcontrolsetservicestcpipparameters
5.7修改3389默認端口:
運行 Regedt32 并轉到此項:
HKEY_LOCAL_MACHINESystemCurrentControlSetControl
Terminal ServerWinStationsRDP-Tcp, 找到“PortNumber子項,您會看到值 00000D3D,它是 3389 的十六進制表示形式。使用十六進制數(shù)值修改此端口號,并保存新值。
禁用不必要的服務不但可以降低服務器的資源占用減輕負擔,而且可以增強安全性。下面列出了
igmplevel reg_dword 0x0(默認值為0x2)
5.8 設置arp緩存老化時間設置
hkey_local_machinesystemcurrentcontrolsetservices:tcpipparameters
arpcachelife reg_dword 0-0xffffffff(秒數(shù),默認值為120秒)
arpcacheminreferencedlife reg_dword 0-0xffffffff(秒數(shù),默認值為600)
5.9禁止死網(wǎng)關監(jiān)測技術
hkey_local_machinesystemcurrentcontrolsetservices:tcpipparameters
enabledeadgwdetect reg_dword 0x0(默認值為ox1)
5.10 不支持路由功能
hkey_local_machinesystemcurrentcontrolsetservices:tcpipparameters
ipenablerouter reg_dword 0x0(默認值為0x0)
相關文章:
網(wǎng)公網(wǎng)安備