安全中国Win2003安全设置大全分享
2023-06-13 09:14:32 时间
前面讲的都是屁话,润润笔而已。(俺也文人一次)
话锋一转就到了系统权限设置与安全配置的实际操作阶段
系统设置网上有一句话是“最小的权限+最少的服务=最大的安全”。此句基本上是个人都看过,但我好像
没有看到过一篇讲的比较详细稍具全面的文章,下面就以我个人经验作一次教学尝试!
最小的权限如何实现?
NTFS系统权限设置在使用之前将每个硬盘根加上Administrators用户为全部权限(可选加入SYSTEM用户)
删除其它用户,进入系统盘:权限如下
C:\WINDOWSAdministratorsSYSTEM用户全部权限Users用户默认权限不作修改
其它目录删除Everyone用户,切记C:\DocumentsandSettings下AllUsers\DefaultUser目录及其子目录
如C:\DocumentsandSettings\AllUsers\ApplicationData目录默认配置保留了Everyone用户权限
C:\WINDOWS目录下面的权限也得注意,如C:\WINDOWS\PCHealth、C:\windows\Installer也是保留了Everyone权限.
删除C:\WINDOWS\Web\printers目录,此目录的存在会造成IIS里加入一个.printers的扩展名,可溢出攻击
默认IIS错误页面已基本上没多少人使用了。建议删除C:\WINDOWS\Help\iisHelp目录
删除C:\WINDOWS\system32\inetsrv\iisadmpwd,此目录为管理IIS密码之用,如一些因密码不同步造成500
错误的时候使用OWA或Iisadmpwd修改同步密码,但在这里可以删掉,下面讲到的设置将会杜绝因系统
设置造成的密码不同步问题。
打开C:\Windows搜索
net.exe;cmd.exe;tftp.exe;netstat.exe;regedit.exe;at.exe;attrib.exe;cacls.exe;format.com;
regsvr32.exe;xcopy.exe;wscript.exe;cscript.exe;ftp.exe;telnet.exe;arp.exe;edlin.exe;
ping.exe;route.exe;finger.exe;posix.exe;rsh.exe;atsvc.exe;qbasic.exe;runonce.exe;syskey.exe
修改权限,删除所有的用户只保存Administrators和SYSTEM为所有权限
关闭445端口
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\netBT\Parameters
新建“DWORD值”值名为“SMBDeviceEnabled”数据为默认值“0”
禁止建立空连接
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa
新建“DWORD值”值名为“RestrictAnonymous”数据值为“1”[2003默认为1]
禁止系统自动启动服务器共享
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters
新建“DWORD值”值名为“AutoShareServer”数据值为“0”
禁止系统自动启动管理共享
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters
新建“DWORD值”值名为“AutoShareWks”数据值为“0”
通过修改注册表防止小规模DDOS攻击
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters
新建“DWORD值”值名为“SynAttackProtect”数据值为“1”
禁止dumpfile的产生
dump文件在系统崩溃和蓝屏的时候是一份很有用的查找问题的资料。然而,它也能够给黑客提供一些敏感
信息比如一些应用程序的密码等。控制面板>系统属性>高级>启动和故障恢复把写入调试信息改成无。
关闭华医生Dr.Watson
在开始-运行中输入“drwtsn32”,或者开始-程序-附件-系统工具-系统信息-工具-DrWatson,调出系统
里的华医生Dr.Watson,只保留“转储全部线程上下文”选项,否则一旦程序出错,硬盘会读很久,并占
用大量空间。如果以前有此情况,请查找user.dmp文件,删除后可节省几十MB空间。
本地安全策略配置
开始>程序>管理工具>本地安全策略
账户策略>密码策略>密码最短使用期限改成0天[即密码不过期,上面我讲到不会造成IIS密码不同步]
账户策略>账户锁定策略>账户锁定阈值5次账户锁定时间10分钟[个人推荐配置]
本地策略>审核策略>
账户管理成功失败
登录事件成功失败
对象访问失败
策略更改成功失败
特权使用失败
系统事件成功失败
目录服务访问失败
账户登录事件成功失败
本地策略>安全选项>清除虚拟内存页面文件更改为"已启用"
>不显示上次的用户名更改为"已启用"
>不需要按CTRL+ALT+DEL更改为"已启用"
>不允许SAM账户的匿名枚举更改为"已启用"
>不允许SAM账户和共享的匿名枚举更改为"已启用"
>重命名来宾账户更改成一个复杂的账户名
>重命名系统管理员账号更改一个自己用的账号[同时可建立一个无用户组的Administrat账户]
组策略编辑器
运行gpedit.msc计算机配置>管理模板>系统显示“关闭事件跟踪程序”更改为已禁用
删除不安全组件
WScript.Shell、Shell.application这两个组件一般一些ASP木马或一些恶意程序都会使用到。
方案一:
regsvr32/uwshom.ocx卸载WScript.Shell组件
regsvr32/ushell32.dll卸载Shell.application组件
如果按照上面讲到的设置,可不必删除这两个文件
方案二:
删除注册表HKEY_CLASSES_ROOT\CLSID\{72C24DD5-D70A-438B-8A42-98424B88AFB8}对应WScript.Shell
删除注册表HKEY_CLASSES_ROOT\CLSID\{13709620-C279-11CE-A49E-444553540000}对应Shell.application
用户管理
建立另一个备用管理员账号,防止特殊情况发生。
安装有终端服务与SQL服务的服务器停用TsInternetUser,SQLDebugger这两个账号
用户组说明
在将来要使用到的IIS中,IIS用户一般使用Guests组,也可以再重新建立一个独立的专供IIS使用的组,但
要将这个组赋予C:\Windows目录为读取权限[单一读取]个人不建议使用单独目录,太小家子气。
最少的服务如果实现
COM+SystemApplication
ComputerBrowser
CryptographicServices
DHCPClient
DistributedFileSystem
DistributedLinkTrackingServer
DistributedTransactionCoordinator
DNSClient
ErrorReportingService
FileReplication
HelpandSupport
HTTPSSL
HumanInterfaceDeviceAccess
IMAPICD-BurningCOMService
IndexingService
IntersiteMessaging
KerberosKeyDistributionCenter
LicenseLogging
LogicalDiskManagerAdministrativeService
Messenger
MicrosoftSoftwareShadowCopyProvider
MSSQLServerADHelper
NetLogon
NetMeetingRemoteDesktopSharing
NetworkConnections
NetworkDDE
NetworkDDEDSDM
NetworkLocationAwareness(NLA)
NetworkProvisioningService
NTLMSecuritySupportProvider
PerformanceLogsandAlerts
PrintSpooler
RemoteAccessAutoConnectionManager
RemoteAccessConnectionManager
RemoteDesktopHelpSessionManager
RemoteProcedureCall(RPC)Locator
RemoteRegistry
RemovableStorage
ResultantSetofPolicyProvider
RoutingandRemoteAccess
SecondaryLogon
Server
ShellHardwareDetection
SmartCard
SpecialAdministrationConsoleHelper
SQLSERVERAGENT
TaskScheduler
TCP/IPNetBIOSHelper
Telephony
Telnet
TerminalServicesSessionDirectory
Themes
UninterruptiblePowerSupply
UploadManager
VirtualDiskService
VolumeShadowCopy
WebClient
WindowsFirewall/InternetConnectionSharing(ICS)
WindowsImageAcquisition(WIA)
WindowsInstaller
WindowsManagementInstrumentationDriverExtensions
WindowsTime
WindowsUserModeDriverFramework
WinHTTPWebProxyAuto-DiscoveryService
WMIPerformanceAdapter
Workstation
话锋一转就到了系统权限设置与安全配置的实际操作阶段
系统设置网上有一句话是“最小的权限+最少的服务=最大的安全”。此句基本上是个人都看过,但我好像
没有看到过一篇讲的比较详细稍具全面的文章,下面就以我个人经验作一次教学尝试!
最小的权限如何实现?
NTFS系统权限设置在使用之前将每个硬盘根加上Administrators用户为全部权限(可选加入SYSTEM用户)
删除其它用户,进入系统盘:权限如下
C:\WINDOWSAdministratorsSYSTEM用户全部权限Users用户默认权限不作修改
其它目录删除Everyone用户,切记C:\DocumentsandSettings下AllUsers\DefaultUser目录及其子目录
如C:\DocumentsandSettings\AllUsers\ApplicationData目录默认配置保留了Everyone用户权限
C:\WINDOWS目录下面的权限也得注意,如C:\WINDOWS\PCHealth、C:\windows\Installer也是保留了Everyone权限.
删除C:\WINDOWS\Web\printers目录,此目录的存在会造成IIS里加入一个.printers的扩展名,可溢出攻击
默认IIS错误页面已基本上没多少人使用了。建议删除C:\WINDOWS\Help\iisHelp目录
删除C:\WINDOWS\system32\inetsrv\iisadmpwd,此目录为管理IIS密码之用,如一些因密码不同步造成500
错误的时候使用OWA或Iisadmpwd修改同步密码,但在这里可以删掉,下面讲到的设置将会杜绝因系统
设置造成的密码不同步问题。
打开C:\Windows搜索
net.exe;cmd.exe;tftp.exe;netstat.exe;regedit.exe;at.exe;attrib.exe;cacls.exe;format.com;
regsvr32.exe;xcopy.exe;wscript.exe;cscript.exe;ftp.exe;telnet.exe;arp.exe;edlin.exe;
ping.exe;route.exe;finger.exe;posix.exe;rsh.exe;atsvc.exe;qbasic.exe;runonce.exe;syskey.exe
修改权限,删除所有的用户只保存Administrators和SYSTEM为所有权限
关闭445端口
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\netBT\Parameters
新建“DWORD值”值名为“SMBDeviceEnabled”数据为默认值“0”
禁止建立空连接
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa
新建“DWORD值”值名为“RestrictAnonymous”数据值为“1”[2003默认为1]
禁止系统自动启动服务器共享
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters
新建“DWORD值”值名为“AutoShareServer”数据值为“0”
禁止系统自动启动管理共享
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters
新建“DWORD值”值名为“AutoShareWks”数据值为“0”
通过修改注册表防止小规模DDOS攻击
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters
新建“DWORD值”值名为“SynAttackProtect”数据值为“1”
禁止dumpfile的产生
dump文件在系统崩溃和蓝屏的时候是一份很有用的查找问题的资料。然而,它也能够给黑客提供一些敏感
信息比如一些应用程序的密码等。控制面板>系统属性>高级>启动和故障恢复把写入调试信息改成无。
关闭华医生Dr.Watson
在开始-运行中输入“drwtsn32”,或者开始-程序-附件-系统工具-系统信息-工具-DrWatson,调出系统
里的华医生Dr.Watson,只保留“转储全部线程上下文”选项,否则一旦程序出错,硬盘会读很久,并占
用大量空间。如果以前有此情况,请查找user.dmp文件,删除后可节省几十MB空间。
本地安全策略配置
开始>程序>管理工具>本地安全策略
账户策略>密码策略>密码最短使用期限改成0天[即密码不过期,上面我讲到不会造成IIS密码不同步]
账户策略>账户锁定策略>账户锁定阈值5次账户锁定时间10分钟[个人推荐配置]
本地策略>审核策略>
账户管理成功失败
登录事件成功失败
对象访问失败
策略更改成功失败
特权使用失败
系统事件成功失败
目录服务访问失败
账户登录事件成功失败
本地策略>安全选项>清除虚拟内存页面文件更改为"已启用"
>不显示上次的用户名更改为"已启用"
>不需要按CTRL+ALT+DEL更改为"已启用"
>不允许SAM账户的匿名枚举更改为"已启用"
>不允许SAM账户和共享的匿名枚举更改为"已启用"
>重命名来宾账户更改成一个复杂的账户名
>重命名系统管理员账号更改一个自己用的账号[同时可建立一个无用户组的Administrat账户]
组策略编辑器
运行gpedit.msc计算机配置>管理模板>系统显示“关闭事件跟踪程序”更改为已禁用
删除不安全组件
WScript.Shell、Shell.application这两个组件一般一些ASP木马或一些恶意程序都会使用到。
方案一:
regsvr32/uwshom.ocx卸载WScript.Shell组件
regsvr32/ushell32.dll卸载Shell.application组件
如果按照上面讲到的设置,可不必删除这两个文件
方案二:
删除注册表HKEY_CLASSES_ROOT\CLSID\{72C24DD5-D70A-438B-8A42-98424B88AFB8}对应WScript.Shell
删除注册表HKEY_CLASSES_ROOT\CLSID\{13709620-C279-11CE-A49E-444553540000}对应Shell.application
用户管理
建立另一个备用管理员账号,防止特殊情况发生。
安装有终端服务与SQL服务的服务器停用TsInternetUser,SQLDebugger这两个账号
用户组说明
在将来要使用到的IIS中,IIS用户一般使用Guests组,也可以再重新建立一个独立的专供IIS使用的组,但
要将这个组赋予C:\Windows目录为读取权限[单一读取]个人不建议使用单独目录,太小家子气。
黑色为自动
AutomaticUpdates[Windows自动更新,可选项]
COM+EventSystem
DCOMServerProcessLauncher
DistributedLinkTrackingClient
EventLog
IISAdminService
LogicalDiskManager
MicrosoftSearch
MSSQLSERVER
PlugandPlay
ProtectedStorage
RemoteProcedureCall(RPC)
SecurityAccountsManager
SystemEventNotification
TerminalServices
WindowsManagementInstrumentation
WirelessConfiguration
WorldWideWebPublishingService
以上操作完成以后是否就“最小的权限+最少的服务=最大的安全”呢?其实不然,任何事物都是相对的
依我个人而见,以上设置也只是最基本的一些东西而已,如有遗漏,稍后补上!
相关文章
- 被引次数前1%的论文中,中国数量第一
- 持续领先!腾讯安全位居IDC MarketScape中国零信任市场领导者
- 火绒安全入选《2022年中国数字安全百强报告》专精特新百强
- 腾讯安全列入Gartner《中国托管检测和响应服务市场指南》
- 解码2022中国网安强星丨聚焦高效办公与应用安全,网宿安全引领新风向
- 解码2022中国网安强星丨从“移动应用”到“万物互联”,梆梆安全做物联网时代的安全“守门人”
- 解码百度大脑“一叶红船见百年”AR互动:见证勇立潮头的“中国AI”
- IEEE 2021主席热门候选人,「中国科技圈的老朋友」赛义夫·拉曼教授,邀您投出宝贵一票!
- 中国能源网络安全大会举办,腾讯安全曹文炎分享安全原子能力在攻防实践中的应用
- 微软中国:4月8日后继续为中国XP用户提供安全保护
- 2017中国物联网安全峰会
- 中国人工智能40年(下)
- 现出众中国Redis崭露头角,引领国际标准(中国redis标准表)
- 从声学智能到智能助手,谁能成为中国版的Alexa? | CCF-GAIR 2017
- 从最高端CT投产来看,GE医疗“All in 中国 ”的三十年国产化战略