⑴三、系统权限的设置
⑵系统盘及所有磁盘只给 Administrators 组和 SYSTEM 的完全控制权限
⑶系统盘Documents and Settings 目录只给 Administrators 组和 SYSTEM 的完全控制权限
⑷系统盘Documents and SettingsAll Users 目录只给 Administrators 组和 SYSTEM 的完全控制权限
⑸系统盘WindowsSystemcacls.exe、 cmd.exe、.exe、.exe、ftp.exe、tftp.exe、tel.exe 、 stat.exe、regedit.exe、at.exe、attrib.exe、format.、del文件只给 Administrators 组和SYSTEM 的完全 控制权限
⑹另将Systemcmd.exe、format.、ftp.exe转移到其他目录或更名
⑺Documents and Settings下所有些目录都设置只给adinistrators权限。并且要一个一个目录查看,包括下面的所有子目录。
⑻删除c:ipub目录
⑼、本地安全策略设置
⑽开始菜单—>管理工具—>本地安全策略
⑾A、本地策略——>审核策略
⑿审核策略更改成功失败
⒀审核登录事件成功失败
⒁审核对象访问失败审核过程跟踪无审核
⒂审核目录服务访问失败
⒃审核特权使用失败
⒄审核系统事件成功失败
⒅审核账户登录事件成功失败
⒆审核账户管理成功失败
⒇B、本地策略——>用户权限分配
⒈关闭系统:只有Administrators组、其它全部删除。
⒉通过终端服务允许登陆:只加入Administrators,Remote Desktop Users组,其他全部删除
⒊C、本地策略——>安全选项
⒋交互式登陆:不显示上次的用户名启用
⒌网络访问:不允许SAM帐户和共享的匿名枚举 启用
⒍网络访问:不允许为网络身份验证储存凭证启用
⒎网络访问:可匿名访问的共享全部删除
⒏网络访问:可匿名访问的命全部删除
⒐网络访问:可远程访问的注册表路径全部删除
⒑网络访问:可远程访问的注册表路径和子路径全部删除
⒒帐户:重命名来宾帐户重命名一个帐户
⒓帐户:重命名系统管理员帐户重命名一个帐户
⒔、禁用不必要的服务 开始-运行-services.msc
⒕TCP/IPBIOS Helper提供 TCP/IP 服务上的 BIOS 和网络上客户端的 BIOS 名称解析的支持而使用户能够共享
⒖文件、打印和登录到网络
⒗Server支持此计算机通过网络的文件、打印、和命名管道共享
⒘puter Browser 维护网络上计算机的最新列表以及提供这个列表
⒙Task scheduler 允许程序在指定时间运行
⒚Messenger 传输客户端和服务器之间的 SEND 和 警报器服务消息
⒛Distributed File System: 局域网管理共享文件,不需要可禁用
①Distributed linktracking client:用于局域网更新连接信息,不需要可禁用
②Error reporting service:禁止发送错误报告
③Microsoft Serch:提供快速的单词搜索,不需要可禁用
④NTLMSecuritysupportprovide:tel服务和Microsoft Serch用的,不需要可禁用
⑤PrintSpooler:如果没有打印机可禁用
⑥Remote Registry:禁止远程修改注册表
⑦Remote Desktop Help Session Manager:禁止远程协助
⑧Workstation 关闭的话远程命令列不出用户组
⑨以上是在Windows Server 系统上面默认启动的服务中禁用的,默认禁用的服务如没特别需要的话不要启动。
⑩修改注册表,让系统更强壮
Ⅰ、隐藏重要文件/目录可以修改注册表实现完全隐藏
ⅡHKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows Current-VersionExplorerAdvancedFolderHi-ddenSHOWALL”,鼠标右击 “CheckedValue”,选择修改,把数值由改为
Ⅲ、防止SYN洪水攻击
ⅣHKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesTcpipParameters
Ⅴ新建DWORD值,名为SynAttackProtect,值为
Ⅵ新建EnablePMTUDiscovery REG_DWORD
Ⅶ新建NoNameReleaseOnDemand REG_DWORD
Ⅷ新建EnableDeadGWDetect REG_DWORD
Ⅸ新建KeepAliveTime REG_DWORD ,
Ⅹ新建PerformRouterDiscovery REG_DWORD
㈠新建EnableICMPRedirects REG_DWORD . 禁止响应ICMP路由通告报文
㈡HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesTcpipParametersInterfacesinterface
㈢新建DWORD值,名为PerformRouterDiscovery 值为
㈣. 防止ICMP重定向报文的攻击
㈤HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesTcpipParameters
㈥将EnableICMPRedirects 值设为
㈦. 不支持IGMP协议
㈧HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesTcpipParameters
㈨新建DWORD值,名为IGMPLevel 值为
㈩、禁止IPC空连接:
cracker可以利用 use命令建立空连接,进而入侵,还有 view,nBTstat这些都是基于空连接的,禁止空连接就好了。
Local_MachineSystemCurrentControlSetControlLSA-RestrictAnonymous 把这个值改成””即可。