Win2003 安全設置大全
2024-09-10 16:49:20
供稿:網友
就“最小的權限+最少的服務=最大的安全”呢?其實不然,任何事物都是相對的依我個人而見,以上設置也只是最基本的一些東西而已 NTFS系統權限設置 在使用之前將每個硬盤根加上 Administrators 用戶為全部權限(可選加入SYSTEM用戶)
刪除其它用戶,進入系統盤:權限如下
C:/WINDOWS Administrators SYSTEM用戶全部權限 Users 用戶默認權限不作修改
其它目錄刪除Everyone用戶,切記C:/Documents and Settings下All Users/Default User目錄及其子目錄
如C:/Documents and Settings/All Users/Application Data 目錄默認配置保留了Everyone用戶權限
C:/WINDOWS 目錄下面的權限也得注意,如 C:/WINDOWS/PCHealth、C:/windows/Installer也是保留了Everyone權限.
刪除C:/WINDOWS/Web/printers目錄,此目錄的存在會造成IIS里加入一個.printers的擴展名,可溢出攻擊
默認IIS錯誤頁面已基本上沒多少人使用了。建議刪除C:/WINDOWS/Help/iisHelp目錄
刪除C:/WINDOWS/system32/inetsrv/iisadmpwd,此目錄為管理IIS密碼之用,如一些因密碼不同步造成500
錯誤的時候使用 OWA 或 Iisadmpwd 修改同步密碼,但在這里可以刪掉,下面講到的設置將會杜絕因系統
設置造成的密碼不同步問題。
打開C:/Windows 搜索
net.exe;cmd.exe;tftp.exe;netstat.exe;regedit.exe;at.exe;attrib.exe;cacls.exe;format.com;
regsvr32.exe;xcopy.exe;wscript.exe;cscript.exe;ftp.exe;telnet.exe;arp.exe;edlin.exe;
ping.exe;route.exe;finger.exe;posix.exe;rsh.exe;atsvc.exe;qbasic.exe;runonce.exe;syskey.exe
修改權限,刪除所有的用戶只保存Administrators 和SYSTEM為所有權限
關閉445端口
HKEY_LOCAL_MACHINE/System/CurrentControlSet/Services/netBT/Parameters
新建 “DWORD值”值名為 “SMBDeviceEnabled” 數據為默認值“0”
禁止建立空連接
HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Control/Lsa
新建 “DWORD值”值名為 “RestrictAnonymous” 數據值為“1” [2003默認為1]
禁止系統自動啟動服務器共享
HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services/LanmanServer/Parameters
新建 “DWORD值”值名為 “AutoShareServer” 數據值為“0”
禁止系統自動啟動管理共享
HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services/LanmanServer/Parameters
新建 “DWORD值”值名為 “AutoShareWks” 數據值為“0”
通過修改注冊表防止小規模DDOS攻擊
HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services/Tcpip/Parameters
新建 “DWORD值”值名為 “SynAttackProtect” 數據值為“1”
禁止dump file的產生
dump文件在系統崩潰和藍屏的時候是一份很有用的查找問題的資料。然而,它也能夠給黑客提供一些敏感
信息比如一些應用程序的密碼等。控制面板>系統屬性>高級>啟動和故障恢復把 寫入調試信息 改成無。
關閉華醫生Dr.Watson
在開始-運行中輸入“drwtsn32”,或者開始-程序-附件-系統工具-系統信息-工具-Dr Watson,調出系統
里的華醫生Dr.Watson ,只保留“轉儲全部線程上下文”選項,否則一旦程序出錯,硬盤會讀很久,并占
用大量空間。如果以前有此情況,請查找user.dmp文件,刪除后可節省幾十MB空間。
本地安全策略配置
開始 > 程序 > 管理工具 > 本地安全策略
賬戶策略 > 密碼策略 > 密碼最短使用期限 改成0天[即密碼不過期,上面我講到不會造成IIS密碼不同步]
賬戶策略 > 賬戶鎖定策略 > 賬戶鎖定閾值 5 次 賬戶鎖定時間 10分鐘 [個人推薦配置]
