一 設置和管理賬戶
1、系統管理員賬戶最好少建,更改默認的管理員帳戶名(Administrator)和描述,
密碼最好採用數字加大小寫字母加數字的上檔鍵組合,長度最好不少於14位。
2、新建一個名爲Administrator的陷阱帳號,爲其設置最小的權限,然後隨便輸入
組合的最好不低於20位的密碼。
3、將Guest賬戶禁用並更改名稱和描述,然後輸入一個複雜的密碼,然後禁用。
4、開始-程序-管理工具-本地安全策略,選擇
計算機配置-Windows設置-安全設置-賬戶策略-賬戶鎖定策略,
將賬戶設爲“三次登陸無效”,“鎖定時間爲30分鐘”,“復位鎖定計數設爲10分鐘”。
5、在安全設置-本地策略-安全選項中將“不顯示上次的用戶名”設爲啓用 。
6. 本地策略-安全選項-對匿名連接的額外限制.選擇(不允許枚舉 SAM 帳號和共享)
二 網絡服務安全管理
1、禁止C$、D$、ADMIN$一類的缺省共享
打開註冊表,HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services/lanmanserver/parameters,
在右邊的窗口中新建Dword值,名稱設爲AutoShareServer值設爲0. 註冊表不瞭解.不要隨便更改.
2、 解除NetBios與TCP/IP協議的綁定
右擊網上鄰居-屬性-右擊本地連接-屬性-雙擊Internet協議-高級-Wins-禁用TCP/IP上的NETBIOS
3、關閉不需要的服務,以下爲建議選項
開始-所有程序-管理工具-服務
Computer Browser:維護網絡計算機更新,禁用
Distributed File System: 局域網管理共享文件,不需要禁用
Distributed linktracking client:用於局域網更新連接信息,不需要禁用
Error reporting service:禁止發送錯誤報告
Microsoft Serch:提供快速的單詞搜索,不需要可禁用
NTLMSecuritysupportprovide:telnet服務和Microsoft Serch用的,不需要禁用
PrintSpooler:如果沒有打印機可禁用
Remote Registry:禁止遠程修改註冊表
Remote Desktop Help Session Manager:禁止遠程協助
Messenger:信使服務(windows2000)
Task Scheduler: 允許程序在指定時間運行(不用計劃任務就禁用掉)
TCP/IP NetBIOS Helper Service: NetBIOS (NetBT)”服務以及 NetBIOS 名稱解析的支持
注:新上架的服務器已經做過其他安全設置只開以下端口,需要開其他端口可以在。
右擊網上鄰居-屬性-Internet協議(TCP/IP)屬性-高級-選項-TCP/IP篩選-屬性-TCP端口-添加
你想要開的端口.
默認開啓的端口列表:
FTP:20.21
mail:25.110
Web:80
pcanywhere:5631
遠程桌面:3389 (3389不要關閉,否則將無法遠程連接)
三 系統安全管理
1.對於系統的NTFS磁盤權限設置,C盤只給administrators 和system權限,其他的權限不給,
其他的盤也可以這樣設置,這裏給的system權限也不一定需要給,
只是由於某些第三方應用程序是以服務形式啓動的,需要加上這個用戶,否則造成啓動不了。
2. Windows目錄要加上給users的默認權限,否則ASP和ASPX等應用程序就無法運行。
3. 另外在c:/Documents and Settings/這裏相當重要,
後面的目錄裏的權限根本不會繼承從前的設置,如果僅僅只是設置了C盤給administrators權限,
而在All Users/Application Data目錄下會 出現everyone用戶有完全控制權限,
這樣入侵這可以跳轉到這個目錄,寫入腳本或只文件,再結合其他漏洞來提升權限.
4. net.exe,cmd.exe,tftp.exe,netstat.exe,regedit.exe,at.exe,attrib.exe,cacls.exe
這些文件都設置只允許administrators.system訪問.guests禁止訪問
四 打開相應的審覈策略
開始-程序-管理工具-本地安全策略-安全設置-本地策略-審覈策略
注:windows2003已經開啓部分.windows2000沒有開啓.可以根據實際情況來設置.
推薦的要審覈的項目是:
登錄事件 成功 失敗
賬戶登錄事件 成功 失敗
系統事件 成功 失敗
策略更改 成功 失敗
對象訪問 失敗
目錄服務訪問 失敗
特權使用 失敗
btw:
查看端口被哪個進程佔用:
C:/>netstat -aon|findstr "80"
TCP 127.0.0.1:80 0.0.0.0:0 LISTENING 2448
看到了嗎,端口被進程號爲2448的進程佔用,繼續執行下面命令:
C:/>tasklist|findstr "2448"
thread.exe 2016 Console 0 16,064 K
很清楚吧,thread佔用了你的端口,Kill it