电脑技术学习

Windows2003服务器安全加固方案(一)

dn001

B、本地策略——>用户权限分配

关闭系统:只有Administrators组、其它全部删除。

通过终端服务拒绝登陆:加入Guests、User组

通过终端服务允许登陆:只加入Administrators组,其他全部删除

C、本地策略——>安全选项

交互式登陆:不显示上次的用户名 启用

网络访问:不允许SAM帐户和共享的匿名枚举启用

网络访问:不允许为网络身份验证储存凭证 启用

网络访问:可匿名访问的共享 全部删除

网络访问:可匿名访问的命全部删除

网络访问:可远程访问的注册表路径全部删除

网络访问:可远程访问的注册表路径和子路径全部删除

帐户:重命名来宾帐户重命名一个帐户

帐户:重命名系统管理员帐户 重命名一个帐户

4.本地账户策略:

在账户策略->密码策略中设定:

密码复杂性要求启用

密码长度最小值 6位

强制密码历史 5次

最长存留期 30天

在账户策略->账户锁定策略中设定:

账户锁定 3次错误登录

锁定时间 20分钟

复位锁定计数 20分钟

5. 修改注册表配置:

5.1 通过更改注册表

local_machinesystemcurrentcontrolsetcontrollsa-restrictanonymous = 1来禁止139空连接

5.2 修改数据包的生存时间(ttl)值

hkey_local_machinesystemcurrentcontrolsetservicestcpipparameters

defaultttl reg_dword 0-0xff(0-255 十进制,默认值128)

5.3 防止syn洪水攻击

hkey_local_machinesystemcurrentcontrolsetservicestcpipparameters

synattackprotect reg_dword 0x2(默认值为0x0)

5.4禁止响应icmp路由通告报文

hkey_local_machinesystemcurrentcontrolset

servicestcpipparametersinterfacesinterface

performrouterdiscovery reg_dword 0x0(默认值为0x2)

5.5防止icmp重定向报文的攻击

hkey_local_machinesystemcurrentcontrolsetservicestcpipparameters

enableicmpredirects reg_dword 0x0(默认值为0x1)

5.6不支持igmp协议

hkey_local_machinesystemcurrentcontrolsetservicestcpipparameters

5.7修改3389默认端口:

运行 Regedt32 并转到此项:

HKEY_LOCAL_MACHINESystemCurrentControlSetControl

Terminal ServerWinStationsRDP-Tcp, 找到“PortNumber子项,您会看到值 00000D3D,它是 3389 的十六进制表示形式。使用十六进制数值修改此端口号,并保存新值。

禁用不必要的服务不但可以降低服务器的资源占用减轻负担,而且可以增强安全性。下面列出了

igmplevel reg_dword 0x0(默认值为0x2)

5.8 设置arp缓存老化时间设置

hkey_local_machinesystemcurrentcontrolsetservices:tcpipparameters

arpcachelife reg_dword 0-0xffffffff(秒数,默认值为120秒)

arpcacheminreferencedlife reg_dword 0-0xffffffff(秒数,默认值为600)

5.9禁止死网关监测技术

hkey_local_machinesystemcurrentcontrolsetservices:tcpipparameters

enabledeadgwdetect reg_dword 0x0(默认值为ox1)

5.10 不支持路由功能

hkey_local_machinesystemcurrentcontrolsetservices:tcpipparameters

ipenablerouter reg_dword 0x0(默认值为0x0)