|
基本安全策略:
1、物理安全
2、禁用guest和TsInternetUser账号,并设置复杂的密码
如果TsInternetUser不存在,请创建
3、去除不需要使用的账号
a、去掉冗余、测试、共享、通用等不需要使用的账号
b、确认使用的账号,请使用组策略分配权限,并把用户审计打开
4、创建两个管理账号
a、一个为普通账号,一个具有管理权限的账号,把管理工作和日常工作分开
b、尽量使用"运行……"功能来进行管理
5、更改administrator账号名字
可以阻止一些普通骚扰者
不要用administrator类似名字
6、可以考虑创建一个虚假的管理员账号
另外的策略是创建Administrator的本地账号,并且不给与任何权限,同时具备10位以上复杂密码,把
用户审计打开,可以观察到一些入侵者
7、对于共享目录,把"everyone"更改为授权用户
8、密码安全
密码必须最少8位以上,包括数字、字母等,并且最好能通过暴力破解程序的字典进行检验
9、屏幕保护添加密码
10、所有分区使用ntfs
11、经常运行病毒查杀程序
12、对备份程序、设备进行安全加强
中级安全策略:
1、使用win2k的安全配置工具进行安全策略配置
2、不允许存在未进行监控的modem
3、关闭不需要的服务
a、自动启动
DNS Client仅仅当你需要DNS才启用
Event Log
Logical Disk Manager(LDM)
Network Connections
plug and play
Protected Strorage
RPC
RunAs Service
Security Accounts Manager(SAM)
Task Scheduler
Windows Mangement Instrumentation(WMI)
WMI Driver Extensions
UPS —— 只有当你的系统自带UPS
b、将Logical Disk Manager Administrative Service配置成手工启动
c、其他服务禁用
4、关闭不需要的端口
a、常用端口列表: %systemroot%\drivers\etc\services
b、Control Panel > Network and Dial Up Connections > Local Area Connection > Internet Protocol (TCP/IP) > Properties > Advanced > Options > TCP/IP Filtering
来对端口进行管理
5、打开审计功能
最基本的入侵检测功能就是把win2k的审计功能打开,它会告诉你更改账号策略、密码破解尝试入侵、未授权的文件访问等等
本地安全设置 > 本地策略 > 审核策略
审计配置:
事件 审计级别
登录事件 成功,失败
账户管理 成功,失败
账户登录事件 成功,失败
对象访问 成功
策略更改 成功,失败
特权使用 成功,失败
系统事件 成功,失败
6、设置安全事件日志的权限
事件日志缺省并没有任何保护措施,应该设置只有管理员和系统账号对日志有权限
7、防止登陆框显示上次用户登陆用户名
本地安全设置 > 本地策略 > 安全选项 > 登录屏幕上不要显示上次登陆的用户名
8、从微软网站检查最新的补丁
http://www.microsoft.com/TechNet/security/default.asp
高级安全设置:
1、对移动设备设置开机密码
2、关闭DirectDraw
运行regedit.exe编辑
HKLM\SYSTEM\CurrentControlSet\Control\GraphicsDrivers\DCI
设置Timeout(REG_DWORD) 为 0
3、关闭缺省的共享目录
a、Control Panel > Administration Tools > Services关闭“server”服务
b、或者运行regedit编辑
HKeyLocal Machine\SYSTEM\CurrentControlSet\Services\LanManServer\Parameters
设置AutoShareServer(REG_DWORD) 为 0
4、禁用dump文件生成
Control Panel > System Properties > Advanced > Startup and Recovery
写入调试信息关闭
5、使用EFS(加密文件系统)
http://www.labmice.net/Windows2000/FileMgmt/EFS.htm
6、对注册表进行锁定
7、冠机清除页面交换文件
HKLM\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management
更改ClearPageFileAtShutdown 为 1
8、禁止系统先从软盘、cd-rom等其他物理设备启动
9、关闭cd-rom等其他物理设备自动启动能力
HKEY_LOCAL_MACHINE \SYSTEM \CurrentControlSet \Services Cdrom
AutoRun 设置为 0
10、去除OS/2和posix子系统
a、删除 \winnt\system32\os2 目录
b、注册表删除如下健
Key:
HKEY_LOCAL_MACHINE\SOFTWARE
Subkey:
Microsoft\OS/2 Subsystem for NT
Entry:
delete all subkeys
Key:
HKEY_LOCAL_MACHINE\SYSTEM
Subkey:
CurrentControlSet\Control\Session Manager\Environment
Entry:
Os2LibPath
Value:
delete entry
Key:
HKEY_LOCAL_MACHINE\SYSTEM
Subkey:
CurrentControlSet\Control\Session Manager\SubSystems
Entry:
Optional
Values:
delete entry
Key:
HKEY_LOCAL_MACHINE\SYSTEM
Subkey:
CurrentControlSet\Control\Session Manager\SubSystems
Entry:
delete entries for OS2 and POSIX
11、使用smartcard或者其他设备代替密码进行验证
12、使用ipsec |
|