策略一:關閉windows2003不必要的服務
•computer browser 維護網路上計算機的最新列表以及提供這個列表
•task scheduler 允許程式在指定時間執行
•routing and remote Access 在區域網以及廣域網環境中為企業提供路由服務
•removable storage 管理可移動媒體、驅動程式和庫
•remote registry service 允許遠端登錄檔操作
•PRint spooler 將檔案載入到記憶體中以便以後列印。
•ipsec policy agent 管理ip安全策略及啟動isakmp/oakleyike)和ip安全驅動程式
•distributed link tracking client 當檔案在網路域的ntfs卷中移動時傳送通知
•com+ event system 提供事件的自動釋出到訂閱com元件
•alerter 通知選定的使用者和計算機管理警報
•error reporting service 收集、儲存和向 microsoft 報告異常應用程式
•messenger 傳輸客戶端和伺服器之間的 net send 和 警報器服務訊息
•telnet 允許遠端使用者登入到此計算機並執行程式
策略二:磁碟許可權設定
c盤只給administrators和system許可權,其他的許可權不給,其他的盤也可以這樣設定,這裡給的system許可權也不一定需要給,只是由於某些第三方應用程式是以服務形式啟動的,需要加上這個使用者,否則造成啟動不了。
windows目錄要加上給users的預設許可權,否則asp和aspx等應用程式就無法執行。
策略三:禁止 windows 系統進行空連線
在登錄檔中找到相應的鍵值hkey_local_machine/system/currentcontrolset/control/lsa,將dword值restrictanonymous的鍵值改為1
策略四:關閉不需要的埠
本地連線--屬性--internet協議(tcp/ip)--高階--選項--tcp/ip篩選--屬性--把勾打上,然後新增你需要的埠即可。(如:3389、21、1433、3306、80)
更改遠端連線埠方法
開始-->執行-->輸入regedit
查詢3389:
請按以下步驟查詢:
1、hkey_local_machinesystemcurrentcontrolsetcontrol erminal serverwds dpwd ds cp下的portnumber=3389改為自寶義的埠號
2、hkey_local_machinesystemcurrentcontrolsetcontrol erminal serverwinstations dp-tcp下的portnumber=3389改為自寶義的埠號
修改3389為你想要的數字(在十進位制下)----再點16進位制(系統會自動轉換)----最後確定!這樣就ok了。
這樣3389埠已經修改了,但還要重新啟動主機,這樣3389埠才算修改成功!如果不重新啟動3389還
是修改不了的!重起後下次就可以用新埠進入了!
禁用tcp/ip上的netbiOS
本地連線--屬性--internet協議(tcp/ip)--高階—wins--禁用tcp/ip上的netbios
策略五:關閉預設共享的空連線
首先編寫如下內容的批處理檔案:
@echo off
net share c$ /delete
net share d$ /delete
net share e$ /delete
net share f$ /delete
net share admin$ /delete
以上檔案的內容使用者可以根據自己需要進行修改。儲存為delshare.bat,存放到系統所在資料夾下的system32grouppolicyuserscriptslogon目錄下。然後在開始選單→執行中輸入gpedit.msc,
回車即可開啟組策略編輯器。點選使用者配置→windows設定→指令碼(登入/登出)→登入.
在出現的“登入 屬性”視窗中單擊“新增”,會出現“新增指令碼”對話方塊,在該視窗的“指令碼名”欄中輸入delshare.bat,然後單擊“確定”按鈕即可。
重新啟動計算機系統,就可以自動將系統所有的隱藏共享資料夾全部取消了,這樣就能將系統安全隱患降低到最低限度。
策略六:iis安全設定
1、不使用預設的web站點,如果使用也要將iis目錄與系統磁碟分開。
2、刪除iis預設建立的inetpub目錄(在安裝系統的盤上)。
3、刪除系統盤下的虛擬目錄,如:_vti_bin、iissamples、scripts、iishelp、iisadmin、iishelp、msadc。
4、刪除不必要的iis副檔名對映。
右鍵單擊“預設web站點→屬性→主目錄→配置”,開啟應用程式視窗,去掉不必要的應用程式對映。主要為.shtml、shtm、stm。
5、更改iis日誌的路徑
右鍵單擊“預設web站點→屬性-網站-在啟用日誌記錄下點選屬性
策略七:登錄檔相關安全設定
1、隱藏重要檔案/目錄
hkey_local_machinesoftwaremicrosoftwindowscurrent-versionexploreradvancedfolderhiddenshowall”
滑鼠右擊 “checkedvalue”,選擇修改,把數值由1改為0。
2、防止syn洪水攻擊
hkey_local_machinesystemcurrentcontrolsetservices cpipparameters
新建dword值,名為synattackprotect,值為2
3、禁止響應icmp路由通告報文
hkey_local_machinesystem currentcontrolset services cpipparametersinterfacesinterface
新建dword值,名為performrouterdiscovery 值為0。
4、防止icmp重定向報文的攻擊
hkey_local_machinesystemcurrentcontrolsetservices cpipparameters
將enableicmpredirects 值設為0
5、不支援igmp協議
hkey_local_machinesystemcurrentcontrolsetservices cpipparameters
新建dword值,名為igmplevel 值為0。