新闻中心 | 用户管理 | 代理管理 | 独立面板 | 付款方式 | 返回主站
严禁色情、反动、仿牌、私服、病毒、SPAM网站,违者一律删除,不予备份。
服务器客户请登录http://www.idcpay.com/client/
产品管理
域名管理
主机管理
邮箱管理
数据库管理
 
用户管理
用户资料
财务管理
客服答疑
发票申请
在线支付
安全退出
重新登录
 
在线自助开通
开通虚拟主机
开通数据库
 

首页产品介绍
 

    windows2003完全安全设置
 

Windows2003完全安全设置

此文原作者:网宝科技Mr.Chen ,转载请注明出处。


第一步:

征得客户同意下,打开Windows系统防火墙。防火墙的设置要记得允许“远程桌面”。

第二步:

查看系统有没有打开共享,如果有打开,右击“网络邻居”,“属性”,关闭“打印机和远程共享”。

运行“netstat -an”,查看系统打开了哪些端口。

关闭137,138,139,445端口

139是NETBIOS使用的端口,在“网络邻居”属性,“TCP/IP协议”的属性的WINS项中,关闭NETBIOS共享

445是文件共享的端口,改注册表:HLM\systme\currentcontrolset\services\netbt\parameters,新建一个DWORD类型的“SMBDevivceEnabled”值为0

第三步:

右击“我的电脑”,“管理”,“共享文件夹”,查看共享了哪些文件夹。

关闭C$,D$....HLM\system\currentcontrolset\services\lanmanserver\parameters,新建一个DWORD类型的“AutoShareServer”值为0

关闭admin$ HLM\system\currentcontrolset\services\lanmanserver\parameters,新建一个DWORD类型的“AutoShareWKs”值为0

关闭IPC$ HLM\system\currentcontrolset\control\lsa,将“restrictanonymous”值为1, “restrictanonymoussam”值为1

第四步:

建立另一个备用管理员账号

安装有终端服务和SQL服务停用TsInternetUser,和SQLDebugger账号

为guest账号加上复杂的密码,并禁用。

第五步:最少服务

可放心关闭的服务:

Alerter

Computer Browser

ClipBook

DNS Client

Error Reporting Service

Help and Support

Human Interface Device Access

Indexing Service

IMAPI CD-Buring COM Service

Messenger

NetMeeting Remote Desktop Sharing

Print Spooler

Performance Logs and Alerts

Removable Storage

Remote Registry

Remote Desktop Help Session Manager

Remoter Access Auto Connection Manager

RPC Locator

Shell Hardware Detection

Secondary Logon

System Event Notification

TCP/IP NETBIOS Helper Service

Telnet

Themes

Volume Shadow Copy

WebClient

Windows Audio

Windows Image Acquistition

Wireless Zero Configuration

不做为域,域成员可关闭的服务:

Application Management

Distributed File System

Distributed Link Tracking Client

Intersite Messaging

Kerberos Key Distribution Center

License Logging Service

Net Logon

按需要而定:

Automatic Updates 自动更新

Background Intelligent Transfer Service 自动更新所需

Application Layer Gateway Service 防火墙所需

COM+Event System program files\ComPlus Application目录,如果没有东西可以关闭

COM+System Application 事件监视器内的DCOM没有启动,可以关闭

DHCP Client 与DHCP Server相连的需要

DNS Server DNS服务器

Distributed Transaction Coordinator 消息队列服务需要

NTLM Security Support Provider 消息队列服务需要

FTP Publishing IIS的FTP服务

Protected Storage CAserver,SSL所需

Routing and Remote Access VPN服务

Smart Card 智能卡

Server 共享文件或打印机服务,共享管道

Task Scheduler 计划任务

Windows Management Instrumentation 监视和管理服务

WorkStation VPN拨入设置需要

WMI Performance Adapter WMI性能适配器服务

Windows Firewall/Internet Conncetion Sharing 防火墙

手动:

Logical Disk Manager

Logical Disk Manager Administrative Service

Network DDE

Network DDE DSDM

Network Location Awareness

第六步:最小权限

删除目录

c:\windows\web\printers

c:\windwos\Help\iisHelp

权限设置

硬盘的根权限:administrators,system完全控制

c:\windows: adminstrtors,system完全控制,Users默认权限

c:\Documentand Settings\ ALL Users,Default Users保留everyone用户权限

c:\Windows\PCHealth,Install保留everyone权限

其他目录删除everyone权限

以下系统命令只保留adminstrator,system权限:

arp.exe

at.exe

attrib.exe

atsvc.exe

cacls.exe

cmd.exe

cscripts.exe

edlin.exe

finger.exe

format.com

ftp.exe

net.exe

netstat.exe

ping.exe

posix.exe

qbasic.exe

regsvr32.exe

rsh.exe

runonce.exe

regedit.exe

syskey.exe

tftp.exe

telnet.exe

wscript.exe

xcopy.exe

第七步:安全策略

本地安全策略--账户策略--密码策略

本地安全策略--本地策略--审核策略,是否记录在事件日志中

本地安全策略--本地策略--安全选项

新建一个administrator账户,密码复杂,用户组为空

运行“gpedit,msc”,计算机配置--管理模板--系统

第八步:关闭不安全组件

regsvr32 /u wshom.ocx

regsvr32 /u shell32.dll

第九步:其他一些设置

抵御SYN攻击:

HLM\system\currentcontrolset\service,新建DWORD类SynAttackProtect,值为2

TcpMaxPortsExhausted,值为5

TcpMaxHalfOpen,值500

TcpMaxHalfOpenRetried,值400

TcpMaxConnectResponseRetransmissions,值2

TcpMaxDataRetransmissions,值2

EnablePMTUDiscovery,值0

KeepAliveTime,值300000

NoNameReleaseOnDemand,值1

抵御ICMP攻击:

HLM\system\currentcontrolset\services\AFD\parametere,新建DWORD类EnableDeadGWDetect,值0

AFD.SYS保护: EnableDynamicBacklog,值1

MinimunDynamicBacklog,值20

MaximumDynamicBacklog,值20000

DynamicBacklogGrowthDelta,值10

保护屏蔽的网络细节

HLM\system\currentcontrolset\services\Tcpip\parameters,新建DWORD类DisableIPSoureceRouting,值1

避免接受数据包片段 EnableFragmentChecking,值1

不转发去往多台主机的数据包 EnableMulticastForwarding,值0

只有防火墙可以转发数据包 IPEnableRouter,值0

屏蔽网络拓扑结构细节 EnableAddrMaskReply,值0





 


Copyright©2008-2019 IDCPAY.COM, L.L.C. All rights reserved.