Windows系统加固方案

 

对于我们常用的windows服务器,我们可以通过下面的一些方法进行系统加固。

 

帐户管理

帐户加固步骤:

1、  删除Guest账号

2、  限制不必要的用户

3、  Administrator改名 (注意应用程序依存关系)。

4、  创建一个陷阱用户

5、开启密码策略

组策略配置

策略配置步骤:

1、  设置帐号锁定阀值为3次无效登录,锁定时间为30分钟。

2、  从通过网络访问此计算机中删除Everyone组。

3、  在用户权利指派下,从通过网络访问此计算机中删除Power UsersBackup Operators

4、  为交互登录启动消息文本。

5、  启用 不允许匿名访问SAM帐号和共享。

6、  启用 不允许为网络验证存储凭据或Passport

7、  启用 在下一次密码变更时不存储LANMAN哈希值。

8、  启用 清除虚拟内存页面文件。

9、  禁止IIS匿名用户在本地登录。

10、启用 交互登录:不显示上次的用户名。

11、从文件共享中删除允许匿名登录的DFS$COMCFG

12、禁用活动桌面。

强化TCP协议栈

强化TCP协议步骤:(对提供网络服务的主机不建议加固)

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\TcpIP\Parameters]

“SynAttackProtect”=dword:00000001

“EnablePMTUDiscovery”=dword:00000000

“NoNameReleaseOnDemand”=dword:00000001

“EnableDeadGWDetect”=dword:00000000

“KeepAliveTime”=dword:00300000

“PerformRouterDiscovery”=dword:00000000

  “TcpMaxConnectResponseRetransmissions”=dword:00000003

“TcpMaxHalfOpen”=dword:00000100

“TcpMaxHalfOpenRetried”=dword:00000080

“TcpMaxPortsExhausted”=dword:00000005

文件/目录控制

1、  删除NTFS默认访问Everyone权限。

2、设置NTFS认访问权限为AdministratorSystem

系统信任

关系

其它安全

配置

1、禁止(更改或删除)常用DOS命令。

cmd.execmd32.exenet.exenet1.exeIPconfig.exetftp.exeftp.exeuser.exe reg.exeregedit.exeregedt32.exeregsvr32.exe

把这些命令放入到特定目录或移动设备上

 

你可能感兴趣的:(windows)