四川红网

  1. 首页 > 生活经验 > >

微软Windows系统安全配置。服务安全选项注册表用户还知多少?

生活百科生活知道

在安全设计和配置方面 , 提供了详多安全机制 , 以供使用者根据自身情况进行安全配置,只是大家没有学到 , 没有做相关配置 。在安全行业内,根据系统使用者、信息系统的情况,对操作系统的安全配置,有一个好听的名字,叫安全加固 。
今天就以此文为媒介教大家配置下部分安全设置 。
关闭不需要的服务
运行:.msc
找到并根据自己的需求禁用以下服务
:维护网络计算机更新,禁用
File : 局域网管理共享文件 , 不需要禁用
:用于局域网更新连接信息,不需要禁用
Error:禁止发送错误报告
Serch:提供快速的单词搜索 , 不需要可禁用
:服务和 Serch用的,不需要禁用
:如果没有打印机可禁用
:禁止远程修改注册表
Help:禁止远程协助
设置和管理账户
运行:.msc
将Guest账户禁用并更改称号和描绘,然后输入一个复杂的密码
系统管理员账户最好少建,更改默许的管理员帐户名()和描绘,密码最好采用数字加大小写字母加数字的上档键组合,长度最好不少于10位
新建一个名为的圈套帐号,为其设置最小的权限,然后随意输入组合的最好不低于20位的密码
运行:.msc
本地策略-安全选项
找到并根据自己的需求禁用以下选项
计算机配置-设置-安全设置-账户策略-账户锁定策略,将账户设为“三次登陆无效 时间为30分钟
【微软Windows系统安全配置。服务安全选项注册表用户还知多少?】在安全设置-本地战略-平安选项中将“不显示上次的用户名”设为启用
点开相应的审核策略
运行:.msc
本地策略-审核策略
找到并根据自己的需求使用以下选项
审核策略更改:成功
审核登录事件:成功,失败
审核对象访问:失败
审核对象追踪:成功,失败
审核目录服务访问:失败
审核特权使用:失败
审核系统事件:成功,失败
审核账户登录事件:成功,失败
审核账户管理:成功,失败
其它安全相关设置
运行:
制止C$、D$、ADMIN$一类的缺省共享
\\
在右边的 窗口中新建Dword值,称号设为值设为0
隐藏重要文件/目录
\\\\
鼠标右击“”,选择修正,把数值由1改为0
避免SYN洪水攻击
\\Tcpip
新建DWORD 值,名为,值为2
制止响应ICMP路由通告报文
\\Tcpip\
新建DWORD值,名为ry 值为0
避免ICMP重定向报文的攻击
\\Tcpip
将 值设为0
不支持IGMP协议
\\Tcpip
新建DWORD 值,名为 值为0
远程桌面服务的默认端口为3389,可考虑修改为别的端口
\\ \RDP-Tcp
修改的值为要使用的端口 。
客户端:按正常步骤建一个客户端衔接,选中这个衔接,在“文件”菜单当选择导出 , 在指定位置会 生成一个后缀为.cns的文件 。翻开该文件,修正“ Port”值为与服务端的对应的 值 。然后再导入该文件(办法:菜单→文件→导入),这样客户端就可以连接 。
禁用DCOM
运行:.exe
单击“控制台根节点”下的“组件服务” 。点开“计算机”子 文件夹 。
关于本地计算机,请以右键单击“我的电脑”,然后选择“属 性” 。选择“默许属性”选项卡 。取消“在这台计算机上启用分布式 COM”复选框 。
解除与TCP/IP协议的绑定
控制面板网络和 网络连接
右击已经连接到网络的网络适配器-属性-双击协议(IPv4)-高级-Wins-禁用TCP/IP上的
只开放服务需要的端口与协议
下面列出的是常用和要屏蔽的端口,
端口屏蔽方法请看之前发表的《在防火墙中阻止端口连接》
常用的TCP 口有:
80-用于Web服务;
21-用于FTP服务;
25-用于SMTP;
23-用于服务;
110-用于POP3 。
常用的UDP端口有:
53-DNS域名解析服务
161-snmp简单的网络管理协议 。
8000、4000用于OICQ,服务器用8000来接收信息,客户端用4000发送信息 。
封TCP端口:
21(FTP,换FTP端口)
23()
53(DNS)
135
136
137
138
139
443
445
1028
1433
3389
可封TCP端口:
1080
3128
6588
8080(以上为代理端口).
25(SMTP)
161(SNMP)
67(引导)
封UDP端口:
1434(这个就不用说了吧)
封所有ICMP,即封PING 以上是最常被扫的端口,有别的同样也封,当然因为80是做WEB用的 。
禁止建立空连接
默认情况下 , 任何用户可通过空连接连上服务器,枚举账号并猜测密码 。空连接用的端口是139 ,  通过空连接,可以复制文件到远端服务器xp系统本地连接受限制或无连接怎么办,计划执行一个任务,这就是一个漏洞 。可以通过以下两 种方法禁止建立空连接:
1:修改注册表中
\\Lsa
修改 的值为1 。
2:修改的本地安全策略
本地安全策略-本地策略-安全选项中的 (匿名连接的额外限制)为“不容许枚举SAM账号和共享” 。
首先xp系统本地连接受限制或无连接怎么办,默认安装允许任何用户通过空连接得到系统所有账号和共享列表,这本来 是为了方便局域网用户共享资源和文件的,但是,同时任何一个远程用户也可以通过同样的方法得 到您的用户列表,并可能使用暴力法破解用户密码给整个网络带来破坏 。很多人都只知道更改注册表\\LSA- = 1来禁止空用户连接,实际上本地安全策略里(如果是域服务器就是在域服务器安全和域安全策略里) 就有选项,其中有三个值:
0:这个值是系统默认的,没有任何限制,远程用户 可以知道您机器上所有的账号、组信息、共享目录、网络传输列表(um)等;
1 :这个值是只允许非NULL用户存取SAM账号信息和共享信息;
2:这个值需要注意的是,如果使用了这个值,就不能再共享资源了,所以还是推荐把数值设为“1”比较 好 。
到这为止这篇文章就已经完成了,谢谢你的观看与支持 。
觉得还可以的话请帮忙点击关注 。我将不定期更新相关文章 。
本文到此结束,希望对大家有所帮助!

猜你喜欢

上一篇:老司机:买车时必须要有的4个配置,若没有再便宜也不能买

下一篇:新手司机建议收藏|长途驾驶之前车辆需要做的必要检查