(转)Windows2003安全设置/维护

很少收集一些服务器安全方面的内容，今天看到了，以后自己都回来，其实还有一些安全因素要考虑

1、网络配置备份：

备份：netsh dump > c:\bak1txt

恢复：netsh exec c:\bak1txt

2、重命名管理员用户：

本地计算机策略->Windows设置->安全设置->本地策略->安全选项->重命名系统管理员帐户；

重定向程序安装目录

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion

CommonFilesDir —— c:\Program Files\Common Files

ProgramFilesDir —— d:\Program Files

3、终端服务端口重定向：

远程桌面端口号：3389

HLM\System\CurrentControlSet\Control\Terminal Server\Wds\Repwd\Tds\Tcp

HLM\System\CurrentControlSet\Control\Terminal Server\WinStation\RDP-Tcp

远程桌面连接：mstse.exe

Default.rdp打开用文本编辑：

server port:7000

4、删除系统共享

运行del_netshare.bat

代码如下：

net share C$ /delete

net share D$ /delete

net share Admin$ /delete

Win2003

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters

新建DOWN名为AutoShareServer赋值为:00000000

WinXP

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters

新建DOWN值AutoShareWrks赋值为：00000000

5、加密帐户的密码

Syskey对账号密码数据文件进行二次加密。对密码进行128位加密；使用Syskey加密的密码，无法逆操作；

Windows\repair\有sam备份文件；

6、防火墙配置：（视情况而定）

计算机配置->管理模板->网络->网络连接->Windows防火墙->标准配置文件

Windows防火墙:保护所有网络连接 Windows防火墙不运行，管理员从本地登录无法启动防火墙的唯一方法

Windows防火墙:不允许例外

Windows防火墙:定义程序例外

Windows防火墙:允许本地程序例外

Windows防火墙:允许远程管理例外

Windows防火墙:允许文件和打印机共享例外 未被配置

Windows防火墙:允许ICMP例外  未被配置

Windows防火墙:允许远程桌面例外未被配置

Windows防火墙:允许UPnP框架例外未被配置

Windows防火墙:阻止通知   未被配置

Windows防火墙:允许记录日志 未被配置

Windows防火墙:阻止对多播或广播请求的单播响应 未被配置

Windows防火墙:定义端口例外 未被配置

Windows防火墙:允许本地端口例外未被配置

7、安全日志：

日志审核：计算机配置=>Windows设置=>安全设置=>本地策略->审核策略

本地安全策略->审核策略中打开相应的审核，推荐的审核是：

账户管理成功失败

登录事件成功失败

对象访问失败

策略更改成功失败

特权使用失败

系统事件成功失败

目录服务访问失败

账户登录事件成功失败

与之相关的是：

在账户策略->密码策略中设定：

密码复杂性要求启用

密码长度最小值6位

强制密码历史5次

最长存留期30天

在账户策略->账户锁定策略中设定：

账户锁定3次错误登录

锁定时间20分钟

复位锁定计数20分钟

 

注册表的安全设置：

隐藏重要文件/目录可以修改注册表实现完全隐藏：

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL

CheckedValue由1改为0

对匿名连接的额外限制

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa

restrictanonymous由0改为2

关闭默认的根目录和管理共享

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters

添加DWORD autosharews 0

         autoshareserver 0

禁用Guest用户访问日志

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\EventLog下的三个子键：Application、Security、System下面的RestrictGuestAccess值改为1

禁止显示上次登录的用户名

HLM\Software\Microsoft\WindowsNT\CurrentVersion\Winlogon

Dontdisplaylastusername为1即可

在关机时清理虚拟内存页面交换文件：

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management

把ClearPageFileAtShutdown值改为1