一、 基础安装原则
1、系统安装原则
(略)
2、升级系统,打全补丁,安装杀毒软件
3、不要使用Serv-U做FTP服务,尽可能不使用WINDOWS自带的超级终端(如果一定要用切记修改默认服务端口)
二、 系统基本设置
1、组策略配置
运行→gpedit.msc
计算机配置→管理模板→系统 →显示关机事件跟踪→禁用。
计算机管理→管理模板→系统 →关闭自动播放→已启用→所有驱动器。
2、文件夹选项
“常规”→“任务”→选中“使用windows传统风格的文件夹”
“查看”→选中“显示所有文件和文件夹”、“在标题栏显示完整路径”;取消选中“隐藏已经文件类型的扩展名”
在文件夹菜单栏“查看”中勾选“状态栏”
3、硬件加速
桌面点击右键→属性→设置→高级→疑难解答。把该页面的硬件加速滚动条拉到“完全”,点击“确定”
4、禁用错误报告
"我的电脑"->"属性"->"高级"->"启动和故障修复"中,点"错误报告",选择"禁用错误汇报 "、"但在发生严重错误时通知我"。
5、优化“启动和故障恢复”设置
"我的电脑"->"属性"->"高级"->"启动和故障修复"中,点击“设置”,其中的“系统失败”一栏中,只选择 “自动重新启动”,写入调试信息选择“无”。
6、优化“性能”设置
"我的电脑"->"属性"->"高级"->"性能"中,点击“设置”,其中的“视觉效果”选择 “调整为最佳性能”。“高级”中“处理器计划”选择“后台服务”,“内存使用”选择“系统缓存”。
7、TCP/IP上的NetBIOS
在"网络连接"里,把不需要的协议和服务都删掉,只保留Internet协议(TCP/IP),在高级tcp/ip设置里--"NetBIOS"设置"禁用TCP/IP上的NetBIOS(S)"。
8、关闭华医生Dr.Watson
在开始-运行中输入“drwtsn32”,调出Dr.Watson ,只保留“转储全部线程上下文”选项。
9、禁止建立空连接
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa新建 “DWORD值”值名为 “RestrictAnonymous” 数据值为“1” [2003默认为1]
10、 禁止默认共享
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters新建 “DWORD值”值名为 “AutoShareServer” 数据值为“0”
11、 禁止系统自动启动管理共享
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters新建 “DWORD值”值名为 “AutoShareWks” 数据值为“0”
12、 禁用AUTORUN
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Expolrer 将“NoDriveAutoRun”设为“FF”
三、 基本安全设置
1、防止小规模DDOS
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters新建 “DWORD值”值名为 “SynAttackProtect” 数据值为“1”
2、防止ICMP重定向报文的攻击
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters 将EnableICMPRedirects 值设为0
3、修改超级终端默认端口
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp 将PortNumber值设为新的端口号
4、盘符权限
C盘只保留Adminstrators组(以下简称ADM组)和System组(以下简称SYS组)完全控制权。
其它盘,有安装程序运行或服务程序运行的给 Administrators 和 SYSTEM 权限,否则只给 Administrators 权限。
5、敏感目录权限设置
C:\Windows 目录只保留 ADM组、SYS组 和 users组 权限
C:\Program Files 目录只保留 ADM组、SYS组权限
C:\Program Files\Common Files 目录增加Every one 读取、读取运行、列目录权限
以下目录只保留 ADM组 和 SYS组 默认权限:
C:\Documents and Settings
C:\Documents and Settings\All Users
C:\Documents and Settings\All Users\Application Data
C:\Documents and Settings\All Users\documents (共享文档)
C:\Documents and Settings\All Users\桌面
如果安装有PCANYWHERE的话,切记将C:\Documents and Settings\All Users\Application Data\Symantec\pcAnywhere 设为GUESTS组拒绝访问
6、敏感文件权限设置
以下文件禁止guests组访问或取消权限继承后只允许ADM组和SYS组访问:(Cmd.exe,net.exe,ftp.exe,cacls.exe,regsvr32.exe,xcopy.exe,netstat.exe,at.exe,attrib.exe)
C:\WINNT\system32\Cmd.exe、C:\WINNT\system32\net.exe、C:\WINNT\system32\ftp.exe、C:\WINNT\system32\cacls.exe、C:\WINNT\system32\regsvr32.exe、C:\WINNT\system32\xcopy.exe、C:\WINNT\system32\netstat.exe、C:\WINNT\system32\at.exe、C:\WINNT\system32\attrib.exe、C:\WINNT\regedit.exe、C:\WINNT\system32\scrrun.dll(此项禁用后FSO无法使用)、C:\WINNT\system32\shell32.dll、C:\Windows\System32\wshom.ocx
7、本地安全策略配置
开始 > 程序 > 管理工具 > 本地安全策略
账户策略 > 密码策略 > 密码最短使用期限 改成0天
账户策略 > 账户锁定策略 > 账户锁定阈值15次(慎用!) 账户锁定时间 30分钟
本地策略 > 审核策略 >
账户管理 成功 失败
登录事件 成功 失败
对象访问 失败
策略更改 成功 失败
特权使用 失败
系统事件 成功 失败
目录服务访问 失败
账户登录事件 成功 失败
本地策略 > 用户权限分配 >
关闭系统:只保留Administrators组。
允许在本地登录:删除Guests组中的所有用户。
通过终端服务拒绝登陆:加入Guests、Users组
通过终端服务允许登陆:只加入Administrators组
本地策略 > 安全选项 >
清除虚拟内存页面文件 更改为"已启用"
不显示上次的用户名 更改为"已启用"
不允许 SAM 账户的匿名枚举 更改为"已启用"
不允许 SAM 账户和共享的匿名枚举 更改为"已启用"
网络访问:可匿名访问的共享 全部删除
网络访问:可匿名访问的命名管道 全部删除
网络访问:可远程访问的注册表路径 全部删除
网络访问:可远程访问的注册表路径和子路径 全部删除
重命名来宾账户
重命名系统管理员账号(此操作在MSSQLSERVER安装前进行!)
8、删除不安全组件
WScript.Shell:
regsvr32 /u wshom.ocx
del C:\Windows\System32\wshom.ocx(不推荐删除,可以给文件单独设权限)
Shell.application:
regsvr32 /u shell32.dll
del C:\Windows\system32\shell32.dll(不推荐删除,可以给文件单独设权限)
9、帐号设置
将Guests组从Users组中删除
禁用帐号:Guest,TsInternetUser,SQLDebugger
建立一个无用户组的Administrat账户,密码随机13位以上(此操作在完成重命名系统管理员账号后进行)
10、 禁用服务
Alerter
ClipBook
Help and Support
Distributed Link Tracking Server
Messenger
Remote Registry
Secondary Logon
Shell Hardware Detection
Error reporting service
Computer Browser
Distributed File System
TCP/IP NetBIOS Helper
Task Scheduler(没有计划任务的话,可以禁用)
Windows Image Acquisition (WIA)
Windows Time
Workstation(禁用后可防止WEBSHELL获取本地用户及服务信息)
以下服务可视情况而定:
Indexing Service
Microsoft Search
Print Spooler(不涉及到打印服务或虚拟打印时可以禁用,个人建议不要禁用)
IPSEC Services(如果使用了IP安全策略则自动,如无则禁用,可选操作)
Windows Firewall/Internet Connection Sharing (ICS)