组策略命令:gpedit.msc
注册表:regedit
服务:services.msc
策略安全
计算机配置--windows设置--安全设置--本地策略---安全选项
网络访问:可远程访问注册表路径
交互式登录----
在安全设置-本地策略-安全选项中将“不显示上次的用户名”设为启用 。
本地策略-安全选项-对匿名连接的额外限制.选择(不允许枚举 SAM 帐号和共享)
关闭不必要的服务
策略一:控制面板-管理工具-服务
Computer browser 维护网络上计算机的最新列表及提供这个列表
Task scheduler 允许程序在指定时间允许
Routing and remote access 在局域网以及广域网环境中卫企业提供路由服务
Removable registry service 允许远程注册表操作
Print spooler 将文件加载到内存中以便以后打印
Error reporting service 收集、存储和向microsoft报告异常应用程序
Ipsec policy agent 管理ip 安全策略及启动isakmp/oakleyike 和ip 安全驱动
Distributed link tracking client 当文件在网络域的ntfs卷中移动时发送通知
Com+ event system 提供事件的自动发布到订阅com组件
Alerter 通知选定的用户和计算机管理警报
Messenger 传输客户端和服务器之间的net send 和警报器服务消息
Telnet 允许远程用户登录到此计算机并允许程序
策略二:磁盘权限设置
C 盘只给administrators 和 system 权限,其他的权限不给,其他的盘也可以这样设置,这里给的system 权限也不一定需要给,只是由于某些第三方应用程序是以服务形式启动的,需要加上这个用户,否则造成启动不了。Windows 目录要加上给users 的默认权限,否则asp和aspx等应用程序就无法运行。
策略三:禁止windows 系统进行控连接
在注册表中找到相应的键值
Hkey_local_machine/system/currentcontrolset/control/lsa,将dword 值restrictanonymous 的键值改为1
策略四:关闭不需要的端口
本地连接-属性-internet(协议tcp/ip)--高级--选项--tcp/ip 筛选一属性--把勾打上,然后添加你需要的端口即可。(如:3389,21,1433,3306,80)
默认开启的端口列表:
FTP:20.21
mail:25.110
Web:80
pcanywhere:5631
远程桌面:3389 (3389不要关闭,否则将无法远程连接)
1、禁止C$、D$、ADMIN$一类的缺省共享
打开注册表,HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters,
在右边的窗口中新建Dword值,名称设为AutoShareServer值设为0. 注册表不了解.不要随便更改.
2、 解除NetBios与TCP/IP协议的绑定
右击网上邻居-属性-右击本地连接-属性-双击Internet协议-高级-Wins-禁用TCP/IP上的NETBIOS
更改远程连接端口
开始---运行--输入 regedit
1: Hkey_local_machine\system\currentcontrolset\control\terminal server\wds\rdpwd\tds\tcp 下的portnumber=3389
2: hkey_local_machine\system\currentcontrolset\control\terminal server\winstations\rdp--tcp 下的 portnumber=3389
修改3389为你想要的数字(在十进制下)---再点16进制(系统会自动转换)--最后确定!这样就ok了。 需要重启
策略五:关闭默认共享的空连接
首先编写如下内容的批处理文件:
@echo off
net share c$ /delete
Net share d$ /delete
Net share e$ /delete
Net share admin$ /delete
以上文件的内容用户可以根据自己需要进行修改。保存为 delshare.abt.存放到系统所在的文件夹下的 system32\grouppolicy\user\scripts\logon 目录下,然后在开始菜单---运行中输入 gpedit.msc
回车即可打开组策略编辑器。点用户配置------windows 设置---脚本(登录/注销)---登录
在出现的“登录 属性”窗口中单击“添加”,会出现“添加脚本”对话框,在改窗口“脚本名”栏中输入delshare.bat,然后单击“确定”按钮即可。
重新启动计算机系统,就可以自动将系统所有的隐藏共享文件夹全部取消了,这样就能将系统安全隐患降低到最低限度。
2-删除系统默认的共享--修改注册表的方法:
HKEY_LOCAK_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters 下增加一个键:Name: AutoShareServer;Type: REG_DWORD;value:0
需重启,但是IPC共享仍存在,需每次重启后手工删除
3.禁止IPC空连接
黑客通常可以利用net use 命令建立空连接入侵服务器,还有net view ,nbtstat这些都基于空连接
Local_Machine/System/CurrentControlSet/Control/LSA-RestrictAnonymous 把这个值改成1即可
策略五:iis 安全设置
------------略------------
策略六:注册表相关安全
1,隐藏重要文件/目录
Hkey_local_machine\software\microsoft\windows\current-version\explorer\advanced\folder\hidden\showall
鼠标右击“checkedvalue”,选择修改,把数值由1改为0
2,防止syn 洪水攻击
Hkey_local_machine\system\cureentcontrolset\services\tcpip\paramenters
新建dword值,名为synattackprotect 值为2
3,禁止响应icmp路由通告报文
Hkey_local_machine\system\currentcontrolset\services\tcpip\parameters\interfaces\interface
新建dword值,名为performrouterdiscovery值为0
4,防止icmp重定向报文的攻击
Hkey_local_machine\system\currentcontrolset\services\tcpip\parameters
将enableicmpredirects值设为0
5,不支持igmp协议
Hkey_loacl_machine\system\currentcontrolset\services\tcpip\parameters
新建dword值,名为igmplevel值为0
********[免重启]远程端口修改2003.bat*******
@echo off&color 0a&MODE con: COLS=100 LINES=25
title 远程桌面端口修改程序(win2003专用)
for /f "skip=2 tokens=3" %%a in ('reg query "HKLM\SYSTEM\CurrentControlSet\Control\Terminal Server\Wds\rdpwd\Tds\tcp" /v PortNumber') do set/a a=%%a
:getport
set/p getport=当前远程桌面端口:%a%,请输入需设定远程桌面的端口号:
if "%getport%"=="" (Goto noset) else goto setport
:setport
for %%a in (ControlSet001 ControlSet002 CurrentControlSet) do for %%b in (Wds\rdpwd\Tds\tcp WinStations\RDP-Tcp) do reg add "HKLM\SYSTEM\%%a\Control\Terminal Server\%%b" /v PortNumber /t REG_DWORD /d %getport% /f
echo 远程桌面端口已设置为:%getport%,如果已启用防火墙,请将此端口添加进例外。
echo 按任意键系统将注销所有远程登陆会话,使配置立即生效;如果关闭此窗口,配置将在系统重启后生效......
pause>nul
logoff rdp-tcp
echo 配置已生效,按任意键退出!
pause>nul&exit
:noset
echo 输入值为空,端口未改变,按任意键退出!
pause>nul
********[免重启]远程端口修改2003.bat*******