本文是我做服务器维护的点击经验,部份是我根据入侵手段所做的相应配置调整!大部份的内容网上都有,可能有人认为是抄袭,无所谓了,只要对大家有帮助就OK了,如果大家对本文有不同的看法,非常欢迎大家与我交流!
还有一点我想说的是,本文内容讨论的重点是服务器安全设置加固,是在有一定安全设置的基础上进行讨论的,并且,对于基础的内容我在本文最后也列出了标题,只是网上的好文章挺多的,我就不想再费劲写了!所以,大家看后不要再说一些对于磁盘之类设置没有做之类的话!
1、修改管理员帐号名称与来宾帐号名称
此步骤主要是为了防止入侵者使用默认的系统用户名或者来宾帐号马上进行暴利特别(合法性请自查),在更改完后,不要忘记修改强悍的密码。
控制面板 管理工具 本地安全策略 本地策略 安全选项
在右边栏的最下方,如图所示:
2、修改远程桌面连接端口
运行 Regedt32 并转到此项:
| HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp |
找到“PortNumber”子项,您会看到值 00000D3D,它是 3389 的十六进制表示形式。使用十六进制数值修改此端口号,并保存新值。
小巧门:各位,别一看到是十六进制就头疼,在修改键值的时候也同样支持十进制
3、禁止不常用服务
禁用不必要的服务不但可以降低服务器的资源占用减轻负担,而且可以增强安全性。下面列出了可以禁用的服务:
| Application Experience Lookup Service Automatic Updates BITS Computer Browser DHCP Client Error Reporting Service Help and Support Network Location Awareness Print Spooler Remote Registry Secondary Logon Server Smartcard TCP/IP NetBIOS Helper Workstation Windows Audio Windows Time Wireless Configuration |
4、设置组策略,加强系统安全策略
设置帐号锁定阀值为5次无效登录,锁定时间为30分钟;
从通过网络访问此计算机中删除Everyone组;
在用户权利指派下,从通过网络访问此计算机中删除Power Users和Backup Operators;
为交互登录启动消息文本。
启用 不允许匿名访问SAM帐号和共享;
启用 不允许为网络验证存储凭据或Passport;
启用 在下一次密码变更时不存储LANMAN哈希值;
启用 清除虚拟内存页面文件;
禁止IIS匿名用户在本地登录;
启用 交互登录:不显示上次的用户名;
从文件共享中删除允许匿名登录的DFS$和COMCFG;
禁用活动桌面。
5、强化TCP协议栈
| Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters] "SynAttackProtect"=dword:00000001 "EnablePMTUDiscovery"=dword:00000000 "NoNameReleaseOnDemand"=dword:00000001 "EnableDeadGWDetect"=dword:00000000 "KeepAliveTime"=dword:00300000 "PerformRouterDiscovery"=dword:00000000 "TcpMaxConnectResponseRetransmissions"=dword:00000003 "TcpMaxHalfOpen"=dword:00000100 "TcpMaxHalfOpenRetried"=dword:00000080 "TcpMaxPortsExhausted"=dword:00000005 |
