Windows 2003 安全设置(2)

审核策略更改　　　成功　失败
审核登录事件　　　成功　失败
审核对象访问　　　　　　失败审核过程跟踪　　　无审核
审核目录服务访问　　　　失败
审核特权使用　　　　　　失败
审核系统事件　　　成功　失败
审核账户登录事件　成功　失败
审核账户管理　　　成功　失败

B、本地策略——〉用户权限分配

关闭系统：只有Administrators组、其它全部删除。
通过终端服务允许登陆：只加入Administrators,Remote Desktop Users组，其他全部删除

C、本地策略——〉安全选项

交互式登陆：不显示上次的用户名　　　　　　　启用
网络访问：不允许SAM帐户和共享的匿名枚举　 启用
网络访问：不允许为网络身份验证储存凭证　　　启用
网络访问：可匿名访问的共享　　　　　　　　　全部删除
网络访问：可匿名访问的命　　　　　　　　　　全部删除
网络访问：可远程访问的注册表路径　　　　　　全部删除
网络访问：可远程访问的注册表路径和子路径　　全部删除
帐户：重命名来宾帐户　　　　　　　　　　　　重命名一个帐户
帐户：重命名系统管理员帐户　　　　　　　　　重命名一个帐户

3、禁用不必要的服务 开始-运行-services.msc

TCP/IPNetBIOS Helper提供 TCP/IP 服务上的 NetBIOS 和网络上客户端的 NetBIOS 名称解析的支持而使用户能够共享
文件、打印和登录到网络
Server支持此计算机通过网络的文件、打印、和命名管道共享
Computer Browser 维护网络上计算机的最新列表以及提供这个列表
Task scheduler 允许程序在指定时间运行
Messenger 传输客户端和服务器之间的 NET SEND 和 警报器服务消息
Distributed File System: 局域网管理共享文件，不需要可禁用
Distributed linktracking client：用于局域网更新连接信息，不需要可禁用
Error reporting service：禁止发送错误报告
Microsoft Serch：提供快速的单词搜索，不需要可禁用
NTLMSecuritysupportprovide：telnet服务和Microsoft Serch用的，不需要可禁用
PrintSpooler：如果没有打印机可禁用
Remote Registry：禁止远程修改注册表
Remote Desktop Help Session Manager：禁止远程协助
Workstation 关闭的话远程NET命令列不出用户组
以上是在Windows Server 2003 系统上面默认启动的服务中禁用的，默认禁用的服务如没特别需要的话不要启动。

4、修改注册表

修改注册表，让系统更强壮

1、隐藏重要文件/目录可以修改注册表实现完全隐藏

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\ Current-Version\Explorer\Advanced\Folder\Hi-dden\SHOWALL“，鼠标右击 ”CheckedValue“，选择修改，把数值由1改为0

2、防止SYN洪水攻击

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters
新建DWORD值，名为SynAttackProtect，值为2
新建EnablePMTUDiscovery REG_DWORD 0
新建NoNameReleaseOnDemand REG_DWORD 1
新建EnableDeadGWDetect REG_DWORD 0
新建KeepAliveTime REG_DWORD 300,000
新建PerformRouterDiscovery REG_DWORD 0
新建EnableICMPRedirects REG_DWORD 0

3. 禁止响应ICMP路由通告报文

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\interface
新建DWORD值，名为PerformRouterDiscovery 值为0

4. 防止ICMP重定向报文的攻击

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters
将EnableICMPRedirects 值设为0

5. 不支持IGMP协议

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters
新建DWORD值，名为IGMPLevel 值为0

6、禁止IPC空连接：

cracker可以利用net use命令建立空连接，进而入侵，还有net view，nbtstat这些都是基于空连接的，禁止空连接就好了。
Local_Machine\System\CurrentControlSet\Control\LSA-RestrictAnonymous 把这个值改成“1”即可。

7、更改TTL值

cracker可以根据ping回的TTL值来大致判断你的操作系统，如：

TTL=107(WINNT);
TTL=108(win2000);
TTL=127或128(win9x);
TTL=240或241(linux);
TTL=252(solaris);
TTL=240(Irix);

实际上你可以自己改的：HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters：DefaultTTL REG_DWORD 0-0xff(0-255 十进制,默认值128)改成一个莫名其妙的数字如258，起码让那些小菜鸟晕上半天，就此放弃入侵你也不一定哦

8. 删除默认共享

有人问过我一开机就共享所有盘，改回来以后，重启又变成了共享是怎么回事，这是2K为管理而设置的默认共享，HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters：AutoShareServer类型是REG_DWORD把值改为0即可

9. 禁止建立空连接