- 作者:xiaoxiao
- 发表时间:2020-12-23 10:37
- 来源:未知
一、 Windows 2000安全配置
■. 确保所有磁盘分区为NTFS分区 ■. 操作系统、Web主目录、日志分别安装在不同的分区 ■. 不要安装不需要的协议,比如IPX/SPX, NetBIOS? ■. 不要安装其它任何操作系统 ■. 安装Service Pack ■. 安装hotfix,一般需要安装如下补丁 * Q260347_W2K_sp2_x86_cn(IISCrosssite) * Q262694_W2K_SP2_x86_CN(resetBrowseForm) * Q269049_W2K_SP2_x86_CN(shellpath) * Q269862_W2K_SP2_x86_CN(unicode) * Q270676_W2K_SP2_x86_CN(shurufa) * Q272743_W2K_SP2_x86_CN(NTLM) * Q277873_W2K_sp2_x86_CN(filerequest) * Q278499_W2K_sp2_x86_CN(indexserv) * Q280322_W2K_sp2_x86_CN(malwebform) * q285851_w2k_sp3_x86_cn(netdde) 具体可参考微软网站:http://www.microsoft.com/Windows2000/downloads ■. 关闭所有不需要的服务 * Alerter (disable) * ClipBook Server (disable) * Computer Browser (disable) * DHCP Client (disable) * Directory Replicator (disable) * FTP publishing service (disable) * License Logging Service (disable) * Messenger (disable) * Netlogon (disable) * Network DDE (disable) * Network DDE DSDM (disable) * Network Monitor (disable) * Plug and Play (disable after all hardware configuration) * Remote Access Server (disable) * Remote Procedure Call (RPC) locater (disable) * Schedule (disable) * Server (disable) * Simple Services (disable) * Spooler (disable) * TCP/IP Netbios Helper (disable) * Telephone Service (disable) 在必要时禁止如下服务: * SNMP service (optional) * SNMP trap (optional) * UPS (optional 设置如下服务为自动启动: * Eventlog ( required ) * NT LM Security Provider (required) * RPC service (required) * WWW (required) * Workstation (leave service on:will be disabled later in the document) * MSDTC (required) * Protected Storage (required) ■. 删除 OS/2 和 POSIX 子系统: 删除如下目录的任何键: HKEY_LOCAL_MACHINE/SOFTWARE /Microsoft/OS/2 Subsystem for NT 删除如下的键: HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Control/SessionManager/Environment/Os2LibPath 删除如下的键: HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Control/Session Manager/SubSystems/Optional HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Control/Session Manager/SubSystems/Posix HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Control/Session Manager/SubSystems/Os2 删除如下目录: c:/winnt/system32/os2 ■. 帐号和密码策略 1) 保证禁止guest帐号 2) 将administrator改名为比较难猜的帐号 3) 密码唯一性:记录上次的 6 个密码 4) 最短密码期限:2 5) 密码最长期限:42 6) 最短密码长度:8 7) 密码复杂化(passfilt.dll):启用 8) 用户必须登录方能更改密码:启用 9) 帐号失败登录锁定的门限:6 10)锁定后重新启用的时间间隔:720分钟 ■.保护文件和目录 将C:/winnt, C:/winnt/config, C:/winnt/system32, C:/winnt/system等目录的访问权限做限制,限制everyone的写权限,限制users组的读写权限 ■.注册表一些条目的修改 1) 去除logon对话框中的shutdown按钮 将HKEY_LOCAL_MACHINE/SOFTWARE /Microsoft/Windows NT/Current Version/Winlogon/中 ShutdownWithoutLogon REG_SZ 值设为0 2) 去除logon信息的cashing功能 将HKEY_LOCAL_MACHINE/SOFTWARE /Microsoft/Windows NT/Current Version/Winlogon/中 CachedLogonsCount REG_SZ 值设为0 3) 隐藏上次登陆的用户名 将HKEY_LOCAL_MACHINE/SOFTWARE /Microsoft/Windows NT/Current Version/Winlogon/中 DontDisplayLastUserName REG_SZ 值设为1 4)限制LSA匿名访问 将HKEY_LOCAL_MACHINE/SYSTEM /CurrentControlSet/Control/LSA中 RestricAnonymous REG_DWORD 值设为1 5) 去除所有网络共享 将HKEY_LOCAL_MACHINE/SYSTEM /CurrentControlSet/Services/LanManServer/Parameters/中 AutoShareServer REG_DWORD 值设为0 ■. 启用TCP/IP过滤 只允许TCP端口80和443(如果使用SSL) 不允许UDP端口 只允许IP Protocol 6 (TCP) ■. 移动部分重要文件并加访问控制: 创建一个只有系统管理员能够访问的目录,将system32目录下的一些重要文件移动到此目录: xcopy.exe, wscript.exe, cscript.exe, net.exe,