Windows2003工作环境安全配置(一)

一、 基础安装原则

1、系统安装原则

（略）

2、升级系统，打全补丁，安装杀毒软件

3、不要使用Serv-U做FTP服务，尽可能不使用WINDOWS自带的超级终端（如果一定要用切记修改默认服务端口）

 

二、 系统基本设置

1、组策略配置

运行→gpedit.msc

  计算机配置→管理模板→系统 →显示关机事件跟踪→禁用。

  计算机管理→管理模板→系统 →关闭自动播放→已启用→所有驱动器。

2、文件夹选项

“常规”→“任务”→选中“使用windows传统风格的文件夹”

“查看”→选中“显示所有文件和文件夹”、“在标题栏显示完整路径”；取消选中“隐藏已经文件类型的扩展名”

在文件夹菜单栏“查看”中勾选“状态栏”

3、硬件加速

桌面点击右键→属性→设置→高级→疑难解答。把该页面的硬件加速滚动条拉到“完全”，点击“确定”

4、禁用错误报告

"我的电脑"->"属性"->"高级"->"启动和故障修复"中，点"错误报告"，选择"禁用错误汇报 "、"但在发生严重错误时通知我"。

5、优化“启动和故障恢复”设置

"我的电脑"->"属性"->"高级"->"启动和故障修复"中，点击“设置”，其中的“系统失败”一栏中，只选择 “自动重新启动”，写入调试信息选择“无”。

6、优化“性能”设置

"我的电脑"->"属性"->"高级"->"性能"中，点击“设置”，其中的“视觉效果”选择 “调整为最佳性能”。“高级”中“处理器计划”选择“后台服务”，“内存使用”选择“系统缓存”。

7、TCP/IP上的NetBIOS

在"网络连接"里，把不需要的协议和服务都删掉，只保留Internet协议（TCP/IP），在高级tcp/ip设置里--"NetBIOS"设置"禁用TCP/IP上的NetBIOS（S）"。

8、关闭华医生Dr.Watson

在开始-运行中输入“drwtsn32”，调出Dr.Watson ，只保留“转储全部线程上下文”选项。

9、禁止建立空连接

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa新建 “DWORD值”值名为 “RestrictAnonymous” 数据值为“1” [2003默认为1]

10、  禁止默认共享

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters新建 “DWORD值”值名为 “AutoShareServer” 数据值为“0”

11、  禁止系统自动启动管理共享

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters新建 “DWORD值”值名为 “AutoShareWks” 数据值为“0”

12、  禁用AUTORUN

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Expolrer 将“NoDriveAutoRun”设为“FF”

 

三、 基本安全设置

1、防止小规模DDOS

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters新建 “DWORD值”值名为 “SynAttackProtect” 数据值为“1”

2、防止ICMP重定向报文的攻击

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters 将EnableICMPRedirects 值设为0

3、修改超级终端默认端口

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp 将PortNumber值设为新的端口号

4、盘符权限

C盘只保留Adminstrators组(以下简称ADM组)和System组(以下简称SYS组)完全控制权。

其它盘，有安装程序运行或服务程序运行的给 Administrators 和 SYSTEM 权限，否则只给 Administrators 权限。

5、敏感目录权限设置

C:\Windows 目录只保留 ADM组、SYS组 和 users组 权限

C:\Program Files 目录只保留 ADM组、SYS组权限

C:\Program Files\Common Files 目录增加Every one 读取、读取运行、列目录权限

以下目录只保留 ADM组 和 SYS组 默认权限：

C:\Documents and Settings

C:\Documents and Settings\All Users

C:\Documents and Settings\All Users\Application Data

C:\Documents and Settings\All Users\documents  (共享文档)

C:\Documents and Settings\All Users\桌面

如果安装有PCANYWHERE的话，切记将C:\Documents and Settings\All Users\Application Data\Symantec\pcAnywhere 设为GUESTS组拒绝访问

6、敏感文件权限设置

以下文件禁止guests组访问或取消权限继承后只允许ADM组和SYS组访问：（Cmd.exe,net.exe,ftp.exe,cacls.exe,regsvr32.exe,xcopy.exe,netstat.exe,at.exe,attrib.exe）

C:\WINNT\system32\Cmd.exe、C:\WINNT\system32\net.exe、C:\WINNT\system32\ftp.exe、C:\WINNT\system32\cacls.exe、C:\WINNT\system32\regsvr32.exe、C:\WINNT\system32\xcopy.exe、C:\WINNT\system32\netstat.exe、C:\WINNT\system32\at.exe、C:\WINNT\system32\attrib.exe、C:\WINNT\regedit.exe、C:\WINNT\system32\scrrun.dll(此项禁用后FSO无法使用)、C:\WINNT\system32\shell32.dll、C:\Windows\System32\wshom.ocx

7、本地安全策略配置

开始 > 程序 > 管理工具 > 本地安全策略

账户策略 > 密码策略 > 密码最短使用期限 改成0天

账户策略 > 账户锁定策略 > 账户锁定阈值15次(慎用！) 账户锁定时间 30分钟

本地策略 > 审核策略 >

  账户管理 成功 失败

  登录事件 成功 失败

  对象访问 失败

  策略更改 成功 失败

  特权使用 失败

  系统事件 成功 失败

  目录服务访问 失败

  账户登录事件 成功 失败

本地策略 > 用户权限分配 >

关闭系统：只保留Administrators组。

允许在本地登录：删除Guests组中的所有用户。

通过终端服务拒绝登陆：加入Guests、Users组

通过终端服务允许登陆：只加入Administrators组

本地策略 > 安全选项 >

  清除虚拟内存页面文件 更改为"已启用"

  不显示上次的用户名 更改为"已启用"

  不允许 SAM 账户的匿名枚举 更改为"已启用"

  不允许 SAM 账户和共享的匿名枚举 更改为"已启用"

  网络访问：可匿名访问的共享 全部删除

  网络访问：可匿名访问的命名管道 全部删除

  网络访问：可远程访问的注册表路径 全部删除

  网络访问：可远程访问的注册表路径和子路径 全部删除

  重命名来宾账户

  重命名系统管理员账号(此操作在MSSQLSERVER安装前进行！)

8、删除不安全组件

WScript.Shell：

  regsvr32 /u wshom.ocx

  del C:\Windows\System32\wshom.ocx（不推荐删除，可以给文件单独设权限）

Shell.application：

  regsvr32 /u shell32.dll

  del C:\Windows\system32\shell32.dll（不推荐删除，可以给文件单独设权限）

9、帐号设置

将Guests组从Users组中删除

禁用帐号：Guest,TsInternetUser,SQLDebugger

建立一个无用户组的Administrat账户,密码随机13位以上（此操作在完成重命名系统管理员账号后进行）

10、  禁用服务

Alerter

ClipBook

Help and Support

Distributed Link Tracking Server

Messenger

Remote Registry

Secondary Logon

Shell Hardware Detection

Error reporting service

Computer Browser

Distributed File System

TCP/IP NetBIOS Helper

Task Scheduler（没有计划任务的话，可以禁用）

Windows Image Acquisition (WIA)

Windows Time

Workstation（禁用后可防止WEBSHELL获取本地用户及服务信息）

 

以下服务可视情况而定：

Indexing Service

Microsoft Search

Print Spooler（不涉及到打印服务或虚拟打印时可以禁用，个人建议不要禁用）

IPSEC Services（如果使用了IP安全策略则自动，如无则禁用，可选操作）

Windows Firewall/Internet Connection Sharing (ICS)