- 论坛徽章:
- 0
|
系统设置网上有一句话是“最小的权限+最少的服务=最大的安全”。此句基本上是个人都看过,但我好像
没有看到过一篇讲的比较详细稍具全面的文章,下面就以我个人经验作一次教学尝试!
最小的权限如何实现?
NTFS系统权限设置 在使用之前将每个硬盘根加上 Administrators 用户为全部权限(可选加入SYSTEM用户)
删除其它用户,进入系统盘:权限如下
C:\WINDOWS Administrators SYSTEM用户全部权限 Users 用户默认权限不作修改
其它目录删除Everyone用户,切记C:\Documents and Settings下All Users\Default User目录及其子目录
如C:\Documents and Settings\All Users\Application Data 目录默认配置保留了Everyone用户权限
C:\WINDOWS 目录下面的权限也得注意,如 C:\WINDOWS\PCHealth、C:\windows\Installer也是保留了Everyone权限.
删除C:\WINDOWS\Web\printers目录,此目录的存在会造成IIS里加入一个.printers的扩展名,可溢出攻击
默认IIS错误页面已基本上没多少人使用了。建议删除C:\WINDOWS\Help\iisHelp目录
删除C:\WINDOWS\system32\inetsrv\iisadmpwd,此目录为管理IIS密码之用,如一些因密码不同步造成500
错误的时候使用 OWA 或 Iisadmpwd 修改同步密码,但在这里可以删掉,下面讲到的设置将会杜绝因系统
设置造成的密码不同步问题。
打开C:\Windows 搜索
net.exe;cmd.exe;tftp.exe;netstat.exe;regedit.exe;at.exe;attrib.exe;cacls.exe;format.com;
regsvr32.exe;xcopy.exe;wscript.exe;cscript.exe;ftp.exe;telnet.exe;arp.exe;edlin.exe;
ping.exe;route.exe;finger.exe;posix.exe;rsh.exe;atsvc.exe;qbasic.exe;runonce.exe;syskey.exe
修改权限,删除所有的用户只保存Administrators 和SYSTEM为所有权限
关闭445端口
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\netBT\Parameters
新建 “DWORD值”值名为 “SMBDeviceEnabled” 数据为默认值“0”
禁止建立空连接
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa
新建 “DWORD值”值名为 “RestrictAnonymous” 数据值为“1” [2003默认为1]
禁止系统自动启动服务器共享
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters
新建 “DWORD值”值名为 “AutoShareServer” 数据值为“0”
禁止系统自动启动管理共享
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters
新建 “DWORD值”值名为 “AutoShareWks” 数据值为“0”
通过修改注册表防止小规模DDOS攻击
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters
新建 “DWORD值”值名为 “SynAttackProtect” 数据值为“1”
禁止dump file的产生
dump文件在系统崩溃和蓝屏的时候是一份很有用的查找问题的资料。然而,它也能够给黑客提供一些敏感
信息比如一些应用程序的密码等。控制面板>系统属性>高级>启动和故障恢复把 写入调试信息 改成无。
关闭华医生Dr.Watson
在开始-运行中输入“drwtsn32”,或者开始-程序-附件-系统工具-系统信息-工具-Dr Watson,调出系统
里的华医生Dr.Watson ,只保留“转储全部线程上下文”选项,否则一旦程序出错,硬盘会读很久,并占
用大量空间。如果以前有此情况,请查找user.dmp文件,删除后可节省几十MB空间。
本地安全策略配置
开始 > 程序 > 管理工具 > 本地安全策略
账户策略 > 密码策略 > 密码最短使用期限 改成0天[即密码不过期,上面我讲到不会造成IIS密码不同步]
账户策略 > 账户锁定策略 > 账户锁定阈值 5 次 账户锁定时间 10分钟 [个人推荐配置]
本地策略 > 审核策略 >
账户管理 成功 失败
登录事件 成功 失败
对象访问 失败
策略更改 成功 失败
特权使用 失败
系统事件 成功 失败
目录服务访问 失败
账户登录事件 成功 失败
本地策略 > 安全选项 > 清除虚拟内存页面文件 更改为'已启用'
> 不显示上次的用户名 更改为'已启用'
> 不需要按CTRL+ALT+DEL 更改为'已启用'
> 不允许 SAM 账户的匿名枚举 更改为'已启用'
> 不允许 SAM 账户和共享的匿名枚举 更改为'已启用'
> 重命名来宾账户 更改成一个复杂的账户名
> 重命名系统管理员账号 更改一个自己用的账号 [同时可建立一个无用户组的Administrat账户]
组策略编辑器
运行 gpedit.msc 计算机配置 > 管理模板 > 系统 显示“关闭事件跟踪程序” 更改为已禁用
删除不安全组件
WScript.Shell 、Shell.application 这两个组件一般一些ASP木马或一些恶意程序都会使用到。
方案一:
regsvr32 /u wshom.ocx 卸载WScript.Shell 组件
regsvr32 /u shell32.dll 卸载Shell.application 组件
如果按照上面讲到的设置,可不必删除这两个文件
方案二:
删除注册表 HKEY_CLASSES_ROOT\CLSID\{72C24DD5-D70A-438B-8A42-98424B88AFB8} 对应 WScript.Shell
删除注册表 HKEY_CLASSES_ROOT\CLSID\{13709620-C279-11CE-A49E-444553540000} 对应 Shell.application
用户管理
建立另一个备用管理员账号,防止特殊情况发生。
安装有终端服务与SQL服务的服务器停用TsInternetUser, SQLDebugger这两个账号
用户组说明
在将来要使用到的IIS中,IIS用户一般使用Guests组,也可以再重新建立一个独立的专供IIS使用的组,但
要将这个组赋予C:\Windows 目录为读取权限[单一读取] 个人不建议使用单独目录,太小家子气。
Alerter
Application Experience Lookup Service
Application Layer Gateway Service
Application Management
Automatic Updates [Windows自动更新,可选项]
Background Intelligent Transfer Service
ClipBook
COM+ Event System
COM+ System Application
Computer Browser
Cryptographic Services
DCOM Server Process Launcher
DHCP Client
Distributed File System
Distributed Link Tracking Client
Distributed Link Tracking Server
Distributed Transaction Coordinator
DNS Client
Error Reporting Service
Event Log
File Replication
Help and Support
HTTP SSL
Human Interface Device Access
IIS Admin Service
IMAPI CD-Burning COM Service
Indexing Service
Intersite Messaging
IPSEC Services [如果使用了IP安全策略则自动,如无则禁用,可选操作]
Kerberos Key Distribution Center
License Logging
Logical Disk Manager [可选,多硬盘建议自动]
Logical Disk Manager Administrative Service
Messenger
Microsoft Search
Microsoft Software Shadow Copy Provider
MSSQLSERVER
MSSQLServerADHelper
Net Logon
NetMeeting Remote Desktop Sharing
Network Connections
Network DDE
Network DDE DSDM
Network Location Awareness (NLA)
Network Provisioning Service
NT LM Security Support Provider
Performance Logs and Alerts
Plug and Play
Portable Media Serial Number Service [微软反盗版工具,目前只针对多媒体类]
Print Spooler
Protected Storage
Remote Access Auto Connection Manager
Remote Access Connection Manager
Remote Desktop Help Session Manager
Remote Procedure Call (RPC)
Remote Procedure Call (RPC) Locator
Remote Registry
Removable Storage
Resultant Set of Policy Provider
Routing and Remote Access
Secondary Logon
Security Accounts Manager
Server
Shell Hardware Detection
Smart Card
Special Administration Console Helper
SQLSERVERAGENT
System Event Notification
Task Scheduler
TCP/IP NetBIOS Helper
Telephony
Telnet
Terminal Services
Terminal Services Session Directory
Themes
Uninterruptible Power Supply
Upload Manager
Virtual Disk Service
Volume Shadow Copy
WebClient
Windows Audio [服务器没必要使用声音]
Windows Firewall/Internet Connection Sharing (ICS)
Windows Image Acquisition (WIA)
Windows Installer
Windows Management Instrumentation
Windows Management Instrumentation Driver Extensions
Windows Time
Windows User Mode Driver Framework
WinHTTP Web Proxy Auto-Discovery Service
Wireless Configuration
WMI Performance Adapter
Workstation
World Wide Web Publishing Service
以上操作完成以后是否就“最小的权限+最少的服务=最大的安全”呢?其实不然,任何事物都是相对的
-------------------------------------------------------------------
一、优化启动设置
1.禁用关机事件跟踪
开始-运行-gpedit.msc-计算机配置-管理模板-系统-显示关机事件跟踪-禁用。
2. 禁用开机 CTRL+ALT+DEL和实现自动登陆
方法1:打开注册表:
HKEY_LOCAL_MACHIN|SOFTWARE|MicroSoft|Windows NT|CurrentVersion |Winlogon段,在此
项按右键,新建二个字符串值,AutoAdminLogon=1,
DefaultPassword=“为超级用户Administrator所设置的Password”。
注意,一定要为Administrator设置一个密码,否则不能实现自启动。 然后,重新启?
疻indows即可实现自动登录。
方法2:管理工具-本地安全策略-本地策略-安全选项-interactive logon: Do not require
CTRL+ALT+DEL,启用之。
方法3(自动登陆):使用Windows XP的Tweak UI来实现Server 2003自动登陆。下载
weak UI
http://www.ssite.org/uppic/sun_pic/...003/tweakui.exe
下载后直接执行
weakui.exe 在左边的面板中选择Logon-Autologon-在右边勾写),点击下面
set Password,输入用户名的密码,然后点击OK。
3.我的电脑-属性-高级-启动和故障修复,点错误报告,选择“禁用错误汇报、但在发生
严重错误时通知我”;
4.去掉将事件写入系统日志、发送管理警报、自动重新启动等选项,将写入调试信
息设置为无;
5.点击编辑,在弹出记事本文件中:
[Operating Systems]
timeout=30 //把缺省时间 30 秒改为 0 秒
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows server 2003
rofessional" /fastdetect //把缺省 fastdetect 改为 nodetect
二、关闭华医生Dr.Watson
在开始-运行中输入“drwtsn32”,或者开始-程序-附件-系统工具-系统信息-工具-Dr
Watson,调出系统里的华医生Dr.Watson ,只保留“转储全部线程上下文”选项,否则一旦程
序出错,硬盘会读很久,并占用大量空间。如果以前有此情况,请查找user.dmp文件,删除后
可节省几十MB空间。
三、用SFC命令释放更多空间
若确认系统不会新加设备,可把\windows\system\dellcache目录内的文件予以删除,以
释放空间。
删除全部文件的命令是sfc.exe/purgecache,约300MB,本操作有危险性,对系统不熟悉
者勿用。
四、视觉效果
1.我的电脑-属性-高级-性能-设置-视觉效果,选择“调整为最佳性能”;
2.我的电脑-属性-高级-性能-设置-高级,在处理器计划选择程序,内存使用选程序,这
样系统会给前台程序更多资源,使之运行更快;
3.虚拟内存中点更改,256M以下内存将虚拟内存值设为物理内存的1.5倍,将初始大
小和最大值设为一样,将虚拟内存设置在系统盘外。比如你的内存是256M,你可以设置为3
84,操作系统安装在C盘,设置内存在E盘或F盘,先点C,再点无分页文件,然后点设置,接
着点E,自定义大小,更改后点“设置”才能生效。
4.打开注册表,HKEY_CURRENT_USER\Control Panel\Desktop分支,在右边窗口双击键值
名MenuShowDelay,这一项的取值范围是0~100000(单位为毫秒),将默认的值改为0。
五、删除一些可不用的东西
1.删除驱动器备份
\windows\Driver cache\i386下的Driver.cab文件,约70MB。
2.删除帮助文件
\Windows\Help下,约40MB
3.删除备用DLL文件
\Windows\System32\Dllcache,约200MB.最好有安装光盘或安装文件备份,以备用。
4.删除不用的输入法
Windows\Ime,如日文,韩文,繁体中文输入法。
5.将C:\windows\temp中的文件全部删除。
六、关闭部分功能
1.关闭系统还原功能
我的电脑-属性-系统还原,选在所有的驱动器上关闭系统还原。也可关闭不重要的分区
的系统还原,如果考虑系统安全,则不要关闭还原功能。
2.关闭自动更新
我的电脑-属性-自动更新,选择关闭自动更新,我将手动更新计算机。
3.关闭远程桌面
我的电脑-属性-远程,远程桌面里的允许用户远程连接到这台计算机勾去掉。
4.取消休眠功能
右键桌面-属性-屏幕保护程序-电源-休眠,将启用休眠前的勾去掉,约200MB。
七、其它优化设置
1. 将我的文档转到其他分区
在桌面的“我的文档”图标上右击鼠标,选择属性-移动,目标为F:\我的文档。
2. 将IE临时文件夹转到其他分区。
3.在任务栏中点击鼠标右键,选择属性,任务栏标签中去掉分组相似任务栏按钮前的勾
。
4查看驱动器组件信息
右键我的电脑-管理存储-可移动存储-库,用右键点击所要查询的驱动器-属性-设备信息
就可看到驱动器的信息了,将多余的用户名删除。
八、设置硬盘工作模式
我的电脑-属性-硬件-设备管理器-IDE ATA/ATAPI控制器-IDE通道-属性-高级设置,在传送
模式中选择“DMA”。将次要IDE通道的设备类型改为无,将使开机滚动条减少至一圈。
九、更改安全日志
1.开始-控制面板-管理工具-事件查看器。
2.在随后出现的控制台树中,右键单击安全日志(或分别点击应用程序、安全性、系统)
,然后单击属性。
3.接着在常规选项卡上,单击改写久于n天的事件(默认是7天前)。
4.改变日志文件的大小,默认是512KB。
5.完成此操作后,需要重新启动你的计算机。
十一、高级设置
1、加快开机及关机速度
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory
Management\PrefetchParameters,右边键值EnablePrefetcher,它的值是3,改为1或5。
找到 HKEY_LOCAL_MACHINE\System\CurrentControlSet\ControlWaitToKillServiceTimeout
设为:1000或更小。 ( 原设定值:20000 )
找到 HKEY_CURRENT_USER\Control Panel\Desktop,将waitToKillAppTimeout 改为 1000,
( 原设定值:20000 )即关闭程序时仅等待1秒。将 HungAppTimeout 值改为:200( 原设定值
:5000 ), 表示程序出错时等待0.5秒。
2、自动关闭停止响应程序
HKEY_CURRENT_USER-Control Panel-Desktop,将字符串值AutoEndTasks的数值数据改为1。
3、加快菜单显示速度
HKEY_CURRENT_USER]-Control Panel-Desktop,将字符串值MenuShowDelay的数值数据改
为0,调整后如觉得菜单显示速度太快而不适应者可将MenuShowDelay的数值数据更改为200,
重新启动即可(若无此字符串不可增加,一加就出问题)。
4、关机时自动关闭停止响应程序
HKEY_USERS]-.DEFAULT-Control Panel-Desktop,右面窗口将AutoEndTasks的数值数据改
为1,注销或重新启动。
5、加快窗口显示速度:HKEY_CURRENT_USER\Control Panel\Desktop\WindowMetrics子
键分支,在右边的窗口中找到MinAniMate键值,其类型为REG_SZ,默认情况下此健值的值为1
,表示打开窗口显示的动画,把它改为0,则禁止动画的显示,注销生效。
6、禁止Dr.Watson的运行:
HKEY_LOCAL_MACHINESOFTWARE\Microsoft\Windows NT\CurrentVersion\AeDebug子键分
支,双击在它下面的Auto键值名称,将其“数值数据”改为0,刷新生效。
7.禁用Internet Explorer Enhanced Security 和禁止安全询问框的出现:
在IE工具选项中将安全级别设置为中或中低。自定义设置中将有关的选择提示修改为禁
止或启用。
8.启用硬件和DirectX加速
桌面点击右键-属性-设置-高级-疑难解答,把该页面的硬件加速滚动条拉到完全,点击
确定退出。这期间可能出现一瞬的黑屏属正常现象。
9.DirectX加速:开始-运行键入dxdiag打开“DirectX 诊断工具”,在“显示”页面,
点击DirectDraw, Direct3D and AGP Texture 加速三个按钮启用加速。把“声音的硬件加速
级别”(ardware Sound Acceleration Level)滚动条拉到“完全加速”( Full
Acceleration)。
10.允许内置的IMAPI CD-Burning服务和支持Windows影像设备服务
如有此类设备可在服务中把IMAPI CD-Burning COM Service设为自动。
11.如有如数码相机和扫描仪之类的影像设备,应该打开Windows Image Acquisition 服
务。
12.禁用系统服务Qos
开始-运行,键入 gpedit.msc ,出现“组策略”窗口, 展开管理模板-网络,展开QoS 数据
包调度程序,在右边窗右键单击限制可保留带宽 ,在属性中的设置中有限制可保留带宽 ,选
择已禁用,确定即可。
13.禁止Windows XP的压缩功能:
开始-运行,输入“regsvr32 /u zipfldr.dll”,确定。
14.加速共享:
HKEY_LOCAL_MACHINESoftware\Microsoft\Windows\CurrentVersion\Explorer
\RemoteComputer\NameSpace。
在这里面,应该有个{D6277990-4C6A-11CF- 87-00AA0060F5BF}键。只需把它删掉,重新启动
计算机。
十二、服务设置:
Alerter 禁用
Application Layer Gateway Service 禁用
Application Management 手动
Automatic Updates 禁用
Background Intelligent Transfer Service 禁用
ClipBook 禁用
COM+ Event System 手动
COM+ System Application 手动
Computer Browser 禁用
Cryptographic Services 禁用
DHCP Client 手动
Distributed Link Tracking Client 禁用
Distributed Transaction Coordinator 禁用
DNS Client 手动
Error Reporting Service 禁用
Event Log 自动
Fast User Switching Compatibility 手动
File Replication 手动
Help and Support 禁用
HTTP SSL 手动
Human Interface Device Access 禁用
IMAPI CD-Burning COM Service 禁用
Indexing Service 禁用
Internet Connection Firewall (ICF) / Internet Connection Sharing (ICS) 禁用
Intersite Messaging 禁用
IPSEC Services 禁用
Kerberos Key Distribution Center 禁用
License Logging 禁用
Logical Disk Manager 手动
Logical Disk Manager Administrative Service 手动
Messenger 禁用
Microsoft Software Shadow Copy Provider 禁用
Net Logon 禁用
NetMeeting Remote Desktop Sharing 禁用
Network Connections 手动
Network DDE 禁用
Network DDE DSDM 禁用
Network Location Awareness (NLA) 禁用
NT LM Security Support Provider 禁用
Performance Logs and Alerts 禁用
Plug and Play 自动
Portable Media Serial Number 禁用
Print Spooler 禁用
Protected Storage 自动
QoS RSVP 禁用
Remote Access Auto Connection Manager 手动
Remote Access Connection Manager 手动
Remote Desktop Help Session Manager 禁用
Remote Procedure Call (RPC) 自动
Remote Procedure Call (RPC) Locator 禁用
Remote Registry 禁用
Removable Storage 手动
Resultant Set of Policy Provider 手动
Routing and Remote Access 禁用
Secondary Logon 禁用
Security Accounts Manager 手动
Server 禁用
Shell Hardware Detection 手动
Smart Card 禁用
Smart Card Helper 禁用
Special Administration Console Helper 禁用
SSDP Discovery Service 禁用
System Event Notification 自动
System Restore Service 禁用
Task Scheduler 禁用
TCP/IP NetBIOS Helper 禁用
Telephony 手动
Telnet 禁用
Terminal Services 自动
Themes 自动
Uninterruptible Power Supply 禁用
Universal Plug and Play Device Host 禁用
Upload Mandger 手动
Virtual Disk Service 手动
Volume Shadow Copy 禁用
WebClient 禁用
Windows Audio 自动
Windows Image Acquisition(WIA) 禁用
Windows Installer 手动
Windows Management Instrumentation(WMI) 自动
Windows Management Instrumentation Driver Extensions 手动
Windows Time 禁用
WinHTTP Web Proxy Auto-Discovery Service 手动
Wireless Configuration 禁用
Wireless Zero Configuration 禁用
WMI Performance Adapter 禁用
Workstation 自动
本文来自ChinaUnix博客,如果查看原文请点:http://blog.chinaunix.net/u/11910/showart_174358.html |
|
免费注册
发表于 2006-09-20 23:55