一、开启和设置Windows防火墙
1.开启前要先看看3389端口有没有加到例外里去,尤其是托管的服务器,没有的话勾上“远程桌面”,然后再开启。
2.在例外中加入80、1433、21端口,如用pcanywhere则把pcanywhere程序添加进去,总之,要什么端口才添加什么端口,不要的端口一律不加。(也可以:windows防火墙—高级—本地连接—设置—服务,勾上所要服务,如:远程桌面、http、ftp、smtp)。
3.允许ping服务器:windows防火墙—高级—本地连接—设置—ICMP,勾上第一个:允许传入响应请求。
二、windows系统帐号
1.将administrator改名,如改为FomDxBC
2.将guest改名为administrator作为陷阱帐户,并且设置一个高强度的密码,或直接禁用
3.除了管理员帐户、以及服务必须要用到的用户外,禁用或删除其他一切用户
三、本地策略
本地策略——>安全选项
交互式登陆:不显示上次的用户名 启用
网络访问:不允许SAM帐户和共享的匿名枚举 启用
网络访问:不允许为网络身份验证储存凭证 启用
网络访问:可匿名访问的共享 全部删除
网络访问:可匿名访问的命名管道 全部删除
网络访问:可远程访问的注册表路径 全部删除
网络访问:可远程访问的注册表路径和子路径 全部删除
本地策略——>审核策略
审核策略更改 成功 失败
审核登录事件 成功 失败
审核对象访问 失败
审核过程跟踪 无审核
审核目录服务访问 失败
审核特权使用 失败
审核系统事件 成功 失败
审核账户登录事件 成功 失败
审核账户管理 成功 失败
本地策略——>用户权限分配
关闭系统:只有Administrators组、其它全部删除。飞飞A.sp技术乐园
四、关闭无用的服务
1.我们一般关闭如下服务:
Computer Browser
Help and Support
Messenger
Print Spooler
Remote Registry
TCP/IP NetBIOS Helper
Workstation
Telnet
把不必要的服务都禁止掉,尽管这些不一定能被攻击者利用得上,但是按照安全规则和标准上来说,多余的东西就没必要开启,减少一份隐患。飞飞A,sp技术乐园
2.在"网络连接"里,把不需要的协议和服务都删掉,只保留基本的Internet协议(TCP/IP),在高级tcp/ip设置里--"NetBIOS"设置"禁用tcp/IP上的NetBIOS(S)"。
3.禁用空会话
检查是否禁用了空会话,避免与服务器创建匿名(不进行身份验证的)会话。要进行检查,请运行 Regedt32.exe,确认“RestrictAnonymous”项已设置为 1,如下所示。
HKLM\System\CurrentControlSet\Control\LSA\RestrictAnonymous=1
4.要审查共享和相关的权限,运行“计算机管理”MMC 管理单元,然后选择“共享文件夹”下的“共享”。检查所有共享是否是需要的共享。飞飞A,sp技术乐园删除所有不必要的共享。
5.不要在服务器上安装像VS一样的软件开发包(SDK)
五、更改远程桌面端口
依次展开
HKEY_LOCAL_MACHINE/SYSTEM/CURRENTCONTROLSET/CONTROL/
TERMINAL SERVER/WDS/RDPWD/TDS/TCP
右边键值中 PortNumber 改为想用的端口号.使用十进制(例 50228 )
HKEY_LOCAL_MACHINE/SYSTEM/CURRENTCONTROLSET/CONTROL/TERMINAL SERVER/
WINSTATIONS/RDP-TCP/
右边键值中 PortNumber 改为你想用的端口号.注意使用十进制(例 50228 )
注意:在WINDOWS2003自带的防火墙给+上50228端口
修改完毕.重新启动服务器.设置生效.
六、开启密码策略
注意应用密码策略,启用密码复杂性要求,设置密码长度最小值为6位 ,设置强制密码历史为5次,时间为42天。
七、开启用户策略
使用用户策略,分别设置复位用户锁定计数器时间为20分钟,用户锁定时间为20分钟,用户锁定阈值为3次。
|
