Windows服務(wù)器安全配置小結(jié)

更新時(shí)間：2008年07月13日 21:34:56 作者：

比較精簡的，大略的服務(wù)器安全設(shè)置類小知識

11.   安裝mcafree 或卡巴斯基服務(wù)器版, vnc  安裝 blackice防火墻. 打開 21,80, 443, 6900, 10000-10020, 63389. 并設(shè)置serv-u使用10000-10020端口進(jìn)行pasv傳送. 防火墻里第二頁選擇鏈接的網(wǎng)卡, 把里面FTP服務(wù)器的勾一定要去掉.

12.   運(yùn)行權(quán)限設(shè)置腳本 priv.bat

13.   禁用以下服務(wù)

14.   Computer Browser 維護(hù)網(wǎng)絡(luò)上計(jì)算機(jī)的最新列表以及提供這個(gè)列表
　　 Routing and Remote Access 在局域網(wǎng)以及廣域網(wǎng)環(huán)境中為企業(yè)提供路由服務(wù)
　　 Removable storage 管理可移動(dòng)媒體、驅(qū)動(dòng)程序和庫
　　 Remote Registry Service 允許遠(yuǎn)程注冊表操作
　　 Print Spooler 將文件加載到內(nèi)存中以便以后打印。要用打印機(jī)的朋友不能禁用這項(xiàng)
　　 IPSEC Policy Agent 管理IP安全策略以及啟動(dòng)ISAKMP/OakleyIKE)和IP安全驅(qū)動(dòng)程序
　　 Distributed Link Tracking Client 當(dāng)文件在網(wǎng)絡(luò)域的NTFS卷中移動(dòng)時(shí)發(fā)送通知
　　 Com+ Event System 提供事件的自動(dòng)發(fā)布到訂閱COM組件
     Alerter 通知選定的用戶和計(jì)算機(jī)管理警報(bào)
     Error Reporting Service 收集、存儲和向 Microsoft 報(bào)告異常應(yīng)用程序
     Messenger 傳輸客戶端和服務(wù)器之間的 NET SEND 和警報(bào)器服務(wù)消息
     Telnet 允許遠(yuǎn)程用戶登錄到此計(jì)算機(jī)并運(yùn)行程序

15.     　　防止SYN洪水攻擊
　　Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters]
"SynAttackProtect"=dword:00000002
"EnablePMTUDiscovery"=dword:00000000
"NoNameReleaseOnDemand"=dword:00000001
"EnableDeadGWDetect"=dword:00000000
"KeepAliveTime"=dword:00300000
"PerformRouterDiscovery"=dword:00000000
"TcpMaxConnectResponseRetransmissions"=dword:00000003
"TcpMaxHalfOpen"=dword:00000100
"TcpMaxHalfOpenRetried"=dword:00000080
"TcpMaxPortsExhausted"=dword:00000005
"EnableICMPRedirects"= dword:00000000

禁止IPC空連接：
cracker可以利用net use命令建立空連接，進(jìn)而入侵，還有net view，nbtstat這些都是基于空連接的，禁止空連接就好了。打開注冊表，找到Local_Machine/System/CurrentControlSet/Control/LSA RestrictAnonymous 把這個(gè)值改成”1”即可。

更改TTL

HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services/Tcpip/Parameter

DefaultTTL REG_DWORD 0-0xff(0-255 十進(jìn)制,默認(rèn)值128)改成一個(gè)莫名其妙的數(shù)字如258

刪除默認(rèn)共享
有人問過我一開機(jī)就共享所有盤，改回來以后，重啟又變成了共享是怎么回事，這是2K為管理而設(shè)置的默認(rèn)共享，必須通過修改注冊表的方式取消它：HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services/LanmanServer/Parameters

AutoShareServer類型是REG_DWORD把值改為0即可

重起后檢查共享目錄是否還存在. ipc$, c$, d$, e$,f$, admin$等

禁止建立空連接
默認(rèn)情況下，任何用戶通過通過空連接連上服務(wù)器，進(jìn)而枚舉出帳號，猜測密碼。我們可以通過修改注冊表來禁止建立空連接：
Local_Machine/System/CurrentControlSet/Control/LSA-RestrictAnonymous 的值改成”1”即可。