win2k3新系統的比較全面安全設置超詳細版

2024-07-16 17:02:18

字體：大中小

來源：轉載

供稿：網友

首先從以下幾個方面入手
1、新系統安裝后，先進行全面的windows updata 打全所有官方公布的補丁程序。(很關鍵的步驟，不能省略)
2、系統服務中的各項服務進行優化和篩選。(看操作把，我已經設置過了，我會告訴的)
Computer Browser此服務最好關閉，防止局域網之間的瀏覽
Messenger沒用的服務，自然是停止了
Print Spooler沒用的服務，自然是停止了
Remote Procedure Call (RPC) 此服務可不能停，要把恢復項中的失敗全部設置為不操作
Remote Registry此項服務可以遠程操作本地注冊表，自然僅用了
Server此項沒有，自然禁用了
TCP/IP NetBIOS Helper此項服務也是沒用了，禁用。
Telnet 終端，不用說了禁用。
Terminal Services 遠程訪問控制（3389端口），根據情況開啟
Windows Firewall/Internet Connection Sharing (ICS)此項為系統自帶的防火墻，根據情況最好開啟
Windows Time此項沒有，自然禁用了
Windows User Mode Driver Framework此項沒有，自然禁用了
WinHTTP Web Proxy Auto-Discovery Service 此項沒有，自然禁用了
Wireless Configuration此項沒有，自然禁用了
Workstation此項最好關閉
主要項關閉后，系統的常規共享、IPC$等等都關閉了，還有網卡的設置，看wins中選擇禁用，這是最好了同時也關閉了137/138端口
3、本地安全策略進行端口和ICMP設置（關閉常用端口及防止PING攻擊）操作此項根據個人的習慣，最好進行處理
重新設置一下，首先禁用ICMP，即PING
這樣就設置好了icmp，如果希望通過指定IP地址來登陸3389如何設置那，看操作，這里以本機IP地址為例192.168.210.252這樣就設置好了
還可以關閉常用的端口，操作例關閉1000-1080端口這樣就好了，最后選擇指派，就生效了
4、TCP/IP 篩選(這個也是對網卡進行操作，可以選擇)
5、IIS設置(略，如果希望講解，TCP端口可以設置常用的開放端口，UDP可以全部不開放，如果提供DNS服務，開放53端口就行了)，還要對本地計算機的組策略進行設置 gpedit.msc，計算機配置中的帳戶策略，密碼策略，密碼最小長度最好超過8位以上，以后就算被入侵了，不知道密碼的最小長度，也沒有辦法添加用戶，帳戶鎖定策略鎖定闞值必須設置，最好2次不要超過3次，鎖定時間自定，本地策略，根據自己本身情況設置，其他的根據自己的情況酌量而行
下面的內容還是要酌量而行，如果權限設置的過于BT有可能要出問題，所以看情況
6、常用命令及控件的權限分配(CMD.EXE/NET.EXE/NET1.EXE/SHELL32.DLL/wshom.ocx/ftp.EXE/tftp.EXE/cacls.EXE/NETSTAT.EXE/wshext.dll/scrrun.DLL)
這些命令或組件都是危險的東西，根據自己的實際環境，不必要刪除或卸載，可以把它們的users組權限取消，同時對C盤的主要目錄進行權限分配

上一篇：電腦無法啟動故障的10種解決方法

下一篇：常用軟件序列號