服務器安全配置(只針對WIN系統)
一、
原則關掉所有不使用的服務,不安裝所有與服務器無關的軟件,打好所有補丁
修改3389
HKEY_LOCAL_MACHINE/System/CurrentControlSet/Control/Terminal Server/Wds/Repwd/Tds/Tcp, 看到那個PortNumber沒有?0xd3d,這個是16進制,就是3389啦,我改XXXX這個值是RDP(遠程桌面協議)的默認值,也就是說用來配置以后新建的RDP服務的,要改已經建立的RDP服務,我們去下一個鍵值:
HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Control/TerminalServer/WinStations這里應該有一個或多個類似RDP-TCP的子健(取決于你建立了多少個RDP服務),一樣改掉PortNumber。
修改系統日志保存地址
默認位置為
應用程序日志、安全日志、系統日志、DNS日志默認位置:%systemroot%/system32/config,默認文件大小512KB,管理員都會改變這個默認大小。
安全日志文件:%systemroot%/system32/config/SecEvent.EVT
系統日志文件:%systemroot%/system32/config/SysEvent.EVT
應用程序日志文件:%systemroot%/system32/config/AppEvent.EVT
Internet信息服務FTP日志默認位置:%systemroot%/system32/logfiles/msftpsvc1/,默認每天一個日志
Internet信息服務�WWW日志默認位置:%systemroot%/system32/logfiles/w3svc1/,默認每天一個日志�
Scheduler(任務計劃)服務日志默認位置:%systemroot%/schedlgu.txt
應用程序日志,安全日志,系統日志,DNS服務器日志,它們這些LOG文件在注冊表中的:
HKEY_LOCAL_MACHINE/System/CurrentControlSet/Services/Eventlog
Schedluler(任務計劃)服務日志在注冊表中
HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/SchedulingAgent
SQL
刪掉或改名xplog70.dll
[HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services/lanmanserver/parameters]
"AutoShareServer"=dword:00000000
"AutoShareWks"=dword:00000000
// AutoShareWks 對pro版本
// AutoShareServer 對server版本
// 0 禁止管理共享admin$,c$,d$之類默認共享
[HKEY_LOCAL_MACHINE/System/CurrentControlSet/Control/LSA]
"restrictanonymous"=dword:00000001
//0x1 匿名用戶無法列舉本機用戶列表
//0x2 匿名用戶無法連接本機IPC$共享(可能sql server不能夠啟動)
本地安全策略
封TCP端口:21(FTP,換FTP端口)23(TELNET),53(DNS),135,136,137,138,139,443,445,1028,1433,3389
可封TCP端口:1080,3128,6588,8080(以上為代理端口).25(SMTP),161(SNMP),67(引導)
封UDP端口:1434(這個就不用說了吧)
封所有ICMP,即封PING
以上是最常被掃的端口,有別的同樣也封,當然因為80是做WEB用的
審核策略為
審核策略更改:成功,失敗
審核登錄事件:成功,失敗
審核對象訪問:失敗
審核對象追蹤:成功,失敗
審核目錄服務訪問:失敗
審核特權使用:失敗
審核系統事件:成功,失敗
審核賬戶登錄事件:成功,失敗
審核賬戶管理:成功,失敗
密碼策略:啟用“密碼必須符合復雜性要求","密碼長度最小值"為6個字符,"強制密碼歷史"為5次,"密碼最長存留期"為30天.
在賬戶鎖定策略中設置:"復位賬戶鎖定計數器"為30分鐘之后,"賬戶鎖定時間"為30分鐘,"賬戶鎖定值"為30分鐘.
安全選項設置:本地安全策略==本地策略==安全選項==對匿名連接的額外限制,雙擊對其中有效策略進行設置,選擇"不允許枚舉SAM賬號和共享",因為這個值是只允許非NULL用戶存取SAM賬號信息和共享信息,一般選擇此項.
