华南俳烁实业有限公司

前面講的都是屁話，潤潤筆而已。（俺也文人一次）

話鋒一轉(zhuǎn)就到了系統(tǒng)權(quán)限設(shè)置與安全配置的實(shí)際操作階段

系統(tǒng)設(shè)置網(wǎng)上有一句話是“最小的權(quán)限+最少的服務(wù)=最大的安全”。此句基本上是個(gè)人都看過，但我好像

沒有看到過一篇講的比較詳細(xì)稍具全面的文章，下面就以我個(gè)人經(jīng)驗(yàn)作一次教學(xué)嘗試！

最小的權(quán)限如何實(shí)現(xiàn)？

NTFS系統(tǒng)權(quán)限設(shè)置 在使用之前將每個(gè)硬盤根加上 Administrators 用戶為全部權(quán)限(可選加入SYSTEM用戶)

刪除其它用戶，進(jìn)入系統(tǒng)盤:權(quán)限如下

C:\WINDOWS Administrators SYSTEM用戶全部權(quán)限 Users 用戶默認(rèn)權(quán)限不作修改

其它目錄刪除Everyone用戶，切記C:\Documents and Settings下All Users\Default User目錄及其子目錄

如C:\Documents and Settings\All Users\application Data 目錄默認(rèn)配置保留了Everyone用戶權(quán)限

C:\WINDOWS 目錄下面的權(quán)限也得注意,如 C:\WINDOWS\PCHealth、C:\windows\Installer也是保留了Everyone權(quán)限.

刪除C:\WINDOWS\Web\PRinters目錄，此目錄的存在會造成IIS里加入一個(gè).printers的擴(kuò)展名，可溢出攻擊

默認(rèn)IIS錯(cuò)誤頁面已基本上沒多少人使用了。建議刪除C:\WINDOWS\Help\iisHelp目錄

刪除C:\WINDOWS\system32\inetsrv\iisadmpwd，此目錄為管理IIS密碼之用，如一些因密碼不同步造成500

錯(cuò)誤的時(shí)候使用 OWA 或 Iisadmpwd 修改同步密碼，但在這里可以刪掉，下面講到的設(shè)置將會杜絕因系統(tǒng)

設(shè)置造成的密碼不同步問題。

打開C:\Windows 搜索

net.exe;cmd.exe;tftp.exe;netstat.exe;regedit.exe;at.exe;attrib.exe;cacls.exe;format.com;

regsvr32.exe;xcopy.exe;wscript.exe;cscript.exe;ftp.exe;telnet.exe;arp.exe;edlin.exe;

ping.exe;route.exe;finger.exe;posix.exe;rsh.exe;atsvc.exe;qbasic.exe;runonce.exe;syskey.exe

修改權(quán)限，刪除所有的用戶只保存Administrators 和SYSTEM為所有權(quán)限

關(guān)閉445端口

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\netBT\Parameters

新建 “DWord值”值名為 “SMBDeviceEnabled” 數(shù)據(jù)為默認(rèn)值“0”

禁止建立空連接

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa

新建 “DWORD值”值名為 “RestrictAnonymous” 數(shù)據(jù)值為“1” [2003默認(rèn)為1]

禁止系統(tǒng)自動(dòng)啟動(dòng)服務(wù)器共享

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters

新建 “DWORD值”值名為 “AutoShareServer” 數(shù)據(jù)值為“0”

禁止系統(tǒng)自動(dòng)啟動(dòng)管理共享

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters

新建 “DWORD值”值名為 “AutoShareWks” 數(shù)據(jù)值為“0”

通過修改注冊表防止小規(guī)模DDOS攻擊

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters

新建 “DWORD值”值名為 “SynAttackProtect” 數(shù)據(jù)值為“1”

禁止dump file的產(chǎn)生

dump文件在系統(tǒng)崩潰和藍(lán)屏的時(shí)候是一份很有用的查找問題的資料。然而，它也能夠給黑客提供一些敏感

信息比如一些應(yīng)用程序的密碼等。控制面板>系統(tǒng)屬性>高級>啟動(dòng)和故障恢復(fù)把 寫入調(diào)試信息 改成無。

關(guān)閉華醫(yī)生Dr.Watson

在開始-運(yùn)行中輸入“drwtsn32”，或者開始-程序-附件-系統(tǒng)工具-系統(tǒng)信息-工具-Dr Watson，調(diào)出系統(tǒng)

里的華醫(yī)生Dr.Watson ，只保留“轉(zhuǎn)儲全部線程上下文”選項(xiàng)，否則一旦程序出錯(cuò)，硬盤會讀很久，并占

用大量空間。如果以前有此情況，請查找user.dmp文件，刪除后可節(jié)省幾十MB空間。

本地安全策略配置

開始 > 程序 > 管理工具 > 本地安全策略

賬戶策略 > 密碼策略 > 密碼最短使用期限 改成0天[即密碼不過期，上面我講到不會造成IIS密碼不同步]

賬戶策略 > 賬戶鎖定策略 > 賬戶鎖定閾值 5 次 賬戶鎖定時(shí)間 10分鐘 [個(gè)人推薦配置]

本地策略 > 審核策略 >

賬戶管理 成功 失敗

登錄事件 成功 失敗

對象訪問 失敗

策略更改 成功 失敗

特權(quán)使用 失敗

系統(tǒng)事件 成功 失敗

目錄服務(wù)訪問 失敗

賬戶登錄事件 成功 失敗