全面降低windows系统的降低风险.docVIP

全面降低windows系统的安全隐范(二) 之降低风险 作者：许本新 一、通过服务和端口限制来实现系统安全 限制对外开放的端口: 在TCP/IP的高级设置中选择只允许开放特定端口，或者可以考虑使用路由或防火墙来设置。 禁用snmp服务 或者更改默认的社区名称和权限 禁用terminal server服务 将不必要的服务设置为手动 Alerter ????ClipBook? ?Computer Browser 二、Netbios的安全设置 取消绑定文件和共享绑定 打开 控制面板－网络－高级－高级设置 选择网卡并将Microsoft 网络的文件和打印共享的复选框取消，禁止了139端口。 注册表修改： HKEY_LOCAL_MACHINE\System\Controlset\Services\NetBT\Parameters Name: SMBDeviceEnabled Type: REG_DWORD Value: 0 禁止445端口。 禁止匿名连接列举帐户名需要对注册表做以下修改。 注：不正确地修改注册表会导致严重的系统错误，请慎重行事！　　1．运行注册表编辑器（Regedt32.exe）。　 2．定位在注册表中的下列键上： HKEY_LOCAL_MACHINE\Systemt\CurrentControl\LSA　　 3．在编辑菜单栏中选取加一个键值：　　 Value Name:RestrictAnonymous　　 Data Type:REG_DWORD　　 Value:1（Windows2000下为2） 　 4．退出注册表编辑器并重启计算机，使改动生效。 Win2003的本地安全策略（或域安全策略中）中有RestrictAnonymous（匿名连接的额外限制）选项，提供三个值可选 0：None. Rely on default permissions（无，取决于默认的权限） 1：Do not allow enumeration of SAM accounts and shares（不允许枚举SAM帐号和共享） 2：No access without explicit anonymous permissions（没有显式匿名权限就不允许访问） 三、注册表安全 所有的配置和控制选项都存储在注册表中 分为五个子树，分别是Hkey_local_machine、Hkey_users、Hkey_current_user、Hkey_classes_root、Hkey_current_config Hkey_local_machine包含所有本机相关配置信息 权 限 解 释 查询数值 允许用户和组从注册表中读取数值 设置数值 允许用户和组从注册表中设置数值 创建子项 允许用户和组在给定的注册项中创建子项 计数子项 允许用户和组识别某注册项的子项 通 知 允许用户和组从注册表中审计通知事件 创建链接 允许用户和组在特定项中建立符号链接 删 除 允许用户和组在删除选定的注册项 写入DAC 允许用户和组将DAC写入注册表项 写入所有者 允许用户和组获得注册表项的所有权 读取控制 允许用户和组具有访问选定注册表项的安全信息 禁止对注册表的远程访问 禁止和删除服务 通过services.msc禁止服务 使用Resource Kit彻底删除服务 Sc命令行工具 Instsrv工具 举例 OS/2和Posix系统仅仅为了向后兼容 Server服务仅仅为了接受netbios请求