TCP/IP设置:
1、 TCP/IP安全策略


特点：简单、方便，系统已经集成，可以单独对一块网卡进行设置；
缺点：不灵活；只有允许，没有禁止；
这些设置的允许和禁止，跟Firewall、IDS等的允许和禁止有所不同。
端口如果没有在允许的范围内，表示不能在相应的端口上绑定服务(Bingding，或叫监听)，
但是用来通讯还是可以的，这在Firewall、IDS中是不允许的。

在上例中，(参见：服务/应用对应端口)
TCP允许：2433，5631(pcAnywhere)；
UDP允许：5632(pcAnywhere)；
IP协议：6(TCP)，17(UDP);

2、 删除不必要的网络服务


3、 不在TCP/IP 上绑定NetBIOS协议


4、 取消IP转发




5、 TCP/IP注册表设置
SynAttackProtect
位置： Tcpip\Parameters
类型： REG_DWORD
范围： 0, 1, 2
0 没有保护
1 当TcpMaxHalfOpen 和 TcpMaxHalfOpenRetried 设置条件满足时，减少重发尝试和 延迟
RCE (route cache entry) 建立。
2 in addition to 1 a delayed indication to Winsock is made.)

注意：当系统检测到被攻击时，下面的socket参数将会无效：Scalable windows (RFC 1323
) 和每个网络接口的TCP 参数 (Initial RTT, window size)。这是因为当系统处于保护状态
下时，在SYN-ACK被成功发送之前，不会查询 route cache entry 和Winsock 参数无效.

默认值： 0 (False)
建议值： 2
说明： Synattack 保护会减少SYN-ACKS,重发的次数, 这样就加速了资源被重新的时间； r
oute cache entry 延迟分配，直到连接建立；假如synattackprotect 设为 2, AFD也会被延
时直到三次握手完成。需要注意的是这个保护机制只会在TcpMaxHalfOpen 和TcpMaxHalfOpe
nRetried 的值超过时才生效。

TcpMaxHalfOpen
位置：Tcpip\Parameters
类型：REG_DWORD
范围：100–0xFFFF
默认值： 100 (Professional, Server), 500 (advanced server)
建议值： 默认设置
说明： 这个参数控制在SYN-ATTACK 保护之前，处于SYN-RCVD 状态的连接允许最大数目。如
果SynAttackProtect 设为 1, 确认该值小于AFD Backlog 参数的值(参见 AFD Backlog 参数
) 。

TcpMaxHalfOpenRetried
位置：Tcpip\Parameters
类型：REG_DWORD
范围：80–0xFFFF
默认值：80 (Professional, Server), 400 (Advanced Server)
建议值： 默认设置
说明：这个参数控制在SYN-ATTACK 保护之前，处于SYN-RCVD 状态并已尝试重发的连接允许
最大数目。

EnablePMTUDiscovery
位置：Tcpip\Parameters
类型：REG_DWORD—Boolean
范围：0, 1 (False, True)
默认值：1 (True)
建议值：0
说明：设置为1时，系统会尝试在到达目的路径上寻找最大的MTU值。当设置为0时，系统会在
非内部网络上使用固定的MTU值(576 byte)。

NoNameReleaseOnDemand
位置：Netbt\Parameters
类型：REG_DWORD
范围：0, 1 (False, True)
默认值：0 (False)
建议值：1
说明：这个参数决定系统收到一个NetBIOS 名字解释请求时，是否进行名字解释。管理员可
以设置该值，以防止系统被恶意者攻击。

EnableDeadGWDetect
位置：Tcpip\Parameters
类型：REG_DWORD
范围：0, 1 (False, True)
默认值：1 (True)
建议值：0
说明：设置为1时, TCP 允许检查无效网关。当默认网关无效时，备份网关将会替代默认网关
，备份网关在TCP/IP协议属性里的“高级”进行设置。

KeepAliveTime
位置：Tcpip\Parameters
类型：REG_DWORD (毫秒)
范围：1–0xFFFFFFFF
默认值：7,200,000 (two hours)
建议值：300,000
说明：这参数控制TCP间隔多长的时间去发送一个keep-alive 数据包，去验证一个空闲的连
接是否存活。如果远程系统仍然存活，它会对这个keep-alive应答。默认情况下， Keep-al
ive 数据包不会被发送，需要程序启用该功能。

PerformRouterDiscovery
位置：Tcpip\Parameters\Interfaces\
类型：REG_DWORD
范围：0,1,2
0 (无效)
1 (有效)
2 (DHCP 发送的路由发现有效)
默认值：2.
建议值：0
说明：控制是否进行路由发现。

EnableICMPRedirects
位置：Tcpip\Parameters
类型：REG_DWORD
范围：0, 1 (False, True)
默认值：1 (True)
建议值：0 (False)
说明：控制系统从一个网络设备处收到一个ICMP 重定向消息时，是否修改自身的路由表。

系统设置
1、 使用NTFS磁盘文件格式
使用CONVERT命令转换为NTFS磁盘文件格式
CONVERT 卷名 /FS:NTFS [/V]

2、 关闭NTFS 8.3文件格式的支持
NtfsDisable8dot3NameCreation
位置：HKEY_LOCAL_MACHINE\SYSTEM
类型：REG_DWORD
范围：0, 1 (False, True)
默认值：0 (False)
建议值：1 (True)

3、 删除OS/2 和POSIX 子系统
位置：HKEY_LOCAL_MACHINE\SOFTWARE
键值：\Microsoft\OS/2 Subsystem for NT
操作：删除所有子键

位置：HKEY_LOCAL_MACHINE\SYSTEM
键值：\CurrentControlSet\Control\Session Manager\Environment
名称：Os2LibPath
操作：删除Os2LibPath

位置：HKEY_LOCAL_MACHINE\SYSTEM
键值：\CurrentControlSet\Control\Session Manager\SubSystems
操作：删除Optional，Posix 和OS/2

4、 禁用LanManager 身份验证
Windows NT Servers Service Pack 4 和后续的版本都支持三种不同的身份验证方法：

l LanManager (LM) 身份验证；
l Windows NT (也叫 NTLM) 身份验证；
l Windows NT Version 2.0 (也叫NTLM2) 身份验证；

默认的情况下，当一个客户尝试连接一台同时支持LM 和 NTLM 身份验证方法的服务器时，L
M 身份验证会优先被使用。基于安全的理由，所以建议禁止LM 身份验证方法。

1. 打开注册表编辑器；
2. 定位到 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa；
3. 选择菜单“编辑”，“添加数值”；
4. 数值名称中输入：LMCompatibilityLevel ，数值类型为：DWORD，单击 确定；
5. 双击新建的数据，并根据具体情况设置以下值：
0 - 发送 LM 和 NTLM响应；
1 - 发送 LM 和 NTLM响应；
2 - 仅发送 NTLM响应；
3 - 仅发送 NTLMv2响应；(Windows 2000有效)
4 - 仅发送 NTLMv2响应，拒绝 LM；(Windows 2000有效)
5 - 仅发送 NTLMv2响应，拒绝 LM 和 NTLM；(Windows 2000有效)
6. 关闭注册表编辑器；
7. 重新启动机器；

需要获得更多的信息，请参阅： http://support.microsoft.com/support/kb/articles/q1
47/7/06.asp

5、 拒绝guest 用户访问事件日志
在事件日志里，可能存放着一些重要的信息，而且在默认的情况下，Guests和匿名用户是可
以查看事件日志的 ， 所以我们必须禁止Guests和匿名用户访问事件日志：

1. 打开注册表编辑器；
2. 定位到 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\EventLog\
3. 选择Application 子目录；
4. 选择菜单“编辑”，“添加数值”；
5. 数值名称中输入：RestrictGuestAccess，数值类型为：DWORD，单击 确定；
6. 双击新建的数据，并设置其值为1 ；
7. 对子目录Security 和 System 重复4-6步骤；

6、 删除所有默认共享
位置：HKEY_LOCAL_MACHINE\SYSTEM
键值：CurrentControlSet\Services\LanmanServer\Parameters
名字：AutoShareServer
类型：REG_DWORD
　值：0　

7、 取消显示最后登录用户
位置：HKEY_LOCAL_MACHINE\SOFTWARE
键值：\Microsoft\Windows NT\Current Version\Winlogon
名称：DontDisplayLastUserName
类型：REG_SZ
　值：1

8、 设置密码长度

9、 启用密码复杂性要求
Windows NT 4.0 Service Pack 2 及后续版本包含了一个密码筛选器 DLL 文件 (Passfilt.
dll) ，可以加强用户的更强密码要求。Passfilt.dll 提供加强的安全，可以防范外来侵入
者的“密码猜测”或“字典攻击”。

l 密码不得少于 6 个字符。（在域的“密码策略”中设置更大值可以进一步提高最小密码长
度）。
l 密码必须包含下列 4 类字符中至少 3 类的字符：
- 英语大写字母 A-Z
- 英语小写字母 a-z
- 阿拉伯数字 0-9
- 非文字数字（“特殊字符”）如标点符号
l 密码不能包含用户名和全名的任意部分。

要使用 Passfilt.Dll，管理员必须在所有域控制器的系统注册表中配置密码筛选 DLL。

1. 打开注册表编辑器 (regedt32.exe, 不要使用regedit.exe)；
2. 定位到 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa；
3. 双击 "Notification Packages"；
4. 把 PASSFILT 加到新的行 (里面可能包含FPNWCLNT 等其他值)。单击 确定；
5. 关闭注册表编辑器；
6. 重新启动机器；

使用 域用户管理器不受这个设置的影响；


10、 运行SYSKEY工具，启用帐号数据
运行命令：syskey

11、 重命名Administrator帐号
12、 启用Administrator帐号网络锁定
passprop /complex /adminlockout

13、 拒绝未认证用户(匿名)访问注册表
位置：HKEY_LOCAL_MACHINE\SYSTEM
键值：\CurrentControlSet\Control\SecurePipeServers
名称：\winreg

14、 拒绝 Anonymous 帐号(NULL Session)访问
不允许匿名列举用户名、共享名。Service Pack 3 开始提供这个设置。

位置：HKEY_LOCAL_MACHINE\SYSTEM
键值：CurrentControlSet\Control\LSA
名称：RestrictAnonymous
类型：REG_DWORD
　值：1

15、 检查注册表访问权限
检查以下注册表的访问权限：
位置：HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion
\Run
\RunOnce
\RunOnceEx

位置：HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion
\AeDebug
\WinLogon\GinaDLL
\WinLogon\Userinit

16、 修改“从网络访问此计算机”权限分配
17、 设置审核规则
18、 启用SAM 访问审核
1. 确定启用审核，如未启用，可以使用“域用户管理器”启动审核 ；
2. 确认启动schedule，如未启动，使用以下命令启动该服务：

C:\> net start schedule

3. 命令行使用At 命令添加任务：

C:\> at <时间> /interactive "regedt32.exe"

4. 然后Regedt32.exe会以系统帐号启动。
5. 选择 HKEY_LOCAL_MACHINE 窗口；
6. 选择 SAM 并从“安全”菜单选择“审核”，如下图；

7. 单击“添加”，然后“显示用户”；
8. 添加如下帐号：
- SYSTEM
- Domain Admins
- Administrator
- Backup Operators

其他拥有以下权限的帐号：
- Take ownership of files or other objects（取得文件或其他对象的所有权）
- Back up files and directories（备份文件和目录）
- Manage auditing and security log（管理审核和安全日志）
- Restore files and directories（还原文件和目录）
- Add workstations to domain（域中添加工作站）
- Replace a process level token（替换进程级记号）
单击“确定”；

9. 选中 "审核已有子项的权限"；
10. 为下面设置“成功”和“失败”的审核：
- Query Value（查询数值）
- Set Value（设置数值）
- Write DAC（写入DAC）
- Read Control（读取控制）


11. 单击“确定”。单击“是”。
12. 停止schedule服务；
C:\> net stop schedule

19、 移动常用/危险工具，并设置访问权限
xcopy.exewscript.execscript.exenet.exeftp.exetelnet.exe arp.exeedlin.exeping.exe
route.exeat.exe finger.exeposix.exersh.exeatsvc.exeqbasic.exerunonce.exe syskey.
execacls.exeipconfig.exercp.exesecfixup.exe nbtstat.exerdisk.exe debug.exeregedt
32.exeregedit.exeedit.comnetstat.exetracert.exe nslookup.exerexec.execmd.exe

20、 停止不必要的服务
HTTP/FTP服务器需要最少的服务：
l Event Log
l License Logging Service
l Windows NTLM Security Support Provider
l Remote Procedure Call (RPC) Service
l Windows NT Server or Windows NT Workstation
l IIS Admin Service
l MSDTC
l World Wide Web Publishing Service
l Protected Storage

IIS设置:
1、 设置Web目录访问权限(NTFS)
根据下面表格设置Web目录/文件的权限：
文件类型 ACL
CGI etc .EXE, .DLL, .CMD, .PL Everyone (RX)Administrators (Full Control)System (
Full Control)
Script Files .ASP etc Everyone (RX)Administrators (Full Control)System (Full Con
trol)
Include Files .INC, .SHTML, .SHTM Everyone (RX)Administrators (Full Control)Syst
em (Full Control)
Static Content .HTML, .GIF, .JPEG Everyone (R)Administrators (Full Control)Syste
m (Full Control)

2、 设置IIS 日志文件的访问权限
怎样知道IIS日志存放在那里？
默认是存放在% SystemRoot%\System32\LogFiles目录下，

3、 删除示例(Sample)程序
示例内容 存放位置
IIS c:\inetpub\iissamples
IIS SDK c:\inetpub\iissamples\sdk
Admin Scripts c:\inetpub\AdminScripts
Data access c:\Program Files\Common Files\System\msadc\Samples

4、 删除脚本映射

5、 禁止RDS支持
修改注册表，删除以下键值和子键值：
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services \W3SVC\Parameters\ADCLaunch
\RDSServer.DataFactory

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services \W3SVC\Parameters\ADCLaunch
\AdvancedDataFactory

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services W3SVC\Parameters\ADCLaunch\
VbBusObj.VbBusObjCls

6、 禁止使用#exec调用命令
位置：HKEY_LOCAL_MACHINE\SYSTEM
键值：CurrentControlSet\Services\W3SVC\Parameters
名称：SSIEnableCmdDirective
类型：REG_DWORD
　值：0

7、 为脚本类文件取消读取访问权限
注意：不是NTFS的读权限，是Web服务属性设置的读取访问设置。

8、 取消“启用父路径”

SQL Server设置:
1、 选择合适的认证默认
SQL Server提供了三种不同的用户身份验证模式。

验证模式 描述
标准模式(只有6.5版本才有)，也叫独立模式 应用程序必须提供一个SQL Server user ID 和
口令才能访问数据库。不使用Windows 客户的验证方法；
Windows NT内置模式 使用Windows 帐号作为验证的方法；
混合模式 这是同时提供上面两种验证方法的一种混合验证模式。

l 标准模式 –只有6.5版本才有
标准模式是SQL Server默认安装里已经选定的一项选项。 它提供了简单安全验证模式，因为
它独立于WIndows NT的域模式。你可以通过设置SQL Server里的安全选项来控制用户访问数
据库和对象的访问级别。

标准模式使用SQL Server它自身的方法去验证一个用户的身份。要使用标准模式的话，每个
用户必须要向SQL Server提供一个User ID 和密码来验证身份。每个验证后的用户都可以访
问他有权限访问的数据库和对象(表、视图、存储过程)。 这是一个比较容易跟IIS集成到一
块的验证模式。

假如你不使用multi-

[1] [2] [3] 下一页