Windows系统安全设置

沈阳中海科技有限公司技术资料-1-Windows系统安全设置一、服务安全设置(设置完毕需要重新启动)*除非特殊情况非开不可，下列系统服务要停止并禁用：Alerter服务名称:Alerter显示名称:Alerter服务描述:通知选定的用户和计算机管理警报。如果服务停止，使用管理警报的程序将不会收到它们。如果此服务被禁用，任何直接依赖它的服务都将不能启动。可执行文件路径:E:\WINDOWS\system32\svchost.exe-kLocalService其他补充:ApplicationLayerGatewayService服务名称:ALG显示名称:ApplicationLayerGatewayService服务描述:为应用程序级协议插件提供支持并启用网络/协议连接。如果此服务被禁用，任何依赖它的服务将无法启动。可执行文件路径:E:\WINDOWS\System32\alg.exe其他补充:BackgroundIntelligentTransferService服务名称:BITS显示名称:BackgroundIntelligentTransferService服务描述:服务描述:利用空闲的网络带宽在后台传输文件。如果服务被停用，例如WindowsUpdate和MSNExplorer的功能将无法自动下载程序和其他信息。如果此服务被禁用，任何依赖它的服务如果没有容错技术以直接通过IE传输文件，一旦BITS被禁用，就可能无法传输文件。可执行文件路径:E:\WINDOWS\system32\svchost.exe-knetsvcs其他补充:ComputerBrowser沈阳中海科技有限公司技术资料-2-服务名称:服务名称:Browser显示名称:显示名称:ComputerBrowser服务描述:服务描述:维护网络上计算机的更新列表，并将列表提供给计算机指定浏览。如果服务停止，列表不会被更新或维护。如果服务被禁用，任何直接依赖于此服务的服务将无法启动。可执行文件路径:可执行文件路径:E:\WINDOWS\system32\svchost.exe-knetsvcs其他补充:DistributedFileSystem服务名称:Dfs显示名称:DistributedFileSystem服务描述:将分散的文件共享合并成一个逻辑名称空间并在局域网或广域网上管理这些逻辑卷。如果这个服务被停止，用户则无法访问文件共享。如果这个服务被禁用，任何依赖它的服务将无法启动。可执行文件路径:E:\WINDOWS\system32\Dfssvc.exe其他补充:HelpandSupport服务名称:helpsvc显示名称:HelpandSupport服务描述:启用在此计算机上运行帮助和支持中心。如果停止服务，帮助和支持中心将不可用。如果禁用服务，任何直接依赖于此服务的服务将无法启动。可执行文件路径:E:\WINDOWS\System32\svchost.exe-knetsvcs其他补充:Messenger服务名称:Messenger显示名称:Messenger服务描述:传输客户端和服务器之间的NETSEND和警报器服务消息。此服务与WindowsMessenger无关。如果服务停止，警报器消息不会被传输。如果服务被禁用，任何直接依赖于此服务的服务将无法启动。可执行文件路径:E:\WINDOWS\system32\svchost.exe-knetsvcs其他补充:沈阳中海科技有限公司技术资料-3-NetMeetingRemoteDesktopSharing服务名称:mnmsrvc显示名称:NetMeetingRemoteDesktopSharing服务描述:允许经过授权的用户用NetMeeting在公司intranet上远程访问这台计算机。如果服务被停止，远程桌面共享将不可用。如果服务被禁用，依赖这个服务的任何服务都会无法启动。可执行文件路径:E:\WINDOWS\system32\mnmsrvc.exe其他补充:PrintSpooler服务名称:Spooler显示名称:PrintSpooler服务描述:管理所有本地和网络打印队列及控制所有打印工作。如果此服务被停用，本地计算机上的打印将不可用。如果此服务被禁用，任何依赖于它的服务将无法启用。可执行文件路径:E:\WINDOWS\system32\spoolsv.exe其他补充:RemoteRegistry服务名称:RemoteRegistry显示名称:RemoteRegistry服务描述:使远程用户能修改此计算机上的注册表设置。如果此服务被终止，只有此计算机上的用户才能修改注册表。如果此服务被禁用，任何依赖它的服务将无法启动。可执行文件路径:E:\WINDOWS\system32\svchost.exe-kregsvc其他补充:TaskScheduler服务名称:Schedule显示名称:TaskScheduler服务描述:使用户能在此计算机上配置和计划自动任务。如果此服务被终止，这些任务将无法在计划时间里运行。如果此服务被禁用，任何依赖它的服务将无法启动。可执行文件路径:E:\WINDOWS\System32\svchost.exe-knetsvcs其他补充:TCP/IPNetBIOSHelper沈阳中海科技有限公司技术资料-4-服务名称:LmHosts显示名称:TCP/IPNetBIOSHelper服务描述:提供TCP/IP(NetBT)服务上的NetBIOS和网络上客户端的NetBIOS名称解析的支持，从而使用户能够共享文件、打印和登录到网络。如果此服务被停用，这些功能可能不可用。如果此服务被禁用，任何依赖它的服务将无法启动。可执行文件路径:E:\WINDOWS\system32\svchost.exe-kLocalService其他补充:Telnet服务名称:TlntSvr显示名称:Telnet服务描述:允许远程用户登录到此计算机并运行程序，并支持多种TCP/IPTelnet客户端，包括基于UNIX和Windows的计算机。如果此服务停止，远程用户就不能访问程序，任何直接依赖于它的服务将会启动失败。可执行文件路径:E:\WINDOWS\system32\tlntsvr.exe其他补充:Workstation服务名称:lanmanworkstation显示名称:Workstation服务描述:创建和维护到远程服务的客户端网络连接。如果服务停止，这些连接将不可用。如果服务被禁用，任何直接依赖于此服务的服务将无法启动。可执行文件路径:E:\WINDOWS\system32\svchost.exe-knetsvcs二、用户安全设置1)禁用Guest账号在计算机管理的用户里面把Guest账号禁用。为了保险起见，最好给Guest加一个复杂的密码。你可以打开记事本，在里面输入一串包含特殊字符、数字、字母的长字符串，然后把它作为Guest用户的密码拷进去。2)限制不必要的用户去掉所有的DuplicateUser用户、测试用户、共享用户等等。用户组策略设置相应权限，并且经常检查系统的用户，删除已经不再使用的用户。这些用户很多时候都是黑客们入侵系统的突破口。沈阳中海科技有限公司技术资料-5-3)创建两个管理员账号创建一个一般权限用户用来收信以及处理一些日常事物，另一个拥有Administrators权限的用户只在需要的时候使用。4)把系统Administrator账号改名大家都知道，Windows2003的Administrator用户是不能被停用的，这意味着别人可以一遍又一遍地尝试这个用户的密码。尽量把它伪装成普通用户，比如改成Guesycludx。5)创建一个陷阱用户什么是陷阱用户?即创建一个名为“Administrator”的本地用户，把它的权限设置成最低，什么事也干不了的那种，并且加上一个超过10位的超级复杂密码。这样可以让那些Hacker们忙上一段时间，借此发现它们的入侵企图。6)把共享文件的权限从Everyone组改成授权用户任何时候都不要把共享文件的用户设置成“Everyone”组，包括打印共享，默认的属性就是“Everyone”组的，一定不要忘了改。7)开启用户策略使用用户策略，分别设置复位用户锁定计数器时间为30分钟，用户锁定时间为30分钟，用户锁定阈值为3次。8)不让系统显示上次登录的用户名默认情况下，登录对话框中会显示上次登录的用户名。这使得别人可以很容易地得到系统的一些用户名，进而做密码猜测。修改注册表可以不让对话框里显示上次登录的用户名。方法修改注册表：\HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\polices\system\DontDisplayLastUserName”，把REG_SZ的键值改成1。9)如果系统装用IIS服务，会用两个Internet来宾帐户,启动IIS进程帐户，如果不使用IIS建议禁用这两个帐号。三、密码安全设置1)使用安全密码一些公司的管理员创建账号的时候往往用公司名、计算机名做用户名，然后又把这些用户的密码设置得太简单，比如“welcome”等等。因此，要注意密码的复杂性，还要记住经常修改密码。沈阳中海科技有限公司技术资料-6-2)设置屏幕保护密码这是一个很简单也很有必要的操作。设置屏幕保护密码也是防止内部人员破坏服务器的一个屏障。3)开启密码策略注意应用密码策略，如启用密码复杂性要求，设置密码长度最小值为8位，设置强制密码历史为5次，时间为42天。四、系统安全设置1)使用NTFS格式分区最好把服务器的所有分区都改成NTFS格式，NTFS文件系统要比FAT、FAT32的文件系统安全得多。要求：把D盘的文件格式由FAT32改成NTFS格式。方法：选择开始菜单里的运行，输入CMD后确认。在提示符下，输入CONVERTD:/FS:NTFS和回车。2)运行防毒软件杀毒软件不仅能杀掉一些著名的病毒，还能查杀大量木马和后门程序，因此要注意经常运行程序并升级病毒库。3)到微软网站下载最新的补丁程序经常访问微软和一些安全站点，下载最新的ServicePack和漏洞补丁，是保障服务器长久安全的惟一方法。4)关闭默认共享Windows2003安装好以后，系统会创建一些隐藏的共享，你可以在Cmd下打“NetShare”查看他们。网上有很多关于IPC入侵的文章，都利用了默认共享连接。要求：禁止这些共享方法：打开“管理工具\服务\找到Server服务”右键属性，启用类型改为禁用即可。5)锁住注册表在Windows2003中，只有Administrators和BackupOperators才有从网络上访问注册表的权限。如果你觉得还不够的话，可以进一步设定注册表访问权限。要求：锁住注册表方法：HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersionPolicies\System\DisableRegistryTools,将其数值数据修改为1详细信息请参考：)禁止用户从软盘和光驱启动系统沈阳中海科技有限公司技术资料-7-一些第三方的工具能通过引导系统来绕过原有的安全机制。如果你的服务器对安全要求非常高，可以考虑使用可移动软盘和光驱。当然，把机箱锁起来仍不失为一个好方法。7)利用Windows2003的安全配置工具来配置安全策略微软提供了一套基于MMC（管理控制台）安全配置和分析工具，利用它们你可以很方便地配置你的服务器以满足你的要求。具体内容请参考微软主页.五、日志安全设置请记住：Win2003的默认安装是不开任何安全审核的！那么请你到本地安全策略-审核策略中打开相应