WINDOWS网络安全与策略笔记.docx
《WINDOWS网络安全与策略笔记.docx》由会员分享,可在线阅读,更多相关《WINDOWS网络安全与策略笔记.docx(13页珍藏版)》请在冰豆网上搜索。
WINDOWS网络安全与策略笔记
1.保护Administrator账号
可以采用下面的步骤来禁用本地管理员帐户:
1使用管理员帐户或者具有管理权限的用户帐户登录。
2用鼠标右键点击“我的电脑”,然后选择“管理”。
3打开“本地用户和组”,然后选择用户。
4双击“管理员”。
5选择“禁用帐户”选择框,然后点击“OK”。
6管理“计算机管理”窗口。
等到你退出后,所修改的设置将生效。
2.Windowsserver2008隐藏最后登录用户名
点击“开始”—“运行”,输入“Gpedit.msc”,打开组策略编辑器,计算机配置—Windows设置—安全设置—本地策略—安全选项
交互式登陆:
不显示最后的用户名(启用)
3.Windows安全配置密码策略
Windowsserver2008账号的密码策略对一个网络的安全非常重要。
账号策略一般包括密码长度、复杂性、密码时间和账号锁定4个部分。
设置方法:
”本地组策略编辑器”----“计算机配置”-----“windows设置”------“安全设置”-------“帐户策略”------“密码策略”。
启用密码码必须符合复杂性要求;密码长度最小值7个字符号;密码最长有效期42天;密码最短有效期1天;强制密码历史5个记住的密码。
4.Windows安全配置账号锁定策略
开始-程序-管理工具-本地安全策略,选择
计算机配置-Windows设置-安全设置-账户策略-账户锁定策略,
将账户设为“三次登陆无效”,“锁定时间为30分钟”,“复位锁定计数设为10分钟”。
5.windows禁止用户关机的设置方法win2008等
禁止用户关机的设置方法
点击“开始”—“运行”,输入“Gpedit.msc”,打开组策略编辑器,计算机配置→Windows设置→安全设置→本地策略→用户权限分配→关闭系统。
双击打开关闭系统项目的属性页面,修改用户框内容,把允许关机的用户添加进去,不允许关机的用户删除掉即可。
6.windows禁止用户安装软件
运行gpedit.msc打开组策略,在管理模板里打开windows组件,有个windows安装服务,将右边的东西你看一下,具体方法:
运行gpedit.msc->计算机配置->管理模板->windows组件->windowsinstaller->启动"禁用Windowsinstaller"以及"禁止用户安装"
7.Windowsserver2008更新计算机安全策略
单击“开始”→“运行”→,输入“ gpupdate”,刷新策略。
8.Windowsserver2008加强系统安全提示
为了防止在Windows Server 2008服务器系统中不小心进行了一些不安全操作,我们建议各位还是将该系统自带的UAC功能启用起来,并且该功能还能有效防范一些木马程序自动在系统后台进行安装操作,下面就是具体的启用步骤:
首先以系统管理员身份进入Windows Server 2008系统,在该系统桌面中依次点选"开始"、"运行"命令,在弹出的系统运行文本框中,输入"msconfig"字符串命令,单击"确定"按钮后,进入对应系统的实用程序配置界面;
其次在实用程序配置界面中单击"工具"标签,进入如图所示的标签设置页面,从该设置页面的工具列表中找到"启用UAC"项目,再单击"启动"按钮,最后单击"确定"按钮并重新启动一下Windows Server 2008系统,如此一来用户日后在Windows Server 2008服务器系统中不小心进行一些不安全操作时,系统就能及时弹出安全提示。
9.Windows从网络中浏览列表中隐藏计算机
在windows域和工作组网络中,会有一台计算机维护着网络上的计算机名称的列表,该列表称为浏览列表,包含网络上的共享、打印机等列表。
因此应当将那些不提供网络资源的计算机从浏览列表上删除。
1使用netconfigserver命令将计算机从浏览列表中隐藏
隐藏计算机,命令
netconfigserver/hidden:
yes
取消隐藏计算机,命令
netconfigserver/hidden:
no
可能要等待30分钟,该计算机才能从浏览列表中删除
2修改注册表
注册表路径:
HKLM\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters
注册表项:
hidden
数值类型:
REG_DWORD
值:
1
10.windows隐藏自己电脑的IP地址
你的电脑总会受到别人攻击吗?
隐藏自己电脑的IP地址,可以让别人难以攻击。
这里就为大家介绍一种隐藏IP的方法:
第一步:
用本地安全策略,先打开IP安全策略,方法是在“运行”里输入secpol.msc或着在控制面板里打开创建IP安全策略
右击刚刚添加的“IP安全策略,在本地机器”,选择“创建IP安全策略”,单击“下一步”,然后输入一个策略描述,如“noPing”。
单击“下一步”,选中“激活默认响应规则”复选项,单击“下一步”。
开始设置身份验证方式,选中“此字符串用来保护密钥交换(预共享密钥)”选项,然后随便输入一些字符(下面还会用到这些字符)。
单击“下一步”,就会提示已完成IP安全策略,确认选中了“编辑属性”复选框,单击“完成”按钮,会打开其属性对话框。
第二步:
配置安全策略单击“添加”按钮,并在打开安全规则向导中单击“下一步”进行隧道终结设置,在这里选择“此规则不指定隧道”。
单击“下一步”,并选择“所有网络连接”以保证所有的计算机都Ping不通。
单击“下一步”,设置身份验证方式,与上面一样选择第三个选项“此字符串用来保护密钥交换(预共享密钥)”并填入与刚才相同的内容。
单击“下一步”,在打开窗口中单击“添加”按钮,打开“IP筛选器列表”窗口。
单击“添加”,单击“下一步”,设置源地址为“我的IP地址”,单击“下一步”,设置目标地址为“任何IP地址”,单击“下一步”,选择协议为ICMP,现在就可依次单击“完成”和“关闭”按钮返回。
此时,可以在IP筛选器列表中看到刚刚创建的筛选器,将其选中之后单击“下一步”,选择筛选器操作为“要求安全设置”选项,然后依次点击“完成”,“关闭”按钮,保存相关的设置返回治理控制台
第三步:
指派安全策略
最后只需在“控制台根节点”中右击配置好的“禁止Ping”策略,选择“指派”命令使配置生效。
经过上面的设置,当其他计算机再Ping该计算机时,就不再相通了。
但假如自己Ping本地计算机,仍可相通。
在网上邻居上隐藏你的计算机。
编辑注册表:
将HKEY_LOCAL_MACHINESystemCurrentControlSetServicesLanManServerParameters下Hidden的值从0设置为1,该值是DWORD类型。
11.windowsserver2008IP安全策略关闭端口
Windows默认情况下有很多端口是开放的,在你上网的时候,网络病毒和黑客可以通过这些端口连上你的电脑。
为了让你的系统变得相对安全,应该封闭一些不常用的端口,主要有:
TCP135、139、445、593、1025端口和UDP135、137、138、445端口,一些流行病毒的后门端口(如TCP2745、3127、6129端口),以及远程服务访问端口3389。
现在简要介绍一下关闭WindowsServer2008一些端口的步骤:
1.点击控制面板-管理工具",双击打开"本地策略",选中"IP安全策略,在本地计算机“右边的空白位置右击鼠标,弹出快捷菜单,选择"创建IP安全策略”,弹出向导。
在向导中点击下一步,当显示“安全通信请求”画面时,“激活默认相应规则”左边的按默认留空,点“完成”就创建了一个新的IP安全策略。
2.右击刚才创建的新的IP安全策略,在“属性”对话框中,把“使用添加向导”左边的钩去掉,然后再点击右边的“添加”按纽添加新的规则,随后弹出“新规则属性”对话框,在画面上点击“添加”按纽,弹出IP筛选器列表窗口。
在列表中,首先把“使用添加向导”左边的钩去掉,然后再点击右边的"添加"按纽添加新的筛选器。
3.进入“筛选器属性”对话框,首先看到的是寻地址,源地址选“任何IP地址”,目标地址选“我的IP地址”,点击“协议”选项卡,在“选择协议类型”的下拉列表中选择“TCP”,然后在“到此端口”的下的文本框中输入“135”,点击确定。
这样就添加了一个屏蔽TCP135端口的筛选器,可以防止外界通过135端口连上你的电脑。
12.windows禁止来自外网的非法ping攻击
系统桌面上的“开始”/“运行”命令,在弹出的系统运行对话框中,输入字符串命令“gpedit.msc”,单击回车键后,进入对应系统的控制台窗口;其次选中该控制台左侧列表中的“计算机配置”节点选项,并从目标节点下面逐一点选“Windows设置”、“安全设置”、“高级安全Windows防火墙”、“高级安全Windows防火墙——本地组策略对象”选项,再用鼠标选中目标选项下面的“入站规则”项目;
接着在对应“入站规则”项目右侧的“操作”列表中,点选“新规则”选项,此时系统屏幕会自动弹出新建入站规则向导对话框,依照向导屏幕的提示,先将“自定义”选项选中,再将“所有程序”项目选中,之后从协议类型列表中选中“ICMPv4”,如图所示;
之后向导屏幕会提示我们选择什么类型的连接条件时,我们可以选中“阻止连接”选项,同时依照实际情况设置好对应入站规则的应用环境,最后为当前创建的入站规则设置一个适当的名称。
完成上面的设置任务后,将WindowsServer2008服务器系统重新启动一下,这么一来WindowsServer2008服务器系统日后就不会轻易受到来自外网的非法ping测试攻击了。
13.windowsserver2008拒绝网络病毒藏于临时文件
首先打开WindowsServer2008系统的“开始”菜单,从中点选“运行”命令,在弹出的系统运行对话框中,输入组策略编辑命令“gpedit.msc”,单击“确定”按钮后,进入对应系统的组策略控制台窗口;
其次在该控制台窗口的左侧位置处,依次选中“计算机配置”/“Windows设置”/“安全设置”/“软件限制策略”/“其他规则”选项,同时用鼠标右键单击该选项,并执行快捷菜单中的“新建路径规则”命令,打开如图所示的设置对话框;单击其中的“浏览”按钮,从弹出的文件选择对话框中,选中并导入WindowsServer2008系统的临时文件夹,同时再将“安全级别”参数设置为“不允许”,最后单击“确定”按钮保存好上述设置操作,这样一来网络病毒日后就不能躲藏到系统的临时文件夹中了。
14.windowsserver2008禁止普通用户随意上网访问
通常WindowsServer2008系统都被安装到重要的计算机中,为了防止该计算机系统受到安全威胁,我们往往需要想办法限制普通用户在该系统中随意上网访问;但是如果简单关闭该系统的上网访问权限,又会影响特权用户正常上网,那么我们如何才能限制普通用户上网,而又不影响特权用户进行上网访问呢?
其实很简单,我们可以按照下面的操作来修改WindowsServer2008系统的组策略参数:
首先以普通权限的帐号登录WindowsServer2008系统,打开对应系统中的IE浏览器窗口,单击其中的“工具”菜单项,从下拉菜单中点选“Internet选项”命令,弹出Internet选项设置窗口;
其次点选Internet选项设置窗口中的“连接”选项卡,进入连接选项设置页面,单击该设置页面中的“局域网设置”按钮,选中其后设置页面中的“为LAN使用代理服务器”选项,再任意输入一个代理服务器的主机地址以及端口号码,再单击“确定”按钮执行参数设置保存操作;
之后注销WindowsServer2008系统,换用具有特殊权限的用户帐号重新登录进入WindowsServer2008系统,依次点选“开始”、“运行”命令,在其后出现的系统运行框中输入“gpedit.msc”命令,单击“确定”按钮后,进入对应系统的组策略控制台窗口;
选中该控制台窗口左侧位置处的“计算机配置”节点选项,再从目标节点下面依次展开“管理模板”、“Windows组件”、“InternetExplorer”、“Internet控制面板”子项,再用鼠标双击目标子项下面的“禁用连接页”组策略项目,此时系统屏幕上会弹出如图4所示的目标组策略属性设置对话框,选中“已启用”选项,再单击“确定”按钮执行设置保存操作,这么一来,普通权限的用户日后在WindowsServer2008系统中尝试访问网络时,IE浏览器会自动连接一个失效的代理服务器,那么IE浏览器自然也就不能正常显示网络页面内容了;而具有特殊权限的用户在WindowsServer2008系统中尝试进行网络访问时,IE浏览器会直接显示出目标站点的内容,不需要通过代理服务器进行中转。
15.windowsserver2008断开远程连接恢复系统状态
很多时候,一些不怀好意的用户往往会同时建立多个远程连接,来消耗WindowsServer2008服务器系统的宝贵资源,最终达到搞垮服务器系统的目的;为此,在实际管理WindowsServer2008服务器系统的过程中,一旦我们发现服务器系统运行状态突然不正常时,可以按照下面的办法强行断开所有与WindowsServer2008服务器系统建立连接的各个远程连接,以便及时将服务器系统的工作状态恢复正常:
首先在WindowsServer2008服务器系统桌面中依次点选“开始”、“运行”选项,在弹出的系统运行对话框中,输入“gpedit.msc”命令,单击回车键后,进入目标服务器系统的组策略控制台窗口;
其次选中组策略控制台窗口左侧位置处的“用户配置”节点分支,并用鼠标逐一点选目标节点分支下面的“管理模板”/“网络”/“网络连接”组策略选项,之后双击“网络连接”分支下面的“删除所有用户远程访问连接”选项,在弹出的如图所示的选项设置对话框中,选中“已启用”选项,再单击“确定”按钮保存好上述设置,这样一来WindowsServer2008服务器系统中的的各个远程连接都会被自动断开,此时对应系统的工作状态可能会立即恢复正常。
16.windows巧妙实时监控系统运行安全
点选Win2008系统桌面中的“开始”/“运行”命令,在弹出的系统运行对话框中,输入字符串命令“services.msc”,单击回车键后,打开系统服务列表窗口;
其次从系统服务列表窗口的左侧位置处,找到目标系统服务选项“Windows Defender”,并用鼠标右键单击该选项,从弹出的快捷菜单中执行“属性”命令,打开Windows Defender服务的属性设置窗口,在该窗口的“常规”标签页面中,我们可以非常清楚地看到目标系统服务的运行状态是否正常,要是发现该服务已经被关闭运行时,我们必须及时单击“启动”按钮将它重新启动起来,同时将它的启动类型参数修改为“自动”,最后单击“确定”按钮保存好上述设置操作,这么一来我们就能确保Windows Defender服务时刻来保护Win2008系统的安全了。
为了让Windows Defender服务更有针对性地进行实时监控,我们还可以修改Win2008系统的组策略参数,让Windows Defender程序对已知文件或未知文件进行监测,同时对监测结果进行跟踪记录,下面就是具体的修改步骤:
首先在Win2008系统桌面中依次单击“开始”/“运行”命令,在弹出的系统运行对话框中,输入字符串命令“gpedit.msc”,单击回车键后,打开系统的组策略控制台窗口;
其次在该控制台窗口的左侧显示区域处,依次点选“计算机配置”/“管理模板”/“Windows组件”/“Windows Defender”组策略子项,从目标子项下面找到“启用记录已知的正确检测”选项,并用鼠标右键单击该选项,从弹出的快捷菜单中执行“属性”命令,打开目标组策略的属性设置窗口,如图所示;
这么一来Win2008系统日后就会对各种类型的文件进行自动检测、记录,我们只要定期查看记录内容就能知道本地系统是否存在安全威胁了。
17.windowsserver2008及时监控系统账号恶意创建
在Win2008系统桌面中,依次点选“开始”/“运行”命令,从弹出的系统运行框中执行“secpol.msc”命令,进入本地安全策略设置界面,从该界面的左侧位置处逐一展开“安全设置”、“本地策略”、“审核策略”节点选项,再从目标节点下面找到“审核帐户管理”组策略选项,打开如图所示的设置对话框,将该对话框中的“成功”、“失败”选项全部选中,再单击“确定”按钮保存好上述设置操作;
18.在windows2003中加固抗DOS攻击能力
以下是与TCP/IP相关的注册表可用于增强windows2003中的TCP/IP堆栈对拒绝服务网攻击的地抵御能力
C:
/>regedit
HKEY_LOCAL_MACHINE\SYSTEM\CurrentContorlSet\Services
7将SynAttackProtect设置为0(默认值)可对SYN攻击提供一般防御。
8将SynAttackProtect设置为1可以更有效地防御SYN攻击。
19.远程控制向Windows 2008设置要安全
拒绝Administrator进行攻击测试,就是将管理员账号更改自己容易记的帐账号。
C:
\>Secpol.msc
打开对应系统的本地安全组策略控制台窗口。
将鼠标定位于其中的“安全设置”节点选项,在目标节点分支下面选中“本地策略”->“安全选项”,在对应“安全选项”分支下面找到目标安全组策略“帐户:
重命名系统管理员帐户”。
可以将Administrator账号的名称修改为其他人不容易猜中的名称,例如可以将其修改为“sunboy”,最后单击“确定”按钮保存好上述设置操作,这样一来非法攻击者企图通过Administrator账号对WindowsServer2008服务器系统进行攻击测试时,就无法取得成功,那么服务器系统的安全性能就可以得到有效保证了。
20.Windows2008允许多用户登陆远程桌面
Windowsserver2008默认只支持一个administrator用户登陆,一个登录后另一个就被踢掉了,解决多用户同时在线问题。
打开控制面板-管理工具,终端服务-终端服务配置
1、连接:
RDP-tcp点右键,属性。
网络适配器-最大连接数
2、默认情况下如果你不添加终端服务功能,最大只能调整为同时2个连接。
21.强行使用复杂密码阻止暴力破解
我们可只要对WindowsServer2008服务器系统进行如下设置操作,来启用系统自带的密码策略,强制用户必须对远程控制账号设置比较复杂的密码。
在WindowsServer2008服务器系统桌面中依次单击“开始”/“程序”/“管理工具”命令,在其后出现的系统管理工具列表窗口中,用鼠标双击其中的“本地安全策略”图标,打开对应系统的本地安全设置对话框;
用鼠标选中其中的“账户策略”分支选项,然后再将目标分支选项下面的“密码策略”子项选中,在对应“密码策略”子项的右侧显示区域,我们会看到六个有关密码的设置策略选项,用鼠标双击其中的“密码必须符合复杂性要求”组策略选项,点已启用选择“确认”完成。
接下来,我们再对“强制密码历史”、“密码长度最小值”、“用可还原的加密来储存密码”、“密码最长使用期限”、“密码最短使用期限”等策略进行按需修改,最后单击“确定”按钮完成所有设置操作,如此一来远程登录密码就能被强行设置得复杂了。
22.Windows7在启动时自动挂载虚拟磁盘
以前我都是使用TrueCrypt来虚拟磁盘,用来加密存放我的工作文件,现在有了VHD再配合Win7自带的BitLocker就可以让系统来实现这个功能了,相比TrueCrypt来说有更强大的功能,不过在使用中碰到一个问题,每次系统重启以后虚拟磁盘不会自动挂载,需要再次用系统的磁盘管理工具重新挂载VHD,甚是麻烦。
研究了一下,终于找到了解决方法:
首先,编写一个diskpart用的挂载VHD的脚本文件mount.txt,例如:
selectvdiskfile=d:
\work.VHD
attachvdisk
exit
然后,在计算机管理界面中新建一个任务计划,任务内容为:
diskpart/sc:
\mount.txt
接着设置一下任务的属性:
触发条件为:
用户登录
勾选一下使用最高权限运行
重启一下,就可以看到虚拟磁盘被自动挂载了
23.在windows2008R2上建SNTP/NTPServer
当你配置正确,你可以用WindowsTime(W32Time)service建一个SNTP/NTP服务器为Windows或非windows客户端提供时间服务。
步骤如下:
1.打开开始菜单,点击运行输入regedit打开Windows注册表。
2.找到如下位置
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\Config
3.找到AnnounceFlags双击修改值为5保存。
4.开启NTPServer
1.在注册表中找到如下位置:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\TimeProviders\NtpServer\
2.找到Enable并修改其值为1。
5.打开开始菜单输入CMD在命令行模式下输入:
netstopw32time&&netstartw32time重启一下win32time服务。
-----------------------------
需要注意的问题:
1.在系统服务中设置W32Time服务启动模式为自动。
2.确定防火墙允许UDP123端口访问。
这样你可以在NTP客户端上测试从这台服务器校对系统时间啦。
24.测试ntp时间服务器
C:
\DocumentsandSettings\Administrator>w32tm/stripchart/computer:
aisa.pool.nt
p.org
Trackingaisa.pool.ntp.org[180.168.41.175].
Thecurrenttimeis2012-3-715:
35:
23(localtime).
15:
35:
23error:
0x80072746
15:
35:
25error:
0x800705B4
15:
35:
28^C
C:
\DocumentsandSettings\Administrator>w32tm/stripchart/computer:
asia.pool.nt
p.org
Trackingasia.pool.ntp.org[124.41.85.171].
Thecurrenttimeis2012-3-715:
35:
35(localtime).
15:
35:
35d:
+00.0939247so:
-00.6407656s[*|]
15:
35:
38d:
+00.0939243so:
-00.6485124s[*|]
15:
35:
40d:
+00.1095832so:
-00.6624513s[*|]
w32tm/
升级会员 