管理工具里的安全设置.docx
《管理工具里的安全设置.docx》由会员分享,可在线阅读,更多相关《管理工具里的安全设置.docx(19页珍藏版)》请在冰豆网上搜索。
管理工具里的安全设置
“管理工具”里的安全设置
“管理工具”—“本地安全策略”里的安全设置
(一)创建IP安全策略
第一步,点击“开始”菜单/设置/控制面板/管理工具,双击打开“本地安全策略”,选中“IP安全策略,在本地计算机”,在右边窗格的空白位置右击鼠标,弹出快捷菜单,选择“创建IP安全策略”,于是弹出一个向导。
在向导中点击“下一步”按钮,“默认响应规则身份验证方法”对话框中我们选中“此字符串用来保护密钥交换(预共享密钥)”选项,然后在下面的文字框中任意键入一段字符串。
(如“禁止Ping”)为新的安全策略命名;再按“下一步”,则显示“安全通信请求”画面,在画面上把“激活默认相应规则”左边的钩去掉,点击“完成”按钮就创建了一个新的IP安全策略。
第二步,右击该IP安全策略,在“属性”对话框中,把“使用添加向导”左边的钩去掉,然后单击“添加”按钮添加新的规则,随后弹出“新规则属性”对话框,在画面上点击“添加”按钮,弹出IP筛选器列表窗口;在列表中,首先把“使用添加向导”左边的钩去掉,然后再点击右边的“添加”按钮添加新的筛选器。
第三步,进入“筛选器属性”对话框,首先看到的是寻址,源地址选“任何IP地址”,目标地址选“我的IP地址”;点击“协议”选项卡,在“选择协议类型”的下拉列表中选择“TCP”,然后在“到此端口”下的文本框中输入“135”,点击“确定”按钮,这样就添加了一个屏蔽TCP135(RPC)端口的筛选器,它可以防止外界通过135端口连上你的电脑。
点击“确定”后回到筛选器列表的对话框,可以看到已经添加了一条策略,重复以上步骤继续添加TCP23,135,137、138,139、445、593,1025、2745、3127、6129、3389端口和UDP135,137,139、445端口,为它们建立相应的筛选器。
建立好上述端口的筛选器,最后点击“确定”按钮。
第四步,在“新规则属性”对话框中,选择“新IP筛选器列表”,然后点击其左边的圆圈上加一个点,表示已经激活,最后点击“筛选器操作”,把“使用添加向导”左边的钩去掉,点击“添加”按钮,添加“阻止”操作:
在“新筛选器操作属性”的“安全措施”选项卡中,选择“阻止”,然后点击“确定”按钮。
第五步、进入“新规则属性”对话框,点击“新筛选器操作”,其左边的圆圈会加了一个点,表示已经激活,点击“关闭”按钮,关闭对话框;最后回到“新IP安全策略属性”对话框,在“新的IP筛选器列表”左边打钩,按“确定”按钮关闭对话框。
在“本地安全策略”窗口,用鼠标右击新添加的IP安全策略,然后选择“指派”
================================
(一)创建IP安全策略
1、依次单击“开始→控制面板→管理工具→本地安全策略”,打开“本地安全设置”,右击该对话框左侧的“IP安全策略,在本地计算机”选项,执行“创建IP安全策略”命令。
(之间有些简单的点击下一步之类的过程省略不写)
2、在出现的“默认响应规则身份验证方法”对话框中我们选中“此字符串用来保护密钥交换(预共享密钥)”选项,然后在下面的文字框中任意键入一段字符串。
(如“禁止Ping”)
3、完成了IP安全策略的创建工作后在“IP筛选器列表”窗口中单击“添加”按钮,此时将会弹出“IP筛选器向导”窗口,我们单击“下一步”,此时将会弹出“IP通信源”页面,在该页面中设置“源地址”为“我的IP地址”:
“目标地址”为“任何IP地址”,任何IP地址的计算机都不能Ping你的机器。
在“筛选器属性”中可封闭端口。
比如封闭TCP协议的135端口:
在“选择协议类型”的下拉列表中选择“TCP”,然后在“到此端口”下的文本框中输入“135”,点击“确定”按钮,这样就添加了一个屏蔽TCP135(RPC)端口的筛选器,它可以防止外界通过135端口连上你的电脑。
重复可封闭TCPUDP等自己认为需要封闭的端口。
这里不一一写出。
4、依次单击“下一步”→“完成”,此时,你将会在“IP筛选器列表”看到刚刚创建的筛选器,将其选中后单击“下一步”,我们在出现的“筛选器操作”页面中设置筛选器操作为“需要安全”选项。
(二)指派IP安全策略
安全策略创建完毕后并不能马上生效,我们还需通过“指派”功能令其发挥作用。
方法是:
在“控制台根节点”中右击“新的IP安全策略”项,然后在弹出的右键菜单中执行“指派”命令,即可启用该策略。
至此,这台主机已经具备了拒绝其他任何机器Ping自己IP地址的功能,不过在本地仍然能够Ping通自己。
经过这样的设置之后,所有用户(包括管理员)都不能在其他机器上对此服务器进行Ping操作。
从此你再也不用担心被Ping威胁。
如果再把一些黑客工具、木马常探寻的端口封闭那你的系统就更加固若金汤了。
==================================
启用IP安全策略防Ping
IP安全机制(IPSecurity)即IPSec策略,用来配置IPSec安全服务。
这些策略可为多数现有网络中的多数通信类型提供各种级别的保护。
您可配置IPSec策略以满足计算机、应用程序、组织单位、域、站点或全局企业的安全需要。
可使用WindowsXP中提供的“IP安全策略”管理单元来为ActiveDirectory中的计算机(对于域成员)或本地计算机(对于不属于域的计算机)定义IPSec策略。
在此以WINDOWSXP为例,通过“控制面板”—“管理工具”来打开“本地安全策略”,选择IP安全策略,在这里,我们可以定义自己的IP安全策略。
一个IP安全过滤器由两个部分组成:
过滤策略和过滤操作。
要新建IP安全过滤器,必须新建自己的过滤策略和过滤操作,右击窗口左侧的“IP安全策略,在本地机器”,在弹出的快捷菜单中选择“创建IP安全策略”,单击“下一步”,然后输入策略名称和策略描述。
单击“下一步”,选中“激活默认响应规则”复选项,单击“下一步”。
开始设置响应规则身份验证方式,选中“此字符串用来保护密钥交换(预共享密钥)”选项,然后随便输入一些字符(后面还会用到这些字符的),单击“下一步”,就会提示已完成IP安全策略,确认选中了“编辑属性”复选框,单击“完成”按钮,会打开其属性对话框。
接下来就要进行此新建安全策略的配置。
在“GoodbyePing属性”对话窗口的“规则”选项页中单击“添加”按钮,并在打开安全规则向导中单击“下一步”进行隧道终结设置,在这里选择“此规则不指定隧道”。
单击“下一步”,并选择“所有网络连接”以保证所有的计算机都Ping不通。
单击“下一步”,设置身份验证方式,与上面一样选择第三个选项“此字符串用来保护密钥交换(预共享密钥)”并填入与刚才上面相同的内容。
单击“下一步”即打开“IP筛选器列表”窗口,在“IP筛选器列表”中选择“新IP筛选器列表”,单击右侧的“编辑”,在出现的窗口中点击“添加”,单击“下一步”,设置“源地址”为“我的IP地址”,单击“下一步”,设置“目标地址”为“任何IP地址”,单击“下一步”,选择协议类型为ICMP,单击“完成”后再点“确定”返回如图9的窗口,单击“下一步”,选择筛选器操作为“要求安全”选项,然后依次点击“下一步”、“完成”、“确定”、“关闭”按钮保存相关的设置返回管理控制台。
最后在“本地安全设置”中右击配置好的“GoodbyePing”策略,在弹出的快捷菜单中选择“指派”命令使配置生效。
经过上面的设置,当其他计算机再Ping该计算机时,就不再Ping通了。
但如果自己Ping本地计算机,仍可Ping通。
==================================
作为增强Windows安全的最佳做法和为攻击者设置更多的障碍以减少对Windows的攻击,你可以在“开始→控制面板→管理工具→本地安全策略→安全选项”中进行如下设置:
·关机:
“允许系统在未登录的情况下关闭”设置为“启用”
·关机:
“清除虚拟内存页面文件”设置为“启用”·交互式登录:
不显示最后的用户名不显示上次一个用户的名字(设置为启用)
·交互式登录:
不需要最后一个用户的名字(设置为关闭)
·交互式登录:
试图登录的用户的消息文本为企图登录的用户提供一个消息文本(确定为让用户阅读bannertext(旗帜文本),内容大致为“这是专用和受控的系统。
如果你滥用本系统,你将受到威胁”)
·交互式登录:
试图登录的用户的消息标题为企图登录的用户提供的消息题目--在警告!
!
!
后面写的东西
·网络安全:
“不得存储局域网管理员关于下一个口令变化的散列值”设置为“启用”
·网络访问:
“不允许SAM帐户和共享的匿名枚举”(设置为“启用”)
·网络访问:
将“Everyone权限应用于匿名用户”设置为关闭
·账号:
重新命名管理员账号--不是要求更有效而是增加一个安全层(确定一个新名字)
·账号:
重新命名客户账号(确定一个新名字)
“管理工具”—“服务”里的安全设置
尽管服务组件安装得越多,用户可以享受的服务功能也就越多。
但是用户平时使用到的服务组件毕竟还是有限,而那些很少用到的组件不但占用了不少系统资源,会引起系统不稳定外,它还会为黑客的远程入侵提供了多种途径,为此应该尽量把那些暂不需要的服务组件屏蔽掉。
具体的操作方法为:
首先在控制面板中找到“服务和应用程序”图标,然后再打开“服务”对话框,在该对话框中选中需要屏蔽的程序,并单击鼠标右键,从弹出的快捷菜单中依次选择“属性”/“停止”命令,同时将“启动类型”设置为“手动”或“已禁用”,这样就可以对指定的服务组件进行屏蔽了。
ApplicationLayerGatewayService为Internet连接共享和Windows防火墙提供第三方协议插件的支持。
XPSP2自带的防火墙,它是附带的Internet连接共享/防火墙的具体控管程序,如果没启用internet连接共享或windowsxp内置防火墙,如果不用可以关掉。
要是禁止这个服务。
他不影响网络共享。
只是一个插件。
这个占了内存资源1.5MB
ApplicationManagement提供软件安装服务,诸如分派,发行以及删除。
为ActiveDirectory智能映像组策略程序处理安装、删除和枚举请求。
如果此服务被停用,用户将无法安装、删除或枚举任何智能映像程序。
如果此服务被禁用,任何依赖于它的服务将无法启动。
默认安装的启动类型为手动,没有任何依存服务关系。
它不仅管理软件的安装、删除,而且可使用此项服务修改、修复现有应用程序,监视文件复原并通过复员排除基本故障等。
通常这个服务我们保持其默认状态较好。
如果此服务被禁用,会出现只能上QQ不能开网页的情况。
ASP.NET状态服务为ASP.NET提供进程外会话状态支持。
如果此服务被停止,进程外请求将得不到处理。
如果此服务被禁用,任何显式依赖它的服务将无法启动。
BackgroundIntelligentTransferService在后台传输客户端和服务器之间的数据。
如果禁用了BITS,一些功能,如WindowsUpdate,就无法正常运行。
ClipBook启用“剪贴簿查看器”储存信息并与远程计算机共享。
如果此服务终止,“剪贴簿查看器”将无法与远程计算机共享信息。
如果此服务被禁用,任何依赖它的服务将无法启动。
如果不想与远程计算机进行信息共享,就可以禁止
COM+EventSystem持系统事件通知服务(SENS),此服务为订阅组件对象模型(COM)组件事件提供自动分布功能。
如果停止此服务,SENS将关闭,而且不能提供登录和注销通知。
如果禁用此服务,显式依赖此服务的其他服务将无法启动。
有些程序可能用到COM+组件,像BootVis的optimizesystem应用,如事件检视器内显示的DCOM没有启用。
很多COM+软件需要此服务支持。
COM+SystemApplication管理基于COM+组件的配置和跟踪。
如果服务停止,大多数基于COM+组件将不能正常工作。
如果本服务被禁用,任何明确依赖它的服务都将不能启动。
如果COM+EventSystem是一台车,那么COM+SystemApplication就是司机,如事件检视器内显示的DCOM没有启用
ComputerBrowser维护网络上计算机的更新列表,并将列表提供给计算机指定浏览。
如果服务停止,列表不会被更新或维护。
如果服务被禁用,任何直接依赖于此服务的服务将无法启动。
用来浏览局域网电脑的服务
CryptographicServices提供三种管理服务:
编录数据库服务,它确定Windows文件的签字;受保护的根服务,它从此计算机添加和删除受信根证书机构的证书;和密钥(Key)服务,它帮助注册此计算机获取证书。
如果此服务被终止,这些管理服务将无法正常运行。
如果此服务被禁用,任何依赖它的服务将无法启动。
Windows更新时用来确认windows文件指纹的。
DCOMServerProcessLauncher为DCOM服务提供加载功能。
此服务级重要程度(中级)
终止或禁用此服务会造成系统不稳定,补充描述:
SP2新增的服务,DCOM(分布式组件对象模式),关闭这个服务会造成很多手动服务无法在需要的时候自动启动,很麻烦。
比如一些软件无法正常安装,flashmx,还有些打印机的驱动无法安装,都提示错误“RPC服务器不可用”。
(关闭此服务负带影响,在打开网页的时候不能打开新窗口)
DHCPClient通过注册和更改IP地址以及DNS名称来管理网络配置。
没有固定IP的的用户还是开着吧,否则上不了网
DistributedLinkTrackingClient在计算机内NTFS文件之间保持链接或在网络域中的计算机之间保持链接。
适用局域网分布式链接。
用于描述局域网更新连接信息,比如在电脑A有个文件,在B做了个链接,如果文件移动了,这个服务将会更新信息。
占用4兆。
禁止
DistributedTransactionCoordinator协调跨多个数据库、消息队列、文件系统等资源管理器的事务。
如果停止此服务,则不会发生这些事务。
如果禁用此服务,显式依赖此服务的其他服务将无法启动。
微软的DistributedTransactionCoordinator服务(MSDTC)可以借助OLETransactions协议来提供一个事务(Transaction)协调工具,可以协调分布于两个和多个数据库,消息队列文件系统和其他事务保护(trasactionprotected)资源管理器的事务
DNSClient为此计算机解析和缓冲域名系统(DNS)名称。
如果此服务被停止,计算机将不能解析DNS名称并定位ActiveDirectory域控制器。
如果此服务被禁用,任何明确依赖它的服务将不能启动。
进程名称:
svchost.exe-kNetworkService中文的意思是客户机域名解析服务。
这个服务关闭与否影响并不大,在安全性上最多只是可以泄漏你的缓存内容,确定你曾经访问过的网站。
EventLog启用在事件查看器查看基于Windows的程序和组件颁发的事件日志消息。
无法终止此服务。
程序时间。
这是电脑日志上面的一个时间名称。
记录了电脑开关机的时间。
系统日志纪录服务,很有用于查找系统毛病。
ExtensibleAuthenticationProtocolService向Windows客户端提供可扩展身份验证协议服务
FastUserSwitchingCompatibility为在多用户下需要协助的应用程序提供管理。
WindowsXP允许在一台电脑上进行多用户之间的快速切换,但这项功能有个漏洞,当点击“开始→注销→快速切换”,在传统登录方式下重复输入一个用户名进行登录时,系统会认为是暴力破解,而锁定所有非管理员账户。
如果不经常使用,可以禁止该服务。
或者在“控制面板→用户账户→更改用户登录或注销方式”中取消“使用快速用户切换”。
(禁止)
HealthKeyandCertificateManagementService管理健康证书和密钥(由NAP使用)
HIDInputService启用对智能界面设备(HID)的通用输入访问,它激活并保存键盘、远程控制和其它多媒体设备上的预先定义的热按钮。
如果此服务被终止,由此服务控制的热按钮将不再运行。
如果此服务被禁用,任何依赖它的服务将无法启动。
HTTPSSL此服务通过安全套接字层(SSL)实现HTTP服务的安全超文本传送协议(HTTPS)。
如果此服务被禁用,任何依赖它的服务将无法启动。
IMAPICD-BurningCOMService用ImageMasteringApplicationsProgrammingInterface(IMAPI)管理CD录制。
如果停止该服务,这台计算机将无法录制CD。
如果该服务被停用,任何依靠它的服务都无法启动。
IPSECServices管理IP安全策略以及启动ISAKMP/Oakley(IKE)和IP安全驱动程序。
LogicalDiskManager监测和监视新硬盘驱动器并向逻辑磁盘管理器管理服务发送卷的信息以便配置。
如果此服务被终止,动态磁盘状态和配置信息会过时。
如果此服务被禁用,任何依赖它的服务将无法启动。
LogicalDiskManagerAdministrativeService配置硬盘驱动器和卷。
此服务只为配置处理运行,然后终止。
Messenger传输客户端和服务器之间的NETSEND和Alerter服务消息。
此服务与WindowsMessenger无关。
如果服务停止,Alerter消息不会被传输。
如果服务被禁用,任何直接依赖于此服务的服务将无法启动。
Messenger[警报]俗称信使服务,电脑用户在局域网内可以利用它进行资料交换(传输客户端和服务器之间的NetSend和Alerter服务消息,此服务与WindowsMessenger无关。
如果服务停止,Alerter消息不会被传输)。
这是一个危险而讨厌的服务,Messenger服务基本上是用在企业的网络管理上,但是垃圾邮件和垃圾广告厂商