windows系统安全设置初步-文库吧资料
2026-01-16 06:07本页面
【正文】 meters\MaxConnBackLog默认值为 1000,最大可取40000 38 动态配置 Backlog。 NETBT使用139端口 。 HKLM\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\TcpMaxConnectResponseRetransmissions 定义了重发 SYNACK包的次数 。默认值 5。默认值 80。默认值 100。 (上边两个值定义是否允许 SYN淹没攻击保护,下面三个则定义了激活 SYN淹没攻击保护的条件,满足其中之一,则系统自动激活 SYN淹没攻击保护。值为 1,则 SYN淹没攻击不会有效果,但是这样会造成连接请求失败几率的增高。 1) DWORD: SynAttackProtect: 定义了是否允 许 SYN淹没攻击保护,值 1表示允 许起用 WIN2022的 SYN淹没攻击保护。 关闭 139口听方法是在 “ 网络和拨号连接 ” 中“ 本地 连接 ” 中选取 “ Inter协议 (TCP/IP)”属性,进入 “ 高级 TCP/IP设置 ”“ WINS设置 ” 里面有一项“ 禁用 TCP/IP的 NETBIOS”, 打勾就关闭了 139端口。 (关闭 server服务 ) 33 6)、还有一个就是 139端口, 139端口是 NetBIOS Session端口,用来文件和打印共享,注意的是运 行 samba的 unix机器也开放了 139端口,功能一样。因此,你需要在其中找到平衡点,如果安全原则妨碍了系统应用,那么这个安全原则也不是一个好的原则 32 5)、禁止管理共享 HKEY_LOCAL_MACHINE\SYSTEM\CurrentCon trolSet\Services\LanmanServer\Parameters项对于 服务器,添加键值“ AutoShareServer”, 类型为 “ REG_DWORD”, 值为“ 0”。如果使用 “ 2” 可能会造成你的一些服务无法启动,如 SQL Server 。所以请非常小心地使用拒绝,任何一个不当的拒绝都有可能造成系统无法正常运行; 29 3文件权限比文件夹权限高 4利用用户组来进行权限控制是一个成熟的系统管理员必须具有的优良习惯之一; 5仅给用户真正需要的权限,权限的最小化原则是安全的重要保障; 30 4)、禁止建立空连接( IPC$) 默认情况下,任何用户都可通过空连接连上服务器,进而枚举出账号,猜测密码。在默认的情况下,大多数的文件夹对所有用户( Everyone这个组)是完全敞开的( Full Control), 你需要根据应用的需要进行权限重设。) 与之相关的是: 在账户策略 密码策略中设定: 密码复杂性要求 启用 密码长度最小值 8位 强制密码历史 5次 最长存留期 42天 26 在账户策略 账户锁定策略中设定: 账户锁定 5次错误登录 锁定时间 20分钟 复位锁定计数 20分钟 同样 , Terminal Service的安全日志默认也是不开的 , 我们可以在 Terminal Service Configration( 远程服务配置 ) 权限 高级中配置安全审核 , 一般来说只要记录登录 、 注销事件就可以了 。 23 系统安全设置 1)、利用 Windows 2022的安全配置工具来配 置安全策略: 微软提供了一套基于 MMC( 管理控制台)安全配置和分析工具,利用它们你可以很方便地配置你的服务器以满足你的要求。 22 口令安全设置 1)、 使用安全密码 要注意密码的复杂性 , 还要记住经常改密码 。 2这个值是在 win2022中才支持的,如果不想有任何共享,就设为 2。 20 还可以在 win2022的本地安全策略(如果是域服务器就是在域服务器安全和域安全策略中)就有这样的选项 RestrictAnonymous( 匿名连接的额外限制),这个选项有三个值: 0: None. Rely on default permissions( 无,取决于默认的权限) 1: Do not allow enumeration of SAM accounts and shares( 不允许枚举 SAM帐号和共享) 2: No access without explicit anonymous permissions( 没有显式匿名权限就不允许访问) 21 0这个值是系统默认的,什么限制都没有,远程用户可以知道你机器上所有的账号、组信息、共享目录、网络传输列表(NetServerTransportEnum等等,对服务器来说这样的设置非常危险。 8)、 不让系统显示上次登录的用户名 ( 可选 ) 打开注册表编辑器并找到注册表项HKLMSoftwareMicrosoftWindowsTCurrentVersionWinlogonDontDisplayLastUserName, 把键值改成 1 19 9)、系统账号 /共享列表 Win2022的默认安装允许任何用户通过空 用户得到系统所有账号 /共享列表,这个本来是 为了方便局域网用户共享文件的,但是一个远程 用户也可以得到你的用户列表并使用暴力法破解 用户密码。 6)、 把共享文件的权限从
教学课件相关推荐
鄂ICP备17016276号-1