服务器安全文档 有硬件防火墙只用做1、2、3、4 步骤 1.账户禁用 禁用GUEST 和不用的账号,如图1-1 所示(开始-管理工具-计算机管理-本地用户和组-用户),右击该用户-属性-勾选“账户已禁用”。 图1-1 2.密码策略 如图2-1(开始-管理工具-本地安全策略-账户策略-密码策略),按图双击修改。 图2-1 3.账号锁定策略 如图3-1 开始-管理工具-本地安全策略-账户策略-账户锁定策略-右击选项-属性), 图3-1 4.关闭默认共享 4.1 所有的默认共享都关闭,查看默认共享:开始-管理工具-共享和存储管理。关闭默认共享:开始-运行-输入 cmd-回车-输入 net share 共享名$ /del-回车),如图 4-1。 4.2 禁 止ipc空 连 接 ( 开始- 运 行 - 输 入regedit- 回 车 - 然 后 根 据 路 径HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa 进入 Lsa 的编辑界面,找到restrictanonymous 选项-右击-修改二进制数据位0000 01 00 00 00),如图,4-2 所示。 图 4-2 5.系统服务安全 关闭以下服务:Remote Registry、SNMP Service、Print spooler、Computer Browser,如图5-1 开始-管理工具-服务-右击该服务-属性-停止并禁用), 图 5-1 6.服务器审计 审核策略,如图6-1(开始-管理工具-本地安全策略-本地策略-审核策略)按图双击修改。 图6-1 7.TCP/IP 加固 对主机进行TCP/IP 堆栈加固,通过修改注册表进行加固,添加键值,如图7-1(开始-运行-regedit),路径在窗口的下面,进入目的界面后,右击空白处创建 DWORD 值,命名,然后右击该选项-更改二进制数据,二进制数据的值在图里) 图7-1 每个选项对应的二进制写法:synattackprotect 0000 01 00 00 00 00 tcpmaxportsExhausted 0000 05 00 00 00 TcpMaxHalfopen 0000 00 05 00 00 Tcphalfopenretried 0000 00 04 00 00 EnablegWDetect 0000 00 00 00 00 enablePMTUDiscovery 0000 00 00 00 Keepalivetime 0000 00 00 30 00 8.防 ICMP 攻击 防止ICMP 重定向攻击,如图9-1 始-运行-regedit,路径在窗口下方,进入该选项界面-右击空白处-创建 DWORD 值-命名 EnableICMPRedirects,然后右击-修改二进制值为 0000 01 00 00 00), 图9-1 9.防止路由攻击 防止路由重定向攻击,如图10-1 添加PerformRouterDiscovery 值为0 防止路由重定向攻击,路径在窗口下方,如上一样,进入该界面-右击创建 DWORD 值,命名为PerformRouterDiscovery,然后右击更改二进制值为0000 00 00 00 00) 图10-1