0%

windows操作系统加固

windows系统基本操作

windows常见目录

路径 作用
C:\Windows\System32 存放系统配置文件
C:\Windows\SysWOW64 Windows操作系统的子系统
C:\Windows\System32\config\SAM 存放windows帐号和密码
C:\Windows\System32\drivers\etc\hosts DNS解析文件
C:\Program Files、C:\Program Files (x86) 64位系统安装在Windows操作系统的子系统,32位下会安装在x86下
C:\Windows\System32\winevt\Logs 日志目录

windows常用系统命令

命令 说明
ver 查看系统版本
hostname 查看主机名
ipconfig /all 查看网络配置
net user/localgroup/share/config 查看用户/用户组/共享/当前运行可配置服务
at 建立或查看系统作业
netstat 查看开放端口
secpol.msc 查看和修改本地安全设置
services.msc 查看和修改服务
eventvwr.msc 查看日志
regedit 打开注册表
whoami 查看当前操作用户的用户名

windows常见端口

端口 说明
80/8080/8081 HTTP协议代理服务器常用端口号
443 HTTPS协议代理服务器常用端口号
21 FTP(文件传输协议)协议代理服务器常用端口号
23 Telnet(远程登录)协议代理服务器常用端口号
22 SSH(安全登录)、SCP(文件传输)
1521 Oracle 数据库
1433 MS SQL SERVER数据库
1080 QQ
3306 Mysql数据库
25 SMTP(简单邮件传输协议)

net命令的使用

命令 说明
net user abc /add 创建(空密码)账户abc
net user abc 查看账户abc的详细信息
net user abc /del 删除账户abc
net user abc 123/add 创建普通账户abc,密码为123
net localgroup administrators abc /add 把abc用户加入管理员组
net localgroup administrators abc /del 把abc用户退出管理员组
net user abc /active:yes[no] 启用[停用]abc账户
net localgroup admin /add[del] 新建[删除]组admin
net share 查看本地开启的共享
netstat 查看开启哪些端口

windows系统加固

账号安全是计算机系统安全的第一关,如果计算机系统账号被盗用,那
么计算机将非常危险,入侵者可以任意控制计算机系统,如果计算机中存在
着重要的机密文件,或者银行卡号和密码,那么损失会非常严重。

账号及安全策略

账号安全设置方法:

“开始”—“运行”输入secpol.msc(控制面板——系统和安全——管理工具)

账号锁定策略:

image

账号密码策略:

image

禁用Guest账户权限

我的电脑—右击—管理—计算机管理—本地用户和组—用户—Guest—右键—属性—
常规—选择“账户已禁用”。

image

或使用命令net user guest /active:no(cmd管理员模式执行)

Administartor账号、组重命名

Administartor账号、组重命名,可增加账号安全性

image

image

日志及审核策略

“开始”—“运行”输入secpol.msc(控制面板——系统和安全——管理工具)

对重要事件进行审核记录,方便日后出现问题时查找问题根源。

image

调整事件日志的大小及覆盖策略

设置方法:“开始”—“运行”输入eventvwr.msc

增大日志大小,避免由于日志文件容量过小导致重要日志记录遗漏

日志类型 日志大小 覆盖策略
应用程序 80000KB 覆盖早于30天的日志
安全日志 80000KB 覆盖早于30天的日志
系统日志 80000KB 覆盖早于30天的日志

image
image
image

在一个完整的信息系统里面,日志系统是一个非常重要的功能组成部分。
它可以记录下系统所产生的所有行为,并按照某种规范表达出来。我们可以
使用日志系统所记录的信息为系统进行排错,优化系统的性能,或者根据这
些信息调整系统的行为。在安全领域,日志系统的重要地位尤甚,可以说是
安全审计方面最主要的工具之一。

安全选项策略设置

本地安全策略->本地策略->安全选项

Microsoft 网络服务器

  • Microsoft 网络服务器:登录时间过期后断开与客户端的连接(启用)

    目的:可以避免用户在不适合的时间登录到系统,或者用户登录到系统后忘记退出登录

  • Microsoft 网络服务器:暂停会话前所需的空闲时间数量(小于30分钟)

    目的:设置挂起会话之前所需的空闲时间为30分钟

  • Microsoft 网络客户端:将未加密的密码发送到第三方SMB服务期(禁用)

    目的:禁止发送未加密的密码到第三方SMB服务器

    image

    恢复控制台

  • 恢复控制台:允许软盘复制并访问所有驱动器和所有文件夹(禁用)

    目的:禁止它访问硬盘驱动器上的所有文件和目录。它仅允许访问每个卷的根目录%systemroot%目录及子目录,即使是这样它还限制不允许把硬盘驱动器上的文件拷贝到软盘上

  • 恢复控制台:允许自动系统管理级登录(禁用)

    目的:恢复控制台是Windows 2003的一个新特性,它在一个不能启动的系统上给出一个受限的命令行访问界面。可能会导致任何可以重起系统的人绕过账号口令限制和其它安全设置而访问系统

    image

    关机

  • 关机:清除虚拟内存页面文件(启用)

    目的:某些第三方的程序可能把一些没有加密的密码存在内存中,页面文件中也可能含有另外一些敏感的资料。关机的时候清除页面文件,防止造成意外的信息泄漏

  • 关机:允许系统在未登录的情况下关机(禁用)

    目的:防止连接远程桌面后恶意关机计算机

    image

    交互式登录

  • 交互式登录:登陆时不显示用户名(启用)

    目的:登录时不显示上次登录的用户名,防止暴露用户名。

  • 交互式登录:无需按Ctrl+Alt+Del(禁用)

    目的:登录时需要按CTRL+ALT+DEL

  • 交互式登录:之前登录到缓存的次数(域控制器不可用时),设置为0

    目的:登陆时不显示上次的用户名,防止暴露用户名

    image

    审核

  • 审核:如果无法记录安全审核则立即关闭系统

  • 审核:对全局系统对象的访问进行审核(启用)

    image

    网络访问

  • 网络访问:不允许SAM帐户和共享的匿名枚举(启用)

    目的:禁止使用匿名用户空连接枚举系统敏感信息

  • 网络访问:不允许存储网络身份验证和密码和凭据(启用)

  • 网络访问:本地账户的共享和安全模型(仅来宾–本地账户以来宾用户身份验证)

  • 网络访问:可匿名访问的共享(全部删除)

  • 网络访问:可匿名访问的命名管道 (全部删除)

  • 网络访问:可远程访问的注册表路径(全部删除)

  • 网络访问:可远程访问的注册表路径和子路径 (全部删除)

    image

文件权限设置

文件系统又被称作文件管理系统,它是指操作系统中负责管理和存储文件信息的软件机构。文件系统由与文件管理有关的软件、被管理的文件以及实施文件管理所需的数据结构这三部分构成。

从系统角度来看,文件系统是对文件存储器空间进行组织和分配,负责文件的存储并对存入的文件进行保护和检索的系统。具体地说,它负责为用户建立文件,存入、读出、修改、转储文件,控制文件的存取,当用户不再使用时撤销文件等。

路径 权限
系统分区C盘 administrator、system完全控制
C:\Documents and Settings\ administrator、system完全控制
C:\windows\system32\ administrator读写
C:\progran files 为Common File目录之外的所有目录赋予Administrators 和SYSTEM 完全控制
C:\windows 系统管理员完全控制、system拒绝(继承)
C:\windows\system32 其关键程序只允许administrator完全控制
C:\Inetpub\ administrator、system完全控制,必要时可以删除该目录
网站目录所在磁盘 administrator、system完全控制
设置权限方法:

image

注册表安全设置

通过注册表,用户可以轻易地添加、删除、修改windows系统内的软件
配置信息或硬件驱动程序,这不仅方便了用户对系统软硬件的工作状态进行
适时的调整,于此同时注册表也是入侵者攻击的目标,通过注册表也可称为入侵者攻击的目标,通过注册表种植木马、修改软件信息,甚至删除、停用
或改变硬件的工作状态。

注册表 说明
HKEY_LOCAL_MACHINE 包含关于本地计算机系统的信息,包括硬件和操作系统数据
HKEY_LOCAL_ROOT 包含各种OLE技术使用的信息技术和文件类别关联数据
HKEY_LOCAL_USER 包含环境变量、桌面设置、网络连接、打印机和程序首选项
HKEY_LOCAL_USERS 包含关于动态加载的用户配置文件和默认的配置文件的信息。有 些信息和HKEY_CURRENT_USER交叉出现
HKEY_CURRENT_CONFIG 包含在启动时由本地计算机系统使用的硬件配置文件的相关信息

注册表权限

利用文件管理器对regedit.exe文件设置成只允许管理员能使用命令访问修改注册表,其他用户只能读取,但不是修改这样就可以防止非法用户恶意修改注册表。

image

禁止空链接

禁用IPC连接,编辑注册表

1
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\restrictanonymous值为1

image

删除系统默认共享

删除服务器上的管理员共享

1
HKLM\System\CurrentControlSet\Services\LanmanServer\Parameters\AutoShareServer设置为0

image

使用net share命令查看默认共享

image

使用net share <共享名> /del删除默认共享(管理员身份运行)

image

修改默认3389远程端口

修改注册表

1
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\Wds\rdpwd\Tds\tcp\PortNumber

image

关闭135 139 445隐患端口

关闭135端口

”开始“–“运行”,输入”dcomcnfg”,单击“确定”,打开组件服务

右键我的电脑,单击”属性”,在默认属性中 去掉 在此计算机上启用分布式COM 前打勾
选择”默认协议”选项卡,移除“面向连接的TCP/IP”,单击”确定”按钮,设置完成,重新启动后即可关闭135端口

image

image

关闭139端口

右键我的”网上邻居“,单击”属性“,再打开本地连接的”属性

选中Internet协议(TCP/IP),常规选项卡-高级

设置WINS选项卡”禁用TCP/IP上的NETBIOS”

image

关闭445端口

修改注册表,添加一个键值

1
2
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NetBT\Parameters在右面的窗口
新建一个SMBDeviceEnabled 为REG_DWORD类型键值为 0。

image