一、通过服务和端口限制来实现系统
安全
限制对外开放的端口:
在TCP/IP的高级设置中选择只允许开放特定端口,或者可以考虑使用路由或防火墙来设置。
禁用snmp服务
或者更改默认的社区名称和权限
禁用terminal server服务
将不必要的服务设置为手动
Alerter ClipBook Computer Browser
二、Netbios的
安全设置
取消绑定文件和共享绑定
打开 控制面板-网络-高级-高级设置
选择网卡并将Microsoft 网络的文件和打印共享的复选框取消,禁止了139端口。
注册表修改:
HKEY_LOCAL_MACHINE\System\Controlset\Services\NetBT\Parameters
Name: SMBDeviceEnabled
Type: REG_DWORD
Value: 0
禁止445端口。
网管联盟bitsCN_com
禁止匿名连接列举帐户名需要对
注册表做以下修改。
注:不正确地修改
注册表会导致严重的系统错误,请慎重行事!
1.运行
注册表编辑器(Regedt32.exe)。
2.定位在
注册表中的下列键上:
HKEY_LOCAL_MACHINE\Systemt\CurrentControl\LSA
3.在编辑菜单栏中选取加一个键值:
Value Name:RestrictAnonymous
Data Type:REG_DWORD
Value:1(Windows2000下为2)
4.退出
注册表编辑器并重启计算机,使改动生效。
网管朋友网www_bitscn_net
Win2003的本地
安全策略(或域
安全策略中)中有RestrictAnonymous(匿名连接的额外限制)选项,提供三个值可选
0:None. Rely on default permissions(无,取决于默认的权限)
1:Do not allow enumeration of SAM accounts and shares(不允许枚举SAM帐号和共享)
2:No access without explicit anonymous permissions(没有显式匿名权限就不允许访问)
三、
注册表安全
所有的配置和控制选项都存储在
注册表中
分为五个子树,分别是Hkey_local_machine、Hkey_users、Hkey_current_user、Hkey_classes_root、Hkey_current_config
网管u家www.bitscn.net Hkey_local_machine包含所有本机相关配置信息
权 限 解 释
查询数值 允许用户和组从
注册表中读取数值
设置数值 允许用户和组从
注册表中设置数值
创建子项 允许用户和组在给定的注册项中创建子项
计数子项 允许用户和组识别某注册项的子项
通 知 允许用户和组从
注册表中审计通知事件
创建链接 允许用户和组在特定项中建立符号链接
网管有家bitscn.net
删 除 允许用户和组在删除选定的注册项
写入DAC 允许用户和组将DAC写入
注册表项
写入所有者 允许用户和组获得
注册表项的所有权
读取控制 允许用户和组具有访问选定
注册表项的
安全信息
禁止对
注册表的远程访问
网管联盟bitsCN_com
禁止和删除服务
通过services.msc禁止服务
使用Resource Kit彻底删除服务
Sc命令行工具
Instsrv工具
举例
OS/2和Posix系统仅仅为了向后兼容
Server服务仅仅为了接受netbios请求
评论加载中…