EEDU Blog: 博客 ·  资讯 ·  论坛 ·  留言
登录 新用户? 注册   |  

ahaoxie's blog

订阅博客:

环境生态网站长

阅读全文

Windows server 2003——安全策略

  1. 安全策略自动更新命令:GPUpdate /force(应用组策略自动生效不需要重新启动)
  2. 禁用GUEST用户
  3. 本地安全策略-->审核策略
    审核策略更改   成功 失败
    审核登陆事件   成功 失败
    审核对象访问      失败
    审核过程跟踪   无审核
    审核目录服务访问    失败
    审核特权使用      失败
    审核系统事件   成功 失败
    审核帐户登陆事件 成功 失败
    审核帐户管理   成功 失败
  4. 本地策略-->用户权限分配
    关闭系统:只有Administrators组、其它全部删除。
     通过终端服务拒绝登陆:加入Guests组(网上很多教程说要加入Users组,实践证明加入Users组后远程桌面就无法运行)
     通过终端服务允许登陆:只加入Administrators组,其他全部删除
  5. 本地策略-->安全选项
    交互式登陆:不显示上次的用户名       启用
    网络访问:不允许SAM帐户和共享的匿名枚举  启用
    网络访问:不允许为网络身份验证储存凭证   启用
    网络访问:可匿名访问的共享         全部删除
    网络访问:可匿名访问的命          全部删除
    网络访问:可远程访问的注册表路径      全部删除 
    网络访问:可远程访问的注册表路径和子路径  全部删除 
    帐户:重命名来宾帐户            重命名一个帐户 
    帐户:重命名系统管理员帐户         重命名一个帐户
  6. 帐户策略-->帐户锁定策略
    复位用户锁定计数器时间为20分钟
    用户锁定时间为20分钟
    用户锁定阈值为3次
  7. 帐户策略-->密码策略
    密码必须符合复杂性要求  启用
    密码长度最小值      6位
    强制密码历史       5次
    密码最长使用期限     42天
     
  8. IP安全策略
    协议
    IP协议端口
    源地址
    目标地址
    描述
    方式
    ICMP -- -- --
    ICMP
    阻止
    UDP
    135
    任何IP地址
    我的IP地址
    135-UDP
    阻止
    UDP
    136
    任何IP地址
    我的IP地址
    136-UDP
    阻止
    UDP
    137
    任何IP地址
    我的IP地址
    137-UDP
    阻止
    UDP
    138
    任何IP地址
    我的IP地址
    138-UDP
    阻止
    UDP
    139
    任何IP地址
    我的IP地址
    139-UDP
    阻止
    TCP
    445
    任何IP地址-从任意端口
    我的IP地址-445
    445-TCP
    阻止
    UDP
    		 445
    任何IP地址-从任意端口
    我的IP地址-445
    445-UDP
    阻止
    UDP 69 任何IP地址-从任意端口 我的IP地址-69
    69-入
    阻止
    UDP 69 我的IP地址-69 任何IP地址-任意端口 69-出
    阻止
    TCP 4444 任何IP地址-从任意端口 我的IP地址-4444 4444-TCP
    阻止
    TCP 1026 我的IP地址-1026 任何IP地址-任意端口 灰鸽子-1026
    阻止
    TCP 1027 我的IP地址-1027 任何IP地址-任意端口 灰鸽子-1027
    阻止
    TCP 1028 我的IP地址-1028 任何IP地址-任意端口 灰鸽子-1028
    阻止
    UDP
    		 1026 我的IP地址-1026 任何IP地址-任意端口 灰鸽子-1026
    阻止
    UDP 1027 我的IP地址-1027 任何IP地址-任意端口 灰鸽子-1027
    阻止
    UDP 1028 我的IP地址-1028 任何IP地址-任意端口 灰鸽子-1028
    阻止
    TCP 21 我的IP地址-从任意端口 任何IP地址-到21端口 阻止tftp出站
    阻止
    TCP 99 我的IP地址-99 任何IP地址-任意端口 阻止99shell
    阻止
    TCP 4899 任何IP地址-4899 我的IP地址 影子Radmin默认端口
    阻止
    UDP 4899 任何IP地址-4899 我的IP地址 影子Radmin默认端口
    阻止
    UDP 123 任何IP地址-123 我的IP地址 容易被提权工具利用
    阻止
    TCP 1720 任何IP地址-1720 我的IP地址 NetMeeting
    阻止
    TCP 636 任何IP地址-636 我的IP地址 安全轻型目录访问协议(SSL 上的 LDAP)通信
    阻止
    TCP 593 任何IP地址-593 我的IP地址 DCOM
    阻止

 

UI 中的设置名称 企业客户端台式计算机 企业客户端便携式计算机 高安全级台式计算机 高安全级便携式计算机

帐户: 使用空白密码的本地帐户只允许进行控制台登录

已启用

已启用

已启用

已启用

帐户: 重命名系统管理员帐户

推荐

推荐

推荐

推荐

帐户: 重命名来宾帐户

推荐

推荐

推荐

推荐

设备: 允许不登录移除

已禁用

已启用

已禁用

已禁用

设备: 允许格式化和弹出可移动媒体

Administrators, Interactive Users

Administrators, Interactive Users

Administrators

Administrators

设备: 防止用户安装打印机驱动程序

已启用

已禁用

已启用

已禁用

设备: 只有本地登录的用户才能访问 CD-ROM

已禁用

已禁用

已启用

已启用

设备: 只有本地登录的用户才能访问软盘

已启用

已启用

已启用

已启用

设备: 未签名驱动程序的安装操作

允许安装但发出警告

允许安装但发出警告

禁止安装

禁止安装

域成员: 需要强 (Windows 2000 或以上版本) 会话密钥

已启用

已启用

已启用

已启用

交互式登录: 不显示上次的用户名

已启用

已启用

已启用

已启用

交互式登录: 不需要按 CTRL+ALT+DEL

已禁用

已禁用

已禁用

已禁用

交互式登录: 用户试图登录时消息文字

此系统限制为仅授权用户。尝试进行未经授权访问的个人将受到起诉。

此系统限制为仅授权用户。尝试进行未经授权访问的个人将受到起诉。

此系统限制为仅授权用户。尝试进行未经授权访问的个人将受到起诉。

此系统限制为仅授权用户。尝试进行未经授权访问的个人将受到起诉。

交互式登录: 用户试图登录时消息标题

继续在没有适当授权的情况下使用是违法行为。

继续在没有适当授权的情况下使用是违法行为。

继续在没有适当授权的情况下使用是违法行为。

继续在没有适当授权的情况下使用是违法行为。

交互式登录: 可被缓存的前次登录个数 (在域控制器不可用的情况下)

2

2

0

1

交互式登录: 在密码到期前提示用户更改密码

14 天

14 天

14 天

14 天

交互式登录: 要求域控制器身份验证以解锁工作站

已禁用

已禁用

已启用

已禁用

交互式登录: 智能卡移除操作

锁定工作站

锁定工作站

锁定工作站

锁定工作站

Microsoft 网络客户: 数字签名的通信(若服务器同意)

已启用

已启用

已启用

已启用

Microsoft 网络客户: 发送未加密的密码到第三方 SMB 服务器。

已禁用

已禁用

已禁用

已禁用

Microsoft 网络服务器: 在挂起会话之前所需的空闲时间

15 分钟

15 分钟

15 分钟

15 分钟

Microsoft 网络服务器: 数字签名的通信(总是)

已启用

已启用

已启用

已启用

Microsoft 网络服务器: 数字签名的通信(若客户同意)

已启用

已启用

已启用

已启用

Microsoft 网络服务器: 当登录时间用完时自动注销用户

已启用

已禁用

已启用

已禁用

网络访问: 允许匿名 SID/名称 转换

已禁用

已禁用

已禁用

已禁用

网络访问: 不允许 SAM 帐户和共享的匿名枚举

已启用

已启用

已启用

已启用

网络访问: 不允许 SAM 帐户和共享的匿名枚举

已启用

已启用

已启用

已启用

网络访问: 不允许为网络身份验证储存凭据或 .NET Passports

已启用

已启用

已启用

已启用

网络访问: 限制匿名访问命名管道和共享

已启用

已启用

已启用

已启用

网络访问: 本地帐户的共享和安全模式

经典 - 本地用户以自己的身份验证

经典 - 本地用户以自己的身份验证

经典 - 本地用户以自己的身份验证

经典 - 本地用户以自己的身份验证

网络安全: 不要在下次更改密码时存储 LAN Manager 的哈希值

已启用

已启用

已启用

已启用

网络安全: 在超过登录时间后强制注销

已启用

已禁用

已启用

已禁用

网络安全: LAN Manager 身份验证级别

仅发送 NTLMv2 响应

仅发送 NTLMv2 响应

仅发送 NTLMv2 响应\拒绝 LM & NTLM

仅发送 NTLMv2 响应\拒绝 LM & NTLM

网络安全: 基于 NTLM SSP(包括安全 RPC)客户的最小会话安全

没有最小

没有最小

要求 NTLMv2 会话安全 要求 128-位加密

要求 NTLMv2 会话安全 要求 128-位加密

网络安全: 基于 NTLM SSP(包括安全 RPC)服务器的最小会话安全

没有最小

没有最小

要求 NTLMv2 会话安全 要求 128-位加密

要求 NTLMv2 会话安全 要求 128-位加密

故障恢复控制台: 允许自动系统管理级登录

已禁用

已禁用

已禁用

已禁用

故障恢复控制台: 允许对所有驱动器和文件夹进行软盘复制和访问

已启用

已启用

已禁用

已禁用

关机: 允许在未登录前关机

已禁用

已禁用

已禁用

已禁用

关机: 清理虚拟内存页面文件

已禁用

已禁用

已启用

已启用

系统加密: 使用 FIPS 兼容的算法来加密,哈希和签名

已禁用

已禁用

已禁用

已禁用

系统对象: 由管理员 (Administrators) 组成员所创建的对象默认所有者

对象创建者

对象创建者

对象创建者

对象创建者

系统设置: 为软件限制策略对 Windows 可执行文件使用证书规则

已禁用

 
上一篇: 远程控制向Windows 2008设置要安全
下一篇: 解决SQL2005在 sys.servers 中找不到服务器的办法
发表于: 2012-08-24 23:35 | 全文(查看: 291) | 评论(0) | 本文地址 | 收藏 
分类: 服务器应用(148)   标签: 服务器  安全  新知  

"Windows server 2003——安全策略 " 的评论: (共 0 条)

你对本文的评论:

登录后再作评论
Page was generated in 20 milliseconds