|
|
域名空间 下载中心 社区论坛 信息公告 my小屋 | |
 |
联系我们 设为首页 加入收藏 |
 |
|
 |
首页 | 新闻资讯 | 编程开发 | 网页设计 | 图形图象 | 网络媒体 | 网站模板 | 数 据 库 | 投稿 论坛 | 操作系统 | 系统优化 | 网络安全 | 黑客技术 | 硬件学堂 | 硬件报价 | 服 务 器 | 地图 专题 | 应用软件 | 聊天通讯 | q q 专栏 | 建站经验 | 在线工具 | 站长club | 注 册 表 | 旧版 社会 | 游戏娱乐 | 设计欣赏 | 疑难解答 | 社区论坛 | 网络赚钱 | 网站地图 | 广告服务 | 服务 |
 |
 |
 |
 当前位置:首页>>操作系统>>windows2000>>正文 |
新版上线![旧版] |  |
|||
注:打开慢时请稍等
win2000 server安全配置技巧58条(三)http://www.iyit.net 日期:2006-5-14 10:16:06 来源:网络转载 点击: |
42.禁止显示上次登陆的用户名hkey_local_machine\software\microsoft\windowsnt\currentversion\winlogon项中的don’t display last user name串数据改成1,这样系统不会自动显示上次的登录用户名。将服务器注册表hkey_local_ machine\software\microsoft\windowsnt\currentversion\winlogon项中的dont display last user name串数据修改为1,隐藏上次登陆控制台的用户名。其实,在2000的本地安全策略中也存在该选项。 winnt4.0修改注册表:hkey_local_machine\software\microsoft\windows nt\current version\winlogon 中增加dontdisplaylastusername,将其值设为1。 43.在注册表hklm\system\currentcontrolset\services\tcpip\parameters中更改以下值可以帮助你防御一定强度的dos攻击: synattackprotect reg_dword 2 enablepmtudiscovery reg_dword 0 nonamereleaseondemand reg_dword 1 enabledeadgwdetect reg_dword 0 keepalivetime reg_dword 300,000 performrouterdiscovery reg_dword 0 enableicmpredirects reg_dword 0 44.打开本地安全策略,选择ip安全策略,在这里我们可以定义自己的ip安全策略。一个ip安全过滤器由两个部分组成:过滤策略和过滤操作,过滤策略决定哪些报文应当引起过滤器的关注,过滤操作决定过滤器是“允许”还是“拒绝”报文的通过。要新建ip安全过滤器,必须新建自己的过滤策略和过滤操作:右击本机的ip安全策略,选择管理ip过滤器,在ip过滤器管理列表中建立一个新的过滤规则:icmp_any_in,源地址选任意ip,目标地址选本机,协议类型是icmp,切换到管理过滤器操作,增加一个名为deny的操作,操作类型为“阻止”(block)。这样我们就有了一个关注所有进入icmp报文的过滤策略和丢弃所有报文的过滤操作了。需要注意的是,在地址选项中有一个镜像选择,如果选中镜像,那么将会建立一个对称的过滤策略,也就是说当你关注any ip->my ip的时候,由于镜像的作用,实际上你也同时关注了my ip->any ip,你可以根据自己的需要选择或者放弃镜像。再次右击本机的ip安全策略,选择新建ip过滤策略,建立一个名称为icmp filter的过滤器,通过增加过滤规则向导,我们把刚刚定义的icmp_any_in过滤策略指定给icmp filter,然后在操作选框中选择我们刚刚定义的deny操作,退出向导窗口,右击icmp filter并启用它,现在任何地址进入的icmp报文都会被丢弃了。 虽然用ip sec能够对icmp报文进行过滤,不过操作起来太麻烦,而且如果你只需要过滤特定的icmp报文,还要保留一些常用报文(如主机不可达、网络不可达等),ip sec策略就力不从心了,我们可以利用win2000的另一个强大工具路由与远程访问控制(routing & remote access)来完成这些复杂的过滤操作。 路由与远程访问控制是win2000用来管理路由表、配置vpn、控制远程访问、进行ip报文过滤的工具,默认情况下并没有安装,所以首先你需要启用它,打开“管理工具”->“路由与远程访问”,右击服务器(如果没有则需要添加本机)选择“配置并启用路由及远程访问”,这时配置向导会让你选择是什么样的服务器,一般来说,如果你不需要配置vpn服务器,那么选择“手动配置”就可以了,配置完成后,主机下将出现一个ip路由的选项,在“常规”中选择你想配置的网卡(如果你有多块网卡,你可以选择关闭某一块的icmp),在网卡属性中点击“输入筛选器”,添加一条过滤策略“from:any to:any 协议:icmp 类型:8 :编码 丢弃”就可以了(类型8编码0就是ping使用的icmp_echo报文,如果要过滤所有的icmp报文只需要将类型和编码都设置为255) 45.改变windows系统的一些默认值(例如:数据包的生存时间(ttl)值,不同系统有不同的值,有经验的人可以根据ttl的不同的值判断对方使用的是何种操作系统(例如windows 2000默认值128) hkey_local_machine\system\currentcontrolset\services\tcpip\p arameters defaultttl reg_dword 0-0xff(0-255 十进制,默认值128) 说明:指定传出ip数据包中设置的默认生存时间(ttl)值。ttl决定了ip数据包在到达目标前在网络中生存的最大时间.它实际上限定了ip数据包在丢弃前允许通过的路由器数量。有时利用此数值来探测远程主机操作系统。 46.防止icmp重定向报文的攻击 hkey_local_machine\system\currentcontrolset\services\tcpip\p arameters enableicmpredirects reg_dword 0x0(默认值为0x1) 说明:该参数控制windows 2000是否会改变其路由表以响应网络设备(如路由器)发送给它的icmp重定向消息,有时会被利用来干坏事。win2000中默认值为1,表示响应icmp重定向报文。 47.禁止响应icmp路由通告报文 hkey_local_machine\system\currentcontrolset\services\tcpip\p arameters\interfaces\interface performrouterdiscovery reg_dword 0x0(默认值为0x2) 说明:“icmp路由公告”功能可造成他人计算机的网络连接异常,数据被窃听,计算机被用于流量攻击等严重后果。此问题曾导致校园网某些局域网大面积,长时间的网络异常。因此建议关闭响应icmp路由通告报文。win2000中默认值为2,表示当dhcp发送路由器发现选项时启用。 48.防止syn洪水攻击 hkey_local_machine\system\currentcontrolset\services\tcpip\p arameters synattackprotect reg_dword 0x2(默认值为0x0) 说明:syn攻击保护包括减少syn-ack重新传输次数,以减少分配资源所保留的时间。路由缓存项资源分配延迟,直到建立连接为止。如果synattackprotect=2,则afd的连接指示一直延迟到三路握手完成为止。注意,仅在tcpmaxhalfopen和tcpmaxhalfopenretried设置超出范围时,保护机制才会采取措施。 49.禁止c$、d$一类的缺省共享 hkey_local_machine\system\currentcontrolset\services\lanmans erver\parameters autoshareserver、reg_dword、0x0 50.禁止admin$缺省共享 hkey_local_machine\system\currentcontrolset\services\lanmans erver\parameters autosharewks、reg_dword、0x0 51.限制ipc$缺省共享 hkey_local_machine\system\currentcontrolset\control\lsa restrictanonymous reg_dword 0x0 缺省 0x1 匿名用户无法列举本机用户列表 0x2 匿名用户无法连接本机ipc$共享 说明:不建议使用2,否则可能会造成你的一些服务无法启动,如sql server。 52.不支持igmp协议 hkey_local_machine\system\currentcontrolset\services\tcpip\p arameters igmplevel reg_dword 0x0(默认值为0x2) 说明:记得win9x下有个bug,就是用可以用igmp使别人蓝屏,修改注册表可以修正这个bug。win2000虽然没这个bug了,但igmp并不是必要的,因此照样可以去掉。改成0后用route print将看不到那个讨厌的224.0.0.0项了。 53.设置arp缓存老化时间设置 hkey_local_machine\system\currentcontrolset\services:\tcpip\ parameters arpcachelife reg_dword 0-0xffffffff(秒数,默认值为120秒) arpcacheminreferencedlife reg_dword 0-0xffffffff(秒数,默认值为600) 说明:如果arpcachelife大于或等于arpcacheminreferencedlife,则引用或未引用的arp缓存项在arpcachelife秒后到期。如果arpcachelife小于阿arpcacheminreferencedlife,未引用项在arpcachelife秒后到期,而引用项在arpcacheminreferencedlife秒后到期。每次将出站数据包发送到项的ip地址时,就会引用arp缓存中的项。 54.禁止死网关监测技术 hkey_local_machine\system\currentcontrolset\services:\tcpip\ parameters enabledeadgwdetect reg_dword 0x0(默认值为ox1) 说明:如果你设置了多个网关,那么你的机器在处理多个连接有困难时,就会自动改用备份网关。有时候这并不是一项好主意,建议禁止死网关监测。 55.不支持路由功能 hkey_local_machine\system\currentcontrolset\services:\tcpip\ parameters ipenablerouter reg_dword 0x0(默认值为0x0) 说明:把值设置为0x1可以使win2000具备路由功能,由此带来不必要的问题。 56.做nat时放大转换的对外端口最大值 hkey_local_machine\system\currentcontrolset\services:\tcpip\ parameters maxuserport reg_dword 5000-65534(十进制)(默认值0x1388--十进制为5000) 说明:当应用程序从系统请求可用的用户端口数时,该参数控制所使用的最大端口数。正常情况下,短期端口的分配数量为1024-5000。将该参数设置到有效范围以外时,就会使用最接近的有效数值(5000或65534)。使用nat时建议把值放大点。 57.修改mac地址 hkey_local_machine\system\currentcontrolset\control\class\找到右窗口的说明为“网卡”的目录,比如说{4d36e972-e325-11ce-bfc1-08002be10318}。 展开之,在其下的0000,0001,0002...的分支中找到“driverdesc”的键值为你网卡的说明,比如说“driverdesc”的值为“intel 82559 fast ethernet lan on motherboard”然后在右窗口新建一字符串值,名字为“networkaddress”,内容为你想要的mac值,比如说是“004040404040”然后重启动计算机,ipconfig /all看看。 58.防止密码被dump,你只需在服务里面关掉remote regisitery servicess。 | |||
| 最新更新 | 热点排行 | 推荐新闻 | |||||||||||||||||||||||||||||||||||||||||||||||||||||
|
|
|
|||||||||||||||||||||||||||||||||||||||||||||||||||||
| 友情链接 | ||||||
 |
设置首 页 - 版权声明 - 广告服务 - 关于我们 - 联系我们 - 友情连接 |  |
| |||||||
易特网络技术