【正文】 tAnonymous 鍵： Hive HKEY_LOCAL_MACHINE\SYSTEM 德信誠 培訓(xùn)網(wǎng) 更多免費(fèi)資料下載請進(jìn)： 好好學(xué)習(xí)社區(qū) Key CurrentControlSet\Control\LSA Name RestrictAnonymous Type REG_DWORD Value 1 在網(wǎng)絡(luò)鄰居里隱藏重要服務(wù)器，增加以下鍵值 : Hive HKEY_LOCAL_MACHINE\SYSTEM Key CurrentControlSet\Services\LanManServer\Parameters Name Hidden Type REG_DWORD Value 1 建議操作： 在注冊表設(shè)置 RestrictAnonymous 鍵： Hive HKEY_LOCAL_MACHINE\SYSTEM Key CurrentControlSet\Control\LSA Name RestrictAnonymous Type REG_DWORD Value 1 德信誠 培訓(xùn)網(wǎng) 更多免費(fèi)資料下載請進(jìn)： 好好學(xué)習(xí)社區(qū) 在 win2020 系統(tǒng)下，使用本地安全策略（如果是域服務(wù)器就是在域服務(wù)器安全和域安全策略中）有選項 RestrictAnonymous（匿名連接的額外限制），這個選項有三個值： 0： None. Rely on default permissions（無，取決于默認(rèn)的權(quán)限） 1： Do not allow enumeration of SAM accounts and shares（不允許枚舉 SAM 帳號和共享） 2： No access without explicit anonymous permissions（沒有顯式匿名權(quán)限就不允許訪問） 0 這個值是系統(tǒng)默認(rèn)的，無任何限制，遠(yuǎn)程用戶可以獲得系統(tǒng)所有的賬號、組信息、共享目錄、網(wǎng)絡(luò)傳輸列表 (NetServerTransportEnum 等等，對服務(wù)器來說這樣的設(shè)置非常危險。 ? 但病毒軟件對文件系統(tǒng)掃描時會降低系統(tǒng)性能，故需要按服務(wù)情況定制掃描策略。 建議操作： ? 設(shè)置防病毒系統(tǒng)升級策略，凌晨 2:00 下載病毒代碼并分發(fā)升級。 德信誠 培訓(xùn)網(wǎng) 更多免費(fèi)資料下載請進(jìn)： 好好學(xué)習(xí)社區(qū) 編號： 3012 名稱： 安裝防病毒軟件及其更新 重要等級： 高 基本信息： ? 保護(hù)系統(tǒng)時，最重要的事情之一就是使用防病毒軟件并確保它的及時更新。 檢測內(nèi)容： 查看對各個重要的目錄是否設(shè)置了訪問控制列表； 建議操作： 對各個重要目錄的訪問控制列表的設(shè)置參考下表： F（全部）， R（只讀）， N/A（所有限制） Path ACLs Admin _istrator CREATE OWNER Authentice _ted Users SYSTEM SYSTEMO PERATORS Others %system drive%\ F R R F N/A N/A %system drive% \temp F F F F N/A N/A %systemdrive% \program files F R R F N/A N/A %system root% F F R F N/A N/A %system root%\repair F N/A N/A F N/A N/A 德信誠 培訓(xùn)網(wǎng) 更多免費(fèi)資料下載請進(jìn)： 好好學(xué)習(xí)社區(qū) %systemroot％ \system32\config F F L F N/A N/A %system root%\system32\spool F F C F R N/A %systemroot%\profiles F A F F N/A N/A %systemdrive%\ F N/A N/A F N/A N/A %systemdrive%\ F N/A N/A F N/A N/A %systemdrive%\ntldr F N/A N/A F N/A N/A %systemdrive%\ F N/A R F N/A N/A %systemdrive%\ F N/A R F N/A N/A %systemroot%\ F N/A N/A F N/A N/A %systemroot%\ F N/A N/A F N/A N/A %systemroot%\system32\*.exe F N/A N/A F N/A N/A 操作結(jié)果： 實施文件系統(tǒng)安全增強(qiáng)，不會對系統(tǒng)造成任何不良的影響。 NTFS 生成 文件名格式 編號： 3010 名稱： 關(guān)閉 NTFS 生成 文件名格式 ； 重要等級： 高 基本信息： 關(guān)閉 NTFS 生成 文件名格式， 即文件名為 1～ 8 個字符，擴(kuò)展名為 1～ 3 個字符，此種文件格式文件糾錯和文件屬性能力也相對較弱，應(yīng)該予以關(guān)閉 ； 檢測內(nèi)容： 查看注冊表： *請參見第二章中注冊表相關(guān)章節(jié) Hive HKEY_LOCAL_MACHINE\SYSTEM Key \CurrentControlSet\Control\FileSystem 德信誠 培訓(xùn)網(wǎng) 更多免費(fèi)資料下載請進(jìn)： 好好學(xué)習(xí)社區(qū) Name NtfsDisable8dot3NameCreation Type REG_DWORD Value 查看此鍵值是否為 “1” 建議操作： 修改注冊表， 關(guān)閉 NTFS 生成 文件名格式： 修改注冊表后在重新啟動機(jī)器后生效。 德信誠 培訓(xùn)網(wǎng) 更多免費(fèi)資料下載請進(jìn)： 好好學(xué)習(xí)社區(qū) 編號： 3009 名稱： 移動并對關(guān)鍵文件進(jìn)行訪問控制 重要等級： 高 基本信息： 將所有常用的管理工具放在 %systemroot% 外的特殊目錄下，并對其進(jìn)行嚴(yán)格的訪問控制，保證只有管理員才具有執(zhí)行這些工具的權(quán)限。 檢測內(nèi)容： 檢測注冊表下面的鍵值： 配置單元項 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\OS/2 Subsystem for NT 檢測內(nèi)容 所有子項 配置單元項 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control \Session Manager\Environment 名稱 Os2LibPath 檢測內(nèi)容 是否存在 Os2LibPath 項 配置單元項 HKEY_LOCAL_MACHINE\SYSTEM \CurrentControlSet\Control\Session Manager\SubSystems 德信誠 培訓(xùn)網(wǎng) 更多免費(fèi)資料下載請進(jìn)： 好好學(xué)習(xí)社區(qū) 檢測內(nèi)容 Posix 和 OS/2 項 建議操作： 通過執(zhí)行下列注冊表操作刪除這些子系統(tǒng)： 配置單元項 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\OS/2 Subsystem for NT 操作 刪除所有子項 配置單元項 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control \Session Manager\Environment 名稱 Os2LibPath 操作 刪除 Os2LibPath 項 配置單元項 HKEY_LOCAL_MACHINE\SYSTEM \CurrentControlSet\Control\Session Manager\SubSystems 操作 刪除可選的 Posix 和 OS/2 項 然后刪除 \winnt\system32\os2 目錄及其所有子目錄。 操作結(jié)果： 德信誠 培訓(xùn)網(wǎng) 更多免費(fèi)資料下載請進(jìn)： 好好學(xué)習(xí)社區(qū) ? 實施文件系統(tǒng)安全增強(qiáng)，不會對系統(tǒng)造成任何不良的影響。 NTFS 可為用戶提供更高層次的安全保證。 NTFS 可為用戶提供更高層次的安全保證。 4. 對于沒有直接與 Inter 互聯(lián)的主機(jī)，可利用微軟提供的光盤升級包完成補(bǔ)丁加載；或在 Inter 網(wǎng)絡(luò)上的主機(jī)下載最新升級包并刻錄至光盤載體，在需升級的主機(jī)上安裝。 建議操作： 根據(jù)使用 “ 檢測內(nèi)容 ” 中提到的補(bǔ)丁測試方法，對系統(tǒng)進(jìn)行全面的測試，然后根據(jù)實際結(jié)果確定更新系統(tǒng)的哪些補(bǔ)丁程序。 ? 掃描的結(jié)果就是該 Windows 主機(jī)系統(tǒng)上所有沒有安裝的補(bǔ)丁。 針對 Windows NT4 操作系統(tǒng)的漏洞，微軟已經(jīng)發(fā)布到的最高補(bǔ)丁版本為 SP6a。 檢測內(nèi)容： ? 是否使用高版本（ ）軟件，較低版本軟件存在大量安全漏洞 ? 是否設(shè)置加密傳輸，建議采用 pcanywhere 加密級別 ? 回話結(jié)束后是否注銷用戶 建議操作： ? 創(chuàng)建新被控端 ? 對被控端進(jìn)行安全配置 ? 選擇 TCP/IP 方式； ? 設(shè)置面板 ?回話正常（異常）結(jié)束后使用注銷用戶保護(hù)； ? 安全選項 ?限制每個呼叫登陸嘗試次數(shù)為 3，完成登陸時間為 3 分鐘； ? 安全選項 ?設(shè)置加密為 pcanywhere 級別，拒絕較低加密級別； 德信誠 培訓(xùn)網(wǎng) 更多免費(fèi)資料下載請進(jìn)： 好好學(xué)習(xí)社區(qū) 操作結(jié)果： ? 設(shè)置生效需要重新啟動 Pcanywhere 服務(wù)，主控端應(yīng)配置與被控端 相應(yīng)加密級別； ? 需要注意本設(shè)置與系統(tǒng)本身認(rèn)證機(jī)制無關(guān)。 檢測內(nèi)容： 檢測是否為 Tel 終端創(chuàng)建了 TelClients 組，并賦予恰當(dāng)?shù)脑L問權(quán)限。 德信誠 培訓(xùn)網(wǎng) 更多免費(fèi)資料下載請進(jìn)： 好好學(xué)習(xí)社區(qū) 賬戶鎖定策略 編號： 3003 名稱： 賬戶鎖定策略 重要等級： 高 基本信息： 通過設(shè)置“賬戶鎖定時間”，“賬戶鎖定閾值”，“復(fù)位賬戶鎖定計數(shù)器”來防止遠(yuǎn)程的密碼猜測攻擊。 ? 有少數(shù)應(yīng)用軟件需要 administrator 名的系統(tǒng)用戶，請視應(yīng)用情況對該項進(jìn)行修改。 各操作系統(tǒng)廠商推出新版本時，亦必須重新審查內(nèi)容及修正。 用戶、用戶組及其權(quán)限管理 描述：創(chuàng)建用戶組和用戶，并對其分配合適的 權(quán)限是 WINDOWS 安全機(jī)制的核心內(nèi)容之一。 密碼策略 編號： 3002 名稱： 密碼策略 重要等級： 高 基本信息： 通過啟用“ 密碼必須符合復(fù)雜性要求”，設(shè)置“密碼長度最小值”、“密碼最長存留期”、“密碼最短存留期”、“密碼強(qiáng)制歷史”，停用“為域中用戶使用可還原的 德信誠 培訓(xùn)網(wǎng) 更多免費(fèi)資料下載請進(jìn)： 好好學(xué)習(xí)社區(qū) 加密來存儲”可以明顯的提高用戶賬戶的安全性。 檢測內(nèi)容： ? 查看本地安全策略 |賬戶策略 |賬戶鎖定策略來核實是否設(shè)置了合適的密碼策略 ? 打開控制面板 ?管理工具 ?本地安全策略； ? 選擇帳戶策略 ?帳戶鎖定策略； ? 檢查各項設(shè)置； 建議操作： ? “復(fù)位賬戶鎖定計數(shù)器”時間不短于 5分鐘； ? “賬戶鎖定時間”不短于 5 分鐘； ? “賬戶鎖定閾值”不多于 10 次； 操作結(jié)果： ? 進(jìn)行賬戶鎖定策略設(shè)置時，不會對系統(tǒng)造成任何不良的影響。 建議操作： ? 創(chuàng)建 TelClients 組，并將需要遠(yuǎn)程使用 tel 服務(wù)的用戶加入該組 ? 對 TelClients 組進(jìn)行授權(quán) ? 打開 控制面板 ?管理工具 ?本地安全策略； ? 本地策略 ?用戶權(quán)力指派； ? 按需要進(jìn)行授權(quán)； 操作結(jié)果： ? 進(jìn)行 TelClients 賬戶授權(quán)策略設(shè)置時，不會對系統(tǒng)造成任何不良的影響。 系統(tǒng)補(bǔ)丁 描述：補(bǔ)丁是實現(xiàn) Windows 主機(jī)系統(tǒng)安全的重要途徑。 及時安裝最近的 service pack后發(fā)布的 Hotfix 補(bǔ)丁也十分重要。 德信誠 培訓(xùn)網(wǎng) 更多免費(fèi)資料下載請進(jìn)： 好好學(xué)習(xí)社區(qū) 2. 使用微軟的微軟安全分析 (MBSA)工具； ? 下載地址： b15c/ ? 然后雙擊安裝 ； ? 啟動 Microsoft Baseline Security Analyzer，得出掃描結(jié)果。 下面給出部分與微軟 windows 2020 和 windows NT 系統(tǒng)補(bǔ)丁相關(guān)的下載網(wǎng)址： 微軟簡體中文更新網(wǎng)址： 微軟英文更新網(wǎng)址： 德信誠 培訓(xùn)網(wǎng) 更多免費(fèi)資料下載請進(jìn)： 好好學(xué)習(xí)社區(qū) Windows 2020 簡體中文版 SP3 下載網(wǎng)址： Wi