【正文】 找到如下組建HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa中的restrictanonymous子鍵，將其值改為 1 即可禁用 IPC 連接 ，具體步驟參看在 第三章 實(shí)訓(xùn) 。 禁用 IPC 連接 IPC$(Inter Process Connection)是共享“命名管道”的資源，它是為了讓進(jìn)程間通信而開(kāi)放的命名管道，通過(guò)提供可信任的用戶名和口令，連接雙方計(jì)算機(jī)即可以建立安全的通道并以此通道進(jìn)行加密數(shù) 據(jù)的交換，從而實(shí)現(xiàn)對(duì)遠(yuǎn)程計(jì)算機(jī)的訪問(wèn)。 清除默認(rèn)共享隱患 使用 Windows Server 2020 的用戶都會(huì)碰到一個(gè)問(wèn)題，就是系統(tǒng)在默認(rèn)安裝時(shí)，都會(huì)產(chǎn)生默認(rèn)的共享文件夾。 實(shí)訓(xùn)過(guò)程： 堵住資源共享隱患 為了給局域網(wǎng)用戶相互之間傳輸信息帶來(lái)方便， WindowsServer2020系統(tǒng)為各 位提供了文件和打印共享功能，不過(guò)我們?cè)谙硎茉摴δ軒?lái)便利的同時(shí)也 向黑客們敞開(kāi)了不少漏 洞，給服務(wù)器系統(tǒng)造成了很大的不安全性；所以，在用完文件或打印共享功能時(shí)， 應(yīng) 隨時(shí)將功能關(guān)閉，以便堵住資源共享隱患，下面就是關(guān)閉共享功能的具體步驟： 執(zhí)行控制面板菜單項(xiàng)下面的“網(wǎng)絡(luò)連接 ”命令，在隨后出現(xiàn)的窗口中，用鼠標(biāo)右鍵單擊一下“本地連接”圖標(biāo)，如下圖所示。 設(shè)置成功后，打開(kāi)該網(wǎng)站，則出現(xiàn)“客戶端 IP 地址被拒絕。 實(shí)訓(xùn)內(nèi)容： 設(shè)置從網(wǎng)絡(luò)訪問(wèn)計(jì)算機(jī)的訪問(wèn)控制，刪除不必要的訪問(wèn)用戶組。 （ 4）設(shè)置默認(rèn)文檔，通常情況下， Web 網(wǎng)站都需要至少一個(gè)默認(rèn)文檔，當(dāng)在 IE 瀏覽器中使用 IP 地址或域名訪問(wèn)時(shí)， Web 服務(wù)器會(huì)將默認(rèn)文檔回應(yīng)給瀏覽器，并顯示其內(nèi)容。 配置 Web 站點(diǎn) 選擇“開(kāi)始”－“程序”－“管理工具”，選擇“ Inter 信息服務(wù)（ IIS）管理器”命令，如下圖所示。 第四章 IIS 服務(wù)的實(shí)現(xiàn)和安全配置 本章包括二個(gè)實(shí)訓(xùn)： 啟用 IIS 服務(wù)功能。具體步驟如下： 找到如下分支 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL 的 CheckedValue 值項(xiàng) ，把數(shù)值 改為 0 ，如下圖所示。 TTL=108(win2020)。 實(shí)訓(xùn)要求： 安裝 windows Server2020 系統(tǒng)的計(jì)算機(jī)。 選擇 \Documents and Settings\All Users 文件夾，點(diǎn)擊右鍵選擇“屬性”，在“安全”中只保留 Administrators 和 SYSTEM 權(quán)限，其他的刪除，如下圖所示。 點(diǎn)擊“添加”按鈕后，出現(xiàn)如下圖所示。 注冊(cè)表的安全管理 。 在 “默認(rèn)域 安全設(shè)置 ”－“ 本地策略 ”－“ 安全選項(xiàng) ” 中將“不顯示上次的用戶名”設(shè)為 “ 啟用 ” ，如下圖 所示。如下圖所示。操作步驟如下： 選擇 administrator 賬號(hào)后單擊鼠標(biāo)右名鍵選擇“重命名”為“ gl”，如下圖 所示。 單擊 “確定 ”按鈕，顯示 “ 建議的數(shù)值改動(dòng) ” 對(duì)話框。 賬戶鎖定策略包含以下 3 個(gè)策略： ? 復(fù)位賬戶鎖定計(jì)數(shù)器。 ? 用可還原的加密來(lái)儲(chǔ)存密碼。 可通過(guò)該賬戶屬性查看。 實(shí)訓(xùn)要求： 安裝 windows Server2020 系統(tǒng)的計(jì)算機(jī)。 二、 禁用 TCP/IP 上的 NetBIOS 當(dāng)安裝 TCP/IP 協(xié)議時(shí)， NetBIOS 也被 Windows 作為默認(rèn)設(shè)置載入， 我們的計(jì)算機(jī)也具有了 NetBIOS 本身的開(kāi)放性， 即 139 端口被打開(kāi)。 添加“關(guān)閉 ICMP” 關(guān)閉 ICMP 的具體操作如下：點(diǎn) “ 添加 ” ，然后在名稱中輸入“關(guān)閉ICMP”，點(diǎn)右邊的 “ 添加 ”按鈕，如下圖所示。 因此，禁用 ICMP 可以防止用戶 ping 服務(wù)器 堵住安全威脅 。 右鍵單擊 “ 安全配置和分析 ” 項(xiàng)，選擇菜單中的 “ 立即分析計(jì)算機(jī) ” 命令，并在 “ 進(jìn)行分析 ” 對(duì)話框中指定保存錯(cuò)誤日志文件的路徑，點(diǎn)擊 “ 確定 ” ，開(kāi)始系統(tǒng)安全機(jī)制的分析進(jìn)程 ， 如 下 圖 所示。 添加 “ 安全配置和分析 ” 管理單元 在 “ 添加 /刪除管理單元 ” 對(duì)話框中，點(diǎn)擊選項(xiàng)頁(yè)的 “ 添加 ” ，在彈出的 “ 添加獨(dú)立管理單元 ” 對(duì)話框中，選擇列表中的 “ 安全配置和分析 ” 項(xiàng)，點(diǎn)擊 “ 添加 ” （ 同時(shí)可完成“安全模板”的添加） 如 下圖 所示 。添加 安全配置和分析 模塊，新建數(shù)據(jù)庫(kù)導(dǎo)入安全模板進(jìn)行系統(tǒng)安全分析。但 針對(duì)操作系統(tǒng)所提供的不同的應(yīng)用和服務(wù)，也需要進(jìn)行具體的安全配置 操作。因此， 本指導(dǎo)書包括的 9 個(gè)實(shí)訓(xùn)內(nèi)容，分別從 系統(tǒng)安全 管理、賬戶安全 管理 、系統(tǒng)資源的安全 管理 、 IIS 服務(wù)的實(shí)現(xiàn) 和安全配置、 Windows 系統(tǒng) 安全加固及漏洞防范等 5 個(gè)方面 在理論指導(dǎo)的前提下注重 實(shí)際操作 過(guò)程及安全配置的 實(shí)現(xiàn) 。 實(shí)訓(xùn)過(guò)程： 使用管理員權(quán)限登錄 首先必須以系統(tǒng)管理員或 administrators 組成員的賬戶身份登錄系統(tǒng)才能完成管理單元的加載以及系統(tǒng)安全性分析和配置操作 。 完成添加 點(diǎn)擊 “ 關(guān)閉 ” ，返 回 “ 添加 /刪除管理單元 ” 對(duì)話框，此時(shí)在列表中可以看到新增加了 “ 安全配置和分析 ” 項(xiàng) 。 分析計(jì)算機(jī)安全設(shè)置后，即可進(jìn)行 “立即 配置計(jì)算機(jī) ”設(shè)置 ，使安全模板設(shè)置生效。 說(shuō)明： 這里列出一些 常用端口 如： 80 為 Web 網(wǎng)站服務(wù)； 21 為 FTP 服務(wù)；25 為 Email 郵件的 SMTP 服務(wù)； 110 為 Email 郵件 POP3 服務(wù) ， 有需要可以不禁用，其他端口都可禁用。 選擇“協(xié)議”選項(xiàng)卡，在“選擇協(xié)議類型：”中選“ ICMP”，點(diǎn)“確定” ，回到關(guān)閉 ICMP 屬性窗口 ，如下圖所示。使用 戶能通過(guò) 文件和打印機(jī)共享 訪問(wèn)服務(wù)器。 實(shí)訓(xùn)內(nèi)容： 對(duì) 獨(dú)立服務(wù)器 用戶賬戶 進(jìn)行設(shè)置，修改 administrator 賬號(hào)，建立虛擬的管理員賬號(hào)，禁用 Guest 來(lái)賓賬號(hào)，并設(shè)置賬戶、密碼策略。 如下圖 所示 ： 修改 Guest 賬戶 將 Guest 賬戶禁用并更改名稱和描述，然后輸入一個(gè)復(fù)雜的密碼，操作如下： 選擇“ Guest”賬戶，點(diǎn)擊右鍵選擇“重 命名 ” 為 lb，如下圖 所示 ： 然后輸入一個(gè)復(fù)雜密碼，輸入的密碼必 需符合系統(tǒng)的密碼過(guò)濾規(guī)范，即要包含數(shù)字、字母、特殊字符等，然后點(diǎn)擊“確定”。 下面以設(shè)置 “ 強(qiáng)制密碼歷史 ” 策略為例來(lái)說(shuō)明如何設(shè)置賬戶策略。 ? 賬戶鎖定時(shí)間。本策略的更改將同步更改其他關(guān)聯(lián)策略 ， 如圖所示。 彈出如下對(duì)話框，選擇“是”，將重新以新用戶名登錄。 修改 Guest 賬戶 將 Guest 賬戶禁用并更改名稱和描述，然后輸入一個(gè)復(fù)雜的密碼，操作如下： 選擇“ Guest”賬戶，點(diǎn)擊右鍵選擇“重設(shè)密碼”，如下圖 所示。 在 “默認(rèn)域 安全設(shè)置 ”－“ 本地策略 ”－“ 用戶權(quán)利 ” 分配中將“從網(wǎng)絡(luò)訪問(wèn)此計(jì)算機(jī)” 中添加組或賬號(hào)，以使其可以通過(guò)網(wǎng)絡(luò)訪問(wèn)些計(jì)算機(jī)，如下圖 所示。 實(shí)訓(xùn) 文件系統(tǒng)和共享資源的安全設(shè)置 實(shí)訓(xùn)目的： Windows 系統(tǒng)為本地及網(wǎng)絡(luò)用戶提供了一系列良好 應(yīng)用 資源， 因此 保障這些應(yīng)用資源的有效、安全的應(yīng)用是 尤為重要，本實(shí)訓(xùn)對(duì) 資源安全管理措施進(jìn)行詳細(xì)分析 和設(shè)置 。 選擇“高級(jí)（ A） … ”按鈕，然后點(diǎn)擊“立即查找（ N）”按鈕，出現(xiàn)如下圖所示。 選擇 \Documents and Settings\All Users\Application Data 文件夾，點(diǎn)擊右鍵選擇“屬性”，在“安全”中只保留 Administrators 和 SYSTEM 權(quán)限，其他的刪除，如下圖所 示。 實(shí)訓(xùn)內(nèi)容： 注冊(cè)表中記錄了 windows 系統(tǒng)和程序進(jìn)行運(yùn)轉(zhuǎn)的幾乎所有關(guān)鍵信息，在對(duì) 注冊(cè)表相關(guān)項(xiàng) 進(jìn)行 設(shè)置提高系統(tǒng)的安全性 的同時(shí) 也需 對(duì)注冊(cè)表 本身進(jìn)行 訪問(wèn)控制防止注冊(cè)表的非法修改。 TTL=127 或 128(win9x)。 二、 注冊(cè)表 訪問(wèn)控制 的安全管理 對(duì)注冊(cè)表的安全管理可以分為兩種：一種方法是對(duì)注冊(cè)表命令（ 、 ）文件添加需要訪問(wèn)的賬戶名及權(quán)限設(shè)置即可。 IIS 服務(wù)的安全配置 。 （ 1）設(shè)置網(wǎng)站基本屬性 在 IIS 管