【文章內(nèi)容簡(jiǎn)介】 \winreg\AllowPaths\winreg Name AllowPaths Type REG_DWORD Value 1 Hive Key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run Hive Key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce Hive Key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\ CurrentVersion\RunOnceEx Hive Key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\ CurrentVersion\AeDebug Hive Key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\ CurrentVersion\WinLogon 德信誠 培訓(xùn)網(wǎng) 更多免費(fèi)資料下載請(qǐng)進(jìn)： 好好學(xué)習(xí)社區(qū) Type REG_SZ Value 1 操作結(jié)果： 通過注冊(cè)表項(xiàng)增強(qiáng)服務(wù)安全，不會(huì)對(duì)系統(tǒng)造成任何不良的影響。 schedule服務(wù) 編號(hào)： 3015 名稱： 停止 schedule 服務(wù) 重要等級(jí)： 中 基本信息： ? WINDOWS 的 Schedule 服務(wù)可以幫助系統(tǒng)管理員設(shè)計(jì)一個(gè)在某個(gè)時(shí)間執(zhí)行的批任務(wù)。由于 Schedule 服務(wù)通常在系統(tǒng)帳號(hào)下執(zhí)行，它可以修改帳號(hào)的權(quán)限。這就意味著入侵者可以修改 Schedule 配置并放入一個(gè) TROJAN 木馬程序來修改網(wǎng)絡(luò)的訪問權(quán)限。 檢測(cè)內(nèi)容： 察看是否禁止 SCHEDULE 服務(wù)。 建議操作： ? 打開控制面板； ? 選擇任務(wù)計(jì)劃； ? 刪除已有任務(wù)計(jì)劃； ? 點(diǎn)擊高級(jí)菜單 ?停用任務(wù)計(jì)劃程序； 操作結(jié)果： ? 停止 schedule 服務(wù)，不會(huì)對(duì)系統(tǒng)造成任何不良的影響； 德信誠 培訓(xùn)網(wǎng) 更多免費(fèi)資料下載請(qǐng)進(jìn)： 好好學(xué)習(xí)社區(qū) ? 該操作不影響應(yīng) 用程序自定義計(jì)劃執(zhí)行； ? 如有調(diào)用系統(tǒng) schedule 服務(wù)的應(yīng)用，請(qǐng)慎重操作； 編號(hào)： 3016 名稱： 根據(jù)情況停掉不必要的服務(wù)和組件 重要等級(jí)： 中 基本信息： ? WindowsNT/2020 服務(wù)器在默認(rèn)安裝情況下會(huì)安裝上大量的服務(wù)和組件，從服務(wù)器安全角度來考慮，結(jié)合用戶應(yīng)用，很多服務(wù)和組件都是沒有必要開啟而且容易造成安全隱患的，可根據(jù)實(shí)際情況關(guān)閉或卸載。 檢測(cè)內(nèi)容： ? 常用的服務(wù)和組件：證書服務(wù)、群集服務(wù)、索引服務(wù)、 IIS、管理和監(jiān)視工具、消息排隊(duì)服務(wù)、 網(wǎng)絡(luò)、連接服務(wù)（ DNS,WINS 等）、遠(yuǎn)程安裝服務(wù)、遠(yuǎn)程存儲(chǔ)服務(wù)、腳本調(diào)試器、終端服務(wù)和終端、許可程序、媒體服務(wù)、 IE 中禁止運(yùn)行 ActiveX,JavaApplets，Cookies 寫入權(quán)限等 ? 服務(wù)說明請(qǐng)參考“控制面板 ?管理工具 ?服務(wù)”中的描述 建議操作： ? 請(qǐng)單擊“控制面板”中的“管理工具”，然后根據(jù)具體要求，選擇啟用或禁用服務(wù)和組件。 操作結(jié)果： 根據(jù)情況停掉不必要的服務(wù)和組件，將會(huì)對(duì)影響系統(tǒng)提供相應(yīng)服務(wù)。 德信誠 培訓(xùn)網(wǎng) 更多免費(fèi)資料下載請(qǐng)進(jìn)： 好好學(xué)習(xí)社區(qū) SNMP 服務(wù)安全策略 編號(hào)： 3017 名稱： 限制對(duì) SNMP 的訪問 重要 等級(jí)： 中 基本信息： 開啟 SNMP 服務(wù)會(huì)導(dǎo)致信息泄漏的安全問題，對(duì)沒有必要網(wǎng)管的設(shè)備建議關(guān)閉該服務(wù)。對(duì)于必須開放該服務(wù)的主機(jī)，需要在網(wǎng)關(guān)設(shè)備上限制對(duì) SNMP 的訪問，同時(shí)，監(jiān)視是否有猜測(cè) SNMP 口令的行為。在主機(jī)上需要遵守下面的安全策略。 檢測(cè)內(nèi)容： 通過控制面板 |管理工具 |服務(wù)察看 munity 字符串是否為 public，和檢查是否限制可以訪問 SNMP 服務(wù)的主機(jī)。 建議操作： ? 打開控制面板 ?管理工具 ?服務(wù) ? 察看 SNMP 服務(wù)的屬性，在 Security 標(biāo)簽下，增加可以訪問本機(jī) SNMP 服務(wù)的主機(jī)的IP地址，同時(shí)，修改具有讀取權(quán)限和寫入權(quán)限的缺省字符串。 操作結(jié)果： ? 如果修改了字符串需要在相應(yīng)的網(wǎng)管設(shè)備在修改配置，以保證可以對(duì)該設(shè)備進(jìn)行正常的網(wǎng)管 安全設(shè)置優(yōu)化 描述：在 Windows 中，存儲(chǔ)關(guān)于計(jì)算機(jī)配置信息的數(shù)據(jù)庫，優(yōu)化配置提高安全性。 德信誠 培訓(xùn)網(wǎng) 更多免費(fèi)資料下載請(qǐng)進(jìn)： 好好學(xué)習(xí)社區(qū) 編號(hào)： 3018 名稱： 隱含最后登陸用戶名 重要等級(jí)： 中 基本信息： Windows NT/2020 在缺省情況下最后登陸的用戶名，使得攻擊者可以猜測(cè)系統(tǒng)內(nèi)的用戶信息。 檢測(cè)內(nèi)容： 注銷當(dāng)前用戶查看登陸界面上是 否顯示上次登陸用戶。 建議操作： ? Win2020 系統(tǒng)：?jiǎn)⒂谩氨镜匕踩呗?|本地策略 |安全選項(xiàng) |屏幕上不顯示上次登陸的用戶名” ? windowsNT： ? 打開注冊(cè)表管理器 regedit ? 打開 HKEY_LOCAL_MACHINE/SOFTWARE/MICROSOFT/Windows NT/Current Version/Winlogon ? 清空“ DefaultDomainName”和“ DefaultUserName”鍵值 操作結(jié)果： 隱含最后登陸用戶名不會(huì)對(duì)系統(tǒng)造成任何不良的影響。 條警示信息 編號(hào)： 3019 名稱： 登陸前顯示一條警示信息 重要等級(jí)： 中 德信誠 培訓(xùn)網(wǎng) 更多免費(fèi)資料下載請(qǐng)進(jìn)： 好好學(xué)習(xí)社區(qū) 基本信息： 利用此項(xiàng)功能可以在登陸前提示一些警示信息或注意事項(xiàng)，以保持系統(tǒng)的正常安全運(yùn)行。 同時(shí)防止用戶對(duì)遠(yuǎn)程終端服務(wù)口令進(jìn)行自動(dòng)化的腳本猜測(cè)。 檢測(cè)內(nèi)容： 注銷當(dāng)前用戶查看登陸界面上是否顯示登陸警告信息。 建議操作： ? Win2020：設(shè)置“本地安全策略 |本地策略 |安全選項(xiàng) |用戶試圖登錄時(shí)消息文字” ? WinNT： ? 打開注冊(cè)表管理器 regedit ? HKEY_LOCAL_MACHINE\SOFTWARE\MICROSOFT\WindowsNT\Current Version\Winlogon\ ? 修改“ LegalNoticeCaption”鍵值為警告信息。 操作結(jié)果： 登陸前顯示一條警示信息不會(huì)對(duì)系統(tǒng)造成任何不良的影響。 編號(hào)： 3020 名稱： 從登陸對(duì)話框中刪除關(guān)機(jī)按鈕 重要等級(jí)： 高 基本信息： 如果在登陸界面上出現(xiàn) “ 關(guān)機(jī) ” 按鈕的話，所有能夠接觸到該主機(jī)的用戶都可以關(guān)閉機(jī)器，這是及其危險(xiǎn)的，因此建議在登陸界面上刪除 “ 關(guān)機(jī) ” 按鈕。 德信誠 培訓(xùn)網(wǎng) 更多免費(fèi)資料下載請(qǐng)進(jìn)： 好好學(xué)習(xí)社區(qū) 檢測(cè)內(nèi)容： 注銷當(dāng)前用戶查看登陸界面 上是否顯示有關(guān)機(jī)按鈕。 建議操作： ? Win2020：停用“本地安全策略 |本地策略 |安全選項(xiàng) |允許為登錄前關(guān)機(jī)” ? WinNT： ? 打開注冊(cè)表管理器 regedit ? HKEY_LOCAL_MACHINE\SOFTWARE\MICROSOFT\WindowsNT\Current Version\Winlogon\ ? 修改“ ShutdownWithoutLogon”鍵值為 0。 ? 注銷用戶 操作結(jié)果： 從登陸對(duì)話框中刪除關(guān)機(jī)按鈕 不會(huì)對(duì)系統(tǒng)造成任何不良的影響。 編號(hào)： 3021 名稱 ： 阻止未授權(quán)訪問注冊(cè)表 重要等級(jí)： 高 基本信息： 注冊(cè)表編輯器支持遠(yuǎn)程 Windows NT 注冊(cè)表訪問。 禁止遠(yuǎn)程注冊(cè)表訪問。 檢測(cè)內(nèi)容： 德信誠 培訓(xùn)網(wǎng) 更多免費(fèi)資料下載請(qǐng)進(jìn)： 好好學(xué)習(xí)社區(qū) 檢測(cè)注冊(cè)表 Hive HKEY_LOCAL_MACHINE\SYSTEM Key \CurrentControlSet\Control\SecurePipeServers Name \winreg 在該鍵值中設(shè)置的安全權(quán)限定義哪些用戶或組可以連接到系統(tǒng)以便對(duì)注冊(cè)表進(jìn)行遠(yuǎn)程訪問。默認(rèn)的 Windows NT Workstation 安裝未定義該鍵值，不限制對(duì)注冊(cè)表的遠(yuǎn)程訪問。 Windows NT Server 只 允 許 管 理 員 遠(yuǎn) 程 訪 問 絕 大 多 數(shù) 注 冊(cè) 表 。 在KEY_LOCAL_MACHINE\System\CurrentControlSet\Contro\SecurePipeServers \winreg\AllowedPaths 鍵值中指定義了某些允許非管理員訪問的路徑 關(guān)閉遠(yuǎn)程用戶修改此計(jì)算機(jī)上的注冊(cè)表設(shè)置，只有此計(jì)算機(jī)上的用戶才能修改注冊(cè)表。 建議操作： 1. 添加上述注冊(cè)表鍵值，限制對(duì)遠(yuǎn)程注冊(cè)表的訪問。 2. 在控制面板 |管理工具 |服 務(wù)里停止或禁用 Remote Registry 服務(wù)。（ windows2020默認(rèn)打開） 操作結(jié)果： 上述設(shè)置限制了對(duì)注冊(cè)表的遠(yuǎn)程訪問，不會(huì)對(duì)系統(tǒng)造成任何不良的影響。 德信誠 培訓(xùn)網(wǎng) 更多免費(fèi)資料下載請(qǐng)進(jìn)： 好好學(xué)習(xí)社區(qū) 編號(hào)： 3022 名稱： 對(duì)關(guān)鍵注冊(cè)表項(xiàng)進(jìn)行訪問控制 重要等級(jí)： 高 基本信息： 應(yīng)在限定用戶對(duì)注冊(cè)表訪問權(quán)限后，對(duì)一些關(guān)鍵的注冊(cè)表項(xiàng)應(yīng)該嚴(yán)格訪問控制并進(jìn)行嚴(yán)密監(jiān)視，防止它們被攻擊者用于啟動(dòng) trojan 木馬程序。 檢測(cè)內(nèi)容： 檢測(cè)注冊(cè)表下面的內(nèi)容： 注冊(cè)表路徑： HKEY_Local Machine\SOFTWARE\Microsoft\Widows\CurrentVersion\ 鍵名 缺省權(quán)限 能啟動(dòng)代碼執(zhí)行的值 Run Everyone 設(shè)置值 任意 RunOnce Server Operators 設(shè)置值 任意 RunOnceEx Everyone 設(shè)置值 任意 AeDebug Everyone 設(shè)置值 Debugger Winlogon Server Operators 設(shè)置值 Userinit 建議操作： 注冊(cè)表路徑： HKEY_Local Machine\SOFTWARE\Microsoft\Widows\CurrentVersion\ 對(duì)其默認(rèn)的屬性進(jìn)行修改，推薦值為： 德信誠 培訓(xùn)網(wǎng) 更多免費(fèi)資料下載請(qǐng)進(jìn)： 好好學(xué)習(xí)社區(qū) 鍵名 缺省權(quán)限 能啟動(dòng)代碼執(zhí)行的值 Run Everyone 設(shè)置值 任意 RunOnce Server Operators 設(shè)置值 任意 RunOnceEx Everyone 設(shè)置值 任意 AeDebug Everyone 設(shè)置值 Debugger Winlogon Server Operators 設(shè)置值 Userinit ? Creator Owner Full Control ? Administrator Full Control ? System Full Control ? Everyone Read 操作結(jié)果： 對(duì)所有重要的注冊(cè)表項(xiàng)進(jìn)行訪問控制限制，不會(huì)對(duì)系統(tǒng)造成任何不良的影響。 描述：調(diào)整 Windows 系統(tǒng) TCP/IP 協(xié)議參數(shù)的設(shè)置，可以提高 windows 抵抗拒絕服務(wù)攻擊的能力，同時(shí)可以防止利用網(wǎng)絡(luò)配置的“跳板式”攻擊。 TCP/IP，抵抗 DoS攻擊 編號(hào)： 3023 名稱： 優(yōu)化 TCP/IP 參數(shù)，抵抗拒絕服務(wù) 重要等級(jí)： 高 德信誠 培訓(xùn)網(wǎng) 更多免費(fèi)資料下載請(qǐng)進(jìn)： 好好學(xué)習(xí)社區(qū) （ DOS）攻擊 基本信息： Windows 主機(jī)系統(tǒng)可以通過調(diào)整 TCP/IP 參數(shù)來提高系統(tǒng)抵抗 Dos 攻擊的能力，但是，發(fā)生 Dos 攻擊時(shí)，通過在網(wǎng)絡(luò)設(shè)備上進(jìn)行包過濾將是一個(gè)更有效的策略。 檢測(cè)內(nèi)容： 檢測(cè)以下注冊(cè)表的鍵值 建議操作： 將 “ 檢測(cè)內(nèi)容 ” 中的注冊(cè)表鍵值，添加、更改為下面的推薦設(shè)置： ? SynAttackProtect（在 windows 200 professional 未發(fā)現(xiàn)這個(gè)鍵值，是否需要?jiǎng)?chuàng)建？ ? 類型： REG_DWORD ? 推薦值： 2 ? 描述：使 TCP/IP 調(diào)整 SYNACKS 的 重傳。當(dāng)出現(xiàn) SYNATTACK 跡象時(shí)，使連接對(duì)超時(shí)的響應(yīng)更快。鍵值設(shè)為 2， Socket 的以下選項(xiàng)不再工作： ? 可伸縮窗口（ RFC1323） ? 單個(gè)適配器的 TCP 參數(shù)（初始