【正文】 DWORD Value:1（ Windows2022下為 2） 4． 退出注冊表編輯器并重啟計算機，使改動生效。 itsec Netbios的安全設(shè)置 ? win2022的本地安全策略（如果是域服務(wù)器就是在域服務(wù)器安全和域安全策略中）就有這樣的選項 RestrictAnonymous（匿名連接的額外限制），這個選項有三個值： ? 0： None. Rely on default permissions（無，取決于默認的權(quán)限） ? 1： Do not allow enumeration of SAM accounts and shares（不允許枚舉 SAM帳號和共享） ? 2： No access without explicit anonymous permissions（沒有顯式匿名權(quán)限就不允許訪問） 0這個值是系統(tǒng)默認的，什么限制都沒有，遠程用戶可以知道你機器上所有的賬號、組信息、共享目錄、網(wǎng)絡(luò)傳輸列表(NetServerTransportEnum等等，對服務(wù)器來說這樣的設(shè)置非常危險。 1這個值是只允許非 NULL用戶存取 SAM賬號信息和共享信息。 2這個值是在 win2022中才支持的。 itsec 文件系統(tǒng)安全 ? WFP的英文全稱是 Windows File Protection，即 Windows文件保護。它的主要功能是防止系統(tǒng)文件被不匹配的版本替換或是覆蓋。在安裝新應(yīng)用程序時，由于不經(jīng)意間采用了過時的 dll（動態(tài)鏈接庫）文件最容易使系統(tǒng)文件遭到破壞。 ? 微軟把 Windows 2022安裝光盤上的所有 dll、exe、 fon、 ocx、 sys、和 tff結(jié)尾的文件都加以保護）。 ? 備份在 %SYSTEMROOT%/system32/dllcache 文件夾下。 itsec 文件系統(tǒng)安全 ? 當(dāng) WFP監(jiān)控到這些文件被覆蓋或替換后就要開始自己的工作了。 ? 首先它會掃描可能有問題的文件，如果這些文件與備份文件夾內(nèi)微軟“原裝”文件不符， WFP會把用SYSTEMROOT%/system32/dllcache目錄下備份的文件還原。 ? 如果該文件沒有做備份，系統(tǒng)會提示你插入 Windows 2022的安裝光盤以復(fù)原該文件。 itsec 文件系統(tǒng)安全 ? 關(guān)閉 WFP。 ? 點擊開始 運行，鍵入 regedt32并回車； ? 找到[HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows NT/CurrentVersion/Winlogon]； ? 在右側(cè)的窗格中右鍵單擊選擇 NewDWORD Value，為其命名為 SFCDisable； ? 在 Hexadecimal項下輸入鍵值為 ffffff9d以關(guān)閉 WFP； ? 重新啟動系統(tǒng)使所做的更改生效。 ? 重啟電腦后查看日志文件。點擊開始 設(shè)置 控制面板。打開Administrative ToolsEvent Viewer。你會看到圖中所示的記錄。在每次 Windows 2022啟動后都會記錄下 WFP被關(guān)閉的情況。 itsec 文件系統(tǒng)安全 itsec 文件系統(tǒng)安全 ? 目錄和文件權(quán)限： 為了控制好服務(wù)器上用戶的權(quán)限，同時也為了預(yù)防以后可能的入侵和溢出，必須非常小心地設(shè)置目錄和文件的訪問權(quán)限，在默認的情況下，大多數(shù)的文件夾（包括所有的根目錄）對所有用戶（ Everyone這個組）是完全敞開的（ Full Control），需要根據(jù)應(yīng)用的需要進行權(quán)限重設(shè)。 在進行權(quán)限控制時，請記住以下幾個原則： 1限是累計的：如果一個用戶同時屬于兩個組，那么他就有了這兩個組所允許的所有權(quán)限； 2拒絕的權(quán)限要比允許的權(quán)限高（拒絕策略會先執(zhí)行）如果一個用戶屬于一個被拒絕訪問某個資源的組，那么不管其他的權(quán)限設(shè)置給他開放了多少權(quán)限，他也一定不能訪問這個資源。所以請非常小心地使用拒絕，任何一個不當(dāng)?shù)木芙^都有可能造成系統(tǒng)無法正常運行； 3文件權(quán)限比文件夾權(quán)限高 4僅給用戶真正需要的權(quán)限，權(quán)限的最小化原則是安全的重要保障； itsec 文件系統(tǒng)安全 ? 將下列可執(zhí)行文件放到一個新建的目錄 D:\arrow下(重命名為 ） ? 將此目錄進行權(quán)限設(shè)置 ? 刪除系統(tǒng)中的如下可執(zhí)行文件 itsec 安全日志 ? Windows的默認安裝是不開安全審核。 ? Windows2022下 本地安全策略 審核策略中打開相應(yīng)的審核 推薦的審核是： 賬戶管理 成功 失敗 登錄事件 成功 失敗 對象訪問 失敗 策略更改 成功 失敗 特權(quán)使用 失敗 系統(tǒng)事件 成功 失敗 目錄服務(wù)訪問 失敗 賬戶登錄事件 成功 失敗 itsec 安全日志 ? WindowsNT下 ? 程序 ?管理工具 ?域用戶管理器 ?規(guī)則 ?審核 ? 謹慎打開“進程追蹤”，否則大量的日志信息反而可能使審核困難 ? 文件及對象訪問”必須同時在“文件屬性”的“審核”設(shè)置審核的事件 itsec 安全日志 itsec 其他的安全設(shè)置 ? 關(guān)閉自動打開的管理共享 ? HKEY_LOCAL_MACHINE ? \System\CurrentControlSet\Services\LanmanServer\Parameters ? 鍵值 AutoShareServer ? 類型 REG_DWORD ? 數(shù)據(jù) 0 ? 不顯示最后登錄用戶姓名 ? HKEY_LOCAL_MACHINE\SOFTWARE \Microsoft\Windows NT\CurrentVersion\Winlogon ? 增添鍵值 DontDisplayLastUserName ? 類型 REG_SZ ? 數(shù)值 1 itsec 安全工具 ? FPORT ? 系統(tǒng)自帶 stat查看機器開放的端口，也可以任務(wù)管理器來查看當(dāng)前機器的進程，但是這兩個東西都有自身的缺點，由于stat由于設(shè)計的原因很多開放的端口無法查出，而使用任務(wù)管理器的時候只能查看到進程的名字，如果一個惡意的攻擊者把木馬命名為 ,，這樣就能很好麻痹一些管理員，由于這些文件可能在一臺 web服務(wù)器上存在多個進程，然后給這個木馬定義一個很象 RPC的端口，不仔細查真的很難查找得到， FPORT就彌補了 stat和 taskbar的不足 ? 該軟件可以得到所有端口對應(yīng)的文件有完整的路徑名，可以避免有些木馬程序使用系統(tǒng)服務(wù)的文件名，而將其放在非系統(tǒng)目錄，無法在 Task Manager里察覺，這個時候 FPort的優(yōu)勢就體現(xiàn)出來了 ? 下載地址：ml itsec 安全工具 ? fport運行示例： ? Pid Process Port Proto Path ? 400 svchost 135 TCP C:\WINNT\system32\ ? 8 System 139 TCP ? 8 System 445 TCP ? 8 System 1028 TCP ? 872 rsvp 1047 TCP C:\WINNT\System32\ ? 624 WinMgmt 1048 TCP C:\WINNT\System32\WBEM\ ? 624 WinMgmt 1049 TCP C:\WINNT\System32\WBEM\ ? 540 iinfo 1054 TCP C:\WINNT\System32\isrv\ ? 1616 msdtc 2692 TCP C:\WINNT\System32\ ? 1616 msdtc 3372 TCP C:\WINNT\System32\ ? 8 System 3778 TCP ? 400 svchost 135 UDP C:\WINNT\system32\ ? 8 System 137 UDP ? 8 System 138 UDP ? 8 System 445 UDP ? 256 lsass 500 UDP C:\WINNT\system32\ ? 244 services 1029 UDP C:\WINNT\system32\ ? 540 iinfo 3456 UDP C:\WINNT\System32\isrv\ itsec 安全工具 ? IIS Lockdown ? 微軟設(shè)計發(fā)布的幫助管理員們設(shè)置 IIS安全性的工具。 ? IIS Lock Tool具有以下功能和特點： ? 幫助管理員設(shè)置 IIS安全性； ? 此工具可以在 IIS4和 IIS5上使用； ? 幫助管理員去掉對本網(wǎng)站不必要的一些服務(wù)，使 IIS在滿足本網(wǎng)站需求的情況下運行最少的服務(wù) ? 下載地址 ? sp?ReleaseID=33961 itsec 安全工具 itsec 長期的系統(tǒng)維護 ? 時刻注意安全漏洞和補丁發(fā)布 ? 定期分析日志系統(tǒng)，發(fā)現(xiàn)潛在攻擊 ? 注意賬號和口令的安全問題 ? 注意觀察系統(tǒng)異常 ? 管理員，才是關(guān)鍵 ! itsec 注意 ! ? 僅僅只是主機安全 (Host Security) ? 應(yīng)用服務(wù)安全的一部分 ? 絕不是網(wǎng)絡(luò)安全 (work security) ? 主機安全是網(wǎng)絡(luò)安全的基礎(chǔ)之一 itsec 試驗一 ? 安裝并配置 IISLOCKD ? 對于已安裝有 IIS的 windows2022系統(tǒng) 配置 IISLOCKD不允許從 WEB下載可執(zhí)行文件，其他下載一律禁止允許。 itsec 試驗二 ? 禁止 Netbios泄漏用戶名 ? 在開放了文件打印和共享的 WINDOWS系統(tǒng)上，利用常見的掃描軟件可以得到用戶名和密碼 ? 在禁止文件打印和共享的 WINDOWS系統(tǒng)上，利用掃描軟件不可以得到用戶名和密碼 itsec 中國信息安全產(chǎn)品 測評認證中心 對外辦公地點： 北京西三環(huán)北路 27號 互聯(lián)網(wǎng)址： 電話： 68428899 傳真： 68462942 itsec 問題？