【正文】 DWORD Value:1（ Windows2022下為 2） 4． 退出注冊(cè)表編輯器并重啟計(jì)算機(jī)，使改動(dòng)生效。 itsec Netbios的安全設(shè)置 ? win2022的本地安全策略（如果是域服務(wù)器就是在域服務(wù)器安全和域安全策略中）就有這樣的選項(xiàng) RestrictAnonymous（匿名連接的額外限制），這個(gè)選項(xiàng)有三個(gè)值： ? 0： None. Rely on default permissions（無(wú)，取決于默認(rèn)的權(quán)限） ? 1： Do not allow enumeration of SAM accounts and shares（不允許枚舉 SAM帳號(hào)和共享） ? 2： No access without explicit anonymous permissions（沒(méi)有顯式匿名權(quán)限就不允許訪問(wèn)） 0這個(gè)值是系統(tǒng)默認(rèn)的，什么限制都沒(méi)有，遠(yuǎn)程用戶可以知道你機(jī)器上所有的賬號(hào)、組信息、共享目錄、網(wǎng)絡(luò)傳輸列表(NetServerTransportEnum等等，對(duì)服務(wù)器來(lái)說(shuō)這樣的設(shè)置非常危險(xiǎn)。 1這個(gè)值是只允許非 NULL用戶存取 SAM賬號(hào)信息和共享信息。 2這個(gè)值是在 win2022中才支持的。 itsec 文件系統(tǒng)安全 ? WFP的英文全稱是 Windows File Protection，即 Windows文件保護(hù)。它的主要功能是防止系統(tǒng)文件被不匹配的版本替換或是覆蓋。在安裝新應(yīng)用程序時(shí)，由于不經(jīng)意間采用了過(guò)時(shí)的 dll（動(dòng)態(tài)鏈接庫(kù)）文件最容易使系統(tǒng)文件遭到破壞。 ? 微軟把 Windows 2022安裝光盤上的所有 dll、exe、 fon、 ocx、 sys、和 tff結(jié)尾的文件都加以保護(hù)）。 ? 備份在 %SYSTEMROOT%/system32/dllcache 文件夾下。 itsec 文件系統(tǒng)安全 ? 當(dāng) WFP監(jiān)控到這些文件被覆蓋或替換后就要開始自己的工作了。 ? 首先它會(huì)掃描可能有問(wèn)題的文件，如果這些文件與備份文件夾內(nèi)微軟“原裝”文件不符， WFP會(huì)把用SYSTEMROOT%/system32/dllcache目錄下備份的文件還原。 ? 如果該文件沒(méi)有做備份，系統(tǒng)會(huì)提示你插入 Windows 2022的安裝光盤以復(fù)原該文件。 itsec 文件系統(tǒng)安全 ? 關(guān)閉 WFP。 ? 點(diǎn)擊開始 運(yùn)行，鍵入 regedt32并回車； ? 找到[HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows NT/CurrentVersion/Winlogon]； ? 在右側(cè)的窗格中右鍵單擊選擇 NewDWORD Value，為其命名為 SFCDisable； ? 在 Hexadecimal項(xiàng)下輸入鍵值為 ffffff9d以關(guān)閉 WFP； ? 重新啟動(dòng)系統(tǒng)使所做的更改生效。 ? 重啟電腦后查看日志文件。點(diǎn)擊開始 設(shè)置 控制面板。打開Administrative ToolsEvent Viewer。你會(huì)看到圖中所示的記錄。在每次 Windows 2022啟動(dòng)后都會(huì)記錄下 WFP被關(guān)閉的情況。 itsec 文件系統(tǒng)安全 itsec 文件系統(tǒng)安全 ? 目錄和文件權(quán)限： 為了控制好服務(wù)器上用戶的權(quán)限，同時(shí)也為了預(yù)防以后可能的入侵和溢出，必須非常小心地設(shè)置目錄和文件的訪問(wèn)權(quán)限，在默認(rèn)的情況下，大多數(shù)的文件夾（包括所有的根目錄）對(duì)所有用戶（ Everyone這個(gè)組）是完全敞開的（ Full Control），需要根據(jù)應(yīng)用的需要進(jìn)行權(quán)限重設(shè)。 在進(jìn)行權(quán)限控制時(shí)，請(qǐng)記住以下幾個(gè)原則： 1限是累計(jì)的：如果一個(gè)用戶同時(shí)屬于兩個(gè)組，那么他就有了這兩個(gè)組所允許的所有權(quán)限； 2拒絕的權(quán)限要比允許的權(quán)限高（拒絕策略會(huì)先執(zhí)行）如果一個(gè)用戶屬于一個(gè)被拒絕訪問(wèn)某個(gè)資源的組，那么不管其他的權(quán)限設(shè)置給他開放了多少權(quán)限，他也一定不能訪問(wèn)這個(gè)資源。所以請(qǐng)非常小心地使用拒絕，任何一個(gè)不當(dāng)?shù)木芙^都有可能造成系統(tǒng)無(wú)法正常運(yùn)行； 3文件權(quán)限比文件夾權(quán)限高 4僅給用戶真正需要的權(quán)限，權(quán)限的最小化原則是安全的重要保障； itsec 文件系統(tǒng)安全 ? 將下列可執(zhí)行文件放到一個(gè)新建的目錄 D:\arrow下(重命名為 ） ? 將此目錄進(jìn)行權(quán)限設(shè)置 ? 刪除系統(tǒng)中的如下可執(zhí)行文件 itsec 安全日志 ? Windows的默認(rèn)安裝是不開安全審核。 ? Windows2022下 本地安全策略 審核策略中打開相應(yīng)的審核 推薦的審核是： 賬戶管理 成功 失敗 登錄事件 成功 失敗 對(duì)象訪問(wèn) 失敗 策略更改 成功 失敗 特權(quán)使用 失敗 系統(tǒng)事件 成功 失敗 目錄服務(wù)訪問(wèn) 失敗 賬戶登錄事件 成功 失敗 itsec 安全日志 ? WindowsNT下 ? 程序 ?管理工具 ?域用戶管理器 ?規(guī)則 ?審核 ? 謹(jǐn)慎打開“進(jìn)程追蹤”，否則大量的日志信息反而可能使審核困難 ? 文件及對(duì)象訪問(wèn)”必須同時(shí)在“文件屬性”的“審核”設(shè)置審核的事件 itsec 安全日志 itsec 其他的安全設(shè)置 ? 關(guān)閉自動(dòng)打開的管理共享 ? HKEY_LOCAL_MACHINE ? \System\CurrentControlSet\Services\LanmanServer\Parameters ? 鍵值 AutoShareServer ? 類型 REG_DWORD ? 數(shù)據(jù) 0 ? 不顯示最后登錄用戶姓名 ? HKEY_LOCAL_MACHINE\SOFTWARE \Microsoft\Windows NT\CurrentVersion\Winlogon ? 增添鍵值 DontDisplayLastUserName ? 類型 REG_SZ ? 數(shù)值 1 itsec 安全工具 ? FPORT ? 系統(tǒng)自帶 stat查看機(jī)器開放的端口，也可以任務(wù)管理器來(lái)查看當(dāng)前機(jī)器的進(jìn)程，但是這兩個(gè)東西都有自身的缺點(diǎn)，由于stat由于設(shè)計(jì)的原因很多開放的端口無(wú)法查出，而使用任務(wù)管理器的時(shí)候只能查看到進(jìn)程的名字，如果一個(gè)惡意的攻擊者把木馬命名為 ,，這樣就能很好麻痹一些管理員，由于這些文件可能在一臺(tái) web服務(wù)器上存在多個(gè)進(jìn)程，然后給這個(gè)木馬定義一個(gè)很象 RPC的端口，不仔細(xì)查真的很難查找得到， FPORT就彌補(bǔ)了 stat和 taskbar的不足 ? 該軟件可以得到所有端口對(duì)應(yīng)的文件有完整的路徑名，可以避免有些木馬程序使用系統(tǒng)服務(wù)的文件名，而將其放在非系統(tǒng)目錄，無(wú)法在 Task Manager里察覺(jué)，這個(gè)時(shí)候 FPort的優(yōu)勢(shì)就體現(xiàn)出來(lái)了 ? 下載地址：ml itsec 安全工具 ? fport運(yùn)行示例： ? Pid Process Port Proto Path ? 400 svchost 135 TCP C:\WINNT\system32\ ? 8 System 139 TCP ? 8 System 445 TCP ? 8 System 1028 TCP ? 872 rsvp 1047 TCP C:\WINNT\System32\ ? 624 WinMgmt 1048 TCP C:\WINNT\System32\WBEM\ ? 624 WinMgmt 1049 TCP C:\WINNT\System32\WBEM\ ? 540 iinfo 1054 TCP C:\WINNT\System32\isrv\ ? 1616 msdtc 2692 TCP C:\WINNT\System32\ ? 1616 msdtc 3372 TCP C:\WINNT\System32\ ? 8 System 3778 TCP ? 400 svchost 135 UDP C:\WINNT\system32\ ? 8 System 137 UDP ? 8 System 138 UDP ? 8 System 445 UDP ? 256 lsass 500 UDP C:\WINNT\system32\ ? 244 services 1029 UDP C:\WINNT\system32\ ? 540 iinfo 3456 UDP C:\WINNT\System32\isrv\ itsec 安全工具 ? IIS Lockdown ? 微軟設(shè)計(jì)發(fā)布的幫助管理員們?cè)O(shè)置 IIS安全性的工具。 ? IIS Lock Tool具有以下功能和特點(diǎn)： ? 幫助管理員設(shè)置 IIS安全性； ? 此工具可以在 IIS4和 IIS5上使用； ? 幫助管理員去掉對(duì)本網(wǎng)站不必要的一些服務(wù)，使 IIS在滿足本網(wǎng)站需求的情況下運(yùn)行最少的服務(wù) ? 下載地址 ? sp?ReleaseID=33961 itsec 安全工具 itsec 長(zhǎng)期的系統(tǒng)維護(hù) ? 時(shí)刻注意安全漏洞和補(bǔ)丁發(fā)布 ? 定期分析日志系統(tǒng)，發(fā)現(xiàn)潛在攻擊 ? 注意賬號(hào)和口令的安全問(wèn)題 ? 注意觀察系統(tǒng)異常 ? 管理員，才是關(guān)鍵 ! itsec 注意 ! ? 僅僅只是主機(jī)安全 (Host Security) ? 應(yīng)用服務(wù)安全的一部分 ? 絕不是網(wǎng)絡(luò)安全 (work security) ? 主機(jī)安全是網(wǎng)絡(luò)安全的基礎(chǔ)之一 itsec 試驗(yàn)一 ? 安裝并配置 IISLOCKD ? 對(duì)于已安裝有 IIS的 windows2022系統(tǒng) 配置 IISLOCKD不允許從 WEB下載可執(zhí)行文件，其他下載一律禁止允許。 itsec 試驗(yàn)二 ? 禁止 Netbios泄漏用戶名 ? 在開放了文件打印和共享的 WINDOWS系統(tǒng)上，利用常見的掃描軟件可以得到用戶名和密碼 ? 在禁止文件打印和共享的 WINDOWS系統(tǒng)上，利用掃描軟件不可以得到用戶名和密碼 itsec 中國(guó)信息安全產(chǎn)品 測(cè)評(píng)認(rèn)證中心 對(duì)外辦公地點(diǎn)： 北京西三環(huán)北路 27號(hào) 互聯(lián)網(wǎng)址： 電話： 68428899 傳真： 68462942 itsec 問(wèn)題？