【正文】 文件系統(tǒng)的驅(qū)動(dòng)器上，利用 Windows NT/2020 中的訪問控制列表，可以對(duì)訪問計(jì)算機(jī)數(shù) 據(jù)或網(wǎng)絡(luò)數(shù)據(jù)的人加以限制。 檢測(cè)內(nèi)容： 查看對(duì)各個(gè)重要的目錄是否設(shè)置了訪問控制列表； 建議操作： 對(duì)各個(gè)重要目錄的訪問控制列表的設(shè)置參考下表： F（全部）， R（只讀）， N/A（所有限制） Path ACLs Admin _istrator CREATE OWNER Authentice _ted Users SYSTEM SYSTEMO PERATORS Others %system drive%\ F R R F N/A N/A %system drive% \temp F F F F N/A N/A %systemdrive% \program files F R R F N/A N/A %system root% F F R F N/A N/A %system root%\repair F N/A N/A F N/A N/A 德信誠 培訓(xùn)網(wǎng) 更多免費(fèi)資料下載請(qǐng)進(jìn)： 好好學(xué)習(xí)社區(qū) %systemroot％ \system32\config F F L F N/A N/A %system root%\system32\spool F F C F R N/A %systemroot%\profiles F A F F N/A N/A %systemdrive%\ F N/A N/A F N/A N/A %systemdrive%\ F N/A N/A F N/A N/A %systemdrive%\ntldr F N/A N/A F N/A N/A %systemdrive%\ F N/A R F N/A N/A %systemdrive%\ F N/A R F N/A N/A %systemroot%\ F N/A N/A F N/A N/A %systemroot%\ F N/A N/A F N/A N/A %systemroot%\system32\*.exe F N/A N/A F N/A N/A 操作結(jié)果： 實(shí)施文件系統(tǒng)安全增強(qiáng)，不會(huì)對(duì)系統(tǒng)造成任何不良的影響。病毒成為危害 windows 系統(tǒng)的安全主要威脅之一。 德信誠 培訓(xùn)網(wǎng) 更多免費(fèi)資料下載請(qǐng)進(jìn)： 好好學(xué)習(xí)社區(qū) 編號(hào)： 3012 名稱： 安裝防病毒軟件及其更新 重要等級(jí)： 高 基本信息： ? 保護(hù)系統(tǒng)時(shí)，最重要的事情之一就是使用防病毒軟件并確保它的及時(shí)更新。并且建立適當(dāng)?shù)牟呗源_保病毒庫得到及時(shí)的更新。 建議操作： ? 設(shè)置防病毒系統(tǒng)升級(jí)策略，凌晨 2:00 下載病毒代碼并分發(fā)升級(jí)。 ? 根據(jù)病毒軟件來更新病毒庫。 ? 但病毒軟件對(duì)文件系統(tǒng)掃描時(shí)會(huì)降低系統(tǒng)性能，故需要按服務(wù)情況定制掃描策略。不應(yīng)該在服務(wù)器系統(tǒng) 德信誠 培訓(xùn)網(wǎng) 更多免費(fèi)資料下載請(qǐng)進(jìn)： 好好學(xué)習(xí)社區(qū) 上瀏覽 web 和查收電子郵件 檢測(cè)內(nèi)容： 通過瀏覽器的歷史記錄，瀏覽器的臨時(shí)目錄和網(wǎng)絡(luò)設(shè)備的日志檢查 建議操作： ? 通過管理策略禁止用戶在服務(wù)器等重要設(shè)備上，瀏覽 web 頁面和查收電子郵件 操作結(jié)果： 屬于管理策略，不會(huì)對(duì)系統(tǒng)帶來任何影響。 編號(hào)： 3014 名稱： 通過注冊(cè)表項(xiàng)增強(qiáng)服務(wù)安全 重要等級(jí)： 高 基本信息： ? 通過注冊(cè)表項(xiàng)增強(qiáng)服務(wù)安全 檢測(cè)內(nèi)容： 在注冊(cè)表檢查 RestrictAnonymous 鍵： Hive HKEY_LOCAL_MACHINE\SYSTEM 德信誠 培訓(xùn)網(wǎng) 更多免費(fèi)資料下載請(qǐng)進(jìn)： 好好學(xué)習(xí)社區(qū) Key CurrentControlSet\Control\LSA Name RestrictAnonymous Type REG_DWORD Value 1 在網(wǎng)絡(luò)鄰居里隱藏重要服務(wù)器，增加以下鍵值 : Hive HKEY_LOCAL_MACHINE\SYSTEM Key CurrentControlSet\Services\LanManServer\Parameters Name Hidden Type REG_DWORD Value 1 建議操作： 在注冊(cè)表設(shè)置 RestrictAnonymous 鍵： Hive HKEY_LOCAL_MACHINE\SYSTEM Key CurrentControlSet\Control\LSA Name RestrictAnonymous Type REG_DWORD Value 1 德信誠 培訓(xùn)網(wǎng) 更多免費(fèi)資料下載請(qǐng)進(jìn)： 好好學(xué)習(xí)社區(qū) 在 win2020 系統(tǒng)下，使用本地安全策略（如果是域服務(wù)器就是在域服務(wù)器安全和域安全策略中）有選項(xiàng) RestrictAnonymous（匿名連接的額外限制），這個(gè)選項(xiàng)有三個(gè)值： 0： None. Rely on default permissions（無，取決于默認(rèn)的權(quán)限） 1： Do not allow enumeration of SAM accounts and shares（不允許枚舉 SAM 帳號(hào)和共享） 2： No access without explicit anonymous permissions（沒有顯式匿名權(quán)限就不允許訪問） 0 這個(gè)值是系統(tǒng)默認(rèn)的，無任何限制，遠(yuǎn)程用戶可以獲得系統(tǒng)所有的賬號(hào)、組信息、共享目錄、網(wǎng)絡(luò)傳輸列表 (NetServerTransportEnum 等等，對(duì)服務(wù)器來說這樣的設(shè)置非常危險(xiǎn)。 2 這個(gè)值是在 win2020 中才支持的，需要注意的是， 一旦使用了這個(gè)值，所有共享都會(huì)失效。 隱藏最后一次登陸用戶的用戶名 : Hive HKEY_LOCAL_MACHINE\SOFTWARE Key \Microsoft\Windows NT\Current Version\Winlogon Name DontDisplayLastUserName Key CurrentControlSet\Control\SecurePipeServers\winreg\AllowPaths\winreg Name AllowPaths Type REG_DWORD Value 1 Hive Key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run Hive Key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce Hive Key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\ CurrentVersion\RunOnceEx Hive Key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\ CurrentVersion\AeDebug Hive Key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\ CurrentVersion\WinLogon 德信誠 培訓(xùn)網(wǎng) 更多免費(fèi)資料下載請(qǐng)進(jìn)： 好好學(xué)習(xí)社區(qū) Type REG_SZ Value 1 操作結(jié)果： 通過注冊(cè)表項(xiàng)增強(qiáng)服務(wù)安全，不會(huì)對(duì)系統(tǒng)造成任何不良的影響。由于 Schedule 服務(wù)通常在系統(tǒng)帳號(hào)下執(zhí)行，它可以修改帳號(hào)的權(quán)限。 檢測(cè)內(nèi)容： 察看是否禁止 SCHEDULE 服務(wù)。 檢測(cè)內(nèi)容： ? 常用的服務(wù)和組件：證書服務(wù)、群集服務(wù)、索引服務(wù)、 IIS、管理和監(jiān)視工具、消息排隊(duì)服務(wù)、 網(wǎng)絡(luò)、連接服務(wù)（ DNS,WINS 等）、遠(yuǎn)程安裝服務(wù)、遠(yuǎn)程存儲(chǔ)服務(wù)、腳本調(diào)試器、終端服務(wù)和終端、許可程序、媒體服務(wù)、 IE 中禁止運(yùn)行 ActiveX,JavaApplets，Cookies 寫入權(quán)限等 ? 服務(wù)說明請(qǐng)參考“控制面板 ?管理工具 ?服務(wù)”中的描述 建議操作： ? 請(qǐng)單擊“控制面板”中的“管理工具”，然后根據(jù)具體要求，選擇啟用或禁用服務(wù)和組件。 德信誠 培訓(xùn)網(wǎng) 更多免費(fèi)資料下載請(qǐng)進(jìn)： 好好學(xué)習(xí)社區(qū) SNMP 服務(wù)安全策略 編號(hào)： 3017 名稱： 限制對(duì) SNMP 的訪問 重要 等級(jí)： 中 基本信息： 開啟 SNMP 服務(wù)會(huì)導(dǎo)致信息泄漏的安全問題，對(duì)沒有必要網(wǎng)管的設(shè)備建議關(guān)閉該服務(wù)。在主機(jī)上需要遵守下面的安全策略。 建議操作： ? 打開控制面板 ?管理工具 ?服務(wù) ? 察看 SNMP 服務(wù)的屬性，在 Security 標(biāo)簽下，增加可以訪問本機(jī) SNMP 服務(wù)的主機(jī)的IP地址，同時(shí)，修改具有讀取權(quán)限和寫入權(quán)限的缺省字符串。 德信誠 培訓(xùn)網(wǎng) 更多免費(fèi)資料下載請(qǐng)進(jìn)： 好好學(xué)習(xí)社區(qū) 編號(hào)： 3018 名稱： 隱含最后登陸用戶名 重要等級(jí)： 中 基本信息： Windows NT/2020 在缺省情況下最后登陸的用戶名，使得攻擊者可以猜測(cè)系統(tǒng)內(nèi)的用戶信息。 建議操作： ? Win2020 系統(tǒng)：?jiǎn)⒂谩氨镜匕踩呗?|本地策略 |安全選項(xiàng) |屏幕上不顯示上次登陸的用戶名” ? windowsNT： ? 打開注冊(cè)表管理器 regedit ? 打開 HKEY_LOCAL_MACHINE/SOFTWARE/MICROSOFT/Windows NT/Current Version/Winlogon ? 清空“ DefaultDomainName”和“ DefaultUserName”鍵值 操作結(jié)果： 隱含最后登陸用戶名不會(huì)對(duì)系統(tǒng)造成任何不良的影響。 同時(shí)防止用戶對(duì)遠(yuǎn)程終端服務(wù)口令進(jìn)行自動(dòng)化的腳本猜測(cè)。 建議操作： ? Win2020：設(shè)置“本地安全策略 |本地策略 |安全選項(xiàng) |用戶試圖登錄時(shí)消息文字” ? WinNT： ? 打開注冊(cè)表管理器 regedit ? HKEY_LOCAL_MACHINE\SOFTWARE\MICROSOFT\WindowsNT\Current Version\Winlogon\ ? 修改“ LegalNoticeCaption”鍵值為警告信息。 編號(hào)： 3020 名稱： 從登陸對(duì)話框中刪除關(guān)機(jī)按鈕 重要等級(jí)： 高 基本信息： 如果在登陸界面上出現(xiàn) “ 關(guān)機(jī) ” 按鈕的話，所有能夠接觸到該主機(jī)的用戶都可以關(guān)閉機(jī)器，這是及其危險(xiǎn)的，因此建議在登陸界面上刪除 “ 關(guān)機(jī) ” 按鈕。 建議操作： ? Win2020：停用“本地安全策略 |本地策略 |安全選項(xiàng) |允許為登錄前關(guān)機(jī)” ? WinNT： ? 打開注冊(cè)表管理器 regedit ? HKEY_LOCAL_MACHINE\SOFTWARE\MICROSOFT\WindowsNT\Current Version\Winlogon\ ? 修改“ ShutdownWithoutLogon”鍵值為 0。 編號(hào)： 3021 名稱 ： 阻止未授權(quán)訪問注冊(cè)表 重要等級(jí)： 高 基本信息： 注冊(cè)表編輯器支持遠(yuǎn)程 Windows NT 注冊(cè)表訪問。 檢測(cè)內(nèi)容： 德信誠 培訓(xùn)網(wǎng) 更多免費(fèi)資料下載請(qǐng)進(jìn)： 好好學(xué)習(xí)社區(qū) 檢測(cè)注冊(cè)表 Hive HKEY_LOCAL_MACHINE\SYSTEM Key \CurrentControlSet\Control\SecurePipeServers Name \winreg 在該鍵值中設(shè)置的安全權(quán)限定義哪些用戶或組可以連接到系統(tǒng)以便對(duì)注冊(cè)表進(jìn)行遠(yuǎn)程訪問。 Windows NT Server 只 允 許 管 理 員 遠(yuǎn) 程 訪 問 絕 大 多 數(shù) 注 冊(cè) 表 。 建議操作： 1. 添加上述注冊(cè)表鍵值，限制對(duì)遠(yuǎn)程注冊(cè)表的訪問。（ windows2020默認(rèn)打開） 操作結(jié)果： 上述設(shè)置限制了對(duì)注冊(cè)表的遠(yuǎn)程訪問，不會(huì)對(duì)系統(tǒng)造成任何不良的影響。 檢測(cè)內(nèi)容： 檢測(cè)注冊(cè)表下面的內(nèi)容： 注冊(cè)表路徑： HKEY_Local Machine\SOFTWARE\Microsoft\Widows\CurrentVersion\ 鍵名 缺省權(quán)限 能啟動(dòng)代碼執(zhí)行的值 Run Everyone 設(shè)置值 任意 RunOnce Server Operators 設(shè)置值 任意 RunOnceEx Everyone 設(shè)置值 任意 AeDebug Everyone 設(shè)置值