【正文】 RTT、窗口大?。? ? EnableDeadGWDetect ? 類型： REG_DWORD ? 推薦值： 0 ? 描述： 當鍵值為 1 時，允許 TCP 做網(wǎng)關失效檢測（ deadgateway detect） ,當出現(xiàn)大量連接時會自動切換到后備網(wǎng)關，而使攻擊者可以利用這個特性使系統(tǒng)切換到他們所希望的網(wǎng)關。設置為 0 時，攻擊不能迫使系統(tǒng)切換到他們所希望的 德信誠 培訓網(wǎng) 更多免費資料下載請進： 好好學習社區(qū) 網(wǎng)關。 ? EnablePMTUDiscovery ? 類型： REG_DWORD ? 推薦值： 0 ? 描述：鍵值設為 1 時， Tcp 會發(fā)現(xiàn)傳輸路徑上的最大傳輸單元（ MTU），這樣就消除傳輸路徑上的分片。因為分片可以影響 TCP 的吞吐量并引起網(wǎng)絡擁塞。當設為 0 時，就只使用 576 字節(jié)的 MTU 來連接所有的非本地子網(wǎng)主機，防止攻擊者強制將 MTU 限制為小的值而使 TCP 堆棧負擔過重而崩潰。 ? KeepAliveTime ? 類型： REG_DWORD ? 推薦值： 300000（ 5分鐘） ? 描述：控制 TCP 多長時間發(fā)一個 keepalive 分組去確認某個空連接是否完 整。如果遠程系統(tǒng)仍然可達而且工作，則保持該傳輸?shù)倪B接。缺省情況下不發(fā)送 keepalive 分組，往往由應用程序打開。 ? 該設置時缺省設置，作用于所有接口 ? 對于用于管理或者冗余的適配器，該值應該更大一些。 ? \Interfaces\NoNameReleaseOnDemand ? 類型： REG_DWORD ? 推薦值： 1 ? 描述：設為 1決定計算機收到網(wǎng)絡上的名字發(fā)布請求（ NameRelease）時，計算機不發(fā)布其 NETBIOS 名字。 ? \Interfaces\PerformRouterDiscovery 未發(fā)現(xiàn) 德信誠 培訓網(wǎng) 更多免費資料下載請進： 好好學習社區(qū) ? 類型： REG_DWORD ? 推薦值： 0 ? 描述：設為 0 可以禁止 Windows 2020/NT 基于每個接口進行路由器發(fā)現(xiàn)（ RFC 1256 討論這個問題），所以可以防止偽造的路由器攻擊（ Router Spoofing）。 ? EnableICMPRedirects ? 類型： REG_DWORD ? 推薦值： 0 ? 描述：禁止 ICMP 復位向。 ? IPEnableRouter ? 類型： REG_DWORD ? 推薦值： 0 ? 描述：禁止轉(zhuǎn)發(fā)路由。 ? EnableSecurityFilters ? 類型： REG_DWORD ? 推薦值： 0 ? 描述：禁止 IP 過 濾。 操作結(jié)果： 上述設置加固 TCP/IP 堆棧，應付 DoS 的攻擊，不會對系統(tǒng)造成任何不良的影響。 IP 路由轉(zhuǎn)發(fā) 編號： 3024 名稱： 禁用 IP 路由轉(zhuǎn)發(fā) 重要等級： 中 德信誠 培訓網(wǎng) 更多免費資料下載請進： 好好學習社區(qū) 基本信息： 如果啟用路由，將可能發(fā)生在 Intra 和 Inter 之間傳遞數(shù)據(jù)的危險。 該危險存在于多網(wǎng)卡系統(tǒng)主機上。 檢測內(nèi)容： 打開 “ 控制面板 ” － “ 網(wǎng)絡 ” － “ 協(xié)議 ” － “TCP/IP 協(xié)議 ” － “ 屬性 ” － “ 路由 ” ，查看在 “ 啟用 IP轉(zhuǎn)發(fā) ” 復選框前是否被選中，如果選中則代表該主機會啟用 IP轉(zhuǎn) 發(fā)。 建議操作： 若要禁用路由，打開 “ 控制面板 ” － “ 網(wǎng)絡 ” － “ 協(xié)議 ” － “TCP/IP 協(xié)議 ” － “ 屬性 ”－ “ 路由 ” 然后清除 “ 啟用 IP 轉(zhuǎn)發(fā) ” 復選框。 操作結(jié)果： 如果系統(tǒng)并不承擔 IP路由轉(zhuǎn)發(fā)工作，禁用 IP 路由轉(zhuǎn)發(fā)不會對系統(tǒng)造成任何不良的影響。 主機上 DNS 服務的安全增強（ NT、 2020 Server 自帶的 DNS 服務） 描述：在 DNS 客戶 /服務器模型中，通過設置轉(zhuǎn)發(fā)，限制區(qū)域文件傳輸?shù)确绞皆鰪姲踩阅堋? 編號： 3025 名稱： 限制區(qū)域文件 傳輸 重要等級： 高 基本信息： 德信誠 培訓網(wǎng) 更多免費資料下載請進： 好好學習社區(qū) ? DNS 服務器提供區(qū)域文件傳輸功能，一般用在主 DNS 和輔 DNS 服務器之間進行數(shù)據(jù)同步的情況。如果網(wǎng)絡中只有一個 DNS 服務器，應該禁止該功能；如果存在輔 DNS 服務器，應該限制區(qū)域文件傳輸?shù)?DNS 服務器范圍。 檢測內(nèi)容： ? 檢測方式參考下面“建議部分”的內(nèi)容 建議操作： ? 選擇 —— 程序 —— 管理工具 —— DNS 選項，打開 DNS 管理器，連接到需要配置的 DNS服務器后，選擇需要限制區(qū)域傳輸?shù)挠?，鼠標右鍵菜單中選擇屬性選項，在區(qū)域復制面板中設置允許主機的 IP 地址。 操作結(jié)果： 限制區(qū)域文件傳輸，不會對系統(tǒng)造成任何不良的影響。 Windows 主機上 WWW 服務的安全增強（ IIS 5） 描述： IIS 是 Windows 組件，此組件可以很容易將信息和業(yè)務應用程序發(fā)布到 Web。 IIS版本和安裝最新的補丁 編號： 3026 名稱： 及時升級最新的 IIS 版本和安裝最新的補丁 重要等級： 高 基本信息： IIS 的漏洞已經(jīng)成為危害 Windows 系統(tǒng)的主要安全隱患，解決 IIS 安全漏洞的最直接的 德信誠 培訓網(wǎng) 更多免費資料下載請進： 好好學習社區(qū) 辦法就是及時的升級 IIS 版本和安裝最新的安全補丁。同時， 可以在 bulletin/ 上預定 Microsoft 安全通知服務，以便及時知道有關 Microsoft 安全問題 和修補程序的信息。 檢測內(nèi)容： 檢測是否按安裝了最新的 IIS 版本和最新的補丁 建議操作：升級的操作 1. 打開 Inter Explorer。 2. 導航到 3. 從“收藏”菜單中選擇“添加到收藏夾”。 4. 選中“允許脫機使用”復選框。 5. 單擊“自定義”。 6. 在“脫機收藏夾向?qū)А敝袉螕簟跋乱徊健薄? 7. 選中“是”選項按鈕并指定下載與該頁鏈接的 2 層網(wǎng)頁。 8. 單擊“下一步”。 9. 選中“創(chuàng)建新的計劃”選項按鈕，然后單擊“下一步”。 10. 接受默認設置，再單擊“下一步”。 11. 單擊“完成”。 12. 單擊“確定”。 13. 從“收藏”菜單中選中“整理收藏夾”。 14. 在“整理收藏夾”對話框中選擇“ Microsoft TechNet Security”快捷方式。 15. 單擊“屬性”。 德信誠 培訓網(wǎng) 更多免費資料下載請進： 好好學習社區(qū) 16. 單擊“ Microsoft TechNet Security 屬性”對話框的“下載”選項卡。 17. 取消選中“跟蹤本頁 Web 站點之外的鏈接”復選框。 18. 單擊“確定”，然后單擊“關閉”。 操作結(jié)果： 及時升級 IIS 安全補丁有助于提高整個操作系統(tǒng)安全性，并避免 WEB 信息被篡改。 編號： 3027 名稱： 啟用日志記錄 重要等級： 高 基本信息： 查看服務器是否正在受到攻擊，日志將非常重要 。 檢測內(nèi)容： 客戶 IP 地址， 用戶名， 方法， URI 資源 ， HTTP 狀態(tài)， Win32 錯誤， 用戶代理， 服務器 IP 地址， 服務器端口 建議操作： 1. 加載 Inter Information Services 工具。 2. 右鍵單擊懷疑有問題的站點，然后從上下文菜單中選擇 “ 屬性 ” 。 3. 單擊 “ 網(wǎng)站 ” 選項卡。 4. 選中 “ 啟用日志 ” 復選框。 5. 從 “ 活動日志格式 ” 下拉列表中選擇 “W3C 擴展日志文件格式 ” 。 德信誠 培訓網(wǎng) 更多免費資料下載請進： 好好學習社區(qū) 6. 單擊 “ 屬性 ” 并配置日志記錄項。 操作結(jié)果： 啟用日志記錄 不會對系統(tǒng)造成任何不良的影響。 編號： 3028 名稱： 刪除未使用的腳本映射 重要等級： 中 基本信息： IIS 被預先配置成支持常見的文件擴展名，如 .asp 和 .shtm。當 IIS 接收到針對其中某一類型文件的請求時，該調(diào)用由 DLL 進行處理。 檢測內(nèi)容： 刪除下面這些引用： 如果沒有使用 請刪除此項 基于 Web 的密碼重設 .htr 索引服務器 .ida Inter 數(shù)據(jù)庫連接器 （新的網(wǎng)站不使用此連接器；它們使用活動 Active Server Pages 的 ADO） .idc 德信誠 培訓網(wǎng) 更多免費資料下載請進： 好好學習社區(qū) 服務器端包含程序 .shtm、 .stm、 .shtml 建議操作： 1. 打開 Inter 服務管理器。 2. 右鍵單擊 Web 服 務器，然后選擇“屬性”。 3. 單擊“主屬性”。 4. 選擇“ WWW 服務”，單擊“編輯”，單擊“ HomeDirectory”，然后單擊“配置”。 操作結(jié)果： 刪除未使用的腳本映射 不會對系統(tǒng)造成任何不良的影響。 IIS 服務器上更新根目錄的 CA 證書 編號： 3029 名稱： 在 IIS 服務器上更新根目錄的 CA 證書 重要等級： 高 基本信息： 添加所有信任的新根目錄證書頒發(fā)機構(gòu) (CA) 證書 — 尤其是任何通過使用 Microsoft Certificate Services 創(chuàng)建的新根目錄 CA 證書。 檢測內(nèi)容： 不知道發(fā)布根目錄證書的公司名稱，那么就不應當信任他們，刪除其證書！注意，不要刪除 Microsoft 或 VeriSign 根目錄。操作系統(tǒng)會大量使用它們。 德信誠 培訓網(wǎng) 更多免費資料下載請進： 好好學習社區(qū) 建議操作： 1. 打開 Microsoft Management Console (MMC)。 2. 從 “ 控制臺 ” 菜單中選擇 “ 添加 /刪除管理單元 ” ，然后單擊 “ 添加 ” 。 3. 選擇 “ 證書 ” 并單擊 “ 添加 ” 。 4. 單擊 “ 計算機帳戶 ” 選項按鈕。 5. 單擊 “ 下一步 ” 。 6. 選中所指機器。 7. 單擊 “ 完成 ” 。 8. 單擊 “ 關閉 ” ，再單擊 “ 確定 ” 。 9. 展開證書節(jié)點。 。 操作結(jié)果： 在 IIS 服務器上更新根目錄的 CA 證書不會對系統(tǒng)造成任何不良的影響。 主機上 SQL SERVER 服務的安全增強（ V V2020） 德信誠 培訓網(wǎng) 更多免費資料下載請進： 好好學習社區(qū) 使用安全的密碼策略 編號： 3030 名稱： 使用安全的密碼策略 重要等級： 高 基本信息： SQL Server 的認證模式有 Windows 身份認證和混合身份認證兩種。由于 SQL Server 不能更改 sa 用戶名稱，也不能刪 除這個超級用戶，所以，我們必須對這個帳號進行最強的保護。 檢測內(nèi)容： 數(shù)據(jù)庫管理員新建立一個擁有與 sa 一樣權限的超級用戶來管理數(shù)據(jù)庫。安全的帳號策略還包括不要讓管理員權限的帳號泛濫。 建議操作： 如果數(shù)據(jù)庫管理員不希望操作系統(tǒng)管理員來通過操作系統(tǒng)登陸來接觸數(shù)據(jù)庫的話，可以在帳號管理中把系統(tǒng)帳號“ BUILTIN\Administrators”刪除。不過這樣做的結(jié)果是一旦sa 帳號忘記密碼的話，就沒有辦法來恢復了。 很多主機使用數(shù)據(jù)庫應用只是用來做查詢、修改等簡單功能的，請根據(jù)實際需要分配帳號 ，并賦予僅僅能夠滿足應用要求和需要的權限。比如，只要查詢功能的，那么就使用一個簡單的 public 帳號能夠 select 就可以了。 操作結(jié)果： 使用安全的密碼策略，不會對系統(tǒng)造成任何不良的影響。 德信誠 培訓網(wǎng) 更多免費資料下載請進： 好好學習社區(qū) 編號： 3031 名稱： 加強數(shù)據(jù)庫日志的記錄 重要等級： 中 基本信息： 審核數(shù)據(jù)庫登錄事件的“失敗和成功”，在實例屬性中選擇“安全性”，將其中的審核級別選定為全部，這樣在數(shù)據(jù)庫系統(tǒng)和操作系統(tǒng)日志里面，就詳細記錄了所有帳號的登錄事件。 檢測內(nèi)容： 審核數(shù)據(jù)庫登錄事件的 “失敗和成功”， 建議操作：