windows加固-文件权限

文件权限

隐藏重要文件

原因：
为了保护电脑中的隐私或者重要文件，会把文件隐藏起来，防止他人查看,但是只要在计算机中设置显示隐藏文件，他人仍可以可以查看，修改注册表，即使用户设置了显示隐藏文件也无法看到被隐藏的文件。

配置：
单击开始菜单,打开运行，输入"regedit" ，依次展开: “HKEY_ LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL”，到"CheckedValue" 项双击打开CheckedValue,设置数值数据的值为"0”， 确定后退出注册表即可。

开启审核功能来记录文件的删除操作

原因：
记录windows中某些被异常删除，打包的文件。方便排查入侵活动。
配置：
1.配置组策略
开始菜单选择“运行” 输入"gpedit.msc" 打开‘组策略编辑器” ， 依次定位到[计算机配置] – [Windows设置] – [安全设置] – [高级审核策略配置] – [系统审核策略] – [对象访问]，双击右侧的[审核文件系统]，勾选[定义这些策略设置]及[成功]项，[失败]项不需要打勾。
2.添加审核目录
右键单击需要审核的文件夹，选择[属性]，然后切换到[安全]标签，单击
[高级]按钮，在新对话框中切换到[审核]标签，添加要审核的用户、组，在[审核项目]中勾选和删除相关的项目。需要审核everyone对于该文件夹和子文件夹的删除动作,例如，在测试环境中的C:\test配置如下:右键单击目录C:\test,选择[安全] -> [高级] ,选择[审核]，而后添加，针对主体[everyone]，审核高级权限中的[删除子文件夹及文件]，[删除] 2条。
3、测试， 删除C:\tmp\testfile.txt， 随后在安全日志找到事件记录，显示administrator用户通过explorer.exe进行了操作。

共享文件夹及访问权限

前言
①C$、D$等:允许管理人员连接到驱动器根目录下的共享资源。
②ADMIN$:计算机远程管理期间使用的资源。该资源的路径总是系统根目录路径(安装操作系统的目录，C:\Windows)。
③IPC$:共享命名管理的资源，在程序之间的通信过程中，该命名管道起着至关重要的作用。在计算机的远程管理期间，以及在查看计算机的共享资源时使用IPC$。不能删除该资源。
④系统重新启动后，被删除的特殊共享资源将会重新建立。因此，为保证不会出现特殊共享资源攻击，应使用批处理的方式在系统重启时自动进行删除操作。

共享文件夹授权访问
配置：
每个共享文件夹的共享权限仅限于业务需要，不要设置成为Everyone。打开控制面板>管理工具>计算机管理，在共享文件夹中，查看每个共享文件夹的共享权限。
关闭共享文件
共享文件：
Windows系统安装好后，为为便于远程管理，系统会创建一些隐蔽的特殊共享资源，如ADMIN$、C$、IPC$等, 这些共享资源在"我的电脑”中是不可见的。非域环境中，关闭Windows硬盘默认共享提高系统安全性能。关闭或删除系统中特殊共享资源，将影响系统提供的文件共享服务、打印共享服务等网络服务,删除前应仔细确认Windows Server操作系统所扮演的角色，是作为单独的桌面操作系统使用，还是作为网络操作系统提供各种网络服务使用

原因：
防止攻击者利用系统默认共享如: C$、 D$等，非法对系统的硬盘进行访问，以及通过IPC$方式暴力破解帐户和密码。

配置：
在"命令提示符”窗口中，输入‘'net share" 命令查看共享资源:
输入"net share ADMIN$ /delete"命令，删除ADMIN$共享资源，
输入"net share C$ /delete"令,删除C$共享资源。
输入"net share"命令,验证是否已删除ADMIN$,C$共享资源:
3、IPC$共享资源不能被net share命令删除，须利用注册表编辑器来
对它进行限制使用。打开“运行”对话框，输入"regedit" 命令，打开注册表编辑器，找到组键HKEY_ LOCAL _MACHINE\SYSTEM\CurrentControlSet\ Control\Lsa中的restrictanonymous子键，将其值改为1,如果没有这个子键，则新建它,此时一个匿名用户仍然可以空连接到IPC$共享，但无法通过这种空连接列举SAM账号和共享信息的权限（枚举攻击）