安全配置笔记20211016

屏保密码
“控制面板”—>“外观和个性化”—>“个性化”—>“屏幕保护程序”

文件分区权限

远程连接

Microsoft网络客户端 Microsoft网络的文件和打印机共享 卸载
禁用TCP/IP上的NETBIOS”

网络和共享中心 关闭所有共享

入站规则 端口 出站icmp

Application Layer Gateway Service（为应用程序级协议插件提供支持并启用网络/协议连接）
Background Intelligent Transfer Service（利用空闲的网络带宽在后台传输文件。如果服务被停用，例如Windows Update 和 MSN Explorer的功能将无法自动下载程序和其他信息）
Computer Browser（维护网络上计算机的更新列表，并将列表提供给计算机指定浏览,默认已经禁用 ）
--DHCP Client
--Diagnostic Policy Service
Distributed Link Tracking Client (用于局域网更新连接信息 )
Distributed Transaction Coordinator
Print Spooler（管理所有本地和网络打印队列及控制所有打印工作）
Remote Registry（使远程用户能修改此计算机上的注册表设置）
Server（不使用文件共享可以关闭，关闭后再右键点某个磁盘选属性，“共享”这个页面就不存在了）
Shell Hardware Detection
TCP/IP NetBIOS Helper（提供 TCP/IP (NetBT) 服务上的NetBIOS 和网络上客户端的NetBIOS 名称解析的支持，从而使用户能够共享文件、打印和登录到网络）
--Task Scheduler（使用户能在此计算机上配置和计划自动任务）
Windows Remote Management(47001端口，Windows远程管理服务，用于配合IIS管理硬件，一般用不到)
Workstation（创建和维护到远程服务的客户端网络连接。如果服务停止，这些连接将不可用.泄漏系统用户名列表 与Terminal Services Configuration 关联）
Net Logon 域控制器通道管理 默认已经手动
Remote Procedure Call (RPC) Locator RpcNs*远程过程调用 (RPC) 默认已经手动
同步主机_xxx

设备 关自动播放

lm sys ccs services onesyncsvc userdatasvc stat 4

windows组件 自动更新
安全设置–>本地策略–>安全选项
交互式登陆：不显示最后的用户名　　　　　　　启用
网络访问：不允许SAM帐户的匿名枚举　　 　　 启用 已经启用
网络访问：不允许SAM帐户和共享的匿名枚举　　 启用
网络访问：不允许储存网络身份验证的密码和凭据　　　启用
网络访问: 将 Everyone 权限应用于匿名用户：已禁用
网络访问：可匿名访问的共享　　　　　　　　　内容全部删除
网络访问：可匿名访问的命名管道　　　　　　　内容全部删除
网络访问：可远程访问的注册表路径　　　　　　内容全部删除
网络访问：可远程访问的注册表路径和子路径　　内容全部删除
帐户：来宾帐户状态 已禁用
帐户: 使用空白密码的本地帐户只允许进行控制台登录：已启用
帐户：重命名来宾帐户　　　　　　　　　　　　这里可以更改guest帐号
帐户：重命名系统管理员帐户　　　　　　　　　这里可以更改Administrator帐号

安全设置–>账户策略–>账户锁定策略，
将账户锁定阈值设为“三次登陆无效”，“锁定时间为30分钟”，“复位锁定计数设为30分钟”。

在“运行”中执行secpol.msc，依次打开“本地策略”-“用户权限分配”。
从网络访问此计算机 只保留“Administrators组”并将其他用户组删除
从远程系统强制关机 只保留“Administrators组”并将其他用户组删除；
关闭系统 只保留“Administrators组”并将其他用户组删除；
取得文件或其它对象的所有权 只保留“Administrators组”并将其他用户组删除；
--通过终端服务拒绝登陆：加入Guests组、IUSR_、IWAM_、NETWORK SERVICE、SQLDebugger
--通过终端服务允许登陆：加入Administrators、Remote Desktop Users组，其他全部删除

计算机配置”-“管理模板”-自动播放

12、更改Administrator，guest账户，新建一无任何权限的假Administrator账户
管理工具→计算机管理→系统工具→本地用户和组→用户
新建一个Administrator帐户作为陷阱帐户，设置超长密码，并去掉所有用户组
更改描述：管理计算机(域)的内置帐户

13、密码策略
选择计算机配置–>Windows设置–>安全设置–>密码策略
启动 密码必须符合复杂性要求
最短密码长度

11、本地策略——>审核策略
审核策略更改 成功 失败
审核登录事件 成功 失败
审核对象访问 失败
审核过程跟踪 无审核
审核目录服务访问 失败
审核特权使用 失败
审核系统事件 成功 失败
审核账户登录事件 成功 失败
审核账户管理 成功 失败

-------------------------------------------------------
本地安全策略—>本地策略—>用户权限分配—>查看并修改，“允许本地登陆”的当前设置。

本地安全策略—>打开“高级安全Windows Defender 防火墙”—>“高级安全Windows Defender 防火墙 – 本地组策略对象”—>单击“Windows Defender 防火墙属性” —>选择“域配置文件”—>“日志”—>“自定义”—>“配置防火墙日志文件路径”。

事件查看器—>配置应用日志、系统日志、安全日志属性中的日志大小（一般最小8192kb，越多越好比如几百兆），以及设置达到最大的日志尺寸时的相应策略。

本地计算机”策略—>用户配置—>管理模板—>“系统”—>双击“阻止访问注册表编辑工具” —>打开“阻止访问注册表编辑工具”属性—>“已启用”。

计算机配置—>管理模板—>Windows组件—>windows更新—>配置自动更新—>“已启用”—>双击“配置自动更新”—>“已启用”—>配置成“自动下载并通知安装”。

关闭CD自动播报
打开注册表编辑器—>进入HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\CDRom将“Autorun”键值设置为“0”Hex
禁止U盘自启动
进入HKEY_CURRENT_User\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer找到“NoDriveTypeAutoRun”（没有自己创建一个）键值数据类型为REG_DWORD，键值为16进制“FF”

“控制面板”—>“管理工具”—>本地安全策略—>“安全选项”—>设置“Microsoft网络服务器：暂停会话前所需的空闲时间数量属性为15min”

控制面板—>“系统”—>在“高级系统设置”选项卡—>高级—> “性能”—>“设置”—>“数据执行保护”—>查看并记录“仅为基本Windows操作系统程序和服务启用DEP”配置状态。

本地组策略编辑器 —>打开“计算机配置”—>“管理模板”—>“Windows组件“—>打开”powershell“—>将”打开WindowsShell转换“配置为”已禁用“。

“计算机配置”—>“管理模板”—>“Windows组件“—>打开”powershell脚本块日志记录“—>配置为”已禁用“。

3.关闭同步主机服务
作用：属于多余的系统启动项，作用不大，关闭后可节省磁盘频繁读取。
使用Win+R—>输入“regedit“—>打开注册表编辑器，HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services—>找到”OneSyncSvc“、”OneSyncSvc_xxx“、”UserDataSvc“、和”UserDataSvc _xxx“—>依次将其中的”start“值该为为4—>退出注册表后重启服务器即可

1.禁用TCP/IP上的NetBIOS(协议所用端口139)
作用：禁用TCP/IP上的NetBIOS协议，可以关闭监听的UDP137、UDP138、UDP139端口。
（1）使用快捷键“Windows+R“—>输入”compmgmt.msc “打开“计算机管理”—>选择“服务和应用程序”—>选择“服务”中的“停用”TCP/IP NetBIOS Helper服务“—>右键打开“属性”—>在启动类型中选择“禁用“。
（2）在网络与共享中心—>打开“本地连接网络“的属性对话框—>取消选择”Micsoft网络的文件和共享打印机“复选框。
（3）在“网络与共享中心“—>打开”本地连接网络的属性“对话框—>选中”Internet协议版本4（TCP/IPV4）“选项—>单击”属性“打开”Internet协议版本4（TCP/IPV4）属性“—>单击”高级“打开”高级TCP/IP设置“—>单击”WINS“选项卡—>选择”禁用TCP/IP上的NetBIOS“。

2、开启审核功能来记录文件删除操作（日志审核记录【记录敏感文件删除操作】）
Windows上某些文件异常删除，打包，配置审核文件系统的功能记录文件操作日志。
目的：通过组策略开启审核功能来让配置审核文件系统的功能排查入侵活动。
（1）配置组策略
使用快捷键“Windows+R”—>输入“gpedit.msc”打开组策略编辑器 —>打开“计算机配置”—>“Windows设置”—>“安全设置”—>“高级审核策略配置”—>“系统审核策略”—>“对象访问”—>双击右侧的“审核文件系统“—>勾选”配置以下审核事件“以及”成功“项，”失败“项不需要打勾—>”确定“。
（2）添加审核目录
右键单击需要审核的文件夹—>选择“属性“—>”安全“—>单击”高级“按钮—>选择”审核“—>添加要审核的用户、组—>在”审核项目“中勾选和删除相关的项目。（需审核everyone对于该文件夹和子文件夹的删除动作）
例如：在测试环境中C：\test配置
选中需要配置的文件test—>右键单击—>选择“属性“—>”安全“—>单击”高级“按钮—>选择”审核“—>添加针对主体”everyone“—>审核高级权限—>勾选“删除子文件夹及文件”—>”删除‘2条—>“确定”—>“确定”。

1、隐藏重要文件* （修改注册表后不可查看隐藏文件）
作用：保护电脑隐私或重要文件，让系统更健壮。
使用快捷键“Windows+R”—>输入“regedit” —>打开HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL找到“CheckedValue”项双击打开—>设置数值数据的值为“0” —>确定后退出注册表即可。
双击“计算机”—>在左上角菜单单击“查看”—>“隐藏的项目”。

（1）开启防火墙
??通过GP建立建议的配置
使用“win+r“，输入”secpol.msc “打开本地安全策略—>在”高级安全Windows防火墙“\高级安全Windows防火墙-本地组策略对象\Windows防火墙属性\域配置文件\防火墙状态—>设置为”已启用“。
（2）入站连接设置为“阻止（默认）”
（3）出站连接设置为“允许（默认）”
（4）防火墙显示通知设置为“否“
使用“win+r“，输入”secpol.msc “打开本地安全策略—>在”高级安全Windows防火墙“\高级安全Windows防火墙-本地组策略对象\Windows防火墙属性\设置\自定义\显示通知设置为”否“。
（5）禁用IPV6
??绝大多数私有企业管理的网络不需要使用IPV6（因为他们可以访问私有IPV4寻址）。
使用Win+r—>输入“regedit“—>打开注册表编辑器，HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\TCPIP6\Parameters—>新建DisabledComponents的DWOED子键，将键值设置为0xff（255）。

1、SYN攻击保护
指定触发SYN洪水攻击保护所必须超过的TCP连接请求数阈值为5；指定处于SYN_RCVD状态的TCP连接数的阈值为500，指定处于至少已发送一次重传的SYN_RCVD状态中的TCP连接数的阈值为400.
使用windows+R打开运行，输入“regedit”打开注册表编辑器—>根据推荐值配置windows service的注册表键值。
实施步骤:
以下部分中的所有项和值均位于以下注册表项目录中
HKEY_ LOCAL MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\，
新建DWORD值，根据站点规则配置。
(1)启用SYN攻击保护的值名称:
值名称: SynAttackProtect, 推荐值: 2;
(2)指定必须在触发SYN flood保护之前超过的TCP连接请求阈值:
值名称:值TcpMaxPortsExhausted,推荐值: 5;
(3)启用SynAttackProtect后，该值指定SYN _RCVD状态中的TCP连接阈值，超过SynAttackProtect时，触发SYN flood保护:
值名称: TcpMaxHalfOpen。推荐值数据: 500;
(4)启用SynAttackProtect后，指定至少发送了-次重传的SYN RCVD状态中的TCP连接阈值。超过SynAttackProtect时，触发SYN flood保护:
值名称: TcpMaxHalfOpenRetried。 推荐值数据: 400.

2、 启用TCP/IP筛选（以关闭139端口为例）（了解，以防火墙为主）
?使用windows+R打开运行，输入“secpol.msc”打开本地安全策略—>“IP安全策略，在本地计算机”—>选中右击“创建IP安全策略”—>在打开的向导中单击“下一步”按钮—>打开“IP安全策略名称”对话框—>在“名称”文本框中输入“我的安全策略”—>“下一步”—>取消选择“激活默认响应规则” —>“下一步”—>“完成”。
??在“规则”选项卡中，取消“使用‘添加向导‘ ”复选框—>单击“添加”打开“新规则 属性”对话框—>“添加”—>在名称文本框输入“屏蔽135端口”—>取消选择“使用添加向导”—>“添加”—>在“地址”选项卡中—>在“源地址”下拉列表框中选择“任何IP地址”—>目标地址中选择“我的IP地址”，“协议”选项卡—>选择“协议类型”为“TCP”，“从任意端口”，“到此端口”—>在其文本框中输入端口号“135” —>“确定”—>选中协议“确定”—>“下一步”—>“下一步”—>“添加”—>“下一步—>“组织”—>“下一步“—>”完成“—>在安全向导中选中”新筛选器操作“—>”下一步“—>”完成“—>”确定“。
? ?选中后，右键选择“分配“。

3、关闭ICMP（禁ping）
使用Win+r，打开命令提示符—>输入“WF.msc“打开高级安全widows防火墙—>选中”入站规则“—>找到并双击”文件和打印机共享（回显请求 – ICMPv4-属性）“—>在”常规“中—>”阻止连接“—>”确定“。

4、 更改远程终端默认3389端口
??使用Win+r—>输入“regedit“—>打开注册表编辑器，修改2个地方
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Terminal Server\Wds\repwd\Tds\tcp
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\TerminalServer\WinStations\repwd\Rdp-Tcp
将上述2个地方右侧PortNumber的值修改成新的端口号（基数为十进制）
设置完成后关闭注册表，重启服务器即可生效（设置防护墙时，将防火墙加入白名单），允许主机接入到虚拟机中的12345端口中。

5、 关闭445，5355端口
445局域网内用来解析机器名的服务端口，一般需要对LAN开放共享；5355本地链路多播名称解析使用端口，用于解析本地网段上的名称。
关闭445端口
使用Win+r—>输入“regedit“—>打开注册表编辑器，HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\NetBT\Parameters—>在右侧右击—>”新建“—>”Dword值“—>名称设置为SMBDeviceEnabled，值为0。
关闭5355端口
使用“win+r“，输入”gpedit.msc“打开本地组策略编辑器—>选择“计算机配置”—>“管理模板”—>“网络”—>“DNS客户端”—>右侧双击“关闭多播名称解析”项—>设置为“已禁用”。

=====================================================
3、修改远程访问服务端口
更改远程连接端口方法，可用windows自带的计算器将10进制转为16进制。更改3389端口为8208，重启生效！
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\Wds\rdpwd\Tds\tcp]
“PortNumber”=dword:0002010
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp]
“PortNumber”=dword:00002010
（1）在开始–运行菜单里,输入regedit,进入注册表编辑,按下面的路径进入修改端口的地方
（2）HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp
（3）找到右侧的 “PortNumber”，用十进制方式显示，默认为3389，改为(例如)6666端口
（4）HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\Wds\rdpwd\Tds\tcp
（5）找到右侧的 “PortNumber”，用十进制方式显示，默认为3389，改为同上的端口
（6）在控制面板–Windows 防火墙–高级设置–入站规则–新建规则
（7）选择端口–协议和端口–TCP/特定本地端口：同上的端口
（8）下一步，选择允许连接
（9）下一步，选择公用
（10）下一步，名称：远程桌面-新(TCP-In)，描述：用于远程桌面服务的入站规则，以允许RDP通信。[TCP 同上的端口]
（11）删除远程桌面(TCP-In)规则
（12）重新启动计算机

禁止默认共享：点击“开始”—“运行”，输入“Regedit”，打开注册表编辑器，打开注册表项“HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters”，在右边的窗口中新建Dword值，名称设为AutoShareServer，值设为“0”。

关闭 445端口：HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NetBT\Parameters，新建 Dword（32位）名称设为SMBDeviceEnabled 值设为“0”

6、防火墙的设置
控制面板→Windows防火墙设置→更改设置→例外，勾选FTP、HTTP、远程桌面服务 核心网络
HTTPS用不到可以不勾
3306：Mysql
1433：Mssql

*关闭5355端口（LLMNR）
LLMNR本地链路多播名称解析，也叫多播DNS，用于解析本地网段上的名称，可以通过组策略关闭将其关闭。
打开“运行”，输入gpedit.msc打开“本地组策略编辑器”，依次选择“计算机配置”-“管理模板”-“网络”-“DNS客户端”，在右侧双击“关闭多播名称解析”项，然后设置为“已禁用”。

*修改Session端口
端口，可编辑HKLM\SYSTEM\CurrentControlSet\Services\aspnet_state注册表项中的Port值。

15、打开UAC
控制面板–>用户账户 打开或关闭用户账户控制

16、程序权限
“net.exe”,“net1.exe”,“cmd.exe”,“tftp.exe”,“netstat.exe”,“regedit.exe”,“at.exe”,“attrib.exe”,“cacls.exe”,“format.com”,“c.exe”
或完全禁止上述命令的执行
gpedit.msc-〉用户配置-〉管理模板-〉系统
启用 阻止访问命令提示符 同时 也停用命令提示符脚本处理
启用 阻止访问注册表编辑工具
启用 不要运行指定的windows应用程序，添加下面的
at.exe attrib.exe c.exe cacls.exe cmd.exe format.com net.exe net1.exe netstat.exe regedit.exe tftp.exe

Windows Web Server 2008 R2服务器简单安全设置

9、重命Administrator和Guest帐户,密码必须复杂。GUEST用户我们可以复制一段文本作为密码，你说这个密码谁能破。。。。也只有自己了。…
重命名管理员用户组Administrators。
10、创建一个陷阱用户Administrator，权限最低。

16、站点方件夹安全属性设置
删除C:\ inetpub 目录。删不了，不研究了。把权限最低。。。禁用或删除默认站点。我这里不删除了。停止即可。一般给站点目录权限为：
System 完全控制
Administrator 完全控制
Users 读
IIS_Iusrs 读、写
在IIS7 中删除不常用的映射 建立站点试一下。一定要选到程序所在的目录，这里是www.postcha.com目录，如果只选择到wwwroot目录的话，站点就变成子目录或虚拟目录安装了，比较麻烦。所以一定要选择站点文件所在的目录，填上主机头。因为我们是在虚拟机上测试，所以对hosts文件修改一下，模拟用域名访问。真实环境中，不需要修改hosts文件，直接解释域名到主机就行。目录权限不够，这个下个教程继续说明。至少，我们的页面已经正常了。

系统日志 防火墙日志 http日志 sql日志

改3389端口