精华区 [关闭][返回]
当前位置:网易精华区>>讨论区精华>>网络专区>>● ADSL>>
〓 宽 带 基 础 技 术 〓
>>NT安全设置(很旧的文章)作参考

主题:NT安全设置(很旧的文章)作参考
发信人: gualaguala(大笨象)
整理人: gzcsl(2002-03-26 17:30:56), 站内信件
TCP/IP设置:
1、 TCP/IP安全策略
 

特点:简单、方便,系统已经集成,可以单独对一块网卡进行设置;
缺点:不灵活;只有允许,没有禁止;
这些设置的允许和禁止,跟Firewall、IDS等的允许和禁止有所不同。
端口如果没有在允许的范围内,表示不能在相应的端口上绑定服务(Bingding,或叫监听),
但是用来通讯还是可以的,这在Firewall、IDS中是不允许的。

在上例中,(参见:服务/应用对应端口)
TCP允许:2433,5631(pcAnywhere);
UDP允许:5632(pcAnywhere);
IP协议:6(TCP),17(UDP);

2、 删除不必要的网络服务
 

3、 不在TCP/IP 上绑定NetBIOS协议
 

4、 取消IP转发
 

 

5、 TCP/IP注册表设置
SynAttackProtect
位置: Tcpip\Parameters
类型: REG_DWORD
范围: 0, 1, 2
0  没有保护
1  当TcpMaxHalfOpen 和 TcpMaxHalfOpenRetried 设置条件满足时,减少重发尝试和 延迟
RCE (route cache entry) 建立。
2  in addition to 1 a delayed indication to Winsock is made.) 

注意:当系统检测到被攻击时,下面的socket参数将会无效:Scalable windows (RFC 1323
) 和每个网络接口的TCP 参数 (Initial RTT, window size)。这是因为当系统处于保护状态
下时,在SYN-ACK被成功发送之前,不会查询 route cache entry 和Winsock 参数无效.

默认值: 0 (False)
建议值: 2
说明: Synattack 保护会减少SYN-ACKS,重发的次数, 这样就加速了资源被重新的时间; r
oute cache entry 延迟分配,直到连接建立;假如synattackprotect 设为 2, AFD也会被延
时直到三次握手完成。需要注意的是这个保护机制只会在TcpMaxHalfOpen 和TcpMaxHalfOpe
nRetried 的值超过时才生效。

TcpMaxHalfOpen
位置:Tcpip\Parameters
类型:REG_DWORD
范围:100–0xFFFF
默认值: 100 (Professional, Server), 500 (advanced server)
建议值: 默认设置
说明: 这个参数控制在SYN-ATTACK 保护之前,处于SYN-RCVD 状态的连接允许最大数目。如
果SynAttackProtect 设为 1, 确认该值小于AFD Backlog 参数的值(参见 AFD Backlog 参数
) 。

TcpMaxHalfOpenRetried
位置:Tcpip\Parameters
类型:REG_DWORD
范围:80–0xFFFF
默认值:80 (Professional, Server), 400 (Advanced Server)
建议值: 默认设置
说明:这个参数控制在SYN-ATTACK 保护之前,处于SYN-RCVD 状态并已尝试重发的连接允许
最大数目。

EnablePMTUDiscovery
位置:Tcpip\Parameters
类型:REG_DWORD—Boolean
范围:0, 1 (False, True)
默认值:1 (True)
建议值:0
说明:设置为1时,系统会尝试在到达目的路径上寻找最大的MTU值。当设置为0时,系统会在
非内部网络上使用固定的MTU值(576 byte)。

NoNameReleaseOnDemand
位置:Netbt\Parameters
类型:REG_DWORD
范围:0, 1 (False, True)
默认值:0 (False)
建议值:1
说明:这个参数决定系统收到一个NetBIOS 名字解释请求时,是否进行名字解释。管理员可
以设置该值,以防止系统被恶意者攻击。 

EnableDeadGWDetect
位置:Tcpip\Parameters
类型:REG_DWORD
范围:0, 1 (False, True)
默认值:1 (True)
建议值:0
说明:设置为1时, TCP 允许检查无效网关。当默认网关无效时,备份网关将会替代默认网关
,备份网关在TCP/IP协议属性里的“高级”进行设置。

KeepAliveTime
位置:Tcpip\Parameters
类型:REG_DWORD (毫秒)
范围:1–0xFFFFFFFF
默认值:7,200,000 (two hours)
建议值:300,000
说明:这参数控制TCP间隔多长的时间去发送一个keep-alive 数据包,去验证一个空闲的连
接是否存活。如果远程系统仍然存活,它会对这个keep-alive应答。默认情况下, Keep-al
ive 数据包不会被发送,需要程序启用该功能。

PerformRouterDiscovery
位置:Tcpip\Parameters\Interfaces\
类型:REG_DWORD
范围:0,1,2
0 (无效)
1 (有效)
2 (DHCP 发送的路由发现有效)
默认值:2.
建议值:0
说明:控制是否进行路由发现。

EnableICMPRedirects
位置:Tcpip\Parameters
类型:REG_DWORD
范围:0, 1 (False, True)
默认值:1 (True)
建议值:0 (False)
说明:控制系统从一个网络设备处收到一个ICMP 重定向消息时,是否修改自身的路由表。

系统设置
1、 使用NTFS磁盘文件格式
使用CONVERT命令转换为NTFS磁盘文件格式
CONVERT 卷名 /FS:NTFS [/V]

2、 关闭NTFS 8.3文件格式的支持
NtfsDisable8dot3NameCreation
位置:HKEY_LOCAL_MACHINE\SYSTEM
类型:REG_DWORD
范围:0, 1 (False, True)
默认值:0 (False)
建议值:1 (True)

3、 删除OS/2 和POSIX 子系统
位置:HKEY_LOCAL_MACHINE\SOFTWARE  
键值:\Microsoft\OS/2 Subsystem for NT  
操作:删除所有子键

位置:HKEY_LOCAL_MACHINE\SYSTEM  
键值:\CurrentControlSet\Control\Session Manager\Environment  
名称:Os2LibPath
操作:删除Os2LibPath

位置:HKEY_LOCAL_MACHINE\SYSTEM  
键值:\CurrentControlSet\Control\Session Manager\SubSystems  
操作:删除Optional,Posix 和OS/2

4、 禁用LanManager 身份验证
Windows NT Servers Service Pack 4 和后续的版本都支持三种不同的身份验证方法:

l LanManager (LM) 身份验证;
l Windows NT (也叫 NTLM) 身份验证;
l Windows NT Version 2.0 (也叫NTLM2) 身份验证;

默认的情况下,当一个客户尝试连接一台同时支持LM 和 NTLM 身份验证方法的服务器时,L
M 身份验证会优先被使用。基于安全的理由,所以建议禁止LM 身份验证方法。

1. 打开注册表编辑器;
2. 定位到 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa;
3. 选择菜单“编辑”,“添加数值”;
4. 数值名称中输入:LMCompatibilityLevel ,数值类型为:DWORD,单击 确定;
5. 双击新建的数据,并根据具体情况设置以下值:
0 - 发送 LM 和 NTLM响应;
1 - 发送 LM 和 NTLM响应;
2 - 仅发送 NTLM响应;
3 - 仅发送 NTLMv2响应;(Windows 2000有效)
4 - 仅发送 NTLMv2响应,拒绝 LM;(Windows 2000有效)
5 - 仅发送 NTLMv2响应,拒绝 LM 和 NTLM;(Windows 2000有效)
6. 关闭注册表编辑器;
7. 重新启动机器;

需要获得更多的信息,请参阅: http://support.microsoft.com/support/kb/articles/q1
47/7/06.asp

5、 拒绝guest 用户访问事件日志
在事件日志里,可能存放着一些重要的信息,而且在默认的情况下,Guests和匿名用户是可
以查看事件日志的 , 所以我们必须禁止Guests和匿名用户访问事件日志:

1. 打开注册表编辑器;
2. 定位到 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\EventLog\ 
3. 选择Application 子目录;
4. 选择菜单“编辑”,“添加数值”;
5. 数值名称中输入:RestrictGuestAccess,数值类型为:DWORD,单击 确定;
6. 双击新建的数据,并设置其值为1 ;
7. 对子目录Security 和 System 重复4-6步骤;

6、 删除所有默认共享
位置:HKEY_LOCAL_MACHINE\SYSTEM
键值:CurrentControlSet\Services\LanmanServer\Parameters
名字:AutoShareServer
类型:REG_DWORD
 值:0 

7、 取消显示最后登录用户
位置:HKEY_LOCAL_MACHINE\SOFTWARE
键值:\Microsoft\Windows NT\Current Version\Winlogon
名称:DontDisplayLastUserName
类型:REG_SZ
 值:1

8、 设置密码长度

9、 启用密码复杂性要求
Windows NT 4.0 Service Pack 2 及后续版本包含了一个密码筛选器 DLL 文件 (Passfilt.
dll) ,可以加强用户的更强密码要求。Passfilt.dll 提供加强的安全,可以防范外来侵入
者的“密码猜测”或“字典攻击”。 

l 密码不得少于 6 个字符。(在域的“密码策略”中设置更大值可以进一步提高最小密码长
度)。
l 密码必须包含下列 4 类字符中至少 3 类的字符:
- 英语大写字母 A-Z
- 英语小写字母 a-z
- 阿拉伯数字 0-9
- 非文字数字(“特殊字符”)如标点符号
l 密码不能包含用户名和全名的任意部分。

要使用 Passfilt.Dll,管理员必须在所有域控制器的系统注册表中配置密码筛选 DLL。

1. 打开注册表编辑器 (regedt32.exe, 不要使用regedit.exe);
2. 定位到 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa;
3. 双击 "Notification Packages";
4. 把 PASSFILT 加到新的行 (里面可能包含FPNWCLNT 等其他值)。单击 确定;
5. 关闭注册表编辑器;
6. 重新启动机器; 

使用 域用户管理器不受这个设置的影响;


10、 运行SYSKEY工具,启用帐号数据
运行命令:syskey

11、 重命名Administrator帐号
12、 启用Administrator帐号网络锁定
passprop /complex /adminlockout

13、 拒绝未认证用户(匿名)访问注册表
位置:HKEY_LOCAL_MACHINE\SYSTEM  
键值:\CurrentControlSet\Control\SecurePipeServers  
名称:\winreg

14、 拒绝 Anonymous 帐号(NULL Session)访问
不允许匿名列举用户名、共享名。Service Pack 3 开始提供这个设置。

位置:HKEY_LOCAL_MACHINE\SYSTEM
键值:CurrentControlSet\Control\LSA
名称:RestrictAnonymous
类型:REG_DWORD
 值:1  

15、 检查注册表访问权限
检查以下注册表的访问权限:
位置:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion
\Run
\RunOnce
\RunOnceEx

位置:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion
\AeDebug
\WinLogon\GinaDLL
\WinLogon\Userinit

16、 修改“从网络访问此计算机”权限分配
17、 设置审核规则
18、 启用SAM 访问审核
1. 确定启用审核,如未启用,可以使用“域用户管理器”启动审核 ;
2. 确认启动schedule,如未启动,使用以下命令启动该服务:

C:\> net start schedule 

3. 命令行使用At 命令添加任务:

C:\> at <时间> /interactive "regedt32.exe" 

4. 然后Regedt32.exe会以系统帐号启动。
5. 选择 HKEY_LOCAL_MACHINE 窗口;
6. 选择 SAM 并从“安全”菜单选择“审核”,如下图;
 
7. 单击“添加”,然后“显示用户”;
8. 添加如下帐号:
- SYSTEM
- Domain Admins
- Administrator
- Backup Operators

其他拥有以下权限的帐号:
- Take ownership of files or other objects(取得文件或其他对象的所有权)
- Back up files and directories(备份文件和目录)
- Manage auditing and security log(管理审核和安全日志)
- Restore files and directories(还原文件和目录)
- Add workstations to domain(域中添加工作站)
- Replace a process level token(替换进程级记号)
单击“确定”;

9. 选中 "审核已有子项的权限"; 
10. 为下面设置“成功”和“失败”的审核:
- Query Value(查询数值)
- Set Value(设置数值)
- Write DAC(写入DAC)
- Read Control(读取控制)
 

11. 单击“确定”。单击“是”。
12. 停止schedule服务;
C:\> net stop schedule

19、 移动常用/危险工具,并设置访问权限
xcopy.exewscript.execscript.exenet.exeftp.exetelnet.exe arp.exeedlin.exeping.exe
route.exeat.exe finger.exeposix.exersh.exeatsvc.exeqbasic.exerunonce.exe syskey.
execacls.exeipconfig.exercp.exesecfixup.exe nbtstat.exerdisk.exe debug.exeregedt
32.exeregedit.exeedit.comnetstat.exetracert.exe nslookup.exerexec.execmd.exe




----
   
[关闭][返回]