下载文档原格式
Windows 2003服务器安全加固方案sql服务器安全加固安装最新的mdac()5.1 密码策略由于sql server不能更改sa用户名称,也不能删除这个超级用户,所以,我们必须对这个帐号进行最强的保护,当然,包括使用一个非常强壮的密码,最好不要在数据库应用中使用sa帐号。
新建立一个拥有与sa一样权限的超级用户来管理数据库。
同时养成定期修改密码的好习惯。
数据库管理员应该定期查看是否有不符合密码要求的帐号。
比如使用下面的sql语句:use masterselect name,password from syslogins where password is null5.2 数据库日志的记录核数据库登录事件的"失败和成功",在实例属性中选择"安全性",将其中的审核级别选定为全部,这样在数据库系统和操作系统日志里面,就详细记录了所有帐号的登录事件。
5.3 管理扩展存储过程xp_cmdshell是进入操作系统的最佳捷径,是数据库留给操作系统的一个大后门。
请把它去掉。
使用这个sql语句:use mastersp_d ropextendedproc ’xp_cmdshell’注:如果你需要这个存储过程,请用这个语句也可以恢复过来。
sp_addextendedproc ’xp_cmdshell’, ’xpsql70.dll’ole自动存储过程(会造成管理器中的某些特征不能使用),这些过程包括如下(不需要可以全部去掉:sp_oacreate sp_oadestroy sp_oageterrorinfo sp_oagetpropertysp_oamethod sp_oasetproperty sp_oastop去掉不需要的注册表访问的存储过程,注册表存储过程甚至能够读出操作系统管理员的密码来,如下:xp_regaddmultistring xp_regkey xp_regvalue xp_regenumvaluesxp_regread xp_regremovemultistring xp_regwrite5.4 防tcp/ip端口探测在实例属性中选择tcp/ip协议的`属性。
一. 主机操作系统加固策略1.1Windows 2003操作系统加固方案1.1.1系统基本信息1.1.2安全补丁检测及安装实施工程师备注:1.1.3系统用户口令及策略加固实施编号:Topsec—Win2003—1201实施名称:系统用户口令策略加固系统当前状态: 查看系统“本地安全设置”-“帐户策略”中“密码策略”和“账号锁定策略”当前情况:(以下为示例图)实施方案:密码必须符合复杂性要求:启用密码长度最小值8个字符密码最长使用期限:90天强制密码历史:24个记住的密码帐户锁定阀值:3次无效登陆帐户锁定时间:15分钟复位帐户锁定计数器:15分钟之后策略更改后,督促现有用户更改其登陆口令以符合最新策略要求。
实施目的:保障用户账号及口令的安全,防止口令猜测攻击。
实施风险: 账号锁定后15分钟后才解锁。
回退方案恢复默认值是否实施:实施工程师备注:实施编号:Topsec-Win2003—1202实施名称:禁用guest账户权限1.1.4日志及审核策略配置系统当前状态: 在“本地安全策略”-“本地策略"中查看系统“审核策略”:(以下为示例图)实施方案:审核策略更改成功,失败审核登陆事件成功,失败审核对象访问失败审核目录服务访问成功,失败审核特权使用失败审核系统事件成功,失败审核账户登陆事件成功,失败审核帐户管理成功,失败实施目的:对重要事件进行审核记录,方便日后出现问题时查找问题根源。
实施风险:无回退方案恢复默认状态是否实施:实施工程师备注:实施编号:Topsec—Win2003-1302实施名称: 调整事件日志的大小及覆盖策略系统当前状态:日志类型日志大小覆盖策略应用程序日志K 覆盖早于天的日志安全日志K 覆盖早于天的日志系统日志K 覆盖早于天的日志实施方案:日志类型日志大小覆盖策略应用程序日志80000 K 覆盖早于30天的日志安全日志80000 K 覆盖早于30天的日志系统日志80000K 覆盖早于30天的日志其他日志(如存在)80000 K 覆盖早于30天的日志实施目的:增大日志大小,避免由于日志文件容量过小导致重要日志记录遗漏实施风险:回退方案恢复默认设置是否实施:实施工程师备注:1.1.5安全选项策略配置实施编号: Topsec—Win2003-1401实施名称:Microsoft 网络服务器:当登录时间用完时自动注销用户系统当前状态:查看系统当前设置:实施方案:在管理工具->本地安全策略->选择本地策略->选择安全选项-> Microsoft 网络服务器:当登录时间用完时自动注销用户(改成已启用)!实施目的:可以避免用户在不适合的时间登录到系统,或者用户登录到系统后忘记退出登录实施风险: 无回退方案恢复默认设置是否实施:实施工程师备注:实施编号: Topsec—Win2003—1402实施名称:Microsoft 网络服务器:在挂起会话之前所需的空闲时间系统当前状态:查看系统当前设置:实施方案:在管理工具—〉本地安全策略->选择本地策略->选择安全选项—> Microsoft 网络服务器:在挂起会话之前所需的空闲时间(小于等于30分钟)实施目的: 设置挂起会话之前所需的空闲时间为30分钟实施风险:无回退方案无是否实施:实施工程师备注:实施编号:Topsec-Win2003—1403实施名称: Microsoft 网络客户端:发送未加密的密码到第三方SMB服务器系统当前状态:查看系统当前设置:实施方案: 在管理工具—〉本地安全策略-〉选择本地策略—>选择安全选项—〉Microsoft 网络客户端:发送未加密的密码到第三方SMB服务器(禁用)实施目的:禁止发送未加密的密码到第三方SMB服务器实施风险: 无回退方案无是否实施:实施工程师备注:实施编号:Topsec—Win2003-1404实施名称:故障恢复控制台:允许对所有驱动器和文件夹进行软盘复制和访问系统当前状态:查看系统当前设置:实施方案: 在管理工具->本地安全策略—>选择本地策略->选择安全选项—〉故障恢复控制台:允许对所有驱动器和文件夹进行软盘复制和访问(禁用)实施目的:Windows 2003控制台恢复的另一个特性是它禁止访问硬盘驱动器上的所有文件和目录。
windows2003安全配置大全windows2003安全配置大全一直以来,很少在网络上看到关于windows服务器管理的全方面的文章,即使是在windows网络安全设置方面,虽然网络上有着不少的关于这个方面的话题,但是这些文章当中并没有完全彻底的贯彻“最少的服务+最小的权限=最大的安全”这一原则,笔者由于前段时间工作于一家虚拟主机提供商,因工作需要对此进行了深入的探索。
本文所有的环境均是在windows 2000 adv server上测试,因此部分内容可能不适合于windows 2003系统,但是大部分内容是通用的。
这里我们以虚拟主机为例来探讨。
第一部分服务器安全设置安装之前的准备工作很多时候,一部分的安全问题在你将windows安装光盘放入光驱中的时候就已产生,所以,在安装之前我们必须做好一些必要的准备工作。
主要包括安装源和物理介质的安全检查以及服务器的安全规划。
这部分内容主要包括以下几个方面:1.确保你的安装光盘没有任何问题,这里所说的是指光盘内容没有经过第三方加以修改和光盘没有遭到物理损坏。
对于刻录的安装光盘请确认你的源文件安全可靠,尽量使用集成了SP4的安装光盘,以减少后面打补丁的工作量。
2.确保你的硬盘没有任何问题,请尽量使用新硬盘,对于使用过的硬盘应先进行低级格式化。
无论新旧硬盘需要确认硬盘本身没有遭受到病毒感染。
3.规划好系统安装过程与服务器的所需要的程序、服务等并准备好这些安装程序且确保这些安装程序没有任何问题,尽量使用官方提供的安装程序。
规划好硬盘的分区以及各分区的功用。
分区方案建议分四个分区,将系统存放在C盘,应用程序放在D盘,备份文件和一些重要的日志等放在E盘,用户站点等放在F盘中,尽可能少的向系统盘写入非系统文件以减少系统备份的工作量,至于各分区的容量视情况而定。
不要安装任何多余的程序或组件,遵循“最少的服务+最小的权限=最大的安全”原则。
4.完成之后以上工作,对bios进行所需的相关设置,便可以进行安装了,如需要做raid,则需要在安装前完成raid的设置工作。
如何让Windows 2003系统更加安全Windows Server 2003作为Microsoft 最新推出的服务器操作系统,相比Windows 2000/XP 系统来说,各方面的功能确实得到了增强,尤其在安全方面,总体感觉做的还算不错。
但“金无足赤”任何事物也没有十全十美的,微软Windows 2003也是如此,照样存在着系统漏洞、存在着不少安全隐患!无论你用计算机欣赏音乐、上网冲浪、运行游戏,还是编写文档都要不可避免地遭受新病毒泛滥时的威胁,如何让Server 2003更加安全,成为广大用户十分关注的问题。
一、取消IE安全提示对话框面对黑客组织恶意程序的攻击,微软公司一直都在努力致力于降低产品的安全隐患,这是有目共睹的。
微软新一代的Server 2003操作系统在安全性能方面就得到了加强。
比如在使用Server 2003自带的IE浏览器浏览网页时,每次都会弹出一个安全提示框,“不厌其烦”地提示我们,是否需要将当前访问的网站添加到自己信任的站点中去;如果表示不信任的话,只能单击“关闭”按钮;而要是想浏览该站点的话,就必须单击“添加”按钮,将该网页添加到信任网站的列表中去。
不过每次访问网页,都要经过这样的步骤,实在是太烦琐了。
其实我们可以通过下面的方法来让IE取消对网站安全性的检查:1.一旦系统打开安全提示页面时,你可以用鼠标将其中的“当网站的内容被堵塞时继续提示”复选项选中;2.在浏览界面中,用鼠标单击“工具”菜单项,从打开的下拉菜单中执行“Internet选项”命令;3.在弹出的选项设置界面中,你可以将系统默认状态下的最高安全级别设置为中等级别;4.设置时,只要在“安全”标签页面中,拖动其中的安全滑块到“中”位置处就可以了;5.完成设置后,单击“确定”按钮,就可以将浏览器的安全自动提示页面取消了。
经过修改IE的默认安全级别的设置,再上网的时候,IE就不会自动去检查网站的安全性了,麻烦解决了吧!二、重新支持ASP脚本提起ASP(ActiveServerPage)大家都会联想到Windows,它以其强大的功能,简单易学的特点而受到广大开发人员的喜欢。
Windows Server 2003安全加固设置一、用户账户安全1.Administrator账户的安全性a)重命名adminstrator,并将其禁用。
右击“我的电脑”,在单击“管理”,选择“本地用户和组",选择“用户”,右侧窗口的“administrator”右击“重命名”“administrator”右击“属性”b)创建一个用户账户并将其加入管理员组,日常管理工作使用这个账户完成。
操作步骤:在右侧窗口空白处右击鼠标,再单击“新用户”a)即可以用创建的“test"用户名和密码,赋予“test”用户管理员的权限,日常管理工作使用这个账户完成.当我们再次登录时,administrator用户无法登陆用“test”用户登录系统,才能成功,且“test”用户拥有管理员的权限。
思考:我们为什么要这么做??2.启用账户锁定策略开始—-程序——管理工具—-本地安全策略-—账户策略——账户锁定策略-—设置“账户锁定阈值为3”3.修改本地策略限制用户权限开始——程序—-管理工具——本地安全策略——本地策略——用户权限分配—-设置“拒绝从网络访问这台计算机”,限制从网络访问该服务器的账户。
二、服务器性能优化,稳定性优化1.“我的电脑"右键属性——高级-—性能-—设置-—设置为“性能最佳”2.“我的电脑”右键属性——高级——性能-—设置——高级页面为如图设置3.停止暂时未用到的服务a)在开始“运行”中输入:services.mscb)停止并禁用以下服务puter Browser 计算机浏览2.Distributed Link Tracking Client如果此服务被停用,这台计算机上的链接将不会维护或跟踪.3.Print Spooler(如果没有打印需求可以停止该服务)4.Remote Registry 远程注册表5.Remote Registry(如果没有无线设备可以停止该服务)6.TCP/IP NetBIOS Helper三、系统安全及网络安全设置1.开启自动更新“我的电脑"右键“属性”--“自动更新"Windows Server 2003会自动下载更新,无须人为打补丁。
Windows系统的安全加固一、操作系统安全隐患分析(一)安装隐患在一台服务器上安装Windows 2003 Server操作系统时,主要存在以下隐患:1、将服务器接入网络内安装。
Windows2000 Server操作系统在安装时存在一个安全漏洞,当输入Administrator密码后,系统就自动建立了ADMIN$的共享,但是并没有用刚刚输入的密码来保护它,这种情况一直持续到再次启动后,在此期间,任何人都可以通过ADMIN$进入这台机器;同时,只要安装一结束,各种服务就会自动运行,而这时的服务器是满身漏洞,计算机病毒非常容易侵入。
因此,将服务器接入网络内安装是非常错误的。
2、操作系统与应用系统共用一个磁盘分区。
在安装操作系统时,将操作系统与应用系统安装在同一个磁盘分区,会导致一旦操作系统文件泄露时,攻击者可以通过操作系统漏洞获取应用系统的访问权限,从而影响应用系统的安全运行。
3、采用FAT32文件格式安装。
FAT32文件格式不能限制用户对文件的访问,这样可以导致系统的不安全。
4、采用缺省安装。
缺省安装操作系统时,会自动安装一些有安全隐患的组件,如:IIS、DHCP、DNS等,导致系统在安装后存在安全漏洞。
5、系统补丁安装不及时不全面。
在系统安装完成后,不及时安装系统补丁程序,导致病毒侵入。
(二)运行隐患在系统运行过程中,主要存在以下隐患:1、默认共享。
系统在运行后,会自动创建一些隐藏的共享。
一是C$ D$ E$ 每个分区的根共享目录。
二是ADMIN$ 远程管理用的共享目录。
三是IPC$ 空连接。
四是NetLogon共享。
五是其它系统默认共享,如:FAX$、PRINT$共享等。
这些默认共享给系统的安全运行带来了很大的隐患。
2、默认服务。
系统在运行后,自动启动了许多有安全隐患的服务,如:Telnet services、DHCP Client、DNS Client、Print spooler、Remote Registry services (选程修改注册表服务)、SNMP Services 、Terminal Services 等。
WIN2003服务器安全加固方案关键词:安全加固方案服务器 WIN2003因为IIS(即Internet Information Server)的方便性和易用性,使它成为最受欢迎的Web服务器软件之一。
但是,IIS的安全性却一直令人担忧。
如何利用IIS建立一个安全的Web服务器,是很多人关心的话题。
要创建一个安全可靠的Web服务器,必须要实现Windows 2003和IIS的双重安全,因为IIS的用户同时也是Windows 2003的用户,并且IIS目录的权限依赖Windows的NTFS文件系统的权限控制,所以保护IIS 安全的第一步就是确保Windows 2000操作系统的安全,所以要对服务器进行安全加固,以免遭到黑客的攻击,造成严重的后果。
二.我们通过一下几个方面对您的系统进行安全加固:1.系统的安全加固:我们通过配置目录权限,系统安全策略,协议栈加强,系统服务和访问控制加固您的系统,整体提高服务器的安全性。
2. IIS手工加固:手工加固iis可以有效的提高iweb站点的安全性,合理分配用户权限,配置相应的安全策略,有效的防止iis用户溢出提权。
3.系统应用程序加固,提供应用程序的安全性,例如sql的安全配置以及服务器应用软件的安全加固。
三.系统的安全加固:1.目录权限的配置:1.1 除系统所在分区之外的所有分区都赋予Administrators和SYSTEM有完全控制权,之后再对其下的子目录作单独的目录权限,如果WEB站点目录,你要为其目录权限分配一个与之对应的匿名访问帐号并赋予它有修改权限,如果想使网站更加坚固,可以分配只读权限并对特殊的目录作可写权限。
1.2 系统所在分区下的根目录都要设置为不继承父权限,之后为该分区只赋予Administrators和SYSTEM 有完全控制权。
1.3 因为服务器只有管理员有本地登录权限,所在要配置Documents and Settings这个目录权限只保留Administrators和SYSTEM有完全控制权,其下的子目录同样。
WIN2003服务器安全加固方案关键词:安全加固方案服务器WIN2003因为IIS(即Internet Information Server)的方便性和易用性,使它成为最受欢迎的Web服务器软件之一。
但是,IIS的安全性却一直令人担忧。
如何利用IIS建立一个安全的Web服务器,是很多人关心的话题。
要创建一个安全可靠的Web服务器,必须要实现Windows 2003和IIS的双重安全,因为IIS的用户同时也是Windows 2003的用户,并且IIS目录的权限依赖Windows的NTFS文件系统的权限控制,所以保护IIS 安全的第一步就是确保Windows 2000操作系统的安全,所以要对服务器进行安全加固,以免遭到黑客的攻击,造成严重的后果。
二.我们通过一下几个方面对您的系统进行安全加固:1.系统的安全加固:我们通过配置目录权限,系统安全策略,协议栈加强,系统服务和访问控制加固您的系统,整体提高服务器的安全性。
2.IIS手工加固:手工加固iis可以有效的提高iweb站点的安全性,合理分配用户权限,配置相应的安全策略,有效的防止iis用户溢出提权。
3.系统应用程序加固,提供应用程序的安全性,例如sql的安全配置以及服务器应用软件的安全加固。
三.系统的安全加固:1.目录权限的配置:1.1 除系统所在分区之外的所有分区都赋予Administrators和SYSTEM有完全控制权,之后再对其下的子目录作单独的目录权限,如果WEB站点目录,你要为其目录权限分配一个与之对应的匿名访问帐号并赋予它有修改权限,如果想使网站更加坚固,可以分配只读权限并对特殊的目录作可写权限。
1.2 系统所在分区下的根目录都要设置为不继承父权限,之后为该分区只赋予Administrators和SYSTEM有完全控制权。
1.3 因为服务器只有管理员有本地登录权限,所在要配置Documents and Settings这个目录权限只保留Administrators和SYSTEM有完全控制权,其下的子目录同样。
Windows 2003 安全加固配置手册目录Windows 2003 安全加固配置手册 (1)关键词: (3)摘要: (3)缩略语: (3)参考标准及其资料: (3)1概述 (4)2安全加固内容 (4)3客户信息调查 (4)4边界及物理安全 (4)5升级与补丁 (4)6操作系统加固 (5)6.1帐号安全及策略 (5)6.2删除各类共享 (6)6.3审计 (6)6.4服务 (7)6.5防DoS设置 (8)6.7 IPSEC配置 (8)7 IIS加固 (8)8 其他安全配置 (9)9 资源下载 (9)关键词:Windows 2003、加固、DDoS摘要:本手册主要描述了建立Windows NT系列操作系统安全加固配置标准,并以此标准为指导,配置和审视客户Windows NT系列服务器的安全性;降低系统存在的安全风险,确保系统安全可靠的运行。
缩略语:无参考标准及其资料:1概述随着计算机互联网的发展,网络应用的普及,网络规模、网上计算机数量均呈指数型增长,在人们享受到网络的方便快捷的同时,各种各样的攻击和病毒也更加猖狂,网络的安全防护越发重要。
本文档主要说明在安全防护中基于windows平台的加固策略。
当前版本适用于Windows NT系列,主要以Windows 2003为主来。
安全加固配置中部分加固配置可以考虑使用安全模板来实现,以减轻工作量。
2安全加固内容客户环境调查边界及物理安全升级与补丁操作系统加固IIS加固其他安全配置3客户信息调查客户网络环境(如:服务器前有没有fw,有些什么服务器)硬件信息操作系统信息(版本,补丁情况)IIS的版本主机是否在一个windows域里是否使用数据库,什么数据库是否需要远程管理是否需要终端访问服务4边界及物理安全设置边界防火墙只允许访问服务器的必要端口;部署防御DoS的功能;阻止服务器发出的主动连接设置BIOS密码在BIOS里设置系统只能从硬盘启动,不允许从软盘和CD-ROM启动至少创建两个NTFS分区,一个用来存放系统文件(C盘),一个用来存放数据(如E盘)卸载不需要的组网协议5升级与补丁大企业,带SUS(软件升级服务)包的SMS(系统管理服务器),微软出品中小企业,SUS的独立版本个人用户,MBSA (微软基准安全分析器);Reskit工具包里的srvinfo第三方工具,Shavlik公司的HFNetChk Pro6操作系统加固帐号安全及策略删除各类共享审计服务最小化防DoS设置配置IPSec过滤器6.1帐号安全及策略密码策略密码必须符合复杂性要求:启用密码长度最小值:8个字符密码最长存留期:70天密码最短存留期:30天强制密码历史:3个记住的密码帐户锁定阀值:5次无效登陆帐户锁定时间:15分钟复位帐户锁定计数器:15分钟之后Guest及administrator帐号管理给guest帐号设置一个足够复杂的密码;将guest帐号改名,并且禁用guest帐号;禁止Guest帐号本地登录和网络登录的权限。
服务器安全加固(以Windows Server 2008为示例,Windows server 2003和Windows Server 2012根据实际需要进行修正)1、服务器登录安全加固1)为登录用户添加密码,密码长度在10位以上,并满足密码包括字母数字和特殊字符组成等复杂度要求。
(请回答)2)禁用系统多余帐号,如不需要Guest帐号访问服务器,则应禁用。
(请截图)3)设置Windows用户密码策略,可通过“控制面板-管理工具-本地安全策略”中“帐户策略”下的“帐户策略”进行安全设置如下。
(请截图)序号属性可选择值1 密码必须符合复杂性要求已启用2 密码长度最小值10个字符3 密码最短使用期限5天4 密码最长使用期限40天5 强制密码历史3次6 用可还原的加密来储存密码已禁用4)设置Windows系统非法登录锁定次数,可通过“控制面板-管理工具-本地安全策略”中“帐户策略”下的“帐户锁定策略”进行安全加固,参数设置参考如下;(请序号属性可选择值1 帐户锁定阈值5次2 帐户锁定时间10分钟2、服务器安全事件审核安全加固。
(请截图)1)设置Windows服务器安全事件审核策略,可通过“控制面板-管理工具-本地安全策略”中“本地策略”下的“审核策略”进行安全设置,将其下的所有审核都设置成“成功”、“失败”(默认为“无审核”)。
2)设置日志系统的安全加固,打开“控制面板-管理工具-事件查看器”中,在“Windows日志”中选择一个日志类型,右击鼠标,设置“属性”的存储大小不小于512KB(4096KB);覆盖周期不小于15天(60天)。
(请截图)3、关闭服务器共享资源,可通过“控制面板-管理工具-计算机管理”中,选择“共享文件夹-共享”查看系统共享资源,删除不必要的多余共享资源。
(请截图)4、自动锁屏设置桌面点击右键-属性-屏幕保护程序,设置服务器自动锁屏时间为3分钟(参考)。
(请截图)5、对系统安装的FTP中建立的用户进行用户权限管理,根据“最小资源配置原则”,为每个FPT用户分配最小访问目录权限,访问目前权限设置,如用户可进行写操作,则对用户可分配的磁盘空间大小进行限制。
Windows 2003系统安全配置一、2003系统配置三、IIS配置四、其它设置(可选用)1、任何用户密码都要复杂,不需要的用户---删。
2、防ping处理防ping处理建意大家用防火墙一类的软件,这样可以大大降低服务器被攻击的可能性,为什么这样说呢?主要是现在大部份的入侵者都是利用软件扫一个网段存活的主机,一般判断主机是否存活就是看ping的通与不通了!3、防止SYN洪水攻击HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters新建DWORD值,名为SynAttackProtect,值为24、禁止响应ICMP路由通告报文HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\interface 新建DWORD值,名为PerformRouterDiscovery 值为05、防止ICMP重定向报文的攻击HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters将EnableICMPRedirects 值设为06、不支持IGMP协议HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters新建DWORD值,名为IGMPLevel 值为07、禁用DCOM:运行中输入Dcomcnfg.exe。
回车,单击“控制台根节点”下的“组件服务”。
打开“计算机”子文件夹。
对于本地计算机,请以右键单击“我的电脑”,然后选择“属性”。
选择“默认属性”选项卡。
清除“在这台计算机上启用分布式COM”复选框。
windows2003安全配置打开注册表方法:regedit一:正确划分文件系统格式,选择稳定的操作系统安装盘为了提高安全性,服务器的文件系统格式一定要划分成NTFS(新技术文件系统)格式.二:禁用不必要的服务,提高安全性和系统效率Computer Browser维护网络上计算机的最新列表以及提供这个列表Task scheduler允许程序在指定时间运行Routing and Remote Access在局域网以及广域网环境中为企业提供路由服务Removable storage管理可移动媒体、驱动程序和库Remote Registry Service允许远程注册表操作Print Spooler将文件加载到内存中以便以后打印。
要用打印机的朋友不能禁用这项 IPSEC Policy Agent管理IP安全策略以及启动ISAKMP/OakleyIKE)和IP安全驱动程序Distributed Link Tracking Client当文件在网络域的NTFS卷中移动时发送通知Com+ Event System 提供事件的自动发布到订阅COM组件Alerter 通知选定的用户和计算机管理警报Error Reporting Service收集、存储和向 Microsoft 报告异常应用程序Messenger传输客户端和服务器之间的 NET SEND 和警报器服务消息Telnet允许远程用户登录到此计算机并运行程序三. 不支持IGMP协议IGMP是一种协议,对于Windows系统的用户是没有什么用途的,但现在也被用来作为蓝屏攻击的一种方法,建议关掉此功能,不会对用户造成影响。
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters新建DWORD值,名为IGMPLevel 值为0四、禁止IPC空连接:黑客可以利用net use命令建立空连接,进而入侵,还有net view,nbtstat这些都是基于空连接的,禁止空连接就好了,打开注册表,找到:Local_Machine\System\CurrentControlSet\Control\LSA-RestrictAnonymous把这个值改成”1”即可。
