Windows系统安全加固方案:快速上手系统加固指南 (下)

news2024/11/13 16:01:51

这里写目录标题

  • 一、概述
  • 二、IP协议安全配置
    • 启用SYN攻击保护
  • 三、文件权限
    • 3.1 关闭默认共享
    • 3.2 查看共享文件夹权限
    • 3.3 删除默认共享
  • 四、服务安全
    • 4.1禁用TCP/IP 上的NetBIOS
    • 4.2 ### 禁用不必要的服务
  • 五、安全选项
    • 5.1启动安全选项
    • 5.2禁用未登录前关机
  • 六、其他安全配置
    • **6.1防病毒管理**
    • 6.2设置屏幕保护密码和开启时间
    • 6.3限制远程登录空闲断开时间
    • 6.4操作系统补丁管理
    • 6.5禁止空链接
  • 七、结语

一、概述

在上一部分的指南中,我们深入探讨了Windows系统加固的各个方面,帮助你更好地保护你的系统安全。然而,我们仅仅触及了冰山一角。接下来,我们将继续深入,具体讲解IP协议的安全配置、文件权限管理、服务安全设置以及安全选项等关键领域。通过这些实用的安全加固技巧,你将能够进一步提升系统的安全性,保护你的数据和隐私。请继续关注,获取更多详细的信息和专业建议。

二、IP协议安全配置

启用SYN攻击保护

启用SYN攻击保护。

  • 指定触发SYN洪水攻击保护所必须超过的TCP连接请求数阈值为5。
  • 指定处于SYN_RCVD状态的TCP连接数的阈值为500。
  • 指定处于至少已发送一次重传的SYN_RCVD状态中的TCP连接数的阈值为400。

操作步骤

打开注册表编辑器,根据推荐值修改注册表键值。

Windows Server 2012

  • **HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\SynAttackProtect**推荐值:2
  • **HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\TcpMaxHalfOpen**推荐值:500

Windows Server 2008

  • **HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SynAttackProtect**推荐值:2
  • **HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\TcpMaxPortsExhausted**推荐值:5
  • **HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\TcpMaxHalfOpen**推荐值:500
  • **HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\TcpMaxHalfOpenRetried**推荐值:400

在Windows 11中没有名为"HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\SynAttackProtect"的注册表选项。根据搜索结果,Windows Vista及更高版本的操作系统已经更改了SynAttack保护算法,并且不再提供可配置的参数来禁用或配置此功能[1]。新的算法会根据CPU核心数和可用内存动态计算阈值,以确定何时认为发生了攻击,并且根据系统资源的多少来决定是否拒绝新的连接尝试

三、文件权限

3.1 关闭默认共享

非域环境中,关闭Windows硬盘默认共享,例如C,D。

打开注册表编辑器,根据推荐值修改注册表键值。

注意

Windows Server 2012版本已默认关闭Windows硬盘默认共享,且没有该注册表键值。

**HKLM\System\CurrentControlSet\Services\LanmanServer\Parameters\AutoShareServer**推荐值:0

3.2 查看共享文件夹权限

查看文件夹的共享权限,打开powershell
输入命令

net share

或者在计算机管理中找到共享文件夹
在这里插入图片描述

3.3 删除默认共享

net share 共享名 /del

四、服务安全

4.1禁用TCP/IP 上的NetBIOS

禁用TCP/IP上的NetBIOS可以关闭,监听的UDP 137(NetBIOS -ns),UDP 138(NETBIOS-dgm),以及TCP 139(NETBIOS -ssn)端口

操作步骤

  1. 计算机管理>服务和应用程序>服务中禁用TCP/IP NetBIOS Helper服务。
  2. 在网络连接属性中,双击Internet协议版本4(TCP/IPv4),单击高级。在WINS页签中,进行如下设置
    在这里插入图片描述

4.2 ### 禁用不必要的服务

参考
在这里插入图片描述

五、安全选项

5.1启动安全选项

操作步骤

在本地安全策略中的安全选项中进行如下配置
在这里插入图片描述

5.2禁用未登录前关机

在这里插入图片描述

六、其他安全配置

6.1防病毒管理

Windows系统需要安装防病毒软件。

操作步骤

安装企业级防病毒软件,并开启病毒库更新及实时防御功能。

6.2设置屏幕保护密码和开启时间

设置从屏幕保护恢复时需要输入密码,并将屏幕保护自动开启时间设定为五分钟。

操作步骤

启用屏幕保护程序,设置等待时间为5分钟,并启用在恢复时使用密码保护

6.3限制远程登录空闲断开时间

对于远程登录的账户,设置不活动超过时间15分钟自动断开连接。

操作步骤

打开控制面板>管理工具>本地安全策略,在本地策略>安全选项中,设置Microsoft网络服务器:暂停会话前所需的空闲时间数量属性为15分钟。

6.4操作系统补丁管理

安装最新的操作系统Hotfix补丁。安装补丁时,应先对服务器系统进行兼容性测试。

操作步骤

安装最新的操作系统Hotfix补丁。安装补丁时,应先对服务器系统进行兼容性测试。

注意

对于实际业务环境服务器,建议使用通知并自动下载更新,但由管理员选择是否安装更新,而不是使用自动安装更新,防止自动更新补丁对实际业务环境产生影响。

6.5禁止空链接

删除IPC共享

禁用IPC 连接。编辑注册表

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\restrictanonymous

的值为1

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa" /v restrictanonymous /d 0 /f

七、结语

我诚挚地向大家道歉。这篇文章我采用了一种仅限粉丝阅读的方式发布内容,如果给您带来了不好的阅读体验。我深感歉意。
在撰写这篇文章的过程中,我尽力确保内容的准确和全面,但难免会有疏漏的地方。如果您发现任何错误或有任何改进建议,请不要犹豫,随时告诉我。我非常乐意接受您的宝贵建议,并会及时进行修改。

再次感谢您的阅读和支持,希望这篇文章对您有所帮助!

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.coloradmin.cn/o/1947237.html

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈,一经查实,立即删除!

相关文章

基于 HTML+ECharts 实现的数据可视化大屏案例(含源码)

数据可视化大屏案例:基于 HTML 和 ECharts 的实现 数据可视化已成为企业决策和业务分析的重要工具。通过直观、动态的图表展示,数据可视化大屏能够帮助用户快速理解复杂的数据关系,发现潜在的业务趋势。本文将介绍如何利用 HTML 和 ECharts 实…

基于JAVA+SpringBoot+Vue的前后端分离的医院后勤管理系统

✌全网粉丝20W,csdn特邀作者、博客专家、CSDN新星计划导师、java领域优质创作者,博客之星、掘金/华为云/阿里云/InfoQ等平台优质作者、专注于Java技术领域和毕业项目实战✌ 🍅文末获取项目下载方式🍅 一、项目背景介绍: 医院后勤管理系统是一…

LLama 405B 技术报告解读

LLama 405B 技术报告解读 果然传的消息都是真的,meta在24号凌晨发布了llama 3的405B版本,这次还是做一个技术报告解读。 值得一提的是,在技术报告的开头,meta特意强调了一个 Managing complexity,大意是管控复杂度。…

echarts实现在市级行政区点击县级行政区,显示单个县级行政区地图数据

因需兼容ie,此处所有变量声明都用var。如无需支持,可另做let修改。 这里以常州市为例,我们可以去阿里云提供的地理工具去截取地图json数据DataV.GeoAtlas地理小工具系列 点击所选区域,右侧会对应显示json数据,再次点击右侧红框内…

【Hec-Ras】案例1:韩国Seung-gi stream稳定流/非稳定流模拟

Hec-Ras案例1:韩国Seung-gi stream 研究区域:Seung-gi stream(韩国)研究数据降水数据(Rainfall data) 步骤1:创建工程文件/打开已有工程文件步骤2:参数调整步骤2.1:数据导…

Android .rc规则详解与init 启动

系列文章请扫关注公众号! 简介 Android的init进程是启动各种服务的核心进程,并处理属性设置等。怎么启动各个服务和监听属性的呢?启动过程中会解析rc文件,并存下来。当系统属性更改或启动某项服务时,init就会按照rc中的设置运行对…

SpringBoot集成Tomcat、DispatcherServlet

通过 SpringBoot 自动配置机制,导入配置类 利用 SpringBoot 自动配置机制,SpringBoot 会导入一个类型为 ServletWebServerFactoryAutoConfiguration 的配置类 ServletWebServerFactoryAutoConfiguration ServletWebServerFactoryAutoConfigurations 类上…

软考中级网络工程师考什么?应该怎么正确备考

网络工程师软考中级难易度50%,不太难。但是如果准备不足就悬了,赶紧备考起来吧。 网络工程师每年考两次,相比其他的软考考试一年中考的机会又多了一次,而且软考网工也是挺热门的科目,每年很多人报考,相对的…

CoAP——Libcoap安装和使用(Ubuntu22.04)

1、简介 CoAP(Constrained Application Protocol)是一种专为受限设备和网络设计的应用层协议。它类似于HTTP,但具有更轻量级的特性,适合用于物联网(IoT)环境中的低功耗和低带宽设备。Libcoap是一个轻量级的…

RK3568 Linux 平台开发系列讲解(内核入门篇):如何高效地阅读 Linux 内核设备驱动

在嵌入式 Linux 开发中,设备驱动是实现操作系统与硬件之间交互的关键。对于 RK3568 这样的平台,理解和阅读 Linux 内核中的设备驱动程序至关重要。 1. 理解内核架构 在阅读设备驱动之前,首先要了解 Linux 内核的基本架构。内核主要由以下几个部分组成: 内核核心:处理系…

源码拆解SpringBoot的自动配置机制

SpringBoot相比于Spring系列的前作,很大的一个亮点就是将配置进行了简化,引入了自动化配置,仅靠几个注解和yml文件就取代了之前XML的繁琐配置机制,这也是SpringBoot的独有特点,下面我们从源码角度,一点点拆…

Linux_实现TCP网络通信

目录 1、实现服务器的逻辑 1.1 socket 1.2 bind 1.3 listen 1.4 accept 1.5 read 1.6 write 1.7 服务器代码 2、实现客户端的逻辑 2.1 connect 2.3 客户端代码 3、实现服务器与客户端的通信 结语 前言: 在Linux下,实现传输层协议为TCP…

Oracle配置TCPS加密协议测试

文章目录 一、环境信息二、配置过程1.创建证书2.监听配置2.1.配置sqlnet.ora2.2.配置listener.ora文件2.3.配置tnsnames.ora文件2.4.重载监听 3.数据库本地测试3.1. tcps登录测试3.2.日志监控 一、环境信息 操作系统:Linux 版本信息:Oracle 19c 参考文档…

威联通启用SFTP并安装内网穿透工具实现远程管理家中NAS中的资源

文章目录 前言1. 威联通NAS启用SFTP2. 测试局域网访问3. 内网穿透安装配置3.1 威联通安装cpolar内网穿透3.2 创建隧道3.3 测试公网远程访问 4. 配置固定公网TCP端口地址4.1 保留一个固定TCP端口地址4.2 配置固定TCP端口地址4.3 测试使用固定TCP端口地址远程连接威联通SFTP 前言…

怎么使用github上传XXX内所有文件

要将 目录中的所有文件上传到 GitHub,你可以按照以下步骤进行: 创建一个新的 GitHub 仓库 登录到你的 GitHub 账户。 点击右上角的加号(),选择 “New repository”。 输入仓库名称(例如:202407…

【Python】Facebook开源时间序列数据预测模型Prophet

文章目录 一、简介二、项目的文件解读三、Prophet类主要方法和参数3.1 主要参数3.2 主要方法 四、用法示例 一、简介 Prophet 是由 Facebook 开发的一个开源工具,用于时间序列数据的预测。它特别适用于处理具有强季节性和趋势的时间序列数据,并且对节假…

代码审计 | .NET SqlSugar框架注入漏洞

01阅读须知 此文所节选自小报童《.NET 代码审计》专栏,主要内容有涉及的.NET目录和文件操作、SQL注入方向的敏感函数、还有不安全的配置导致的漏洞挖掘思路,对.NET代码审计感兴趣的朋友们可以解锁该电子报刊,解锁更多的报刊内容。 02基本介…

央国企改革关键年!契约锁电子签章助力业务全程数字化场景落地

契约锁作为行业领先的电子签及印控厂商已经服务了400多家大型央企、国企单位,其中国资委下属的98家一级央企,近三分之一选择使用契约锁。 央国企改革新三年计划已实施过半,改革进入关键之年,全国各地央国企全面发力、加快数字化建…

技术成神之路:设计模式(九)观察者模式

介绍 观察者模式(Observer Pattern)是一种行为设计模式。它允许一个对象(称为主题或可观察者)来监视并通知一组依赖于这个对象的其他对象(称为观察者),以便在主题状态发生变化时自动更新观察者的…

python机器学习8--自然语言处理(1)

1.基本定义: 语义:就是一句话的重点是什么。 自定词汇:因为语言、文字太多,自定和处理你所关心的重点词汇。 简体转繁体代码 from opencc import OpenCCtext1 "我去过清华大学" openCC OpenCC(s2t) line openCC.…