返回
WINSERVER安全配置技巧条五

WINSERVER安全配置技巧条五

ID:38839936

大小:28.00 KB

页数:3页

时间:2019-06-20

WINSERVER安全配置技巧条五_第1页
WINSERVER安全配置技巧条五_第2页
WINSERVER安全配置技巧条五_第3页
资源描述:

《WINSERVER安全配置技巧条五》由会员上传分享,免费在线阅读,更多相关内容在工程资料-天天文库

1、WIN2000SERVER安全配置技巧58条五41.Win2000的默认安装允许任何用户通过空用户得到系统所有账号/共享列表,这个本来是为了方便局域网用户共享文件的,但是一个远程用户也可以得到你的用户列表并使用暴力法破解用户密码。很多朋友都知道可以通过更改注册表Local_MachineSystemCurrentControlSetControlLSA-RestrictAnonymous=1来禁止139空连接,实际上win2000的本地安全策略(如果是域服务器就是在域服务器安全和域安全策略中)就有这样的选项RestrictAnonymo

2、us(匿名连接的额外限制),这个选项有三个值:0:None.Relyondefaultpermissions(无,取决于默认的权限1:DonotallowenumerationofSAMaccountsandshares(不允许枚举SAM帐号和共享)2:Noaccesswithoutexplicitanonymouspermissions(没有显式匿名权限就不允许访问)0这个值是系统默认的,什么限制都没有,远程用户可以知道你机器上所有的账号、组信息、共享目录、网络传输列表(NetServerTransportEnum等等,对服务器来说这样的设置

3、非常危险。1这个值是只允许非NULL用户存取SAM账号信息和共享信息。2这个值是在win2000中才支持的,需要注意的是,如果你一旦使用了这个值,你的共享估计就全部完蛋了,所以我推荐你还是设为1比较好。好了,  入侵者现在没有办法拿到我们的用户列表,我们的账户安全了  42.禁止显示上次登陆的用户名HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsNTCurrentVersionwinlogon项中的Don’tDisplayLastUserName串数据改成1,这样系统不会自动显示上次的登录用户名。将

4、服务器注册表HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsNTCurrentVersionWinlogon项中的DontDisplayLastUserName串数据修改为1,隐藏上次登陆控制台的用户名。其实,在2000的本地安全策略中也存在该选项。  Winnt4.0修改注册表:HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsNTCurrentVersionWinlogon中增加DontDisplayLastUserName,将其值设为1。  43.在

5、注册表HKLMSYSTEMCurrentControlSetServicesTcpipParameters中更改以下值可以帮助你防御一定强度的DoS攻击:  SynAttackProtectREG_DWORD2  EnablePMTUDiscoveryREG_DWORD0NoNameReleaseOnDemandREG_DWORD1  EnableDeadGWDetectREG_DWORD0KeepAliveTimeREG_DWORD300,000  PerFORMRouterDiscoveryREG_DWORD0EnableICMP

6、RedirectsREG_DWORD0  44.打开本地安全策略,选择IP安全策略,在这里我们可以定义自己的IP安全策略。一个IP安全过滤器由两个部分组成:过滤策略和过滤操作,过滤策略决定哪些报文应当引起过滤器的关注,过滤操作决定过滤器是“允许”还是“拒绝”报文的通过。要新建IP安全过滤器,必须新建自己的过滤策略和过滤操作:右击本机的IP安全策略,选择管理IP过滤器,在IP过滤器管理列表中建立一个新的过滤规则:ICMP_ANY_IN,源地址选任意IP,目标地址选本机,协议类型是ICMP,切换到管理过滤器操作,增加一个名为Deny的操作,操作类型

7、为“阻止”(Block)。这样我们就有了一个关注所有进入ICMP报文的过滤策略和丢弃所有报文的过滤操作了。需要注意的是,在地址选项中有一个镜像选择,如果选中镜像,那么将会建立一个对称的过滤策略,也就是说当你关注anyIP->myIP的时候,由于镜像的作用,实际上你也同时关注了myIP->anyIP,你可以根据自己的需要选择或者放弃镜像。再次右击本机的IP安全策略,选择新建IP过滤策略,建立一个名称为ICMPFilter的过滤器,通过增加过滤规则向导,我们把刚刚定义的ICMP_ANY_IN过滤策略指定给ICMPFilter,然后在操作选框中选择我

8、们刚刚定义的Deny操作,退出向导窗口,右击ICMPFilter并启用它,现  在任何地址进入的ICMP报文都会被丢弃了。  虽然用IPsec能够对I

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。