Windows系统安全加固方案:快速上手系统加固指南 (下)

这里写目录标题

一、概述

在上一部分的指南中,我们深入探讨了Windows系统加固的各个方面,帮助你更好地保护你的系统安全。然而,我们仅仅触及了冰山一角。接下来,我们将继续深入,具体讲解IP协议的安全配置、文件权限管理、服务安全设置以及安全选项等关键领域。通过这些实用的安全加固技巧,你将能够进一步提升系统的安全性,保护你的数据和隐私。请继续关注,获取更多详细的信息和专业建议。

二、IP协议安全配置

启用SYN攻击保护

启用SYN攻击保护。

  • 指定触发SYN洪水攻击保护所必须超过的TCP连接请求数阈值为5。
  • 指定处于SYN_RCVD状态的TCP连接数的阈值为500。
  • 指定处于至少已发送一次重传的SYN_RCVD状态中的TCP连接数的阈值为400。

操作步骤

打开注册表编辑器,根据推荐值修改注册表键值。

Windows Server 2012

  • **HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\SynAttackProtect**推荐值:2
  • **HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\TcpMaxHalfOpen**推荐值:500

Windows Server 2008

  • **HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SynAttackProtect**推荐值:2
  • **HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\TcpMaxPortsExhausted**推荐值:5
  • **HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\TcpMaxHalfOpen**推荐值:500
  • **HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\TcpMaxHalfOpenRetried**推荐值:400

在Windows 11中没有名为"HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\SynAttackProtect"的注册表选项。根据搜索结果,Windows Vista及更高版本的操作系统已经更改了SynAttack保护算法,并且不再提供可配置的参数来禁用或配置此功能[1]。新的算法会根据CPU核心数和可用内存动态计算阈值,以确定何时认为发生了攻击,并且根据系统资源的多少来决定是否拒绝新的连接尝试

三、文件权限

3.1 关闭默认共享

非域环境中,关闭Windows硬盘默认共享,例如C,D。

打开注册表编辑器,根据推荐值修改注册表键值。

注意

Windows Server 2012版本已默认关闭Windows硬盘默认共享,且没有该注册表键值。

**HKLM\System\CurrentControlSet\Services\LanmanServer\Parameters\AutoShareServer**推荐值:0

3.2 查看共享文件夹权限

查看文件夹的共享权限,打开powershell

输入命令

c 复制代码
net share

或者在计算机管理中找到共享文件夹

3.3 删除默认共享

c 复制代码
net share 共享名 /del

四、服务安全

4.1禁用TCP/IP 上的NetBIOS

禁用TCP/IP上的NetBIOS可以关闭,监听的UDP 137(NetBIOS -ns),UDP 138(NETBIOS-dgm),以及TCP 139(NETBIOS -ssn)端口

操作步骤

  1. 计算机管理 >服务和应用程序 >服务 中禁用TCP/IP NetBIOS Helper服务。
  2. 在网络连接属性中,双击Internet协议版本4(TCP/IPv4) ,单击高级 。在WINS 页签中,进行如下设置

4.2 ### 禁用不必要的服务

参考

五、安全选项

5.1启动安全选项

操作步骤

在本地安全策略中的安全选项中进行如下配置

5.2禁用未登录前关机

六、其他安全配置

6.1防病毒管理

Windows系统需要安装防病毒软件。

操作步骤

安装企业级防病毒软件,并开启病毒库更新及实时防御功能。

6.2设置屏幕保护密码和开启时间

设置从屏幕保护恢复时需要输入密码,并将屏幕保护自动开启时间设定为五分钟。

操作步骤

启用屏幕保护程序,设置等待时间为5分钟 ,并启用在恢复时使用密码保护

6.3限制远程登录空闲断开时间

对于远程登录的账户,设置不活动超过时间15分钟自动断开连接。

操作步骤

打开控制面板 >管理工具 >本地安全策略 ,在本地策略 >安全选项 中,设置Microsoft网络服务器:暂停会话前所需的空闲时间数量属性为15分钟。

6.4操作系统补丁管理

安装最新的操作系统Hotfix补丁。安装补丁时,应先对服务器系统进行兼容性测试。

操作步骤

安装最新的操作系统Hotfix补丁。安装补丁时,应先对服务器系统进行兼容性测试。

注意

对于实际业务环境服务器,建议使用通知并自动下载更新,但由管理员选择是否安装更新,而不是使用自动安装更新,防止自动更新补丁对实际业务环境产生影响。

6.5禁止空链接

删除IPC共享

禁用IPC 连接。编辑注册表

jsx 复制代码
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\restrictanonymous

的值为1

c 复制代码
reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa" /v restrictanonymous /d 0 /f

七、结语

我诚挚地向大家道歉。这篇文章我采用了一种仅限粉丝阅读的方式发布内容,如果给您带来了不好的阅读体验。我深感歉意。

在撰写这篇文章的过程中,我尽力确保内容的准确和全面,但难免会有疏漏的地方。如果您发现任何错误或有任何改进建议,请不要犹豫,随时告诉我。我非常乐意接受您的宝贵建议,并会及时进行修改。

再次感谢您的阅读和支持,希望这篇文章对您有所帮助!

相关推荐
love530love34 分钟前
Windows 如何更改 ModelScope 的模型下载缓存位置?
运维·人工智能·windows·python·缓存·modelscope
安 当 加 密1 小时前
守护汽车“空中升级“:基于HSM/KMS的安全OTA固件签名与验证方案
安全·汽车
weixin_307779136 小时前
Windows 11下纯软件模拟虚拟机的设备模拟与虚拟化(仅终端和网络)
windows·系统架构
大咖分享课9 小时前
多租户系统中的安全隔离机制设计
人工智能·安全·安全隔离
荔枝吻9 小时前
软件异常读写威胁硬盘安全:从过往案例到防护之道
安全·硬盘
小马爱打代码9 小时前
Spring Boot 接口安全设计:接口限流、防重放攻击、签名验证
网络·spring boot·安全
北极光SD-WAN组网13 小时前
工业互联网时代,如何通过混合SD-WAN提升煤炭行业智能化网络安全
网络·安全·web安全
程序员黄老师13 小时前
在 Windows 使用 Nginx/HAProxy 实现负载均衡
windows·nginx·负载均衡
深圳安锐科技有限公司13 小时前
基坑渗压数据不准?选对渗压计能实现自动化精准监测吗?
安全·自动化·自动化监测·大坝监测·渗压计
落鹜秋水14 小时前
Cacti命令执行漏洞分析(CVE-2022-46169)
web安全·网络安全