117、XXWINDOWS操作系统维护规程

XXWINDOWS操作系统维护规程制定：审核：批准：版本：XX

二O一四年九月目录TOC\o"1-5"\h\z1.1修改管理员帐号和创建陷阱帐号3\o"CurrentDocument"1.2删除默认共享存在的危险4\o"CurrentDocument"1.3重新设置远程可访问的注册表路径6\o"CurrentDocument"1.4关闭不需要的端口6\o"CurrentDocument"1A1远程终端3389端口合理修改8\o"CurrentDocument"1.4.2SQLServer使用1433配置11\o"CurrentDocument"1.5正确划分文件系统格式，选择稳定的操作系统安装盘12\o"CurrentDocument"1.6正确设置磁盘的安全性13\o"CurrentDocument"1.7禁用不必要的服务，提高安全性和系统效率13\o"CurrentDocument"1.8禁用不必要的协议.141.9打开相应的审核策略（安全日志）141.1修改管理员帐号和创建陷阱帐号多年以来，微软一直在强调最好重命名Administrator账号并禁用Guest账号，从而实现更高的安全。在WindowsServer2003中，Guest账号是缺省禁用的，但是重命名Administrator账号仍然是必要的，因为黑客往往会从Administrator账号入手开始进攻。方法是：打开“本地安全设置”对话框，依次展开“本地策略”^“安全选项”，在右边窗格中有一个“账户：重命名系统管理员账户”的策略，双击打开它，给Administrator重新设置一个平淡的用户名，(请不要使用Admin之类的名字，等于没改，尽量把它伪装成普通用户。)注意使用以下技巧：1、系统管理员账户最好少建，更改默认的管理员帐户名(Administrator)和描述，密码最好采用数字加大小写字母加数字的上档键组合，长度最好不少于14位。2、新建一个名为Administrator的陷阱帐号，为其设置最小的权限，然后随便输入组合的最好不低于20位的密码。3、将Guest账户禁用并更改名称和描述，然后输入一个复杂的密码。4、在运行中输入gpedit.msc回车，打开组策略编辑器，选择计算机配置-Windows设置-安全设置-账户策略-账户锁定策略，将账户设为“三次登陆无效”，“锁定时间0分钟”，“复位锁定计数设为30分钟”。5、在安全设置-本地策略-安全选项中将“不显示上次的用户名”设为启用6、在安全设置-本地策略-用户权利分配中将“从网络访问此计算机”中只保留Internet来宾账户、启动IIS进程账户。如果你使用了A还要保留Aspnet账户。7、创建一个User账户，运行系统，如果要运行特权命令使用Runas命令。8、在账户属性对话框中，可以限制用户登录的时间和地点。单击其中的“登录时间”按钮，在这里可以设置允许该用户登录的时间，这样就可防止非工作时间的登录行为。单击其中的“登录到”按钮，在这里可以设置允许该账户从哪些计算机乾地登录。另外，还可以通过“账户”选项来限制登录时的行为。例如使用“用户必须用智能卡登录”，就可避免直接使用密码验证。除此之外，还可以引入指纹验证等更为严格的手段。1.2删除默认共享存在的危险Windows2003系统会默认一些隐藏的共享，可以用netshare查看共享。所以我们要禁止或删除这些共享以确保安全，方法是：首先编写如下内容的批处理文件：@echooffnetshareC$/delnetshareD$/delnetshareE$/delnetshareF$/delnetshareadmin$/delnetshareIPC$/del以上批处理内容可以根据实际情况需要修改。保存为delshare.bat，存放到系统所在文件夹下的system32\GroupPolicy\User\Scripts\Logon目录下。然后在开始菜单f运行中输gpedit.msc，回车即可打开组策略编辑器。点击用户配置^Window设置f脚本（登录/注销）f登录，在出现的“登录属性”窗口中单击“添加”，会出现“添加脚本”对话框，在该窗口的“脚本名”栏中输入delshare.bat（如图1），然后单击“确定”按钮即可。这样就可以通过组策略编辑器使系统开机即执行脚本删除系统默认的共享。禁用IPC连接IPC是InternetProcessConnection的缩写，也就是远程网络连接。它是WindowsNT/2000/XP/2003特有的功能，其实就是在两个计算机进程之间建立通信连接，一些网络通信程序的通信建立在IPC上面。默认情况下，IPC是共享的，因此，这种基于IPC的入侵也常常被简称为IPC入侵。建立IPC连接不需要任何黑客工具，在命令行里键入相应的命令就可以了，不过有个前提条件，那就是你需要知道远程主机的用户名和密码。打开CMD后输入如下命令即可进行连接：netuse\\ip\ipc$"password"/user:〃usernqme〃。我们可以通过修改注册表来禁用IPC连接。打开注册表编辑器。找到HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa中的restrictanonymous子键，将其值改为1即可禁用IPC连接。方法二：打开注册表HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters，在右边的窗口中新建Dword值，名称设为AutoShareServer值设为01.3重新设置远程可访问的注册表路径设置远程可访问的注册表路径为空，这样可以有效地防止黑客利用扫描器通过远程注册表读取计算机的系统信息及其它信息。打开组策略编辑器，然后选择“计算机配置”一“Windows设置”一“安全选项”一“网络访问：可远程访问的注册表路径”及“网络访问：可远程访问的注册表”，将设置远程可访问的注册表路径和子路径内容设置为空即可。这样可以有效防止黑客利用扫描器通过远程注册表读取计算机的系统信息及其它信息。（如图2）1・4关闭不需要的端口139端口是Netbios使用的端口，在以前的Windows版本中，只要不安装Microsoft网络的文件和打印共享协议，就可关闭139端口。在WindowsServer2003中，只这样做是不行的。如果想彻底关闭139端口，方法如下：鼠标右键单击“网络邻居”，选择“属性”，进入“网络和拨号连接”，再用鼠标右键单击“本地连接”，选择“属性”，打开“本地连接属性”页，然后去掉“Microsoft网络的文件和打印共享”前面的“"”（如图3），接下来选中“Internet协议（TCP/IP）”，单击“属性”一“高级”一“WINS”，把“禁用TCP/IP上的NetBIOS”选中（如图3），即大功告成!这样做还可有效防止SMBCrack

之类工具破解和利用网页得到我们的NT散列。一般禁用以下端口135138139443445400048997626如果你的机子还装了IIS，你最好设置一下端口过滤。方法如下：选择网卡属性，然后双击“Internet协议（TCP/IP）”，在出现的窗口中单击“高级”按钮，会进入“高级TCP/IP设置”窗口，接下来选择“选项”标签下的“TCP/IP筛选”项，点“属性”按钮，会来到“TCP/IP筛选”的窗口，在该窗口的“启用TCP/IP筛选（所有适配器）”前面打上“"”（如图4），然后根据需要配置就比方说如果你只打算浏览网页，则只开放TCP端口80即可，所以可以在“TCP端口”上方选择“只允许”，然后单击“添加”按钮，输入80再单击“确定”即可。如果有其他需要可如法炮制。1.4.1远程终端3389端口合理修改很多管理Windows平台下服务器的网管朋友知道，维护服务器都需要远程来执行，有的通过pcanywhere，有的用微软提供的3389远程连接器。但使用修改端口后的远程终端往往画面不流畅，连接速度较慢，甚至百G千G的带宽也是如此。那到底是什么原因呢？其实是我们在修改端口时没修改彻底，才会导致以上的情况发生。以往我们在修改服务器远程终端3389端口时，只是修改了HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\TerminalServer\WinStations\RDP-Tcp中“PortNumber”的数值，这样也能连接上，但就会造成文章开始说的情况，下面是具体规范的操作步骤：1、在运行里面输入：”regedit”，进入注册表，然后找到HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\TerminalServer\Wds\rdpwd\Tds\tcp这一项，如图1：£注册表编辑器度件（巳编辑启查看（明收藏夹也帮助（也UtilitiesVIDEOWds■rdpwd白Ids_Jtcp+口WinStation^_JTimeZcinelnFcirmation__|Update+__]UsbFlags+22'独q•…豳^irtualDeyiceDrivers[+■QV/atchdog；E-国国-白A名称类型数据迪（默REC.5Z（数值未设置）jS；[nteractiveDela^REG..DVV0RD^□aOOOOOaCOjS^OutBuFCount.DWORD(bioaoooo06(B)|o]OutEluFDelayREC..DWORD0^00000064(100)S^^utBuFLengthDW&RD0?<0&000212(5?0)IS?]PdCla55RE句.DWORD05(00000002(2)tdt^p网PdDLLREQ5Z：j^PdFlaciREC.DWORD0<ia00004eg^JPdNameREG_SZftpPortNumberREC.0?:0a000d3d(3389)^jServiceNameRECSZhzpip12、找到“PortNumber”处，鼠标右键选择“修改”，选择十进制，换成你想修改的端口（范围在1024到65535）而且不能冲突，否则下次就无法正常启动系统了。具体操作方法如图2：3、然后找到HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\TerminalServer\WinStations\RDP-Tcp，具体位置如图3：-口TerminalServerEi，；一]AddinsJAuthorizedApplications.]ClusterS&ttings_JDeFaultUserConl：guratioi..]Dos:一]InputDevices南匚:]KeytioardTypeMapping口LicensingCore:国・：国：国..□%SysProcs_|Utilities:国・：国：国..□JWinStations♦:Consale-白RDP-Tcpi王.LJUse^Override54、在右侧找到”PortNumber处”，和图2操作方法相似，如图4和5所示：iSSjOutBufLengthREG._DWQRDOxQOOOU212.(530)REG.I^PdClas?REG._DW0RD0x00000002X2)^jPdDLLREG._SZtdtcp»®]pdrlagREG._DW^RD0^00000046(7S)^RdhameREG._5ZtcpHoPortNumberREG..DWORD0x00000d3djk389)S^iShadowREG._DWORD0x00000001-0)Sf|TraceClassREG._DWQRD0x00000000©So]FraceDebuggerREG._DWORDoxonoooooo(a)S^TraceEnableREG..DWORDoxoooooooo(a)^UsernanneREG,_SZ珅WdDLLREG哭rdpvudSojwdFlagREG..DWORD0^0000036(54)^jwdNameREG.5ZMicroeoFl:RDP5.2^JWdPreH^REG.SIRDP^WFProFilePathREGSZ^IwnrkDirR「trir4RFGS7编辑DWORD值*■数值名称俎);FortNiuiiber数值数据色'J:若十六进制①十进制四4000痴定「取消一|■5注意，这次的端口要和上次修改的端口一致。5、然后系统重新启动下，就可以用3389连接器远程连接操作了，（3389连接器打开方法：XP/2003下在运行里输入”mstsc”）即可。连接的时候格式为:IP:修改后的端口，如图6：1.4.2SQLServer使用1433配置默认情况下，SQLServer使用1433端口监听，很多人都说SQLServer配置的时候要把这个端口改变，这样别人就不能很容易地知道使用的什么端口了。可惜，通过微软未公开的1434端口的UDP探测可以很容易知道SQLServer使用的什么TCP/IP端口了。不过微软还是考虑到了这个问题，毕竟公开而且开放的端口会引起不必要的麻烦。在实例属性中选择TCP/IP协议的属性。选择隐藏SQLServer实例。如果隐藏了SQLServer实例，则将禁止对试图枚举网络上现有的SQLServer实例的客户端所发出的广播作出响应。这样，别人就不能用1434来探测你的TCP/IP端口了（除非用PortScan）。请在上一步配置的基础上，更改原默认的1433端口。在实例属性中选择网络配置中的TCP/IP协议的属性，将TCP/IP使用的默认端口变为其他端口。打开MicrosoftSQLServer--服务器网络实用工具--启用的协议--TCP/IP--属性--默认端口

阿貉协没藐4值设置默认端口（!>■巨速|y隐藏服务器唯稀定职消帮助客户端连接的方法：打开MicrosoftSQLServer--客户端网络实用工具--别名，添加1.5正确划分文件系统格式，选择稳定的操作系统安装盘为了提高安全性，服务器的文件系统格式一定要划分成NTFS（新技术文件系统）格式，它比FAT16、FAT32的安全性、空间利用率都大大的提高，我们可以通过它来配置文件的安全性，磁盘配额、EPS文件加密等。如果你已经分成FAT32的格式了，可以用CONVERT盘符/FS:NTFS/V来把FAT32转换成NTFS格式。正确安装windows2003server，可以直接网上升级，我们安装时尽量只安装我们必须要用的组件，安装完后打上最新的补丁，到网上升级到最新版本！保证操作系统本身无漏洞。1.6正确设置磁盘的安全性1、系统盘权限设置下列这些文件只允许administrators访问net.exenet1.exetcmd.exet删除c:\inetpub目录，删除iis不必要的映射，建立陷阱帐号，更改描述1・7禁用不必要的服务，提高安全性和系统效率ComputerBrowser维护网络上计算机的最新列表以及提供这个列表Taskscheduler允许程序在指定时间运行RoutingandRemoteAccess在局域网以及广域网环境中为企业提供路由服务Removablestorage管理可移动媒体、驱动程序和库RemoteRegistryService允许远程注册表操作PrintSpooler将文件加载到内存中以便以后打印。要用打印机的不能禁用这项IPSECPolicyAgent管理IP安全策略以及启动ISAKMP/OakleyIKE）和IP安全驱动程序DistributedLinkTrackingClient当文件在网络域的NTFS卷中移动时发送通知Com+EventSystem提供事件的自动发布到订阅COM组件Alerter通知选定的用户和计算机管理警报ErrorReportingService收集、存储和向Microsoft报告异常应用程序Messenger传输客户端和服务器之间的NETSEND和警报器服务消息Telnet允许远程用户登录到此计算机并运行程序Workstation关闭的话远程NET命令列不出用户组MicrosoftSerch:提供快速的单词搜索，不需要