windows主机加固(2)

secpol.msc 本地安全策略

eventvwr.msc 事件查看器，查看系统日志

可以通过级别排序，找出关键错误的信息。

常见的事件ID：

任务类别为（1）的为开机，

（2）为系统关机，

（10）的磁盘运转，

（100）为电源更改，

（101）EFI时区更改，

（1014）在没有配置的 DNS 服务器响应之后，名称 wpad 的名称解析超时，

（157）系统正在进入连接待机状态，

（158）系统正在退出连接待机状态，

（223）usb设备的弹出，

可以看的此电脑的登录信息

审核策略设置审核成功和失败。

管理审核和安全日志要为一个组，不能多个组

sercie.msc 进入服务

技巧：先启动类型排序，其次运行状态排序

一下为高危端口，不必要的端口要关闭。

netstat -ano 命令可以查看当前主机开启的全部端口。

firewall.cpl 防火墙是否启用

可以看到一个高级设置，找到出站入站规则，用以更精确的匹配。

Systeminfo 查看系统配置，

还可以查看系统补丁

在计算机管理禁用账户

同时设置密码策略，强制更改密码复杂性，定期更换密码，防止弱口令。

以及密码锁定策略，密码输入几次错误后锁定几分钟。根据自己的需求

网络列表策略器

高级审核策略配置

设置远程关闭计算机权限的用户只有administrators组

取得文件或其它对象的所有权权限只分配给Administrators组。

配置指定授权用户允许本地登录此计算机。

允许指定用户在本地关闭系统

IP协议安全

启用SYN攻击保护

启用SYN攻击保护。

指定触发SYN洪水攻击保护所必须超过的TCP连接请求数阈值为5。

指定处于 SYN_RCVD 状态的 TCP 连接数的阈值为500。

指定处于至少已发送一次重传的 SYN_RCVD 状态中的 TCP 连接数的阈值为400。

操作步骤

打开注册表编辑器，根据推荐值修改注册表键值。

Windows Server 2012

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\SynAttackProtect

推荐值：2

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\TcpMaxHalfOpen

推荐值：500

Windows Server 2008

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SynAttackProtect

推荐值：2

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\TcpMaxPortsExhausted

推荐值：5

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\TcpMaxHalfOpen

推荐值：500

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\TcpMaxHalfOpenRetried

推荐值：400

在计算机管理的文件共享，不必要的文件共享全部删除，

文件夹>属性>共享>高级共享>把共享此文件夹的选项划去