广州市电子政务外网系统安全加固

2.5 把系统administrator帐号改名

windows 的administrator帐号是不能被停用的，这意味着别人可以一遍又一边的尝试这个帐户的密码。把Administrator帐户改名可以有效的防止这一点。当然，请不要使用Admin之类的名字，改了等于没改，尽量把它伪装成普通用户，比如改成：guestone 。

2.6 创建一个陷阱帐号

创建一个名为” Administrator”的本地帐户，把它的权限设置成最低，什么事也干不了的那种，并且加上一个超过10位的超级复杂密码。这样可以让那些 Scripts忙上一段时间了，并且可以借此发现它们的入侵企图。

2.7 把共享文件的权限从”everyone”组改成“授权用户”

“everyone” 在win中意味着任何有权进入你的网络的用户都能够获得这些共享资料。任何时候都不要把共享文件的用户设置成”everyone”组。包括打印共享，默认的属性就是”everyone”组的。

2.8 使用安全密码

一个好的密码对于一个网络是非常重要的，但是它是最容易被忽略的。一些公司的管理员创建帐号的时候往往用公司名，计算机名，或者一些别的一猜就到的东西做用户名，然后又把这些帐户的密码设置得很简单，比如 “welcome”，“iloveyou”或者和用户名相同等等。这样的帐户应该要求用户首此登陆的时候更改成复杂的密码，还要注意经常更改密码。 2.9 设置屏幕保护密码

很简单也很有必要，设置屏幕保护密码也是防止内部人员破坏服务器的一个屏障。

5

2.10 使用NTFS格式分区

把服务器的所有分区都改成NTFS格式。NTFS文件系统要比FAT,FAT32的文件系统安全得多。

2.11 利用win的安全配置工具来配置策略

微软提供了一套的基于MMC(管理控制台)安全配置和分析工具，利用他们你可以很方便的配置你的服务器以满足你的要求。具体内容请参考微软主页： http://www.microsoft.com/windows2000/techinfo/howitworks/security/sctoolset.asp 2.12 关闭不必要的服务

windows 的 Terminal Services（终端服务），IIS ,和RAS都可能给你的系统带来安全漏洞。为了能够在远程方便的管理服务器，很多机器的终端服务都是开着的，如果你的也开了，要确认你已经正确的配置了终端服务。有些恶意的程序也能以服务方式悄悄的运行。要留意服务器上面开启的所有服务，中期性(每天)的检查他们。建议将以下服务设为自启动：

Eventlog ( required )

NT LM Security Provider (required) Remote Procedure Call (RPC) (required)

Workstation (leave service on: will be disabled later in the document) Protected Storage (required) Plug and Play( required )

Security Accounts Manager( required )

需要注意的是，服务设置不当可能导致系统不能进行正常操作。设置每台主机服务的时候，要针对具体的应用情况和网络情况进行有针对性的设置，不能直接按照推荐完全照做。上面建议只作为参考，并不能作为每一台主机的配置标准。

6

2.13 关闭不必要的端口

关闭端口意味着减少功能，在安全和功能上面需要你作一点决策。如果服务器安装在防火墙的后面，冒的险就会少些，但是，永远不要认为你可以高枕无忧了。用端口扫描器扫描系统所开放的端口，确定开放了哪些服务是黑客入侵你的系统的第一步。\\system32\\drivers\\etc\\services 文件中有知名端口和服务的对照表可供参考。具体方法为：

网上邻居>属性>本地连接>属性>internet 协议(tcp/ip)>属性>高级>选项>tcp/ip筛选>属性 打开tcp/ip筛选，添加需要的tcp,udp,协议即可。 2.14 打开审核策略

开启安全审核是win最基本的入侵检测方法。当有人尝试对你的系统进行某些方式（如尝试用户密码,改变帐户策略，未经许可的文件访问等等）入侵的时候，都会被安全审核记录下来。很多的管理员在系统被入侵了几个月都不知道，直到系统遭到破坏。下面的这些审核是必须开启的，其他的可以根据需要增加：

策略 设置

审核系统登陆事件 成功，失败 审核帐户管理 成功，失败 审核登陆事件 成功，失败 审核对象访问 成功 审核策略更改 成功，失败 审核特权使用 成功，失败 审核系统事件 成功，失败

开启密码策略 策略 设置

密码复杂性要求 启用 密码长度最小值 6位 强制密码历史 5 次 强制密码历史 42 天

7

2.15 开启帐户策略

策略 设置

复位帐户锁定计数器 20分钟 帐户锁定时间 20分钟 帐户锁定阈值 3次

2.16 不让系统显示上次登陆的用户名

默认情况下，终端服务接入服务器时，登陆对话框中会显示上次登陆的帐户明，本地的登陆对话框也是一样。这使得别人可以很容易的得到系统的一些用户名，进而作密码猜测。修改注册表可以不让对话框里显示上次登陆的用户名，具体是：

HKLM\\Software\\Microsoft\\Windows

NT\\CurrentVersion\\Winlogon\\DontDisplayLastUserName

把 REG_SZ 的键值改成 1 .

2.17 禁止建立空连接

默认情况下，任何用户通过通过空连接连上服务器，进而枚举出帐号，猜测密码。通过修改注册表来禁止建立空连接：

Local_Machine\\System\\CurrentControlSet\\Control\\LSA-RestrictAnonymous 的值改成”1”即可。 2.18 关闭 DirectDraw

这是C2级安全标准对视频卡和内存的要求。修改注册表 HKLM\\SYSTEM\\CurrentControlSet\\Control\\GraphicsDrivers\\DCITimeout(REG_DWORD)为 0 即可。 2.19 关闭默认共享

Win系统安装好以后，系统会创建一些隐藏的共享，要禁止这些共享 ，打

的

8