l Windows 系统安全系统安全配置配置q Windows操作系统安全配置操作系统安全配置l NTFS分区分区把服务器的所有分区都改成把服务器的所有分区都改成NTFSNTFS格式格式。NTFSNTFS文件系统要比文件系统要比FATFAT、FAT32FAT32的文件的文件系统安全得多系统安全得多确认分区确认分区 进入进入DOSDOS 输入命令输入命令: :chkntfschkntfs 盘符盘符q Windows系统安全措施初级篇系统安全措施初级篇l NTFS分区分区转换分区转换分区( (将将FNTFNT分区转换为分区转换为NTFSNTFS分区分区) ) 进入进入DOSDOS 输入命令输入命令:convert :convert 盘符盘符 / /fs:ntfsfs:ntfsq Windows系统安全措施初级篇系统安全措施初级篇l 操作系统安全策略操作系统安全策略利用利用WindowsWindows安全配置工具配置安全安全配置工具配置安全策略策略管理工具管理工具本地安全策略本地安全策略 q Windows系统安全措施中级篇系统安全措施中级篇l 关闭不必要的端口关闭不必要的端口lC:windowssystem32driversetcservicesl具体操作见另外文档具体操作见另外文档 l 开启审核策略开启审核策略安全审核是安全审核是WindowsWindows最基本的入侵检最基本的入侵检测方法。当有人尝试对系统进行某种测方法。当有人尝试对系统进行某种方式入侵时，都会被安全审核记录下方式入侵时，都会被安全审核记录下来来表中所列审核是必须开启的，其他的表中所列审核是必须开启的，其他的可以根据需要增加可以根据需要增加 q Windows系统安全措施中级篇系统安全措施中级篇l 开启审核策略开启审核策略 q Windows系统安全措施中级篇系统安全措施中级篇默认默认下未下未开启开启l 开启审核策略开启审核策略 q Windows系统安全措施中级篇系统安全措施中级篇l 开启密码策略开启密码策略密码对系统安全非常重要。本地安全密码对系统安全非常重要。本地安全设置中密码策略在默认情况下均未开设置中密码策略在默认情况下均未开启启 q Windows系统安全措施中级篇系统安全措施中级篇l 开启密码策略开启密码策略密码对系统安全非常重要。本地安全密码对系统安全非常重要。本地安全设置中密码策略在默认情况下均未开设置中密码策略在默认情况下均未开启启 q Windows系统安全措施中级篇系统安全措施中级篇l 开启帐户密码开启帐户密码开启帐户策略可有效的防止字典式攻开启帐户策略可有效的防止字典式攻击击 q Windows系统安全措施中级篇系统安全措施中级篇l 开启帐户密码开启帐户密码开启帐户策略可有效的防止字典式攻开启帐户策略可有效的防止字典式攻击击 q Windows系统安全措施中级篇系统安全措施中级篇l 不显示上次登录不显示上次登录默认情况下，终端服务接入服务器时，默认情况下，终端服务接入服务器时，登陆对话框中会显示上次登陆帐户名。登陆对话框中会显示上次登陆帐户名。本地登陆对话框也是一样本地登陆对话框也是一样设置方法：管理工具设置方法：管理工具本地安全策略本地安全策略本地策略本地策略安全选项安全选项登录屏幕上登录屏幕上不显示上次登录的用户名不显示上次登录的用户名已启用已启用确定确定q Windows系统安全措施中级篇系统安全措施中级篇l 不显示上次登录不显示上次登录默认情况下，终端服务接入服务器时，默认情况下，终端服务接入服务器时，登陆对话框中会显示上次登陆帐户名。登陆对话框中会显示上次登陆帐户名。本地登陆对话框也是一样本地登陆对话框也是一样设置方法：管理工具设置方法：管理工具本地安全策略本地安全策略本地策略本地策略安全选项安全选项登录屏幕上登录屏幕上不显示上次登录的用户名不显示上次登录的用户名已启用已启用确定确定q Windows系统安全措施中级篇系统安全措施中级篇l 不显示上次登录不显示上次登录修改注册表禁止显示上次登录名修改注册表禁止显示上次登录名 在在HKEY_LOCAL_MACHINE主键下主键下修改子键：修改子键：SoftwareMicrosoftWindowsNTCurrentVersionWinlogonDontDisplayLastUserName，将数值数据改成，将数值数据改成1q Windows系统安全措施中级篇系统安全措施中级篇l 不显示上次登录不显示上次登录修改注册表禁止显示上次登录名修改注册表禁止显示上次登录名 q Windows系统安全措施中级篇系统安全措施中级篇l 不显示上次登录不显示上次登录修改注册表禁止显示上次登录名修改注册表禁止显示上次登录名 q Windows系统安全措施中级篇系统安全措施中级篇l 不显示上次登录不显示上次登录修改注册表禁止显示上次登录名修改注册表禁止显示上次登录名 q Windows系统安全措施中级篇系统安全措施中级篇输入输入1l 不显示上次登录不显示上次登录如果在如果在HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsNTCurrentVersionWinlogon中无中无DontDisplayLastUserName，则创建，则创建一个一个,并将数值数据置为并将数值数据置为1方法方法 右击鼠标右击鼠标新建新建字符串字符串 在项中输入相应名在项中输入相应名 用前面方法修改数值数据用前面方法修改数值数据为为1 1l 禁止建立空连接禁止建立空连接默认情况下，任何用户通过空连接连默认情况下，任何用户通过空连接连上服务器，可以枚举出帐号，猜测密上服务器，可以枚举出帐号，猜测密码码可通过修改注册表来禁止建立空连接可通过修改注册表来禁止建立空连接在在HKEY_LOCAL_MACHINE主键下主键下修改子键：修改子键：SystemCurrentControlSetControlLSARestrictAnonymous，将键值改成，将键值改成“1”q Windows系统安全措施中级篇系统安全措施中级篇l 禁止建立空连接禁止建立空连接q Windows系统安全措施中级篇系统安全措施中级篇l 关闭默认共享关闭默认共享Windows安装后，系统会创建一些隐安装后，系统会创建一些隐藏的共享，可以在藏的共享，可以在DOS提示符下输入提示符下输入命令命令Net Share 查看查看q Windows系统安全措施高级篇系统安全措施高级篇l 关闭共享关闭共享l 关闭关闭139、445端口端口l 安装防火墙，设置端口过滤安装防火墙，设置端口过滤l 给计算机的重要帐户设置复杂密码给计算机的重要帐户设置复杂密码（15，大小写字母符号），大小写字母符号）q 如何防范如何防范IPC$入侵入侵l 关闭默认共享关闭默认共享停止默认共享方法：管理工具停止默认共享方法：管理工具计算计算机管理机管理共享文件夹共享文件夹共享，在相应共享，在相应的共享文件夹上按右键，点停止共享的共享文件夹上按右键，点停止共享q Windows系统安全措施高级篇系统安全措施高级篇q 关闭默认共享关闭默认共享q 关闭默认共享关闭默认共享l 方法四：停止服务法方法四：停止服务法 ( (最简单的方最简单的方式式) )在弹出的在弹出的“常规常规”标签中把标签中把“启动类启动类型型”由原来的由原来的“自动自动”更改为更改为“已禁已禁用用”。然后单击下面。然后单击下面“服务状态服务状态”的的“停止停止”按钮按钮确认q 关闭默认共享关闭默认共享q 关闭默认共享关闭默认共享q 关闭默认共享关闭默认共享q 关闭默认共享关闭默认共享q 关闭默认共享关闭默认共享q 关闭默认共享关闭默认共享q 关闭默认共享关闭默认共享l 139139端口可以通过端口可以通过NBTNBT来屏蔽来屏蔽q 屏蔽屏蔽139端口端口l禁用禁用DumpDump文件文件在系统崩溃和蓝屏的时候，在系统崩溃和蓝屏的时候，Dump文文件是一份很有用资料，可以帮助查找件是一份很有用资料，可以帮助查找问题。然而，也能够给黑客提供一些问题。然而，也能够给黑客提供一些敏感信息，比如一些应用程序的密码敏感信息，比如一些应用程序的密码等等禁止方法：控制面板禁止方法：控制面板系统系统高级高级启动和故障恢复，把写入调试信息改启动和故障恢复，把写入调试信息改成无成无q Windows系统安全措施高级篇系统安全措施高级篇l锁住注册表锁住注册表在在Windows2000Windows2000中，只有中，只有AdministratorsAdministrators和和Backup OperatorsBackup Operators才有从网络上访问注册表的权限。当才有从网络上访问注册表的权限。当帐号的密码泄漏以后，黑客也可以在帐号的密码泄漏以后，黑客也可以在远程访问注册表，当服务器放到网络远程访问注册表，当服务器放到网络上的时候，一般需要锁定注册表上的时候，一般需要锁定注册表q Windows系统安全措施高级篇系统安全措施高级篇l锁住注册表锁住注册表方法：修改方法：修改Hkey_current_user下的下的子键：子键：SoftwaremicrosoftwindowscurrentversionPoliciessystem 。把。把DisableRegistryTools的值改为的值改为0，类，类型为型为DWORDq Windows系统安全措施高级篇系统安全措施高级篇l锁住注册表锁住注册表q Windows系统安全措施高级篇系统安全措施高级篇l禁止判断主机类型禁止判断主机类型黑客利用黑客利用TTL（Time-To-Live，活动，活动时间）值可以鉴别操作系统的类型，时间）值可以鉴别操作系统的类型，通过通过Ping指令能判断目标主机类型指令能判断目标主机类型Ping的用处是检测目标主机是否连通的用处是检测目标主机是否连通q Windows系统安全措施高级篇系统安全措施高级篇l禁止判断主机类型禁止判断主机类型许多入侵者首先会许多入侵者首先会Ping一下主机，因一下主机，因为攻击某一台计算机需要根据对方的为攻击某一台计算机需要根据对方的操作系统，是操作系统，是Windows还是还是Unix。如。如过过TTL值为值为128就可以认为你的系统就可以认为你的系统为为Windows 2000q Windows系统安全措施高级篇系统安全措施高级篇l禁止判断主机类型禁止判断主机类型q Windows系统安全措施高级篇系统安全措施高级篇l禁止判断主机类型禁止判断主机类型q Windows系统安全措施高级篇系统安全措施高级篇l禁止判断主机类型禁止判断主机类型修改修改TTL值，入侵者就无法入侵了值，入侵者就无法入侵了比如将操作系统的比如将操作系统的TTL值改为值改为111，改主键改主键HKEY_LOCAL_MACHINE的子键：的子键：SYSTEMCURRENT_CONTROLSETSERVICESTCPIPPARAMETERSq Windows系统安全措施高级篇系统安全措施高级篇regedit.exel禁止判断主机类型禁止判断主机类型设置完毕重新启动计算机设置完毕重新启动计算机用用Ping指令，发现指令，发现TTL值已被改成值已被改成111q Windows系统安全措施高级篇系统安全措施高级篇l禁止禁止GuestGuest访问日志访问日志在默认安装的在默认安装的Windows NT和和Windows 2000中，中，Guest帐号和匿名帐号和匿名用户可以查看系统的事件日志，可能用户可以查看系统的事件日志，可能导致许多重要信息的泄漏，修改注册导致许多重要信息的泄漏，修改注册表来禁止表来禁止Guest访问事件日志访问事件日志禁止禁止Guest访问应用日志访问应用日志q Windows系统安全措施高级篇系统安全措施高级篇l禁止禁止GuestGuest访问日志访问日志禁止禁止Guest访问应用日志访问应用日志 HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesEventlogApplication 下添加键值名称为：下添加键值名称为：RestrictGuestAccess ，类型为：，类型为：DWORD，将值设置为，将值设置为1q Windows系统安全措施高级篇系统安全措施高级篇l禁止禁止GuestGuest访问日志访问日志系统日志系统日志 HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesEventlogSystem下添加键值名称为：下添加键值名称为：RestrictGuestAccess，类型为：，类型为：DWORD，将值设置为，将值设置为1q Windows系统安全措施高级篇系统安全措施高级篇l禁止禁止GuestGuest访问日志访问日志安全日志安全日志 HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesEventlogSecurity下添加键值名称为：下添加键值名称为：RestrictGuestAccess，类型为：，类型为：DWORD，将值设置为，将值设置为1q Windows系统安全措施高级篇系统安全措施高级篇