频道栏目
首页 > 安全 > 系统安全 > 正文

NT安全设置

2004-11-24 10:25:29           
收藏   我要投稿

TCP/IP设置:
1、 TCP/IP安全策略


特点:简单、方便,系统已经集成,可以单独对一块网卡进行设置;
缺点:不灵活;只有允许,没有禁止;
这些设置的允许和禁止,跟Firewall、IDS等的允许和禁止有所不同。
端口如果没有在允许的范围内,表示不能在相应的端口上绑定服务(Bingding,或叫监听),
但是用来通讯还是可以的,这在Firewall、IDS中是不允许的。

在上例中,(参见:服务/应用对应端口)
TCP允许:2433,5631(pcAnywhere);
UDP允许:5632(pcAnywhere);
IP协议:6(TCP),17(UDP);

2、 删除不必要的网络服务


3、 不在TCP/IP 上绑定NetBIOS协议


4、 取消IP转发

 


5、 TCP/IP注册表设置
SynAttackProtect
位置: TcpipParameters
类型: REG_DWORD
范围: 0, 1, 2
0 没有保护
1 当TcpMaxHalfOpen 和 TcpMaxHalfOpenRetried 设置条件满足时,减少重发尝试和 延迟
RCE (route cache entry) 建立。
2 in addition to 1 a delayed indication to Winsock is made.)

注意:当系统检测到被攻击时,下面的socket参数将会无效:Scalable windows (RFC 1323
) 和每个网络接口的TCP 参数 (Initial RTT, window size)。这是因为当系统处于保护状态
下时,在SYN-ACK被成功发送之前,不会查询 route cache entry 和Winsock 参数无效.

默认值: 0 (False)
建议值: 2
说明: Synattack 保护会减少SYN-ACKS,重发的次数, 这样就加速了资源被重新的时间; r
oute cache entry 延迟分配,直到连接建立;假如synattackprotect 设为 2, AFD也会被延
时直到三次握手完成。需要注意的是这个保护机制只会在TcpMaxHalfOpen 和TcpMaxHalfOpe
nRetried 的值超过时才生效。

TcpMaxHalfOpen
位置:TcpipParameters
类型:REG_DWORD
范围:100–0xFFFF
默认值: 100 (Professional, Server), 500 (advanced server)
建议值: 默认设置
说明: 这个参数控制在SYN-ATTACK 保护之前,处于SYN-RCVD 状态的连接允许最大数目。如
果SynAttackProtect 设为 1, 确认该值小于AFD Backlog 参数的值(参见 AFD Backlog 参数
) 。

TcpMaxHalfOpenRetried
位置:TcpipParameters
类型:REG_DWORD
范围:80–0xFFFF
默认值:80 (Professional, Server), 400 (Advanced Server)
建议值: 默认设置
说明:这个参数控制在SYN-ATTACK 保护之前,处于SYN-RCVD 状态并已尝试重发的连接允许
最大数目。

EnablePMTUDiscovery
位置:TcpipParameters
类型:REG_DWORD—Boolean
范围:0, 1 (False, True)
默认值:1 (True)
建议值:0
说明:设置为1时,系统会尝试在到达目的路径上寻找最大的MTU值。当设置为0时,系统会在
非内部网络上使用固定的MTU值(576 byte)。

NoNameReleaseOnDemand
位置:NetbtParameters
类型:REG_DWORD
范围:0, 1 (False, True)
默认值:0 (False)
建议值:1
说明:这个参数决定系统收到一个NetBIOS 名字解释请求时,是否进行名字解释。管理员可
以设置该值,以防止系统被恶意者攻击。

EnableDeadGWDetect
位置:TcpipParameters
类型:REG_DWORD
范围:0, 1 (False, True)
默认值:1 (True)
建议值:0
说明:设置为1时, TCP 允许检查无效网关。当默认网关无效时,备份网关将会替代默认网关
,备份网关在TCP/IP协议属性里的“高级”进行设置。

KeepAliveTime
位置:TcpipParameters
类型:REG_DWORD (毫秒)
范围:1–0xFFFFFFFF
默认值:7,200,000 (two hours)
建议值:300,000
说明:这参数控制TCP间隔多长的时间去发送一个keep-alive 数据包,去验证一个空闲的连
接是否存活。如果远程系统仍然存活,它会对这个keep-alive应答。默认情况下, Keep-al
ive 数据包不会被发送,需要程序启用该功能。

PerformRouterDiscovery
位置:TcpipParametersInterfaces
类型:REG_DWORD
范围:0,1,2
0 (无效)
1 (有效)
2 (DHCP 发送的路由发现有效)
默认值:2.
建议值:0
说明:控制是否进行路由发现。

EnableICMPRedirects
位置:TcpipParameters
类型:REG_DWORD
范围:0, 1 (False, True)
默认值:1 (True)
建议值:0 (False)
说明:控制系统从一个网络设备处收到一个ICMP 重定向消息时,是否修改自身的路由表。

系统设置
1、 使用NTFS磁盘文件格式
使用CONVERT命令转换为NTFS磁盘文件格式
CONVERT 卷名 /FS:NTFS [/V]

2、 关闭NTFS 8.3文件格式的支持
NtfsDisable8dot3NameCreation
位置:HKEY_LOCAL_MACHINESYSTEM
类型:REG_DWORD
范围:0, 1 (False, True)
默认值:0 (False)
建议值:1 (True)

3、 删除OS/2 和POSIX 子系统
位置:HKEY_LOCAL_MACHINESOFTWARE
键值:MicrosoftOS/2 Subsystem for NT
操作:删除所有子键

位置:HKEY_LOCAL_MACHINESYSTEM
键值:CurrentControlSetControlSession ManagerEnvironment
名称:Os2LibPath
操作:删除Os2LibPath

位置:HKEY_LOCAL_MACHINESYSTEM
键值:CurrentControlSetControlSession ManagerSubSystems
操作:删除Optional,Posix 和OS/2

4、 禁用LanManager 身份验证
Windows NT Servers Service Pack 4 和后续的版本都支持三种不同的身份验证方法:

l LanManager (LM) 身份验证;
l Windows NT (也叫 NTLM) 身份验证;
l Windows NT Version 2.0 (也叫NTLM2) 身份验证;

默认的情况下,当一个客户尝试连接一台同时支持LM 和 NTLM 身份验证方法的服务器时,L
M 身份验证会优先被使用。基于安全的理由,所以建议禁止LM 身份验证方法。

1. 打开注册表编辑器;
2. 定位到 HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlLsa;
3. 选择菜单“编辑”,“添加数值”;
4. 数值名称中输入:LMCompatibilityLevel ,数值类型为:DWORD,单击 确定;
5. 双击新建的数据,并根据具体情况设置以下值:
0 - 发送 LM 和 NTLM响应;
1 - 发送 LM 和 NTLM响应;
2 - 仅发送 NTLM响应;
3 - 仅发送 NTLMv2响应;(Windows 2000有效)
4 - 仅发送 NTLMv2响应,拒绝 LM;(Windows 2000有效)
5 - 仅发送 NTLMv2响应,拒绝 LM 和 NTLM;(Windows 2000有效)
6. 关闭注册表编辑器;
7. 重新启动机器;

需要获得更多的信息,请参阅: http://support.microsoft.com/support/kb/articles/q1
47/7/06.asp

5、 拒绝guest 用户访问事件日志
在事件日志里,可能存放着一些重要的信息,而且在默认的情况下,Guests和匿名用户是可
以查看事件日志的 , 所以我们必须禁止Guests和匿名用户访问事件日志:

1. 打开注册表编辑器;
2. 定位到 HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesEventLog
3. 选择Application 子目录;
4. 选择菜单“编辑”,“添加数值”;
5. 数值名称中输入:RestrictGuestAccess,数值类型为:DWORD,单击 确定;
6. 双击新建的数据,并设置其值为1 ;
7. 对子目录Security 和 System 重复4-6步骤;

6、 删除所有默认共享
位置:HKEY_LOCAL_MACHINESYSTEM
键值:CurrentControlSetServicesLanmanServerParameters
名字:AutoShareServer
类型:REG_DWORD
 值:0 

7、 取消显示最后登录用户
位置:HKEY_LOCAL_MACHINESOFTWARE
键值:MicrosoftWindows NTCurrent VersionWinlogon
名称:DontDisplayLastUserName
类型:REG_SZ
 值:1

8、 设置密码长度

9、 启用密码复杂性要求
Windows NT 4.0 Service Pack 2 及后续版本包含了一个密码筛选器 DLL 文件 (Passfilt.
dll) ,可以加强用户的更强密码要求。Passfilt.dll 提供加强的安全,可以防范外来侵入
者的“密码猜测”或“字典攻击”。

l 密码不得少于 6 个字符。(在域的“密码策略”中设置更大值可以进一步提高最小密码长
度)。
l 密码必须包含下列 4 类字符中至少 3 类的字符:
- 英语大写字母 A-Z
- 英语小写字母 a-z
- 阿拉伯数字 0-9
- 非文字数字(“特殊字符”)如标点符号
l 密码不能包含用户名和全名的任意部分。

要使用 Passfilt.Dll,管理员必须在所有域控制器的系统注册表中配置密码筛选 DLL。

1. 打开注册表编辑器 (regedt32.exe, 不要使用regedit.exe);
2. 定位到 HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlLsa;
3. 双击 "Notification Packages";
4. 把 PASSFILT 加到新的行 (里面可能包含FPNWCLNT 等其他值)。单击 确定;
5. 关闭注册表编辑器;
6. 重新启动机器;

使用 域用户管理器不受这个设置的影响;


10、 运行SYSKEY工具,启用帐号数据
运行命令:syskey

11、 重命名Administrator帐号
12、 启用Administrator帐号网络锁定
passprop /complex /adminlockout

13、 拒绝未认证用户(匿名)访问注册表
位置:HKEY_LOCAL_MACHINESYSTEM
键值:CurrentControlSetControlSecurePipeServers
名称:winreg

14、 拒绝 Anonymous 帐号(NULL Session)访问
不允许匿名列举用户名、共享名。Service Pack 3 开始提供这个设置。

位置:HKEY_LOCAL_MACHINESYSTEM
键值:CurrentCon

相关TAG标签
上一篇:浅谈sniffer的原理与防范
下一篇:Linux用户安全
相关文章
图文推荐
热门新闻

关于我们 | 联系我们 | 广告服务 | 投资合作 | 版权申明 | 在线帮助 | 网站地图 | 作品发布 | Vip技术培训 | 举报中心

版权所有: 红黑联盟--致力于做实用的IT技术学习网站