1.1.7、XXWINDOWS操作系统维护规程

XX WINDOWS操作系统维护规程

制定：

审核：

批准：

版本：

XX

二O一四年九月

目录

1．1修改管理员帐号和创建陷阱帐号 (3)

1．2删除默认共享存在的危险 (4)

1．3重新设置远程可访问的注册表路径 (6)

1．4关闭不需要的端口 (6)

1.4.1远程终端3389端口合理修改 (8)

1.4.2SQL Server使用1433配置 (11)

1．5正确划分文件系统格式，选择稳定的操作系统安装盘 (12)

1．6正确设置磁盘的安全性 (13)

1．7禁用不必要的服务，提高安全性和系统效率 (13)

1．8禁用不必要的协议 (14)

1．9打开相应的审核策略（安全日志） (14)

1．1修改管理员帐号和创建陷阱帐号

多年以来，微软一直在强调最好重命名Administrator账号并禁用Guest

账号，从而实现更高的安全。在Windows Server 2003中，Guest 账号是缺省禁用的，但是重命名Administrator账号仍然是必要的，因为黑客往往会从Administrator账号入手开始进攻。方法是：打开“本地安全设置”对话框，依次展开“本地策略”→“安全选项”，在右边窗格中有一个“账户：重命名系统管理员账户”的策略，双击打开它，给Administrator重新设置一个平淡的用户名，（请不要使用Admin之类的名字，等于没改，尽量把它伪装成普通用户。）注意使用以下技巧：

1、系统管理员账户最好少建，更改默认的管理员帐户名(Administrator)和描述，密码最好采用数字加大小写字母加数字的上档键组合，长度最好不少于14位。

2、新建一个名为Administrator的陷阱帐号，为其设置最小的权限，然后随便输入组合的最好不低于20位的密码。

3、将Guest账户禁用并更改名称和描述，然后输入一个复杂的密码。

4、在运行中输入gpedit.msc回车，打开组策略编辑器，选择计算机配置

-Windows设置-安全设置-账户策略-账户锁定策略，将账户设为“三次登陆无效”，“锁定时间0分钟”，“复位锁定计数设为30分钟”。

5、在安全设置-本地策略-安全选项中将“不显示上次的用户名”设为启用

6、在安全设置-本地策略-用户权利分配中将“从网络访问此计算机”中只保留Internet来宾账户、启动IIS进程账户。如果你使用了还要保留Aspnet账户。

7、创建一个User账户，运行系统，如果要运行特权命令使用Runas命令。

8、在账户属性对话框中，可以限制用户登录的时间和地点。单击其中的“登录时间”按钮，在这里可以设置允许该用户登录的时间，这样就可防止非工作时间的登录行为。单击其中的“登录到”按钮，在这里可以设置允许该账户从哪些计算机乾地登录。另外，还可以通过“账户”选项来限制登录时的行为。例如使

用“用户必须用智能卡登录”，就可避免直接使用密码验证。除此之外，还可以引入指纹验证等更为严格的手段。

1．2删除默认共享存在的危险

Windows2003系统会默认一些隐藏的共享，可以用 net share 查看共享。所以我们要禁止或删除这些共享以确保安全，方法是：首先编写如下内容的批处理文件：

@echo off

net share C$ /del

net share D$ /del

net share E$ /del

net share F$ /del

net share admin$ /del

net share IPC$ /del

以上批处理内容可以根据实际情况需要修改。保存为delshare.bat，存放到系统所在文件夹下的system32\GroupPolicy\User\Scripts\Logon目录下。然后在开始菜单→运行中输gpedit.msc，回车即可打开组策略编辑器。点击用户配置→Window设置→脚本(登录/注销)→登录，在出现的“登录属性”窗口中单击“添加”，会出现“添加脚本”对话框，在该窗口的“脚本名”栏中输入delshare.bat（如图1），然后单击“确定”按钮即可。这样就可以通过组策略编辑器使系统开机即执行脚本删除系统默认的共享。

禁用IPC连接

IPC是Internet Process Connection的缩写，也就是远程网络连接。它是Windows NT/2000/XP/2003特有的功能，其实就是在两个计算机进程之间建立通信连接，一些网络通信程序的通信建立在IPC上面。默认情况下，IPC是共享的，因此，这种基于IPC的入侵也常常被简称为IPC入侵。建立IPC连接不需要任何黑客工具，在命令行里键入相应的命令就可以了，不过有个前提条件，那就是你需要知道远程主机的用户名和密码。打开CMD后输入如下命令即可进行连接：

net use\\ip\ipc$ "password" /user:"usernqme"。我们可以通过修改注册表来禁用IPC连接。打开注册表编辑器。找到

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa中的restrictanonymous子键，将其值改为1即可禁用IPC连接。

方法二：打开注册表

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\par ameters，在右边的窗口中新建Dword值，名称设为AutoShareServer值设为0

1．3重新设置远程可访问的注册表路径

设置远程可访问的注册表路径为空，这样可以有效地防止黑客利用扫描器通过远程注册表读取计算机的系统信息及其它信息。打开组策略编辑器，然后选择“计算机配置”→“Windows设置”→“安全选项”→“网络访问：可远程访问的注册表路径”及“网络访问：可远程访问的注册表”，将设置远程可访问的注册表路径和子路径内容设置为空即可。这样可以有效防止黑客利用扫描器通过远程注册表读取计算机的系统信息及其它信息。（如图2）

1．4关闭不需要的端口

139端口是Netbios使用的端口，在以前的Windows版本中，只要不安装Microsoft网络的文件和打印共享协议，就可关闭139端口。在Windows Server 2003中，只这样做是不行的。如果想彻底关闭139端口，方法如下：鼠标右键单击“网络邻居”，选择“属性”，进入“网络和拨号连接”，再用鼠标右键单击“本地连接”，选择“属性”，打开“本地连接属性”页，然后去掉“Microsoft网络的文件和打印共享”前面的“√”（如图3），接下来选中“Internet协议(TCP/IP)”，单击“属性”→“高级”→“WINS”，把“禁用TCP/IP上的NetBIOS”选中（如图3），即大功告成！这样做还可有效防止SMBCrack