windows防入侵安全配置教程(系统配置篇)
1、 禁用TCP/IP上的NetBIOS
关闭此服务以提高系统性能和安全性。(影响:关闭此服务可能会导致网络共享不可用和旧版应用程序不兼容。有局域网应用需求不建议禁用)
禁用TCP/IP上的NetBIOS协议,可以关闭监听的 UDP 137(netbios-ns)、UDP 138(netbios-dgm)以及 TCP 139(netbios-ssn)端口。操作步骤:
①在 计算机管理 > 服务和应用程序 > 服务 中禁用 TCP/IP NetBIOS Helper 服务。
②在网络连接属性中,双击 Internet协议版本4(TCP/IPv4),单击 高级。在 WINS 页签中,进行如下设置:
2、禁用不必要的服务
禁用不必要的服务,请参考:
|
DHcp client |
如果不使用动态IP地址,就禁用该服务 |
|
Background Intelligent Transfer Service |
如果不启用自动更新,就禁用该服务 |
|
ip Helper |
禁用。该服务用于转换IPv6 to IPv4 |
|
Print Spooler |
如果不需要打印,就禁用该服务 |
|
Remote Registry |
禁用。Remote Registry主要用于远程管理注册表 |
|
TCP/IP NetBiOs Helper |
关闭此服务以提高系统性能或安全性。(影响:关闭此服务可能会导致网络共享不可用和旧版应用程序不兼容。) |
3、启用安全选项
操作步骤:打开 控制面板 > 管理工具 > 本地安全策略,在 本地策略 > 安全选项 中,进行如下设置:
|
名称 |
状态 |
备注 |
|
Microsoft 网络服务器:对通信进行数字签名(如果客户端允许) |
启用 |
|
|
Microsoft 网络服务器:对通信进行数字签名(始终) |
启用 |
启用此设置可能影响与客户端、服务和应用程序的兼容性 |
|
Microsoft 网络客户端:对通信进行数字签名(如果服务器允许) |
启用 |
|
|
Microsoft 网络客户端:对通信进行数字签名(始终) |
启用 |
启用此设置可能影响与客户端、服务和应用程序的兼容性 |
|
网络安全:基于 NTLM SSP 的(包括安全 RPC)服务器的最小会话安全 |
启用 |
要求 NTLMV2会话安全 要求 128 位加密 |
|
网络安全: 基于 NTLM SSP的(包括安全 RPC)客户端的最小会话安全 |
启用 |
要求 NTLMV2会话安全 要求 128 位加密 |
|
网络访问:不允许 SAM 帐户的匿名枚举 |
启用 |
默认已启用 |
|
允许系统在未登录前关机 |
禁用 |
默认已禁用 |
