Windows安全加固（三）

五、网络安全配置

协议安全

1、SYN攻击保护

指定触发SYN洪水攻击保护所必须超过的TCP连接请求数阈值为5；指定处于SYN_RCVD状态的TCP连接数的阈值为500，指定处于至少已发送一次重传的SYN_RCVD状态中的TCP连接数的阈值为400.

使用windows+R打开运行，输入“regedit”打开注册表编辑器—>根据推荐值配置windows service的注册表键值。

实施步骤:

以下部分中的所有项和值均位于以下注册表项目录中

HKEY_ LOCAL MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\，

新建DWORD值，根据站点规则配置。

(1)启用SYN攻击保护的值名称:

值名称: SynAttackProtect, 推荐值: 2;

(2)指定必须在触发SYN flood保护之前超过的TCP连接请求阈值:

值名称:值TcpMaxPortsExhausted,推荐值: 5;

(3)启用SynAttackProtect后，该值指定SYN _RCVD状态中的TCP连接阈值，超过SynAttackProtect时，触发SYN flood保护:

值名称: TcpMaxHalfOpen。推荐值数据: 500;

(4)启用SynAttackProtect后，指定至少发送了-次重传的SYN RCVD状态中的TCP连接阈值。超过SynAttackProtect时，触发SYN flood保护:

值名称: TcpMaxHalfOpenRetried。 推荐值数据: 400.

2、 启用TCP/IP筛选（以关闭139端口为例）（了解，以防火墙为主）

使用windows+R打开运行，输入“secpol.msc”打开本地安全策略—>“IP安全策略，在本地计算机”—>选中右击“创建IP安全策略”—>在打开的向导中单击“下一步”按钮—>打开“IP安全策略名称”对话框—>在“名称”文本框中输入“我的安全策略”—>“下一步”—>取消选择“激活默认响应规则” —>“下一步”—>“完成”。

在“规则”选项卡中，取消“使用‘添加向导‘ ”复选框—>单击“添加”打开“新规则 属性”对话框—>“添加”—>在名称文本框输入“屏蔽135端口”—>取消选择“使用添加向导”—>“添加”—>在“地址”选项卡中—>在“源地址”下拉列表框中选择“任何IP地址”—>目标地址中选择“我的IP地址”，“协议”选项卡—>选择“协议类型”为“TCP”，“从任意端口”，“到此端口”—>在其文本框中输入端口号“135” —>“确定”—>选中协议“确定”—>“下一步”—>“下一步”—>“添加”—>“下一步—>“组织”—>“下一步“—>”完成“—>在安全向导中选中”新筛选器操作“—>”下一步“—>”完成“—>”确定“。

选中后，右键选择“分配“。

3、关闭ICMP（禁ping）

使用Win+r，打开命令提示符—>输入“WF.msc“打开高级安全widows防火墙—>选中”入站规则“—>找到并双击”文件和打印机共享（回显请求 – ICMPv4-属性）“—>在”常规“中—>”阻止连接“—>”确定“。

3、 更改远程终端默认3389端口

使用Win+r—>输入“regedit“—>打开注册表编辑器，修改2个地方

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Terminal Server\Wds\repwd\Tds\tcp

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\TerminalServer\WinStations\repwd\Rdp-Tcp

将上述2个地方右侧PortNumber的值修改成新的端口号（基数为十进制）

设置完成后关闭注册表，重启服务器即可生效（设置防护墙时，将防火墙加入白名单），允许主机接入到虚拟机中的12345端口中。

5、 关闭445，5355端口

445局域网内用来解析机器名的服务端口，一般需要对LAN开放共享；5355本地链路多播名称解析使用端口，用于解析本地网段上的名称。

关闭445端口

使用Win+r—>输入“regedit“—>打开注册表编辑器，HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\NetBT\Parameters—>在右侧右击—>”新建“—>”Dword值“—>名称设置为SMBDeviceEnabled，值为0。

关闭5355端口

使用“win+r“，输入”gpedit.msc“打开本地组策略编辑器—>选择“计算机配置”—>“管理模板”—>“网络”—>“DNS客户端”—>右侧双击“关闭多播名称解析”项—>设置为“已禁用”。

系统防火墙

（1）开启防火墙

通过GP建立建议的配置

使用“win+r“，输入”secpol.msc “打开本地安全策略—>在”高级安全Windows防火墙“\高级安全Windows防火墙-本地组策略对象\Windows防火墙属性\域配置文件\防火墙状态—>设置为”已启用“。

（2）入站连接设置为“阻止（默认）”

（3）出站连接设置为“允许（默认）”

（4）防火墙显示通知设置为“否“

使用“win+r“，输入”secpol.msc “打开本地安全策略—>在”高级安全Windows防火墙“\高级安全Windows防火墙-本地组策略对象\Windows防火墙属性\设置\自定义\显示通知设置为”否“。

（5）禁用IPV6

绝大多数私有企业管理的网络不需要使用IPV6（因为他们可以访问私有IPV4寻址）。

使用Win+r—>输入“regedit“—>打开注册表编辑器，HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\TCPIP6\Parameters—>新建DisabledComponents的DWOED子键，将键值设置为0xff（255）。

六、文件权限

1、隐藏重要文件* （修改注册表后不可查看隐藏文件）

作用：保护电脑隐私或重要文件，让系统更健壮。

使用快捷键“Windows+R”—>输入“regedit” —>打开HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL找到“CheckedValue”项双击打开—>设置数值数据的值为“0” —>确定后退出注册表即可。

双击“计算机”—>在左上角菜单单击“查看”—>“隐藏的项目”。

2、开启审核功能来记录文件删除操作（日志审核记录【记录敏感文件删除操作】）

Windows上某些文件异常删除，打包，配置审核文件系统的功能记录文件操作日志。

目的：通过组策略开启审核功能来让配置审核文件系统的功能排查入侵活动。

（1）配置组策略

使用快捷键“Windows+R”—>输入“gpedit.msc”打开组策略编辑器 —>打开“计算机配置”—>“Windows设置”—>“安全设置”—>“高级审核策略配置”—>“系统审核策略”—>“对象访问”—>双击右侧的“审核文件系统“—>勾选”配置以下审核事件“以及”成功“项，”失败“项不需要打勾—>”确定“。

（2）添加审核目录

右键单击需要审核的文件夹—>选择“属性“—>”安全“—>单击”高级“按钮—>选择”审核“—>添加要审核的用户、组—>在”审核项目“中勾选和删除相关的项目。（需审核everyone对于该文件夹和子文件夹的删除动作）

例如：在测试环境中C：\test配置

选中需要配置的文件test—>右键单击—>选择“属性“—>”安全“—>单击”高级“按钮—>选择”审核“—>添加针对主体”everyone“—>审核高级权限—>勾选“删除子文件夹及文件”—>”删除‘2条—>“确定”—>“确定”。

（3）测试

删除C：\temp\testfile.txt—>在安全日志找到事件记录—>显示administrator用户通过explorer.exe进行了操作。

共享文件夹及访问权限

1、 共享文件夹权限（需要共享的文件夹权限根据个人需要设置，不设置为everyone）

目的：设置共享文件夹权限，防止用户非法访问。只允许授权的账户拥有权限共享此文件夹。

使用快捷键“Windows+R“—>输入”compmgmt.msc “打开“计算机管理”—>在共享文件夹中查看每个共享文件夹的共享权限。

2、 关闭共享文件夹

在“power shell”中—>输入“net share”查看共享资源—>输入“net share ADMIN$/delete”删除ADMIN$共享资源—>输入“net share C$/delete”删除C$共享资源—>输入“net share”验证是否已删除ADMIN$、C$共享资源。

IPC$共享资源不能被net share命令删除，注册表编辑器可对它进行限制使用。

使用快捷键“Windows+R”—>输入“regedit” —>打开HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Lsa中的restrictanonymous子键—>将其值改为“1”（若没有此键，新建一个即可），此时一个匿名用户仍然可以空连接到IPC$共享，但无法通过此空连接列举SAM账号和共享信息权限。