win2000server安全设置的一些小技巧[推荐] Hive: HKEY_LOCAL_MACHINE Key: System\Controlset\Services\NetBT\Parameters Name: SMBDeviceEnabled Type: REG_DWORD value: 0 修改完后重启机器,运行“netstat -an”,你将会发现你的445端口已经不再Listening了。 2.如何使用IPSec保护我的网络通信? 加密:使准备在两个终结点之间传输的数据难以辨认的过程。通过使用充分测试的算法,每个终结点都创建和交换密钥。该过程确保只有这些终结点知道密钥,而且如果任何密钥交换序列被拦截,拦截者不会得到任何有价值的内容。 筛选器:对 Internet 协议 (IP) 地址和协议的描述,可触发 IPSec 安全关联的建立。 筛选器操作:安全要求,可在通信与筛选器列表中的筛选器相匹配时启用。 筛选器列表:筛选器的集合。 Internet 协议安全策略:规则集合,描述计算机之间的通讯是如何得到保护的。 规则:筛选器列表和筛选器操作之间的链接。当通信与筛选器列表匹配时,可触发相应的筛选器操作。IPSec 策略可包含多个规则。 安全关联:终结点为建立安全会话而协商的身份验证与加密方法的集合。 在 Microsoft 管理控制台中查找 IPSec 更改 IP 地址、计算机名和用户名 通过使用 Abczz 程序互相连接时,Alice 和 Bob 必须确保通信是被加密的。当 Abczz 建立其连接时,启动程序使用其本身上的随机xx口并连接(出于本示例中的目的)到 6667/TCP 或 6668/TCP 端口上的目标(其中,TCP 是"传输控制协议"的缩写)。通常,这些端口用作 Internet 多线交谈 (IRC)。因为 Alice 或 Bob 均可发起连接,所以该策略必须存在于两端。 创建筛选器列表 将显示带有两个选项卡的对话框:一个用于筛选器列表,另一个用于筛选器操作。首先,打开管理 IP 筛选器列表选项卡。已经有两个预先定义的筛选器列表,您不会使用它们。相反,您可以创建一个特定的筛选器列表,使其与要连接到的其他计算机对应。 假设您在 Alice 的计算机上创建策略: 单击添加添加新筛选器。将启动一个向导。 单击我的 IP 地址作为源地址。 单击一个特定的 IP 地址作为目标地址,然后输入 Bob 的计算机的 IP 地址 (172.31.67.244)。或者,如果 Bob 的计算机已在域名系统 (DNS) 或 Windows Internet 名称服务 (WINS) 中注册,则可选择特定的 DNS 名,然后输入 Bob 的计算机名,Bobslap。 Abczz 使用 TCP 进行通讯,因此单击 TCP 作为协议类型。 对于 IP 协议端口,单击从任意端口。单击到此端口,键入:6667,然后单击完成完成该向导。 重复上述步骤,但这次键入:6668作为端口号,然后单击关闭。 您的筛选器列表中包含两个筛选器:一个在端口 6667 (属于 Bob)上用于从 Alice 到 Bob 的通讯,另一个在端口 6668 (属于 Bob)上。(Bob 在自己的计算机上设置了 6667 和 6668 两个端口:一个端口用于传出的通讯,另一个用于传入的通讯。)这些筛选器是镜像的,每次创建 IPSec 筛选器时通常都需要如此。对于已镜像的每个筛选器,该列表可包含(但不显示)与其正好相反的筛选器(即目标和源地址与其相反的筛选器)。如果没有镜像筛选器,IPSec 通讯通常不成功。 创建筛选器操作 若要创建新操作,请: 对于常规选项,单击协商安全,然后单击不和不支持 IPsec 的计算机通讯。 单击 IP 通信安全性为高选项,然后单击完成以关闭该向导。 双击新的筛选器操作(前面命名的"Encrypt Abczz")。 单击xx接受不安全的通讯,但总是用 IPSec 响应复选框。这一步骤确保计算机在发送 Abczz 数据包之前必须协商 IPSec。 单击会话密钥xx向前保密以确保不重新使用密钥资料,单击确定,然后单击关闭。 创建 IPSec 策略 单击xxxx默认响应规则复选框。 单击编辑属性(如果未选中的话),然后完成该向导。该策略的属性对话框将打开。 为使 IPSec 策略有效,它必须至少包含一个将筛选器列表链接到筛选器操作的规则。 若要在属性对话框中指定规则,请: 单击局域网 (LAN) 作为网络类型。 如果 Alice 和 Bob 的计算机位于同一个 Windows 2000 域中,单击 Windows 2000 默认值(Kerberos V5 协议)作为身份验证方法。如果不在一个域中,则单击使用此字串来保护密钥交换(预共享密钥),然后输入字符串(使用您可记住的长字符串,不要有任何键入错误)。 选择前面创建的筛选器列表。在此示例中,该筛选器列表为"Abczz to Bob's PC"。然后,选择前面创建的筛选器操作。在此示例中,该筛选器操作为"Encrypt Abczz"。 完成该向导,然后单击关闭。 配置其他终结点 指派策略 单击指派。 一次只能指派一个 IPSec 策略,但是一个策略可根据需要拥有多个规则。例如,如果 Alice 还需要通过使用不同的协议保护与 Eve 的通讯,则您必须创建相应的筛选器列表和操作,并向 IPSec (属于 Alice)添加一个规则,以便将特定的筛选器列表和筛选器操作链接起来。单击为此规则使用不同的共享密钥。Alice 的策略现在有两个规则:一个用于与 Bob 进行 Abczz 通讯,另一个用于与 Eve 进行通讯。因为 Bob 和 Eve 无需安全地互相通讯,所以 Bob 的策略中未添加任何规则,Eve 的策略中包含一个用于与 Alice 进行通讯的规则。 疑难解答 键入:ipsecmon,然后按 ENTER 键。 单击选项。 将刷新间隔更改为 1。 必须在不同终结点之间建立通讯。可能会有一个延迟,这是由于终结点需要几秒钟时间来交换加密信息并完成安全关联。可在 IPSecMon 中观察此行为。当这两个终结点都建立了它们的安全关联,可在 IPSecMon 中观察到显示此行为的条目。 如果期望的安全协商没有建立,则返回并检查每个终结点上的筛选器列表。在您方便地将源地址和目标地址或端口反向时,确保已经收到所使用协议的正确定义。您可能要考虑创建一个指定所有通信的新筛选器列表。同样,可向使用此筛选器列表的策略添加一个新规则,然后禁用现有的规则。在两个终结点上执行这些步骤。然后,可使用 ping 命令测试连接性。ping 命令在安全关联阶段可显示"Negotiating IP security"(正在协商 IP 安全),然后显示建立安全关联之后的正常结果。 NAT 与 IPSec 不兼容 参考 3.如何更改Terminal Server的端口 服务器端的修改: Key: HKLM\SYSTEM\CurrentControlSet\Control\Terminal Server\Wds\rdpwd\Tds\tcp Name: PortNumber Type: DWORD Valus:任意值 Key: HKLME\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp Name: PortNumber Type: DWORD value:和上面值一致 注:需重启后生效。 然后我们修改客户端,打开Terminal Server Client的客户端管理器,导出连接文件(后缀名为cns),用记事本打开该cns文件,搜索"Server Port",修改该值,与服务器保持一致即可(注意进制的转换)。{zh1}导入该cns文件至Terminal Server的客户端管理器。 4.如何禁止Guest访问事件日志? 应用日志: Key: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Eventlog\Application Name: RestrictGuestAccess Type: DWORD value: 1 系统日志: Key: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Eventlog\System Name: RestrictGuestAccess Type: DWORD value: 1 安全日志: Key: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Eventlog\Security Name: RestrictGuestAccess Type: DWORD value: 1 5.如何删除管理共享(C$,D$...)? 对于服务器而言: Key: HKLM\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters Name: AutoShareServer Type: DWORD value: 0 对于工作站而言: Key: HKLM\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters Name: AutoShareWks Type: DWORD value: 0 修改注册表后需要重启Server服务或重新启动机器。 注:这些键值在默认情况下在主机上是不存在的,需要自己手动添加。 6.如何禁止恶意用户使用FileSystemObject? 1、修改注册表,将FileSystemObject改成一个任意的名字,只有知道该名字的用户才可以创建该对象, [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{0D43FE01-F093-11CF-8940-00A0C9054228}\ProgID] 2、运行Regsvr32 scrrun.dll /u,所有用户无法创建FileSystemObject。 3、运行cacls %systemroot%\system32\scrrun.dll /d guests,匿名用户(包括IUSR_Machinename用户)无法使用FileSystemObject,我们可以对ASP文件或者脚本文件设置NTFS权限,通过验证的非Guests组用户可以使用FileSystemObject。 7.如何禁止显示上次登陆的用户名? Key: HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Winlogon Name: DontDisplayLastUserName Type: REG_DWORD value: 1 8.如何禁止匿名用户连接你的IPC$共享? Key:HKLM\SYSTEM\CurrentControlSet\Control\Lsa Name: RestrictAnonymous Type: REG_DWORD value: 1 | 2 说明:把该值设为1时,匿名用户无法列举主机用户列表; 把该值设为2时,匿名用户无法连接你的IPS$共享,不建议使用2,否则可能会造成你的一些服务无法启动,如SQL Server... |
