windows加固-网络安全配置

提示：文章写完后，目录可以自动生成，如何生成可参考右边的帮助文档

协议安全

SYN攻击保护

原因：防止因为SYN Flood攻击导致的服务器当机。SYN Flood攻击之前的文章有说明了。
配置：
在”开始->运行->键入regedit" ，根据推荐值配置windowsservice的注册表键值。
以下部分中的所有项和值均位于以下注册表项目录中
HKEY_ LOCAL MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\，新建DWORD值,根据站点规则配置。
(1)启用SYN攻击保护的值名称:
值名称: SynAttackProtect, 推荐值: 2;
(2)指定必须在触发SYN flood保护之前超过的TCP连接请求阈值:
值名称:值TcpMaxPortsExhausted, 推荐值: 5;
(3)启用SynAttackProtect后，该值指定SYN RCVD状态中的TCP连接阈值，超过
SynAttackProtect时，触发SYN flood保护:
值名称: TcpMaxHalfOpen。 推荐值数据: 500;
(4)启用SynAttackProtect后，指定至少发送了一次重传的SYN RCVD状态中的TCP连
接阈值。超过SynAttackProtect时，触发SYN flood保护:
值名称: TcpMaxHalfOpenRetried. 推荐值数据: 400.

启用TCP/IP筛选(关闭139端口为例)

原因：通过过滤不必要的端口，提高系统安全性。对没有自带windows系统，启用Windows系统的安全机制（IPSec）或网络连接上的TCP/IP筛选，只开放需要的TCP、UDP端口和IP协议。

配置：
1,进入"控制面板->管理工具->本地安全策略”， “IP安全策略,在本地计算机”，右键菜单选择” 创建IP安全策略"。
2,在打开的向导中单击“下一步”按钮，打开"IP安全策略名称”对话框，在"名称”文本框输入“我的安全策略”。
3，单击"下一步”按钮,拼”安全通讯请求”对话框，取消选择激活默认响应规则”复选框，絀“下一步”按钮，再单击“完成”按钮打开"我的安全策略属性"对话框
4。在“规则”选项卡中，取消选择"使用’添加向导’”复选框，再单击“添加”按钮，打开”新规则属性"对话框;
5。点击=击“添加”按钮，打开"IP筛选器列表” 对话框，在“名称文本框中输入"屏蔽135端口”，取消选择“使用添加向导”复选框;
6。击“添加”按钮,开"IP筛选器属性”对话框，在"地址”选项卡中，在“源地址”下拉列表框中选择”任何IP地址”选项，在”目
标地址”下拉列表框中选择"我的IP地址”选项;
7。“协议”选项卡中，选择协议类型为"TCP" ，选中"从任意端口和“到此端口”单选按钮，并在其下的文本框中输入端口号"135" ;
8,单击"确定”按钮，返回"IP筛选器列表”对话框，再单击"确定”按钮，返迥"编辑规则属性”对话框，可以看到已经添加了一条"屏蔽135端口”筛选器，它可以防止外界通过135端口连上用户的计算机。同理可添加其他IP筛选器。
9,选择“屏蔽135端口”筛选器，然后单击其左边的圆圈，表示已经激活，然后选择"筛选器操作”选项卡，取消选择"使用’添加向导’复选框，单击“添加”按钮，打开"新筛选器操作 属性”对话框;
10,选中"阻止”单选按钮，然后单击"确定”按钮，返回"编辑规则属性”对话框,在“筛选器操作”选项卡中，可以看到已经添加了一个新的筛选器操作，选择”新筛选器操作”选项，然后单击其左边的圆圈，表示已经激活。

关闭ICMP (禁ping)

原因：防止恶意DDOS攻击，禁止被ping。
配置：
启用windows系统防火墙，在”运行”中执行WF.msc打开“高级安全Windows防火墙”，并选中左侧的“入站规则”，从默认的规则里面双击“文件和打印机共享(回显请求- ICMPv4-In)" 在“常规”中选中已启用”，并在"操作”中选中"阻止连接”，最后“确定"保存即可。

更改远程终端默认3389端口

原因：通过更改远程桌面的端口来避免被黑客爆破或者占用连接的情况。
配置：
运行regedit打开注册表程序，需要修改注册表的两个地方:
HKEY_ LOCAL MACHINE\System\CurrentControlSet\Control\Terminal Server\Wds\repwd\Tds\tcp
HKEY_ LOCAL MACHINE\SYSTEM\CurrentControlSet\Control\TerminalServerWinStations\RDP-Tcp
将上述两个地方右侧PortNumber的值修改成新的端口号(建议将基数设置为十进制)。
设置完了之后关闭注册表重启服务器并且把新端口加到防火墙白名单中。

关闭445，5355端口

445端口：netbios用来再局域网内解析机器名的服务器。有了它我们可以在局域网中轻松访问各种共享文件夹或共享打印机。
5355端口：本地链路多播名称解析使用端口，也叫多播DNS，用于解析 本地网络上的名称。
原因：windows中很多端口是默认开放的，对于开放445端口的主机，一般尝试利用溢出漏洞对远程主机进行攻击，或者获取共享服务的一些敏感信息，它还是一些流行病毒的后门端口。
配置：
关闭445端口：
打开注册表，在HKEY LOCAL MACHINE\SYSTEM\CurrentControlSet\Services
\NetBT\ Parameters位置，在右侧右键并依次选择’ 新建”-“ Dword值”，名称设置为SMBDeviceEnabled,值设置为0。
关闭5355端口：
打开“运行
输入gpedit.msc打开“本地组策略编辑器”，依次选择 “计算机配置”一“ 管理模板”-“网络”一“DNS客户端”在右侧双击“关闭多播名称解析”项，然后设置为“已禁用”。

系统防火墙

开启防火墙

配置：
进入“ 控制面板->管理工具->本地安全策略
在“高级安全Windows防火墙高级安全Windows防火墙-本地组策略对象\ Windows防火墙属性\域配置文件\防火墙状态”， 设置为已启用。

入站连接设置为 “阻止(默认)“

配置：
进入’ 控制面板->管理工具->本地安全策略”
在“高级安全Windows防火墙\高级安全Windows防火墙本地组策略对象\Windows防火墙属性\域配置文件\入站连接”， 设置为“阻止(默认)。

出站连接设置为"允许(默认)”

配置：
进入。控制面板->管理 工具->本地安全策略
在“高级安全Windows防火墙高级安全Windows防火墙本地组策略对象\ Windows防火墙属性\域配置文件\出站连接”，设置为 “允许(默认)。

防火墙显示通知设置为否

原因：
当“应用本地防火墙规则”设置配置为“否”时，建议还将“显示通知设置配置为”否”。否则，用户将继续接收询问是否要取消阻止受限入站连接的消息，但用户是回复是被忽略的。防火墙通知可能很复杂，并且可能会使无法处理警报的最终用户感到困惑。

配置：
进入控制面板->管理工具->本地安全策略"在“高级安全Windows防火墙\高级安全Windows防火墙本地组策略对象\ Windows防火墙属性\设置\自定义\显示通知”设置为“否”。