禁用TCP/IP上的NetBIOS
NETBIOS:
在安装了TCP/IP协议的同时,NetBIOS也会被作为默认设置安装到系统中。NetBIOS 协议所使用的端[ ]是139端口,139 端[ ]的开放意味硬盘可能会在网络中共享;网上黑客也可通NetBIOS入侵用户计算机中。
操作:
禁用TCP/IP_上的NetBIOS协议,可以关闭监听的UDP 137 (netbios-ns)、UDP 138 (netbios-dgm) 以及TCP 139 (netbios-ssn) 端口。
配置:
1,在控制面板->管理工具- >计算机管理>服务和应用程序>服务中“停用”TCP/IP NetBIOS Helper服务,右键打开属性,在启动类型中选择“禁用”
2、在网络与共享中心,打开本地连接网络的属性对话框,取消选择"Microsoft网络的文件和打印共享"复选框。
3、在网络与共享中心,拼本地连接网络的属性对话框,选中"Internet协议版本4(TCP/IPV4)”选项,单击“属性"按钮,打开"Internet 协议版本4(TCP/IPV4)" )属性”对话框,单击"高级"按钮,打开"高级TCP/IP设置"对话框,在"WINS"选项卡中,选中“禁用TCP/IP 上的NetBIOS".
禁用不必要的服务
配置:
1、查看服务,在控制面板->管理工具>计算机管理>服务和应用程序>服务中打开服务窗口,看到系统中的服务。
2、停用服务,打开系统服务列表,“停止” 不必要的服务,再右键打开属性,在启动类型中选择“禁用”。
关闭“同步主机”服务
同步主机服务:同步系统数据。
配置:
首先在运行”中执行regedit打开注册表,然后在HKEY_ LOCAL MACHINE\SYSTEM\CurrentControlSet\Services下面找到OneSyncSvc、OneSyncSvc xx UserDataSvc和UserDataSvc xoox四个项依次将其中的start值修改为4,退出注册表然后重启服务器即可。
“打开PowerShell脚本块日志记录” 设置为“禁用”
打开PowerShell脚本块日志记录:
此策略设置允许将所有PowerShell脚本输入记录到Microsoft-Windows-PowerShell/操作事件日志中。在微软的加强指导中,他们建议打开该设置,因为记录这些数据可以改进对PowerShell攻击事件的调查。
原因:
PowerShell操作日志上的默认ACL (访问控制列表)允许交互式用户(即任何登录的用户)读取它,因此可能向未授权用户公开密码或其他敏感信息
在PowerShell日志中捕获密码存在潜在的风险。此设置只应用于调试目的,而不是在正常操作中,确保将此设置设置为禁用非常重要。
配置:
打开"开始"菜单的”运行”命令框,输入gpedit.msc, 在本地组策略编辑器窗口中,展开至计算机配置->管理模板- > Windows组件-> WindowsPowerShell,把“打开PowerShell脚本块日志记录”配置为“已禁用”。
”打开PowerShell转录”设置为"禁用”描述:
打开PowerShell转录:
该策略设置允许您将Windows PowerShell命令的输入和输出捕获到基于文本的文件中。
原因:
如果启用此设置,密码可能会以纯文本形式存储在PowerShell _transcript输出文件中,因此可能向未授权用户公开密码或其他敏感信息。
配置:
打开"开始"菜单的”运行”命令框,输入gpedit.msc, 在本地组策略编辑器窗口中,展开至计算机配置- >管理模板- >Windows组件- > WindowsPowerShell,把"打开PowerShell转换" 配置为“已禁用"