4．本地账户策略：

　　在账户策略->密码策略中设定：

　　密码复杂性要求启用

　　密码长度最小值 6位

　　强制密码历史 5次

　　最长存留期 30天

　　在账户策略->账户锁定策略中设定：

　　账户锁定 3次错误登录

　　锁定时间 20分钟

　　复位锁定计数 20分钟

　　5. 修改注册表配置：

　　5.1 通过更改注册表

　　local_machine\system\currentcontrolset\control\lsa-restrictanonymous = 1来禁止139空连接

　　5.2 修改数据包的生存时间(ttl)值

　　hkey_local_machine\system\currentcontrolset\services\tcpip\parameters

　　defaultttl reg_dword 0-0xff(0-255 十进制,默认值128)

　　5.3 防止syn洪水攻击

　　hkey_local_machine\system\currentcontrolset\services\tcpip\parameters

　　synattackprotect reg_dword 0x2(默认值为0x0)

　　5.4禁止响应icmp路由通告报文

　　hkey_local_machine\system\currentcontrolset

　　\services\tcpip\parameters\interfaces\interface

　　performrouterdiscovery reg_dword 0x0(默认值为0x2)

　　5.5防止icmp重定向报文的攻击

　　hkey_local_machine\system\currentcontrolset\services\tcpip\parameters

　　enableicmpredirects reg_dword 0x0(默认值为0x1)

　　5.6不支持igmp协议

　　hkey_local_machine\system\currentcontrolset\services\tcpip\parameters

　　5.7修改3389默认端口:

　　运行 Regedt32 并转到此项：

　　HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control

　　\Terminal Server\WinStations\RDP-Tcp, 找到“PortNumber”子项，您会看到值 00000D3D，它是 3389 的十六进制表示形式。使用十六进制数值修改此端口号，并保存新值。

　　禁用不必要的服务不但可以降低服务器的资源占用减轻负担，而且可以增强安全性。下面列出了

　　igmplevel reg_dword 0x0(默认值为0x2)

　　5.8 设置arp缓存老化时间设置

　　hkey_local_machine\system\currentcontrolset\services:\tcpip\parameters

　　arpcachelife reg_dword 0-0xffffffff(秒数,默认值为120秒)

　　arpcacheminreferencedlife reg_dword 0-0xffffffff(秒数,默认值为600)

　　5.9禁止死网关监测技术

　　hkey_local_machine\system\currentcontrolset\services:\tcpip\parameters

　　enabledeadgwdetect reg_dword 0x0(默认值为ox1)

上一页  [1] [2] [3] [4] [5] 下一页