[TOC]

1.服务器

0x00 微软杀毒软件停止/启用
由于windows Defender的MsMpSvc Microsoft Antimalware Service 的进程内存使用率高(一般是在服务器上)

执行下面的命令

gpedit.msc
方法一:这时就会打开Windows10的本地组策略编辑器窗口,在窗口中依次点击“计算机配置/管理模板/Windows组件”菜单项。
方法二:在右侧双击打开“关闭windows Defender”;
更新策略:gpupdate /force

0x01 服务器补丁
Windows Vista Service Pack 2(SP2-操作系统)包括自SP1以来发布的所有更新,要安装SP2,必须先安装Windows Vista Service Pack 1

系统要求:

WeiyiGeek.系统要求

WeiyiGeek.系统要求

1) 通过 Windows Update.
Click View available updates. In the list of updates, select Service Pack for Microsoft‌ Windows (KB948465), and then click Install
note:如果未列出SP2,则可能需要在安装SP2之前安装其他一些更新。 安装列为推荐或重要的任何更新,返回到Windows Update页面,然后单击检查更新

2)通过下载SP2补丁包
Service Pack 2(一种适用于 Windows Server 2008 和 Windows Vista 的最新 Service Pack)X64位:
http://www.microsoft.com/zh-cn/download/details.aspx?id=718

问题解决:
https://support.microsoft.com/zh-cn/help/948465/information-about-service-pack-2-for-windows-vista-and-for-windows-ser

0x800B0100 错误解决:

1
2
3
4
5
6
导致这个问题的原因可能是因为Windows安全.dll文件注册不正确。建议您参考下面的文章中的工具进行系统文件修复,看看问题是否解决:
#Error 0x800B0100 when you try to install Windows Updates or Microsoft Updates(仅英文版)
https://support.microsoft.com/en-us/help/956702/error-0x800b0100-when-you-try-to-install-windows-updates-or-microsoft

#使用 DISM 或系统更新准备工具修复 Windows 更新错误
https://support.microsoft.com/zh-cn/help/947821/fix-windows-update-errors-by-using-the-dism-or-system-update-readiness

0x02 防火墙通用配置
一般开启21(FTP) 25(SMTP) 53(DNS) 80(HTTP) 110(POP3) 143(IMAP) 443(Https) 1433(MSSQL) 3306(MYSQL) 5353(MX) 3389(远程桌面) 8888(WebMail)
记得一定要将远程桌面的端口加进去可以打开“Windows防火墙”的‘高级’选项卡RCMP设置,“允许传入回显请求”打上钩,


2.个人电脑

(1)XP:445高危端口封闭
注册表路径:HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\NetBT\Parameters , 修改SMBDeviceEnabled的值为 0 则关闭,1则启动;

WeiyiGeek.XP注册表封闭

WeiyiGeek.XP注册表封闭


(2)关闭U盘自动弹出与禁止优盘自动打开
计算机为了防止移动设备通过usb接口感染病毒,我们会在计算机系统中关闭自启动功能,虽然防止了u盘携带的病毒传入计算机,但这样的方法所带来的问题是插入u盘却没有打开文件方式引导窗口,所以我们需要将u盘自动播放功能服务重新启用,下面是具体操作:

WeiyiGeek.U盘弹出

WeiyiGeek.U盘弹出

方法1:通过本地组策略
1、在CMD中,输入gpedit.msc,然后敲回车键
2、执行gpedit.msc命令后,就打开本地组策略编辑器
用户配置>>管理模板>>windows组件,然后再双击打开“自动播放策略”
3、将左上方的状态改为“已启用”,选项下面的保持“所有驱动器”不变,然后点击右下方的确定和应用按钮,完成设置,这样以后我们将U盘连接电脑后,就不然自动弹出播放的提示窗口,也不会自动打开了

方法2:通过控制面板来设置
选择自动播放,把勾去选上:(不要勾)

WeiyiGeek.控制面板方法

WeiyiGeek.控制面板方法

方法3:通过服务项来关闭
c:\services.msc

WeiyiGeek.服务禁用

WeiyiGeek.服务禁用

Shell Hardware Detection 为自动播放硬件事件提供通知。
或者:临时生效
c:\win>NET STOP ShellHWDetection
Shell Hardware Detection 服务正在停止.
Shell Hardware Detection 服务已成功停止

(3)非管理员账号未设置密码,未设置密码策略
建议设置:
增强口令策略16位大小写字母、Win7设置匿名共享但不让其(Guest)登录,使用Win+R键调出运行,输入secpol.msc->安全设置,
右键“我的电脑”-“管理”-“本地用户和组”-“用户”-“Guest”-“属性”,勾上“帐户已禁用”

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
#策略配置
安全策略->密码与锁定策略策略
密码必须符合复杂性要求 已启用
密码长度最小值 10 个字符
密码最短使用期限 14 天
密码最长使用期限 30 天
强制密码历史 1 个记住的密码
用可还原的加密来储存密码 已禁用
 
帐户锁定时间 15 分钟
帐户锁定阈值 3 次无效登录
重置帐户锁定计数器 15 分钟之后
 
 
本地策略->安全选项
交互式登录:不显示最后的用户名:启用
 
拒绝本地登录 Guest
 
增加日志审计:
审核策略更改:成功
审核登录事件 成功, 失败
审核帐户登录事件 成功, 失败
审核帐户管理 成功, 失败

设置命令:

1
2
3
4
5
net user
compmgmt.msc
net user administrator [email protected]
secpol.msc   #本地安全策略
gpupdate /Force #刷新组策略设置(使组策略立即生效)


(4)机器登录日志开启

WeiyiGeek.

WeiyiGeek.

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
echo @echo off > login.bat
 
@echo off
Whomai >> login.log
date /t >> login.log & time /t >> login.log
netstat -an -p tcp | findstr "ESTABLISHED" >> login.log
echo " ---------------------------------------------------------------- "  >> login.log
``` 
 
<br>
 
**(5)多余的共享清理**
设置共享进行清理再进行设置注册表
```bash
#查看本机共享
C:\Users\min>net share

#删除共享路径 bat
for /f "tokens=1 delims= " %%i in ('net share') do (net share %%i /del) >nul 2>nul

#从注册表中禁止默认共享
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters]
;#禁止系统缺省的共享目录(Admin$,C$,...,但不包括IPC$)。适用于Win NT/2000/XP/2003。重启系统后生效
"AutoShareWks"=dword:00000000 ;#禁止C$、D$、E$一类的共享。如果要允许置为1。
"AutoShareServer"=dword:00000000 ;#禁止Asmin$共享。如果要允许,置为1

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa]
;#禁止匿名访问IPC$。适用于Win NT/2000/XP/2003。如果要允许,置为0
"restrictanonymous"=dword:00000001



(6)网络策略组设置

关闭LLMNR(关闭5355端口)使用组策略关闭,运行->gpedit.msc->计算机配置->管理模板->网络->DNS客户端->关闭多播名称解析->启用

增加网络访问限制:
使用Win+R键调出运行,输入secpol.msc->安全设置->本地策略->安全选项:
网络访问: 不允许 SAM 帐户的匿名枚举:已启用
网络访问: 将 Everyone权限应用于匿名用户:已禁用


(7)设置电源计划无操作时候关闭显示器且使计算机进入睡眠 再次登陆时候需要 账号密码

WeiyiGeek.

WeiyiGeek.

(8)查看机器是不是存在NSA工具利用得漏洞,查看系统更新补丁中是不是存在远程指定高危漏洞

systeminfo | find “KB” >> c:\MS.txt
远程执行漏洞补丁:
KB3011443
KB2757760

(9)设置并查看注册表是不是存在有未知启动项

Msconfig #将不要的进程进行禁用

WeiyiGeek.msconfig

WeiyiGeek.msconfig

reg delete “HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg” /f #删除MSConfig启动里的未勾选项目
reg query “HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run” /S #查看当前自启

3.通用配置

Windows系统安全加固与原理.pdf

4.安全配置脚本

参考Study-program中的脚本