配置Windows系统安全评估——IP协议安全配置

windows-配置IP访问策略windows-配置IP访问策略windows 配置IP访问策略附件：配置IP安全策略禁止访问1、打开组策略编辑器，在运行中输入gpedit.msc ；2、1、打开：计算机配置>Winodws设置>安全设置>IP 安全策略，在本地计算机3、在“IP 安全策略，在本地计算机”单击右键，选择“创建IP 安全策略”4、输入策略名称“禁止访问1521”，然后选择下一步>选择“激活默认响应规则“，然后选择下一步>选择”选择Active Directory 默认值（Kerberos V5协议）“，然后选择下一步>弹出警告框，选择是>选择编辑属性，点击完成。

5、选择添加6、选择下一步7、选择“此规则不指定隧道”8、选择“所有网络连接”点击下一步9、选择“添加”10、输入“名称”然后点击添加11、然后连续点击两次下一步，直到下弹出下面窗口，源地址选择“任何IP地址“，点击下一步。

12、目标地址选择“我的IP地址“，点击下一步13、IP协议类型选择“TCP“，点击下一步14、IP协议端口，选择“从任意端口“到”1521端口“，点击下一步然后点完成。

15，打开规则属性页面，选择“筛选器操作“页面16、输入名称17，选择“阻止“，点击下一步，然后点完成。

18、选择新建的筛选器，然后点击应用。

19、在新建策略上单击右键，选择“指派“20、在运行中输入“gpupdate“回车，更新本地安全策略。

只允许特定主机访问445端口要设置只允许某个特定主机或网段访问445端口（同样可应用于其它端口号）其步骤如下：一、首先建立一条组策略（组策略中包含“策略拒绝所有主机访问445端口”策略和“允许特定主机访问445端口”二条子策略）。

二、建立子策略一“策略拒绝所有主机访问445端口”三、建立子策略二“允许某个特定主机或网段访问445端口”四、添加子策略到组策略中，并指派策略生效并（使用gpupdate命令）更新组策略。

如何进行Windows操作系统安全加固？本文章主要是讲系统管理人员或安全检查人员进行Windows操作系统的安全合规性检查和配置。

账户管理和认证授权1、账户：默认账户安全、禁用Guest账户、禁用或删除其他无用账户操作步骤：打开控制面板 > 管理工具 > 本地安全策略，在本地策略 > 安全选项中，双击交互式登录:不显示最后的用户名，选择已启用并单击确定。

...2.口令：密码复杂度，密码复杂度要求必须满足以下策略：最短密码长度要求八个字符；启用本机组策略中密码必须符合复杂性要求的策略。

.操作步骤：打开控制面板 > 管理工具 > 本地安全策略，在帐户策略 > 密码策略中，确认密码必须符合复杂性要求策略已启用。

..3.密码最长留存期：对于采用静态口令认证技术的设备，帐户口令的留存期不应长于90天。

.操作步骤打开控制面板 > 管理工具 > 本地安全策略，在帐户策略 > 密码策略中，配置密码最长使用期限不大于90天。

...4.帐户锁定策略：对于采用静态口令认证技术的设备，应配置当用户连续认证失败次数超过10次后，锁定该用户使用的帐户。

.操作步骤：打开控制面板 > 管理工具 > 本地安全策略，在帐户策略 > 帐户锁定策略中，配置帐户锁定阈值不大于10次。

...5.授权：.远程关机：在本地安全设置中，从远端系统强制关机权限只分配给Administrators组。

.操作步骤：打开控制面板 > 管理工具 > 本地安全策略，在本地策略 > 用户权限分配中，配置从远端系统强制关机权限只分配给Administrators组。

..6.授权：.本地关机：在本地安全设置中关闭系统权限只分配给Administrators组。

.操作步骤：打开控制面板 > 管理工具 > 本地安全策略，在本地策略 > 用户权限分配中，配置关闭系统权限只分配给Administrators组。

实验七操作系统安全配置姓名：学号：班级：2班实验组别：同组实验者姓名：指导教师：章恒日期：成绩：【实验报告要求】1．使用软件对一台操作系统是Windows 2000 Server的计算机进行风险评估，并写出风险评估报告。

实验一网络安全扫描工具Nessus的使用1、网络安全扫描工具Nessus的安装。

（2）配置扫描策略。

如下图所示。

（3）新建一个扫描任务，并开始扫描。

（4）查看扫描报告3、扫描主机和网络。

利用Neessus的功能，对指定的主机和学生所在的网络进行服务和端口开放等情况的扫描。

信息安全风险评估软件RiskAssess的使用【实验前需要学习掌握的知识】1、复习信息安全风险评估的基本过程，了解信息安全风险评过程的每一个阶段需要完成的工作；2、掌握矩阵法和相乘法两种常用的安全风险计算方法。

【实验目的】1、掌握信息安全风险评估软件RiskAssess的安装方法和主要功能；2、利用信息安全风险评估软件RiskAssess完成一个信息安全风险评估实例。

【实验内容】1、风险评估软件RiskAssess的安装打开安装盘，运行可执行文件Setup.exe，进入软件安装界面，如下图所示。

根据安装界面提示，完成软件安装。

2、熟悉RiskAssess的主要功能（1）建立一个新的评估工程，如下图所示。

（2）选择“风险评估准备”——“风险评估向导”，如下图所示。

根据界面提示，完成风险评估准备工作。

（3）评估要素的识别。

对资产识别、脆弱性识别、威胁识别进行填写。

如下图所示。

（4）选择风险评估方法，矩阵法或相乘法。

（5）风险管理。

完成已有安全措施确认，风险处理计划并生成阶段文档。

（6）评估文档管理。

利用此功能可以实现对评估项目所有文档的管理。

3、RiskAssess的实际应用。

使用RiskAssess，完成课堂讲授的信息安全风险评估实例——企业“数字兰曦”的信息安全风险评估工作。

实验三简单网络扫描器的设计与实现。

【实验前需要学习掌握的知识】1、复习TCP、UDP、IP和ICMP 数据报的报文格式，复习TCP 连接建立和终止的过程；2、复习基本的套接字网络编程方法；3、掌握利用Libnet接口函数库构造网络数据包的方法；4、了解常用网络扫描器的主要功能和实现方法。

Windows下通过ip安全策略设置只允许固定IP远程访问怎么解决网络安全是目前互联网的热门话题之一，作为个人用户的我们同样需要关注，做好防护。

服务器为了安全方面的原因，很多服务器都有漏洞的，一些未公开的漏洞可能导致黑客直接进入你的服务器，如果加了一层防护会更好，这里就为大家介绍一下只允许指定的ip才能访问远程桌面，这里小编就为大家介绍一下,需要的朋友可以参考下方法步骤(1)以XP环境为例，步骤：先禁止所有IP，再允许固定IP访问。

(2)配置过程中很多步骤图是重复的，一些没价值的图就省略了;(3)光看的话可能中间重复配置安全规则和IP筛选器模块会看晕，但按这个步骤配置肯定没有问题：过程梳理：先配置安全策略——再配置IP筛选器列表——最后为这些安全策略指定 IP筛选器，指定筛选器操作即可。

(4)设置完成后注意IPSEC服务必须为“启动”状态且启动类型必须设置为“自动”，否则机器重启后无效;(5)扩展：见文章最后。

1.创建安全策略(1) 控制面板——管理工具——本地安全策略————》(2) 右键选择“IP安全策略”——创建IP安全策略(3) 进入设置向导：设置IP安全策略名称为“限制固定IP远程访问”——在警告提示框选择“是”，其它均保持默认，具体参考下图。

2.设置阻止任何IP访问的筛选器(1)为新添加IP安全规则添加的安全规则属性(和第一添加规则步骤是相同的)(2)添加新的筛选器：在ip筛选列表选择——添加——输入筛选名称——添加(3)再进入向导后：先设置禁止所有IP访问——源地址：任何IP地址——目标地址：我的IP地址——协议：TCP——到此端口输入：3389(3389为windows远程访问端口)，其它均可保持默认，参考下图。

(4) 完成后，会在IP筛选列表看到添加的信息。

如下图。

(5)配置IP筛选器允许的动作：在点确定后——选择配置的“阻止所有IP远程访问”，下一步——添加——选择“阻止”——最后确定，如下图。

惠州培训网
更多免费资料下载请进： 好好学习社区
操作系统安全配置手册
目 录
第一章 综述
1.1 适用范围
1.2 更新要求
第二章 WINDOWS 系统通用安全标准
2.1 WINDOWS 系统安全模型
2.2用户名和密码
2.3域和委托
2.4活动目录
2.5登录
2.6存储控制
2.7管理安全模板
2.8 WINDOWS 审计子系统
2.9注册表
2.10 文件系统
第三章 WINDOWS 主机安全配置
3.1用户、用户组及其权限管理
3.1.1对系统管理员账号进行限制
3.1.2 密码策略
3.1.3 账户锁定策略
3.2远程访问主机系统
3.2.1 对可以远程使用telnet 服务的用户进行限定
3.2.2 Pcanywhere 远程接入
3.3系统补丁
3.3.1安装Windows 补丁
3.4文件系统增强
3.4.1使用NTFS 文件系统。

Windows常规安全设置方法网络安全是目前互联网的热门话题之一，作为个人用户的我们同样需要关注，做好防护。

这篇文章主要介绍了Windows Web Server xx R2服务器简单安全设置,需要的朋友可以参考下1.更改默认administrator用户名，复杂密码2.开启防火墙3.安装杀毒软件1)新做系统一定要先打上补丁2)安装必要的杀毒软件3)删除系统默认共享4)修改本地策略——>安全选项交互式登陆：不显示最后的用户名启用网络访问：不允许SAM 帐户和共享的匿名枚举启用网络访问: 不允许存储网络身份验证的凭据或 .NET Passports 启用网络访问：可远程访问的注册表路径和子路径全部删除5)禁用不必要的服务TCP/IP NetBIOS Helper、Server、 Distributed Link Tracking Client 、Print Spooler、Remote Registry、Workstation6)禁用IPV6server xx r2交互式登录: 不显示最后的用户名其实最重要的就是开启防火墙+服务器安全狗(安全狗自带的一些功能基本上都设置的差不多了)+mysql(sqlserver)低权限运行基本上就差不多了。

3389远程登录，一定要限制ip登录。

一、系统及程序1、屏幕保护与电源桌面右键--〉个性化--〉屏幕保护程序，屏幕保护程序选择无，更改电源设置选择高性能，选择关闭显示器的时间关闭显示器选从不保存修改2、配置IIS7组件、FTP7、php 5.5.7、mysql 5.6.15、phpMyAdmin 4.1.8、phpwind 9.0、ISAPI_Rewrite环境。

在这里我给大家可以推荐下阿里云的服务器一键环境配置，全自动安装设置很不错的。

点击查看地址二、系统安全配置1、目录权限除系统所在分区之外的所有分区都赋予Administrators和SYSTEM有完全控制权，之后再对其下的子目录作单独的目录权限2、远程连接我的电脑属性--〉远程设置--〉远程--〉只允许运行带网络超级身份验证的远程桌面的计算机连接，选择允许运行任意版本远程桌面的计算机连接(较不安全)。

原则关掉所有不使用的服务,不安装所有与服务器无关的软件,打好所有补丁修改3389HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\T erminalServer\Wds\Repwd\Tds\T cp, 看到那个PortNumber没有?0xd3d，这个是16进制，就是3389啦，我改XXXX这个值是RDP(远程桌面协议)的默认值，也就是说用来配置以后新建的RDP服务的，要改已经建立的RDP服务，我们去下一个键值：HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\TerminalServer\WinStatio ns这里应该有一个或多个类似RDP-TCP的子健（取决于你建立了多少个RDP服务），一样改掉PortNumber。

修改系统日志保存地址默认位置为应用程序日志、安全日志、系统日志、DNS日志默认位置：%systemroot%\system32\config，默认文件大小512KB，管理员都会改变这个默认大小。

安全日志文件：%systemroot%\system32\config\SecEvent.EVT系统日志文件：%systemroot%\system32\config\SysEvent.EVT应用程序日志文件：%systemroot%\system32\config\AppEvent.EVTInternet信息服务FTP日志默认位置：%systemroot%\system32\logfiles\msftpsvc1\，默认每天一个日志Internet信息服务WWW日志默认位置：%systemroot%\system32\logfiles\w3svc1\，默认每天一个日志Scheduler(任务计划)服务日志默认位置：%systemroot%\schedlgu.txt应用程序日志，安全日志，系统日志，DNS服务器日志，它们这些LOG文件在注册表中的：HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\EventlogSchedluler(任务计划)服务日志在注册表中HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SchedulingAgentSQL删掉或改名xplog70.dll[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\paramet"AutoShareServer"=dword:00000000"AutoShareWks"=dword:00000000// AutoShareWks 对pro版本// AutoShareServer 对server版本// 0 禁止管理共享admin$,c$,d$之类默认共享[HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\LSA] "restrictanonymous"=dword:00000001//0x1 匿名用户无法列举本机用户列表//0x2 匿名用户无法连接本机IPC$共享(可能sql server不能够启动)本地安全策略封TCP端口:21(FTP,换FTP端口)23(TELNET),53(DNS),135,136,137,138,139,443,445,1028,1433,3389可封TCP端口:1080,3128,6588,8080(以上为代理端口).25(SMTP),161(SNMP),67(引导) 封UDP端口:1434(这个就不用说了吧)封所有ICMP,即封PING以上是最常被扫的端口,有别的同样也封,当然因为80是做WEB用的审核策略为审核策略更改:成功,失败审核登录事件:成功,失败审核对象访问:失败审核对象追踪:成功,失败审核目录服务访问:失败审核特权使用:失败审核系统事件:成功,失败审核账户登录事件:成功,失败审核账户管理:成功,失败密码策略:启用“密码必须符合复杂性要求","密码长度最小值"为6个字符,"强制密码历史"为5次,"密码最长存留期"为30天.在账户锁定策略中设置:"复位账户锁定计数器"为30分钟之后,"账户锁定时间"为30分钟,"账户锁定值"为30分钟.安全选项设置:本地安全策略==本地策略==安全选项==对匿名连接的额外限制,双击对其中有效策略进行设置,选择"不允许枚举SAM账号和共享",因为这个值是只允许非NULL用户存取SAM账号信息和共享信息,一般选择此项.禁止登录屏幕上显示上次登录的用户名控制面板==管理工具==本地安全策略==本地策略==安全选项HKEY_LOCAL_MACHINE\SOFTTWARE\Microsoft\WindowsNT\CurrentVesion\Winlogn 项中的Don't Display Last User Name串，将其数据修改为1禁TCP/IP中的禁用TCP/IP上的NetBIOS修改默认管理用户名(这就不用说了吧),禁用Guest帐号,除了ADMIN组的用户可以远程登陆本机完,别的用户的远程登陆都去掉WEB目录用户权限设定...依次做下面的工作:选取整个硬盘：system：完全控制administrator：完全控制(允许将来自父系的可继承性权限传播给对象)b.\program files\common files：everyone：读取及运行列出文件目录读取(允许将来自父系的可继承性权限传播给对象)c.\inetpub\wwwroot：iusr_machine：读取及运行列出文件目录读取(允许将来自父系的可继承性权限传播给对象)e.\winnt\system32：选择除inetsrv和centsrv以外的所有目录，去除“允许将来自父系的可继承性权限传播给对象”选框，复制。

一、实验目的了解Windows服务器的安全配置内容二、实验环境Windows Server 2003三、实验内容与要求安全配置Windows服务器实验的实验内容主要包括：账号管理：这包括用户分配帐户，设定不同的账户和账户组，如管理员用户、数据库用户、审计用户和来宾用户等。

密码设置：要求密码符合复杂性策略要求，例如最短密码长度为6个字符，启用本机组策略中密码必须符合复杂性要求的策略。

账户锁定策略：设置账户锁定的时间和锁定的阈值等。

本地策略：这包括对登录事件、对象访问、账户登录和驱动程序等进行管控。

审计策略：获取并存储系统和应用程序生成的错误警告和其他信息，这些信息被存储为一条条记录，每条记录包括事件发生时间、事件源、事件号和所属类别、机器名、用户名和事件本身的详细描述。

在配置过程中，需要注意的实验环境包括服务器系统管理员、应用管理员和网络安全管理员。

本配置实验适用的范围包括各省公司各部门维护管理的WINDOWS主机。

1.端口配置1.1 ：依次点击“开始”->“设置”->“网络连接”，打开“网络连接”窗口。

如图1所示图11.2：选择“本地连接”，右键单击，在快捷菜单中选择“属性”打开其属性窗口。

如图2所示图21.3：选中“Internet协议（TCP/IP）”，点击“属性”按钮，打开其属性对话框。

如图3所示图31.4：点击“高级”按钮，打开“高级TCP/IP 设置”对话框并切换到“选项”便签下。

如图4所示图41.5：点击“属性”按钮，打开“TCP/IP筛选”对话框，勾选“启用TCP/IP筛选（所有适配器）”，“T CP端口”框中选择“只允许”单选按钮（假设该服务器为IIS服务器，仅允许80端口开放），点击“添加”按钮添加端口“80”。

如图5所示图51.6：在此“TCP/IP筛选”对话框中，也可对UDP端口及IP协议进行过滤设置，一般情况下，负载量不大的服务器仅允许对外提供服务的IP协议生效。