; 一些基本的安全设置(就是说应该有的安全注册表值)
; 禁止管理共享
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters]
"AutoShareServer"=dword:00000000
; 关闭ntfs 8.3短文件名
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Filesystem]
"NtfsDisable8dot3NameGeneration"=dword:00000001
; 限制对ipc$的匿名连接
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA]
"RestrictAnonymous"=dword:00000001
; 使能SMB签名
; 1st option == server
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters"
"RequireSecuritySignature"=dword:00000001
; ----------------------------------------------------------
; 2nd option == client
][HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Rdr\Parameters] "RequireSecuritySignature"=dword:00000001
; --------------------------------------------------------------
; 修改过的SMB客户端使NT存在"Pass the Hash"安全漏洞
; 一个被篡改过的SMB客户端程序可以通过传递用户名和
; 不异常响应的验证过的帐号的LanMan哈希数访问共享的SMB主机
; 更详细的信息可以参考http://www.securityfocus.com
[HKEY_LOCAL_MACHINE\System\CurrentControlSet\control\LSA]
"LMCompatibilityLevel"=dword:00000004
; 解决NT的LSA DoS (幻影)安全漏洞
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\Currentversion\AeDebug]
"Auto"="0"
; 禁止IP源路由
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters]
"DisableIPSourceRouting"=dword:0000001
; 设置MDAC运行 安全 [1] / 非安全 [0] 模式
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\DataFactory\HandlerInfo]
"HandlerRequired"=dword:00000001
; 禁止Lan Manager验证 0 - 同时发送WinNT和Lan Manager密码格式
; 1 - 如果服务器请求才发送NT和Lan Manager密码格式 2 - 只发送NT密码格式
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA]
"LMCompatibilityLevel"=dword:00000002
; 禁止使用DCOM,可以运行"DCOMCNFG.EXE"程序,在默认属性中不选择'enable distributed COM on this computer'
; 或设置如下键值取消DCOM服务
[HKEY_LOCAL_MACHINE\Software\Microsoft\Ole]
"EnableDCOM"="N"
; 禁止Null用户和guest帐号访问运用程序事件日志
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\EventLog\Application]
"RestrictGuestAccess=dword:00000001
; 禁止Null用户和guest帐号访问安全事件日志
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\EventLog\Security]
"RestrictGuestAccess=dword:00000001
; 禁止Null用户和guest帐号访问系统事件日志
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\EventLog\System]
"RestrictGuestAccess=dword:00000001
; 禁止在登录框中显示上次登录用户
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"DontDisplayLastUerName"="1"
; 禁止在登录的交互时访问软驱
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\Currentversion\Winlogon]
"AllocateFloppies"="1"
; 禁止在登录的交互时访问光驱
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"AllocateCDRoms"="1"
; 系统关闭后清除虚拟交换文件
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SessionManager\Memory Management]
"ClearPageFileAtShutdown"=dword:00000001
; 禁止缓存当前登录信任
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"CachedLogonsCount"="1"
; 使能屏幕保护锁定
[HKEY_USERS\DEFAULT\ControlPannel\Desktop]
"ScreenSaveActive"="1"
; 禁止光盘的Autorun
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Cdrom]
"Autorun"=dword:00000000
; To make IIS server run CGI scrits in the context of the IIS IUSR_computername account 'un-rem' this.
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W3SVC\Parameters]
"CreateProcessAsUser"=dword:00000001
; 使能将http的成功登录记录记载为日志,不过小心大家的硬盘空间哦
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W3SVC\Parameters]
"LogSuccessfulRequests"=dword:00000001
; 使能将http的错误请求记录入日志
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W3SVC\Parameters]
"LogErrorRequests"=dword:00000001
; 使IIS FTP bounce 攻击失效
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\MSFTPSVC\Parameters]
"EnablePortAttack"=dword:00000000
|
