安全策略服务器防范方法系统采用windows server 2003 + sp1补丁

禁IPC$ 禁常易攻击端口

安全策略：限制所有外来访问端口，除传奇必需端口外，本机不允许访问25(邮件)等端口

严格限制除传奇服务端之外的服务，包括限制在取得管理员权限操作后的限制上

远程连接 pcanywhere

|---防黑 ______
防火墙---|
|---防毒 MCAFEE

设置一定的抗DDOS能力

禁用不必要的系统服务

电源管理 关机事件 禁用华医生

网上查找一下关于传奇服务端操作系统的设置

12.减少磁盘扫描等待时间

在dos下，键入“chkntfs /t:0”

管理模板--系统--显示"关闭事件跟踪程序"(禁用)
陷阱账号 guest复杂密码
不自动登陆
屏保密码
防毒软件
备份数据

关闭不必要的服务
Computer Browser service TCP/IP NetBIOS Helper
Microsoft DNS server Spooler
NTLM SSP Server
RPC Locator WINS
RPC service Workstation
Netlogon Event log

(2)"我的电脑"->"属性"->"高级"->"启动和故障修复"中，点"错误报告"，选择"禁用错

误汇报"、"但在发生严重错误时通知我"。

(3)点击"编辑"，在弹出记事本文件中：

timeout=30　//把缺省时间 30 秒改为 0 秒

5、优化“启动和故障恢复”设置：

右键单击“我的电脑”，点击属性，点击“高级”，在“启动和故障恢复”

一栏中，点击“设置”，其中的“系统失败”一栏中，只选择“自动重新启动”，写入

调试信息选择“无”。

14.加快启动和运行速度

######修改注册表，减少预读取，减少进度条等待时间：
开始→运行→regedit启动注册表编辑器，HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management\PrefetchParameters， 有一个键值名为EnablePrefetcher，它的值是3,把它改为“1”或“5”。找到 HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control， 将 WaitToKillServiceTimeout 设为：1000或更小。 ( 原设定值：20000 ) 找到 HKEY_CURRENT_USER\Control Panel\Desktop 键，将右边视窗的 WaitToKillAppTimeout 改为 1000， ( 原设定值：20000 )即关闭程序时仅等待1秒。
将 HungAppTimeout 值改为：200( 原设定值：5000 )， 表示程序出错时等待0.5秒。

★让系统自动关闭停止回应的程式。
打开注册表 HKEY_CURRENT_USER\Control Panel\Desktop 键， 将 AutoEndTasks 值设为 1。 ( 原设定值：0 )

　
　 打开注册表编辑器，找到 HKEY_LOCAL_MACHINE＼System＼CurrentControlSet＼Control

，将 WaitToKillServiceTimeout 设为：4000（原设定值：20000）。找到 HKEY_CURRENT_USER＼Control Panel＼Desktop 键，将右边窗口

的 WaitToKillAppTimeout 改为 4000（原设定值： 20000），即关闭程序时仅等待1秒。将 HungAppTimeout 值改为：2000（原设定值：500

0），表示程序出错时等待0.5秒。

2、 让系统自动关闭停止响应的程序

打开注册表 HKEY_CURRENT_USER＼Control Panel＼Desktop 键，将 AutoEndTasks 值设

为 1（原设定值：0）。

##########################################################################################

★禁止Windows XP的压缩功能：
点击“开始”下的“运行”，在“诵小笔淙肟蛑惺淙搿皉egsvr32/u zipfldr.dll”，然后按回车键即可。

默认已改--改变窗口弹出的速度：
找到HKEY_CURRENT_USER＼Control Panel＼Desktop＼WindowMetrics子键分支，在右边的窗口中找到MinAniMate键值，其类型为REG_SZ，默认情况下此健值的值为1，表示打开窗口显示的动画，把它改为0，则禁止动画显示，接下来从开始菜单中选择“注销”命令，激活刚才所作的修改

#######不让系统显示上次登陆的用户名
默认情况下，终端服务接入服务器时，登陆对话框中会显示上次登陆的帐户明，本地的登陆对话框也是一样。这使得别人可以很容易的得到系统的一些用户名，进而作密码猜测。修改注册表可以不让对话框里显示上次登陆的用户名，具体是：
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\DontDisplayLastUserName
把 REG_SZ 的键值改成 1 .

禁止建立空连接
默认情况下，任何用户通过通过空连接连上服务器，进而枚举出帐号，猜测密码。我们可以通过修改注册表来禁止建立空连接：
Local_Machine\System\CurrentControlSet\Control\LSA-RestrictAnonymous 的值改成”1”即可。
1、禁止空连接进行枚举(此操作并不能阻止空连接的建立)

首先运行regedit，找到如下组建[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA]把

RestrictAnonymous = DWORD的键值改为：00000001。

restrictanonymous REG_DWORD

0x0 缺省

0x1 匿名用户无法列举本机用户列表

0x2 匿名用户无法连接本机IPC$共享

说明:不建议使用2，否则可能会造成你的一些服务无法启动，如SQL Server

2、禁止默认共享

1）察看本地共享资源

运行-cmd-输入net share

2）删除共享(每次输入一个）

net share ipc$ /delete

net share admin$ /delete

net share c$ /delete

net share d$ /delete（如果有e,f,……可以继续删除）

3）修改注册表删除共享

运行-regedit

找到如下主键[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters]

把AutoShareServer（DWORD）的键值改为0000000。

如果上面所说的主键不存在，就新建(右击-新建-双字节值）一个主健再改键值。

3、停止server服务

1）暂时停止server服务

net stop server /y （重新启动后server服务会重新开启）

2）永久关闭ipc$和默认共享依赖的服务:lanmanserver即server服务

控制面板-管理工具-服务-找到server服务（右击）-属性-常规-启动类型-已禁用
##############################################################

1. 关闭 DirectDraw
这是C2级安全标准对视频卡和内存的要求。关闭DirectDraw可能对一些需要用到DirectX的程序有影响（比如游戏，在服务器上玩星际争霸？我晕..$%$^%^&??），但是对于绝大多数的商业站点都应该是没有影响的。 修改注册表 HKLM\SYSTEM\CurrentControlSet\Control\GraphicsDrivers\DCI 的Timeout(REG_DWORD)为 0 即可。

2.关闭默认共享
解决办法：
打开注册表编辑器。REGEDIT
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters
在右边建立一个名为AutoShareServer的DWORD键。值为0

.禁止dump file的产生

远程访问注册表

关机时清除掉页面文件
页面文件也就是调度文件，是win2000用来存储没有装入内存的程序和数据文件部分的隐藏文件。一些第三方的程序可以把一些没有的加密的密码存在内存中，页面文件中也可能含有另外一些敏感的资料。 要在关机的时候清楚页面文件，可以编辑注册表
HKLM\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management
把ClearPageFileAtShutdown的值设置成1。

3、 加速共享查看

打开注册表编辑器，把HKEY_LOCAL_MACHINE＼Software＼Microsoft＼Windows＼Current

Version＼Explorer＼RemoteComputer＼NameSpace

下的 {D6277990-4C6A-11CF-8D87-00AA0060F5BF} 删掉

3、防止SYN洪水攻击

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters

新建DWORD值，名为SynAttackProtect，值为2

EnablePMTUDiscovery REG_DWORD 0

NoNameReleaseOnDemand REG_DWORD 1

EnableDeadGWDetect REG_DWORD 0

KeepAliveTime REG_DWORD 300,000

PerformRouterDiscovery REG_DWORD 0

EnableICMPRedirects REG_DWORD 0

4. 禁止响应ICMP路由通告报文

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\interface

新建DWORD值，名为PerformRouterDiscovery 值为0

5. 防止ICMP重定向报文的攻击

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters

将EnableICMPRedirects 值设为0

6. 不支持IGMP协议

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters

新建DWORD值，名为IGMPLevel 值为0

7.修改终端服务端口

运行regedit，找到[HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Control \ Terminal Server \ Wds \ rdpwd \ Tds \ tcp]，看到右边的PortNumber了吗？在十进制状态下改成你想要的端口号吧，比如7126之类的，只要不与其它冲突即可。

2、第二处HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Control \ Terminal Server \ WinStations \ RDP-Tcp，方法同上，记得改的端口号和上面改的一样就行了。

8、禁止IPC空连接：

cracker可以利用net use命令建立空连接，进而入侵，还有net view，nbtstat这些都是基于空连接的，禁止空连接就好了。打开注册表，找到Local_Machine\System\CurrentControlSet\Control\LSA-RestrictAnonymous 把这个值改成”1”即可。

9、更改TTL值

cracker可以根据ping回的TTL值来大致判断你的操作系统，如：

TTL=107(WINNT);

TTL=108(win2000);

TTL=127或128(win9x);

TTL=240或241(linux);

TTL=252(solaris);

TTL=240(Irix);

实际上你可以自己更改的：HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters：DefaultTTL REG_DWORD 0-0xff(0-255 十进制,默认值128)改成一个莫名其妙的数字如258，起码让那些小菜鸟晕上半天，就此放弃入侵你也不一定哦