[TOC]
0x00 微软杀毒软件停止/启用 由于windows Defender的MsMpSvc Microsoft Antimalware Service 的进程内存使用率高(一般是在服务器上)
执行下面的命令
gpedit.msc 方法一:这时就会打开Windows10的本地组策略编辑器窗口,在窗口中依次点击“计算机配置/管理模板/Windows组件”菜单项。 方法二:在右侧双击打开“关闭windows Defender”; 更新策略:gpupdate /force
0x01 服务器补丁 Windows Vista Service Pack 2(SP2-操作系统)包括自SP1以来发布的所有更新,要安装SP2,必须先安装Windows Vista Service Pack 1
系统要求:
WeiyiGeek.系统要求
1) 通过 Windows Update. Click View available updates. In the list of updates, select Service Pack for Microsoft Windows (KB948465), and then click Install note:如果未列出SP2,则可能需要在安装SP2之前安装其他一些更新。 安装列为推荐或重要的任何更新,返回到Windows Update页面,然后单击检查更新
2)通过下载SP2补丁包 Service Pack 2(一种适用于 Windows Server 2008 和 Windows Vista 的最新 Service Pack)X64位: http://www.microsoft.com/zh-cn/download/details.aspx?id=718
0x800B0100 错误解决:
导致这个问题的原因可能是因为Windows安全.dll文件注册不正确。建议您参考下面的文章中的工具进行系统文件修复,看看问题是否解决:
#Error 0x800B0100 when you try to install Windows Updates or Microsoft Updates(仅英文版)
https://support.microsoft.com/en-us/help/956702/error-0x800b0100-when-you-try-to-install-windows-updates-or-microsoft
#使用 DISM 或系统更新准备工具修复 Windows 更新错误
https://support.microsoft.com/zh-cn/help/947821/fix-windows-update-errors-by-using-the-dism-or-system-update-readiness
0x02 防火墙通用配置 一般开启21(FTP) 25(SMTP) 53(DNS) 80(HTTP) 110(POP3) 143(IMAP) 443(Https) 1433(MSSQL) 3306(MYSQL) 5353(MX) 3389(远程桌面) 8888(WebMail) 记得一定要将远程桌面的端口加进去可以打开“Windows防火墙”的‘高级’选项卡RCMP设置,“允许传入回显请求”打上钩,
(1)XP:445高危端口封闭 注册表路径:HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\NetBT\Parameters , 修改SMBDeviceEnabled的值为 0 则关闭,1则启动;
WeiyiGeek.XP注册表封闭
(2)关闭U盘自动弹出与禁止优盘自动打开 计算机为了防止移动设备通过usb接口感染病毒,我们会在计算机系统中关闭自启动功能,虽然防止了u盘携带的病毒传入计算机,但这样的方法所带来的问题是插入u盘却没有打开文件方式引导窗口,所以我们需要将u盘自动播放功能服务重新启用,下面是具体操作:
WeiyiGeek.U盘弹出
方法1:通过本地组策略 1、在CMD中,输入gpedit.msc,然后敲回车键 2、执行gpedit.msc命令后,就打开本地组策略编辑器 用户配置>>管理模板>>windows组件,然后再双击打开“自动播放策略” 3、将左上方的状态改为“已启用”,选项下面的保持“所有驱动器”不变,然后点击右下方的确定和应用按钮,完成设置,这样以后我们将U盘连接电脑后,就不然自动弹出播放的提示窗口,也不会自动打开了
方法2:通过控制面板来设置 选择自动播放,把勾去选上:(不要勾)
WeiyiGeek.控制面板方法
方法3:通过服务项来关闭 c:\services.msc
WeiyiGeek.服务禁用
Shell Hardware Detection 为自动播放硬件事件提供通知。 或者:临时生效 c:\win>NET STOP ShellHWDetection Shell Hardware Detection 服务正在停止. Shell Hardware Detection 服务已成功停止
(3)非管理员账号未设置密码,未设置密码策略 建议设置: 增强口令策略16位大小写字母、Win7设置匿名共享但不让其(Guest)登录,使用Win+R键调出运行,输入secpol.msc->安全设置, 右键“我的电脑”-“管理”-“本地用户和组”-“用户”-“Guest”-“属性”,勾上“帐户已禁用”
#策略配置
安全策略->密码与锁定策略策略
密码必须符合复杂性要求 已启用
密码长度最小值 10 个字符
密码最短使用期限 14 天
密码最长使用期限 30 天
强制密码历史 1 个记住的密码
用可还原的加密来储存密码 已禁用
帐户锁定时间 15 分钟
帐户锁定阈值 3 次无效登录
重置帐户锁定计数器 15 分钟之后
本地策略->安全选项
交互式登录:不显示最后的用户名:启用
拒绝本地登录 Guest
增加日志审计:
审核策略更改:成功
审核登录事件 成功, 失败
审核帐户登录事件 成功, 失败
审核帐户管理 成功, 失败
设置命令:
net user
compmgmt.msc
net user administrator [email protected]
secpol.msc #本地安全策略
gpupdate /Force #刷新组策略设置(使组策略立即生效)
(4)机器登录日志开启
WeiyiGeek.
echo @echo off > login.bat
@echo off
Whomai >> login.log
date /t >> login.log & time /t >> login.log
netstat -an -p tcp | findstr "ESTABLISHED" >> login.log
echo " ---------------------------------------------------------------- " >> login.log
```
<br>
**(5)多余的共享清理**
设置共享进行清理再进行设置注册表
```bash
#查看本机共享
C:\Users\min>net share
#删除共享路径 bat
for /f "tokens=1 delims= " %%i in ('net share') do (net share %%i /del) >nul 2>nul
#从注册表中禁止默认共享
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters]
;#禁止系统缺省的共享目录(Admin$,C$,...,但不包括IPC$)。适用于Win NT/2000/XP/2003。重启系统后生效
"AutoShareWks"=dword:00000000 ;#禁止C$、D$、E$一类的共享。如果要允许置为1。
"AutoShareServer"=dword:00000000 ;#禁止Asmin$共享。如果要允许,置为1
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa]
;#禁止匿名访问IPC$。适用于Win NT/2000/XP/2003。如果要允许,置为0
"restrictanonymous"=dword:00000001
(6)网络策略组设置
关闭LLMNR(关闭5355端口)使用组策略关闭,运行->gpedit.msc->计算机配置->管理模板->网络->DNS客户端->关闭多播名称解析->启用
增加网络访问限制: 使用Win+R键调出运行,输入secpol.msc->安全设置->本地策略->安全选项: 网络访问: 不允许 SAM 帐户的匿名枚举:已启用 网络访问: 将 Everyone权限应用于匿名用户:已禁用
(7)设置电源计划无操作时候关闭显示器且使计算机进入睡眠 再次登陆时候需要 账号密码
WeiyiGeek.
(8)查看机器是不是存在NSA工具利用得漏洞,查看系统更新补丁中是不是存在远程指定高危漏洞
systeminfo | find “KB” >> c:\MS.txt 远程执行漏洞补丁: KB3011443 KB2757760
(9)设置并查看注册表是不是存在有未知启动项
Msconfig #将不要的进程进行禁用
WeiyiGeek.msconfig
reg delete “HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg” /f #删除MSConfig启动里的未勾选项目 reg query “HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run” /S #查看当前自启
参考Study-program中的脚本