审核特权使用
启用本地安全策略中对Windows系统的审核特权使用,成功和失败操作都需要审核。
操作步骤
打开 控制面板 > 管理工具 > 本地安全策略,在 本地策略 > 审核策略 中,设置 审核特权使用。
审核系统事件
启用本地安全策略中对Windows系统的审核系统事件,成功和失败操作都需要审核。
操作步骤
打开 控制面板 > 管理工具 > 本地安全策略,在 本地策略 > 审核策略 中,设置 审核系统事件。
审核帐户管理
启用本地安全策略中对Windows系统的审核帐户管理,成功和失败操作都要审核。
操作步骤
打开 控制面板 > 管理工具 > 本地安全策略,在 本地策略 > 审核策略 中,设置 审核帐户管理。
审核过程追踪
启用本地安全策略中对Windows系统的审核进程追踪,仅失败操作需要审核。
操作步骤
打开 控制面板 > 管理工具 > 本地安全策略,在 本地策略 > 审核策略 中,设置 审核进程追踪。
日志文件大小
设置应用日志文件大小至少为 8192 KB,可根据磁盘空间配置日志文件大小,记录的日志越多越好。并设置当达到最大的日志尺寸时,按需要轮询记录日志。
操作步骤
打开 控制面板 > 管理工具 > 事件查看器,配置 应用日志、系统日志、安全日志 属性中的日志大小,以及设置当达到最大的日志尺寸时的相应策略。
3. IP协议安全配置
3.1 IP协议安全
启用SYN攻击保护
启用SYN攻击保护。
指定触发SYN洪水攻击保护所必须超过的TCP连接请求数阈值为5。指定处于 SYN_RCVD 状态的 TCP 连接数的阈值为500。指定处于至少已发送一次重传的 SYN_RCVD 状态中的 TCP 连接数的阈值为400。
操作步骤
打开 注册表编辑器,根据推荐值修改注册表键值。
Windows Server 2012
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesTcpipParametersSynAttackProtect
推荐值:2HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesTcpipParametersTcpMaxHalfOpen
推荐值:500
Windows Server 2008
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesSynAttackProtect
推荐值:2HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesTcpMaxPortsExhausted
推荐值:5HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesTcpMaxHalfOpen
推荐值:500HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesTcpMaxHalfOpenRetried
推荐值:400
4. 文件权限
4.1 共享文件夹及访问权限
关闭默认共享
