在“选择协议类型”的下拉列表中选择“TCP”，然后在“到此端口”下的文本框中输入“135”，点击“确定”按钮，这样就添加了一个屏蔽 TCP 135（RPC）端口的筛选器。

　　(4)点击“确定”后回到筛选器列表的对话框，可以看到已经添加了一条策略，重复以上步骤继续添加 TCP 137、139、445、593 端口和 UDP 135、139、445 端口，为它们建立相应的筛选器示。

　　(5)再重复以上步骤添加TCP 1025、2745、3127、6129端口的屏蔽策略，建立好上述端口的筛选器，最后点击“确定”按钮。

　　(6)如6图所示，在“新规则属性”对话框中，选择“TCP筛选器列表”，激活它，最后点击“筛选器操作”选项卡。在“筛选器操作”选项卡中，把“使用添加向导”选项去掉，点击“添加”按钮，在“新筛选器操作属性”的“安全措施”选项卡中，选择“阻止”，然后点击“确定”按钮。

　　(7)进入“新规则属性”对话框，激活“新筛选器操作”，关闭对话框；最后回到“新IP安全策略属性”对话框，按“确定”按钮关闭对话框。在“本地安全策略”窗口，用鼠标右击新添加的 IP 安全策略（端口屏蔽），然后选择“指派”。 　　（二）重命名默认帐户Administrator

　　1.打开“默认域策略”，依次展开“计算机配置”、“Windows 设置”、“安全设置”、“本地策略”，然后单击“安全选项”。

　　2.在右窗格中，双击“帐户：重命名系统管理员帐户”。

　　3.单击以选中“定义这个策略设置”复选框，然后键入要用于管理员帐户的新名称。

　　4.单击“确定”。

　　（三）屏蔽之前登录的用户信息

　　1.打开“默认域策略”，依次展开“计算机配置”、“Windows 设置”、“安全设置”、“本地策略”，然后单击“安全选项”。

　　2.在右窗格中，双击“交互式登陆：不显示上次的用户名”。

　　3.单击以选中“定义这个策略设置”复选框，然后选择“启用”。

　　（四）关闭默认共享

　　关闭C$、D$、Admin$、IPC$等默认共享需要使用组策略分发计算机启动脚本的方式来完成。计算机启动脚本如下：

　　for %%a in (C D E F G H I J K L M N O P Q R S T U V W X Y Z) do @(

　　if exist %%a:\nul (

　　net share %%a$ /delete

　　)

　　)

　　net share admin$ /delete

　　echo Windows Registry Editor Version 5.00> c:\delshare.reg

　　echo [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters]>> c:\delshare.reg

　　echo "AutoShareWks"=dword:00000000>> c:\delshare.reg

　　echo "AutoShareServer"=dword:00000000>> c:\delshare.reg

　　echo [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa]>> c:\delshare.reg

　　echo "restrictanonymous"=dword:00000001>> c:\delshare.reg

　　regedit /s c:\delshare.reg

　　del c:\delshare.reg

　　以上脚本利用net share命令删除所有磁盘共享和admin$共享。但是这些被删除的共享在计算机重新启动后，又会重新出现。为了永久删除共享，有些人会配置上述的net share delete 命令，让它们每次开机自动运行一次。其实完全可以通过修改目标计算机注册表来永久关闭这些共享。在注册表HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters下修改或添加AutoShareWks和AutoShareServer键，并将其值设为0（DWORD）。其中，键AutoShareServer对应C$、D$一类的缺省共享，键AutoSharewks对应ADMIN$缺省共享。

　　IPC$共享则和前面的“默认共享”及“管理共享”是两个不同的概念。它是指IPC管道连接也就是平时说的空连接，也被称作匿名连接。空连接是指无需用户名和密码就能连接主机。利用这个空的连接，连接者可以得到目标主机上的用户列表，然后可以猜密码，或者穷举密码，从而获得更高，甚至管理员权限。所以空连接同样需要禁止。以IPC$只有0，1，2三种级别，而没有删除这个说法。空连接设置由注册表HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa下的restrictanonymous键来确定。该值默认为0，即任何用户都可以通过空连接连上服务器，匿名列出帐户名称和共享资源，这样就能够利用这些信息尝试猜测密码或进行“社会工程学”攻击。如果设置为"1"，一个匿名用户仍然可以连接到IPC$共享，但限制通过这种连接列举SAM帐号和共享等信息；设置为"2"，将限制所有匿名访问除非特别授权，但这样可能会影响一些正常的管道通信，所以微软官方建议该键值设为“1”。

　　关于如何使用组策略分发计算机启动脚本，因为操作比较简单，这里不再赘述。

　　（五）屏保密码设置

　　针对整改建议，为了避免由于管理员疏忽，而导致他人滥用系统，我们采用如下方法统一配置屏保锁定功能。

　　打开“默认域策略”，依次展开“用户配置” 、“管理模板” 、“控制面板”，然后选中“显示”，在右边窗格中依次对“屏幕保护程序”，“可执行的屏幕保护程序名称”，“密码保护屏幕保护程序”和“屏幕保护程序超时”四项进行配置。在本案例中，配置策略如下：

　　1.屏幕保护程序：开启。

　　2.可执行的屏幕保护程序名称：C:\WINDOWS\Resources\Themes\Windows Classic.theme。

　　3.屏幕保护程序超时：8分钟。

　　4.密码保护屏幕保护程序：开启。

　　（六）配置帐号口令长度和复杂度要求

　　为了提高用户口令字典穷举的难度，需要设置口令策略，口令复杂性要求，即为用户设置强壮的口令。主要配置方法如下：

　　打开“默认域策略”，依次展开“计算机配置”、“Windows 设置”、“安全设置”、“帐户策略”，然后单击“密码策略”。依次对“ 密码必须符合复杂性要求”，“密码长度最小值”，“密码最长使用期限”，“密码最短使用期限”和“强制密码历史”进行配置。在本案例中，配置策略如下：

　　1.密码必须符合复杂性要求：开启。

　　2.密码长度最小值：8位。

　　3.密码最长使用期限：60天。

　　4.密码最短使用期限：1天。

　　5.强制密码历史：6个。

　　（八）加固用户鉴别策略

　　为了防止非法用户对用户口令进行多次猜测或字典式攻击，应配置操作系统用户鉴别失败策略，即配置帐户尝试登陆阀值及达到阀值所采取的措施。主要配置方法如下：

　　打开“默认域策略”，依次展开“计算机配置”、“Windows 设置”、“安全设置”、“帐户策略”，然后单击“账户锁定策略”。依次对“复位帐户锁定计数器”，“帐户锁定时间”和“帐户锁定阈值”进行配置。在本案例中，配置策略如下：

　　1.复位帐户锁定计数器 ：30分钟。

　　2.帐户锁定时间：30分钟。

　　3.帐户锁定阈值：5次。

　　（九）加固审核策略

　　安全审核是Windows最基本的入侵检测方法，当有人尝试对系统进行某种方式入侵的时候(如尝试用户密码,改变帐户策略和未经许可的文件访问等等)，都会被安全审核记录下来。利用组策略开启的审核方法如下：

　　打开“默认域策略”，依次展开“计算机配置”、“Windows 设置”、“安全设置”、“本地策略”，然后单击“审核策略”。依次对“审核策略更改”，“审核登陆事件”，“审核特权使用”，“审核系统事件”，“审核帐户管理”和“审核账户登陆事件”进行配置。在本案例中，配置策略如下：

　　1.审核策略更改：成功,失败。

　　2.审核登陆事件：成功,失败。

　　3.审核特权使用：成功。

　　4.审核系统事件：成功,失败。

　　5.审核帐户管理：成功。

　　6.审核用户登陆事件：成功,失败。

　　（十）对审核产生的数据分配合理的存储空间和存储时间

　　为了保证系统有足够的空间存储系统审核日志和安全审核日志，不会因为空间不足而覆盖了有用的日志信息。需要对审核产生的数据分配合理的存储空间和存储时间。具体方法如下：

　　打开“默认域策略”，依次展开“计算机配置”、“Windows 设置”，然后单击“事件日志”。依次对“安全日志保留天数”，“安全日志保留方法”，“安全日志最大值”和“系统日志保留天数”，“系统日志保留方法”，“系统日志最大值”进行配置。在本案例中，配置策略如下：

　　1.安全日志保留天数：14天。

　　2.安全日志保留方法：按天数。

　　3.安全日志最大值：40000KB。

　　4.系统日志保留天数：14天。

　　5.系统日志保留方法：按天数。

　　6.系统日志最大值：40000KB。

　　束语

　　当然要想保证整个Windows主机的安全性，还有许多其他方面需要注意，例如补丁更新管理；以最小权限原则对操作系统用户、用户组进行权限设置；强化 TCP/IP 堆栈防止拒绝服务攻击和确保远程控制要有安全机制保证等等。但这些问题在本次主机脆弱性分析前均已进行了合理配置，因此并不在整改建议中，所以这里不再赘述。

　　另外本文中都是以“默认域策略”为例，实际操作过程中往往需要根据自己的需求对不同的组织单元的自定义策略分别进行配置，不过配置方法是一样的。

　　通过本次安全整改不但让我们了解到了更多的安全知识，同时也进一步认识到组策略工具的强大功能。希望本文能够为正在为信息安全忙碌的广大同仁提供一点帮助。

9 7 3 1 2 3 4 8 :