Windows 2000クリーンインストール後の設定変更
使いやすく、あるいは軽快にするためのtipsは、ちょっとぐぐれば出てくるので、それ以外の、主にセキュアに固める系をメモ。
- SP4, IE6SP1, Windows Update全部
- Administratorユーザー名変更
- ルートディレクトリのアクセス権変更
- ソース・ルーティングを完全に無効(HKLM\SYSTEM\CurrentControlSet\Services\Tcpip\ParametersでDisableIPSourceRouting (REG_DWORD) = 2)
- SynFlood防御(HKLM\SYSTEM\CurrentControlSet\Services\Tcpip\ParametersでSynAttackProtect (REG_DWORD) = 2)
- 管理共有削除
- net share ADMIN$ /d
- net share C$ /d
- HKLM\SYSTEM\CurrentControlSet\Services\lanmanserver\parametersでAutoShareWks (REG_DWORD) = 0
- 分散COM禁止(dcomcnfg)
- 管理ツール - ローカルセキュリティ設定 - セキュリティオプション - 匿名接続の追加を制限する:明示的な匿名アクセス権がない場合アクセスを許可しない
- サービス停止(Computer Browser, Distributed Link Tracking Client, Messenger, Print Spooler, Server, System Event Notification, TCP/IP NetBIOS Helper Service, Workstation)
- 環境変数追加
- devmgr_show_details=1
- devmgr_show_nonpresent_devices=1(これはセキュリティには関係なし)
- デバイスマネージャでNetbios over Tcpip無効
- NICの不要なバインド解除
ここまで設定して、クライアント用途ならグローバルIPで直繋ぎでも、そこそこ安全か。さて、何に使おう?