Windows 2008 服务器安全加固几个注意事项
一、系统信息
查看系统版本 |
Windows Server 2008 r2 Enterprise |
用途 |
Vpn服务器 |
查看主机名 |
|
查看网络配置 |
2.1 杀软安装
操作目的 |
预防木马及病毒等危害程序 |
检查方法 |
检查系统杀软服务是否启动。 |
加固方法 |
安装杀毒软件;开启实时监控;设置合适的监控级别;为杀软设置密码。 |
是否实施 |
|
备注 |
3.1补丁安装
操作目的 |
安装系统补丁,修补漏洞 |
检查方法 |
使用漏扫工具扫描。 |
加固方法 |
使用工具自动化打补丁。 |
是否实施 |
|
备注 |
4.1优化账号
操作目的 |
减少系统无用账号,降低风险 |
检查方法 |
“Win+R”键调出“运行”->compmgmt.msc(计算机管理)->本地用户和组,查看是否有不用的账号,系统账号所属组是否正确以及guest账号是否锁定 |
加固方法 |
使用“net user 用户名 /del”命令删除账号 使用“net user 用户名 /active:no”命令锁定账号 |
是否实施 |
|
备注 |
检查注册表,预防影子账号。 |
4.2口令策略
操作目的 |
增强口令的复杂度及锁定策略等,降低被暴力破解的可能性 |
检查方法 |
“Win+R”键调出“运行”->secpol.msc (本地安全策略)->安全设置 |
加固方法 |
1,账户策略->密码策略 密码必须符合复杂性要求:启用 密码长度最小值:8个字符 密码最短使用期限:0天 密码最长使用期限:90天 强制密码历史:1个记住密码 用可还原的加密来存储密码:已禁用 2,账户设置->账户锁定策略 帐户锁定时间:30分钟 帐户锁定阀值:5次无效登录 重置帐户锁定计数器:30分钟 3,本地策略->安全选项 交互式登录:不显示最后的用户名:启用 |
是否实施 |
|
备注 |
“Win+R”键调出“运行”->gpupdate /force立即生效 |
5.1优化服务
操作目的 |
关闭不需要的服务,减小风险 |
检查方法 |
“Win+R”键调出“运行”->services.msc |
加固方法 |
以下服务改为手动 COM+ Event System DHCP Client Diagnostic Policy Service Distributed Transaction Coordinator DNS Client Distributed Link Tracking Client Remote Registry Print Spooler Server(不使用文件共享可以关闭) Shell Hardware Detection TCP/IP NetBIOS Helper Windows Update |
是否实施 |
|
备注 |
停用服务需谨慎,特别是远程计算机 |
5.2关闭共享
操作目的 |
关闭默认共享 |
检查方法 |
“Win+R”键调出“运行”->cmd.exe->net share,查看共享 |
加固方法 |
关闭C$,D$等默认共享 “Win+R”键调出“运行”->regedit->找到HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters ,新建AutoShareServer(REG_DWORD),键值为0 |
是否实施 |
|
备注 |
5.3网络限制
操作目的 |
网络访问限制 |
检查方法 |
“Win+R”键调出“运行”->secpol.msc ->安全设置->本地策略->安全选项 |
加固方法 |
网络访问: 不允许 SAM 帐户的匿名枚举:已启用 网络访问: 不允许 SAM 帐户和共享的匿名枚举:已启用 网络访问: 将 Everyone权限应用于匿名用户:已禁用 帐户: 使用空密码的本地帐户只允许进行控制台登录:已启用 |
是否实施 |
|
备注 |
“Win+R”键调出“运行”->gpupdate /force立即生效 |
6.1使用NTFS
操作目的 |
增强文件系统安全性 |
检查方法 |
查看每个系统驱动器是否使用NTFS文件系统 |
加固方法 |
建议使用NTFS文件系统,转换命令:convert <驱动器盘符>: /fs:ntfs |
是否实施 |
|
备注 |
6.2 检查Everyone权限
操作目的 |
增强Everyone权限 |
检查方法 |
鼠标右键系统驱动器(磁盘)->“属性”->“安全”,查看每个系统驱动器根目录是否设置为Everyone有所有权限 |
加固方法 |
删除Everyone的权限或者取消Everyone的写权限 |
是否实施 |
|
备注 |
6.3 限制命令权限
操作目的 |
限制部分命令的权限 |
检查方法 |
使用cacls命令或资源管理器查看以下文件权限 |
加固方法 |
建议对以下命令做限制,只允许system、Administrator组访问 %systemroot%\system32\cmd.exe %systemroot%\system32\regsvr32.exe %systemroot%\system32\tftp.exe %systemroot%\system32\ftp.exe %systemroot%\system32\telnet.exe %systemroot%\system32\net.exe %systemroot%\system32\net1.exe %systemroot%\system32\cscript.exe %systemroot%\system32\wscript.exe %systemroot%\system32\regedit.exe %systemroot%\system32\regedt32.exe %systemroot%\system32\cacls.exe %systemroot%\system32\command.com %systemroot%\system32\at.exe |
是否实施 |
|
备注 |
可能会影响业务系统正常运行 |
7.1增强日志
增大日志量大小,避免由于日志文件容量过小导致日志记录不全 |
|
检查方法 |
“Win+R”键调出“运行”->eventvwr.msc ->“windows日志”->查看“应用程序”“安全”“系统”的属性 |
加固方法 |
建议设置: 日志上限大小:20480 KB |
是否实施 |
|
备注 |
7.2增强审核
操作目的 |
对系统事件进行审核,在日后出现故障时用于排查故障 |
检查方法 |
“Win+R”键调出“运行”->secpol.msc ->安全设置->本地策略->审核策略 |
加固方法 |
建议设置: 审核策略更改:成功 审核登录事件:成功,失败 审核对象访问:成功 审核进程跟踪:成功,失败 审核目录服务访问:成功,失败 审核系统事件:成功,失败 审核帐户登录事件:成功,失败 审核帐户管理:成功,失败 |
是否实施 |
|
备注 |
“Win+R”键调出“运行”->gpupdate /force立即生效 |
注:此文模板是从百度down的,我做了适当修改。
上一篇:(仅供备用)硬盘各分区的默认共享:打开(原版XP本来就是开的)注册表文件
栏 目:Windows
下一篇:“/”应用程序中的服务器错误和Server Error in ''/'' Application.的终极解决方法
本文标题:Windows 2008 服务器安全加固几个注意事项
本文地址:http://www.codeinn.net/misctech/178372.html
阅读排行
- 1win2003 service pack2 IIS 无法复制CONVLOG.EXE CONVLOG.EX_问题处理
- 2Windows Server 2008 R2 DNS 服务器迁移方法
- 3win2008 IP安全策略关闭端口、禁止ping、修改远程连接3389端口、开放指定端口
- 4man -f/-k [keyword]在fedora 29 中报错nothing appropriate
- 5IP策略实现服务器禁止Ping
- 6win2003开机自动登录后锁定
- 7本地策略提示不能确定应用到此机器的组策略安全性设置的解决方法
- 8限制Win9X/NT系统功能二十六招
- 9windows10彻底关闭自动更新【绝对可行】
- 10win2003 3389手工修改方法