WindowsServer2008R2常規(guī)安全設(shè)置與基本安全策略

1、精品文檔Windows Server 2008 R2常規(guī)安全設(shè)置及基本安全策略比較重要的幾部1.更改默認(rèn)administrator用戶名，復(fù)雜密碼2.開啟防火墻3.安裝殺毒軟件1) 新做系統(tǒng)一定要先打上補(bǔ)丁2) 安裝必要的殺毒軟件3) 刪除系統(tǒng)默認(rèn)共享4) 修改本地策略 > 安全選項(xiàng)交互式登陸：不顯示最后的用戶名啟用網(wǎng)絡(luò)訪問：不允許 SAM 帳戶和共享的匿名枚舉啟用網(wǎng)絡(luò)訪問 : 不允許存儲(chǔ)網(wǎng)絡(luò)身份驗(yàn)證的憑據(jù)或.NET Passports啟用網(wǎng)絡(luò)訪問：可遠(yuǎn)程訪問的注冊表路徑和子路徑全部刪除5) 禁用不必要的服務(wù)TCP/IP NetBIOS Helper、Server 、 Distribut

2、ed Link Tracking Client、Print Spooler 、RemoteRegistry 、Workstation6) 禁用 IPV6server 2008 r2交互式登錄 : 不顯示最后的用戶名一、系統(tǒng)及程序1、屏幕保護(hù)與電源精品文檔桌面右鍵- 個(gè)性化- 屏幕保護(hù)程序，屏幕保護(hù)程序選擇無，更改電源設(shè)置選擇高性能，選擇關(guān)閉顯示器的時(shí)間關(guān)閉顯示器選 從不保存修改2、配置IIS7 組件、FTP7、php 5.5.7、 mysql 5.6.15、 phpMyAdmin 4.1.8、 phpwind 9.0、ISAPI_Rewrite環(huán)境。在這里我給大家可以推薦下阿里云的服務(wù)器一鍵環(huán)

3、境配置，全自動(dòng)安裝設(shè)置很不錯(cuò)的。點(diǎn)擊查看地址二、系統(tǒng)安全配置1 、目錄權(quán)限除系統(tǒng)所在分區(qū)之外的所有分區(qū)都賦予Administrators和 SYSTEM 有完全控制權(quán)， 之后再對其下的子目錄作單獨(dú)的目錄權(quán)限2 、遠(yuǎn)程連接我的電腦屬性 - 遠(yuǎn)程設(shè)置 - 遠(yuǎn)程 - 只允許運(yùn)行帶網(wǎng)絡(luò)超級身份驗(yàn)證的遠(yuǎn)程桌面的計(jì)算機(jī)連接，選擇允許運(yùn)行任意版本遠(yuǎn)程桌面的計(jì)算機(jī)連接(較不安全 )。備注：方便多種版本W(wǎng)indows 遠(yuǎn)程管理服務(wù)器。windows server 2008的遠(yuǎn)程桌面連接，與2003 相比，引入了網(wǎng)絡(luò)級身份驗(yàn)證 （ NLA，network level authentication)，XP SP3不

4、支持這種網(wǎng)絡(luò)級的身份驗(yàn)證，vista 跟 win7 支持。然而在 XP 系統(tǒng)中修改一下注冊表，即可讓 XP SP3支持網(wǎng)絡(luò)級身份驗(yàn)證。HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlLsa在右窗口中雙擊SecurityPakeages ，添加一項(xiàng) “tspkg ”。HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlSecurityProviders ，在右窗口中雙擊 SecurityProviders ，添加 credssp.dll ；請注意，在添加這項(xiàng)值時(shí)，一定要在原有的值后添加逗號(hào)后，別忘了要空一

5、格（英文狀態(tài)）。然后將 XP 系統(tǒng)重啟一下即可。再查看一下，即可發(fā)現(xiàn)XP 系統(tǒng)已經(jīng)支持網(wǎng)絡(luò)級身份驗(yàn)證3 、修改遠(yuǎn)程訪問服務(wù)端口更改遠(yuǎn)程連接端口方法，可用windows自帶的計(jì)算器將10進(jìn)制轉(zhuǎn)為 16進(jìn)制。更改 3389 端口為8208 ，重啟生效！Windows Registry Editor Version 5.00HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlTerminalServerWdsrdpwdTdstcp"PortNumber"=dword:0002010HKEY_LOCAL_MACHINESYSTEMCurr

6、entControlSetControlTerminalServerWinStationsRDP-Tcp"PortNumber"=dword:00002010（ 1 ）在開始 -運(yùn)行菜單里 , 輸入 regedit, 進(jìn)入注冊表編輯 ,按下面的路徑進(jìn)入修改端口的地方（ 2 ） HKEY_LOCAL_MACHINESystemCurrentControlSetControlTerminalServerWinStationsRDP-Tcp（3 ）找到右側(cè)的"PortNumber" ，用十進(jìn)制方式顯示，默認(rèn)為3389 ，改為 ( 例如 )6666 端口（ 4

7、） HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlTerminalServerWdsrdpwdTdstcp（5 ）找到右側(cè)的"PortNumber" ，用十進(jìn)制方式顯示，默認(rèn)為3389 ，改為同上的端口（ 6 ）在控制面板 -Windows 防火墻 - 高級設(shè)置 - 入站規(guī)則 - 新建規(guī)則（ 7 ）選擇端口 - 協(xié)議和端口 -TCP/ 特定本地端口：同上的端口（ 8 ）下一步，選擇允許連接（ 9 ）下一步，選擇公用（ 10 ）下一步，名稱：遠(yuǎn)程桌面 -新 (TCP-In) ，描述：用于遠(yuǎn)程桌面服務(wù)的入站規(guī)則，以允許 RDP

8、通信。 TCP 同上的端口 （ 11 ）刪除遠(yuǎn)程桌面 (TCP-In) 規(guī)則（ 12 ）重新啟動(dòng)計(jì)算機(jī)4 、配置本地連接網(wǎng)絡(luò) - 屬性 - 管理網(wǎng)絡(luò)連接- 本地連接，打開“本地連接 ”界面，選擇 “屬性 ”，左鍵點(diǎn)擊“Microsoft 網(wǎng)絡(luò)客戶端 ”，再點(diǎn)擊 “卸載 ”，在彈出的對話框中 “是 ”確認(rèn)卸載。點(diǎn)擊 “Microsoft 網(wǎng)絡(luò)的文件和打印機(jī)共享 ”，再點(diǎn)擊 “卸載 ”，在彈出的對話框中選擇 “是 ”確認(rèn)卸載。解除 Netbios 和 TCP/IP 協(xié)議的綁定 139 端口：打開 “本地連接 ”界面，選擇 “屬性 ”，在彈出的“屬性 ”框中雙擊 “Internet 協(xié)議版本（ TC

9、P/IPV4 ）”，點(diǎn)擊 “屬性 ”，再點(diǎn)擊 “高級 ”“WINS ”，選擇 “禁用 TCP/IP 上的 NETBIOS ”，點(diǎn)擊 “確認(rèn) ”并關(guān)閉本地連接屬性。禁止默認(rèn)共享：點(diǎn)擊“開始 ”“運(yùn)行 ”，輸入 “Regedit ”，打開注冊表編輯器，打開注冊表項(xiàng)“HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServiceslanmanserverparameters”，在右邊的窗口中新建Dword值，名稱設(shè)為AutoShareServer，值設(shè)為 “0 ”。關(guān)閉445 端口：HKEY_LOCAL_MACHINESYSTEMCurrentControlSetS

10、ervicesNetBTParameters ，新建 Dword （ 32位）名稱設(shè)為 SMBDeviceEnabled 值設(shè)為 “0 ”5 、共享和發(fā)現(xiàn)右鍵 “網(wǎng)絡(luò) ”屬性網(wǎng)絡(luò)和共享中心共享和發(fā)現(xiàn)關(guān)閉，網(wǎng)絡(luò)共享，文件共享，公用文件共享，打印機(jī)共享，顯示我正在共享的所有文件和文件夾，顯示這臺(tái)計(jì)算機(jī)上所有共享的網(wǎng)絡(luò)文件夾6 、用防火墻限制Ping網(wǎng)上自己查吧，ping 還是經(jīng)常需要用到的7 、防火墻的設(shè)置控制面板 Windows 防火墻設(shè)置 更改設(shè)置 例外， 勾選 FTP、HTTP、遠(yuǎn)程桌面服務(wù)核心網(wǎng)絡(luò)HTTPS 用不到可以不勾3306 ： Mysql1433 ： Mssql8 、禁用不需要的和

11、危險(xiǎn)的服務(wù)，以下列出服務(wù)都需要禁用?？刂泼姘?管理工具 服務(wù)Distributed linktracking client用于局域網(wǎng)更新連接信息PrintSpooler打印服務(wù)Remote Registry遠(yuǎn)程修改注冊表Server 計(jì)算機(jī)通過網(wǎng)絡(luò)的文件、打印、和命名管道共享TCP/IP NetBIOS Helper提供TCP/IP (NetBT)服務(wù)上的NetBIOS和網(wǎng)絡(luò)上客戶端的NetBIOS名稱解析的支持Workstation泄漏系統(tǒng)用戶名列表與 Terminal Services Configuration關(guān)聯(lián)Computer Browser 維護(hù)網(wǎng)絡(luò)計(jì)算機(jī)更新默認(rèn)已經(jīng)禁用Net L

12、ogon域控制器通道管理默認(rèn)已經(jīng)手動(dòng)Remote Procedure Call (RPC) LocatorRpcNs* 遠(yuǎn)程過程調(diào)用(RPC) 默認(rèn)已經(jīng)手動(dòng)刪除服務(wù) sc delete MySql9 、安全設(shè)置 ->本地策略 -> 安全選項(xiàng)在運(yùn)行中輸入 gpedit.msc 回車，打開組策略編輯器，選擇計(jì)算機(jī)配置->Windows 設(shè)置 ->安全設(shè)置 -> 本地策略 -> 安全選項(xiàng)交互式登陸：不顯示最后的用戶名啟用網(wǎng)絡(luò)訪問：不允許SAM 帳戶的匿名枚舉啟用 已經(jīng)啟用網(wǎng)絡(luò)訪問：不允許SAM 帳戶和共享的匿名枚舉啟用網(wǎng)絡(luò)訪問：不允許儲(chǔ)存網(wǎng)絡(luò)身份驗(yàn)證的憑據(jù)啟用網(wǎng)絡(luò)

13、訪問：可匿名訪問的共享內(nèi)容全部刪除網(wǎng)絡(luò)訪問：可匿名訪問的命名管道內(nèi)容全部刪除網(wǎng)絡(luò)訪問：可遠(yuǎn)程訪問的注冊表路徑內(nèi)容全部刪除網(wǎng)絡(luò)訪問：可遠(yuǎn)程訪問的注冊表路徑和子路徑內(nèi)容全部刪除帳戶：重命名來賓帳戶這里可以更改guest 帳號(hào)帳戶：重命名系統(tǒng)管理員帳戶這里可以更改Administrator 帳號(hào)10 、安全設(shè)置 -> 賬戶策略 -> 賬戶鎖定策略在運(yùn)行中輸入gpedit.msc回車，打開組策略編輯器，選擇計(jì)算機(jī)配置->Windows設(shè)置 ->安全設(shè)置 -> 賬戶策略 -> 賬戶鎖定策略，將賬戶鎖定閾值設(shè)為“三次登陸無效 ”， “鎖定時(shí)間為30 分鐘 ”， “復(fù)位鎖

14、定計(jì)數(shù)設(shè)為30 分鐘 ”。11 、本地安全設(shè)置選擇計(jì)算機(jī)配置->Windows設(shè)置 ->安全設(shè)置->本地策略-> 用戶權(quán)限分配關(guān)閉系統(tǒng)：只有Administrators組、其它全部刪除。通過終端服務(wù)拒絕登陸：加入Guests組、IUSR_*、IWAM_*、NETWORK SERVICE、SQLDebugger通過終端服務(wù)允許登陸：加入Administrators、 Remote Desktop Users組，其他全部刪除12 、更改 Administrator， guest賬戶，新建一無任何權(quán)限的假Administrator賬戶管理工具 計(jì)算機(jī)管理 系統(tǒng)工具 本地用戶和

15、組 用戶新建一個(gè) Administrator帳戶作為陷阱帳戶，設(shè)置超長密碼，并去掉所有用戶組更改描述：管理計(jì)算機(jī)(域 ) 的內(nèi)置帳戶13 、密碼策略選擇計(jì)算機(jī)配置->Windows設(shè)置 -> 安全設(shè)置 -> 密碼策略啟動(dòng)密碼必須符合復(fù)雜性要求最短密碼長度14 、禁用 DCOM（ " 沖擊波 " 病毒RPC/DCOM漏洞）運(yùn)行 Dcomcnfg.exe ?？刂婆_(tái)根節(jié)點(diǎn)組件服務(wù) 計(jì)算機(jī) 右鍵單擊 “我的電腦 ”屬性 ”默認(rèn)屬性 ”選項(xiàng)卡 清除 “在這臺(tái)計(jì)算機(jī)上啟用分布式COM”復(fù)選框。15 、 ASP 漏洞主要是卸載WScript.Shell和 Shell.a

16、pplication組件，是否刪除看是否必要。regsvr32/u C:WINDOWSSystem32wshom.ocxregsvr32/u C:WINDOWSsystem32shell32.dll刪除可能權(quán)限不夠del C:WINDOWSSystem32wshom.ocxdel C:WINDOWSsystem32shell32.dll如果確實(shí)要使用，或者也可以給它們改個(gè)名字。WScript.Shell可以調(diào)用系統(tǒng)內(nèi)核運(yùn)行DOS 基本命令可以通過修改注冊表，將此組件改名，來防止此類木馬的危害。及 HKEY_CLASSES_ROOTWScript.Shell.1改名為其它的名字， 如：改為 WS

17、cript.Shell_ChangeName 自己以后調(diào)用的時(shí)候使用這個(gè)就可以正常調(diào)用此組件了也要將 clsid 值也改一下或WScript.Shell.1_ChangeName項(xiàng)目的值項(xiàng)目的值也可以將其刪除，來防止此類木馬的危害。Shell.Application可以調(diào)用系統(tǒng)內(nèi)核運(yùn)行DOS 基本命令可以通過修改注冊表，將此組件改名，來防止此類木馬的危害。及改名為其它的名字，如：改為Shell.Application_ChangeName或Shell.Application.1_ChangeName自己以后調(diào)用的時(shí)候使用這個(gè)就可以正常調(diào)用此組件了也要將 clsid 值也改一下項(xiàng)目的值項(xiàng)目的值也

18、可以將其刪除，來防止此類木馬的危害。禁止 Guest 用戶使用shell32.dll 來防止調(diào)用此組件。2000 使用命令： cacls C:WINNTsystem32shell32.dll /e /d guests2003 使用命令： cacls C:WINDOWSsystem32shell32.dll /e /d guests禁止使用FileSystemObject組件， FSO 是使用率非常高的組件，要小心確定是否卸載。改名后調(diào)用就要改程序了，Set FSO = Server .CreateObject("Scripting.FileSystemObject")。Fi

19、leSystemObject 可以對文件進(jìn)行常規(guī)操作 ,可以通過修改注冊表，將此組件改名，來防止此類木馬的危害。HKEY_CLASSES_ROOTScripting.FileSystemObject改名為其它的名字，如：改為FileSystemObject_ChangeName自己以后調(diào)用的時(shí)候使用這個(gè)就可以正常調(diào)用此組件了也要將 clsid 值也改一下項(xiàng)目的值也可以將其刪除，來防止此類木馬的危害。2000 注銷此組件命令：RegSrv32 /u C:WINNTSYSTEMscrrun.dll2003 注銷此組件命令：RegSrv32 /u C:WINDOWSSYSTEMscrrun.dll如

20、何禁止 Guest 用戶使用scrrun.dll來防止調(diào)用此組件？使用這個(gè)命令：cacls C:WINNTsystem32scrrun.dll /e /d guests15 、打開 UAC控制面板用戶賬戶打開或關(guān)閉用戶賬戶控制16 、程序權(quán)限"net.exe","net1.exe","cmd.exe","tftp.exe","netstat.exe","regedit.exe","at.exe","attrib.exe","c

21、acls.exe","","c.exe"或完全禁止上述命令的執(zhí)行g(shù)pedit.msc- 用戶配置 -管理模板 - 系統(tǒng)啟用阻止訪問命令提示符同時(shí)也停用命令提示符腳本處理啟用阻止訪問注冊表編輯工具啟用不要運(yùn)行指定的windows應(yīng)用程序，添加下面的at.exe attrib.exe c.exe cacls.exe cmd.exe net.exe net1.exe netstat.exeregedit.exe tftp.exe17 、 Serv-u安全問題（個(gè)人建議不是特別高的要求沒必要用serv_U可以使用FTP服務(wù)器 FileZilla Ser

22、ver）安裝程序盡量采用最新版本，避免采用默認(rèn)安裝目錄，設(shè)置好serv-u 目錄所在的權(quán)限，設(shè)置一個(gè)復(fù)雜的管理員密碼。修改serv-u 的 banner 信息，設(shè)置被動(dòng)模式端口范圍（ 4001 4003 ）在本地服務(wù)器中設(shè)置中做好相關(guān)安全設(shè)置：包括檢查匿名密碼，禁用反超時(shí)調(diào)度，攔截 “FTP bounce ”攻擊和 FXP，對于在 30秒內(nèi)連接超過 3次的用戶攔截 10分鐘。域中的設(shè)置為：要求復(fù)雜密碼，目錄只使用小寫字母，高級中設(shè)置取消允許使用MDTM 命令更改文件的日期。更改 serv-u 的啟動(dòng)用戶：在系統(tǒng)中新建一個(gè)用戶，設(shè)置一個(gè)復(fù)雜點(diǎn)的密碼，不屬于任何組。將 servu 的安裝目錄給予該

23、用戶完全控制權(quán)限。建立一個(gè)FTP 根目錄，需要給予這個(gè)用戶該目錄完全控制權(quán)限，因?yàn)樗械膄tp 用戶上傳， 刪除，更改文件都是繼承了該用戶的權(quán)限，否則無法操作文件。 另外需要給該目錄以上的上級目錄給該用戶的讀取權(quán)限， 否則會(huì)在連接的時(shí)候出現(xiàn) 530 Not logged in, home directory does not exist 。比如在測試的時(shí)候 ftp 根目錄為 d:soft ，必須給 d 盤該用戶的讀取權(quán)限，為了安全取消 d 盤其他文件夾的繼承權(quán)限。 而一般的使用默認(rèn)的 system 啟動(dòng)就沒有這些問題，因?yàn)?system 一般都擁有這些權(quán)限的。如果 FTP 不是必須每天都用，不

24、如就關(guān)了吧，要用再打開。下面是其它網(wǎng)友的補(bǔ)充：大家可以參考下Windows Web Server 2008 R2服務(wù)器簡單安全設(shè)置1、新做系統(tǒng)一定要先打上已知補(bǔ)丁，以后也要及時(shí)關(guān)注微軟的漏洞報(bào)告。略。2、所有盤符根目錄只給system 和 Administrator的權(quán)限，其他的刪除。3、將所有磁盤格式轉(zhuǎn)換為NTFS 格式。命令： convert c:/fs:ntfs c:代表 C 盤，其他盤類推。WIN08 r2 C盤一定是 ntfs 格式的，不然不能安裝系統(tǒng)4、開啟 Windows Web Server 2008 R2自帶的高級防火墻。默認(rèn)已經(jīng)開啟。5、安裝必要的殺毒軟件如mcafee ，

25、安裝一款A(yù)RP 防火墻，安天ARP 好像不錯(cuò)。略。6、設(shè)置屏幕屏保護(hù)。7、關(guān)閉光盤和磁盤的自動(dòng)播放功能。8、刪除系統(tǒng)默認(rèn)共享。命令： net share c$ /del這種方式下次啟動(dòng)后還是會(huì)出現(xiàn)，不徹底。也可以做成一個(gè)批處理文件，然后設(shè)置開機(jī)自動(dòng)執(zhí)動(dòng)這個(gè)批處理。但是還是推薦下面的方法，直修改注冊表的方法。HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesLanmanserverparameters 下面新建 AutoShareServer , 值為 0 。重啟一下，測試。已經(jīng)永久生效了。9、重命 Administrator和 Guest 帳戶

26、,密碼必須復(fù)雜。GUEST 用戶我們可以復(fù)制一段文本作為密碼，你說這個(gè)密碼誰能破。也只有自己了。.重命名管理員用戶組Administrators 。10 、創(chuàng)建一個(gè)陷阱用戶Administrator，權(quán)限最低。上面二步重命名最好放在安裝IIS 和 SQL 之前做好，那我這里就不演示了。11 、本地策略 > 審核策略審核策略更改成功 失敗審核登錄事件成功 失敗審核對象訪問失敗審核過程跟蹤無審核審核目錄服務(wù)訪問失敗審核特權(quán)使用失敗審核系統(tǒng)事件成功 失敗審核賬戶登錄事件成功 失敗審核賬戶管理成功失敗12 、本地策略 > 用戶權(quán)限分配關(guān)閉系統(tǒng)：只有Administrators組、其它的全部

27、刪除。管理模板>系統(tǒng)顯示 “關(guān)閉事件跟蹤程序”更改為已禁用。這個(gè)看大家喜歡。13 、本地策略 > 安全選項(xiàng)交互式登陸：不顯示最后的用戶名啟用網(wǎng)絡(luò)訪問：不允許SAM 帳戶和共享的匿名枚舉啟用網(wǎng)絡(luò)訪問 : 不允許存儲(chǔ)網(wǎng)絡(luò)身份驗(yàn)證的憑據(jù)或.NET Passports啟用網(wǎng)絡(luò)訪問：可遠(yuǎn)程訪問的注冊表路徑全部刪除網(wǎng)絡(luò)訪問：可遠(yuǎn)程訪問的注冊表路徑和子路徑全部刪除14、禁止 dump file 的產(chǎn)生。系統(tǒng)屬性 > 高級 > 啟動(dòng)和故障恢復(fù)把寫入調(diào)試信息改成 “無”15、禁用不必要的服務(wù)。TCP/IP NetBIOS HelperServerDistributed Link Tracking ClientPrint SpoolerRemote RegistryWorkstation16 、站點(diǎn)方件夾安全屬性設(shè)置刪除 C: inetpub 目錄。刪不了，不研究了。把權(quán)限最低。 。禁用或刪除默認(rèn)站點(diǎn)。我這里不刪除了。停止即可。一般給站點(diǎn)