Server系統(tǒng)安全加固

1、為安裝Windows server操作系統(tǒng)的服務(wù)器進(jìn)行系統(tǒng)安全加固操作系統(tǒng)基本安全加固補(bǔ)丁安裝使用Windows update安裝最新補(bǔ)丁或者使用第三方軟件安裝補(bǔ)丁,如360安全衛(wèi)士系統(tǒng)帳戶、密碼策略帳戶密碼策略修改“本地計算機(jī)”策計算機(jī)配置windows設(shè)置安全設(shè)置密碼策略密碼長度最小值 7 字符密碼最長存留期 90 天密碼最短存留期 30 天密碼必須符合復(fù)雜性要求 啟用保障帳號以及口令的安全，但是設(shè)置帳號策略后可能導(dǎo)致不符合帳號策略的帳號無法登錄，需修改不符合帳號策略的密碼（注：管理員不受帳號策略限制，但管理員密碼應(yīng)復(fù)雜以避免被暴力猜測導(dǎo)致安全風(fēng)險）帳戶鎖定策略賬戶鎖定時間 30 分鐘賬戶

2、鎖定閾值 5 次無效登錄復(fù)位賬戶鎖定計數(shù)器 30 分鐘有效的防止攻擊者猜出您賬戶的密碼更改默認(rèn)管理員用戶名“本地計算機(jī)”策計算機(jī)配置windows設(shè)置安全設(shè)置本地策略安全選項(xiàng)帳戶: 重命名管理員帳戶默認(rèn)管理員帳號可能被攻擊者用來進(jìn)行密碼暴力猜測，可能由于太多的錯誤密碼嘗試導(dǎo)致該帳戶被鎖定。建議修改默認(rèn)管理員用戶名系統(tǒng)默認(rèn)賬戶安全Guest 帳戶必須禁用；如有特殊需要保留也一定要重命名TSInternetUser 此帳戶是為了“Terminal Services Internet Connector License”使用而存在的，故帳戶必須禁用，不會對于正常的Terminal Services的

3、功能有影響SUPPORT_388945a0 此帳戶是為了IT幫助和支持服務(wù)，此帳戶必須禁用IUSR_system 必須只能是Guest組的成員，此帳戶為IIS（Internet Information Server）服務(wù)建立IWAM_system 必須只能是Guest組的成員，此帳戶為IIS（Internet Information Server）服務(wù)建立日志審核策略“本地計算機(jī)”策計算機(jī)配置windows設(shè)置安全設(shè)置本地策略審核策略審核策略更改 成功審核登錄事件 無審核審核對象訪問 成功, 失敗審核過程追蹤 無審核審核目錄服務(wù)訪問 無審核審核特權(quán)使用 無審核審核系統(tǒng)事件 成功, 失敗審核帳戶

4、登錄事件 成功, 失敗審核帳戶管理 成功, 失敗對系統(tǒng)事件進(jìn)行審核，在日后出現(xiàn)故障時用于排查故障修改日志的大小與上限開始控制面板管理工具事件察看器安全策略文件修改下述值：日志類型 大小 覆蓋方式應(yīng)用日志 16382K 覆蓋早于30 天的事件安全日志 16384K 覆蓋早于30 天的事件系統(tǒng)日志 16384K 覆蓋早于30 天的事件網(wǎng)絡(luò)與服務(wù)安全暫停或禁用不需要的后臺服務(wù)開始運(yùn)行輸入“services.msc”將下面服務(wù)的啟動類型設(shè)置為手動并停止上述服務(wù)已啟動且需要停止的服務(wù)包括：Alerter 服務(wù)Computer Browser 服務(wù)IPSEC Policy Agent 服務(wù)Messenge

5、r 服務(wù)Microsoft Search 服務(wù)Print Spooler 服務(wù)RunAs Service 服務(wù)Remote Registry Service 服務(wù)Security Accounts Manager 服務(wù)Task Scheduler 服務(wù)TCP/IP NetBIOS Helper Service 服務(wù)注冊表安全性禁止匿名用戶連接（空連接）注冊表如下鍵值：HKLMSYSTEMCurrentControlSetControlLsa“restrictanonymous”的原值為0將該值修改為“1” 可以禁止匿名用戶列舉主機(jī)上所有用戶、組、共享資源刪除主機(jī)默認(rèn)共享注冊表鍵值HKLMSYS

6、TEMCurrentControlSetServiceslanmanserverparameters 名稱：Autoshareserver類型:REG_DOWN值:1 刪除主機(jī)因?yàn)楣芾矶_放的共享注意：這里可能有部分 備份軟件使用到系統(tǒng)默認(rèn)共享限制遠(yuǎn)程注冊表遠(yuǎn)程訪問權(quán)限注冊表如下鍵值：HKLMSYSTEMCurrentControlSetControlSecurePipeServerswinreg名稱：Description類型:REG_SZ值:Registry Server阻止遠(yuǎn)程訪問系統(tǒng)日志HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesE

7、ventLogApplication“本地計算機(jī)”策計算機(jī)配置windows設(shè)置安全設(shè)置本地策略安全選項(xiàng)網(wǎng)絡(luò)訪問: 可匿名訪問的共享網(wǎng)絡(luò)訪問: 可匿名訪問的命名管道網(wǎng)絡(luò)訪問: 可遠(yuǎn)程訪問的注冊表路徑網(wǎng)絡(luò)訪問: 可遠(yuǎn)程訪問的注冊表路徑和子路徑網(wǎng)絡(luò)訪問: 限制對命名管道和共享的匿名訪問禁用自動運(yùn)行功能HKLMSOFTWAREMicrosoftWindowsCurrentVersionPoliciesExplorer名稱：NoDriveTypeAutoRun類型:REG_DWORD值:0 xFF文件系統(tǒng)加固注意：文件的權(quán)限修改使用cmd命令行下面cacls命令修改，不要直接使用圖像界面修改%Syst

8、emDrive%Boot.ini Administrators：完全控制System：完全控制%SystemDrive%N Administrators：完全控制System：完全控制%SystemDrive%Ntldr Administrators：完全控制System：完全控制%SystemDrive%Io.sys Administrators：完全控制System：完全控制%SystemDrive%Autoexec.bat Administrators：完全控制System：完全控制Authenticated Users：讀取和執(zhí)行、列出文件夾內(nèi)容、讀取%systemdir%config

9、 Administrators：完全控制System：完全控制Authenticated Users：讀取和執(zhí)行、列出文件夾內(nèi)容、讀取%SystemRoot%Downloaded Program Files Administrators：完全控制System：完全控制 Everyone:讀取%SystemRoot% Fonts Administrators：完全控制System：完全控制 Everyone:讀取%SystemRoot%Tasks Administrators：完全控制System：完全控制%SystemRoot%system32Append.exe Administrators

10、：完全控制%SystemRoot%system32Arp.exe Administrators：完全控制%SystemRoot%system32At.exe Administrators：完全控制%SystemRoot%system32Attrib.exe Administrators：完全控制%SystemRoot%system32Cacls.exe Administrators：完全控制%SystemRoot%system32Change.exe Administrators：完全控制%SystemRoot%system32C Administrators：完全控制%SystemRoot%

11、system32Chglogon.exe Administrators：完全控制%SystemRoot%system32Chgport.exe Administrators：完全控制%SystemRoot%system32Chguser.exe Administrators：完全控制%SystemRoot%system32Chkdsk.exe Administrators：完全控制%SystemRoot%system32Chkntfs.exe Administrators：完全控制%SystemRoot%system32Cipher.exe Administrators：完全控制%System

12、Root%system32Cluster.exe Administrators：完全控制%SystemRoot%system32Cmd.exe Administrators：完全控制%SystemRoot%system32Compact.exe Administrators：完全控制%SystemRoot%system32C Administrators：完全控制%SystemRoot%system32Convert.exe Administrators：完全控制%SystemRoot%system32Cscript.exe Administrators：完全控制%SystemRoot%sys

13、tem32Debug.exe Administrators：完全控制%SystemRoot%system32Dfscmd.exe Administrators：完全控制%SystemRoot%system32D Administrators：完全控制%SystemRoot%system32D Administrators：完全控制%SystemRoot%system32Doskey.exe Administrators：完全控制%SystemRoot%system32Edlin.exe Administrators：完全控制%SystemRoot%system32Exe2bin.exe Adm

14、inistrators：完全控制%SystemRoot%system32Expand.exe Administrators：完全控制%SystemRoot%system32Fc.exe Administrators：完全控制%SystemRoot%system32Find.exe Administrators：完全控制%SystemRoot%system32Findstr.exe Administrators：完全控制%SystemRoot%system32Finger.exe Administrators：完全控制%SystemRoot%system32Forcedos.exe Admini

15、strators：完全控制%SystemRoot%system32F Administrators：完全控制%SystemRoot%system32Ftp.exe Administrators：完全控制%SystemRoot%system32Hostname.exe Administrators：完全控制%SystemRoot%system32Iisreset.exe Administrators：完全控制%SystemRoot%system32Ipconfig.exe Administrators：完全控制%SystemRoot%system32Ipxroute.exe Administra

16、tors：完全控制%SystemRoot%system32Label.exe Administrators：完全控制%SystemRoot%system32Logoff.exe Administrators：完全控制%SystemRoot%system32Lpq.exe Administrators：完全控制%SystemRoot%system32Lpr.exe Administrators：完全控制%SystemRoot%system32Makecab.exe Administrators：完全控制%SystemRoot%system32Mem.exe Administrators：完全控制

17、%SystemRoot%system32Mmc.exe Administrators：完全控制%SystemRoot%system32M Administrators：完全控制%SystemRoot%system32M Administrators：完全控制%SystemRoot%system32Mountvol.exe Administrators：完全控制%SystemRoot%system32Msg.exe Administrators：完全控制%SystemRoot%system32Nbtstat.exe Administrators：完全控制%SystemRoot%system32N

18、et.exe Administrators：完全控制%SystemRoot%system32Net1.exe Administrators：完全控制%SystemRoot%system32Netsh.exe Administrators：完全控制%SystemRoot%system32Netstat.exe Administrators：完全控制%SystemRoot%system32Nslookup.exe Administrators：完全控制%SystemRoot%system32Ntbackup.exe Administrators：完全控制%SystemRoot%system32Nt

19、sd.exe Administrators：完全控制%SystemRoot%system32Pathping.exe Administrators：完全控制%SystemRoot%system32Ping.exe Administrators：完全控制%SystemRoot%system32Print.exe Administrators：完全控制%SystemRoot%system32Query.exe Administrators：完全控制%SystemRoot%system32Rasdial.exe Administrators：完全控制%SystemRoot%system32Rcp.e

20、xe Administrators：完全控制%SystemRoot%system32Recover.exe Administrators：完全控制%SystemRoot%system32Regedit.exe Administrators：完全控制%SystemRoot%system32Regedt32.exe Administrators：完全控制%SystemRoot%system32Regini.exe Administrators：完全控制%SystemRoot%system32Register.exe Administrators：完全控制%SystemRoot%system32Re

21、gsvr32.exe Administrators：完全控制%SystemRoot%system32Replace.exe Administrators：完全控制%SystemRoot%system32Reset.exe Administrators：完全控制%SystemRoot%system32Rexec.exe Administrators：完全控制%SystemRoot%system32Route.exe Administrators：完全控制%SystemRoot%system32Routemon.exe Administrators：完全控制%SystemRoot%system32

22、Router.exe Administrators：完全控制%SystemRoot%system32Rsh.exe Administrators：完全控制%SystemRoot%system32Runas.exe Administrators：完全控制%SystemRoot%system32Runonce.exe Administrators：完全控制%SystemRoot%system32Secedit.exe Administrators：完全控制%SystemRoot%system32Setpwd.exe Administrators：完全控制%SystemRoot%system32Sh

23、adow.exe Administrators：完全控制%SystemRoot%system32Share.exe Administrators：完全控制%SystemRoot%system32Snmp.exe Administrators：完全控制%SystemRoot%system32Snmptrap.exe Administrators：完全控制%SystemRoot%system32Subst.exe Administrators：完全控制%SystemRoot%system32Telnet.exe Administrators：完全控制%SystemRoot%system32Term

24、srv.exe Administrators：完全控制%SystemRoot%system32Tftp.exe Administrators：完全控制%SystemRoot%system32Tlntadmin.exe Administrators：完全控制%SystemRoot%system32Tlntsess.exe Administrators：完全控制%SystemRoot%system32Tlntsvr.exe Administrators：完全控制%SystemRoot%system32Tracert.exe Administrators：完全控制%SystemRoot%system32T Administrators：完全控制%SystemRoot%system32Tsadmin.exe Administrators：完全控制%SystemRoot%system32Tscon.exe Administrators：完全控制%SystemRoot%system32Tsdiscon.exe Administrators：完全控制%SystemRoot%system32Tskill.e