Windows 2008 服务器安全加固几个注意事项

2024-07-28 19:17:03

一、系统信息

查看系统版本	Windows Server 2008 r2 Enterprise
用途	Vpn服务器
查看主机名
查看网络配置

二、杀毒软件管理

2.1 杀软安装

操作目的	预防木马及病毒等危害程序
检查方法	检查系统杀软服务是否启动。
加固方法	安装杀毒软件；开启实时监控；设置合适的监控级别；为杀软设置密码。
是否实施
备注

三、补丁管理

3.1补丁安装

操作目的	安装系统补丁，修补漏洞
检查方法	使用漏扫工具扫描。
加固方法	使用工具自动化打补丁。
是否实施
备注

四、账号口令

4.1优化账号

操作目的	减少系统无用账号，降低风险
检查方法	“Win+R”键调出“运行”->compmgmt.msc（计算机管理）->本地用户和组，查看是否有不用的账号，系统账号所属组是否正确以及guest账号是否锁定
加固方法	使用“net user 用户名 /del”命令删除账号使用“net user 用户名 /active:no”命令锁定账号
是否实施
备注	检查注册表，预防影子账号。

4.2口令策略

操作目的	增强口令的复杂度及锁定策略等，降低被暴力破解的可能性
检查方法	“Win+R”键调出“运行”->secpol.msc （本地安全策略）->安全设置
加固方法	1，账户策略->密码策略密码必须符合复杂性要求：启用密码长度最小值：8个字符密码最短使用期限：0天密码最长使用期限：90天强制密码历史：1个记住密码用可还原的加密来存储密码：已禁用 2，账户设置->账户锁定策略帐户锁定时间：30分钟帐户锁定阀值：5次无效登录重置帐户锁定计数器：30分钟 3，本地策略->安全选项交互式登录：不显示最后的用户名：启用
是否实施
备注	“Win+R”键调出“运行”->gpupdate /force立即生效

五、网络服务

5.1优化服务

操作目的	关闭不需要的服务，减小风险
检查方法	“Win+R”键调出“运行”->services.msc
加固方法	以下服务改为手动 COM+ Event System DHCP Client Diagnostic Policy Service Distributed Transaction Coordinator DNS Client Distributed Link Tracking Client Remote Registry Print Spooler Server（不使用文件共享可以关闭） Shell Hardware Detection TCP/IP NetBIOS Helper Windows Update
是否实施
备注	停用服务需谨慎，特别是远程计算机

5.2关闭共享

操作目的	关闭默认共享
检查方法	“Win+R”键调出“运行”->cmd.exe->net share，查看共享
加固方法	关闭C$，D$等默认共享 “Win+R”键调出“运行”->regedit->找到HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters ，新建AutoShareServer（REG_DWORD），键值为0
是否实施
备注

5.3网络限制

操作目的	网络访问限制
检查方法	“Win+R”键调出“运行”->secpol.msc ->安全设置->本地策略->安全选项
加固方法	网络访问: 不允许 SAM 帐户的匿名枚举：已启用网络访问: 不允许 SAM 帐户和共享的匿名枚举：已启用网络访问: 将 Everyone权限应用于匿名用户：已禁用帐户: 使用空密码的本地帐户只允许进行控制台登录：已启用
是否实施
备注	“Win+R”键调出“运行”->gpupdate /force立即生效

六、文件系统

6.1使用NTFS

操作目的	增强文件系统安全性
检查方法	查看每个系统驱动器是否使用NTFS文件系统
加固方法	建议使用NTFS文件系统，转换命令：convert <驱动器盘符>: /fs:ntfs
是否实施
备注

6.2 检查Everyone权限

操作目的	增强Everyone权限
检查方法	鼠标右键系统驱动器（磁盘）->“属性”->“安全”，查看每个系统驱动器根目录是否设置为Everyone有所有权限
加固方法	删除Everyone的权限或者取消Everyone的写权限
是否实施
备注

6.3 限制命令权限

操作目的	限制部分命令的权限
检查方法	使用cacls命令或资源管理器查看以下文件权限
加固方法	建议对以下命令做限制，只允许system、Administrator组访问 %systemroot%\system32\cmd.exe %systemroot%\system32\regsvr32.exe %systemroot%\system32\tftp.exe %systemroot%\system32\ftp.exe %systemroot%\system32\telnet.exe %systemroot%\system32\net.exe %systemroot%\system32\net1.exe %systemroot%\system32\cscript.exe %systemroot%\system32\wscript.exe %systemroot%\system32\regedit.exe %systemroot%\system32\regedt32.exe %systemroot%\system32\cacls.exe %systemroot%\system32\command.com %systemroot%\system32\at.exe
是否实施
备注	可能会影响业务系统正常运行

七、日志审核

7.1增强日志

操作目的	增大日志量大小，避免由于日志文件容量过小导致日志记录不全
检查方法	“Win+R”键调出“运行”->eventvwr.msc ->“windows日志”->查看“应用程序”“安全”“系统”的属性
加固方法	建议设置：日志上限大小：20480 KB
是否实施
备注

7.2增强审核

操作目的	对系统事件进行审核，在日后出现故障时用于排查故障
检查方法	“Win+R”键调出“运行”->secpol.msc ->安全设置->本地策略->审核策略
加固方法	建议设置：审核策略更改：成功审核登录事件：成功，失败审核对象访问：成功审核进程跟踪：成功，失败审核目录服务访问：成功，失败审核系统事件：成功，失败审核帐户登录事件：成功，失败审核帐户管理：成功，失败
是否实施
备注	“Win+R”键调出“运行”->gpupdate /force立即生效

注：此文模板是从百度down的，我做了适当修改。

利用ssh实现服务器文件上传下载

通过ssh实现服务器文件上传下载写在前面的话之前记录过一篇使用apache的FTP开源组件实现服务器文件上传下载的方法,但是后来发现在删除的时候会有些权限问题,导致无法删除服务器上的文件.虽然在Windows上使用FileZilla Server设置读写权限后没问题,但是在服务器端还是有些不好用. 因为自己需要实现资源管理功能,除了单文件的FastDFS存储之外,一些特定资源的存储还是打算暂时存放服务器上,项目组同事说后面不会专门在服务器上开FTP服务,于是改成了sftp方式进行操作. 这个
Linux服务器下MariaDB 10自动化安装部署

去MariaDB官网下载MariaDB本文用的是MariaDB 10.1.16 https://downloads.mariadb.org 选择二进制版本,下载到/root目录下 mariadb-10.1.16-linux-x86_64.tar.gz 开始安装 [root@HE3 ~]# cat mariadb_auto_install.sh ###### 二进制自动安装数据库脚本root密码MANAGER将脚本和安装包放在/root目录即可############### ######数据库目录
dubbo 管理控制台安装和使用详解

关于dubbo的配置使用已经配置好了简单的示例,下面先记录下dubbo管理控制台的安装和使用(用的zookeeper的注册中心),在网上找了些按照示例 dubbo管理控制台开源部分主要包含: 提供者路由规则动态配置访问控制权重调节负载均衡负责人,等管理功能. 1.下载dubbo 我上传地址:http://download.csdn.net/detail/liweifengwf/7784901 官方地址:http://code.alibabatech.com/mvn/rel
腾讯云CentOS 6.6快速安装 Nginx服务器图文教程

一.下载Nginx 从Nginx的官网(http://nginx.org/en/download.html)下载Nginx的最新版本,这里我下载的是nginx-1.9.12. 下载完成后,得到一个如下图所示的压缩包上传nginx的tar包到Linux服务器上,如下图所示: 二.安装Nginx 2.1.安装前提在安装Nginx前,需要确保系统安装了g++,gcc, openssl-devel.pcre-devel和zlib-devel软件. 1.安装必须软件:yum -y install zl
安卓手机socket通信（服务器和客户端）

本文实例为大家分享了安卓手机socket通信代码,供大家参考,具体内容如下 1.socket通信首先要定义好服务端的ip地址和端口号: (1).首先看服务端的代码: package com.example.androidsockettest; import java.io.BufferedReader; import java.io.IOException; import java.io.InputStream; import java.io.InputStreamReader; import
Windows服务器的基础安全加固方法(2008、2012)

美团云(MOS)提供Windows Server 2008 R2和Windows Server 2012 R2数据中心版的云主机服务器.由于Windows服务器市场占有率较高的原因,针对Windows服务器的病毒木马等恶意软件较多,且容易获得,技术门槛也较低,因此Windows服务器的安全问题需要格外留意.为了安全地使用Windows云主机,建议应用如下几个简单的安全加固措施.虽然简单,但是已足够防御大部分较常见的安全风险. 一.设置强密码美团云Windows服务器创建后会给管理员(Admin
Git 教程之服务器搭建详解

Git 服务器搭建上一章节中我们远程仓库使用了 Github,Github 公开的项目是免费的,但是如果你不想让其他人看到你的项目就需要收费. 这时我们就需要自己搭建一台Git服务器作为私有仓库使用. 接下来我们将以 Centos 为例搭建 Git 服务器. 1.安装Git $ yum install curl-devel expat-devel gettext-devel openssl-devel zlib-devel perl-devel $ yum install git 接下来我们
在一台服务器上安装两个或多个mysql的实现步骤

如何在一台服务器上安装两个或者更多个的mysql呢?下面是详细的操作步骤,一起来学习学习吧. 一.环境 mysql软件包: mysql-5.6.31.tar mysql-5.5.32.tar 操作系统环境: CentOS release 6.8 (Final) 二.系统规模 /mysqlsoft 用来存放mysql的各个程序 /mysqlsoft/mysql1 用来存放mysql-5.5.32.tar的安装程序 /mysqlsoft/mysql2 用来存放mysql-5.6.31.tar的安装程
SQL Server成功与服务器建立连接但是在登录过程中发生错误的快速解决方案

最近在VS2013上连接远程数据库时,突然连接不上,在跑MSTest下跑的时候,QTAgent32 crash.换成IIS下运行的时候,IIS crash.之前的连接是没问题的,后网上找了资料,根据牛人所说的方案解决了. 1. Exception message 已成功与服务器建立连接,但是在登录过程中发生错误. (provider: SSL Provider, error: 0 - 接收到的消息异常,或格式不正确.) ---> System.ComponentModel.Win32Except
Ajax 高级功能之ajax向服务器发送数据

1. 准备向服务器发送数据 Ajax 最常见的一大用途是向服务器发送数据.最典型的情况是从客户端发送表单数据,即用户在form元素所含的各个 input 元素里输入的值.下面代码展示了一张简单的表单: <!DOCTYPE html> <html lang="en"> <head> <meta charset="UTF-8"> <title>基本表单</title> <style>
Nginx服务器Nginx.com配置文件详解

在此记录下Nginx服务器nginx.conf的配置文件说明, 部分注释收集与网络. #运行用户 user www-data; #启动进程,通常设置成和cpu的数量相等 worker_processes 1; #全局错误日志及PID文件 error_log /var/log/nginx/error.log; pid /var/run/nginx.pid; #工作模式及连接数上限 events { use epoll; #epoll是多路复用IO(I/O Multiplexing)中的一种方式,但

Windows 2008 服务器安全加固几个注意事项

2.1 杀软安装

3.1补丁安装

4.1优化账号

4.2口令策略

5.1优化服务

5.2关闭共享

5.3网络限制

6.1使用NTFS

6.2 检查Everyone权限

6.3 限制命令权限

7.1增强日志

7.2增强审核

相关推荐

随机推荐