Windows 2008 服务器安全加固几个注意事项

一、系统信息


查看系统版本


Windows Server 2008 r2 Enterprise


用途


Vpn服务器


查看主机名


查看网络配置

二、杀毒软件管理

2.1 杀软安装

操作目的


预防木马及病毒等危害程序


检查方法


检查系统杀软服务是否启动。


加固方法


安装杀毒软件;开启实时监控;设置合适的监控级别;为杀软设置密码。


是否实施


备注

三、补丁管理

3.1补丁安装

操作目的


安装系统补丁,修补漏洞


检查方法


使用漏扫工具扫描。


加固方法


使用工具自动化打补丁。


是否实施


备注

四、账号口令

4.1优化账号

操作目的


减少系统无用账号,降低风险


检查方法


“Win+R”键调出“运行”->compmgmt.msc(计算机管理)->本地用户和组,查看是否有不用的账号,系统账号所属组是否正确以及guest账号是否锁定


加固方法


使用“net user 用户名 /del”命令删除账号

使用“net user 用户名 /active:no”命令锁定账号


是否实施


备注


检查注册表,预防影子账号。

4.2口令策略

操作目的


增强口令的复杂度及锁定策略等,降低被暴力破解的可能性


检查方法


“Win+R”键调出“运行”->secpol.msc (本地安全策略)->安全设置


加固方法


1,账户策略->密码策略

密码必须符合复杂性要求:启用

密码长度最小值:8个字符

密码最短使用期限:0天

密码最长使用期限:90天

强制密码历史:1个记住密码

用可还原的加密来存储密码:已禁用

2,账户设置->账户锁定策略

帐户锁定时间:30分钟

帐户锁定阀值:5次无效登录

重置帐户锁定计数器:30分钟

3,本地策略->安全选项

交互式登录:不显示最后的用户名:启用


是否实施


备注


“Win+R”键调出“运行”->gpupdate /force立即生效

五、网络服务

5.1优化服务

操作目的


关闭不需要的服务,减小风险


检查方法


“Win+R”键调出“运行”->services.msc


加固方法


以下服务改为手动

COM+ Event System

DHCP Client

Diagnostic Policy Service

Distributed Transaction Coordinator

DNS Client

Distributed Link Tracking Client

Remote Registry

Print Spooler

Server(不使用文件共享可以关闭)

Shell Hardware Detection

TCP/IP NetBIOS Helper

Windows Update


是否实施


备注


停用服务需谨慎,特别是远程计算机

5.2关闭共享

操作目的


关闭默认共享


检查方法


“Win+R”键调出“运行”->cmd.exe->net share,查看共享


加固方法


关闭C$,D$等默认共享

“Win+R”键调出“运行”->regedit->找到HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters ,新建AutoShareServer(REG_DWORD),键值为0


是否实施


备注

5.3网络限制

操作目的


网络访问限制


检查方法


“Win+R”键调出“运行”->secpol.msc ->安全设置->本地策略->安全选项


加固方法


网络访问: 不允许 SAM 帐户的匿名枚举:已启用

网络访问: 不允许 SAM 帐户和共享的匿名枚举:已启用

网络访问: 将 Everyone权限应用于匿名用户:已禁用

帐户: 使用空密码的本地帐户只允许进行控制台登录:已启用


是否实施


备注


“Win+R”键调出“运行”->gpupdate /force立即生效

六、文件系统

6.1使用NTFS

操作目的


增强文件系统安全性


检查方法


查看每个系统驱动器是否使用NTFS文件系统


加固方法


建议使用NTFS文件系统,转换命令:convert <驱动器盘符>: /fs:ntfs


是否实施


备注

6.2 检查Everyone权限

操作目的


增强Everyone权限


检查方法


鼠标右键系统驱动器(磁盘)->“属性”->“安全”,查看每个系统驱动器根目录是否设置为Everyone有所有权限


加固方法


删除Everyone的权限或者取消Everyone的写权限


是否实施


备注

6.3 限制命令权限

操作目的


限制部分命令的权限


检查方法


使用cacls命令或资源管理器查看以下文件权限


加固方法


建议对以下命令做限制,只允许system、Administrator组访问

%systemroot%\system32\cmd.exe

%systemroot%\system32\regsvr32.exe

%systemroot%\system32\tftp.exe

%systemroot%\system32\ftp.exe

%systemroot%\system32\telnet.exe

%systemroot%\system32\net.exe

%systemroot%\system32\net1.exe

%systemroot%\system32\cscript.exe

%systemroot%\system32\wscript.exe

%systemroot%\system32\regedit.exe

%systemroot%\system32\regedt32.exe

%systemroot%\system32\cacls.exe

%systemroot%\system32\command.com

%systemroot%\system32\at.exe


是否实施


备注


可能会影响业务系统正常运行

七、日志审核

7.1增强日志

操作目的


增大日志量大小,避免由于日志文件容量过小导致日志记录不全


检查方法


“Win+R”键调出“运行”->eventvwr.msc ->“windows日志”->查看“应用程序”“安全”“系统”的属性


加固方法


建议设置:

日志上限大小:20480 KB


是否实施


备注

7.2增强审核

操作目的


对系统事件进行审核,在日后出现故障时用于排查故障


检查方法


“Win+R”键调出“运行”->secpol.msc ->安全设置->本地策略->审核策略


加固方法


建议设置:

审核策略更改:成功

审核登录事件:成功,失败

审核对象访问:成功

审核进程跟踪:成功,失败

审核目录服务访问:成功,失败

审核系统事件:成功,失败

审核帐户登录事件:成功,失败

审核帐户管理:成功,失败


是否实施


备注


“Win+R”键调出“运行”->gpupdate /force立即生效

注:此文模板是从百度down的,我做了适当修改。

(0)

相关推荐

  • Windows服务器的基础安全加固方法(2008、2012)

    美团云(MOS)提供Windows Server 2008 R2和Windows Server 2012 R2数据中心版的云主机服务器.由于Windows服务器市场占有率较高的原因,针对Windows服务器的病毒木马等恶意软件较多,且容易获得,技术门槛也较低,因此Windows服务器的安全问题需要格外留意.为了安全地使用Windows云主机,建议应用如下几个简单的安全加固措施.虽然简单,但是已足够防御大部分较常见的安全风险. 一.设置强密码 美团云Windows服务器创建后会给管理员(Admin

  • SQL Server成功与服务器建立连接但是在登录过程中发生错误的快速解决方案

    最近在VS2013上连接远程数据库时,突然连接不上,在跑MSTest下跑的时候,QTAgent32 crash.换成IIS下运行的时候,IIS crash.之前的连接是没问题的,后网上找了资料,根据牛人所说的方案解决了. 1. Exception message 已成功与服务器建立连接,但是在登录过程中发生错误. (provider: SSL Provider, error: 0 - 接收到的消息异常,或格式不正确.) ---> System.ComponentModel.Win32Except

  • Nginx服务器Nginx.com配置文件详解

    在此记录下Nginx服务器nginx.conf的配置文件说明, 部分注释收集与网络. #运行用户 user www-data; #启动进程,通常设置成和cpu的数量相等 worker_processes 1; #全局错误日志及PID文件 error_log /var/log/nginx/error.log; pid /var/run/nginx.pid; #工作模式及连接数上限 events { use epoll; #epoll是多路复用IO(I/O Multiplexing)中的一种方式,但

  • Ajax 高级功能之ajax向服务器发送数据

    1. 准备向服务器发送数据 Ajax 最常见的一大用途是向服务器发送数据.最典型的情况是从 客户端发送表单数据,即用户在form元素所含的各个 input 元素里输入的值.下面代码展示了一张简单的表单: <!DOCTYPE html> <html lang="en"> <head> <meta charset="UTF-8"> <title>基本表单</title> <style>

  • Git 教程之服务器搭建详解

    Git 服务器搭建 上一章节中我们远程仓库使用了 Github,Github 公开的项目是免费的,但是如果你不想让其他人看到你的项目就需要收费. 这时我们就需要自己搭建一台Git服务器作为私有仓库使用. 接下来我们将以 Centos 为例搭建 Git 服务器. 1.安装Git $ yum install curl-devel expat-devel gettext-devel openssl-devel zlib-devel perl-devel $ yum install git 接下来我们

  • 腾讯云CentOS 6.6快速安装 Nginx服务器图文教程

    一.下载Nginx 从Nginx的官网(http://nginx.org/en/download.html)下载Nginx的最新版本,这里我下载的是nginx-1.9.12. 下载完成后,得到一个如下图所示的压缩包 上传nginx的tar包到Linux服务器上,如下图所示: 二.安装Nginx 2.1.安装前提 在安装Nginx前,需要确保系统安装了g++,gcc, openssl-devel.pcre-devel和zlib-devel软件. 1.安装必须软件:yum -y install zl

  • 在一台服务器上安装两个或多个mysql的实现步骤

    如何在一台服务器上安装两个或者更多个的mysql呢?下面是详细的操作步骤,一起来学习学习吧. 一.环境 mysql软件包: mysql-5.6.31.tar mysql-5.5.32.tar 操作系统环境: CentOS release 6.8 (Final) 二.系统规模 /mysqlsoft 用来存放mysql的各个程序 /mysqlsoft/mysql1 用来存放mysql-5.5.32.tar的安装程序 /mysqlsoft/mysql2 用来存放mysql-5.6.31.tar的安装程

  • 利用ssh实现服务器文件上传下载

    通过ssh实现服务器文件上传下载 写在前面的话 之前记录过一篇使用apache的FTP开源组件实现服务器文件上传下载的方法,但是后来发现在删除的时候会有些权限问题,导致无法删除服务器上的文件.虽然在Windows上使用FileZilla Server设置读写权限后没问题,但是在服务器端还是有些不好用. 因为自己需要实现资源管理功能,除了单文件的FastDFS存储之外,一些特定资源的存储还是打算暂时存放服务器上,项目组同事说后面不会专门在服务器上开FTP服务,于是改成了sftp方式进行操作. 这个

  • dubbo 管理控制台安装和使用详解

    关于dubbo的配置使用已经配置好了简单的示例,下面先记录下dubbo管理控制台的安装和使用(用的zookeeper的注册中心),在网上找了些按照示例 dubbo管理控制台开源部分主要包含: 提供者  路由规则  动态配置  访问控制  权重调节  负载均衡  负责人,等管理功能. 1.下载dubbo 我上传地址:http://download.csdn.net/detail/liweifengwf/7784901 官方地址:http://code.alibabatech.com/mvn/rel

  • 安卓手机socket通信(服务器和客户端)

    本文实例为大家分享了安卓手机socket通信代码,供大家参考,具体内容如下 1.socket通信首先要定义好服务端的ip地址和端口号: (1).首先看服务端的代码: package com.example.androidsockettest; import java.io.BufferedReader; import java.io.IOException; import java.io.InputStream; import java.io.InputStreamReader; import

  • Linux服务器下MariaDB 10自动化安装部署

    去MariaDB官网下载MariaDB本文用的是MariaDB 10.1.16 https://downloads.mariadb.org 选择二进制版本,下载到/root目录下 mariadb-10.1.16-linux-x86_64.tar.gz 开始安装 [root@HE3 ~]# cat mariadb_auto_install.sh ###### 二进制自动安装数据库脚本root密码MANAGER将脚本和安装包放在/root目录即可############### ######数据库目录

随机推荐