服務器基本安全配置

1、服務器基本安全配置1. 用戶安全(1) 運行 lusrmgr.msc,重命名原 Administrator 用戶為自定義一定長度的名字， 并新建同名 Administrator 普通用戶，設置超長密碼去除所有隸屬用戶組。(2) 運行 gpedit.msc 計算機配置安全設置賬戶策略密碼策略啟動密碼復雜性要求，設置密碼最小長度、密碼最長使用期限，定期修改密碼保證服務器賬戶的密碼安全。(3) 運行 gpedit.msc 計算機配置安全設置賬戶策略賬戶鎖定策略啟動賬戶鎖定，設置單用戶多次登錄錯誤鎖定策略，具體設置參照要求設置。(4) 運行 gpedit.msc 計算機配置安全設置本地策略安全選項交互

2、式登錄 :不顯示上次的用戶名；啟動交互式登錄：回話鎖定時顯示用戶信息；不顯示用戶信息(5) 運行 gpedit.msc 計算機配置安全設置本地策略安全選項網(wǎng)絡訪問：可匿名訪問的共享；清空網(wǎng)絡訪問：可匿名訪問的命名管道；清空網(wǎng)絡訪問：可遠程訪問的注冊表路徑；清空網(wǎng)絡訪問：可遠程訪問的注冊表路徑和子路徑；清空(6) 運行 gpedit.msc 計算機配置安全設置本地策略通過終端服務拒絕登陸加入一下用戶（* 代表計算機名）ASPNETGuestIUSR_*IWAM_*NETWORK SERVICESQLDebugger注：用戶添加查找如下圖：(7) 運行 gpedit.msc 計算機配置安全設置本地

3、策略策略審核即系統(tǒng)日志記錄的審核消息，方便我們檢查服務器的賬戶安全，推薦設置如下：(8)2. 共享安全(1) 運行 Regedit刪除系統(tǒng)默認的共享HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesLanmanServerParameter s增加一個鍵：名稱 : AutoShareServer ; 類型 : REG_DWORD 值; : 0(2) 運行 Regedit禁止 IPC 空連接Local_Machine/System/CurrentControlSet/Control/LSA 把 RestrictAnonymous 的鍵值改成 ”1”

4、。(3)3. 服務端口安全(1) 運行 Regedit修改 3389 遠程端口打開 HKEY_LOCAL_MACHINESYSTEM CurrentControlSetControlTerminalServerWdsrdpwdTdstcp ，將 PortNamber 的鍵值（默認是 3389 ）修改成自定義端口:14720打開 HKEY_LOCAL_MACHINESYSTEMCurrentContro1SetControlTenninalServerWinStationsRDP-Tcp ，將 PortNumber 的鍵值（默認是3389）修改成自定義端口 :14720(2) 運行 servic

5、es.msc禁用不需要的和危險的服務以下列出建議禁止的服務，具體情況根據(jù)需求分析執(zhí)行：Alerter發(fā)送管理警報和通知Automatic UpdatesWindows 自動更新服務Computer Browser維護網(wǎng)絡計算機更新（網(wǎng)上鄰居列表）Distributed File System局域網(wǎng)管理共享文件Distributed linktracking client用于局域網(wǎng)更新連接信息Error reporting service發(fā)送錯誤報告Remote Procedure Call (RPC) LocatorRpcNs*遠程過程調用(RPC)Remote Registry遠程修改注冊表

6、Removable storage管理可移動媒體、驅動程序和庫Remote Desktop Help Session Manager遠程協(xié)助Routing and Remote Access 在局域網(wǎng)以及廣域網(wǎng)環(huán)境中為企業(yè)提供路由服務 Shell Hardware Detection 為自動播放硬件事件提供通知。Messenger消息文件傳輸服務Net Logon域控制器通道管理NTLMSecuritysupportprovidetelnet 服務和 Microsoft Serch 用的PrintSpooler打印服務telnettelnet 服務Workstation泄漏系統(tǒng)用戶名列表（注：

7、如使用局域網(wǎng)請勿關閉）(3) 運行 gpedit.msc IPSec安全加密端口，內部使用加密訪問。原理：利用組策略中的“ IP 安全策略”功能中，安全服務器（需要安全）功能。將所有訪問遠程如 13013 端口的請求篩選到該 ip 安全策略中來， 使得該請求需要通過雙方的預共享密鑰進行身份認證后才能進行連接，其中如果一方?jīng)]有啟用“需要安全”時，則無法進行連接，同時如果客戶端的預共享密鑰錯誤則無法與服務器進行連接。在此條件下，不影響其他服務的正常運行。操作步驟：1) 打開 GPEDIT.MSC，在計算機策略中有“ IP 安全策略” ,選擇“安全服務器（需要安全）”項目屬性，然后在 IP 安全規(guī)則

8、中選擇“所有 IP 通信”打開編輯，在“編輯規(guī)則 屬性”中，雙擊“所有 IP 通信”，在 IP 篩選器中，添加或編輯一個篩選器。2)退回到 “編輯規(guī)則屬性” 中，在此再選擇 “身份驗證方法” 。刪除“ Kerberos 5”,點擊添加，在“新身份驗證方法”中，選擇“使用此字符串（預共享密鑰） ”，然后填寫服務器所填的預共享密鑰 （服務器的預共享密鑰為 ”123abc,.”）。然后確定。3) 選擇“安全服務器（需要安全） ”右鍵指派即可。附截圖：4. 防火墻安全(1) 啟動系統(tǒng)自帶防火墻添加例外程序端口，除服務器對外服務端口添加到例外。其余都刪除或不勾選。有必要時編輯例外設置訪問地址限制。 （高

9、級設置參照要求設定）(2) 選擇性安裝第三方防火墻，設定防火墻網(wǎng)絡訪問規(guī)則，除了必要對外開放的端口，其他都不要對外開放。特別是 Telnet:23 端口， FTP :21,22 端口，數(shù)據(jù)庫端口，郵件端口 :25,101 等重要的端口，如沒有必要盡可能不要對外開放。(3)5.移動存儲設備策略安全目的：一般移動感染病毒會在移動設備的根目錄下帶有autorun.inf 及病毒文件自動運行。主要是阻止防御移動存儲設備的危險程序自動運行。(1) 運行 gpedit.msc 關閉自動播放計算機配置管理模版系統(tǒng)：關閉自動播放已啟動，所有驅動器用戶配置管理模版系統(tǒng)：關閉自動播放已啟動，所有驅動器(2) 運行

10、 gpedit.msc 策略限制根目錄運行文件計算機配置 windows 設置安全設置軟件限制策略其他規(guī)則：右鍵新建路徑規(guī)則，不允許所有盤符根目錄下的這些后綴的文件運行。（*:*.bat 、 *:*.com 、 *:*.vb* 、 *:*.exe ）(3)6. 其他安全(1) Ftp 站點目錄安全， 去除非必要用戶的修改寫入權限，定制對于權限， 對于執(zhí)行和修改權限配置妥當。(2) Http 站點目錄權限，一般站點都需去除用戶的寫入權限，常用的網(wǎng)站一般為讀取權限。(3) 數(shù)據(jù)庫安全，如 SQL數(shù)據(jù)庫，設置 Sa超長密碼，正常情況下禁止使用 sa 用戶訪問數(shù)據(jù)庫。對應其他用戶設置對應數(shù)據(jù)庫的映射安全，無需所有數(shù)據(jù)庫映射。(4) 定期修改系統(tǒng)用戶密碼，及其他牽涉用戶的相關密碼。且密碼要符合復雜性要求。(5) 定期檢查系統(tǒng)日志安全，以防有人嘗試破解用戶賬戶密碼。如有批量多條用戶登錄失敗，則需特別注意調查原因。(6) 定期檢查部署策略是否正常