WindowsServer2008R2WEB服務器安全設置指引二之組策略與用戶設置分解

1、Windows Server 2008 R2 WEB服務器安全設置指南（二）之組策略與用戶設置通過優(yōu)化設置組策略、對系統(tǒng)默認的管理員、用戶進行重命名、創(chuàng)建 陷阱帳戶等措施來提高系統(tǒng)安全性。接上篇，我們已經(jīng)改好了遠程連接端口，已經(jīng)能拒絕一部份攻擊了，但是這 些設置還遠遠不夠。在做以下安全時，必須確保你的服務器軟件已經(jīng)全 部配置完畢，并且能正常使用，不然如果在安全設置后再安裝軟件的 話，有可能會安裝失敗或發(fā)生其它錯誤，導致環(huán)境配置失敗。密碼策略系統(tǒng)密碼的強弱直接關系到系統(tǒng)的安全，如果你的密碼太簡單，萬一你的遠 程連接端口被掃到，那破解你的密碼就是分分鐘鐘后了。 所以，我們的系統(tǒng)密碼 必須要設置一個

2、符合安全性要求的密碼，如使用大小寫英文、數(shù)字、特殊符號、 長度不小于6位等措施來加強密碼安全性。在 Windows 2008 以上系統(tǒng)中，系 統(tǒng)提供了一個“密碼策略”的設置，我們來設置它，先進入“本地安全策略”，遠程寓聞財H 1女51發(fā)起程序X *nnd”* Fg"Shll 浦口如1.需Yanders S*rv*r Btckp iHd"f內(nèi)存診ffii，Iniernt Explo-r tr-jF本她安全雒品7服務Admihisirtlor計算機謾,和打印機? 普助和克也運行.11 ndowi 安全 所料程序援蒙唾而誦回建滿O,h拄享和存妹省理 計算機管造 任弄計劃程停事件直

3、通器 址掘岸加時1,鉗浜去 性儂視券 艱件服骨依次才T開"安全設置"-"帳戶策略"-"密碼策略-密碼必須符合復雜性要求，啟用.審核策略審核策略的作用就是萬一有惡意用戶在破解你的密碼、登錄你的系統(tǒng)，或者L安全設置幸修荒置更改成功.失敗審核登錄事件岫，失敷南核對獨訪問草核避卷跟岸 審核目緊膈務訪問 審核料機使用默認都是無審核，我們必須修改它，如下是我修改的審核策略,修改你的系統(tǒng)等事件，你可以及早發(fā)現(xiàn)并處理。擊,至段量. ;銖戶第篇三口本地靠魅 %、用戶校限分配*工安全速噴*高能安全IMm防火情南修手筑事件制1關賬審核峰戶登錄事件成叱失敏市蘇規(guī)戶雷理

4、成中.失敗二J網(wǎng)毫列表哲理舞第明> :處胡第髭* 軟件解制簟酩* 應用程照然策喝* *門安全量塞在本地計第機* 荒黃本核第篇出羞己基本能捕捉所需信息，我們只要分析這些產(chǎn)生的日志，就能發(fā)現(xiàn)問題所在用戶權限分配這里主要是限制哪些用戶可以使用遠程連接登錄到服務器，默認是Administrators 組和Remote Desktop Users 組，這二個組的成員都可以遠程 登錄到服務器，而我們一般作為 WEB服務器，用戶不會太多，可能就只有一個 管理員，所以就沒必要指定組，直接指定用戶就可以了。文怦（D 操作g靜助M“安全電乜* a倏戶犧 q本地版啕口干核初_ 3用戶"限孤一；盅全期

5、惑於壹金 口外山91防火慵*心謂劭喝一軟腌制限用幅序控*周崎-電IF安寶犧,在左順+JC機 I修改系統(tǒng)用戶和組1、對系統(tǒng)默認用戶名和用戶組進行重命名，這里分二步、重命名默認管理員administrator 和來賓帳戶,如我就將administrator 重命名為 wobushiad ,將 guest 重命名為wobushiguest ,微坎貝計算機I臨尸出的取箕修用期限人域成員:禁用計算機帳戶密碼更改域成員需要強討1鼠陋5 200C或更高版本） 域控制器：UAP服務器笠名要求 域控制器：拒絕計算機帳戶密碼更改 域控制罌允許服勞器操作者計劃任務 帳戶：管理員帳戶狀態(tài)小帳戶:來賓帳戶狀態(tài)包即戶：使

6、用空費婦的去珈帳戶R允許進行I皂 僦帳戶:一重荒名來賓帳戶低戶重命名系統(tǒng)管理員帳戶用用定定定用用用 禁啟有有W啟禁啟 已RJ沒沒沒已已已以后登錄服務器就要使用修改后的用戶名wobushiad來登錄。、新建一個名為administrator ,隸屬于Guests組的用戶，設置一個 超級復雜的密碼（在記事本里打一用字符包括大小寫、數(shù)字、特殊符號復制進去，你自己無需記住此密碼），并禁用帳戶。這個帳戶是一個陷阱帳戶，我們自己并 不會使用此帳戶。文怦網(wǎng) 推作3 S4CVJ醋助Q0*，I力扃I * £33日面再修改默認管理員組administrators 和Guest組,文件描作如幫助M魅勢式理

7、iriEMSarvMB+ i請邑，而睡* *信妣w 11雙盤* 任勢計淵格* *屬攀玄全05MJ小朦勢BE拄件-富通用戶和物用戶姐* ；Y春情覲 16個蛔I名曲L 1|a-nF川口F售理員對計陽時不受限制Ctrtififtle- S«F¥i ct DCOM Acceii:4Crytl 號。史 04rt.t4riDi xtribut*d COI U»rsJb1 Erabf Lvf ftv«.4«Ti金 g*t¥A lifc.ltlSES"4 W*Mork CcnfifurilieEh Op«r kteri 糞 F.y

8、Ewsc* Lo* tf(«n& hrEoriiuic R«n i«r Ustri*h+r Vi«rt業(yè) hriat g«rw小艮r(nóng)R小l*加工卜1嚇UlcffJfct Ui tri警份操作房為了,伊底江陣亡斗 仲愎姻的成員連將到企過中的 攜校樂員色行國三掾住。SI員允訃第）、激舌樹*用比計. t班的成員可以M本悒i+其機中 技襄認僖,寤再糊用土?成員 Int*rn*倩連腦分使用的內(nèi)加& 就俎中的成員有部分蒯斕* 造顯中的或員可以計嵋fi行任髭 £行目的儂可以M基朝0遠程訪 包匡1掇用戶口向不排香，嘉股 成員可以*&#

9、187;1射刖機 就期中的底員班電和程4錄的 支持填中的文件制 防止用戶遴行科息篁無息的系統(tǒng)K片片圖管藤者文件8ffg 加中里M，1力山IX口口值住留畀色理JE flriAEEjgro®色肥西S A功鏟01聘皿小嶼。*川工WTrjt理口對計苒機/慢用解制* -仔骨討劃程第* *嘉弟安金匕“e3陰火t Q；僚勞 端KI控件-小本地用尸和殂 用戶 相* t5：存儲C«rli£ic*lL't Strrxct IDCd Acctli如 Crypt4p" tphi c Op*T ktori Bi ilriVutt-d -OOV Vx«ri) E*

10、mt L4c Rml” 工Jt _mjusis% y*t，*r上 O“Eion Opir*t«riFtr fat a me-* Lo( Vi#f i F*rfge* Mani t«r Ifstri> F'E*r 工» frmt Optr aUrl #"上?¥ Vm b R*plLefler> Uitri育何操作覺為了甘偽或運文件 兀琦成組的咸貴善摧利正士市的 怪校成員的行晦借作， 成盤允洋藻ih熟舌和使用此計 士tmw盛卷可以m亳塢計機中 鶴u僵，來守罪用戶的成員信息制務使用的內(nèi)置謝 幽日中的越曹郵封理但限梟 該羯中加航員可以計劃現(xiàn)行性歐 出且護面后可以M宓他和亞理由 包國球用戶口向串幕善融 航員司以餐也填