win2008 安全策略配置

1、Windows2008 Server 常規(guī)設(shè)置及基本安全策略(2012-04-13 13:46:55) 轉(zhuǎn)載標(biāo)簽： windows2008server常規(guī)設(shè)置安全策略it分類： IT 一、系統(tǒng)及程序1、屏幕保護(hù)與電源桌面右鍵-個性化-屏幕保護(hù)程序屏幕保護(hù)程序 選擇無更改電源設(shè)置 選擇高性能選擇關(guān)閉顯示器的時間 關(guān)閉顯示器 選 從不 保存修改2、安裝IIS管理工具-服務(wù)器管理器-添加服務(wù)器角色-勾選 Web服務(wù)器IIS勾選以下 角色服務(wù)ASPCGI和PHP有關(guān)ISAPI擴(kuò)展ISAPI篩選器在服務(wù)器端包含文件用于支持SSI shtml也可以之后添加服務(wù)器管理器-角色-web 服

2、務(wù)器(IIS)-角色服務(wù) 點擊 添加角色服務(wù) :/qingguo408.blog.163 /blog/static/15662855201121893825604/如需安裝SQL2005，則以下角色服務(wù)必須勾選1. 常見的 功能靜態(tài)內(nèi)容  默認(rèn)文檔目錄瀏覽 重定向2. 應(yīng)用程序開發(fā)ASP.Net.NER 擴(kuò)展ISAPI 擴(kuò)展ISAPI 篩選器3. 安全性Windows 身份驗證4. 管理工具 IIS6 管理兼容性IIS 6 元數(shù)據(jù)庫兼容性IIS 6 WMI 兼容性設(shè)置日志、輸出緩存的目錄添加默認(rèn)文檔index.asp index.php Default.asp 等啟用父路徑ASP&#

3、160; 啟用父路徑  False 改為 True增加IIS對MIME文件類型的支持MIME類型.rmvb application/vnd.rn-realmedia.iso  application/octet-stream.rar  application/octet-stream.7z   application/octet-stream.mkv  application/octet-streamWin2008或IIS7的文件上傳大小限制解決方案默認(rèn)情況下，IIS7的上傳限制為200K。當(dāng)上傳文件小于30M時，可以通過如下方法設(shè)置

4、：在iis7中找到asp設(shè)置，在“asp”的“限制屬性”中最后一行“最大請求主體限制”，修改該值為你所想要的，如2G2000000000，單位為B。當(dāng)上傳文件要求大于30M時，繼續(xù)如下修改：1. 停止IIS72. 找到“C:WindowsSystem32inetsrvconfigschemaIIS_schema.xml”文件。這個文件是只讀的，即使用管理員權(quán)限也不能修改。要先修改文件的權(quán)限，然后去掉只讀屬性才可以。1) 右鍵文件->屬性->安全，選中目標(biāo)用戶，點擊高級，修改文件所有者；2) 確定后點擊編輯，就可以修改當(dāng)前用戶的權(quán)限了，添加“寫入”權(quán)限。至此，權(quán)限設(shè)置OK了。3) 將

5、文件的只讀屬性去掉。用記事本打開該文件，找到“”，將“30000000”修改為你想要的值如2000000000保存。將“C:WindowsSystem32inetsrvconfigschemaIIS_schema.xml”文件加上只讀屬性。啟動IIS7。本人上傳120M視頻文件通過。但是，win2008最大只能上傳小于2G的文件。這個要注意。3、配置php :/www blogs /kaite/archive/2012/03/10/2389489.html把php安裝包解壓的一個目錄下，C:php拷貝一個php.ini-development副本，把它重命名為php.ini。配置php.ini

6、 文件，搜索如下配置并修改相應(yīng)的配置值：extension_dir = "C:phpext" date.timezone = 改為 date.timezone = Asia/Shanghai如果不改以上的date.timezone可能打開網(wǎng)頁會提示500錯誤組件extension=php_mbstring.dllextension=php_gd2.dllextension=php_MySQL.dllextension=php_mysqli.dll phpMyAdmin使用PHP 5.3以上版本使用fastcgi模式，配置IIS 7需要在IIS添加一個處理程序映射處理程序映射

7、-添加一個模塊處理程序：*.phpFastCgiModuleC:phpphp-cgi.exePHP_vis_FastCGI默認(rèn)文檔中添加index.php 為默認(rèn)文檔PHP目錄 Users 讀取運行權(quán)限php測試<?php  phpinfo();?>新版本的Windows版本PHP，在出現(xiàn)錯誤時，會將詳細(xì)的錯誤信息自動存儲到Windows系統(tǒng)的TEMP臨時目錄，文件名為：php-errors.log。在Windows2003系統(tǒng)中路徑一般是：C:WINDOWSTempphp-errors.log。用記事本打開這個文件，就可以看到詳細(xì)的php錯誤記錄了。 錯誤 500.0

8、Internal Server Error發(fā)生未知 FastCGI 錯誤發(fā)生此錯誤的關(guān)鍵原因在于沒有安裝VC9運行庫 即VISUAL C+ 2008 (installer自動帶上了Visual C+ 2008)Microsoft Visual C+ 2008 Redistributable Package (x86)下載地址： :/ microsoft /downloads/details.aspx?FamilyID=9B2DA534-3E03-4391-8A4D-074B9F2BC1BF&displaylang=zh-cnMicrosoft Visual C+ 2008 Redist

9、ributable Package (x64)下載地址： :/ microsoft /downloads/zh-cn/resultsForProduct.aspx?displaylang=zh&ProductID=23947d52-b2bc-4e88-8c51-e81dc2905b0d如果安裝VC9運行庫仍出現(xiàn)上面錯誤，多數(shù)是因為php安裝目錄沒有給IIS_IUSRS用戶讀取和執(zhí)行權(quán)限造成的。4、Mysql 5安裝 :/faq senz /usersguide/discuz二、系統(tǒng)安全配置1、目錄權(quán)限除系統(tǒng)所在分區(qū)之外的所有分區(qū)都賦予Administrators和SYSTEM有完全控制

10、權(quán)，之后再對其下的子目錄作單獨的目錄權(quán)限2、遠(yuǎn)程連接我的電腦屬性-遠(yuǎn)程設(shè)置-遠(yuǎn)程-只允許運行帶網(wǎng)絡(luò)超級身份驗證的遠(yuǎn)程桌面的電腦連接選擇允許運行任意版本遠(yuǎn)程桌面的電腦連接(較不安全)。備注：方便多種版本W(wǎng)indows遠(yuǎn)程管理服務(wù)器。 :/apps.hi.baidu /share/detail/16610280windows server 2008的遠(yuǎn)程桌面連接，與2003相比，引入了網(wǎng)絡(luò)級身份驗證NLA，network level authentication)，XP SP3不支持這種網(wǎng)絡(luò)級的身份驗證，vista跟win7支持。然而在XP系統(tǒng)中修改一下注冊表，即可讓XP SP3支持網(wǎng)絡(luò)級身份驗證

11、。HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlLsa在右窗口中雙擊Security Pakeages，添加一項“tspkg”。HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlSecurityProviders在右窗口中雙擊SecurityProviders，添加credssp.dll；請注意，在添加這項值時，一定要在原有的值后添加逗號后，別忘了要空一格英文狀態(tài)。然后將XP系統(tǒng)重啟一下即可。再查看一下，即可發(fā)現(xiàn)XP系統(tǒng)已經(jīng)支持網(wǎng)絡(luò)級身份驗證3、修改遠(yuǎn)程訪問服務(wù)端口更改遠(yuǎn)程連接端口方法，可用wind

12、ows自帶的計算器將10進(jìn)制轉(zhuǎn)為16進(jìn)制。更改3389端口為8208，重啟生效！Windows Registry Editor Version 5.00HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlTerminal ServerWdsrdpwdTdstcp"PortNumber"=dword:0002010HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlTerminal ServerWinStationsRDP-Tcp"PortNumber"=dword:0

13、00020101.在開始-運行菜單里,輸入regedit,進(jìn)入注冊表編輯,按下面的路徑進(jìn)入修改端口的地方2.HKEY_LOCAL_MACHINESystemCurrentControlSetControlTerminal ServerWinStationsRDP-Tcp3.找到右側(cè)的 "PortNumber"，用十進(jìn)制方式顯示，默認(rèn)為3389，改為(例如)6666端口4.HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlTerminal ServerWdsrdpwdTdstcp5.找到右側(cè)的 "PortNumber&q

14、uot;，用十進(jìn)制方式顯示，默認(rèn)為3389，改為同上的端口6.在控制面板-Windows 防火墻-高級設(shè)置-入站規(guī)則-新建規(guī)則7.選擇端口-協(xié)議和端口-TCP/特定本地端口：同上的端口8.下一步，選擇允許連接9.下一步，選擇公用10.下一步，名稱：遠(yuǎn)程桌面-新(TCP-In)，描述：用于遠(yuǎn)程桌面服務(wù)的入站規(guī)則，以允許RDP通信。TCP 同上的端口11.刪除遠(yuǎn)程桌面(TCP-In)規(guī)則12.重新啟動電腦4、配置本地連接網(wǎng)絡(luò)-屬性-管理網(wǎng)絡(luò)連接-本地連接打開“本地連接”界面，選擇“屬性”，左鍵點擊“Microsoft網(wǎng)絡(luò)客戶端”，再點擊“卸載”，在彈出的對話框中“是”確認(rèn)卸載。點擊“Microso

15、ft網(wǎng)絡(luò)的文件和打印機(jī)共享”，再點擊“卸載”，在彈出的對話框中選擇“是”確認(rèn)卸載。解除Netbios和TCP/IP協(xié)議的綁定 139端口打開“本地連接”界面，選擇“屬性”，在彈出的“屬性”框中雙擊“Internet協(xié)議版本TCP/IPV4”，點擊“屬性”，再點擊“高級”“WINS”，選擇“禁用TCP/IP上的NETBIOS”，點擊“確認(rèn)”并關(guān)閉本地連接屬性。禁止默認(rèn)共享點擊“開始”“運行”，輸入“Regedit”，打開注冊表編輯器，打開注冊表項“HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServiceslanmanserverparameters”，在右

16、邊的窗口中新建Dword值，名稱設(shè)為AutoShareServer，值設(shè)為“0”。關(guān)閉 445端口HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesNetBTParameters新建 Dword32位名稱設(shè)為SMBDeviceEnabled 值設(shè)為“0”5、共享和發(fā)現(xiàn)右鍵“網(wǎng)絡(luò)” 屬性 網(wǎng)絡(luò)和共享中心  共享和發(fā)現(xiàn)關(guān)閉網(wǎng)絡(luò)共享文件共享公用文件共享打印機(jī)共享顯示我正在共享的所有文件和文件夾顯示這臺電腦上所有共享的網(wǎng)絡(luò)文件夾6、用防火墻限制Ping網(wǎng)上自己查吧，ping還是經(jīng)常需要用到的7、防火墻的設(shè)置控制面板Windows防火墻設(shè)置更改設(shè)

17、置例外，勾選FTP、 、遠(yuǎn)程桌面服務(wù) 核心網(wǎng)絡(luò) S用不到可以不勾3306：Mysql1433：Mssql8、禁用不需要的和危險的服務(wù)，以以下出服務(wù)都需要禁用。控制面板 管理工具 服務(wù)Distributed linktracking client   用于局域網(wǎng)更新連接信息PrintSpooler  打印服務(wù)Remote Registry  遠(yuǎn)程修改注冊表Server 電腦通過網(wǎng)絡(luò)的文件、打印、和命名管道共享TCP/IP NetBIOS Helper  提供 TCP/IP (NetBT) 服務(wù)上的 NetBIOS 和網(wǎng)絡(luò)上客戶端的 NetBIOS

18、 名稱解析的支持Workstation   泄漏系統(tǒng)用戶名列表 與Terminal Services Configuration 關(guān)聯(lián)Computer Browser 維護(hù)網(wǎng)絡(luò)電腦更新 默認(rèn)已經(jīng)禁用Net Logon   域控制器通道管理 默認(rèn)已經(jīng)手動Remote Procedure Call (RPC) Locator   RpcNs*遠(yuǎn)程過程調(diào)用 (RPC) 默認(rèn)已經(jīng)手動刪除服務(wù)sc delete MySql9、安全設(shè)置->本地策略->安全選項在運行中輸入gpedit.msc回車，打開組策略編輯器，選擇電腦配置->

19、;Windows設(shè)置->安全設(shè)置->本地策略->安全選項交互式登陸：不顯示最后的用戶名啟用網(wǎng)絡(luò)訪問：不允許SAM帳戶的匿名枚舉   啟用 已經(jīng)啟用網(wǎng)絡(luò)訪問：不允許SAM帳戶和共享的匿名枚舉 啟用網(wǎng)絡(luò)訪問：不允許儲存網(wǎng)絡(luò)身份驗證的憑據(jù)啟用網(wǎng)絡(luò)訪問：可匿名訪問的共享內(nèi)容全部刪除網(wǎng)絡(luò)訪問：可匿名訪問的命名管道內(nèi)容全部刪除網(wǎng)絡(luò)訪問：可遠(yuǎn)程訪問的注冊表路徑內(nèi)容全部刪除網(wǎng)絡(luò)訪問：可遠(yuǎn)程訪問的注冊表路徑和子路徑內(nèi)容全部刪除帳戶：重命名來賓帳戶這里可以更改guest帳號帳戶：重命名系統(tǒng)管理員帳戶這里可以更改Administrator帳號10、安全設(shè)置->賬戶策略->賬戶

20、鎖定策略在運行中輸入gpedit.msc回車，打開組策略編輯器，選擇電腦配置->Windows設(shè)置->安全設(shè)置->賬戶策略->賬戶鎖定策略，將賬戶鎖定閾值設(shè)為“三次登陸無效”，“鎖定時間為30分鐘”，“復(fù)位鎖定計數(shù)設(shè)為30分鐘”。11、本地安全設(shè)置選擇電腦配置->Windows設(shè)置->安全設(shè)置->本地策略->用戶權(quán)限分配關(guān)閉系統(tǒng)：只有Administrators組、其它全部刪除。通過終端服務(wù)拒絕登陸：加入Guests組、IUSR_*、IWAM_*、NETWORK SERVICE、SQLDebugger  通過終端服務(wù)允許登陸：加入Adm

21、inistrators、Remote Desktop Users組，其他全部刪除12、更改Administrator，guest賬戶，新建一無任何權(quán)限的假Administrator賬戶管理工具電腦管理系統(tǒng)工具本地用戶和組用戶新建一個Administrator帳戶作為陷阱帳戶，設(shè)置超長密碼，并去掉所有用戶組更改描述：管理電腦(域)的內(nèi)置帳戶13、密碼策略選擇電腦配置->Windows設(shè)置->安全設(shè)置->密碼策略啟動 密碼必須符合復(fù)雜性要求最短密碼長度14、禁用DCOM "沖擊波"病毒 RPC/DCOM 漏洞運行Dcomcnfg.exe?？刂婆_根節(jié)點組件服務(wù)電

22、腦右鍵單擊“我的電腦”屬性”默認(rèn)屬性”選項卡清除“在這臺電腦上啟用分布式 COM”復(fù)選框。15、ASP漏洞主要是卸載WScript.Shell 和 Shell.application 組件，是否刪除看是否必要。regsvr32/u C:WINDOWSSystem32wshom.ocxregsvr32/u C:WINDOWSsystem32shell32.dll刪除可能權(quán)限不夠del C:WINDOWSSystem32wshom.ocxdel C:WINDOWSsystem32shell32.dll如果確實要使用，或者也可以給它們改個名字。WScript.Shell可以調(diào)用系統(tǒng)內(nèi)核運行DOS基本

23、命令可以通過修改注冊表，將此組件改名，來防止此類木馬的危害。HKEY_CLASSES_ROOTWScript.Shell及HKEY_CLASSES_ROOTWScript.Shell.1改名為其它的名字，如：改為WScript.Shell_ChangeName 或 WScript.Shell.1_ChangeName自己以后調(diào)用的時候使用這個就可以正常調(diào)用此組件了也要將clsid值也改一下HKEY_CLASSES_ROOTWScript.ShellCLSID項目的值HKEY_CLASSES_ROOTWScript.Shell.1CLSID項目的值也可以將其刪除，來防止此類木馬的危害。Shell

24、.Application可以調(diào)用系統(tǒng)內(nèi)核運行DOS基本命令可以通過修改注冊表，將此組件改名，來防止此類木馬的危害。HKEY_CLASSES_ROOTShell.Application及HKEY_CLASSES_ROOTShell.Application.1改名為其它的名字，如：改為Shell.Application_ChangeName 或 Shell.Application.1_ChangeName自己以后調(diào)用的時候使用這個就可以正常調(diào)用此組件了也要將clsid值也改一下HKEY_CLASSES_ROOTShell.ApplicationCLSID項目的值HKEY_CLASSES_ROOTS

25、hell.ApplicationCLSID項目的值也可以將其刪除，來防止此類木馬的危害。禁止Guest用戶使用shell32.dll來防止調(diào)用此組件。2000使用命令：cacls C:WINNTsystem32shell32.dll /e /d guests2003使用命令：cacls C:WINDOWSsystem32shell32.dll /e /d guests禁止使用FileSystemObject組件，F(xiàn)SO是使用率非常高的組件，要小心確定是否卸載。改名后調(diào)用就要改程序了，Set FSO = Server.CreateObject("Scripting.FileSystem

26、Object")。FileSystemObject可以對文件進(jìn)行常規(guī)操作,可以通過修改注冊表，將此組件改名，來防止此類木馬的危害。HKEY_CLASSES_ROOTScripting.FileSystemObject改名為其它的名字，如：改為 FileSystemObject_ChangeName自己以后調(diào)用的時候使用這個就可以正常調(diào)用此組件了也要將clsid值也改一下HKEY_CLASSES_ROOTScripting.FileSystemObjectCLSID項目的值也可以將其刪除，來防止此類木馬的危害。2000注銷此組件命令：RegSrv32 /u C:WINNTSYSTEMs

27、crrun.dll2003注銷此組件命令：RegSrv32 /u C:WINDOWSSYSTEMscrrun.dll如何禁止Guest用戶使用scrrun.dll來防止調(diào)用此組件？使用這個命令：cacls C:WINNTsystem32scrrun.dll /e /d guests15、打開UAC控制面板 用戶賬戶 打開或關(guān)閉用戶賬戶控制16、程序權(quán)限"net.exe","net1.exe","cmd.exe","tftp.exe","netstat.exe","regedit.exe","at.exe","attrib.exe","cacls.exe","format ","c.exe"或完全禁止上述命令的執(zhí)行g(shù)pedit.msc-用戶配置-管理模板-系統(tǒng)啟用 阻止訪問命令提示符 同時 也停用命令提示符腳本