WindowsServer2008R2常規(guī)安全設(shè)置及基本安全策略

1、Windows Server 2008 R2常規(guī)安全設(shè)置及基本安全策略比較重要的幾部1.更改默認(rèn)administrator用戶(hù)名，復(fù)雜密碼2.開(kāi)啟防火墻3.安裝殺毒軟件1)新做系統(tǒng)一定要先打上補(bǔ)丁2)安裝必要的殺毒軟件3)刪除系統(tǒng)默認(rèn)共享4)修改本地策略>安全選項(xiàng) 交互式登陸：不顯示最后的用戶(hù)名 啟用網(wǎng)絡(luò)訪問(wèn)：不允許SAM 帳戶(hù)和共享的匿名枚舉 啟用網(wǎng)絡(luò)訪問(wèn): 不允許存儲(chǔ)網(wǎng)絡(luò)身份驗(yàn)證的憑據(jù)或 .NET Passports 啟用網(wǎng)絡(luò)訪問(wèn)：可遠(yuǎn)程訪問(wèn)的注冊(cè)表路徑和子路徑 全部刪除5)禁用不必要的服務(wù)TCP/IP NetBIOS Helper、Server、 Distributed Link

2、Tracking Client 、Print Spooler、Remote Registry、Workstation6)禁用IPV6server 2008 r2交互式登錄: 不顯示最后的用戶(hù)名一、系統(tǒng)及程序1、屏幕保護(hù)與電源桌面右鍵-個(gè)性化-屏幕保護(hù)程序，屏幕保護(hù)程序 選擇無(wú)，更改電源設(shè)置 選擇高性能，選擇關(guān)閉顯示器的時(shí)間 關(guān)閉顯示器 選 從不 保存修改2、配置IIS7組件、FTP7、php 5.5.7、mysql 5.6.15、phpMyAdmin 4.1.8、phpwind 9.0、ISAPI_Rewrite環(huán)境。在這里我給大家可以推薦下阿里云的服務(wù)器一鍵環(huán)境配置，全自動(dòng)安裝設(shè)置很不錯(cuò)的。

3、點(diǎn)擊查看地址二、系統(tǒng)安全配置1、目錄權(quán)限除系統(tǒng)所在分區(qū)之外的所有分區(qū)都賦予Administrators和SYSTEM有完全控制權(quán)，之后再對(duì)其下的子目錄作單獨(dú)的目錄權(quán)限2、遠(yuǎn)程連接我的電腦屬性-遠(yuǎn)程設(shè)置-遠(yuǎn)程-只允許運(yùn)行帶網(wǎng)絡(luò)超級(jí)身份驗(yàn)證的遠(yuǎn)程桌面的計(jì)算機(jī)連接，選擇允許運(yùn)行任意版本遠(yuǎn)程桌面的計(jì)算機(jī)連接(較不安全)。備注：方便多種版本W(wǎng)indows遠(yuǎn)程管理服務(wù)器。windows server 2008的遠(yuǎn)程桌面連接，與2003相比，引入了網(wǎng)絡(luò)級(jí)身份驗(yàn)證（NLA，network level authentication)，XP SP3不支持這種網(wǎng)絡(luò)級(jí)的身份驗(yàn)證，vista跟win7支持。然而在XP系

4、統(tǒng)中修改一下注冊(cè)表，即可讓XP SP3支持網(wǎng)絡(luò)級(jí)身份驗(yàn)證。HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlLsa在右窗口中雙擊Security Pakeages，添加一項(xiàng)“tspkg”。HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlSecurityProviders，在右窗口中雙擊SecurityProviders，添加credssp.dll；請(qǐng)注意，在添加這項(xiàng)值時(shí)，一定要在原有的值后添加逗號(hào)后，別忘了要空一格（英文狀態(tài)）。然后將XP系統(tǒng)重啟一下即可。再查看一下，即可發(fā)現(xiàn)XP系統(tǒng)已經(jīng)支持網(wǎng)絡(luò)級(jí)身份

5、驗(yàn)證3、修改遠(yuǎn)程訪問(wèn)服務(wù)端口更改遠(yuǎn)程連接端口方法，可用windows自帶的計(jì)算器將10進(jìn)制轉(zhuǎn)為16進(jìn)制。更改3389端口為8208，重啟生效！Windows Registry Editor Version 5.00HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlTerminal ServerWdsrdpwdTdstcp "PortNumber"=dword:0002010HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlTerminal ServerWinStationsRDP-T

6、cp "PortNumber"=dword:00002010（1）在開(kāi)始-運(yùn)行菜單里,輸入regedit,進(jìn)入注冊(cè)表編輯,按下面的路徑進(jìn)入修改端口的地方 （2）HKEY_LOCAL_MACHINESystemCurrentControlSetControlTerminal ServerWinStationsRDP-Tcp （3）找到右側(cè)的 "PortNumber"，用十進(jìn)制方式顯示，默認(rèn)為3389，改為(例如)6666端口 （4）HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlTerminal Server

7、WdsrdpwdTdstcp （5）找到右側(cè)的 "PortNumber"，用十進(jìn)制方式顯示，默認(rèn)為3389，改為同上的端口 （6）在控制面板-Windows 防火墻-高級(jí)設(shè)置-入站規(guī)則-新建規(guī)則 （7）選擇端口-協(xié)議和端口-TCP/特定本地端口：同上的端口 （8）下一步，選擇允許連接 （9）下一步，選擇公用 （10）下一步，名稱(chēng)：遠(yuǎn)程桌面-新(TCP-In)，描述：用于遠(yuǎn)程桌面服務(wù)的入站規(guī)則，以允許RDP通信。TCP 同上的端口 （11）刪除遠(yuǎn)程桌面(TCP-In)規(guī)則 （12）重新啟動(dòng)計(jì)算機(jī)4、配置本地連接網(wǎng)絡(luò)-屬性-管理網(wǎng)絡(luò)連接-本地連接，打開(kāi)“本地連接”界面，選擇“屬

8、性”，左鍵點(diǎn)擊“Microsoft網(wǎng)絡(luò)客戶(hù)端”，再點(diǎn)擊“卸載”，在彈出的對(duì)話框中“是”確認(rèn)卸載。點(diǎn)擊“Microsoft網(wǎng)絡(luò)的文件和打印機(jī)共享”，再點(diǎn)擊“卸載”，在彈出的對(duì)話框中選擇“是”確認(rèn)卸載。解除Netbios和TCP/IP協(xié)議的綁定139端口：打開(kāi)“本地連接”界面，選擇“屬性”，在彈出的“屬性”框中雙擊“Internet協(xié)議版本（TCP/IPV4）”，點(diǎn)擊“屬性”，再點(diǎn)擊“高級(jí)”“WINS”，選擇“禁用TCP/IP上的NETBIOS”，點(diǎn)擊“確認(rèn)”并關(guān)閉本地連接屬性。禁止默認(rèn)共享：點(diǎn)擊“開(kāi)始”“運(yùn)行”，輸入“Regedit”，打開(kāi)注冊(cè)表編輯器，打開(kāi)注冊(cè)表項(xiàng)“HKEY_LOCAL_MAC

9、HINESYSTEMCurrentControlSetServiceslanmanserverparameters”，在右邊的窗口中新建Dword值，名稱(chēng)設(shè)為AutoShareServer，值設(shè)為“0”。關(guān)閉 445端口：HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesNetBTParameters，新建 Dword（32位）名稱(chēng)設(shè)為SMBDeviceEnabled 值設(shè)為“0”5、共享和發(fā)現(xiàn)右鍵“網(wǎng)絡(luò)” 屬性 網(wǎng)絡(luò)和共享中心 共享和發(fā)現(xiàn) 關(guān)閉，網(wǎng)絡(luò)共享，文件共享，公用文件共享，打印機(jī)共享，顯示我正在共享的所有文件和文件夾，顯示這臺(tái)計(jì)算機(jī)上所有

10、共享的網(wǎng)絡(luò)文件夾6、用防火墻限制Ping網(wǎng)上自己查吧，ping還是經(jīng)常需要用到的7、防火墻的設(shè)置控制面板Windows防火墻設(shè)置更改設(shè)置例外，勾選FTP、HTTP、遠(yuǎn)程桌面服務(wù) 核心網(wǎng)絡(luò)HTTPS用不到可以不勾3306：Mysql 1433：Mssql8、禁用不需要的和危險(xiǎn)的服務(wù)，以下列出服務(wù)都需要禁用?？刂泼姘?管理工具 服務(wù)Distributed linktracking client 用于局域網(wǎng)更新連接信息 PrintSpooler 打印服務(wù) Remote Registry 遠(yuǎn)程修改注冊(cè)表 Server 計(jì)算機(jī)通過(guò)網(wǎng)絡(luò)的文件、打印、和命名管道共享 TCP/IP NetBIOS Helpe

11、r 提供 TCP/IP (NetBT) 服務(wù)上的 NetBIOS 和網(wǎng)絡(luò)上客戶(hù)端的 NetBIOS 名稱(chēng)解析的支持 Workstation 泄漏系統(tǒng)用戶(hù)名列表 與Terminal Services Configuration 關(guān)聯(lián) Computer Browser 維護(hù)網(wǎng)絡(luò)計(jì)算機(jī)更新 默認(rèn)已經(jīng)禁用 Net Logon 域控制器通道管理 默認(rèn)已經(jīng)手動(dòng) Remote Procedure Call (RPC) Locator RpcNs*遠(yuǎn)程過(guò)程調(diào)用 (RPC) 默認(rèn)已經(jīng)手動(dòng) 刪除服務(wù)sc delete MySql9、安全設(shè)置->本地策略->安全選項(xiàng)在運(yùn)行中輸入gpedit.msc回車(chē)，

12、打開(kāi)組策略編輯器，選擇計(jì)算機(jī)配置->Windows設(shè)置->安全設(shè)置->本地策略->安全選項(xiàng)交互式登陸：不顯示最后的用戶(hù)名啟用 網(wǎng)絡(luò)訪問(wèn)：不允許SAM帳戶(hù)的匿名枚舉 啟用 已經(jīng)啟用 網(wǎng)絡(luò)訪問(wèn)：不允許SAM帳戶(hù)和共享的匿名枚舉 啟用 網(wǎng)絡(luò)訪問(wèn)：不允許儲(chǔ)存網(wǎng)絡(luò)身份驗(yàn)證的憑據(jù)啟用 網(wǎng)絡(luò)訪問(wèn)：可匿名訪問(wèn)的共享內(nèi)容全部刪除 網(wǎng)絡(luò)訪問(wèn)：可匿名訪問(wèn)的命名管道內(nèi)容全部刪除 網(wǎng)絡(luò)訪問(wèn)：可遠(yuǎn)程訪問(wèn)的注冊(cè)表路徑內(nèi)容全部刪除 網(wǎng)絡(luò)訪問(wèn)：可遠(yuǎn)程訪問(wèn)的注冊(cè)表路徑和子路徑內(nèi)容全部刪除 帳戶(hù)：重命名來(lái)賓帳戶(hù)這里可以更改guest帳號(hào) 帳戶(hù)：重命名系統(tǒng)管理員帳戶(hù)這里可以更改Administrator帳號(hào)1

13、0、安全設(shè)置->賬戶(hù)策略->賬戶(hù)鎖定策略在運(yùn)行中輸入gpedit.msc回車(chē)，打開(kāi)組策略編輯器，選擇計(jì)算機(jī)配置->Windows設(shè)置->安全設(shè)置->賬戶(hù)策略->賬戶(hù)鎖定策略，將賬戶(hù)鎖定閾值設(shè)為“三次登陸無(wú)效”，“鎖定時(shí)間為30分鐘”，“復(fù)位鎖定計(jì)數(shù)設(shè)為30分鐘”。11、本地安全設(shè)置選擇計(jì)算機(jī)配置->Windows設(shè)置->安全設(shè)置->本地策略->用戶(hù)權(quán)限分配 關(guān)閉系統(tǒng)：只有Administrators組、其它全部刪除。 通過(guò)終端服務(wù)拒絕登陸：加入Guests組、IUSR_*、IWAM_*、NETWORK SERVICE、SQLDebug

14、ger 通過(guò)終端服務(wù)允許登陸：加入Administrators、Remote Desktop Users組，其他全部刪除12、更改Administrator，guest賬戶(hù)，新建一無(wú)任何權(quán)限的假Administrator賬戶(hù)管理工具計(jì)算機(jī)管理系統(tǒng)工具本地用戶(hù)和組用戶(hù) 新建一個(gè)Administrator帳戶(hù)作為陷阱帳戶(hù)，設(shè)置超長(zhǎng)密碼，并去掉所有用戶(hù)組 更改描述：管理計(jì)算機(jī)(域)的內(nèi)置帳戶(hù)13、密碼策略選擇計(jì)算機(jī)配置->Windows設(shè)置->安全設(shè)置->密碼策略 啟動(dòng) 密碼必須符合復(fù)雜性要求 最短密碼長(zhǎng)度14、禁用DCOM （"沖擊波"病毒 RPC/DCOM

15、漏洞）運(yùn)行Dcomcnfg.exe?？刂婆_(tái)根節(jié)點(diǎn)組件服務(wù)計(jì)算機(jī)右鍵單擊“我的電腦”屬性”默認(rèn)屬性”選項(xiàng)卡清除“在這臺(tái)計(jì)算機(jī)上啟用分布式 COM”復(fù)選框。15、ASP漏洞主要是卸載WScript.Shell 和 Shell.application 組件，是否刪除看是否必要。regsvr32/u C:WINDOWSSystem32wshom.ocx regsvr32/u C:WINDOWSsystem32shell32.dll刪除可能權(quán)限不夠del C:WINDOWSSystem32wshom.ocx del C:WINDOWSsystem32shell32.dll如果確實(shí)要使用，或者也可以給它們

16、改個(gè)名字。WScript.Shell可以調(diào)用系統(tǒng)內(nèi)核運(yùn)行DOS基本命令可以通過(guò)修改注冊(cè)表，將此組件改名，來(lái)防止此類(lèi)木馬的危害。HKEY_CLASSES_ROOTWScript.Shell及HKEY_CLASSES_ROOTWScript.Shell.1自己以后調(diào)用的時(shí)候使用這個(gè)就可以正常調(diào)用此組件了也要將clsid值也改一下HKEY_CLASSES_ROOTWScript.ShellCLSID項(xiàng)目的值HKEY_CLASSES_ROOTWScript.Shell.1CLSID項(xiàng)目的值也可以將其刪除，來(lái)防止此類(lèi)木馬的危害。Shell.Application可以調(diào)用系統(tǒng)內(nèi)核運(yùn)行DOS基本命令可以通過(guò)

17、修改注冊(cè)表，將此組件改名，來(lái)防止此類(lèi)木馬的危害。自己以后調(diào)用的時(shí)候使用這個(gè)就可以正常調(diào)用此組件了也要將clsid值也改一下HKEY_CLASSES_ROOTShell.ApplicationCLSID項(xiàng)目的值 HKEY_CLASSES_ROOTShell.ApplicationCLSID項(xiàng)目的值也可以將其刪除，來(lái)防止此類(lèi)木馬的危害。禁止Guest用戶(hù)使用shell32.dll來(lái)防止調(diào)用此組件。2000使用命令：cacls C:WINNTsystem32shell32.dll /e /d guests 2003使用命令：cacls C:WINDOWSsystem32shell32.dll /e

18、/d guests禁止使用FileSystemObject組件，F(xiàn)SO是使用率非常高的組件，要小心確定是否卸載。改名后調(diào)用就要改程序了，Set FSO = Server.CreateObject("Scripting.FileSystemObject")。FileSystemObject可以對(duì)文件進(jìn)行常規(guī)操作,可以通過(guò)修改注冊(cè)表，將此組件改名，來(lái)防止此類(lèi)木馬的危害。 HKEY_CLASSES_ROOTScripting.FileSystemObject 改名為其它的名字，如：改為 FileSystemObject_ChangeName 自己以后調(diào)用的時(shí)候使用這個(gè)就可以正常調(diào)

19、用此組件了 也要將clsid值也改一下HKEY_CLASSES_ROOTScripting.FileSystemObjectCLSID項(xiàng)目的值 也可以將其刪除，來(lái)防止此類(lèi)木馬的危害。 2000注銷(xiāo)此組件命令：RegSrv32 /u C:WINNTSYSTEMscrrun.dll 2003注銷(xiāo)此組件命令：RegSrv32 /u C:WINDOWSSYSTEMscrrun.dll 如何禁止Guest用戶(hù)使用scrrun.dll來(lái)防止調(diào)用此組件？ 使用這個(gè)命令：cacls C:WINNTsystem32scrrun.dll /e /d guests15、打開(kāi)UAC控制面板 用戶(hù)賬戶(hù) 打開(kāi)或關(guān)閉用戶(hù)賬

20、戶(hù)控制16、程序權(quán)限"net.exe","net1.exe","cmd.exe","tftp.exe","netstat.exe","regedit.exe","at.exe","attrib.exe","cacls.exe","","c.exe" 或完全禁止上述命令的執(zhí)行 gpedit.msc-用戶(hù)配置-管理模板-系統(tǒng) 啟用 阻止訪問(wèn)命令提示符 同時(shí) 也停用命令提示符腳本處理

21、 啟用 阻止訪問(wèn)注冊(cè)表編輯工具 啟用 不要運(yùn)行指定的windows應(yīng)用程序，添加下面的 at.exe attrib.exe c.exe cacls.exe cmd.exe net.exe net1.exe netstat.exe regedit.exe tftp.exe17、Serv-u安全問(wèn)題（個(gè)人建議不是特別高的要求沒(méi)必要用serv_U可以使用FTP服務(wù)器 FileZilla Server）安裝程序盡量采用最新版本，避免采用默認(rèn)安裝目錄，設(shè)置好serv-u目錄所在的權(quán)限，設(shè)置一個(gè)復(fù)雜的管理員密碼。修改serv-u的banner信息，設(shè)置被動(dòng)模式端口范圍（40014003）在本地服務(wù)器中設(shè)置

22、中做好相關(guān)安全設(shè)置：包括檢查匿名密碼，禁用反超時(shí)調(diào)度，攔截“FTP bounce”攻擊和FXP，對(duì)于在30秒內(nèi)連接超過(guò)3次的用戶(hù)攔截10分鐘。域中的設(shè)置為：要求復(fù)雜密碼，目錄只使用小寫(xiě)字母，高級(jí)中設(shè)置取消允許使用MDTM命令更改文件的日期。更改serv-u的啟動(dòng)用戶(hù)：在系統(tǒng)中新建一個(gè)用戶(hù)，設(shè)置一個(gè)復(fù)雜點(diǎn)的密碼，不屬于任何組。將servu的安裝目錄給予該用戶(hù)完全控制權(quán)限。建立一個(gè)FTP根目錄，需要給予這個(gè)用戶(hù)該目錄完全控制權(quán)限，因?yàn)樗械膄tp用戶(hù)上傳，刪除，更改文件都是繼承了該用戶(hù)的權(quán)限，否則無(wú)法操作文件。另外需要給該目錄以上的上級(jí)目錄給該用戶(hù)的讀取權(quán)限，否則會(huì)在連接的時(shí)候出現(xiàn)530 Not

23、logged in, home directory does not exist。比如在測(cè)試的時(shí)候ftp根目錄為d:soft，必須給d盤(pán)該用戶(hù)的讀取權(quán)限，為了安全取消d盤(pán)其他文件夾的繼承權(quán)限。而一般的使用默認(rèn)的system啟動(dòng)就沒(méi)有這些問(wèn)題，因?yàn)閟ystem一般都擁有這些權(quán)限的。如果FTP不是必須每天都用，不如就關(guān)了吧，要用再打開(kāi)。下面是其它網(wǎng)友的補(bǔ)充：大家可以參考下Windows Web Server 2008 R2服務(wù)器簡(jiǎn)單安全設(shè)置1、新做系統(tǒng)一定要先打上已知補(bǔ)丁，以后也要及時(shí)關(guān)注微軟的漏洞報(bào)告。略。 2、所有盤(pán)符根目錄只給system和Administrator的權(quán)限，其他的刪除。3、將

24、所有磁盤(pán)格式轉(zhuǎn)換為NTFS格式。命令：convert c:/fs:ntfs c:代表C盤(pán)，其他盤(pán)類(lèi)推。WIN08 r2 C盤(pán)一定是ntfs格式的，不然不能安裝系統(tǒng) 4、開(kāi)啟Windows Web Server 2008 R2自帶的高級(jí)防火墻。默認(rèn)已經(jīng)開(kāi)啟。5、安裝必要的殺毒軟件如mcafee，安裝一款A(yù)RP防火墻，安天ARP好像不錯(cuò)。略。6、設(shè)置屏幕屏保護(hù)。7、關(guān)閉光盤(pán)和磁盤(pán)的自動(dòng)播放功能。8、刪除系統(tǒng)默認(rèn)共享。命令：net share c$ /del 這種方式下次啟動(dòng)后還是會(huì)出現(xiàn)，不徹底。也可以做成一個(gè)批處理文件，然后設(shè)置開(kāi)機(jī)自動(dòng)執(zhí)動(dòng)這個(gè)批處理。但是還是推薦下面的方法，直修改注冊(cè)表的方法。H

25、KEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesLanmanserverparameters下面新建AutoShareServer ,值為0 。重啟一下，測(cè)試。已經(jīng)永久生效了。9、重命Administrator和Guest帳戶(hù),密碼必須復(fù)雜。GUEST用戶(hù)我們可以復(fù)制一段文本作為密碼，你說(shuō)這個(gè)密碼誰(shuí)能破。也只有自己了。.重命名管理員用戶(hù)組Administrators。10、創(chuàng)建一個(gè)陷阱用戶(hù)Administrator，權(quán)限最低。上面二步重命名最好放在安裝IIS和SQL之前做好，那我這里就不演示了。11、本地策略>審核策略審核策略更改 成功 失

26、敗審核登錄事件 成功 失敗審核對(duì)象訪問(wèn) 失敗審核過(guò)程跟蹤 無(wú)審核審核目錄服務(wù)訪問(wèn) 失敗審核特權(quán)使用 失敗審核系統(tǒng)事件 成功 失敗審核賬戶(hù)登錄事件 成功 失敗審核賬戶(hù)管理 成功 失敗12、本地策略>用戶(hù)權(quán)限分配關(guān)閉系統(tǒng)：只有Administrators 組、其它的全部刪除。管理模板 > 系統(tǒng) 顯示“關(guān)閉事件跟蹤程序”更改為已禁用。這個(gè)看大家喜歡。13、本地策略>安全選項(xiàng)交互式登陸：不顯示最后的用戶(hù)名 啟用網(wǎng)絡(luò)訪問(wèn)：不允許SAM 帳戶(hù)和共享的匿名枚舉 啟用網(wǎng)絡(luò)訪問(wèn): 不允許存儲(chǔ)網(wǎng)絡(luò)身份驗(yàn)證的憑據(jù)或 .NET Passports 啟用網(wǎng)絡(luò)訪問(wèn)：可遠(yuǎn)程訪問(wèn)的注冊(cè)表路徑 全部刪除網(wǎng)絡(luò)訪

27、問(wèn)：可遠(yuǎn)程訪問(wèn)的注冊(cè)表路徑和子路徑 全部刪除14、禁止dump file 的產(chǎn)生。系統(tǒng)屬性>高級(jí)>啟動(dòng)和故障恢復(fù)把 寫(xiě)入調(diào)試信息 改成“無(wú)”15、禁用不必要的服務(wù)。TCP/IP NetBIOS HelperServer Distributed Link Tracking ClientPrint SpoolerRemote RegistryWorkstation16、站點(diǎn)方件夾安全屬性設(shè)置刪除C: inetpub 目錄。刪不了，不研究了。把權(quán)限最低。禁用或刪除默認(rèn)站點(diǎn)。我這里不刪除了。停止即可。一般給站點(diǎn)目錄權(quán)限為：System 完全控制Administrator 完全控制Users 讀IIS