网安(2)——Windows Server 2008 系统加固

账号安全：更改管理员账号

 以Administrator账户登录本地计算机，开始->运行->compmgmt.msc（计算机管理）->本地用户和组->用户，右击Administrator账户并选择“重命名”，并输入新的账户名称就可以了

删除无用的账户

      开始->运行->compmgmt.msc（计算机管理）->本地用户和组，查看是否有不用的账号，系统账号所属组是否正确以及guest账号是否锁定。

      如果有不用的账号，应该及时删掉。

      在cmd下使用“net user 用户名 /del”命令删除账号。

      使用“net user 用户名 /active:no”命令锁定账号。

 

口令策略

      开始->运行->secpol.msc （本地安全策略）->安全设置->账户策略->密码策略

 

账户锁定策略

      账户锁定策略可以防止暴力破解的攻击方式，所以，很有必要设置账户锁定策略。

      开始->运行->secpol.msc （本地安全策略）->安全设置->账户设置->账户锁定策略

文件系统安全：使用NTFS文件系统

      查看每个系统驱动器是否使用NTFS文件系统，如果不是，使用转换命令：convert <驱动器盘符>: /fs:ntfs 。

 

 

 

 Windows server 2008 操作系统对NTFS 卷及其包含的目录或者文件提供了权限设置，分别是完全控制、修改、读取和运行、列出文件夹目录、读取、写入和特殊权限7个权限。

检查Everyone权限

      如果Everyone 组的用户具备完全控制权，则可以对该文件夹或者文件进行所有的文件操作，建议取消Everyone组的完全控制权限。

      查看每个系统驱动器根目录是否设置为Everyone有所有权限，删除Everyone的权限或者取消Everyone的写权限。

 

 限制命令权限

 regsvr32 /u C:\WINDOWS\System32\wshom.ocx

      regsvr32 /u C:\WINDOWS\system32\shell32.dll

 

 

网络服务安全

      关闭一些不必要的服务和端口，可以大大降低被入侵的风险。

      关闭不必要的服务：开始->运行->services.msc。

 

 关闭端口

 

 

 

 

日志及审计的安全性

      Windows Server 2008 系统日志包括：

      1、应用程序日志。应用程序日志包含由应用程序或系统程序记录的时间。

      2、安全日志。安全日志记录着有效和无效的登陆事件，以及与文件操作的其他事件。

      3、系统日志。系统日志包含Windows 系统组件记录的事件。

      4、安装程序日志。安装程序日志，记录在系统安装或者安装微软公司产品时，产生的日志。

      在cmd输入eventvwr.msc 来打开事件查看器

 

 

 

 

增强审核

      对系统事件进行审核，在日后出现故障时用于排查故障。

      开始->运行->secpol.msc ->安全设置->本地策略->审核策略

 

 设置完以后 执行gpupdate /force 使策略生效。

 

 分析与思考

1、除了上面的讲到的，还有哪些加固的方法？

答： 关闭Windows Remote Management服务（关闭47001端口）； 关闭UDP 500，UDP 4500端口； 删除文件和打印机共享；关闭文件和打印机共享

答题：