Windows Server 2008 系统加固

账号安全：更改管理员账号

以Administrator账户登录本地计算机，开始->运行->compmgmt.msc（计算机管理）->本地用户和组->用户，右击Administrator账户并选择“重命名”

 

 开始->运行->compmgmt.msc（计算机管理）->本地用户和组->用户窗口中，右击Administrator，选择属性打开属性对话框，选中“账户已禁用”复选框

 

 

删除无用的账户

      开始->运行->compmgmt.msc（计算机管理）->本地用户和组，查看是否有不用的账号，系统账号所属组是否正确以及guest账号是否锁定。

      在cmd下使用“net user 用户名 /del”命令删除账号。

      使用“net user 用户名 /active:no”命令锁定账号。

 

 

 

 

口令策略

      开始->运行->secpol.msc （本地安全策略）->安全设置->账户策略->密码策略

 

 

 

账户锁定策略

      账户锁定策略可以防止暴力破解的攻击方式，所以，很有必要设置账户锁定策略。

      开始->运行->secpol.msc （本地安全策略）->安全设置->账户设置->账户锁定策略

      复位帐户锁定计数器、账户锁定时间设置为一分钟即可，账户锁定时间不宜设置太长，避免被人恶意攻击而造成自己无法登陆。

 

 

文件系统安全：使用NTFS文件系统

      查看每个系统驱动器是否使用NTFS文件系统，如果不是，使用转换命令：convert <驱动器盘符>: /fs:ntfs 。

 

  Windows server 2008 操作系统对NTFS 卷及其包含的目录或者文件提供了权限设置，分别是完全控制、修改、读取和运行、列出文件夹目录、读取、写入和特殊权限7个权限。

 

 检查Everyone权限

 如果Everyone 组的用户具备完全控制权，则可以对该文件夹或者文件进行所有的文件操作，建议取消Everyone组的完全控制权限。

 

 

限制命令权限

      WScript.Shell 、Shell.application 这两个组件一般一些ASP木马或一些恶意程序都会使用到。黑客在拿到webshell后，一般都是先通过这两个组件提权，为了服务器安全，应该卸载这些不安全组件。

      regsvr32 /u C:\WINDOWS\System32\wshom.ocx

      regsvr32 /u C:\WINDOWS\system32\shell32.dll

 

  找到对应的文件，把其他用户的权限去掉，只留下system、Administrator 组的访问权限。

 

 使用netstat 来查看端口使用情况，加上 –a 选项显示所有的连接和监听端口，加上-n以后以数字形式显示地址和端口号。

 

开始->运行->secpol.msc （本地安全策略）-> IP安全策略，在本地计算机

 

 

 

 

 

 

 

 

 

 

 

 

 

 执行gpupdate /force 是策略立即生效。  

 

 在cmd输入eventvwr.msc 来打开事件查看器