Windows Server 2008 系统加固

windows 的安全加固方案有以下几条：

1.账号安全：更改管理员账号

 以Administrator账户登录本地计算机，开始->运行->compmgmt.msc（计算机管理）->本地用户和组->用户，右击Administrator账户并选择“重命名”，并输入新的账户名称就可以了，但尽量不要用admin 、guanliyuan之类的名称，否则账户安全性一样没有什么保障。

    如果更改帐户名仍然无法满足安全需求，可以选择将其禁用，然后创建一个普通的管理员账户，用户实现基本的系统或者网络管理、维护功能。

    开始->运行->compmgmt.msc（计算机管理）->本地用户和组->用户窗口中，右击Administrator，选择属性打开属性对话框，选中“账户已禁用”复选框，确认，这样就将Administrator 禁用了。一定要记得重建一个普通的管理员账户，不然将会无法登陆windows。

 test被禁用，heetian为新创建的用户

 2.删除无用的账户

      开始->运行->compmgmt.msc（计算机管理）->本地用户和组，查看是否有不用的账号，系统账号所属组是否正确以及guest账号是否锁定。

      如果有不用的账号，应该及时删掉。

      在cmd下使用“net user 用户名 /del”命令删除账号。使用“net user 用户名 /active:no”命令锁定账号。

      也可以直接右击要删除的用户，选择删除。

 

 

 3.口令策略

      开始->运行->secpol.msc （本地安全策略）->安全设置->账户策略->密码策略

      密码必须符合复杂性要求启用，密码长度最小值至少为8，密码最长使用期限根据情况设定，不要设置太长。强制密码历史设置至少为5。

4.账户锁定策略

      开始->运行->secpol.msc （本地安全策略）->安全设置->账户设置->账户锁定策略

      复位帐户锁定计数器、账户锁定时间设置为一分钟即可，账户锁定时间不宜设置太长，避免被人恶意攻击而造成自己无法登陆。

      帐户锁定阀值设置5次即可，不应设置太大。否则起不到好的效果。

 5.文件系统安全：使用NTFS文件系统

查看每个系统驱动器是否使用NTFS文件系统，如果不是，使用转换命令：convert <驱动器盘符>: /fs:ntfs 。

   Windows server 2008 操作系统对NTFS 卷及其包含的目录或者文件提供了权限设置，分别是完全控制、修改、读取和运行、列出文件夹目录、读取、写入和特殊权限7个权限。

 6.检查Everyone权限

      如果Everyone 组的用户具备完全控制权，则可以对该文件夹或者文件进行所有的文件操作，建议取消Everyone组的完全控制权限。

      查看每个系统驱动器根目录是否设置为Everyone有所有权限，删除Everyone的权限或者取消Everyone的写权限。

 7.限制命令权限

      黑客在拿到webshell后，一般都是先通过这两个组件提权，为了服务器安全，应该卸载这些不安全组件。

      regsvr32 /u C:\WINDOWS\System32\wshom.ocx

      regsvr32 /u C:\WINDOWS\system32\shell32.dll

 

 除了卸载不安全组件外，我们还应该对一些命令做限制。建议对以下命令做限制，只允许system、Administrator组访问。找到对应的文件，把其他用户的权限去掉，只留下system、Administrator 组的访问权限。

 

 8.网络服务安全

  （1）关闭不必要的服务：开始->运行->services.msc。

  （2）关闭端口：使用netstat 来查看端口使用情况，加上 –a 选项显示所有的连接和监听端口，加上-n以后以数字形式显示地址和端口号。

      Listening 状态的表示正在监听，等待连接。

      关闭端口的具体操作： 开始->运行->secpol.msc （本地安全策略）-> IP安全策略，在本地计算机右边的空白位置右击鼠标，弹出快捷菜单，选择 “创建IP安全策略”，弹出向导。在向导中点击下一步，当显示“安全通信请求”时，“激活默认相应规则”左边的复选框留空，点“完成”就创建了一个新的IP安全策略。右击刚才创建的IP 安全策略，选择属性，去掉使用添加向导的复选框。点击左边的添加来添加新的规则，在弹出的新规则属性里点击添加，弹出IP筛选器列表窗口，先把使用添加向导的复选框去掉。点击右边的添加来添加新的筛选器。在IP 筛选器属性的地址选项里，把源地址设置成任何IP地址，目标地址选择我的IP地址。 在选择协议选项，协议类型选择TCP，然后在到此端口下的文本框输入135，点击确定。点击确定，这样就添加了一个屏蔽TCP135 端口的筛选器，可以防止别人通过135端口连接服务器，重复上面的步骤，把需要屏蔽的端口都建立相应的筛选器，协议类型要选择对应的类型。 在新规则属性对话框中，选择刚才我们新建的筛选器，点击左边的复选框，点击应用。 点击筛选器操作选项，去掉使用添加向导复选框，点击添加按钮，在新筛选器操作属性的安全方法中，选择阻止，点击应用，确定。 在筛选器操作选项卡中，把刚添加的筛选器操作复选框选中。 最后在新IP安全策略属性对话框中，把我们刚新建的IP筛选器列表前的复选框选中，点击确定。这样就把一些端口屏蔽掉了。

 

 （3）网络限制

         开始->运行->secpol.msc ->安全设置->本地策略->安全选项，进行一下设置

  设置完以后，执行gpupdate /force 是策略立即生效。  

 9.日志及审计的重要性

  在cmd输入eventvwr.msc 来打开事件查看器。在安全日志中，记录着系统的登陆事件。 双击任何一个日志，即可显示详细信息。里面记录了登陆的源IP 地址等信息。通过查看日志，能够发现登录异常等情况来判断自己有没有被入侵或攻击。系统默认的日志量较小，应该增大日志量大小，避免由于日志文件容量过小导致日志记录不全。右击要设置的日志类型，选择属性。根据自己的需要设置日志大小。

 

 10.增强审核

      对系统事件进行审核，在日后出现故障时用于排查故障。建议设置：

设置完以后 执行gpupdate /force 使策略生效。

11.补丁管理

     我们应该及时更新补丁，保证系统本身不会有漏洞，下载补丁要从可靠的地方下载，最好从官网下载，安装补丁建议手动安装，有些补丁会引起业务的不稳定。

分析与思考

1、除了上面的讲到的，还有哪些加固的方法？

答：对信息系统实施安全加固；安装防病毒软件，定期进行扫描，及时修补漏洞。