widows server 2008系统加固

1.账户安全：更改管理员账号

      以Administrator账户登录本地计算机，开始->运行->compmgmt.msc（计算机管理）->本地用户和组->用户，右击Administrator账户并选择“重命名”，并输入新的账户名称就可以了，但尽量不要用admin 、guanliyuan之类的名称，否则账户安全性一样没有什么保障。

如果更改帐户名仍然无法满足安全需求，可以选择将其禁用，然后创建一个普通的管理员账户，用户实现基本的系统或者网络管理、维护功能。

 

2.删除无用账号

在cmd下使用“net user 用户名 /del”命令删除账号。

 

 或者直接右键删除

3.口令策略

开始->运行->secpol.msc （本地安全策略）->安全设置->账户策略->密码策略

      密码必须符合复杂性要求启用，密码长度最小值至少为8，密码最长使用期限根据情况设定，不要设置太长。强制密码历史设置至少为5，当然可以设置更多。

 

4.账号锁定策略

账户锁定策略可以防止暴力破解的攻击方式

      开始->运行->secpol.msc （本地安全策略）->安全设置->账户设置->账户锁定策略

      复位帐户锁定计数器、账户锁定时间设置为一分钟即可，账户锁定时间不宜设置太长，避免被人恶意攻击而造成自己无法登陆。帐户锁定阀值设置5次即可，不应设置太大。否则起不到好的效果。

 

5.文件系统安全，使用NTFS 文件系统

 

 Windows server 2008 操作系统对NTFS 卷及其包含的目录或者文件提供了权限设置，分别是完全控制、修改、读取和运行、列出文件夹目录、读取、写入和特殊权限7个权限。

6.检查Everyone权限

如果Everyone 组的用户具备完全控制权，则可以对该文件夹或者文件进行所有的文件操作，建议取消Everyone组的完全控制权限。

查看每个系统驱动器根目录是否设置为Everyone有所有权限，删除Everyone的权限或者取消Everyone的写权限。

 

   默认状态下，所有用户对于新创建的文件共享都拥有完全控制权限。系统中所有必要的共享都应当设置合适的权限，以便使用户拥有适当的共享级别访问权（例如，Everyone 设置成“读取”）。

 

7.限制命令权限

WScript.Shell 、Shell.application 这两个组件一般一些ASP木马或一些恶意程序都会使用到。黑客在拿到webshell后，一般都是先通过这两个组件提权，为了服务器安全，应该卸载这些不安全组件。

      regsvr32 /u C:\WINDOWS\System32\wshom.ocx

 

      regsvr32 /u C:\WINDOWS\system32\shell32.dll

除了卸载不安全组件外，我们还应该对一些命令做限制。建议对以下命令做限制，只允许system、Administrator组访问：

      

      找到对应的文件，把其他用户的权限去掉，只留下system、Administrator 组的访问权限。

 

8.网络服务安全

关闭不必要的服务：开始->运行->services.msc。

 

 使用netstat 来查看端口使用情况，加上 –a 选项显示所有的连接和监听端口，加上-n以后以数字形式显示地址和端口号。

Listening 状态的表示正在监听，等待连接。

      开始->运行->secpol.msc （本地安全策略）-> IP安全策略，在本地计算机

 

 

 

 

 

 

 

 

 

 这样就添加了一个屏蔽TCP135 端口的筛选器，可以防止别人通过135端口连接服务器，重复上面的步骤，把需要屏蔽的端口都建立相应的筛选器，协议类型要选择对应的类型。

 

 

 

 

 

 

 

 此时已经把一些端口屏蔽掉了。

网络限制

      开始->运行->secpol.msc ->安全设置->本地策略->安全选项：

      

 

 

 设置完以后，执行gpupdate /force 是策略立即生效。

 

 

 

 

9.日志及审计的安全性

 

Windows Server 2008 系统日志包括：

 

      1、应用程序日志。应用程序日志包含由应用程序或系统程序记录的时间。

 

      2、安全日志。安全日志记录着有效和无效的登陆事件，以及与文件操作的其他事件。

 

      3、系统日志。系统日志包含Windows 系统组件记录的事件。

 

      4、安装程序日志。安装程序日志，记录在系统安装或者安装微软公司产品时，产生的日志。

 

      在cmd输入eventvwr.msc 来打开事件查看器

 

在安全日志中，记录着系统的登陆事件。

 

 

双击任何一个日志，即可显示详细信息。

 

 

 通过查看日志，能够发现登录异常等情况来判断自己有没有被入侵或攻击。系统默认的日志量较小，应该增大日志量大小，避免由于日志文件容量过小导致日志记录不全。右击要设置的日志类型，选择属性。

根据自己的需要设置日志大小。

      增强审核

      对系统事件进行审核，在日后出现故障时用于排查故障。

      开始->运行->secpol.msc ->安全设置->本地策略->审核策略

      建议设置

      

 

 

 设置完以后 执行gpupdate /force 使策略生效。

 

 

10.补丁管理

做了上面的设置以后，我们应该及时更新补丁，保证系统本身不会有漏洞，下载补丁要从可靠的地方下载，最好从官网下载，安装补丁建议手动安装，有些补丁会引起业务的不稳定。

除了上面讲到的，还要靠管理员在日常管理中发现问题并及时修补才能保证服务器的安全。

 1、除了上面的讲到的，还有哪些加固的方法？

系统安全设置：屏幕保护、远程连接挂起、进制系统自动登录、隐藏最后登录名、关闭Windows自动播放功能

网络服务：优化服务、关闭共享、网络访问限制

 安装防病毒软件等