Windows Server 2008 系统加固

账号安全：更改管理员账号：

开始->运行->compmgmt.msc（计算机管理）->本地用户和组->用户

重命名：

 

 

 禁用并创建新用户：

删除无用的账户

      开始->运行->compmgmt.msc（计算机管理）->本地用户和组，查看是否有不用的账号，系统账号所属组是否正确以及guest账号是否锁定。

 

 

口令策略

      开始->运行->secpol.msc （本地安全策略）->安全设置->账户策略->密码策略

      密码必须符合复杂性要求启用，密码长度最小值至少为8，密码最长使用期限根据情况设定，不要设置太长。强制密码历史设置至少为5，当然可以设置更多。

 

 

 

 

 账户锁定策略

 开始->运行->secpol.msc （本地安全策略）->安全设置->账户设置->账户锁定策略

      复位帐户锁定计数器、账户锁定时间设置为一分钟即可，账户锁定时间不宜设置太长，避免被人恶意攻击而造成自己无法登陆。帐户锁定阀值设置5次即可，不应设置太大。否则起不到好的效果。

 

 

 

 

文件系统安全：使用NTFS文件系统

 

      查看每个系统驱动器是否使用NTFS文件系统，如果不是，使用转换命令：convert <驱动器盘符>: /fs:ntfs 。

检查Everyone权限

查看每个系统驱动器根目录是否设置为Everyone有所有权限，删除Everyone的权限或者取消Everyone的写权限。

 

 

限制命令权限

      WScript.Shell 、Shell.application 这两个组件一般一些ASP木马或一些恶意程序都会使用到。黑客在拿到webshell后，一般都是先通过这两个组件提权，为了服务器安全，应该卸载这些不安全组件。

      regsvr32 /u C:\WINDOWS\System32\wshom.ocx

      regsvr32 /u C:\WINDOWS\system32\shell32.dll

 

 

建议对以下命令做限制，只允许system、Administrator组访问：

      

 

网络服务安全

      关闭一些不必要的服务和端口

 

 关闭端口

 

      使用netstat 来查看端口使用情况，加上 –a 选项显示所有的连接和监听端口，加上-n以后以数字形式显示地址和端口号。

 

 开始->运行->secpol.msc （本地安全策略）-> IP安全策略，在本地计算机

 

      右边的空白位置右击鼠标，弹出快捷菜单，选择 “创建IP安全策略”

在IP 筛选器属性的地址选项里，把源地址设置成任何IP地址，目标地址选择我的IP地址。

重复上面的步骤，把需要屏蔽的端口都建立相应的筛选器，协议类型要选择对应的类型。

在新筛选器操作属性的安全方法中，选择阻止

 

 

 

网络限制

 

 

开始->运行->secpol.msc ->安全设置->本地策略->安全选项，进行一下设置：

      

 

 

  设置完以后，执行gpupdate /force 是策略立即生效。

  

 

 

日志及审计的安全性

 

 

 

查看日志

打开事件查看器

通过查看日志，能够发现登录异常等情况来判断自己有没有被入侵或攻击。

系统默认的日志量较小，应该增大日志量大小，避免由于日志文件容量过小导致日志记录不全。右击要设置的日志类型，选择属性。

 

 

增强审核

      对系统事件进行审核，在日后出现故障时用于排查故障。

      开始->运行->secpol.msc ->安全设置->本地策略->审核策略

      建议设置

      

 

 执行gpupdate /force 使策略生效

补丁管理

      做了上面的设置以后，我们应该及时更新补丁，保证系统本身不会有漏洞，下载补丁要从可靠的地方下载，最好从官网下载，安装补丁建议手动安装，有些补丁会引起业务的不稳定。

      除了上面讲到的，还要靠管理员在日常管理中发现问题并及时修补才能保证服务器的安全。

 

 

分析与思考

1、除了上面的讲到的，还有哪些加固的方法？

防病毒管理：Windows系统需要安装防病毒软件。