Windows Server 2008 系统加固

一、预备知识

          

  Windows server 2008 是微软公司的服务器操作系统，相对于即将失去官方支持的windows server 2003，windows server 2008 不仅系统和网络功能有了一定的扩展，更重要的是安全性也有了很大提高。Windows Updata 、windows 防火墙、安全配置向导、防间谍软件等功能，可以帮助用户做好基本的安全防护工作。若想完全利用这些功能，打造一个相对安全的服务器操作系统，就必须根据需要进行相应的设置。

 

 

               

         

二、实验环境

                       centos6.5试验台

                    

 

 三、实验步骤

 

 

 

 

 

 

 

 

 

 

 

 

 

四、实验收获

           加固方式

            1.改用户名：以Administrator账户登录本地计算机，开始->运行->compmgmt.msc（计算机管理）->本地用户和组->用户，右击Administrator账户并选择“重命名”，并输入新的账户名称就可以了，但尽量不要用admin 、guanliyuan之类

           2.创建新用户：开始->运行->compmgmt.msc（计算机管理）->本地用户和组->用户窗口中，右击Administrator，选择属性打开属性对话框，选中“账户已禁用”复选框，确认，这样就将Administrator 禁用了。一定要记得重建一个普通的管理员账户，不然将会无法登陆windows。

          3. 删除无用账户：开始->运行->compmgmt.msc（计算机管理）->本地用户和组，查看是否有不用的账号，系统账号所属组是否正确以及guest账号是否锁定。 如果有不用的账号，应该及时删掉。在cmd下使用“net user 用户名 /del”命令删除账号。使用“net user 用户名 /active:no”命令锁定账号。

         4.口令策略：开始->运行->secpol.msc （本地安全策略）->安全设置->账户策略->密码策略

         5.账户锁定策略:可以防止暴力破解的攻击方式，所以，很有必要设置账户锁定策略。开始->运行->secpol.msc （本地安全策略）->安全设置->账户设置->账户锁定策略

         6.文件系统安全：使用NTFS文件系统查看每个系统驱动器是否使用NTFS文件系统，如果不是，使用转换命令：convert <驱动器盘符>: /fs:ntfs 。

         7.检查eventhing权限如果Everyone 组的用户具备完全控制权，则可以对该文件夹或者文件进行所有的文件操作，建议取消Everyone组的完全控制权限。查看每个系统驱动器根目录是否设置为Everyone有所有权限，删除Everyone的权限或者取消Everyone的写权限。

         8.限制命令权限：WScript.Shell 、Shell.application 这两个组件一般一些ASP木马或一些恶意程序都会使用到。黑客在拿到webshell后，一般都是先通过这两个组件提权，为了服务器安全，应该卸载这些不安全组件。

        9.网络服务安全：关闭一些不必要的服务和端口，可以大大降低被入侵的风险。 关闭不必要的服务：开始->运行->services.msc。

       10.网络限制：开始->运行->secpol.msc ->安全设置->本地策略->安全选项，进行一下设置：

        11.补丁管理 做了上面的设置以后，我们应该及时更新补丁，保证系统本身不会有漏洞，下载补丁要从可靠的地方下载，最好从官网下载，安装补丁建议手动安装，有些补丁会引起业务的不稳定。

         

 

 

五、分析与思考