Windows Server 2008 系统加固（学习笔记）

（一）预先了解的知识

 Windows server 2008 是微软公司的服务器操作系统，相对于即将失去官方支持的windows server 2003，windows server 2008 不仅系统和网络功能有了一定的扩展，更重要的是安全性也有了很大提高。Windows Updata 、windows 防火墙、安全配置向导、防间谍软件等功能，可以帮助用户做好基本的安全防护工作。若想完全利用这些功能，打造一个相对安全的服务器操作系统，就必须根据需要进行相应的设置。

（二）账号安全：更改管理员账号

许多管理员贪图一时方便，就直接用作自己的账户，因此，许多黑客攻击的服务器的时候总是试图破解Administrator 账户的密码，如果此时密码安全性不高，就很容易被破解。所以，可以更改管理员账户名来避免此类攻击，提高系统安全性。以Administrator账户登录本地计算机，开始->运行->compmgmt.msc（计算机管理）->本地用户和组->用户，右击Administrator账户并选择“重命名”，并输入新的账户名称就可以了，但尽量不要用admin 、guanliyuan之类的名称，否则账户安全性一样没有什么保障。

 

 

 

   如果更改帐户名仍然无法满足安全需求，可以选择将其禁用，然后创建一个普通的管理员账户，用户实现基本的系统或者网络管理、维护功能。

    开始->运行->compmgmt.msc（计算机管理）->本地用户和组->用户窗口中，右击Administrator，选择属性打开属性对话框，选中“账户已禁用”复选框，确认，这样就将Administrator禁用了。一定要记得重建一个普通的管理员账户，不然将会无法登陆windows。

（三）删除无用的账户

 

 

 开始->运行->compmgmt.msc（计算机管理）->本地用户和组，查看是否有不用的账号，系统账号所属组是否正确以及guest账号是否锁定。

      如果有不用的账号，应该及时删掉。

      在cmd下使用“net user 用户名 /del”命令删除账号。

      使用“net user 用户名 /active:no”命令锁定账号。

（四）口令策略

 

开始->运行->secpol.msc （本地安全策略）->安全设置->账户策略->密码策略

 

      密码必须符合复杂性要求启用，密码长度最小值至少为8，密码最长使用期限根据情况设定，不要设置太长。强制密码历史设置至少为5，当然可以设置更多。

账户锁定策略可以防止暴力破解的攻击方式，所以，很有必要设置账户锁定策略。

      开始->运行->secpol.msc （本地安全策略）->安全设置->账户设置->账户锁定策略

      复位帐户锁定计数器、账户锁定时间设置为一分钟即可，账户锁定时间不宜设置太长，避免被人恶意攻击而造成自己无法登陆。帐户锁定阀值设置5次即可，不应设置太大。否则起不到好的效果。

 

 

（五）文件系统安全：使用NTFS文件系统

 

 

 查看每个系统驱动器是否使用NTFS文件系统，如果不是，使用转换命令：convert <驱动器盘符>: /fs:ntfs 。

 

       

 

      此步骤不可逆，如果需要重新改回FAT32，需要重新格式化硬盘。

 Windows server 2008 操作系统对NTFS 卷及其包含的目录或者文件提供了权限设置，分别是完全控制、修改、读取和运行、列出文件夹目录、读取、写入和特殊权限7个权限。

 

 

（六）检查Everyone权限

 

 

如果Everyone 组的用户具备完全控制权，则可以对该文件夹或者文件进行所有的文件操作，取消Everyone组的完全控制权限。

查看每个系统驱动器根目录是否设置为Everyone有所有权限，删除Everyone的权限或者取消Everyone的写权限。

 

 

（七）限制命令权限

 

WScript.Shell 、Shell.application 这两个组件一般一些ASP木马或一些恶意程序都会使用到。黑客在拿到webshell后，一般都是先通过这两个组件提权，为了服务器安全，应该卸载这些不安全组件。

      regsvr32 /u C:\WINDOWS\System32\wshom.ocx

      regsvr32 /u C:\WINDOWS\system32\shell32.dll

 

 除了卸载不安全组件外，我们还应该对一些命令做限制。对以下命令做限制，只允许system、Administrator组访问：

 

 

  找到对应的文件，把其他用户的权限去掉，只留下system、Administrator 组的访问权限。

 

（八）网络服务安全

 

  关闭一些不必要的服务和端口，可以大大降低被入侵的风险。

      关闭不必要的服务：开始->运行->services.msc。

 

      

      

 

 关闭端口，使用netstat 来查看端口使用情况，加上 –a 选项显示所有的连接和监听端口，加上-n以后以数字形式显示地址和端口号。

  Listening 状态的表示正在监听，等待连接。

      开始->运行->secpol.msc （本地安全策略）-> IP安全策略，在本地计算机

      右边的空白位置右击鼠标，弹出快捷菜单，选择 “创建IP安全策略”，弹出向导。在向导中点击下一步，当显示“安全通信请求”时，“激活默认相应规则”左边的复选框留空，点“完成”就创建了一个新的IP安全策略。

（九）日志及审计的安全性

 

      Windows Server 2008 系统日志包括：

      1、应用程序日志。应用程序日志包含由应用程序或系统程序记录的时间。

      2、安全日志。安全日志记录着有效和无效的登陆事件，以及与文件操作的其他事件。

      3、系统日志。系统日志包含Windows 系统组件记录的事件。

      4、安装程序日志。安装程序日志，记录在系统安装或者安装微软公司产品时，产生的日志。

      在cmd输入eventvwr.msc 来打开事件查看器