Windows-Server-2008-R2常規(guī)安全設(shè)置及基本安全策略.doc

Windows Server 2008 R2常規(guī)安全設(shè)置及基本安全策略比較重要的幾部1.更改默認(rèn)administrator用戶名，復(fù)雜密碼2.開啟防火墻3.安裝殺毒軟件1)新做系統(tǒng)一定要先打上補(bǔ)丁2)安裝必要的殺毒軟件3)刪除系統(tǒng)默認(rèn)共享4)修改本地策略安全選項(xiàng) 交互式登陸：不顯示最后的用戶名 啟用網(wǎng)絡(luò)訪問：不允許SAM 帳戶和共享的匿名枚舉 啟用網(wǎng)絡(luò)訪問: 不允許存儲網(wǎng)絡(luò)身份驗(yàn)證的憑據(jù)或 .NET Passports 啟用網(wǎng)絡(luò)訪問：可遠(yuǎn)程訪問的注冊表路徑和子路徑 全部刪除5)禁用不必要的服務(wù)TCP/IP NetBIOS Helper、Server、 Distributed Link Tracking Client 、Print Spooler、Remote Registry、Workstation6)禁用IPV6server 2008 r2交互式登錄: 不顯示最后的用戶名一、系統(tǒng)及程序1、屏幕保護(hù)與電源桌面右鍵-個性化-屏幕保護(hù)程序，屏幕保護(hù)程序 選擇無，更改電源設(shè)置 選擇高性能，選擇關(guān)閉顯示器的時間 關(guān)閉顯示器 選 從不 保存修改2、配置IIS7組件、FTP7、php 5.5.7、mysql 5.6.15、phpMyAdmin 4.1.8、phpwind 9.0、ISAPI_Rewrite環(huán)境。在這里我給大家可以推薦下阿里云的服務(wù)器一鍵環(huán)境配置，全自動安裝設(shè)置很不錯的。點(diǎn)擊查看地址二、系統(tǒng)安全配置1、目錄權(quán)限除系統(tǒng)所在分區(qū)之外的所有分區(qū)都賦予Administrators和SYSTEM有完全控制權(quán)，之后再對其下的子目錄作單獨(dú)的目錄權(quán)限2、遠(yuǎn)程連接我的電腦屬性-遠(yuǎn)程設(shè)置-遠(yuǎn)程-只允許運(yùn)行帶網(wǎng)絡(luò)超級身份驗(yàn)證的遠(yuǎn)程桌面的計算機(jī)連接，選擇允許運(yùn)行任意版本遠(yuǎn)程桌面的計算機(jī)連接(較不安全)。備注：方便多種版本W(wǎng)indows遠(yuǎn)程管理服務(wù)器。windows server 2008的遠(yuǎn)程桌面連接，與2003相比，引入了網(wǎng)絡(luò)級身份驗(yàn)證（NLA，network level authentication)，XP SP3不支持這種網(wǎng)絡(luò)級的身份驗(yàn)證，vista跟win7支持。然而在XP系統(tǒng)中修改一下注冊表，即可讓XP SP3支持網(wǎng)絡(luò)級身份驗(yàn)證。HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlLsa在右窗口中雙擊Security Pakeages，添加一項(xiàng)“tspkg”。HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlSecurityProviders，在右窗口中雙擊SecurityProviders，添加credssp.dll；請注意，在添加這項(xiàng)值時，一定要在原有的值后添加逗號后，別忘了要空一格（英文狀態(tài)）。然后將XP系統(tǒng)重啟一下即可。再查看一下，即可發(fā)現(xiàn)XP系統(tǒng)已經(jīng)支持網(wǎng)絡(luò)級身份驗(yàn)證3、修改遠(yuǎn)程訪問服務(wù)端口更改遠(yuǎn)程連接端口方法，可用windows自帶的計算器將10進(jìn)制轉(zhuǎn)為16進(jìn)制。更改3389端口為8208，重啟生效！Windows Registry Editor Version 5.00HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlTerminal ServerWdsrdpwdTdstcp PortNumber=dword:0002010HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlTerminal ServerWinStationsRDP-Tcp PortNumber=dword:00002010（1）在開始-運(yùn)行菜單里,輸入regedit,進(jìn)入注冊表編輯,按下面的路徑進(jìn)入修改端口的地方 （2）HKEY_LOCAL_MACHINESystemCurrentControlSetControlTerminal ServerWinStationsRDP-Tcp （3）找到右側(cè)的 PortNumber，用十進(jìn)制方式顯示，默認(rèn)為3389，改為(例如)6666端口 （4）HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlTerminal ServerWdsrdpwdTdstcp （5）找到右側(cè)的 PortNumber，用十進(jìn)制方式顯示，默認(rèn)為3389，改為同上的端口 （6）在控制面板-Windows 防火墻-高級設(shè)置-入站規(guī)則-新建規(guī)則 （7）選擇端口-協(xié)議和端口-TCP/特定本地端口：同上的端口 （8）下一步，選擇允許連接 （9）下一步，選擇公用 （10）下一步，名稱：遠(yuǎn)程桌面-新(TCP-In)，描述：用于遠(yuǎn)程桌面服務(wù)的入站規(guī)則，以允許RDP通信。TCP 同上的端口 （11）刪除遠(yuǎn)程桌面(TCP-In)規(guī)則 （12）重新啟動計算機(jī)4、配置本地連接網(wǎng)絡(luò)-屬性-管理網(wǎng)絡(luò)連接-本地連接，打開“本地連接”界面，選擇“屬性”，左鍵點(diǎn)擊“Microsoft網(wǎng)絡(luò)客戶端”，再點(diǎn)擊“卸載”，在彈出的對話框中“是”確認(rèn)卸載。點(diǎn)擊“Microsoft網(wǎng)絡(luò)的文件和打印機(jī)共享”，再點(diǎn)擊“卸載”，在彈出的對話框中選擇“是”確認(rèn)卸載。解除Netbios和TCP/IP協(xié)議的綁定139端口：打開“本地連接”界面，選擇“屬性”，在彈出的“屬性”框中雙擊“Internet協(xié)議版本（TCP/IPV4）”，點(diǎn)擊“屬性”，再點(diǎn)擊“高級”“WINS”，選擇“禁用TCP/IP上的NETBIOS”，點(diǎn)擊“確認(rèn)”并關(guān)閉本地連接屬性。禁止默認(rèn)共享：點(diǎn)擊“開始”“運(yùn)行”，輸入“Regedit”，打開注冊表編輯器，打開注冊表項(xiàng)“HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServiceslanmanserverparameters”，在右邊的窗口中新建Dword值，名稱設(shè)為AutoShareServer，值設(shè)為“0”。關(guān)閉 445端口：HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesNetBTParameters，新建 Dword（32位）名稱設(shè)為SMBDeviceEnabled 值設(shè)為“0”5、共享和發(fā)現(xiàn)右鍵“網(wǎng)絡(luò)” 屬性 網(wǎng)絡(luò)和共享中心 共享和發(fā)現(xiàn) 關(guān)閉，網(wǎng)絡(luò)共享，文件共享，公用文件共享，打印機(jī)共享，顯示我正在共享的所有文件和文件夾，顯示這臺計算機(jī)上所有共享的網(wǎng)絡(luò)文件夾6、用防火墻限制Ping網(wǎng)上自己查吧，ping還是經(jīng)常需要用到的7、防火墻的設(shè)置控制面板Windows防火墻設(shè)置更改設(shè)置例外，勾選FTP、HTTP、遠(yuǎn)程桌面服務(wù) 核心網(wǎng)絡(luò)HTTPS用不到可以不勾3306：Mysql 1433：Mssql8、禁用不需要的和危險的服務(wù)，以下列出服務(wù)都需要禁用?？刂泼姘?管理工具 服務(wù)Distributed linktracking client 用于局域網(wǎng)更新連接信息 PrintSpooler 打印服務(wù) Remote Registry 遠(yuǎn)程修改注冊表 Server 計算機(jī)通過網(wǎng)絡(luò)的文件、打印、和命名管道共享 TCP/IP NetBIOS Helper 提供 TCP/IP (NetBT) 服務(wù)上的 NetBIOS 和網(wǎng)絡(luò)上客戶端的 NetBIOS 名稱解析的支持 Workstation 泄漏系統(tǒng)用戶名列表 與Terminal Services Configuration 關(guān)聯(lián) Computer Browser 維護(hù)網(wǎng)絡(luò)計算機(jī)更新 默認(rèn)已經(jīng)禁用 Net Logon 域控制器通道管理 默認(rèn)已經(jīng)手動 Remote Procedure Call (RPC) Locator RpcNs*遠(yuǎn)程過程調(diào)用 (RPC) 默認(rèn)已經(jīng)手動 刪除服務(wù)sc delete MySql9、安全設(shè)置-本地策略-安全選項(xiàng)在運(yùn)行中輸入gpedit.msc回車，打開組策略編輯器，選擇計算機(jī)配置-Windows設(shè)置-安全設(shè)置-本地策略-安全選項(xiàng)交互式登陸：不顯示最后的用戶名啟用 網(wǎng)絡(luò)訪問：不允許SAM帳戶的匿名枚舉 啟用 已經(jīng)啟用 網(wǎng)絡(luò)訪問：不允許SAM帳戶和共享的匿名枚舉 啟用 網(wǎng)絡(luò)訪問：不允許儲存網(wǎng)絡(luò)身份驗(yàn)證的憑據(jù)啟用 網(wǎng)絡(luò)訪問：可匿名訪問的共享內(nèi)容全部刪除 網(wǎng)絡(luò)訪問：可匿名訪問的命名管道內(nèi)容全部刪除 網(wǎng)絡(luò)訪問：可遠(yuǎn)程訪問的注冊表路徑內(nèi)容全部刪除 網(wǎng)絡(luò)訪問：可遠(yuǎn)程訪問的注冊表路徑和子路徑內(nèi)容全部刪除 帳戶：重命名來賓帳戶這里可以更改guest帳號 帳戶：重命名系統(tǒng)管理員帳戶這里可以更改Administrator帳號10、安全設(shè)置-賬戶策略-賬戶鎖定策略在運(yùn)行中輸入gpedit.msc回車，打開組策略編輯器，選擇計算機(jī)配置-Windows設(shè)置-安全設(shè)置-賬戶策略-賬戶鎖定策略，將賬戶鎖定閾值設(shè)為“三次登陸無效”，“鎖定時間為30分鐘”，“復(fù)位鎖定計數(shù)設(shè)為30分鐘”。11、本地安全設(shè)置選擇計算機(jī)配置-Windows設(shè)置-安全設(shè)置-本地策略-用戶權(quán)限分配 關(guān)閉系統(tǒng)：只有Administrators組、其它全部刪除。 通過終端服務(wù)拒絕登陸：加入Guests組、IUSR_*、IWAM_*、NETWORK SERVICE、SQLDebugger 通過終端服務(wù)允許登陸：加入Administrators、Remote Desktop Users組，其他全部刪除12、更改Administrator，guest賬戶，新建一無任何權(quán)限的假Administrator賬戶管理工具計算機(jī)管理系統(tǒng)工具本地用戶和組用戶 新建一個Administrator帳戶作為陷阱帳戶，設(shè)置超長密碼，并去掉所有用戶組 更改描述：管理計算機(jī)(域)的內(nèi)置帳戶13、密碼策略選擇計算機(jī)配置-Windows設(shè)置-安全設(shè)置-密碼策略 啟動 密碼必須符合復(fù)雜性要求 最短密碼長度14、禁用DCOM （沖擊波病毒 RPC/DCOM 漏洞）運(yùn)行Dcomcnfg.exe?？刂婆_根節(jié)點(diǎn)組件服務(wù)計算機(jī)右鍵單擊“我的電腦”屬性”默認(rèn)屬性”選項(xiàng)卡清除“在這臺計算機(jī)上啟用分布式 COM”復(fù)選框。15、ASP漏洞主要是卸載WScript.Shell 和 Shell.application 組件，是否刪除看是否必要。regsvr32/u C:WINDOWSSystem32wshom.ocx regsvr32/u C:WINDOWSsystem32shell32.dll刪除可能權(quán)限不夠del C:WINDOWSSystem32wshom.ocx del C:WINDOWSsystem32shell32.dll如果確實(shí)要使用，或者也可以給它們改個名字。WScript.Shell可以調(diào)用系統(tǒng)內(nèi)核運(yùn)行DOS基本命令可以通過修改注冊表，將此組件改名，來防止此類木馬的危害。HKEY_CLASSES_ROOTWScript.Shell及HKEY_CLASSES_ROOTWScript.Shell.1改名為其它的名字，如：改為WScript.Shell_ChangeName 或 WScript.Shell.1_ChangeName自己以后調(diào)用的時候使用這個就可以正常調(diào)用此組件了也要將clsid值也改一下HKEY_CLASSES_ROOTWScript.ShellCLSID項(xiàng)目的值HKEY_CLASSES_ROOTWScript.Shell.1CLSID項(xiàng)目的值也可以將其刪除，來防止此類木馬的危害。Shell.Application可以調(diào)用系統(tǒng)內(nèi)核運(yùn)行DOS基本命令可以通過修改注冊表，將此組件改名，來防止此類木馬的危害。HKEY_CLASSES_ROOTShell.Application及HKEY_CLASSES_ROOTShell.Application.1改名為其它的名字，如：改為Shell.Application_ChangeName 或 Shell.Application.1_ChangeName自己以后調(diào)用的時候使用這個就可以正常調(diào)用此組件了也要將clsid值也改一下HKEY_CLASSES_ROOTShell.ApplicationCLSID項(xiàng)目的值 HKEY_CLASSES_ROOTShell.ApplicationCLSID項(xiàng)目的值也可以將其刪除，來防止此類木馬的危害。禁止Guest用戶使用shell32.dll來防止調(diào)用此組件。2000使用命令：cacls C:WINNTsystem32shell32.dll /e /d guests 2003使用命令：cacls C:WINDOWSsystem32shell32.dll /e /d guests禁止使用FileSystemObject組件，F(xiàn)SO是使用率非常高的組件，要小心確定是否卸載。改名后調(diào)用就要改程序了，Set FSO = Server.CreateObject(Scripting.FileSystemObject)。FileSystemObject可以對文件進(jìn)行常規(guī)操作,可以通過修改注冊表，將此組件改名，來防止此類木馬的危害。 HKEY_CLASSES_ROOTScripting.FileSystemObject 改名為其它的名字，如：改為 FileSystemObject_ChangeName 自己以后調(diào)用的時候使用這個就可以正常調(diào)用此組件了 也要將clsid值也改一下HKEY_CLASSES_ROOTScripting.FileSystemObjectCLSID項(xiàng)目的值 也可以將其刪除，來防止此類木馬的危害。 2000注銷此組件命令：RegSrv32 /u C:WINNTSYSTEMscrrun.dll 2003注銷此組件命令：RegSrv32 /u C:WINDOWSSYSTEMscrrun.dll 如何禁止Guest用戶使用scrrun.dll來防止調(diào)用此組件？ 使用這個命令：cacls C:WINNTsystem32scrrun.dll /e /d guests15、打開UAC控制面板 用戶賬戶 打開或關(guān)閉用戶賬戶控制16、程序權(quán)限net.exe,net1.exe,cmd.exe,tftp.exe,netstat.exe,regedit.exe,at.exe,attrib.exe,cacls.exe,,c.exe 或完全禁止上述命令的執(zhí)行 gpedit.msc-用戶配置-管理模板-系統(tǒng) 啟用 阻止訪問命令提示符 同時 也停用命令提示符腳本處理 啟用 阻止訪問注冊表編輯工具 啟用 不要運(yùn)行指定的windows應(yīng)用程序，添加下面的 at.exe attrib.exe c.exe cacls.exe cmd.exe net.exe net1.exe netstat.exe regedit.exe tftp.exe17、Serv-u安全問題（個人建議不是特別高的要求沒必要用serv_U可以使用FTP服務(wù)器 FileZilla Server）安裝程序盡量采用最新版本，避免采用默認(rèn)安裝目錄，設(shè)置好serv-u目錄所在的權(quán)限，設(shè)置一個復(fù)雜的管理員密碼。修改serv-u的banner信息，設(shè)置被動模式端口范圍（40014003）在本地服務(wù)器中設(shè)置中做好相關(guān)安全設(shè)置：包括檢查匿名密碼，禁用反超時調(diào)度，攔截“FTP bounce”攻擊和FXP，對于在30秒內(nèi)連接超過3次的用戶攔截10分鐘。域中的設(shè)置為：要求復(fù)雜密碼，目錄只使用小寫字母，高級中設(shè)置取消允許使用MDTM命令更改文件的日期。更改serv-u的啟動用戶：在系統(tǒng)中新建一個用戶，設(shè)置一個復(fù)雜點(diǎn)的密碼，不屬于任何組。將servu的安裝目錄給予該用戶完全控制權(quán)限。建立一個FTP根目錄，需要給予這個用戶該目錄完全控制權(quán)限，因?yàn)樗械膄tp用戶上傳，刪除，更改文件都是繼承了該用戶的權(quán)限，否則無法操作文件。另外需要給該目錄以上的上級目錄給該用戶的讀取權(quán)限，否則會在連接的時候出現(xiàn)530 Not logged in, home directory does not exist。比如在測試的時候ftp根目錄為d:soft，必須給d盤該用戶的讀取權(quán)限，為了安全取消d盤其他文件夾的繼承權(quán)限。而一般的使用默認(rèn)的system啟動就沒有這些問題，因?yàn)閟ystem一般都擁有這些權(quán)限的。如果FTP不是必須每天都用，不如就關(guān)了吧，要用再打開。下面是其它網(wǎng)友的補(bǔ)充：大家可以參考下Windows Web Server 2008 R2服務(wù)器簡單安全設(shè)置1、新做系統(tǒng)一定要先打上已知補(bǔ)丁，以后也要及時關(guān)注微軟的漏洞報告。略。 2、所有盤符根目錄只給system和Administrator的權(quán)限，其他的刪除。3、將所有磁盤格式轉(zhuǎn)換為NTFS格式。命令：convert c:/fs:ntfs c:代表C盤，其他盤類推。WIN08 r2 C盤一定是ntfs格式的，不然不能安裝系統(tǒng) 4、開啟Windows Web Server 2008 R2自帶的高級防火墻。默認(rèn)已經(jīng)開啟。5、安裝必要的殺毒軟件如mcafee，安裝一款A(yù)RP防火墻，安天ARP好像不錯。略。6、設(shè)置屏幕屏保護(hù)。7、關(guān)閉光盤和磁盤的自動播放功能。8、刪除系統(tǒng)默認(rèn)共享。命令：net share c$ /del 這種方式下次啟動后還是會出現(xiàn)，不徹底。也可以做成一個批處理文件，然后設(shè)置開機(jī)自動執(zhí)動這個批處理。但是還是推薦下面的方法，直修改注冊表的方法。HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesLanmanserverparameters下面新建AutoShareServer ,值為0 。重啟一下，測試。已經(jīng)永久生效了。9、重命Administrator和Guest帳戶,密碼必須復(fù)雜。GUEST用戶我們可以復(fù)制一段文本作為密碼，你說這個密碼誰能破。也只有自己了。.重命名管理員用戶組Administrators。10、創(chuàng)建一個陷阱用戶Administrator，權(quán)限最低。上面二步重命名最好放在安裝IIS和SQL之前做好，那我這里就不演示了。11、本地策略審核策略審核策略更改 成功 失敗審核登錄事件 成功 失敗審核對象訪問 失敗審核過程跟蹤 無審核審核目錄服務(wù)訪問 失敗審核特權(quán)使用 失敗審核系統(tǒng)事件 成功 失敗審核賬戶登錄事件 成功 失敗審核賬戶管理 成功 失敗12、本地策略用戶權(quán)限分配關(guān)閉系統(tǒng)：只有Administrators 組、其它的全部刪除。管理模板 系統(tǒng) 顯示“關(guān)閉事件跟蹤程序”更改為已禁用。這個看大家喜歡。13、本地策略安全選項(xiàng)交互式登陸：不顯示最后的用戶名 啟用網(wǎng)絡(luò)訪問：不允許SAM 帳戶和共享的匿名枚舉 啟用網(wǎng)絡(luò)訪問: 不允許存儲網(wǎng)絡(luò)身份驗(yàn)證的憑據(jù)或 .NET Passports 啟用網(wǎng)絡(luò)訪問：可遠(yuǎn)程訪問的注冊表路徑 全部刪除網(wǎng)絡(luò)訪問：可遠(yuǎn)程訪問的注冊表路徑和子路徑 全部刪除14、禁止dump file 的產(chǎn)生。系統(tǒng)屬性高級啟動和故障恢復(fù)把 寫入調(diào)試信息 改成“無”15、禁用不必要的服務(wù)。TCP/IP NetBIOS HelperServer Distributed Link Tracking ClientPrint SpoolerRemote RegistryWorkstation16、站點(diǎn)方件夾安全屬性設(shè)置刪除C: inetpub 目錄。刪不了，不研究了。把權(quán)限最低。禁用或刪除默認(rèn)站點(diǎn)。我這里不刪除了。停止即可。一般給站點(diǎn)目錄權(quán)限為：System 完全控制Administrator 完全控制Users 讀IIS_Iusrs 讀、