服务器基本安全配置.doc

服务器基本安全配置1. 用户安全(1) 运行lusrmgr.msc,重命名原Administrator用户为自定义一定长度的名字，并新建同名Administrator普通用户，设置超长密码去除所有隶属用户组。(2) 运行gpedit.msc计算机配置安全设置账户策略密码策略启动密码复杂性要求，设置密码最小长度、密码最长使用期限，定期修改密码保证服务器账户的密码安全。(3) 运行gpedit.msc计算机配置安全设置账户策略账户锁定策略启动账户锁定，设置单用户多次登录错误锁定策略，具体设置参照要求设置。(4) 运行gpedit.msc计算机配置安全设置本地策略安全选项交互式登录:不显示上次的用户名；启动交互式登录：回话锁定时显示用户信息；不显示用户信息(5) 运行gpedit.msc计算机配置安全设置本地策略安全选项网络访问：可匿名访问的共享；清空网络访问：可匿名访问的命名管道；清空网络访问：可远程访问的注册表路径；清空网络访问：可远程访问的注册表路径和子路径；清空(6) 运行gpedit.msc计算机配置安全设置本地策略通过终端服务拒绝登陆加入一下用户（*代表计算机名）ASPNET GuestIUSR_*IWAM_*NETWORK SERVICESQLDebugger注：用户添加查找如下图：(7) 运行gpedit.msc计算机配置安全设置本地策略策略审核即系统日志记录的审核消息，方便我们检查服务器的账户安全，推荐设置如下：(8)2. 共享安全(1) 运行Regedit删除系统默认的共享HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesLanmanServerParameters增加一个键：名称: AutoShareServer ; 类型: REG_DWORD ;值: 0(2) 运行Regedit禁止IPC空连接Local_Machine/System/CurrentControlSet/Control/LSA 把RestrictAnonymous的键值改成”1”。(3)3. 服务端口安全(1) 运行Regedit修改3389远程端口打开HKEY_LOCAL_MACHINESYSTEM CurrentControlSetControlTerminal ServerWdsrdpwdTdstcp，将PortNamber的键值（默认是3389）修改成自定义端口:14720打开HKEY_LOCAL_MACHINESYSTEMCurrentContro1SetControlTenninal ServerWinStationsRDP-Tcp，将PortNumber的键值（默认是3389）修改成自定义端口:14720(2) 运行services.msc禁用不需要的和危险的服务以下列出建议禁止的服务，具体情况根据需求分析执行：Alerter 发送管理警报和通知Automatic Updates Windows自动更新服务Computer Browser 维护网络计算机更新（网上邻居列表）Distributed File System 局域网管理共享文件Distributed linktracking client 用于局域网更新连接信息Error reporting service 发送错误报告Remote Procedure Call (RPC) Locator RpcNs*远程过程调用 (RPC)Remote Registry 远程修改注册表Removable storage 管理可移动媒体、驱动程序和库Remote Desktop Help Session Manager 远程协助Routing and Remote Access 在局域网以及广域网环境中为企业提供路由服务Shell Hardware Detection 为自动播放硬件事件提供通知。Messenger 消息文件传输服务Net Logon 域控制器通道管理NTLMSecuritysupportprovide telnet服务和Microsoft Serch用的PrintSpooler 打印服务telnet telnet服务Workstation 泄漏系统用户名列表（注：如使用局域网请勿关闭）(3) 运行gpedit.mscIPSec安全加密端口，内部使用加密访问。原理：利用组策略中的“IP安全策略”功能中，安全服务器（需要安全）功能。将所有访问远程如13013端口的请求筛选到该ip安全策略中来，使得该请求需要通过双方的预共享密钥进行身份认证后才能进行连接，其中如果一方没有启用“需要安全”时，则无法进行连接，同时如果客户端的预共享密钥错误则无法与服务器进行连接。在此条件下，不影响其他服务的正常运行。操作步骤：1) 打开GPEDIT.MSC，在计算机策略中有“IP安全策略”,选择“安全服务器（需要安全）”项目属性，然后在IP安全规则中选择“所有IP通信”打开编辑，在“编辑规则 属性”中，双击“所有IP通信”，在IP筛选器中，添加或编辑一个筛选器。2) 退回到“编辑规则 属性”中，在此再选择“身份验证方法”。删除“Kerberos 5”,点击添加，在“新身份验证方法”中，选择“使用此字符串（预共享密钥）”，然后填写服务器所填的预共享密钥（服务器的预共享密钥为”123abc,.”）。然后确定。3) 选择“安全服务器（需要安全）”右键指派即可。附截图： 4. 防火墙安全(1) 启动系统自带防火墙添加例外程序端口，除服务器对外服务端口添加到例外。其余都删除或不勾选。有必要时编辑例外设置访问地址限制。（高级设置参照要求设定）(2) 选择性安装第三方防火墙，设定防火墙网络访问规则，除了必要对外开放的端口，其他都不要对外开放。特别是Telnet:23端口，FTP :21,22端口，数据库端口，邮件端口:25,101等重要的端口，如没有必要尽可能不要对外开放。(3)5. 移动存储设备策略安全目的：一般移动感染病毒会在移动设备的根目录下带有autorun.inf及病毒文件自动运行。主要是阻止防御移动存储设备的危险程序自动运行。(1) 运行gpedit.msc关闭自动播放计算机配置管理模版系统：关闭自动播放已启动，所有驱动器用户配置管理模版系统：关闭自动播放已启动，所有驱动器(2) 运行gpedit.msc策略限制根目录运行文件计算机配置windows设置安全设置软件限制策略其他规则：右键新建路径规则，不允许所有盘符根目录下的这些后缀的文件运行。（*:*.bat、*:*.com、*:*.vb*、*:*.exe）(3)6. 其他安全(1) Ftp站点目录安全，去除非必要用户的修改写入权限，定制对于权限，对于执行和修改权限配置妥当。(2) Http站点目录权限，一般站点都需去除用户的写入权限，常用的网站一般为读取权限。(3) 数据库安全，如SQL数据库，设置Sa超长密码，正常情况下禁止使用sa用户访问数据库。对应其他用户设置对应数据库的映射安全，无需所有数据库映射。(4) 定期修改系统用户密码，及其他牵涉用户的相关密码。且密码要符合复杂性要求。(5) 定期检查系统日志安全，以防有人尝试破解用户账户密码。如有批量多条用户登录失败，则需特别注意调查原因。(6) 定期检查部署策略是否正常运行，