WindowsServer--R2常规安全设置及基本安全策略

1、windows server 2008 r2 常规安全设置及基本安全策略1、目录权限除系统所在分区之外的所有分区都赋予administrators 和 system 有完全控制权，之后再对其下的子目录作单独的目录权限2、远程连接我的电脑属性-远程设置 -远程 -只允许运行带网络超级身份验证的远程桌面的计算机连接，选择允许运行任意版本远程桌面的计算机连接(较不安全 )。备注：方便多种版本windows 远程管理服务器。windows server 2008 的远程桌面连接，与2003 相比，引入了网络级身份验证（nla，network level authentication) ，xp sp3不

2、支持这种网络级的身份验证，vista 跟 win7 支持。然而在xp系统中修改一下注册表，即可让xp sp3支持网络级身份验证。hkey_local_machinesystemcurrentcontrolsetcontrollsa在右窗口中双击security pakeages，添加一项“tspkg” 。hkey_local_machinesystemcurrentcontrolsetcontrolsecurityproviders，在右窗口中双击securityproviders，添加 credssp.dll；请注意，在添加这项值时，一定要在原有的值后添加逗号后，别忘了要空一格（英文状态）

3、。然后将 xp系统重启一下即可。再查看一下，即可发现xp系统已经支持网络级身份验证3、修改远程访问服务端口更改远程连接端口方法，可用 windows 自带的计算器将10 进制转为16 进制。更改 3389 端口为 8208，重启生效！windows registry editor version 5.00 hkey_local_machinesystemcurrentcontrolsetcontrolterminal serverwdsrdpwdtdstcp portnumber=dword:0002010 hkey_local_machinesystemcurrentcontrolsetco

4、ntrolterminal serverwinstationsrdp-tcp portnumber=dword:00002010 （1）在开始 -运行菜单里 ,输入 regedit,进入注册表编辑,按下面的路径进入修改端口的地方（2） hkey_local_machinesystemcurrentcontrolsetcontrolterminal serverwinstationsrdp-tcp （3）找到右侧的portnumber ，用十进制方式显示，默认为3389，改为 (例如 )6666 端口（4） hkey_local_machinesystemcurrentcontrolsetcon

5、trolterminal serverwdsrdpwdtdstcp （5）找到右侧的portnumber ，用十进制方式显示，默认为3389，改为同上的端口（6）在控制面板 -windows 防火墙 -高级设置 -入站规则 -新建规则（7）选择端口 -协议和端口 -tcp/ 特定本地端口：同上的端口（8）下一步，选择允许连接（9）下一步，选择公用（10）下一步，名称：远程桌面-新(tcp-in)，描述：用于远程桌面服务的入站规则，以允许rdp通信。tcp 同上的端口 （11）删除远程桌面(tcp-in)规则（12）重新启动计算机4、配置本地连接网络 -属性 -管理网络连接 -本地连接， 打开“

6、本地连接” 界面， 选择“属性”，左键点击 “microsoft网络客户端” ，再点击“卸载” ，在弹出的对话框中“是”确认卸载。点击“microsoft 网络的文件和打印机共享” ，再点击“卸载” ，在弹出的对话框中选择“是”确认卸载。解除 netbios 和 tcp/ip协议的绑定139 端口： 打开“本地连接” 界面， 选择 “属性”，在弹出的 “属性”框中双击“ internet 协议版本（ tcp/ipv4 ） ” ，点击“属性” ，再点击“高级”“wins” ，选择“禁用tcp/ip上的 netbios ” ，点击“确认”并关闭本地连接属性。禁止默认共享：点击“开始”“运行”，输入

7、“ regedit” ，打开注册表编辑器，打开注册表项“hkey_local_machinesystemcurrentcontrolsetserviceslanmanserverparameters” ，在右边的窗口中新建 dword 值，名称设为autoshareserver，值设为“ 0” 。关闭 445 端口： hkey_local_machinesystemcurrentcontrolsetservicesnetbtparameters ，新建dword（ 32 位）名称设为smbdeviceenabled 值设为“ 0”5、共享和发现右键“网络”属性网络和共享中心共享和发现 -关闭，

8、网络共享，文件共享，公用文件共享，打印机共享，显示我正在共享的所有文件和文件夹，显示这台计算机上所有共享的网络文件夹6、用防火墙限制ping打开该系统的“ 开始 ” 菜单，从中依次选择“ 程序 ”/ “管理工具 ”/ “服务器管理器 ” 选项，在弹出的服务器管理器窗口中， 依次展开左侧显示区域中的“ 配置 ”/ “高级安全windows 防火墙 ” 分支选项，进入 windows server 2008 服务器系统的防火墙高级安全设置窗口；用防火墙限制ping 其次从该设置窗口中找到“ 查看和创建防火墙规则” 设置项，单击该设置项下面的“ 入站规则 ” 选项，右侧操作列表中，单击其中的 “ 新

9、规则 ” 选项， 进入防火墙高级安全规则创建向导窗口，当向导窗口提示我们选择创建类型时，我们可以先选中“ 自定义 ” 选项，并单击 “ 下一步 ” 按钮；之后向导窗口会提示我们该规则应用于所有程序还是特定程序，此时我们可以选中“ 所有程序 ” 选项，继续单击 “ 下一步 ” 按钮，打开如图3 所示的向导设置界面，选中其中的“icmpv4 ”选项，再单击 “ 下一步 ”按钮，紧接着将此规则设置为匹配本地的“ 任何 ip 地址 ” 以及远程的 “ 任何 ip地址 ” ，再将连接条件参数设置为 “ 阻止连接 ” ，最后依照向导提示设置好适用该规则的具体网络环境，为安全规则取个名称，完毕后重新启动。7

10、、防火墙的设置控制面板 windows 防火墙设置更改设置例外，勾选ftp、http 、远程桌面服务核心网络https用不到可以不勾3306：mysql 1433：mssql 8、禁用不需要的和危险的服务，以下列出服务都需要禁用。控制面板管理工具服务distributed linktracking client 用于局域网更新连接信息printspooler 打印服务remote registry 远程修改注册表server 计算机通过网络的文件、打印、和命名管道共享tcp/ip netbios helper 提供tcp/ip (netbt) 服务上的netbios 和网络上客户端的netbi

11、os 名称解析的支持workstation 泄漏系统用户名列表与 terminal services configuration 关联computer browser 维护网络计算机更新默认已经禁用net logon 域控制器通道管理默认已经手动remote procedure call (rpc) locator rpcns*远程过程调用(rpc) 默认已经手动删除服务sc delete mysql 9、安全设置 - 本地策略 - 安全选项在运行中输入gpedit.msc回车， 打开组策略编辑器，选择计算机配置-windows 设置 - 安全设置 -本地策略 - 安全选项交互式登陆：不显示最

12、后的用户名启用网络访问：不允许sam 帐户的匿名枚举启用已经启用网络访问：不允许sam 帐户和共享的匿名枚举启用网络访问：不允许储存网络身份验证的凭据启用网络访问：可匿名访问的共享内容全部删除网络访问：可匿名访问的命名管道内容全部删除网络访问：可远程访问的注册表路径内容全部删除网络访问：可远程访问的注册表路径和子路径内容全部删除帐户：重命名来宾帐户这里可以更改guest 帐号帐户：重命名系统管理员帐户这里可以更改administrator 帐号10、安全设置 - 账户策略 - 账户锁定策略在运行中输入gpedit.msc 回车，打开组策略编辑器，选择计算机配置-windows 设置 -安全设置

13、 -账户策略 -账户锁定策略，将账户锁定阈值设为“三次登陆无效”， “锁定时间为30 分钟”， “复位锁定计数设为 30 分钟”。11、本地安全设置选择计算机配置-windows 设置 -安全设置 -本地策略 -用户权限分配关闭系统：只有administrators 组、其它全部删除。通过终端服务拒绝登陆：加入guests 组、 iusr_* 、iwam_*、 network service、 sqldebugger 通过终端服务允许登陆：加入administrators 、remote desktop users 组，其他全部删除12、更改 administrator，guest 账户，新建

14、一无任何权限的假administrator账户管理工具计算机管理系统工具本地用户和组用户新建一个administrator 帐户作为陷阱帐户，设置超长密码，并去掉所有用户组更改描述：管理计算机(域)的内置帐户13、密码策略选择计算机配置-windows 设置 -安全设置 -密码策略启动 密码必须符合复杂性要求最短密码长度14、禁用 dcom （ 冲击波 病毒 rpc/dcom 漏洞）运行 dcomcnfg.exe。控制台根节点组件服务计算机右键单击“我的电脑” 属性” 默认属性”选项卡清除“在这台计算机上启用分布式com”复选框。15、asp漏洞主要是卸载wscript.shell 和 she

15、ll.application 组件，是否删除看是否必要。regsvr32/u c:windowssystem32wshom.ocx regsvr32/u c:windowssystem32shell32.dll 删除可能权限不够del c:windowssystem32wshom.ocx del c:windowssystem32shell32.dll 如果确实要使用，或者也可以给它们改个名字。wscript.shell可以调用系统内核运行dos基本命令可以通过修改注册表，将此组件改名，来防止此类木马的危害。及 hkey_classes_rootwscript.shell.1 改名为其它的名字

16、，如：改为wscript.shell_changename 或 wscript.shell.1_changename 自己以后调用的时候使用这个就可以正常调用此组件了也要将 clsid值也改一下项目的值项目的值也可以将其删除，来防止此类木马的危害。shell.application可以调用系统内核运行dos 基本命令可以通过修改注册表，将此组件改名，来防止此类木马的危害。及改名为其它的名字， 如：改为 shell.application_changename 或 shell.application.1_changename 自己以后调用的时候使用这个就可以正常调用此组件了也要将 clsid值也

17、改一下项目的值项目的值也可以将其删除，来防止此类木马的危害。禁止 guest 用户使用shell32.dll来防止调用此组件。2000 使用命令： cacls c:winntsystem32shell32.dll /e /d guests 2003 使用命令： cacls c:windowssystem32shell32.dll /e /d guests 禁止使用filesystemobject组件， fso是使用率非常高的组件，要小心确定是否卸载。改名后调用就要改程序了，set fso = server.createobject(scripting.filesystemobject)。fil

18、esystemobject可以对文件进行常规操作, 可以通过修改注册表，将此组件改名， 来防止此类木马的危害。hkey_classes_rootscripting.filesystemobject 改名为其它的名字，如：改为 filesystemobject_changename 自己以后调用的时候使用这个就可以正常调用此组件了也要将 clsid值也改一下项目的值也可以将其删除，来防止此类木马的危害。2000 注销此组件命令：regsrv32 /u c:winntsystemscrrun.dll 2003 注销此组件命令：regsrv32 /u c:windowssystemscrrun.dl

19、l 如何禁止guest 用户使用scrrun.dll来防止调用此组件？使用这个命令：cacls c:winntsystem32scrrun.dll /e /d guests 15、打开 uac控制面板用户账户打开或关闭用户账户控制16、程序权限net.exe,net1.exe,cmd.exe,tftp.exe,netstat.exe,regedit.exe,at.exe,attrib.exe,cacls.exe,c.exe 或完全禁止上述命令的执行gpedit.msc-用户配置 -管理模板 -系统启用 阻止访问命令提示符同时也停用命令提示符脚本处理启用 阻止访问注册表编辑工具启用 不要运行指定

20、的windows 应用程序，添加下面的at.exe attrib.exe c.exe cacls.exe cmd.exe net.exe net1.exe netstat.exe regedit.exe tftp.exe 17、serv-u 安全问题（个人建议不是特别高的要求没必要用serv_u 可以使用ftp服务器 filezilla server）安装程序尽量采用最新版本，避免采用默认安装目录，设置好serv-u 目录所在的权限，设置一个复杂的管理员密码。修改serv-u 的 banner 信息，设置被动模式端口范围（40014003）在本地服务器中设置中做好相关安全设置：包括检查匿名密码

21、，禁用反超时调度，拦截“ftp bounce”攻击和fxp ，对于在 30 秒内连接超过3 次的用户拦截10 分钟。域中的设置为：要求复杂密码，目录只使用小写字母，高级中设置取消允许使用mdtm 命令更改文件的日期。更改 serv-u 的启动用户：在系统中新建一个用户，设置一个复杂点的密码，不属于任何组。将servu 的安装目录给予该用户完全控制权限。建立一个ftp根目录，需要给予这个用户该目录完全控制权限，因为所有的 ftp 用户上传，删除，更改文件都是继承了该用户的权限，否则无法操作文件。另外需要给该目录以上的上级目录给该用户的读取权限，否则会在连接的时候出现530 not logged

22、in, home directory does not exist。比如在测试的时候ftp 根目录为d:soft ，必须给d 盘该用户的读取权限，为了安全取消d 盘其他文件夹的继承权限。而一般的使用默认的system 启动就没有这些问题，因为system 一般都拥有这些权限的。如果ftp不是必须每天都用，不如就关了吧，要用再打开。其它补充：1、新做系统一定要先打上已知补丁，以后也要及时关注微软的漏洞报告。略。2、所有盘符根目录只给system 和 administrator的权限，其他的删除。3、将所有磁盘格式转换为ntfs格式。命令： convert c:/fs:ntfs c:代表 c盘，其

23、他盘类推。win08 r2 c 盘一定是ntfs格式的，不然不能安装系统4、开启 windows web server 2008 r2自带的高级防火墙。默认已经开启。5、安装必要的杀毒软件如mcafee，安装一款arp防火墙。6、设置屏幕屏保护。7、关闭光盘和磁盘的自动播放功能。8、删除系统默认共享。命令： net share c$ /del 这种方式下次启动后还是会出现，不彻底。也可以做成一个批处理文件，然后设置开机自动执动这个批处理。但是还是推荐下面的方法，直修改注册表的方法。hkey_local_machinesystemcurrentcontrolsetserviceslanmanse

24、rverparameters下面新建autoshareserver ,值为 0 。重启一下，测试。已经永久生效了。9、重命 administrator和 guest 帐户 , 密码必须复杂。guest 用户我们可以复制一段文本作为密码，你说这个密码谁能破。也只有自己了。. 重命名管理员用户组administrators。10、创建一个陷阱用户administrator，权限最低。上面二步重命名最好放在安装iis 和 sql之前做好，那我这里就不演示了。11、本地策略审核策略审核策略更改成功失败审核登录事件成功失败审核对象访问失败审核过程跟踪无审核审核目录服务访问失败审核特权使用失败审核系统事件

25、成功失败审核账户登录事件成功失败审核账户管理成功失败12、本地策略用户权限分配关闭系统：只有administrators 组、其它的全部删除。管理模板 系统显示“关闭事件跟踪程序”更改为已禁用。这个看大家喜欢。13、本地策略安全选项交互式登陆：不显示最后的用户名启用网络访问：不允许sam 帐户和共享的匿名枚举启用网络访问 : 不允许存储网络身份验证的凭据或 .net passports 启用网络访问：可远程访问的注册表路径全部删除网络访问：可远程访问的注册表路径和子路径全部删除14、禁止 dump file 的产生。系统属性 高级 启动和故障恢复把写入调试信息改成“无”15、禁用不必要的服务。

26、tcp/ip netbios helper server distributed link tracking client print spooler remote registry workstation 16、站点方件夹安全属性设置删除 c: inetpub 目录。删不了，不研究了。把权限最低。禁用或删除默认站点。我这里不删除了。停止即可。一般给站点目录权限为：system 完全控制administrator 完全控制users 读iis_iusrs 读、写在 iis7 中删除不常用的映射建立站点试一下。 一定要选到程序所在的目录，这里是 目录，如果只选择到wwwroot 目录的话，站点就

27、变成子目录或虚拟目录安装了，比较麻烦。所以一定要选择站点文件所在的目录，填上主机头。 因为我们是在虚拟机上测试，所以对 hosts文件修改一下，模拟用域名访问。真实环境中，不需要修改hosts 文件，直接解释域名到主机就行。目录权限不够，这个下个教程继续说明。至少，我们的页面已经正常了。17、禁用 ipv6。看操作。在 windows server 2008 r2操作系统下部署weblogic web application，部署完成后进行测试，发现测试页的地址使用的是隧道适配器的地址，而不是静态的ip 地址，而且所在的网络并没有ipv6 接入，因此决定将ipv6 和隧道适配器禁用，操作如下：

28、禁用 ipv6 很简单，进入控制面板网络和网络和共享中心单击面板右侧“更改适配器设置”进入网络连接界面，选择要设置的连接，右键选择属性， 取消 internet 协议版本 6 (tcp/ipv6) 前面的选择框确定即可。要禁用隧道适配器需要更改注册表信息，操作如下：开始 - 运行 - 输入 regedit 进入注册表编辑器定位到：hkey_local_machinesystemcurrentcontrolsetservicestcpip6parameters 右键点击 parameters，选择新建 - dword (32- 位) 值命名值为 disabledcomponents，然后修改值为

29、 ffffffff (16进制 ) 重启后生效disablecomponents 值定义：0， 启用所有 ipv 6 组件，默认设置0 xffffffff，禁用所有 ipv 6 组件 , 除 ipv 6 环回接口0 x20， 以前缀策略中使用 ipv 4 而不是 ipv 6 0 x10， 禁用本机 ipv 6 接口0 x01， 禁用所有隧道 ipv 6 接口0 x11， 禁用除用于 ipv 6 环回接口所有 ipv 6 接口iis7的 web服务器的安全配置本文基于windows 2008 下使用 iis7部署的 web 服务器， 对 iis7的各项配置进行实战分析，以提高基于此环境下的web

30、 服务器的安全性，以下是本人对iis服务的配置经验总结，供大家探讨。【关键词】 iis安全； web服务器安全1、磁盘及文件夹设置为提高系统下数据的安全性，服务器文件格式一律划分为ntfs格式，这样可以更好的配置磁盘的各种访问权限。一般情况下，各个分区都只赋予administrators 和 system 权限，删除其他用户的访问权限，以保证拒绝任何未授权用户的访问。2、为站点建立相应的用户。每个站点都使用专门建立的用户来进行权限分配，可以保证各个站点间是独立的，被隔离开的，不会互相影响的。此类用户包含为站点建立用于匿名访问的用户和为用于应用程序池运行的用户。匿名访问用户属于guest组，应用

31、程序池运行用户属于iis_iusrs 组。操作方法： 右键点击 “ 我的电脑 ” 中，选择 “ 管理 ” 。选择 “ 本地用户和组 ” 窗格中，右键单击 “ 用户 ” ，选择 “ 新用户 ” 。在 “ 新用户 ” 对话框中，设置“ 用户名 ” 、“ 密码 ” 并勾选 “ 用户不能更改密码” 、“ 密码永不过期” ，然后单击“ 确定 ” 。选择创建好的用户，右键单击用户名，选择属性，设置用户到相应的组即可。3、站点使用独立的应用程序池每个站点使用的应用程序池应该是独立的，以便资源的合理分配，并且都以独立的标识账户运行，在出现异常情况时也不会互相影响。操作方法：（1）打开 “iis 信息服务管理器

32、” ，右键单击 “ 应用程序池 ” ，选择 “ 新建应用程序池” ，填上名称，确定。（2）单击此应用程序池，在操作栏中选择“ 高级设置 ” ，将 “ 进程模型标识” 选择为之前创建的应用程序池运行用户。（3）单击需要配置的网站，在操作栏中选择高级设置，应用程序池选择为上一步创建的应用程序池。4、启用匿名身份验证网站目录下所有文件启用匿名身份验证，便于用户可以匿名访问网站，并将之前建立的用户分配到该网站。操作方法：（1）在功能视图中双击“ 身份验证 ” ，右键单击 “ 匿名身份验证” ，选择 “ 启用 ” 。（2）单击该网站，在功能视图中双击“ 身份验证 ” ，右键单击 “ 匿名身份验证 ” ，

33、选择 “ 编辑 ” 匿名身份验证，并选择 “ 匿名用户标识 ” 为之前建立的用于匿名访问的用户。注：需要赋予该匿名用户对此网站目录及文件相应的访问权限。5、启用基本身份验证为保护指定目录不被匿名用户访问，需要启用基本身份验证，此项需要关闭指定目录的匿名用户访问权限。操作方法：（1）在功能视图中选择“ 身份验证 ” ，右键单击 “ 匿名身份验证” ，选择 “ 禁用 ” 匿名身份验证。（2）在功能视图中双击“ 身份验证 ” ，右键单击 “ 基本身份验证” ，选择 “ 启用 ” 并编辑基本身份验证，为基本身份认证配置拥有访问权限的用户。6、取消上传目录的执行权限网站程序正常运行所需的权限并不是完全一

34、样的，可以在iis中对网站目录进行针对设置，一般目录设置为读取，满足访问、浏览即可；需要上传文件的目录，在设置了写入权限后，可以将目录的执行权限去掉。这样即使上传了木马文件在此目录，也是无法执行的。操作方法 :选中网站的上传文件夹，选择“ 处理程序映射 ” ，“ 编辑功能权限” ，取消脚本和执行功能。7、基于 ip地址或域名授予访问权限和拒绝访问。在 iis 7中，默认情况下所有internet 协议 (ip)地址、计算机和域都可以访问我们的站点。为了增强安全性，我们可以创建向所有ip地址（默认设置） 、特定 ip地址、 ip 地址范围或特定域授予访问权限的允许规则，以此来限制对站点的访问。注

35、： ip地址限制只适用于ipv4地址。在“ 功能视图 ” 中，双击 “ipv4 地址和域限制 ” 。在“ 操作 ” 窗格中，单击 “ 添加允许条目 ” 。在“ 添加允许限制规则” 对话框中，选择 “ 特定 ipv4 地址 ” 、 “ipv4 地址范围 ” 或“ 域名 ” ， 接着添加ipv4地址、范围、掩码或域名，然后单击“ 确定 ” 。8、配置 url 授权规则。我们可以允许或拒绝特定计算机、计算机组或域访问服务器上的站点、应用程序、目录或文件。通过配置 url授权规则，可以配置为指定组的成员访问受限内容。操作方法：（1）在 “ 功能视图中，双击“ 授权规则 ” 。在 “ 操作 ” 窗格中，

36、单击“ 添加允许规则 ” 。（2） 在“ 添加允许授权规则” 对话框中， 可以选择 “ 所有用户 ” 、 “ 所有匿名用户 ” 、 “ 指定的角色或用户组” 、“ 指定的用户 ” 其中之一。此外，如果要进一步规定允许访问相应内容的用户、角色或组只能使用特定http谓词列表，则还可以选中 “ 将此规则应用于特定谓词” 。请在对应的文本框中键入这些谓词。9、配置 isapi和 cgi限制默认情况下，存在多种文件扩展名均可在web 服务器上运行，为了降低此风险，应只允许您具有的那些特定 isapi扩展或 cgi文件在 web 服务器上运行。操作方法：（1）在 “ 功能视图 ” 中，双击 “isapi 和 cgi限制 ” 。在 “ 操作 ” 窗格中，单击 “ 添加 ” 。（2）在 “ 添加 isapi或 cgi限制 ” 对话框的 “isapi 或 cgi路径 ” 文本框中键入该.dll 或.exe文件的路径，或者单击浏览按钮(.)导航至该文件的位置。在“ 描述 ” 文本框中，键入有关限制的简要描述。（3）选中 “ 允许执行扩展路径” ，以允许限制自动运行。如果未选中此选项，限制的状态将默认为“