WindowsServer2008R2常规安全设置与基本安全策略

1、精品文档Windows Server 2008 R2常规安全设置及基本安全策略比较重要的几部1.更改默认administrator用户名，复杂密码2.开启防火墙3.安装杀毒软件1) 新做系统一定要先打上补丁2) 安装必要的杀毒软件3) 删除系统默认共享4) 修改本地策略 > 安全选项交互式登陆：不显示最后的用户名启用网络访问：不允许 SAM 帐户和共享的匿名枚举启用网络访问 : 不允许存储网络身份验证的凭据或.NET Passports启用网络访问：可远程访问的注册表路径和子路径全部删除5) 禁用不必要的服务TCP/IP NetBIOS Helper、Server 、 Distribut

2、ed Link Tracking Client、Print Spooler 、RemoteRegistry 、Workstation6) 禁用 IPV6server 2008 r2交互式登录 : 不显示最后的用户名一、系统及程序1、屏幕保护与电源精品文档桌面右键- 个性化- 屏幕保护程序，屏幕保护程序选择无，更改电源设置选择高性能，选择关闭显示器的时间关闭显示器选 从不保存修改2、配置IIS7 组件、FTP7、php 5.5.7、 mysql 5.6.15、 phpMyAdmin 4.1.8、 phpwind 9.0、ISAPI_Rewrite环境。在这里我给大家可以推荐下阿里云的服务器一键环

3、境配置，全自动安装设置很不错的。点击查看地址二、系统安全配置1 、目录权限除系统所在分区之外的所有分区都赋予Administrators和 SYSTEM 有完全控制权， 之后再对其下的子目录作单独的目录权限2 、远程连接我的电脑属性 - 远程设置 - 远程 - 只允许运行带网络超级身份验证的远程桌面的计算机连接，选择允许运行任意版本远程桌面的计算机连接(较不安全 )。备注：方便多种版本Windows 远程管理服务器。windows server 2008的远程桌面连接，与2003 相比，引入了网络级身份验证 （ NLA，network level authentication)，XP SP3不

4、支持这种网络级的身份验证，vista 跟 win7 支持。然而在 XP 系统中修改一下注册表，即可让 XP SP3支持网络级身份验证。HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlLsa在右窗口中双击SecurityPakeages ，添加一项 “tspkg ”。HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlSecurityProviders ，在右窗口中双击 SecurityProviders ，添加 credssp.dll ；请注意，在添加这项值时，一定要在原有的值后添加逗号后，别忘了要空一

5、格（英文状态）。然后将 XP 系统重启一下即可。再查看一下，即可发现XP 系统已经支持网络级身份验证3 、修改远程访问服务端口更改远程连接端口方法，可用windows自带的计算器将10进制转为 16进制。更改 3389 端口为8208 ，重启生效！Windows Registry Editor Version 5.00HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlTerminalServerWdsrdpwdTdstcp"PortNumber"=dword:0002010HKEY_LOCAL_MACHINESYSTEMCurr

6、entControlSetControlTerminalServerWinStationsRDP-Tcp"PortNumber"=dword:00002010（ 1 ）在开始 -运行菜单里 , 输入 regedit, 进入注册表编辑 ,按下面的路径进入修改端口的地方（ 2 ） HKEY_LOCAL_MACHINESystemCurrentControlSetControlTerminalServerWinStationsRDP-Tcp（3 ）找到右侧的"PortNumber" ，用十进制方式显示，默认为3389 ，改为 ( 例如 )6666 端口（ 4

7、） HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlTerminalServerWdsrdpwdTdstcp（5 ）找到右侧的"PortNumber" ，用十进制方式显示，默认为3389 ，改为同上的端口（ 6 ）在控制面板 -Windows 防火墙 - 高级设置 - 入站规则 - 新建规则（ 7 ）选择端口 - 协议和端口 -TCP/ 特定本地端口：同上的端口（ 8 ）下一步，选择允许连接（ 9 ）下一步，选择公用（ 10 ）下一步，名称：远程桌面 -新 (TCP-In) ，描述：用于远程桌面服务的入站规则，以允许 RDP

8、通信。 TCP 同上的端口 （ 11 ）删除远程桌面 (TCP-In) 规则（ 12 ）重新启动计算机4 、配置本地连接网络 - 属性 - 管理网络连接- 本地连接，打开“本地连接 ”界面，选择 “属性 ”，左键点击“Microsoft 网络客户端 ”，再点击 “卸载 ”，在弹出的对话框中 “是 ”确认卸载。点击 “Microsoft 网络的文件和打印机共享 ”，再点击 “卸载 ”，在弹出的对话框中选择 “是 ”确认卸载。解除 Netbios 和 TCP/IP 协议的绑定 139 端口：打开 “本地连接 ”界面，选择 “属性 ”，在弹出的“属性 ”框中双击 “Internet 协议版本（ TC

9、P/IPV4 ）”，点击 “属性 ”，再点击 “高级 ”“WINS ”，选择 “禁用 TCP/IP 上的 NETBIOS ”，点击 “确认 ”并关闭本地连接属性。禁止默认共享：点击“开始 ”“运行 ”，输入 “Regedit ”，打开注册表编辑器，打开注册表项“HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServiceslanmanserverparameters”，在右边的窗口中新建Dword值，名称设为AutoShareServer，值设为 “0 ”。关闭445 端口：HKEY_LOCAL_MACHINESYSTEMCurrentControlSetS

10、ervicesNetBTParameters ，新建 Dword （ 32位）名称设为 SMBDeviceEnabled 值设为 “0 ”5 、共享和发现右键 “网络 ”属性网络和共享中心共享和发现关闭，网络共享，文件共享，公用文件共享，打印机共享，显示我正在共享的所有文件和文件夹，显示这台计算机上所有共享的网络文件夹6 、用防火墙限制Ping网上自己查吧，ping 还是经常需要用到的7 、防火墙的设置控制面板 Windows 防火墙设置 更改设置 例外， 勾选 FTP、HTTP、远程桌面服务核心网络HTTPS 用不到可以不勾3306 ： Mysql1433 ： Mssql8 、禁用不需要的和

11、危险的服务，以下列出服务都需要禁用。控制面板 管理工具 服务Distributed linktracking client用于局域网更新连接信息PrintSpooler打印服务Remote Registry远程修改注册表Server 计算机通过网络的文件、打印、和命名管道共享TCP/IP NetBIOS Helper提供TCP/IP (NetBT)服务上的NetBIOS和网络上客户端的NetBIOS名称解析的支持Workstation泄漏系统用户名列表与 Terminal Services Configuration关联Computer Browser 维护网络计算机更新默认已经禁用Net L

12、ogon域控制器通道管理默认已经手动Remote Procedure Call (RPC) LocatorRpcNs* 远程过程调用(RPC) 默认已经手动删除服务 sc delete MySql9 、安全设置 ->本地策略 -> 安全选项在运行中输入 gpedit.msc 回车，打开组策略编辑器，选择计算机配置->Windows 设置 ->安全设置 -> 本地策略 -> 安全选项交互式登陆：不显示最后的用户名启用网络访问：不允许SAM 帐户的匿名枚举启用 已经启用网络访问：不允许SAM 帐户和共享的匿名枚举启用网络访问：不允许储存网络身份验证的凭据启用网络

13、访问：可匿名访问的共享内容全部删除网络访问：可匿名访问的命名管道内容全部删除网络访问：可远程访问的注册表路径内容全部删除网络访问：可远程访问的注册表路径和子路径内容全部删除帐户：重命名来宾帐户这里可以更改guest 帐号帐户：重命名系统管理员帐户这里可以更改Administrator 帐号10 、安全设置 -> 账户策略 -> 账户锁定策略在运行中输入gpedit.msc回车，打开组策略编辑器，选择计算机配置->Windows设置 ->安全设置 -> 账户策略 -> 账户锁定策略，将账户锁定阈值设为“三次登陆无效 ”， “锁定时间为30 分钟 ”， “复位锁

14、定计数设为30 分钟 ”。11 、本地安全设置选择计算机配置->Windows设置 ->安全设置->本地策略-> 用户权限分配关闭系统：只有Administrators组、其它全部删除。通过终端服务拒绝登陆：加入Guests组、IUSR_*、IWAM_*、NETWORK SERVICE、SQLDebugger通过终端服务允许登陆：加入Administrators、 Remote Desktop Users组，其他全部删除12 、更改 Administrator， guest账户，新建一无任何权限的假Administrator账户管理工具 计算机管理 系统工具 本地用户和

15、组 用户新建一个 Administrator帐户作为陷阱帐户，设置超长密码，并去掉所有用户组更改描述：管理计算机(域 ) 的内置帐户13 、密码策略选择计算机配置->Windows设置 -> 安全设置 -> 密码策略启动密码必须符合复杂性要求最短密码长度14 、禁用 DCOM（ " 冲击波 " 病毒RPC/DCOM漏洞）运行 Dcomcnfg.exe 。控制台根节点组件服务 计算机 右键单击 “我的电脑 ”属性 ”默认属性 ”选项卡 清除 “在这台计算机上启用分布式COM”复选框。15 、 ASP 漏洞主要是卸载WScript.Shell和 Shell.a

16、pplication组件，是否删除看是否必要。regsvr32/u C:WINDOWSSystem32wshom.ocxregsvr32/u C:WINDOWSsystem32shell32.dll删除可能权限不够del C:WINDOWSSystem32wshom.ocxdel C:WINDOWSsystem32shell32.dll如果确实要使用，或者也可以给它们改个名字。WScript.Shell可以调用系统内核运行DOS 基本命令可以通过修改注册表，将此组件改名，来防止此类木马的危害。及 HKEY_CLASSES_ROOTWScript.Shell.1改名为其它的名字， 如：改为 WS

17、cript.Shell_ChangeName 自己以后调用的时候使用这个就可以正常调用此组件了也要将 clsid 值也改一下或WScript.Shell.1_ChangeName项目的值项目的值也可以将其删除，来防止此类木马的危害。Shell.Application可以调用系统内核运行DOS 基本命令可以通过修改注册表，将此组件改名，来防止此类木马的危害。及改名为其它的名字，如：改为Shell.Application_ChangeName或Shell.Application.1_ChangeName自己以后调用的时候使用这个就可以正常调用此组件了也要将 clsid 值也改一下项目的值项目的值也

18、可以将其删除，来防止此类木马的危害。禁止 Guest 用户使用shell32.dll 来防止调用此组件。2000 使用命令： cacls C:WINNTsystem32shell32.dll /e /d guests2003 使用命令： cacls C:WINDOWSsystem32shell32.dll /e /d guests禁止使用FileSystemObject组件， FSO 是使用率非常高的组件，要小心确定是否卸载。改名后调用就要改程序了，Set FSO = Server .CreateObject("Scripting.FileSystemObject")。Fi

19、leSystemObject 可以对文件进行常规操作 ,可以通过修改注册表，将此组件改名，来防止此类木马的危害。HKEY_CLASSES_ROOTScripting.FileSystemObject改名为其它的名字，如：改为FileSystemObject_ChangeName自己以后调用的时候使用这个就可以正常调用此组件了也要将 clsid 值也改一下项目的值也可以将其删除，来防止此类木马的危害。2000 注销此组件命令：RegSrv32 /u C:WINNTSYSTEMscrrun.dll2003 注销此组件命令：RegSrv32 /u C:WINDOWSSYSTEMscrrun.dll如

20、何禁止 Guest 用户使用scrrun.dll来防止调用此组件？使用这个命令：cacls C:WINNTsystem32scrrun.dll /e /d guests15 、打开 UAC控制面板用户账户打开或关闭用户账户控制16 、程序权限"net.exe","net1.exe","cmd.exe","tftp.exe","netstat.exe","regedit.exe","at.exe","attrib.exe","c

21、acls.exe","","c.exe"或完全禁止上述命令的执行gpedit.msc- 用户配置 -管理模板 - 系统启用阻止访问命令提示符同时也停用命令提示符脚本处理启用阻止访问注册表编辑工具启用不要运行指定的windows应用程序，添加下面的at.exe attrib.exe c.exe cacls.exe cmd.exe net.exe net1.exe netstat.exeregedit.exe tftp.exe17 、 Serv-u安全问题（个人建议不是特别高的要求没必要用serv_U可以使用FTP服务器 FileZilla Ser

22、ver）安装程序尽量采用最新版本，避免采用默认安装目录，设置好serv-u 目录所在的权限，设置一个复杂的管理员密码。修改serv-u 的 banner 信息，设置被动模式端口范围（ 4001 4003 ）在本地服务器中设置中做好相关安全设置：包括检查匿名密码，禁用反超时调度，拦截 “FTP bounce ”攻击和 FXP，对于在 30秒内连接超过 3次的用户拦截 10分钟。域中的设置为：要求复杂密码，目录只使用小写字母，高级中设置取消允许使用MDTM 命令更改文件的日期。更改 serv-u 的启动用户：在系统中新建一个用户，设置一个复杂点的密码，不属于任何组。将 servu 的安装目录给予该

23、用户完全控制权限。建立一个FTP 根目录，需要给予这个用户该目录完全控制权限，因为所有的ftp 用户上传， 删除，更改文件都是继承了该用户的权限，否则无法操作文件。 另外需要给该目录以上的上级目录给该用户的读取权限， 否则会在连接的时候出现 530 Not logged in, home directory does not exist 。比如在测试的时候 ftp 根目录为 d:soft ，必须给 d 盘该用户的读取权限，为了安全取消 d 盘其他文件夹的继承权限。 而一般的使用默认的 system 启动就没有这些问题，因为 system 一般都拥有这些权限的。如果 FTP 不是必须每天都用，不

24、如就关了吧，要用再打开。下面是其它网友的补充：大家可以参考下Windows Web Server 2008 R2服务器简单安全设置1、新做系统一定要先打上已知补丁，以后也要及时关注微软的漏洞报告。略。2、所有盘符根目录只给system 和 Administrator的权限，其他的删除。3、将所有磁盘格式转换为NTFS 格式。命令： convert c:/fs:ntfs c:代表 C 盘，其他盘类推。WIN08 r2 C盘一定是 ntfs 格式的，不然不能安装系统4、开启 Windows Web Server 2008 R2自带的高级防火墙。默认已经开启。5、安装必要的杀毒软件如mcafee ，

25、安装一款ARP 防火墙，安天ARP 好像不错。略。6、设置屏幕屏保护。7、关闭光盘和磁盘的自动播放功能。8、删除系统默认共享。命令： net share c$ /del这种方式下次启动后还是会出现，不彻底。也可以做成一个批处理文件，然后设置开机自动执动这个批处理。但是还是推荐下面的方法，直修改注册表的方法。HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesLanmanserverparameters 下面新建 AutoShareServer , 值为 0 。重启一下，测试。已经永久生效了。9、重命 Administrator和 Guest 帐户

26、,密码必须复杂。GUEST 用户我们可以复制一段文本作为密码，你说这个密码谁能破。也只有自己了。.重命名管理员用户组Administrators 。10 、创建一个陷阱用户Administrator，权限最低。上面二步重命名最好放在安装IIS 和 SQL 之前做好，那我这里就不演示了。11 、本地策略 > 审核策略审核策略更改成功 失败审核登录事件成功 失败审核对象访问失败审核过程跟踪无审核审核目录服务访问失败审核特权使用失败审核系统事件成功 失败审核账户登录事件成功 失败审核账户管理成功失败12 、本地策略 > 用户权限分配关闭系统：只有Administrators组、其它的全部

27、删除。管理模板>系统显示 “关闭事件跟踪程序”更改为已禁用。这个看大家喜欢。13 、本地策略 > 安全选项交互式登陆：不显示最后的用户名启用网络访问：不允许SAM 帐户和共享的匿名枚举启用网络访问 : 不允许存储网络身份验证的凭据或.NET Passports启用网络访问：可远程访问的注册表路径全部删除网络访问：可远程访问的注册表路径和子路径全部删除14、禁止 dump file 的产生。系统属性 > 高级 > 启动和故障恢复把写入调试信息改成 “无”15、禁用不必要的服务。TCP/IP NetBIOS HelperServerDistributed Link Tracking ClientPrint SpoolerRemote RegistryWorkstation16 、站点方件夹安全属性设置删除 C: inetpub 目录。删不了，不研究了。把权限最低。 。禁用或删除默认站点。我这里不删除了。停止即可。一般给站点