Server系统安全加固讲课稿

1、Good is good, but better carries it.精益求精，善益求善。Server系统安全加固-为安装Windowsserver操作系统的服务器进行系统安全加固操作系统基本安全加固补丁安装使用Windowsupdate安装最新补丁或者使用第三方软件安装补丁,如360安全卫士系统帐户、密码策略帐户密码策略修改“本地计算机”策计算机配置windows设置安全设置密码策略密码长度最小值7字符密码最长存留期90天密码最短存留期30天密码必须符合复杂性要求启用保障帐号以及口令的安全，但是设置帐号策略后可能导致不符合帐号策略的帐号无法登录，需修改不符合帐号策略的密码（注：管理员不受帐

2、号策略限制，但管理员密码应复杂以避免被暴力猜测导致安全风险）帐户锁定策略账户锁定时间30分钟账户锁定阈值5次无效登录复位账户锁定计数器30分钟有效的防止攻击者猜出您账户的密码更改默认管理员用户名“本地计算机”策计算机配置windows设置安全设置本地策略安全选项帐户:重命名管理员帐户默认管理员帐号可能被攻击者用来进行密码暴力猜测，可能由于太多的错误密码尝试导致该帐户被锁定。建议修改默认管理员用户名系统默认账户安全Guest帐户必须禁用；如有特殊需要保留也一定要重命名TSInternetUser此帐户是为了“TerminalServicesInternetConnectorLicense”使用而

3、存在的，故帐户必须禁用，不会对于正常的TerminalServices的功能有影响SUPPORT_388945a0此帐户是为了IT帮助和支持服务，此帐户必须禁用IUSR_system必须只能是Guest组的成员，此帐户为IIS（InternetInformationServer）服务建立IWAM_system必须只能是Guest组的成员，此帐户为IIS（InternetInformationServer）服务建立日志审核策略“本地计算机”策计算机配置windows设置安全设置本地策略审核策略审核策略更改成功审核登录事件无审核审核对象访问成功,失败审核过程追踪无审核审核目录服务访问无审核审核特权

4、使用无审核审核系统事件成功,失败审核帐户登录事件成功,失败审核帐户管理成功,失败对系统事件进行审核，在日后出现故障时用于排查故障修改日志的大小与上限开始控制面板管理工具事件察看器安全策略文件修改下述值：日志类型大小覆盖方式应用日志16382K覆盖早于30天的事件安全日志16384K覆盖早于30天的事件系统日志16384K覆盖早于30天的事件网络与服务安全暂停或禁用不需要的后台服务开始运行输入“services.msc”将下面服务的启动类型设置为手动并停止上述服务已启动且需要停止的服务包括：Alerter服务ComputerBrowser服务IPSECPolicyAgent服务Messenger

5、服务MicrosoftSearch服务PrintSpooler服务RunAsService服务RemoteRegistryService服务SecurityAccountsManager服务TaskScheduler服务TCP/IPNetBIOSHelperService服务注册表安全性禁止匿名用户连接（空连接）注册表如下键值：HKLMSYSTEMCurrentControlSetControlLsa“restrictanonymous”的原值为0将该值修改为“1”可以禁止匿名用户列举主机上所有用户、组、共享资源删除主机默认共享注册表键值HKLMSYSTEMCurrentControlSetS

6、erviceslanmanserverparameters名称：Autoshareserver类型:REG_DOWN值:1删除主机因为管理而开放的共享注意：这里可能有部分备份软件使用到系统默认共享限制远程注册表远程访问权限注册表如下键值：HKLMSYSTEMCurrentControlSetControlSecurePipeServerswinreg名称：Description类型:REG_SZ值:RegistryServer阻止远程访问系统日志HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesEventLogApplication“本地计算机”

7、策计算机配置windows设置安全设置本地策略安全选项网络访问:可匿名访问的共享网络访问:可匿名访问的命名管道网络访问:可远程访问的注册表路径网络访问:可远程访问的注册表路径和子路径网络访问:限制对命名管道和共享的匿名访问禁用自动运行功能HKLMSOFTWAREMicrosoftWindowsCurrentVersionPoliciesExplorer名称：NoDriveTypeAutoRun类型:REG_DWORD值:0 xFF文件系统加固注意：文件的权限修改使用cmd命令行下面cacls命令修改，不要直接使用图像界面修改%SystemDrive%Boot.iniAdministrators

8、：完全控制System：完全控制%SystemDrive%NAdministrators：完全控制System：完全控制%SystemDrive%NtldrAdministrators：完全控制System：完全控制%SystemDrive%Io.sysAdministrators：完全控制System：完全控制%SystemDrive%Autoexec.batAdministrators：完全控制System：完全控制AuthenticatedUsers：读取和执行、列出文件夹内容、读取%systemdir%configAdministrators：完全控制System：完全控制Authen

9、ticatedUsers：读取和执行、列出文件夹内容、读取%SystemRoot%DownloadedProgramFilesAdministrators：完全控制System：完全控制Everyone:读取%SystemRoot%FontsAdministrators：完全控制System：完全控制Everyone:读取%SystemRoot%TasksAdministrators：完全控制System：完全控制%SystemRoot%system32Append.exeAdministrators：完全控制%SystemRoot%system32Arp.exeAdministrators：

10、完全控制%SystemRoot%system32At.exeAdministrators：完全控制%SystemRoot%system32Attrib.exeAdministrators：完全控制%SystemRoot%system32Cacls.exeAdministrators：完全控制%SystemRoot%system32Change.exeAdministrators：完全控制%SystemRoot%system32CAdministrators：完全控制%SystemRoot%system32Chglogon.exeAdministrators：完全控制%SystemRoot%sy

11、stem32Chgport.exeAdministrators：完全控制%SystemRoot%system32Chguser.exeAdministrators：完全控制%SystemRoot%system32Chkdsk.exeAdministrators：完全控制%SystemRoot%system32Chkntfs.exeAdministrators：完全控制%SystemRoot%system32Cipher.exeAdministrators：完全控制%SystemRoot%system32Cluster.exeAdministrators：完全控制%SystemRoot%syst

12、em32Cmd.exeAdministrators：完全控制%SystemRoot%system32Compact.exeAdministrators：完全控制%SystemRoot%system32CAdministrators：完全控制%SystemRoot%system32Convert.exeAdministrators：完全控制%SystemRoot%system32Cscript.exeAdministrators：完全控制%SystemRoot%system32Debug.exeAdministrators：完全控制%SystemRoot%system32Dfscmd.exeAd

13、ministrators：完全控制%SystemRoot%system32DAdministrators：完全控制%SystemRoot%system32DAdministrators：完全控制%SystemRoot%system32Doskey.exeAdministrators：完全控制%SystemRoot%system32Edlin.exeAdministrators：完全控制%SystemRoot%system32Exe2bin.exeAdministrators：完全控制%SystemRoot%system32Expand.exeAdministrators：完全控制%System

14、Root%system32Fc.exeAdministrators：完全控制%SystemRoot%system32Find.exeAdministrators：完全控制%SystemRoot%system32Findstr.exeAdministrators：完全控制%SystemRoot%system32Finger.exeAdministrators：完全控制%SystemRoot%system32Forcedos.exeAdministrators：完全控制%SystemRoot%system32FAdministrators：完全控制%SystemRoot%system32Ftp.e

15、xeAdministrators：完全控制%SystemRoot%system32Hostname.exeAdministrators：完全控制%SystemRoot%system32Iisreset.exeAdministrators：完全控制%SystemRoot%system32Ipconfig.exeAdministrators：完全控制%SystemRoot%system32Ipxroute.exeAdministrators：完全控制%SystemRoot%system32Label.exeAdministrators：完全控制%SystemRoot%system32Logoff.

16、exeAdministrators：完全控制%SystemRoot%system32Lpq.exeAdministrators：完全控制%SystemRoot%system32Lpr.exeAdministrators：完全控制%SystemRoot%system32Makecab.exeAdministrators：完全控制%SystemRoot%system32Mem.exeAdministrators：完全控制%SystemRoot%system32Mmc.exeAdministrators：完全控制%SystemRoot%system32MAdministrators：完全控制%Sys

17、temRoot%system32MAdministrators：完全控制%SystemRoot%system32Mountvol.exeAdministrators：完全控制%SystemRoot%system32Msg.exeAdministrators：完全控制%SystemRoot%system32Nbtstat.exeAdministrators：完全控制%SystemRoot%system32Net.exeAdministrators：完全控制%SystemRoot%system32Net1.exeAdministrators：完全控制%SystemRoot%system32Nets

18、h.exeAdministrators：完全控制%SystemRoot%system32Netstat.exeAdministrators：完全控制%SystemRoot%system32Nslookup.exeAdministrators：完全控制%SystemRoot%system32Ntbackup.exeAdministrators：完全控制%SystemRoot%system32Ntsd.exeAdministrators：完全控制%SystemRoot%system32Pathping.exeAdministrators：完全控制%SystemRoot%system32Ping.e

19、xeAdministrators：完全控制%SystemRoot%system32Print.exeAdministrators：完全控制%SystemRoot%system32Query.exeAdministrators：完全控制%SystemRoot%system32Rasdial.exeAdministrators：完全控制%SystemRoot%system32Rcp.exeAdministrators：完全控制%SystemRoot%system32Recover.exeAdministrators：完全控制%SystemRoot%system32Regedit.exeAdmini

20、strators：完全控制%SystemRoot%system32Regedt32.exeAdministrators：完全控制%SystemRoot%system32Regini.exeAdministrators：完全控制%SystemRoot%system32Register.exeAdministrators：完全控制%SystemRoot%system32Regsvr32.exeAdministrators：完全控制%SystemRoot%system32Replace.exeAdministrators：完全控制%SystemRoot%system32Reset.exeAdmini

21、strators：完全控制%SystemRoot%system32Rexec.exeAdministrators：完全控制%SystemRoot%system32Route.exeAdministrators：完全控制%SystemRoot%system32Routemon.exeAdministrators：完全控制%SystemRoot%system32Router.exeAdministrators：完全控制%SystemRoot%system32Rsh.exeAdministrators：完全控制%SystemRoot%system32Runas.exeAdministrators：完

22、全控制%SystemRoot%system32Runonce.exeAdministrators：完全控制%SystemRoot%system32Secedit.exeAdministrators：完全控制%SystemRoot%system32Setpwd.exeAdministrators：完全控制%SystemRoot%system32Shadow.exeAdministrators：完全控制%SystemRoot%system32Share.exeAdministrators：完全控制%SystemRoot%system32Snmp.exeAdministrators：完全控制%Sys

23、temRoot%system32Snmptrap.exeAdministrators：完全控制%SystemRoot%system32Subst.exeAdministrators：完全控制%SystemRoot%system32Telnet.exeAdministrators：完全控制%SystemRoot%system32Termsrv.exeAdministrators：完全控制%SystemRoot%system32Tftp.exeAdministrators：完全控制%SystemRoot%system32Tlntadmin.exeAdministrators：完全控制%System

24、Root%system32Tlntsess.exeAdministrators：完全控制%SystemRoot%system32Tlntsvr.exeAdministrators：完全控制%SystemRoot%system32Tracert.exeAdministrators：完全控制%SystemRoot%system32TAdministrators：完全控制%SystemRoot%system32Tsadmin.exeAdministrators：完全控制%SystemRoot%system32Tscon.exeAdministrators：完全控制%SystemRoot%system32Tsdiscon.exeAdministrators：完全控制%SystemRoot%system32Tskill.exe