Windows Server 2008 R2服務器系統安全設置參考指南

重點比較重要的幾部

1.更改默認administrator用戶名，複雜密碼
2.開啓防火牆
3.安裝殺毒軟件

1)新作系統必定要先打上補丁(升級最新系統漏洞補丁，參考)
2)安裝必要的殺毒軟件
3)刪除系統默認共享

4)修改本地策略——>安全選項 
交互式登錄：不顯示最後的用戶名 啓用
網絡訪問：不容許SAM 賬戶和共享的匿名枚舉 啓用
網絡訪問: 不容許存儲網絡身份驗證的憑據或 .NET Passports 啓用
網絡訪問：可遠程訪問的註冊表路徑和子路徑 所有刪除
5)禁用沒必要要的服務
TCP/IP NetBIOS Helper、Server、 Distributed Link Tracking Client 、Print Spooler、Remote Registry、Workstation
6)禁用IPV6

server 2008 r2交互式登陸: 不顯示最後的用戶名

其實最重要的就是開啓防火牆+服務器安全狗（安全狗自帶的一些功能基本上都設置的差很少了）+mysql(sqlserver)低權限運行基本上就差很少了。3389遠程登陸，必定要限制ip登陸。

 

1、系統及程序

一、屏幕保護與電源

桌面右鍵--〉個性化--〉屏幕保護程序，屏幕保護程序 選擇無，更改電源設置 選擇高性能，選擇關閉顯示器的時間 關閉顯示器 選 從不 保存修改

二、遠程鏈接

個人電腦屬性--〉遠程設置--〉遠程--〉只容許運行帶網絡超級身份驗證的遠程桌面的計算機鏈接，選擇容許運行任意版本遠程桌面的計算機鏈接(較不安全)。

備註：

方便多種版本Windows遠程管理服務器。windows server 2008的遠程桌面鏈接，與2003相比，引入了網絡級身份驗證（NLA，network level authentication)，XP SP3不支持這種網絡級的身份驗證，vista跟win7支持。然而在XP系統中修改一下注冊表，便可讓XP SP3支持網絡級身份驗證。HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa在右窗口中雙擊Security Pakeages，添加一項「tspkg」。HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders，在右窗口中雙擊SecurityProviders，添加credssp.dll；請注意，在添加這項值時，必定要在原有的值後添加逗號後，別忘了要空一格（英文狀態）。而後將XP系統重啓一下便可。再查看一下，便可發現XP系統已經支持網絡級身份驗證

3、修改遠程訪問服務端口（修改3389 端口）

更改遠程鏈接端口方法，可用windows自帶的計算器將10進制轉爲16進制。更改3389端口爲8208，重啓生效！

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\Wds\rdpwd\Tds\tcp] 
"PortNumber"=dword:0002010

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp] 
"PortNumber"=dword:00002010

（1）在開始--運行菜單裏,輸入regedit,進入註冊表編輯,按下面的路徑進入修改端口的地方 
（2）HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp 
（3）找到右側的 "PortNumber"，用十進制方式顯示，默認爲3389，改成(例如)6666端口 
（4）HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\Wds\rdpwd\Tds\tcp 
（5）找到右側的 "PortNumber"，用十進制方式顯示，默認爲3389，改成同上的端口 
（6）在控制面板--Windows 防火牆--高級設置--入站規則--新建規則 
（7）選擇端口--協議和端口--TCP/特定本地端口：同上的端口 
（8）下一步，選擇容許鏈接 
（9）下一步，選擇公用 
（10）下一步，名稱：遠程桌面-新(TCP-In)，描述：用於遠程桌面服務的入站規則，以容許RDP通訊。[TCP 同上的端口] 
（11）刪除遠程桌面(TCP-In)規則 
（12）從新啓動計算機

4、配置本地鏈接

網絡--〉屬性--〉管理網絡鏈接--〉本地鏈接，打開「本地鏈接」界面，選擇「屬性」，左鍵點擊「Microsoft網絡客戶端」，再點擊「卸載」，在彈出的對話框中「是」確認卸載。點擊「Microsoft網絡的文件和打印機共享」，再點擊「卸載」，在彈出的對話框中選擇「是」確認卸載。（便可關閉445 端口，沒法共享文件夾，慎用）

5.解除Netbios和TCP/IP協議的綁定139端口：

打開「本地鏈接」界面，選擇「屬性」，在彈出的「屬性」框中雙擊「Internet協議版本（TCP/IPV4）」，點擊「屬性」，再點擊「高級」—「WINS」，選擇「禁用TCP/IP上的NETBIOS」，點擊「確認」並關閉本地鏈接屬性。

6.禁止默認共享：

點擊「開始」—「運行」，輸入「Regedit」，打開註冊表編輯器，打開註冊表項「HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters」，在右邊的窗口中新建Dword值，名稱設爲AutoShareServer，值設爲「0」。

7.關閉 445端口：或關閉文件夾打印與共享服務（參考）HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NetBT\Parameters，新建 Dword（32位）名稱設爲SMBDeviceEnabled 值設爲「0」

8、共享和發現

右鍵「網絡」 屬性 網絡和共享中心 共享和發現 
關閉，網絡共享，文件共享，公用文件共享，打印機共享，顯示我正在共享的全部文件和文件夾，顯示這臺計算機上全部共享的網絡文件夾

9、防火牆的設置(參考)

控制面板→Windows防火牆設置→更改設置→例外，勾選FTP、HTTP、遠程桌面服務 核心網絡

HTTPS用不到能夠不勾

3306：Mysql 
1433：Mssql

10、禁用不須要的和危險的服務，如下列出服務都須要禁用。

控制面板à管理工具à服務

Distributed link tracking client 用於局域網更新鏈接信息 
PrintSpooler 打印服務 
Remote Registry 遠程修改註冊表 
Server 計算機經過網絡的文件、打印、和命名管道共享 
TCP/IP NetBIOS Helper 提供 
TCP/IP (NetBT) 服務上的 
NetBIOS 和網絡上客戶端的 
NetBIOS 名稱解析的支持 
Workstation 泄漏系統用戶名列表 與Terminal Services Configuration 關聯 
Computer Browser 維護網絡計算機更新 默認已經禁用 
Net Logon 域控制器通道管理 默認已經手動 
Remote Procedure Call (RPC) Locator RpcNs*遠程過程調用 (RPC) 默認已經手動 
刪除服務sc delete MySql

11、安全設置-->本地策略-->安全選項

在運行中輸入gpedit.msc回車，打開組策略編輯器，選擇計算機配置-->Windows設置-->安全設置-->本地策略-->安全選項

交互式登錄：不顯示最後的用戶名　　　　　　　啓用 
網絡訪問：不容許SAM賬戶的匿名枚舉　　 　　 啓用 已經啓用 
網絡訪問：不容許SAM賬戶和共享的匿名枚舉　　 啓用 
網絡訪問：不容許儲存網絡身份驗證的憑據　　　啓用 
網絡訪問: 不容許存儲網絡身份驗證的憑據或 .NET Passports 啓用
網絡訪問：可匿名訪問的共享　　　　　　　　　內容所有刪除 
網絡訪問：可匿名訪問的命名管道　　　　　　　內容所有刪除 
網絡訪問：可遠程訪問的註冊表路徑　　　　　　內容所有刪除 
網絡訪問：可遠程訪問的註冊表路徑和子路徑　　內容所有刪除 
賬戶：重命名來賓賬戶　　　　　　　　　　　　這裏能夠更改guest賬號 
賬戶：重命名系統管理員賬戶　　　　　　　　　這裏能夠更改Administrator賬號

本地策略——>審覈策略
審覈策略更改 成功 失敗
審覈登陸事件 成功 失敗
審覈對象訪問 失敗
審覈過程跟蹤 無審覈
審覈目錄服務訪問 失敗
審覈特權使用 失敗
審覈系統事件 成功 失敗
審覈帳戶登陸事件 成功 失敗
審覈帳戶管理 成功 失敗

 

12、安全設置-->帳戶策略-->帳戶鎖定策略

計算機配置-->Windows設置-->安全設置-->帳戶策略-->帳戶鎖定策略，
將帳戶鎖定閾值設爲「三次登錄無效」，「鎖定時間爲30分鐘」，「復位鎖定計數設爲30分鐘」。

13、本地安全設置

選擇計算機配置-->Windows設置-->安全設置-->本地策略-->用戶權限分配 
關閉系統：只有Administrators組、其它所有刪除。 
經過終端服務拒絕登錄：加入Guests組、IUSR_*****、IWAM_*****、NETWORK SERVICE、SQLDebugger 
經過終端服務容許登錄：加入Administrators、Remote Desktop Users組，其餘所有刪除

14、更改Administrator，guest，新建一無任何權限的假Administrator帳戶

管理工具→計算機管理→系統工具→本地用戶和組→用戶 
新建一個Administrator賬戶做爲陷阱賬戶，設置超長密碼，並去掉全部用戶組 
更改描述：管理計算機(域)的內置賬戶

15、密碼策略

選擇計算機配置-->Windows設置-->安全設置-->密碼策略 
啓動 密碼必須符合複雜性要求 
最短密碼長度

16、禁用DCOM （"衝擊波"病毒 RPC/DCOM 漏洞）

運行Dcomcnfg.exe。控制檯根節點→組件服務→計算機→右鍵單擊「個人電腦」→屬性」→默認屬性」選項卡→清除「在這臺計算機上啓用分佈式 COM」複選框。

17、打開UAC

控制面板 用戶帳戶 打開或關閉用戶帳戶控制

18、程序權限（參考）

"net.exe","net1.exe","cmd.exe","tftp.exe","netstat.exe","regedit.exe","at.exe","attrib.exe","cacls.exe","format.com","c.exe" 
或徹底禁止上述命令的執行 
gpedit.msc-〉用戶配置-〉管理模板-〉系統 
啓用 阻止訪問命令提示符 同時 也停用命令提示符腳本處理 
啓用 阻止訪問註冊表編輯工具 
啓用 不要運行指定的windows應用程序，添加下面的 
at.exe attrib.exe c.exe cacls.exe cmd.exe format.com net.exe net1.exe netstat.exe regedit.exe tftp.exe

19、禁用IPV6。（參考） 

在windows server 2008 R2操做系統下部署weblogic web application，部署完成後進行測試，發現測試頁的地址使用的是隧道適配器的地址，而不是靜態的ip地址，並且所在的網絡並無ipv6接入，所以決定將ipv6和隧道適配器禁用，操做以下：禁用ipv6很簡單，進入 控制面板\網絡和 Internet\網絡和共享中心 單擊面板右側「更改適配器設置」進入網絡鏈接界面，選擇要設置的鏈接，右鍵選擇屬性，取消Internet 協議版本 6 (TCP/IPv6) 前面的選擇框肯定便可。要禁用隧道適配器須要更改註冊表信息，操做以下：（參考）開始 -> 運行 - > 輸入 Regedit 進入註冊表編輯器 定位到： [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip6\Parameters] 右鍵點擊 Parameters，選擇新建 -> DWORD (32-位)值 命名值爲 DisabledComponents，而後修改值爲 ffffffff (16進制) 重啓後生效 DisableComponents 值定義：0， 啓用全部 IPv 6 組件，默認設置 0xffffffff，禁用全部 IPv 6 組件, 除 IPv 6 環回接口 0x20， 之前綴策略中使用 IPv 4 而不是 IPv 6 0x10， 禁用本機 IPv 6 接口 0x01， 禁用全部隧道 IPv 6 接口 0x11， 禁用除用於 IPv 6 環回接口全部 IPv 6 接口