服務器安全策略之《基本配置》

　　隨着計算機軟硬件的不斷升級完善，服務器以及操做系統也在不斷的更新換代，如今愈來愈多的公司或我的選擇使用win2008做爲服務器的操做系統，所以怎樣設置win2008服務器的安全策略正變得愈來愈重要，下面將分享一下在win2008服務器上作安全策略。

1.系統補丁的更新

點擊開始菜單—>全部程序—>Windows Update

按照提示進行補丁的安裝。

2.修改遠程桌面端口：將默認端口3389改成XXXX。如何修改遠程桌面端口能夠參考 「服務器安全策略之《修改遠程桌面端口》」

3.賬戶：對系統管理員默認賬戶administrator進行重命名，停用guest用戶。

4.共享和發現

右鍵「網絡」-屬性-更改高級共享設置--共享和發現

關閉，網絡共享，文件共享，公用文件共享，打印機共享全部

5.防火牆的設置

控制面板→Windows防火牆設置（啓動防火牆）→更改設置→例外，勾選FTP、HTTP、遠程桌面服務 核心網絡 HTTPS 3306：Mysql 1433：Mssql；

　　（1）取消網絡鏈接中的文件和打印共享。
　　（2）在例外裏面添加遠程桌面端口XXX。不然沒法在本地遠程鏈接桌面
　　（3）在防火牆高級設置時勾選Web 服務和安全的Web服務。
　　（4）在防火牆開放FTP端口XX。
　　（5）開放短信發送平臺端口：XXX

默認開啓防火牆後ping命令是禁止的，開啓方法以下：

方法1：命令行模式

進入服務器後 點擊 開始——運行 輸入命令：

netsh firewall set icmpsetting 8 這樣就能夠在外部ping到服務器了 很是簡單實用！

一樣道理，若是想禁止Ping，那運行以下命令便可實現：

netsh firewall set icmpsetting 8 disable

方法2：防火牆高級面板方式

1. 進入控制面板——>管理工具——>找到 「高級安全 Windows防火牆」

2. 點擊 入站規則

3. 找到 回顯請求-ICMPv4-In （Echo Request – ICMPv4-In）

4. 右鍵 點擊規則 點擊「啓用規則（Enable）」

禁止ping的方法相同

 

6.禁用不須要的和危險的服務，如下列出服務都須要禁用。

打開 控制面板--管理工具--服務（或經過命令services.msc）

Distributed linktracking client 用於局域網更新鏈接信息

PrintSpooler 打印服務

Remote Registry 遠程修改註冊表

Server 計算機經過網絡的文件、打印、和命名管道共享 （關閉會啓動時會報錯）

TCP/IP NetBIOS Helper 提供

TCP/IP (NetBT) 服務上的

NetBIOS 和網絡上客戶端的

NetBIOS 名稱解析的支持

Workstation 泄漏系統用戶名列表 與Terminal Services Configuration 關聯

Computer Browser 維護網絡計算機更新 默認已經禁用

Net Logon 域控制器通道管理 默認已經手動

Remote Procedure Call (RPC) Locator RpcNs*遠程過程調用 (RPC) 默認已經手動

刪除服務sc delete MySql

7.禁止IPC空鏈接：打開註冊表，找到Local_Machine\System\CurrentControlSet\Control\LSA-RestrictAnonymous 把這個值改爲」1」便可。

8.刪除默認共享：打開註冊表，找到HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters，新建 AutoShareServer類型是REG_DWORD把值改成0。

9.組策略配置:gpedit—>計算機配置—>windows設置—>安全設置—>本地策略。
　　（1）在用戶權利分配下，從經過網絡訪問此計算機中刪除Power Users和Backup Operators;
　　（2）啓用不容許匿名訪問SAM賬號和共享;
　　（3）啓用不容許爲網絡驗證存儲憑據或Passport;
　　（4）從文件共享中刪除容許匿名登陸的DFS$和COMCFG;
　　（5）啓用交互登陸：不顯示上次的用戶名;
　　（6）啓用在下一次密碼變動時不存儲LANMAN哈希值;
　　（7）禁止IIS匿名用戶在本地登陸。

10.本地安全策略設置:
　　開始菜單—>管理工具—>本地安全策略
A、本地策略——>審覈策略
　　（1）審覈策略更改　成功　失敗
　　（2）審覈登陸事件　成功　失敗
　　（3）審覈對象訪問失敗
　　（4）審覈過程跟蹤　無審覈
　　（5）審覈目錄服務訪問失敗
　　（6）審覈特權使用失敗
　　（7）審覈系統事件　成功　失敗
　　（8）審覈帳戶登陸事件　成功　失敗
　　（9）審覈帳戶管理　成功　失敗

注：在設置審覈登錄事件時選擇記失敗，這樣在事件查看器裏的安全日誌就會記錄登錄失敗的信息。

B、本地策略——>用戶權限分配
　　（1）關閉系統：只有Administrators組、其它所有刪除。
　　（2）經過終端服務拒絕登錄：加入Guests組、IUSR_*****、IWAM_*****、NETWORK SERVICE、SQLDebugger
　　（3）經過終端服務容許登錄：加入Administrators、Remote Desktop Users組，其餘所有刪除

C、本地策略——>安全選項　

交互式登錄：不顯示最後的用戶名　　　　　　　 啓用

網絡訪問：不容許SAM賬戶的匿名枚舉　　 　　 啓用 已經啓用

網絡訪問：不容許SAM賬戶和共享的匿名枚舉　　 啓用

網絡訪問：不容許儲存網絡身份驗證的憑據　　　 啓用

網絡訪問：可匿名訪問的共享　　　　　　　　　內容所有刪除

網絡訪問：可匿名訪問的命名管道　　　　　　　內容所有刪除

網絡訪問：可遠程訪問的註冊表路徑　　　　　　內容所有刪除

網絡訪問：可遠程訪問的註冊表路徑和子路徑　　內容所有刪除

賬戶：重命名來賓賬戶　　　　　　　　　　　　這裏能夠更改guest賬號

賬戶：重命名系統管理員賬戶　　　　　　　　　這裏能夠更改Administrator賬號

D：本地策略>軟件限制策略>其它規則
新建規則不容許運行如下文件: scrrun.dll,shell.dll，QQ.exe,thunder.exe,telnet.exe等等。隨着維護的深刻，逐步追加服務器不須要運行的應用程序。

 

11.新建一無任何權限的假Administrator帳戶

管理工具→計算機管理→系統工具→本地用戶和組→用戶

新建一個Administrator賬戶做爲陷阱賬戶，設置超長密碼，並去掉全部用戶組

更改描述：管理計算機(域)的內置賬戶

 

安全策略的做用

對服務器進行以上的設置和相關策略的制定，能夠有效的增長服務器的自身防護能力，防止黑客利用常見的攻擊手段和方法對服務器進行入侵和破壞。