Windows 服務器系統安全防護加固方法

Windows 服務器系統安全防護加固方法

• 更新：

  2017-06-01 19:24

windows服務器安全加固方案，該方案主要針對windows server 2008 r2，固然對於2012等其餘系統也是適用的。

1. 1

   刪除無用帳戶：

   使用Win+R鍵調出運行，輸入compmgmt.msc->本地用戶和組，刪除不用的帳戶

   確保guest帳戶處於禁用狀態，修改管理員默認用戶名administrator爲其餘。

2. 2

   加強口令策略:

   使用Win+R鍵調出運行，輸入secpol.msc->安全設置

   1.安全策略->密碼策略

   密碼必須符合複雜性要求：啓用

   密碼長度最小值：8個字符

   密碼最短使用期限：0天

   密碼最長使用期限：90天

   強制密碼歷史：1個記住密碼

   用可還原的加密來存儲密碼：已禁用

   2.本地策略->安全選項

   交互式登陸：不顯示最後的用戶名：啓用

3. 3

   關閉不須要的服務：

   使用Win+R鍵調出運行，輸入services.msc.禁用如下服務：

   Application  Layer Gateway Service

   Background  Intelligent Transfer Service

   Computer Browser

   DHCP Client

   Diagnostic Policy Service

   Distributed Transaction Coordinator

   DNS Client

   Distributed Link Tracking Client

   Remote Registry

   Print Spooler

   Server

   Shell Hardware Detection

   TCP/IP NetBIOS Helper

   Windows Remote Management

4. 4

   關閉netbios服務（關閉139端口）：

   網絡鏈接->本地鏈接->屬性->Internet協議版本 4->屬性->高級->WINS->禁用TCP/IP上的NetBIOS。

   說明：關閉此功能，你服務器上全部共享服務功能都將關閉，別人在資源管理器中將看不到你的共享資源。這樣也防止了信息的泄露。

5. 5

   關閉網絡文件和打印共享：網絡鏈接->本地鏈接->屬性，把除了「Internet協議版本 4」之外的東西都勾掉。

6. 6

   關閉IPV6：

   先關閉網絡鏈接->本地鏈接->屬性->Internet協議版本 6 (TCP/IPv6)

   而後再修改註冊表：HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip6\Parameters，增長一個Dword項，名字：DisabledComponents，值：ffffffff（十六位的8個f）

7. 7

   關閉microsoft網絡客戶端（關閉445端口）

   445端口是netbios用來在局域網內解析機器名的服務端口，通常服務器不須要對LAN開放什麼共享，因此能夠關閉。

   修改註冊表：HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NetBT\Parameters，則更加一個Dword項：SMBDeviceEnabled，值：0

8. 8

   關閉LLMNR（關閉5355端口）

   使用組策略關閉，運行->gpedit.msc->計算機配置->管理模板->網絡->DNS客戶端->關閉多播名稱解析->啓用

9. 9

   增長網絡訪問限制：

   使用Win+R鍵調出運行，輸入secpol.msc->安全設置->本地策略->安全選項:

   網絡訪問: 不容許 SAM 賬戶的匿名枚舉：已啓用

   網絡訪問: 不容許 SAM 賬戶和共享的匿名枚舉：已啓用

   網絡訪問: 將 Everyone權限應用於匿名用戶：已禁用

   賬戶: 使用空密碼的本地賬戶只容許進行控制檯登陸：已啓用

10. 10

    修改3389遠程訪問默認端口：

    1.防火牆中設置

    1.控制面板——windows防火牆——高級設置——入站規則——新建規則——端口——特定端口tcp（如13688）——容許鏈接 2.完成以上操做以後右擊該條規則做用域——本地ip地址——任何ip地址——遠程ip地址——下列ip地址—— 添加管理者ip 同理其它端口能夠經過此功能對特定網段屏蔽（如80端口）。

    2.運行regedit 2.[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\Wds \rdpwd\Tds \tcp] 和 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\TerminalServer\WinStations\RDP-TCP]，看見PortNamber值了嗎？其默認值是3389，修改爲所但願的端口便可，例如13688

    3.[HKEY_LOCAL_MACHINE\SYSTEM\CurrentContro1Set\Control\Tenninal Server\WinStations\ RDP\Tcp]，將PortNumber的值（默認是3389）修改爲端口13688（自定義）。

11. 11

    給Everyone降權：

    鼠標右鍵系統驅動器（磁盤）->「屬性」->「安全」，查看每一個系統驅動器根目錄是否設置爲Everyone有全部權限

    刪除Everyone的權限或者取消Everyone的寫權限

12. 12

    增長日誌審計：

    使用Win+R鍵調出運行，輸入secpol.msc ->安全設置->本地策略->審覈策略

    建議設置：

    審覈策略更改：成功

    審覈登陸事件：成功，失敗

    審覈對象訪問：成功

    審覈進程跟蹤：成功，失敗

    審覈目錄服務訪問：成功，失敗

    審覈系統事件：成功，失敗

    審覈賬戶登陸事件：成功，失敗

    審覈賬戶管理：成功，失敗

13. 13

    關閉ICMP

    在服務器的控制面板中打開 windows防火牆 ， 點擊 高級設置->點擊 入站規則 ——找到 文件和打印機共享(回顯請求 - ICMPv4-In) ，啓用此規則便是開啓ping，禁用此規則IP將禁止其餘客戶端ping通，但不影響TCP、UDP等鏈接。

14. 14

    IIS配置爲不返回詳細錯誤信息：

    編輯web.config<customErrors>標記的「mode」屬性不能設置爲「Off」，這樣用戶能看到異常詳情。並在IIS角色服務中去掉目錄瀏覽、 ASP、CGI、在服務器端包含文件。