Windows-Server-2008-R2常规安全设置及基本安全策略

整理文档很辛苦,赏杯茶钱您下走!

免费阅读已结束,点击下载阅读编辑剩下 ...

阅读已结束,您可以下载文档离线阅读编辑

资源描述

WindowsServer2008R2常规安全设置及基本安全策略1、目录权限除系统所在分区之外的所有分区都赋予Administrators和SYSTEM有完全控制权,之后再对其下的子目录作单独的目录权限2、远程连接我的电脑属性--〉远程设置--〉远程--〉只允许运行带网络超级身份验证的远程桌面的计算机连接,选择允许运行任意版本远程桌面的计算机连接(较不安全)。备注:方便多种版本Windows远程管理服务器。windowsserver2008的远程桌面连接,与2003相比,引入了网络级身份验证(NLA,networklevelauthentication),XPSP3不支持这种网络级的身份验证,vista跟win7支持。然而在XP系统中修改一下注册表,即可让XPSP3支持网络级身份验证。HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa在右窗口中双击SecurityPakeages,添加一项“tspkg”。HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders,在右窗口中双击SecurityProviders,添加credssp.dll;请注意,在添加这项值时,一定要在原有的值后添加逗号后,别忘了要空一格(英文状态)。然后将XP系统重启一下即可。再查看一下,即可发现XP系统已经支持网络级身份验证3、修改远程访问服务端口更改远程连接端口方法,可用windows自带的计算器将10进制转为16进制。更改3389端口为8208,重启生效!WindowsRegistryEditorVersion5.00[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\TerminalServer\Wds\rdpwd\Tds\tcp]PortNumber=dword:0002010[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\TerminalServer\WinStations\RDP-Tcp]PortNumber=dword:00002010(1)在开始--运行菜单里,输入regedit,进入注册表编辑,按下面的路径进入修改端口的地方(2)HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\TerminalServer\WinStations\RDP-Tcp(3)找到右侧的PortNumber,用十进制方式显示,默认为3389,改为(例如)6666端口(4)HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\TerminalServer\Wds\rdpwd\Tds\tcp(5)找到右侧的PortNumber,用十进制方式显示,默认为3389,改为同上的端口(6)在控制面板--Windows防火墙--高级设置--入站规则--新建规则(7)选择端口--协议和端口--TCP/特定本地端口:同上的端口(8)下一步,选择允许连接(9)下一步,选择公用(10)下一步,名称:远程桌面-新(TCP-In),描述:用于远程桌面服务的入站规则,以允许RDP通信。[TCP同上的端口](11)删除远程桌面(TCP-In)规则(12)重新启动计算机4、配置本地连接网络--〉属性--〉管理网络连接--〉本地连接,打开“本地连接”界面,选择“属性”,左键点击“Microsoft网络客户端”,再点击“卸载”,在弹出的对话框中“是”确认卸载。点击“Microsoft网络的文件和打印机共享”,再点击“卸载”,在弹出的对话框中选择“是”确认卸载。解除Netbios和TCP/IP协议的绑定139端口:打开“本地连接”界面,选择“属性”,在弹出的“属性”框中双击“Internet协议版本(TCP/IPV4)”,点击“属性”,再点击“高级”—“WINS”,选择“禁用TCP/IP上的NETBIOS”,点击“确认”并关闭本地连接属性。禁止默认共享:点击“开始”—“运行”,输入“Regedit”,打开注册表编辑器,打开注册表项“HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters”,在右边的窗口中新建Dword值,名称设为AutoShareServer,值设为“0”。关闭445端口:HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NetBT\Parameters,新建Dword(32位)名称设为SMBDeviceEnabled值设为“0”5、共享和发现右键“网络”属性网络和共享中心共享和发现--关闭,网络共享,文件共享,公用文件共享,打印机共享,显示我正在共享的所有文件和文件夹,显示这台计算机上所有共享的网络文件夹6、用防火墙限制Ping打开该系统的“开始”菜单,从中依次选择“程序”/“管理工具”/“服务器管理器”选项,在弹出的服务器管理器窗口中,依次展开左侧显示区域中的“配置”/“高级安全Windows防火墙”分支选项,进入WindowsServer2008服务器系统的防火墙高级安全设置窗口;用防火墙限制Ping其次从该设置窗口中找到“查看和创建防火墙规则”设置项,单击该设置项下面的“入站规则”选项,右侧操作列表中,单击其中的“新规则”选项,进入防火墙高级安全规则创建向导窗口,当向导窗口提示我们选择创建类型时,我们可以先选中“自定义”选项,并单击“下一步”按钮;之后向导窗口会提示我们该规则应用于所有程序还是特定程序,此时我们可以选中“所有程序”选项,继续单击“下一步”按钮,打开如图3所示的向导设置界面,选中其中的“ICMPv4”选项,再单击“下一步”按钮,紧接着将此规则设置为匹配本地的“任何IP地址”以及远程的“任何IP地址”,再将连接条件参数设置为“阻止连接”,最后依照向导提示设置好适用该规则的具体网络环境,为安全规则取个名称,完毕后重新启动。7、防火墙的设置控制面板→Windows防火墙设置→更改设置→例外,勾选FTP、HTTP、远程桌面服务核心网络HTTPS用不到可以不勾3306:Mysql1433:Mssql8、禁用不需要的和危险的服务,以下列出服务都需要禁用。控制面板管理工具服务Distributedlinktrackingclient用于局域网更新连接信息PrintSpooler打印服务RemoteRegistry远程修改注册表Server计算机通过网络的文件、打印、和命名管道共享TCP/IPNetBIOSHelper提供TCP/IP(NetBT)服务上的NetBIOS和网络上客户端的NetBIOS名称解析的支持Workstation泄漏系统用户名列表与TerminalServicesConfiguration关联ComputerBrowser维护网络计算机更新默认已经禁用NetLogon域控制器通道管理默认已经手动RemoteProcedureCall(RPC)LocatorRpcNs*远程过程调用(RPC)默认已经手动删除服务scdeleteMySql9、安全设置--本地策略--安全选项在运行中输入gpedit.msc回车,打开组策略编辑器,选择计算机配置--Windows设置--安全设置--本地策略--安全选项交互式登陆:不显示最后的用户名启用网络访问:不允许SAM帐户的匿名枚举启用已经启用网络访问:不允许SAM帐户和共享的匿名枚举启用网络访问:不允许储存网络身份验证的凭据启用网络访问:可匿名访问的共享内容全部删除网络访问:可匿名访问的命名管道内容全部删除网络访问:可远程访问的注册表路径内容全部删除网络访问:可远程访问的注册表路径和子路径内容全部删除帐户:重命名来宾帐户这里可以更改guest帐号帐户:重命名系统管理员帐户这里可以更改Administrator帐号10、安全设置--账户策略--账户锁定策略在运行中输入gpedit.msc回车,打开组策略编辑器,选择计算机配置--Windows设置--安全设置--账户策略--账户锁定策略,将账户锁定阈值设为“三次登陆无效”,“锁定时间为30分钟”,“复位锁定计数设为30分钟”。11、本地安全设置选择计算机配置--Windows设置--安全设置--本地策略--用户权限分配关闭系统:只有Administrators组、其它全部删除。通过终端服务拒绝登陆:加入Guests组、IUSR_*****、IWAM_*****、NETWORKSERVICE、SQLDebugger通过终端服务允许登陆:加入Administrators、RemoteDesktopUsers组,其他全部删除12、更改Administrator,guest账户,新建一无任何权限的假Administrator账户管理工具→计算机管理→系统工具→本地用户和组→用户新建一个Administrator帐户作为陷阱帐户,设置超长密码,并去掉所有用户组更改描述:管理计算机(域)的内置帐户13、密码策略选择计算机配置--Windows设置--安全设置--密码策略启动密码必须符合复杂性要求最短密码长度14、禁用DCOM(冲击波病毒RPC/DCOM漏洞)运行Dcomcnfg.exe。控制台根节点→组件服务→计算机→右键单击“我的电脑”→属性”→默认属性”选项卡→清除“在这台计算机上启用分布式COM”复选框。15、ASP漏洞主要是卸载WScript.Shell和Shell.application组件,是否删除看是否必要。regsvr32/uC:\WINDOWS\System32\wshom.ocxregsvr32/uC:\WINDOWS\system32\shell32.dll删除可能权限不够delC:\WINDOWS\System32\wshom.ocxdelC:\WINDOWS\system32\shell32.dll如果确实要使用,或者也可以给它们改个名字。WScript.Shell可以调用系统内核运行DOS基本命令可以通过修改注册表,将此组件改名,来防止此类木马的危害。HKEY_CLASSES_ROOT\WScript.Shell\及HKEY_CLASSES_ROOT\WScript.Shell.1\改名为其它的名字,如:改为WScript.Shell_ChangeName或WScript.Shell.1_ChangeName自己以后调用的时候使用这个就可以正常调用此组件了也要将clsid值也改一下HKEY_CLASSES_ROOT\WScript.Shell\CLSID\项目的值HKEY_CLASSES_ROOT\WScript.Shell.1\CLSID\项目的值也可以将其删除,来防止此类木马的危害。Shell.Application可以调用系统内核运行DOS基本命令可以通过修改注册表,将此组件改名,来防止此类木马的危害。HKEY_CLASSES_ROOT\Shell.Application\及HKEY_CLASSES_ROOT\Shell.Application.1\改名为其它的名字,如:改为Shell.Application_ChangeName或Shell.Application.1_ChangeName自己以后调用的时候使用这个就可以正常调用此组件了也要将clsid值也改一下HKEY_CLASSES_ROOT\Shell.Application\CLSID\项目的值HKEY_CLASSES_ROOT\Shell.Application\CLSID\项目的值也可以将其删除,来防止此类木马的危害。禁止Guest用户使用shell32.dll来防止调用此组件。2000使用命令:caclsC:\WINNT\system

1 / 14
下载文档,编辑使用

©2015-2020 m.777doc.com 三七文档.

备案号:鲁ICP备2024069028号-1 客服联系 QQ:2149211541

×
保存成功