随着计算机软硬件的不断升级完善,服务器以及操作系统也在不断的更新换代,现在越来越多的公司或个人选择使用win2008作为服务器的操作系统,因此怎样设置win2008服务器的安全策略正变得越来越重要,下面将分享一下在win2008服务器上做安全策略。
1.系统补丁的更新
点击开始菜单—>所有程序—>Windows Update
按照提示进行补丁的安装。
2.修改远程桌面端口:将默认端口3389改为XXXX。如何修改远程桌面端口可以参考 “服务器安全策略之《修改远程桌面端口》”
3.帐户:对系统管理员默认帐户administrator进行重命名,停用guest用户。
4.共享和发现
右键“网络”-属性-更改高级共享设置--共享和发现
关闭,网络共享,文件共享,公用文件共享,打印机共享所有
5.防火墙的设置
控制面板→Windows防火墙设置(启动防火墙)→更改设置→例外,勾选FTP、HTTP、远程桌面服务 核心网络 HTTPS 3306:Mysql 1433:Mssql;
(1)取消网络连接中的文件和打印共享。
(2)在例外里面添加远程桌面端口XXX。否则无法在本地远程连接桌面
(3)在防火墙高级设置时勾选Web 服务和安全的Web服务。
(4)在防火墙开放FTP端口XX。
(5)开放短信发送平台端口:XXX
默认开启防火墙后ping命令是禁止的,开启方法如下:
方法1:命令行模式
进入服务器后 点击 开始——运行 输入命令:
netsh firewall set icmpsetting 8 这样就可以在外部ping到服务器了 非常简单实用!
同样道理,如果想禁止Ping,那运行如下命令即可实现:
netsh firewall set icmpsetting 8 disable
方法2:防火墙高级面板方式
1. 进入控制面板——>管理工具——>找到 “高级安全 Windows防火墙”
2. 点击 入站规则
3. 找到 回显请求-ICMPv4-In (Echo Request – ICMPv4-In)
4. 右键 点击规则 点击“启用规则(Enable)”
禁止ping的方法相同
6.禁用不需要的和危险的服务,以下列出服务都需要禁用。
打开 控制面板--管理工具--服务(或通过命令services.msc)
Distributed linktracking client 用于局域网更新连接信息
PrintSpooler 打印服务
Remote Registry 远程修改注册表
Server 计算机通过网络的文件、打印、和命名管道共享 (关闭会启动时会报错)
TCP/IP NetBIOS Helper 提供
TCP/IP (NetBT) 服务上的
NetBIOS 和网络上客户端的
NetBIOS 名称解析的支持
Workstation 泄漏系统用户名列表 与Terminal Services Configuration 关联
Computer Browser 维护网络计算机更新 默认已经禁用
Net Logon 域控制器通道管理 默认已经手动
Remote Procedure Call (RPC) Locator RpcNs*远程过程调用 (RPC) 默认已经手动
删除服务sc delete MySql
7.禁止IPC空连接:打开注册表,找到Local_MachineSystemCurrentControlSetControlLSA-RestrictAnonymous 把这个值改成”1”即可。
8.删除默认共享:打开注册表,找到HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesLanmanServerParameters,新建 AutoShareServer类型是REG_DWORD把值改为0。
9.组策略配置:gpedit—>计算机配置—>windows设置—>安全设置—>本地策略。
(1)在用户权利分配下,从通过网络访问此计算机中删除Power Users和Backup Operators;
(2)启用不允许匿名访问SAM帐号和共享;
(3)启用不允许为网络验证存储凭据或Passport;
(4)从文件共享中删除允许匿名登录的DFS$和COMCFG;
(5)启用交互登录:不显示上次的用户名;
(6)启用在下一次密码变更时不存储LANMAN哈希值;
(7)禁止IIS匿名用户在本地登录。
10.本地安全策略设置:
开始菜单—>管理工具—>本地安全策略
A、本地策略——>审核策略
(1)审核策略更改 成功 失败
(2)审核登录事件 成功 失败
(3)审核对象访问失败
(4)审核过程跟踪 无审核
(5)审核目录服务访问失败
(6)审核特权使用失败
(7)审核系统事件 成功 失败
(8)审核账户登录事件 成功 失败
(9)审核账户管理 成功 失败
注:在设置审核登陆事件时选择记失败,这样在事件查看器里的安全日志就会记录登陆失败的信息。
B、本地策略——>用户权限分配
(1)关闭系统:只有Administrators组、其它全部删除。
(2)通过终端服务拒绝登陆:加入Guests组、IUSR_*****、IWAM_*****、NETWORK SERVICE、SQLDebugger
(3)通过终端服务允许登陆:加入Administrators、Remote Desktop Users组,其他全部删除
C、本地策略——>安全选项
交互式登陆:不显示最后的用户名 启用
网络访问:不允许SAM帐户的匿名枚举 启用 已经启用
网络访问:不允许SAM帐户和共享的匿名枚举 启用
网络访问:不允许储存网络身份验证的凭据 启用
网络访问:可匿名访问的共享 内容全部删除
网络访问:可匿名访问的命名管道 内容全部删除
网络访问:可远程访问的注册表路径 内容全部删除
网络访问:可远程访问的注册表路径和子路径 内容全部删除
帐户:重命名来宾帐户 这里可以更改guest帐号
帐户:重命名系统管理员帐户 这里可以更改Administrator帐号
D:本地策略>软件限制策略>其它规则
新建规则不允许运行以下文件: scrrun.dll,shell.dll,QQ.exe,thunder.exe,telnet.exe等等。随着维护的深入,逐步追加服务器不需要运行的应用程序。
11.新建一无任何权限的假Administrator账户
管理工具→计算机管理→系统工具→本地用户和组→用户
新建一个Administrator帐户作为陷阱帐户,设置超长密码,并去掉所有用户组
更改描述:管理计算机(域)的内置帐户
安全策略的作用
对服务器进行以上的设置和相关策略的制定,可以有效的增加服务器的自身防御能力,防止黑客利用常见的攻击手段和方法对服务器进行入侵和破坏。