Windows2008服务器安全加固几个注意事项

查看系统版本

Windows Server 2008 r2 Enterprise

用途

Vpn服务器

查看主机名

查看网络配置

操作目的

预防木马及病毒等危害程序

检查方法

检查系统杀软服务是否启动。

加固方法

安装杀毒软件；开启实时监控；设置合适的监控级别；为杀软设置密码。

是否实施

备注

操作目的

安装系统补丁，修补漏洞

检查方法

使用漏扫工具扫描。

加固方法

使用工具自动化打补丁。

是否实施

备注

操作目的

减少系统无用账号，降低风险

检查方法

“Win+R”键调出“运行”->compmgmt.msc（计算机管理）->本地用户和组，查看是否有不用的账号，系统账号所属组是否正确以及guest账号是否锁定

加固方法

使用“net user 用户名 /del”命令删除账号

使用“net user 用户名 /active:no”命令锁定账号

是否实施

备注

检查注册表，预防影子账号。

操作目的

增强口令的复杂度及锁定策略等，降低被暴力破解的可能性

检查方法

“Win+R”键调出“运行”->secpol.msc （本地安全策略）->安全设置

加固方法

1，账户策略->密码策略

密码必须符合复杂性要求：启用

密码长度最小值：8个字符

密码最短使用期限：0天

密码最长使用期限：90天

强制密码历史：1个记住密码

用可还原的加密来存储密码：已禁用

2，账户设置->账户锁定策略

帐户锁定时间：30分钟

帐户锁定阀值：5次无效登录

重置帐户锁定计数器：30分钟

3，本地策略->安全选项

交互式登录：不显示最后的用户名：启用

是否实施

备注

“Win+R”键调出“运行”->gpupdate /force立即生效

操作目的

关闭不需要的服务，减小风险

检查方法

“Win+R”键调出“运行”->services.msc

加固方法

以下服务改为手动

COM+ Event System

DHCP Client

Diagnostic Policy Service

Distributed Transaction Coordinator

DNS Client

Distributed Link Tracking Client

Remote Registry

Print Spooler

Server（不使用文件共享可以关闭）

Shell Hardware Detection

TCP/IP NetBIOS Helper

Windows Update

是否实施

备注

停用服务需谨慎，特别是远程计算机

操作目的

关闭默认共享

检查方法

“Win+R”键调出“运行”->cmd.exe->net share，查看共享

加固方法

关闭C$，D$等默认共享

“Win+R”键调出“运行”->regedit->找到HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters ，新建AutoShareServer（REG_DWORD），键值为0

是否实施

备注

操作目的

网络访问限制

检查方法

“Win+R”键调出“运行”->secpol.msc ->安全设置->本地策略->安全选项

加固方法

网络访问: 不允许 SAM 帐户的匿名枚举：已启用

网络访问: 不允许 SAM 帐户和共享的匿名枚举：已启用

网络访问: 将 Everyone权限应用于匿名用户：已禁用

帐户: 使用空密码的本地帐户只允许进行控制台登录：已启用

是否实施

备注

“Win+R”键调出“运行”->gpupdate /force立即生效

操作目的

增强文件系统安全性

检查方法

查看每个系统驱动器是否使用NTFS文件系统

加固方法

建议使用NTFS文件系统，转换命令：convert <驱动器盘符>: /fs:ntfs

是否实施

备注

操作目的

增强Everyone权限

检查方法

鼠标右键系统驱动器（磁盘）->“属性”->“安全”，查看每个系统驱动器根目录是否设置为Everyone有所有权限

加固方法

删除Everyone的权限或者取消Everyone的写权限

是否实施

备注

操作目的

限制部分命令的权限

检查方法

使用cacls命令或资源管理器查看以下文件权限

加固方法

建议对以下命令做限制，只允许system、Administrator组访问

%systemroot%\system32\cmd.exe

%systemroot%\system32\regsvr32.exe

%systemroot%\system32\tftp.exe

%systemroot%\system32\ftp.exe

%systemroot%\system32\telnet.exe

%systemroot%\system32\net.exe

%systemroot%\system32\net1.exe

%systemroot%\system32\cscript.exe

%systemroot%\system32\wscript.exe

%systemroot%\system32\regedit.exe

%systemroot%\system32\regedt32.exe

%systemroot%\system32\cacls.exe

%systemroot%\system32\command.com

%systemroot%\system32\at.exe

是否实施

备注

可能会影响业务系统正常运行

操作目的

增大日志量大小，避免由于日志文件容量过小导致日志记录不全

检查方法

“Win+R”键调出“运行”->eventvwr.msc ->“windows日志”->查看“应用程序”“安全”“系统”的属性

加固方法

建议设置：

日志上限大小：20480 KB

是否实施

备注

操作目的

对系统事件进行审核，在日后出现故障时用于排查故障

检查方法

“Win+R”键调出“运行”->secpol.msc ->安全设置->本地策略->审核策略

加固方法

建议设置：

审核策略更改：成功

审核登录事件：成功，失败

审核对象访问：成功

审核进程跟踪：成功，失败

审核目录服务访问：成功，失败

审核系统事件：成功，失败

审核帐户登录事件：成功，失败

审核帐户管理：成功，失败

是否实施

备注

“Win+R”键调出“运行”->gpupdate /force立即生效