服务器安全策略之《基本配置》

　　随着计算机软硬件的不断升级完善，服务器以及操做系统也在不断的更新换代，如今愈来愈多的公司或我的选择使用win2008做为服务器的操做系统，所以怎样设置win2008服务器的安全策略正变得愈来愈重要，下面将分享一下在win2008服务器上作安全策略。

1.系统补丁的更新

点击开始菜单—>全部程序—>Windows Update

按照提示进行补丁的安装。

2.修改远程桌面端口：将默认端口3389改成XXXX。如何修改远程桌面端口能够参考 “服务器安全策略之《修改远程桌面端口》”

3.账户：对系统管理员默认账户administrator进行重命名，停用guest用户。

4.共享和发现

右键“网络”-属性-更改高级共享设置--共享和发现

关闭，网络共享，文件共享，公用文件共享，打印机共享全部

5.防火墙的设置

控制面板→Windows防火墙设置（启动防火墙）→更改设置→例外，勾选FTP、HTTP、远程桌面服务 核心网络 HTTPS 3306：Mysql 1433：Mssql；

　　（1）取消网络链接中的文件和打印共享。
　　（2）在例外里面添加远程桌面端口XXX。不然没法在本地远程链接桌面
　　（3）在防火墙高级设置时勾选Web 服务和安全的Web服务。
　　（4）在防火墙开放FTP端口XX。
　　（5）开放短信发送平台端口：XXX

默认开启防火墙后ping命令是禁止的，开启方法以下：

方法1：命令行模式

进入服务器后 点击 开始——运行 输入命令：

netsh firewall set icmpsetting 8 这样就能够在外部ping到服务器了 很是简单实用！

一样道理，若是想禁止Ping，那运行以下命令便可实现：

netsh firewall set icmpsetting 8 disable

方法2：防火墙高级面板方式

1. 进入控制面板——>管理工具——>找到 “高级安全 Windows防火墙”

2. 点击 入站规则

3. 找到 回显请求-ICMPv4-In （Echo Request – ICMPv4-In）

4. 右键 点击规则 点击“启用规则（Enable）”

禁止ping的方法相同

 

6.禁用不须要的和危险的服务，如下列出服务都须要禁用。

打开 控制面板--管理工具--服务（或经过命令services.msc）

Distributed linktracking client 用于局域网更新链接信息

PrintSpooler 打印服务

Remote Registry 远程修改注册表

Server 计算机经过网络的文件、打印、和命名管道共享 （关闭会启动时会报错）

TCP/IP NetBIOS Helper 提供

TCP/IP (NetBT) 服务上的

NetBIOS 和网络上客户端的

NetBIOS 名称解析的支持

Workstation 泄漏系统用户名列表 与Terminal Services Configuration 关联

Computer Browser 维护网络计算机更新 默认已经禁用

Net Logon 域控制器通道管理 默认已经手动

Remote Procedure Call (RPC) Locator RpcNs*远程过程调用 (RPC) 默认已经手动

删除服务sc delete MySql

7.禁止IPC空链接：打开注册表，找到Local_Machine\System\CurrentControlSet\Control\LSA-RestrictAnonymous 把这个值改为”1”便可。

8.删除默认共享：打开注册表，找到HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters，新建 AutoShareServer类型是REG_DWORD把值改成0。

9.组策略配置:gpedit—>计算机配置—>windows设置—>安全设置—>本地策略。
　　（1）在用户权利分配下，从经过网络访问此计算机中删除Power Users和Backup Operators;
　　（2）启用不容许匿名访问SAM账号和共享;
　　（3）启用不容许为网络验证存储凭据或Passport;
　　（4）从文件共享中删除容许匿名登陆的DFS$和COMCFG;
　　（5）启用交互登陆：不显示上次的用户名;
　　（6）启用在下一次密码变动时不存储LANMAN哈希值;
　　（7）禁止IIS匿名用户在本地登陆。

10.本地安全策略设置:
　　开始菜单—>管理工具—>本地安全策略
A、本地策略——>审核策略
　　（1）审核策略更改　成功　失败
　　（2）审核登陆事件　成功　失败
　　（3）审核对象访问失败
　　（4）审核过程跟踪　无审核
　　（5）审核目录服务访问失败
　　（6）审核特权使用失败
　　（7）审核系统事件　成功　失败
　　（8）审核帐户登陆事件　成功　失败
　　（9）审核帐户管理　成功　失败

注：在设置审核登录事件时选择记失败，这样在事件查看器里的安全日志就会记录登录失败的信息。

B、本地策略——>用户权限分配
　　（1）关闭系统：只有Administrators组、其它所有删除。
　　（2）经过终端服务拒绝登录：加入Guests组、IUSR_*****、IWAM_*****、NETWORK SERVICE、SQLDebugger
　　（3）经过终端服务容许登录：加入Administrators、Remote Desktop Users组，其余所有删除

C、本地策略——>安全选项　

交互式登录：不显示最后的用户名　　　　　　　 启用

网络访问：不容许SAM账户的匿名枚举　　 　　 启用 已经启用

网络访问：不容许SAM账户和共享的匿名枚举　　 启用

网络访问：不容许储存网络身份验证的凭据　　　 启用

网络访问：可匿名访问的共享　　　　　　　　　内容所有删除

网络访问：可匿名访问的命名管道　　　　　　　内容所有删除

网络访问：可远程访问的注册表路径　　　　　　内容所有删除

网络访问：可远程访问的注册表路径和子路径　　内容所有删除

账户：重命名来宾账户　　　　　　　　　　　　这里能够更改guest账号

账户：重命名系统管理员账户　　　　　　　　　这里能够更改Administrator账号

D：本地策略>软件限制策略>其它规则
新建规则不容许运行如下文件: scrrun.dll,shell.dll，QQ.exe,thunder.exe,telnet.exe等等。随着维护的深刻，逐步追加服务器不须要运行的应用程序。

 

11.新建一无任何权限的假Administrator帐户

管理工具→计算机管理→系统工具→本地用户和组→用户

新建一个Administrator账户做为陷阱账户，设置超长密码，并去掉全部用户组

更改描述：管理计算机(域)的内置账户

 

安全策略的做用

对服务器进行以上的设置和相关策略的制定，能够有效的增长服务器的自身防护能力，防止黑客利用常见的攻击手段和方法对服务器进行入侵和破坏。