windows server 2008系統加固
賬號安全:更改管理員賬號
更改賬戶名:
以Administrator賬戶登入本地計算機,開始->執行->compmgmt.msc(計算機管理)->本地使用者和組->使用者,右擊Administrator賬戶並選擇“重新命名”,
並輸入新的賬戶名稱就可以了,但儘量不要用admin、guanliyuan之類的名稱,否則賬戶安全性一樣沒有什麼保障
禁用賬戶:
開始->執行->compmgmt.msc(計算機管理)->本地使用者和組->使用者視窗中,右擊Administrator,選擇屬性開啟屬性對話方塊,選中“賬戶已禁用”複選框,
確認,這樣就將Administrator禁用了。
刪除無用的賬戶
開始->執行->compmgmt.msc(計算機管理)->本地使用者和組 -> 使用者,然後選擇要刪除的使用者,右鍵選擇刪除。
在cmd下使用“netuser使用者名稱/del”命令刪除賬號。
使用“netuser使用者名稱/active:no”命令鎖定賬號。
口令策略
開始->執行->secpol.msc(本地安全策略)->安全設定->賬戶策略->密碼策略
密碼必須符合複雜性要求啟用,密碼長度最小值至少為8,密碼最長使用期限根據情況設定,不要設定太長。強制密碼歷史設定至少為5,當然可以設定更多。
賬戶鎖定策略
開始->執行->secpol.msc(本地安全策略)->安全設定->賬戶設定->賬戶鎖定策略
復位帳戶鎖定計數器、賬戶鎖定時間設定為一分鐘即可,賬戶鎖定時間不宜設定太長,避免被人惡意攻擊而造成自己無法登陸。帳戶鎖定閥值設定5次即可,不應設定太大。否則起不到好的效果。
檔案系統安全:使用NTFS檔案系統
檢視每個系統驅動器是否使用NTFS檔案系統,如果不是,使用轉換命令:convert<驅動器碟符>:/fs:ntfs。
檢查Everyone許可權
如果Everyone組的使用者具備完全控制權,則可以對該資料夾或者檔案進行所有的檔案操作,建議取消Everyone組的完全控制權限。
檢視每個系統驅動器根目錄是否設定為Everyone有所有許可權,刪除Everyone的許可權或者取消Everyone的寫許可權。
限制命令許可權
解除安裝這些不安全元件。
regsvr32/uC:\WINDOWS\System32\wshom.ocx
regsvr32/uC:\WINDOWS\system32\shell32.dll
對一些命令做限制。建議對以下命令做限制,只允許system、Administrator組訪問:
網路服務安全
關閉一些不必要的服務和埠,可以大大降低被入侵的風險。
關閉不必要的服務:開始->執行->services.msc。
關閉或遮蔽一些埠
使用netstat來檢視埠使用情況,加上–a選項顯示所有的連線和監聽埠,加上-n以後以數字形式顯示地址和埠號
網路限制
開始->執行->secpol.msc->安全設定->本地策略->安全選項,然後選中要更改的專案,右鍵-> 屬性 進行更改,進行一下設定:
設定完以後,執行gpupdate/force使策略立即生效。
日誌及審計的安全性
WindowsServer2008系統日誌包括:
1、應用程式日誌。應用程式日誌包含由應用程式或系統程式記錄的時間。
2、安全日誌。安全日誌記錄著有效和無效的登陸事件,以及與檔案操作的其他事件。
3、系統日誌。系統日誌包含Windows系統元件記錄的事件。
4、安裝程式日誌。安裝程式日誌,記錄在系統安裝或者安裝微軟公司產品時,產生的日誌。
在cmd輸入eventvwr.msc來開啟事件檢視器
通過檢視日誌,能夠發現登入異常等情況來判斷自己有沒有被入侵或攻擊。系統預設的日誌量較小,應該增大日誌量大小,
避免由於日誌檔案容量過小導致日誌記錄不全。右擊要設定的日誌型別,選擇屬性。
增強稽核
對系統事件進行稽核,在日後出現故障時用於排查故障。
開始->執行->secpol.msc->安全設定->本地策略->稽核策略(操作與網路限制差不多)
建議設定
補丁管理
思考題:
除了上面的講到的,還有哪些加固的方法?(參考自:https://blog.csdn.net/GGxiaobai/article/details/53896062)
1:ipsec策略
以遠端終端為例1.控制面板——windows防火牆——高階設定——入站規則——新建規則——埠——特定埠tcp(如3389)——允許連線 2.完成以上操作之後右擊該條規則作用域——本地ip地址——任何ip地址——遠端ip地址——下列ip地址—— 新增管理者ip 同理其它埠可以通過此功能對特定網段遮蔽(如80埠)
2:關閉檔案和印表機共享
直接停止“server”服務,並設定為禁用,重啟後再右鍵點某個磁碟選屬性,“共享”這個頁面就不存在了。
3:關掉IPv6