Windows Server 2008 系统加固

系统加固方法

1、账号安全

更改管理员账号

具体操作： 以Administrator账户登录本地计算机，开始->运行->compmgmt.msc（计算机管理）->本地用户和组->用户，右击Administrator账户并选择“重命名”。

也可以选择禁用Administrator账户，禁用后一定要创建一个普通的管理员账户，否则无法登录windows。

 

删除无用账户

具体操作：开始->运行->compmgmt.msc（计算机管理）->本地用户和组，查看是否有不用的账号，系统账号所属组是否正确以及guest账号是否锁定。如果有应及时删掉。

 

删除操作：在cmd下使用“net user 用户名 /del”命令删除账号。使用“net user 用户名 /active:no”命令锁定账号。  也可以直接右击要删除的用户，选择删除。

 

2、口令策略

查看方式：开始->运行->secpol.msc （本地安全策略）->安全设置->账户策略->密码策略

 

3、账户锁定策略

查看方式：开始->运行->secpol.msc （本地安全策略）->安全设置->账户设置->账户锁定策略

 

4、文件系统安全：使用NTFS文件系统

转化文件系统命令：convert <驱动器盘符>: /fs:ntfs 。

 

5、检查everone权限

查看每个系统驱动器根目录是否设置为Everyone有所有权限，删除Everyone的权限或者取消Everyone的写权限。

 

6、限制命令权限

卸载不安全组件：WScript.Shell 、Shell.application 

方法指令：

regsvr32 /u C:\WINDOWS\System32\wshom.ocx

 

regsvr32 /u C:\WINDOWS\system32\shell32.dll

 

 

对以下命令做限制，只允许system、Administrator组访问：

 

 

 

7、网络服务安全

关闭不必要的服务

方法：开始->运行->services.msc。

 

 

 

 

关闭端口

查看端口：netstat -an

 –a 表示显示所有的连接和监听端口；-n表示以数字形式显示地址和端口号。

Listening 状态的表示正在监听，等待连接。

 

屏蔽端口方法方法：开始->运行->secpol.msc （本地安全策略）-> IP安全策略，在本地计算机

右边的空白位置右击鼠标，弹出快捷菜单，选择 “创建IP安全策略”，弹出向导。在向导中点击下一步，当显示“安全通信请求”时，“激活默认相应规则”左边的复选框留空，点“完成”就创建了一个新的IP安全策略。

右击刚才创建的IP 安全策略，选择属性，去掉使用添加向导的复选框。

点击左边的添加来添加新的规则，在弹出的新规则属性里点击添加，弹出IP筛选器列表窗口，先把使用添加向导的复选框去掉。

点击右边的添加来添加新的筛选器。

在IP 筛选器属性的地址选项里，把源地址设置成任何IP地址，目标地址选择我的IP地址。

在选择协议选项，协议类型选择TCP，然后在到此端口下的文本框输入135，点击确定。

在新规则属性对话框中，选择刚才我们新建的筛选器，点击左边的复选框，点击应用。

点击筛选器操作选项，去掉使用添加向导复选框，点击添加按钮，在新筛选器操作属性的安全方法中，选择阻止，点击应用，确定。

在筛选器操作选项卡中，把刚添加的筛选器操作复选框选中。

最后在新IP安全策略属性对话框中，把我们刚新建的IP筛选器列表前的复选框选中，点击确定。

这样就把一些端口屏蔽掉了。

 

网络限制

方法：开始->运行->secpol.msc ->安全设置->本地策略->安全选项，进行一下设置：

 

  

 

  

 

设置完以后，执行gpupdate /force 使策略立即生效。  

 

8、日记及审计的安全性

Windows Server 2008 系统日志包括：

1、应用程序日志。应用程序日志包含由应用程序或系统程序记录的时间。

2、安全日志。安全日志记录着有效和无效的登陆事件，以及与文件操作的其他事件。

3、系统日志。系统日志包含Windows 系统组件记录的事件。

4、安装程序日志。安装程序日志，记录在系统安装或者安装微软公司产品时，产生的日志。

打开事件查看器的方法：在命令提示窗口中输入eventvwr.msc

通过查看日志，能够发现登录异常等情况来判断自己有没有被入侵或攻击。系统默认的日志量较小，应该增大日志量大小，避免由于日志文件容量过小导致日志记录不全。右击要设置的日志类型，选择属性。

 

增强审核

目的：对系统事件进行审核，在日后出现故障时用于排查故障。

方法：开始->运行->secpol.msc ->安全设置->本地策略->审核策略 

设置完以后 执行gpupdate /force 使策略生效。

 

建议设置

 

 

 

  

 

 

9、补丁更新

 

----------------------------------------------------------------------------------------------------------------------------------------------------

 

操作截图

 

 

分析与思考（参考自Windows server 2008 R2 服务器系统安全防御加固方法_win服务器_脚本之家 (jb51.net)）

1、除了上面的讲到的，还有哪些加固的方法？

更改默认端口号

设置NTFS权限

删除默认共享

IPSec策略