Windows Server 2008 系统加固

 

一、账号安全：更改管理员账号：

开始->运行->compmgmt.msc（计算机管理）->本地用户和组->用户，右击Administrator账户并选择重命名

 右击Administrator，选择属性打开属性对话框，选中账户已禁用，需要重建一个普通的管理员账户，不然将会无法登陆windows

cmd下使用“net user 用户名 /del”命令删除账号。

使用“net user 用户名 /active:no”命令锁定账号。

  开始->运行->secpol.msc （本地安全策略）->安全设置->账户策略->密码策略

 

账户锁定策略可以防止暴力破解的攻击方式

开始->运行->secpol.msc （本地安全策略）->安全设置->账户设置->账户锁定策略

 

 

 

 

二、文件系统安全：使用NTFS文件系统

convert <驱动器盘符>: /fs:ntfs (将系统转换器转换为ntfs文件系统)

 

 

 

三、检查Everyone权限

如果Everyone 组的用户具备完全控制权，则可以对该文件夹或者文件进行所有的文件操作，建议取消Everyone组的完全控制权限。

 

 

四、限制命令权限

WScript.Shell 、Shell.application 这两个组件一般一些ASP木马或一些恶意程序都会使用到。为了服务器安全，应该卸载这些不安全组件。

regsvr32 /u C:\WINDOWS\System32\wshom.ocx

regsvr32 /u C:\WINDOWS\system32\shell32.dll

 使用netstat 来查看端口使用情况，加上 –a 选项显示所有的连接和监听端口，加上-n以后以数字形式显示地址和端口号。

 开始->运行->secpol.msc （本地安全策略）-> IP安全策略，在本地计算机

右边的空白位置右击鼠标，选择 “创建IP安全策略”，弹出向导。在向导中点击下一步，当显示“安全通信请求”时，“激活默认相应规则”左边的复选框留空然后完成。

右击刚才创建的IP 安全策略，选择属性，去掉使用添加向导的复选框。

点击左边的添加来添加新的规则，在弹出的新规则属性里点击添加，弹出IP筛选器列表窗口，先把使用添加向导的复选框去掉

点击右边的添加来添加新的筛选器。

在IP 筛选器属性的地址选项里，把源地址设置成任何IP地址，目标地址选择我的IP地址。

在选择协议选项，协议类型选择TCP，然后在到此端口下的文本框输入135，点击确定

 点击筛选器操作选项，去掉使用添加向导复选框，点击添加按钮，在新筛选器操作属性的安全方法中，选择阻止，点击应用，确定。

 开始->运行->secpol.msc ->安全设置->本地策略->安全选项，进行一下设置：

执行gpupdate /force 是策略立即生效

 开始->运行->secpol.msc ->安全设置->本地策略->审核策略， 设置完以后 执行gpupdate /force 使策略生效

 

 

 分析与思考

1.除了上面的讲到的，还有哪些加固的方法？

注册表安全设置