Windows Server 2008 系统加固

Windows Server 2008 系统加固

 实验目的

通过本次的实验，掌握windows 的安全加固方案，保证服务器的安全。

实验环境

服务器：windows server 2008

   步骤一

账号安全：更改管理员账号

      安装windows server 2008 后，默认会自动创建一个系统管理员账号，即Administrator。许多管理员贪图一时方便，就直接用作自己的账户，因此，许多黑客攻击的服务器的时候总是试图破解Administrator 账户的密码，如果此时密码安全性不高，就很容易被破解。所以，可以更改管理员账户名来避免此类攻击，提高系统安全性。

      以Administrator账户登录本地计算机，开始->运行->compmgmt.msc（计算机管理）->本地用户和组->用户，右击Administrator账户并选择“重命名”，并输入新的账户名称就可以了，但尽量不要用admin 、guanliyuan之类的名称，否则账户安全性一样没有什么保障。

 

如果更改帐户名仍然无法满足安全需求，可以选择将其禁用，然后创建一个普通的管理员账户，用户实现基本的系统或者网络管理、维护功能。

      开始->运行->compmgmt.msc（计算机管理）->本地用户和组->用户窗口中，右击Administrator，选择属性打开属性对话框，选中“账户已禁用”复选框，确认，这样就将Administrator 禁用了。一定要记得重建一个普通的管理员账户，不然将会无法登陆windows。

 

删除无用的账户

      开始->运行->compmgmt.msc（计算机管理）->本地用户和组，查看是否有不用的账号，系统账号所属组是否正确以及guest账号是否锁定。

      如果有不用的账号，应该及时删掉。

      在cmd下使用“net user 用户名 /del”命令删除账号。

      使用“net user 用户名 /active:no”命令锁定账号。

 

 

 

口令策略

      开始->运行->secpol.msc （本地安全策略）->安全设置->账户策略->密码策略

      密码必须符合复杂性要求启用，密码长度最小值至少为8，密码最长使用期限根据情况设定，不要设置太长。强制密码历史设置至少为5，当然可以设置更多。

 

 

 

账户锁定策略

      账户锁定策略可以防止暴力破解的攻击方式，所以，很有必要设置账户锁定策略。

      开始->运行->secpol.msc （本地安全策略）->安全设置->账户设置->账户锁定策略

      复位帐户锁定计数器、账户锁定时间设置为一分钟即可，账户锁定时间不宜设置太长，避免被人恶意攻击而造成自己无法登陆。帐户锁定阀值设置5次即可，不应设置太大。否则起不到好的效果。

 

 

 实验步骤二

文件系统安全：使用NTFS文件系统

      查看每个系统驱动器是否使用NTFS文件系统，如果不是，使用转换命令：convert <驱动器盘符>: /fs:ntfs 。

 

 

 

 

 步骤三

检查Everyone权限

      如果Everyone 组的用户具备完全控制权，则可以对该文件夹或者文件进行所有的文件操作，建议取消Everyone组的完全控制权限。

      查看每个系统驱动器根目录是否设置为Everyone有所有权限，删除Everyone的权限或者取消Everyone的写权限。

 

 

 步骤四

限制命令权限

      WScript.Shell 、Shell.application 这两个组件一般一些ASP木马或一些恶意程序都会使用到。黑客在拿到webshell后，一般都是先通过这两个组件提权，为了服务器安全，应该卸载这些不安全组件。

      regsvr32 /u C:\WINDOWS\System32\wshom.ocx

      regsvr32 /u C:\WINDOWS\system32\shell32.dll

 

 

 

 

 

网络服务安全

      关闭一些不必要的服务和端口，可以大大降低被入侵的风险。

      关闭不必要的服务：开始->运行->services.msc。

      

      

      根据自己的情况来禁用服务，同时应该及时更新应用服务版本。

      关闭端口

      使用netstat 来查看端口使用情况，加上 –a 选项显示所有的连接和监听端口，加上-n以后以数字形式显示地址和端口号。

 开始->运行->secpol.msc （本地安全策略）-> IP安全策略，在本地计算机

      右边的空白位置右击鼠标，弹出快捷菜单，选择 “创建IP安全策略”，弹出向导。在向导中点击下一步，当显示“安全通信请求”时，“激活默认相应规则”左边的复选框留空，点“完成”就创建了一个新的IP安全策略

 

 

 

 

 

 

 

日志及审计的安全性

      Windows Server 2008 系统日志包括：

      1、应用程序日志。应用程序日志包含由应用程序或系统程序记录的时间。

      2、安全日志。安全日志记录着有效和无效的登陆事件，以及与文件操作的其他事件。

      3、系统日志。系统日志包含Windows 系统组件记录的事件。

      4、安装程序日志。安装程序日志，记录在系统安装或者安装微软公司产品时，产生的日志。

 

 

 

 

 

 

 

增强审核

      对系统事件进行审核，在日后出现故障时用于排查故障。

      开始->运行->secpol.msc ->安全设置->本地策略->审核策略

 

 

 

通过这次实验掌握了windows 的安全加固方案，保证服务器的安全。