笔记整理：Windows Server 2008 系统加固

实验目的

通过本次的实验，掌握windows 的安全加固方案，保证服务器的安全。

 

实验步骤一

账号安全：

一、更改管理员账号

      原因：安装windows server 2008 后，默认会自动创建一个系统管理员账号，即Administrator。许多黑客攻击的服务器的时候总是试图破解Administrator 账户的密码，如果此时密码安全性不高，就很容易被破解。所以，可以更改管理员账户名来避免此类攻击，提高系统安全性。

      更改管理员账号：以Administrator账户登录本地计算机，开始->运行->compmgmt.msc（计算机管理）->本地用户和组->用户，右击Administrator账户并选择“重命名”，并输入新的账户名称就可以了，但尽量不要用admin 、guanliyuan之类的名称。

      禁用管理员账号：开始->运行->compmgmt.msc（计算机管理）->本地用户和组->用户窗口中，右击Administrator，选择属性打开属性对话框，选中“账户已禁用”复选框，确认，这样就将Administrator 禁用了。一定要记得重建一个普通的管理员账户，不然将会无法登陆windows。

          

二、删除无用的账户

      方法：

　　①开始->运行->compmgmt.msc（计算机管理）->本地用户和组，查看是否有不用的账号，系统账号所属组是否正确以及guest账号是否锁定。

          在cmd下使用“net user 用户名 /del”命令删除账号。

          使用“net user 用户名 /active:no”命令锁定账号。

      ②也可以直接右击要删除的用户，选择删除。

      

三、口令策略

      方法：开始->运行->secpol.msc （本地安全策略）->安全设置->账户策略->密码策略

      

四、账户锁定策略

      账户锁定策略可以防止暴力破解的攻击方式，所以，很有必要设置账户锁定策略。

      方法：开始->运行->secpol.msc （本地安全策略）->安全设置->账户设置->账户锁定策略

      复位帐户锁定计数器、账户锁定时间设置为一分钟即可，账户锁定时间不宜设置太长，避免被人恶意攻击而造成自己无法登陆。帐户锁定阀值设置5次即可，不应设置太大。否则起不到好的效果。

      

实验步骤二

文件系统安全：使用NTFS文件系统

      转换命令：convert <驱动器盘符>: /fs:ntfs 。

　　此步骤不可逆，如果需要重新改回FAT32，需要重新格式化硬盘。

      在NTFS 磁盘分区上的每一个文件和文件夹，NTFS 都存储一个访问控制列表（Access Control List，ACL）。ACL中包含那些被授权访问该文件或者文件夹的所有用户账号、组和计算机，还包含他们被授予的访问类型。

      Windows server 2008 操作系统对NTFS 卷及其包含的目录或者文件提供了权限设置，分别是完全控制、修改、读取和运行、列出文件夹目录、读取、写入和特殊权限7个权限。

         

实验步骤三

检查Everyone权限

      如果Everyone 组的用户具备完全控制权，则可以对该文件夹或者文件进行所有的文件操作，建议取消Everyone组的完全控制权限。查看每个系统驱动器根目录是否设置为Everyone有所有权限，删除Everyone的权限或者取消Everyone的写权限。默认状态下，所有用户对于新创建的文件共享都拥有完全控制权限。

      更改：右键属性->安全->高级->编辑->选中everyone->编辑->勾选/取消权限

           

实验步骤四

一、限制命令权限

      卸载不安全组件：

      regsvr32 /u C:\WINDOWS\System32\wshom.ocx

      regsvr32 /u C:\WINDOWS\system32\shell32.dll

      对一些命令做限制：建议对以下命令做限制，只允许system、Administrator组访问。

      

　　（cmd右键属性->高级->编辑->取消勾选->删除->一路确定）

　　

　　（接上一步->编辑->添加->高级->自动查找->选择想要添加的->一路确定）

　　

　　

二、网络服务安全

      关闭不必要的服务：开始->运行->services.msc。

         

      

      关闭端口：

　　使用netstat 来查看端口使用情况，加上 –a 选项显示所有的连接和监听端口，加上-n以后以数字形式显示地址和端口号。

       Listening 状态的表示正在监听，等待连接。

　　

      开始->运行->secpol.msc （本地安全策略）-> IP安全策略，在本地计算机

      右边的空白位置右击鼠标，弹出快捷菜单，选择 “创建IP安全策略”，弹出向导。在向导中点击下一步，当显示“安全通信请求”时，“激活默认相应规则”左边的复选框留空，点“完成”就创建了一个新的IP安全策略。

      右击刚才创建的IP 安全策略，选择属性，去掉使用添加向导的复选框。

      点击左边的添加来添加新的规则，在弹出的新规则属性里点击添加，弹出IP筛选器列表窗口，先把使用添加向导的复选框去掉

      点击右边的添加来添加新的筛选器。

      在IP 筛选器属性的地址选项里，把源地址设置成任何IP地址，目标地址选择我的IP地址。

      在选择协议选项，协议类型选择TCP，然后在到此端口下的文本框输入135，点击确定。

      点击确定，这样就添加了一个屏蔽TCP135 端口的筛选器，可以防止别人通过135端口连接服务器，重复上面的步骤，把需要屏蔽的端口都建立相应的筛选器，协议类型要选择对应的类型。

      在新规则属性对话框中，选择刚才我们新建的筛选器，点击左边的复选框，点击应用。

      点击筛选器操作选项，去掉使用添加向导复选框，点击添加按钮，在新筛选器操作属性的安全方法中，选择阻止，点击应用，确定。

      在筛选器操作选项卡中，把刚添加的筛选器操作复选框选中。

      最后在新IP安全策略属性对话框中，把我们刚新建的IP筛选器列表前的复选框选中，点击确定。

      这样就把一些端口屏蔽掉了。

         

      网络限制：

　　开始->运行->secpol.msc ->安全设置->本地策略->安全选项，进行一下设置：

      

      

      设置完以后，执行gpupdate /force 是策略立即生效。  

      

日志及审计的安全性

      Windows Server 2008 系统日志包括：

      1、应用程序日志。应用程序日志包含由应用程序或系统程序记录的时间。

      2、安全日志。安全日志记录着有效和无效的登陆事件，以及与文件操作的其他事件。

      3、系统日志。系统日志包含Windows 系统组件记录的事件。

      4、安装程序日志。安装程序日志，记录在系统安装或者安装微软公司产品时，产生的日志。

      在cmd输入eventvwr.msc 来打开事件查看器

      通过查看日志，能够发现登录异常等情况来判断自己有没有被入侵或攻击。系统默认的日志量较小，应该增大日志量大小，避免由于日志文件容量过小导致日志记录不全。右击要设置的日志类型，选择属性。

              

              

      增强审核：

      对系统事件进行审核，在日后出现故障时用于排查故障。

      开始->运行->secpol.msc ->安全设置->本地策略->审核策略

      建议设置

      

      

      设置完以后 执行gpupdate /force 使策略生效。

补丁管理

      做了上面的设置以后，我们应该及时更新补丁，保证系统本身不会有漏洞，下载补丁要从可靠的地方下载，最好从官网下载，安装补丁建议手动安装，有些补丁会引起业务的不稳定。

      除了上面讲到的，还要靠管理员在日常管理中发现问题并及时修补才能保证服务器的安全。

 

 

 

分析与思考

1、除了上面的讲到的，还有哪些加固的方法？

锁定系统中不必要的系统用户和组