Windows Server 2008 系统加固(学习笔记)
(一)预先了解的知识
Windows server 2008 是微软公司的服务器操作系统,相对于即将失去官方支持的windows server 2003,windows server 2008 不仅系统和网络功能有了一定的扩展,更重要的是安全性也有了很大提高。Windows Updata 、windows 防火墙、安全配置向导、防间谍软件等功能,可以帮助用户做好基本的安全防护工作。若想完全利用这些功能,打造一个相对安全的服务器操作系统,就必须根据需要进行相应的设置。
(二)账号安全:更改管理员账号
许多管理员贪图一时方便,就直接用作自己的账户,因此,许多黑客攻击的服务器的时候总是试图破解Administrator 账户的密码,如果此时密码安全性不高,就很容易被破解。所以,可以更改管理员账户名来避免此类攻击,提高系统安全性。以Administrator账户登录本地计算机,开始->运行->compmgmt.msc(计算机管理)->本地用户和组->用户,右击Administrator账户并选择“重命名”,并输入新的账户名称就可以了,但尽量不要用admin 、guanliyuan之类的名称,否则账户安全性一样没有什么保障。
如果更改帐户名仍然无法满足安全需求,可以选择将其禁用,然后创建一个普通的管理员账户,用户实现基本的系统或者网络管理、维护功能。
开始->运行->compmgmt.msc(计算机管理)->本地用户和组->用户窗口中,右击Administrator,选择属性打开属性对话框,选中“账户已禁用”复选框,确认,这样就将Administrator禁用了。一定要记得重建一个普通的管理员账户,不然将会无法登陆windows。
(三)删除无用的账户
开始->运行->compmgmt.msc(计算机管理)->本地用户和组,查看是否有不用的账号,系统账号所属组是否正确以及guest账号是否锁定。
如果有不用的账号,应该及时删掉。
在cmd下使用“net user 用户名 /del”命令删除账号。
使用“net user 用户名 /active:no”命令锁定账号。
(四)口令策略
开始->运行->secpol.msc (本地安全策略)->安全设置->账户策略->密码策略
密码必须符合复杂性要求启用,密码长度最小值至少为8,密码最长使用期限根据情况设定,不要设置太长。强制密码历史设置至少为5,当然可以设置更多。
账户锁定策略可以防止暴力破解的攻击方式,所以,很有必要设置账户锁定策略。
开始->运行->secpol.msc (本地安全策略)->安全设置->账户设置->账户锁定策略
复位帐户锁定计数器、账户锁定时间设置为一分钟即可,账户锁定时间不宜设置太长,避免被人恶意攻击而造成自己无法登陆。帐户锁定阀值设置5次即可,不应设置太大。否则起不到好的效果。
(五)文件系统安全:使用NTFS文件系统
查看每个系统驱动器是否使用NTFS文件系统,如果不是,使用转换命令:convert <驱动器盘符>: /fs:ntfs 。
此步骤不可逆,如果需要重新改回FAT32,需要重新格式化硬盘。
Windows server 2008 操作系统对NTFS 卷及其包含的目录或者文件提供了权限设置,分别是完全控制、修改、读取和运行、列出文件夹目录、读取、写入和特殊权限7个权限。
(六)检查Everyone权限
如果Everyone 组的用户具备完全控制权,则可以对该文件夹或者文件进行所有的文件操作,取消Everyone组的完全控制权限。
查看每个系统驱动器根目录是否设置为Everyone有所有权限,删除Everyone的权限或者取消Everyone的写权限。
(七)限制命令权限
WScript.Shell 、Shell.application 这两个组件一般一些ASP木马或一些恶意程序都会使用到。黑客在拿到webshell后,一般都是先通过这两个组件提权,为了服务器安全,应该卸载这些不安全组件。
regsvr32 /u C:\WINDOWS\System32\wshom.ocx
regsvr32 /u C:\WINDOWS\system32\shell32.dll
除了卸载不安全组件外,我们还应该对一些命令做限制。对以下命令做限制,只允许system、Administrator组访问:
找到对应的文件,把其他用户的权限去掉,只留下system、Administrator 组的访问权限。
(八)网络服务安全
关闭一些不必要的服务和端口,可以大大降低被入侵的风险。
关闭不必要的服务:开始->运行->services.msc。
关闭端口,使用netstat 来查看端口使用情况,加上 –a 选项显示所有的连接和监听端口,加上-n以后以数字形式显示地址和端口号。
Listening 状态的表示正在监听,等待连接。
开始->运行->secpol.msc (本地安全策略)-> IP安全策略,在本地计算机
右边的空白位置右击鼠标,弹出快捷菜单,选择 “创建IP安全策略”,弹出向导。在向导中点击下一步,当显示“安全通信请求”时,“激活默认相应规则”左边的复选框留空,点“完成”就创建了一个新的IP安全策略。
(九)日志及审计的安全性
Windows Server 2008 系统日志包括:
1、应用程序日志。应用程序日志包含由应用程序或系统程序记录的时间。
2、安全日志。安全日志记录着有效和无效的登陆事件,以及与文件操作的其他事件。
3、系统日志。系统日志包含Windows 系统组件记录的事件。
4、安装程序日志。安装程序日志,记录在系统安装或者安装微软公司产品时,产生的日志。
在cmd输入eventvwr.msc 来打开事件查看器