windows服務(wù)器安全加固方案�,該方案主要針對windows server 2008 r2���,當(dāng)然對于2012等其他系統(tǒng)也是適用的�����。
1
刪除無用賬戶:
使用Win+R鍵調(diào)出運(yùn)行�����,輸入compmgmt.msc->本地用戶和組��,刪除不用的賬戶
確保guest賬戶處于禁用狀態(tài)���,修改管理員默認(rèn)用戶名administrator為其他。
2
增強(qiáng)口令策略:
使用Win+R鍵調(diào)出運(yùn)行�����,輸入secpol.msc->安全設(shè)置
1.安全策略->密碼策略
密碼必須符合復(fù)雜性要求:啟用
密碼長度最小值:8個(gè)字符
密碼最短使用期限:0天
密碼最長使用期限:90天
強(qiáng)制密碼歷史:1個(gè)記住密碼
用可還原的加密來存儲密碼:已禁用
2.本地策略->安全選項(xiàng)
交互式登錄:不顯示最后的用戶名:啟用
3
關(guān)閉不需要的服務(wù):
使用Win+R鍵調(diào)出運(yùn)行����,輸入services.msc.禁用以下服務(wù):
Application Layer Gateway Service
Background Intelligent Transfer Service
Computer Browser
DHCP Client
Diagnostic Policy Service
Distributed Transaction Coordinator
DNS Client
Distributed Link Tracking Client
Remote Registry
Print Spooler
Server
Shell Hardware Detection
TCP/IP NetBIOS Helper
Windows Remote Management
4
關(guān)閉netbios服務(wù)(關(guān)閉139端口):
網(wǎng)絡(luò)連接->本地連接->屬性->Internet協(xié)議版本 4->屬性->高級->WINS->禁用TCP/IP上的NetBIOS。
說明:關(guān)閉此功能���,你服務(wù)器上所有共享服務(wù)功能都將關(guān)閉����,別人在資源管理器中將看不到你的共享資源���。這樣也防止了信息的泄露�����。
5
關(guān)閉網(wǎng)絡(luò)文件和打印共享:網(wǎng)絡(luò)連接->本地連接->屬性�����,把除了“Internet協(xié)議版本 4”以外的東西都勾掉����。
6
關(guān)閉IPV6:
先關(guān)閉網(wǎng)絡(luò)連接->本地連接->屬性->Internet協(xié)議版本 6 (TCP/IPv6)
然后再修改注冊表:HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip6\Parameters���,增加一個(gè)Dword項(xiàng)�����,名字:DisabledComponents�����,值:ffffffff(十六位的8個(gè)f)
7
關(guān)閉microsoft網(wǎng)絡(luò)客戶端(關(guān)閉445端口)
445端口是netbios用來在局域網(wǎng)內(nèi)解析機(jī)器名的服務(wù)端口��,一般服務(wù)器不需要對LAN開放什么共享��,所以可以關(guān)閉����。
修改注冊表:HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NetBT\Parameters,則更加一個(gè)Dword項(xiàng):SMBDeviceEnabled�,值:0
8
關(guān)閉LLMNR(關(guān)閉5355端口)
使用組策略關(guān)閉,運(yùn)行->gpedit.msc->計(jì)算機(jī)配置->管理模板->網(wǎng)絡(luò)->DNS客戶端->關(guān)閉多播名稱解析->啟用
9
增加網(wǎng)絡(luò)訪問限制:
使用Win+R鍵調(diào)出運(yùn)行���,輸入secpol.msc->安全設(shè)置->本地策略->安全選項(xiàng):
網(wǎng)絡(luò)訪問: 不允許 SAM 帳戶的匿名枚舉:已啟用
網(wǎng)絡(luò)訪問: 不允許 SAM 帳戶和共享的匿名枚舉:已啟用
網(wǎng)絡(luò)訪問: 將 Everyone權(quán)限應(yīng)用于匿名用戶:已禁用
帳戶: 使用空密碼的本地帳戶只允許進(jìn)行控制臺登錄:已啟用
10
修改3389遠(yuǎn)程訪問默認(rèn)端口:
1.防火墻中設(shè)置
1.控制面板——windows防火墻——高級設(shè)置——入站規(guī)則——新建規(guī)則——端口——特定端口tcp(如13688)——允許連接
2.完成以上操作之后右擊該條規(guī)則作用域——本地ip地址——任何ip地址——遠(yuǎn)程ip地址——下列ip地址—— 添加管理者ip
同理其它端口可以通過此功能對特定網(wǎng)段屏蔽(如80端口)�。
2.運(yùn)行regedit
2.[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal
Server\Wds \rdpwd\Tds \tcp] 和
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\TerminalServer\WinStations\RDP-TCP]�,看見PortNamber值了嗎?其默認(rèn)值是3389�����,修改成所希望的端口即可,例如13688
3.[HKEY_LOCAL_MACHINE\SYSTEM\CurrentContro1Set\Control\Tenninal
Server\WinStations\ RDP\Tcp]�����,將PortNumber的值(默認(rèn)是3389)修改成端口13688(自定義)��。
11
給Everyone降權(quán):
鼠標(biāo)右鍵系統(tǒng)驅(qū)動器(磁盤)->“屬性”->“安全”����,查看每個(gè)系統(tǒng)驅(qū)動器根目錄是否設(shè)置為Everyone有所有權(quán)限
刪除Everyone的權(quán)限或者取消Everyone的寫權(quán)限
12
增加日志審計(jì):
使用Win+R鍵調(diào)出運(yùn)行��,輸入secpol.msc ->安全設(shè)置->本地策略->審核策略
建議設(shè)置:
審核策略更改:成功
審核登錄事件:成功�����,失敗
審核對象訪問:成功
審核進(jìn)程跟蹤:成功�����,失敗
審核目錄服務(wù)訪問:成功����,失敗
審核系統(tǒng)事件:成功,失敗
審核帳戶登錄事件:成功����,失敗
審核帳戶管理:成功��,失敗
13
關(guān)閉ICMP
在服務(wù)器的控制面板中打開 windows防火墻 �,
點(diǎn)擊 高級設(shè)置->點(diǎn)擊 入站規(guī)則 ——找到 文件和打印機(jī)共享(回顯請求 -
ICMPv4-In) �����,啟用此規(guī)則即是開啟ping�,禁用此規(guī)則IP將禁止其他客戶端ping通,但不影響TCP�����、UDP等連接�。
14
IIS配置為不返回詳細(xì)錯誤信息:
編輯web.config標(biāo)記的“mode”屬性不能設(shè)置為“Off”,這樣用戶能看到異常詳情���。并在IIS角色服務(wù)中去掉目錄瀏覽����、 ASP�����、CGI、在服務(wù)器端包含文件����。
重慶分公司
重慶分公司
