Server系统安全加固.docx

Server系统安全加固.docx

《Server系统安全加固.docx》由会员分享，可在线阅读，更多相关《Server系统安全加固.docx（26页珍藏版）》请在冰豆网上搜索。

Server系统安全加固

为安装Windowsserver操作系统的服务器进行系统安全加固

操作系统基本安全加固

补丁安装

使用Windowsupdate安装最新补丁

或者使用第三方软件安装补丁,如360安全卫士

系统帐户、密码策略

1.帐户密码策略修改

“本地计算机”策→计算机配置→windows设置→安全设置→密码策略

密码长度最小值7字符

密码最长存留期90天

密码最短存留期30天

密码必须符合复杂性要求启用

保障帐号以及口令的安全，但是设置帐号策略后可能导致不符合帐号策略的帐号无法登录，需修改不符合帐号策略的密码（注：

管理员不受帐号策略限制，但管理员密码应复杂以避免被暴力猜测导致安全风险）

2.帐户锁定策略

账户锁定时间30分钟

账户锁定阈值5次无效登录

复位账户锁定计数器30分钟

有效的防止攻击者猜出您账户的密码

3.更改默认管理员用户名

“本地计算机”策→计算机配置→windows设置→安全设置→本地策略→安全选项

帐户:

重命名管理员帐户

默认管理员帐号可能被攻击者用来进行密码暴力猜测，可能由于太多的错误密码尝试导致该帐户被锁定。

建议修改默认管理员用户名

4.系统默认账户安全

Guest帐户必须禁用；如有特殊需要保留也一定要重命名

TSInternetUser此帐户是为了“TerminalServicesInternetConnectorLicense”使用而存在的，故帐户必须禁用，不会对于正常的TerminalServices的功能有影响

SUPPORT_388945a0此帐户是为了IT帮助和支持服务，此帐户必须禁用

IUSR_{system}必须只能是Guest组的成员，此帐户为IIS（InternetInformationServer）服务建立

IWAM_{system}必须只能是Guest组的成员，此帐户为IIS（InternetInformationServer）服务建立

日志审核策略

“本地计算机”策→计算机配置→windows设置→安全设置→本地策略→审核策略

审核策略更改成功

审核登录事件无审核

审核对象访问成功,失败

审核过程追踪无审核

审核目录服务访问无审核

审核特权使用无审核

审核系统事件成功,失败

审核帐户登录事件成功,失败

审核帐户管理成功,失败

对系统事件进行审核，在日后出现故障时用于排查故障

修改日志的大小与上限

开始→控制面板→管理工具→事件察看器

安全策略文件修改下述值：

日志类型大小覆盖方式

应用日志16382K覆盖早于30天的事件

安全日志16384K覆盖早于30天的事件

系统日志16384K覆盖早于30天的事件

网络与服务安全

暂停或禁用不需要的后台服务

开始→运行→输入“services.msc”将下面服务的启动类型设置为手动并停止上述服务

已启动且需要停止的服务包括：

Alerter服务

ComputerBrowser服务

IPSECPolicyAgent服务

Messenger服务

MicrosoftSearch服务

PrintSpooler服务

RunAsService服务

RemoteRegistryService服务

SecurityAccountsManager服务

TaskScheduler服务

TCP/IPNetBIOSHelperService服务

注册表安全性

1.禁止匿名用户连接（空连接）

注册表如下键值：

HKLM\SYSTEM\CurrentControlSet\Control\Lsa

“restrictanonymous”的原值为0将该值修改为“1”可以禁止匿名用户列举主机上所有用户、组、共享资源

2.删除主机默认共享

注册表键值HKLM\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters

名称：

Autoshareserver类型:

REG_DOWN值:

1删除主机因为管理而开放的共享

注意：

这里可能有部分备份软件使用到系统默认共享

3.限制远程注册表远程访问权限

注册表如下键值：

HKLM\SYSTEM\CurrentControlSet\Control\SecurePipeServers\winreg

名称：

Description类型:

REG_SZ值:

RegistryServer

4.阻止远程访问系统日志

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\EventLog\Application

“本地计算机”策→计算机配置→windows设置→安全设置→本地策略→安全选项

网络访问:

可匿名访问的共享

网络访问:

可匿名访问的命名管道

网络访问:

可远程访问的注册表路径

网络访问:

可远程访问的注册表路径和子路径

网络访问:

限制对命名管道和共享的匿名访问

5.禁用自动运行功能

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer

名称：

NoDriveTypeAutoRun类型:

REG_DWORD值:

0xFF

文件系统加固

注意：

文件的权限修改使用cmd命令行下面cacls命令修改，不要直接使用图像界面修改

%SystemDrive%\Boot.iniAdministrators：

完全控制System：

完全控制

%SystemDrive%\NAdministrators：

完全控制System：

完全控制

%SystemDrive%\NtldrAdministrators：

完全控制System：

完全控制

%SystemDrive%\Io.sysAdministrators：

完全控制System：

完全控制

%SystemDrive%\Autoexec.batAdministrators：

完全控制System：

完全控制AuthenticatedUsers：

读取和执行、列出文件夹内容、读取

%systemdir%\configAdministrators：

完全控制System：

完全控制AuthenticatedUsers：

读取和执行、列出文件夹内容、读取

%SystemRoot%\DownloadedProgramFilesAdministrators：

完全控制System：

完全控制Everyone:

读取

%SystemRoot%\FontsAdministrators：

完全控制System：

完全控制Everyone:

读取

%SystemRoot%\TasksAdministrators：

完全控制System：

完全控制

%SystemRoot%\system32\Append.exeAdministrators：

完全控制

%SystemRoot%\system32\Arp.exeAdministrators：

完全控制

%SystemRoot%\system32\At.exeAdministrators：

完全控制

%SystemRoot%\system32\Attrib.exeAdministrators：

完全控制

%SystemRoot%\system32\Cacls.exeAdministrators：

完全控制

%SystemRoot%\system32\Change.exeAdministrators：

完全控制

%SystemRoot%\system32\CAdministrators：

完全控制

%SystemRoot%\system32\Chglogon.exeAdministrators：

完全控制

%SystemRoot%\system32\Chgport.exeAdministrators：

完全控制

%SystemRoot%\system32\Chguser.exeAdministrators：

完全控制

%SystemRoot%\system32\Chkdsk.exeAdministrators：

完全控制

%SystemRoot%\system32\Chkntfs.exeAdministrators：

完全控制

%SystemRoot%\system32\Cipher.exeAdministrators：

完全控制

%SystemRoot%\system32\Cluster.exeAdministrators：

完全控制

%SystemRoot%\system32\Cmd.exeAdministrators：

完全控制

%SystemRoot%\system32\Compact.exeAdministrators：

完全控制

%SystemRoot%\system32\CAdministrators：

完全控制

%SystemRoot%\system32\Convert.exeAdministrators：

完全控制

%SystemRoot%\system32\Cscript.exeAdministrators：

完全控制

%SystemRoot%\system32\Debug.exeAdministrators：

完全控制

%SystemRoot%\system32\Dfscmd.exeAdministrators：

完全控制

%SystemRoot%\system32\DAdministrators：

完全控制

%SystemRoot%\system32\DAdministrators：

完全控制

%SystemRoot%\system32\Doskey.exeAdministrators：

完全控制

%SystemRoot%\system32\Edlin.exeAdministrators：

完全控制

%SystemRoot%\system32\Exe2bin.exeAdministrators：

完全控制

%SystemRoot%\system32\Expand.exeAdministrators：

完全控制

%SystemRoot%\system32\Fc.exeAdministrators：

完全控制

%SystemRoot%\system32\Find.exeAdministrators：

完全控制

%SystemRoot%\system32\Findstr.exeAdministrators：

完全控制

%SystemRoot%\system32\Finger.exeAdministrators：

完全控制

%SystemRoot%\system32\Forcedos.exeAdministrators：

完全控制

%SystemRoot%\system32\FAdministrators：

完全控制

%SystemRoot%\system32\Ftp.exeAdministrators：

完全控制

%SystemRoot%\system32\Hostname.exeAdministrators：

完全控制

%SystemRoot%\system32\Iisreset.exeAdministrators：

完全控制

%SystemRoot%\system32\Ipconfig.exeAdministrators：

完全控制

%SystemRoot%\system32\Ipxroute.exeAdministrators：

完全控制

%SystemRoot%\system32\Label.exeAdministrators：

完全控制

%SystemRoot%\system32\Logoff.exeAdministrators：

完全控制

%SystemRoot%\system32\Lpq.exeAdministrators：

完全控制

%SystemRoot%\system32\Lpr.exeAdministrators：

完全控制

%SystemRoot%\system32\Makecab.exeAdministrators：

完全控制

%SystemRoot%\system32\Mem.exeAdministrators：

完全控制

%SystemRoot%\system32\Mmc.exeAdministrators：

完全控制

%SystemRoot%\system32\MAdministrators：

完全控制

%SystemRoot%\system32\MAdministrators：

完全控制

%SystemRoot%\system32\Mountvol.exeAdministrators：

完全控制

%SystemRoot%\system32\Msg.exeAdministrators：

完全控制

%SystemRoot%\system32\Nbtstat.exeAdministrators：

完全控制

%SystemRoot%\system32\Net.exeAdministrators：

完全控制

%SystemRoot%\system32\Net1.exeAdministrators：

完全控制

%SystemRoot%\system32\Netsh.exeAdministrators：

完全控制

%SystemRoot%\system32\Netstat.exeAdministrators：

完全控制

%SystemRoot%\system32\Nslookup.exeAdministrators：

完全控制

%SystemRoot%\system32\Ntbackup.exeAdministrators：

完全控制

%SystemRoot%\system32\Ntsd.exeAdministrators：

完全控制

%SystemRoot%\system32\Pathping.exeAdministrators：

完全控制

%SystemRoot%\system32\Ping.exeAdministrators：

完全控制

%SystemRoot%\system32\Print.exeAdministrators：

完全控制

%SystemRoot%\system32\Query.exeAdministrators：

完全控制

%SystemRoot%\system32\Rasdial.exeAdministrators：

完全控制

%SystemRoot%\system32\Rcp.exeAdministrators：

完全控制

%SystemRoot%\system32\Recover.exeAdministrators：

完全控制

%SystemRoot%\system32\Regedit.exeAdministrators：

完全控制

%SystemRoot%\system32\Regedt32.exeAdministrators：

完全控制

%SystemRoot%\system32\Regini.exeAdministrators：

完全控制

%SystemRoot%\system32\Register.exeAdministrators：

完全控制

%SystemRoot%\system32\Regsvr32.exeAdministrators：

完全控制

%SystemRoot%\system32\Replace.exeAdministrators：

完全控制

%SystemRoot%\system32\Reset.exeAdministrators：

完全控制

%SystemRoot%\system32\Rexec.exeAdministrators：

完全控制

%SystemRoot%\system32\Route.exeAdministrators：

完全控制

%SystemRoot%\system32\Routemon.exeAdministrators：

完全控制

%SystemRoot%\system32\Router.exeAdministrators：

完全控制

%SystemRoot%\system32\Rsh.exeAdministrators：

完全控制

%SystemRoot%\system32\Runas.exeAdministrators：

完全控制

%SystemRoot%\system32\Runonce.exeAdministrators：

完全控制

%SystemRoot%\system32\Secedit.exeAdministrators：

完全控制

%SystemRoot%\system32\Setpwd.exeAdministrators：

完全控制

%SystemRoot%\system32\Shadow.exeAdministrators：

完全控制

%SystemRoot%\system32\Share.exeAdministrators：

完全控制

%SystemRoot%\system32\Snmp.exeAdministrators：

完全控制

%SystemRoot%\system32\Snmptrap.exeAdministrators：

完全控制

%SystemRoot%\system32\Subst.exeAdministrators：

完全控制

%SystemRoot%\system32\Telnet.exeAdministrators：

完全控制

%SystemRoot%\system32\Termsrv.exeAdministrators：

完全控制

%SystemRoot%\system32\Tftp.exeAdministrators：

完全控制

%SystemRoot%\system32\Tlntadmin.exeAdministrators：

完全控制

%SystemRoot%\system32\Tlntsess.exeAdministrators：

完全控制

%SystemRoot%\system32\Tlntsvr.exeAdministrators：

完全控制

%SystemRoot%\system32\Tracert.exeAdministrators：

完全控制

%SystemRoot%\system32\TAdministrators：

完全控制

%SystemRoot%\system32\Tsadmin.exeAdministrators：

完全控制

%SystemRoot%\system32\Tscon.exeAdministrators：

完全控制

%SystemRoot%\system32\Tsdiscon.exeAdministrators：

完全控制

%SystemRoot%\system32\Tskill.exeAdministrators：

完全控制

%SystemRoot%\system32\Tsprof.exeAdministrators：

完全控制

%SystemRoot%\system32\Tsshutdn.exeAdministrators：

完全控制

%SystemRoot%\system32\UAdministrators：

完全控制

%SystemRoot%\system32\Wscript.exeAdministrators：

完全控制

%SystemRoot%\system32\Xcopy.exeAdministrators：

完全控制

对特定文件权限进行限制，禁止Guests用户组意外访问这些文件

网络安全访问

关闭闲置和有潜在危险的端口，将除了用户需要用到的正常计算机端口之外的其他端口都关闭掉

屏蔽端口

系统防火墙

第三方防火墙

使用“IP安全策略”控制端口访问

开始→设置→控制面板→管理工具→本地安全策略

在“IP安全策略，在本地计算机”右键“创建IP安全策略”

在点击下一步后会弹出一个警告窗口，按确定就可以

点击添加。

使用“添加向导”

上面可以选者应用的网络范围

这里可以定制访问具体的地址范围

下面选者协议的类型

端口的范围

针对不同的筛选器设置行为

指派新创建的安全策略

软件运行权限控制

手动打开“软件运行权限控制”三个安全等级：

基本用户、受限的、不信任等级

打开注册表编辑器，展开至

HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Safer\CodeIdentifiers

新建一个DWORD值，命名为Levels，其值可以为

0x10000//增加受限的

0x20000//增加基本用户

0x30000//增加受限的，基本用户

0x31000//增加受限的，基本用户，不信任的

设成0x31000（即4131000）即可

禁用在根目录下面运行EXE程序

创建新路径规则

安全设置→软件限制策略→其他规则

右键“新建路径规则”

效果！

！

！