Windows 服务器系统安全防御加固方法

服务器系统安全防御加固方法">Windows 服务器系统安全防御加固方法

• 更新：

  2017-06-01 19:24

windows服务器安全加固方案，该方案主要针对windows server 2008 r2，当然对于2012等其他系统也是适用的。

1. 1

   删除无用账户：

   使用Win+R键调出运行，输入compmgmt.msc->本地用户和组，删除不用的账户

   确保guest账户处于禁用状态，修改管理员默认用户名administrator为其他。

2. 2

   增强口令策略:

   使用Win+R键调出运行，输入secpol.msc->安全设置

   1.安全策略->密码策略

   密码必须符合复杂性要求：启用

   密码长度最小值：8个字符

   密码最短使用期限：0天

   密码最长使用期限：90天

   强制密码历史：1个记住密码

   用可还原的加密来存储密码：已禁用

   2.本地策略->安全选项

   交互式登录：不显示最后的用户名：启用

3. 3

   关闭不需要的服务：

   使用Win+R键调出运行，输入services.msc.禁用以下服务：

   Application  Layer Gateway Service

   Background  Intelligent Transfer Service

   Computer Browser

   DHCP Client

   Diagnostic Policy Service

   Distributed Transaction Coordinator

   DNS Client

   Distributed Link Tracking Client

   Remote Registry

   Print Spooler

   Server

   Shell Hardware Detection

   TCP/IP NetBIOS Helper

   Windows Remote Management

4. 4

   关闭netbios服务（关闭139端口）：

   网络连接->本地连接->属性->Internet协议版本 4->属性->高级->WINS->禁用TCP/IP上的NetBIOS。

   说明：关闭此功能，你服务器上所有共享服务功能都将关闭，别人在资源管理器中将看不到你的共享资源。这样也防止了信息的泄露。

5. 5

   关闭网络文件和打印共享：网络连接->本地连接->属性，把除了“Internet协议版本 4”以外的东西都勾掉。

6. 6

   关闭IPV6：

   先关闭网络连接->本地连接->属性->Internet协议版本 6 (TCP/IPv6)

   然后再修改注册表：HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip6\Parameters，增加一个Dword项，名字：DisabledComponents，值：ffffffff（十六位的8个f）

7. 7

   关闭microsoft网络客户端（关闭445端口）

   445端口是netbios用来在局域网内解析机器名的服务端口，一般服务器不需要对LAN开放什么共享，所以可以关闭。

   修改注册表：HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NetBT\Parameters，则更加一个Dword项：SMBDeviceEnabled，值：0

8. 8

   关闭LLMNR（关闭5355端口）

   使用组策略关闭，运行->gpedit.msc->计算机配置->管理模板->网络->DNS客户端->关闭多播名称解析->启用

9. 9

   增加网络访问限制：

   使用Win+R键调出运行，输入secpol.msc->安全设置->本地策略->安全选项:

   网络访问: 不允许 SAM 帐户的匿名枚举：已启用

   网络访问: 不允许 SAM 帐户和共享的匿名枚举：已启用

   网络访问: 将 Everyone权限应用于匿名用户：已禁用

   帐户: 使用空密码的本地帐户只允许进行控制台登录：已启用

10. 10

    修改3389远程访问默认端口：

    1.防火墙中设置

    1.控制面板——windows防火墙——高级设置——入站规则——新建规则——端口——特定端口tcp（如13688）——允许连接 2.完成以上操作之后右击该条规则作用域——本地ip地址——任何ip地址——远程ip地址——下列ip地址—— 添加管理者ip 同理其它端口可以通过此功能对特定网段屏蔽（如80端口）。

    2.运行regedit 2.[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\Wds \rdpwd\Tds \tcp] 和 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\TerminalServer\WinStations\RDP-TCP]，看见PortNamber值了吗？其默认值是3389，修改成所希望的端口即可，例如13688

    3.[HKEY_LOCAL_MACHINE\SYSTEM\CurrentContro1Set\Control\Tenninal Server\WinStations\ RDP\Tcp]，将PortNumber的值（默认是3389）修改成端口13688（自定义）。

11. 11

    给Everyone降权：

    鼠标右键系统驱动器（磁盘）->“属性”->“安全”，查看每个系统驱动器根目录是否设置为Everyone有所有权限

    删除Everyone的权限或者取消Everyone的写权限

12. 12

    增加日志审计：

    使用Win+R键调出运行，输入secpol.msc ->安全设置->本地策略->审核策略

    建议设置：

    审核策略更改：成功

    审核登录事件：成功，失败

    审核对象访问：成功

    审核进程跟踪：成功，失败

    审核目录服务访问：成功，失败

    审核系统事件：成功，失败

    审核帐户登录事件：成功，失败

    审核帐户管理：成功，失败

13. 13

    关闭ICMP

    在服务器的控制面板中打开 windows防火墙 ， 点击 高级设置->点击 入站规则 ——找到 文件和打印机共享(回显请求 - ICMPv4-In) ，启用此规则即是开启ping，禁用此规则IP将禁止其他客户端ping通，但不影响TCP、UDP等连接。

    

14. 14

    IIS配置为不返回详细错误信息：

    编辑web.config<customErrors>标记的“mode”属性不能设置为“Off”，这样用户能看到异常详情。并在IIS角色服务中去掉目录浏览、 ASP、CGI、在服务器端包含文件。