Windows Server 2008 R2常规安全设置及基本安全策略

 

（1）请务必使用复杂密码（字母+数字+特殊符号，包含大小写，并保证10位及以上字符）。

（2）更改administrator用户为admin888，新加admin陷阱帐户，新建一个iis网站用户为iis_web用户专门为网站管理用户。

修改系统默认帐户名并新建一个Administrator帐户作为陷阱帐户，设置超长密码，并去掉所有用户组。(就是在用户组那里设置为空即可.让这个帐号不属于任何用户组)，同样改名禁用掉Guest用户。

 

一.账户策略

（1）密码策略：

打开 控制面板 > 管理工具 > 本地安全策略，在 帐户策略 > 密码策略 中，确认 密码必须符合复杂性要求 策略已启用。

 

 （2）帐户锁定策略：

 打开 控制面板 > 管理工具 > 本地安全策略，在 帐户策略 > 帐户锁定策略 中，配置 帐户锁定阈值 不大于10次。

 

 

 

 

 

 二、本地策略

（1）审核策略：

打开 控制面板 > 管理工具 > 本地安全策略，在 本地策略 > 审核策略 中，设置 审核成功和失败。

 

 

 

 

（2）用户权限分配

打开 控制面板 > 管理工具 > 本地安全策略，在 本地策略 > 用户权限分配 中，配置 关闭系统 权限只分配给Administrators组。

打开 控制面板 > 管理工具 > 本地安全策略，在 本地策略 > 用户权限分配 中，配置 从远端系统强制关机 权限只分配给Administrators组。

打开 控制面板 > 管理工具 > 本地安全策略，在 本地策略 > 用户权限分配 中，配置 取得文件或其它对象的所有权 权限只分配给Administrators组。

打开 控制面板 > 管理工具 > 本地安全策略，在 本地策略 > 用户权限分配 中，配置 允许本地登录 权限给指定授权用户。

打开 控制面板 > 管理工具 > 本地安全策略，在 本地策略 > 用户权限分配 中，配置 从网络访问此计算机 权限给指定授权用户，策略中的“Everyone”删除。

 

 

 

（3）安全选项

打开 控制面板 > 管理工具 > 本地安全策略，在 本地策略 > 安全选项 中，进行如下设置：

交互式登录: 不显示最后的用户名，启用

网络访问:不允许SAM帐户和共享的匿名枚举，启用

网络访问:不允许存储网络身份验证的密码和凭据，启用

网络访问:可远程访问的注册表路径，清空

网络访问:可远程访问的注册表路径和子路径，清空

打开 控制面板 > 管理工具 > 本地安全策略，在 本地策略 > 安全选项 中，禁用 关机: 允许系统在未登录前关机 策略。

打开 控制面板 > 管理工具 > 本地安全策略，在 本地策略 > 安全选项 中，设置 Microsoft网络服务器：暂停会话前所需的空闲时间数量 属性为15分钟。

 

 

 

 

 

 

三、 共享文件夹及访问权限

关闭默认共享，非域环境中，关闭Windows硬盘默认共享，例如C$，D$。

（1）每个共享文件夹的共享权限仅限于业务需要，不要设置成为 Everyone。打开 控制面板 > 管理工具 > 计算机管理，在 共享文件夹 中，查看每个共享文件夹的共享权限。

（2）启用屏幕保护程序，设置等待时间为 5分钟，并启用 在恢复时使用密码保护。

（3）安装最新的操作系统Hotfix补丁。安装补丁，新做系统一定要先打上已知补丁，以后也要及时关注微软的漏洞报告。略。

（4）所有盘符根目录只给system和Administrator的权限，其他的删除。

 

 

四、 禁用不需要的和危险的服务

打开服务器管理器，进入“服务”管理，将下列服务禁用（用黄色标识的服务在2008系统中可能不存在）

控制面板 管理工具 服务

Distributed linktracking client   用于局域网更新连接信息
PrintSpooler  打印服务
Remote Registry  远程修改注册表
Server 计算机通过网络的文件、打印、和命名管道共享
TCP/IP NetBIOS Helper  提供
TCP/IP (NetBT) 服务上的
NetBIOS 和网络上客户端的
NetBIOS 名称解析的支持
Workstation   泄漏系统用户名列表 与Terminal Services Configuration 关联
Computer Browser 维护网络计算机更新 默认已经禁用
Net Logon   域控制器通道管理 默认已经手动
Remote Procedure Call (RPC) Locator   RpcNs*远程过程调用 (RPC) 默认已经手动
删除服务sc delete MySql

 

 

 

 

 

 

 

五、Windows Web Server 2008 R2服务器简单安全设置

1、新做系统一定要先打上已知补丁，以后也要及时关注微软的漏洞报告。略。
2、所有盘符根目录只给system和Administrator的权限，其他的删除。
3、将所有磁盘格式转换为NTFS格式。
命令：convert c:/fs:ntfs c:代表C盘，其他盘类推。WIN08 r2 C盘一定是ntfs格式的，不然不能安装系统
4、开启Windows Web Server 2008 R2自带的高级防火墙。
默认已经开启。
5、安装必要的杀毒软件如mcafee，安装一款ARP防火墙，安天ARP好像不错。略。
6、设置屏幕屏保护。
7、关闭光盘和磁盘的自动播放功能。
8、删除系统默认共享。
命令：net share c$ /del 这种方式下次启动后还是会出现，不彻底。也可以做成一个批处理文件，然后设置开机自动执动这个批处理。但是还是推荐下面的方法，直修改注册表的方法。
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Lanmanserver\parameters下面新建AutoShareServer ,值为0 。。重启一下，测试。已经永久生效了。
9、重命Administrator和Guest帐户,密码必须复杂。GUEST用户我们可以复制一段文本作为密码，你说这个密码谁能破。。。。也只有自己了。...
重命名管理员用户组Administrators。
10、创建一个陷阱用户Administrator，权限最低。

 11、防火墙设置

 

 

 

 

 

相关文档参考：

Windows 服务器操作系统安全设置加固方法：https://www.jb51.net/article/135349.htm

Windows Server 2008 R2常规安全设置及基本安全策略：https://www.jb51.net/article/69576.htm

 

 

 

 

 

 

 

 

作者：赖忠标

日期：2020.3.24

坐标：广州