Windows Server 2008 R2常規安全設置及基本安全策略

一、系統及程序
1、屏幕保護與電源
桌面右鍵--〉個性化--〉屏幕保護程序，屏幕保護程序 選擇無，更改電源設置 選擇高性能，選擇關閉顯示器的時間 關閉顯示器 選 從不 保存修改
2、配置IIS7組件、FTP7、php 5.5.7、mysql 5.6.15、phpMyAdmin 4.1.8、phpwind 9.0、ISAPI_Rewrite環境。在這里我給大家可以推薦下阿里雲的服務器一鍵環境配置，全自動安裝設置很不錯的。點擊查看地址
二、系統安全配置
1、目錄權限
除系統所在分區之外的所有分區都賦予Administrators和SYSTEM有完全控制權，之后再對其下的子目錄作單獨的目錄權限
2、遠程連接
我的電腦屬性--〉遠程設置--〉遠程--〉只允許運行帶網絡超級身份驗證的遠程桌面的計算機連接，選擇允許運行任意版本遠程桌面的計算機連接(較不安全)。備注：方便多種版本Windows遠程管理服務器。windows server 2008的遠程桌面連接，與2003相比，引入了網絡級身份驗證(NLA，network level authentication)，XP SP3不支持這種網絡級的身份驗證，vista跟win7支持。然而在XP系統中修改一下注冊表，即可讓XP SP3支持網絡級身份驗證。HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa在右窗口中雙擊Security Pakeages，添加一項“tspkg”。HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders，在右窗口中雙擊SecurityProviders，添加credssp.dll;請注意，在添加這項值時，一定要在原有的值后添加逗號后，別忘了要空一格(英文狀態)。然后將XP系統重啟一下即可。再查看一下，即可發現XP系統已經支持網絡級身份驗證
3、修改遠程訪問服務端口
更改遠程連接端口方法，可用windows自帶的計算器將10進制轉為16進制。更改3389端口為8208，重啟生效!
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\Wds\rdpwd\Tds\tcp]
"PortNumber"=dword:0002010
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp]
"PortNumber"=dword:00002010
(1)在開始--運行菜單里,輸入regedit,進入注冊表編輯,按下面的路徑進入修改端口的地方
(2)HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp
(3)找到右側的 "PortNumber"，用十進制方式顯示，默認為3389，改為(例如)6666端口
(4)HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\Wds\rdpwd\Tds\tcp
(5)找到右側的 "PortNumber"，用十進制方式顯示，默認為3389，改為同上的端口
(6)在控制面板--Windows 防火牆--高級設置--入站規則--新建規則
(7)選擇端口--協議和端口--TCP/特定本地端口：同上的端口
(8)下一步，選擇允許連接
(9)下一步，選擇公用
(10)下一步，名稱：遠程桌面-新(TCP-In)，描述：用於遠程桌面服務的入站規則，以允許RDP通信。[TCP 同上的端口]
(11)刪除遠程桌面(TCP-In)規則
(12)重新啟動計算機
4、配置本地連接
網絡--〉屬性--〉管理網絡連接--〉本地連接，打開“本地連接”界面，選擇“屬性”，左鍵點擊“Microsoft網絡客戶端”，再點擊“卸載”，在彈出的對話框中“是”確認卸載。點擊“Microsoft網絡的文件和打印機共享”，再點擊“卸載”，在彈出的對話框中選擇“是”確認卸載。
解除Netbios和TCP/IP協議的綁定139端口：打開“本地連接”界面，選擇“屬性”，在彈出的“屬性”框中雙擊“Internet協議版本(TCP/IPV4)”，點擊“屬性”，再點擊“高級”—“WINS”，選擇“禁用TCP/IP上的NETBIOS”，點擊“確認”並關閉本地連接屬性。
禁止默認共享：點擊“開始”—“運行”，輸入“Regedit”，打開注冊表編輯器，打開注冊表項“HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters”，在右邊的窗口中新建Dword值，名稱設為AutoShareServer，值設為“0”。
關閉 445端口：HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NetBT\Parameters，新建 Dword(32位)名稱設為SMBDeviceEnabled 值設為“0”
5、共享和發現
右鍵“網絡” 屬性 網絡和共享中心 共享和發現
關閉，網絡共享，文件共享，公用文件共享，打印機共享，顯示我正在共享的所有文件和文件夾，顯示這台計算機上所有共享的網絡文件夾
6、用防火牆限制Ping
網上自己查吧，ping還是經常需要用到的
7、防火牆的設置
控制面板→Windows防火牆設置→更改設置→例外，勾選FTP、HTTP、遠程桌面服務 核心網絡
HTTPS用不到可以不勾
3306：Mysql
1433：Mssql
8、禁用不需要的和危險的服務，以下列出服務都需要禁用。
控制面板 管理工具 服務
Distributed linktracking client 用於局域網更新連接信息
PrintSpooler 打印服務
Remote Registry 遠程修改注冊表
Server 計算機通過網絡的文件、打印、和命名管道共享
TCP/IP NetBIOS Helper 提供
TCP/IP (NetBT) 服務上的
NetBIOS 和網絡上客戶端的
NetBIOS 名稱解析的支持
Workstation 泄漏系統用戶名列表 與Terminal Services Configuration 關聯
Computer Browser 維護網絡計算機更新 默認已經禁用
Net Logon 域控制器通道管理 默認已經手動
Remote Procedure Call (RPC) Locator RpcNs*遠程過程調用 (RPC) 默認已經手動
刪除服務sc delete MySql
9、安全設置-->本地策略-->安全選項
在運行中輸入gpedit.msc回車，打開組策略編輯器，選擇計算機配置-->Windows設置-->安全設置-->本地策略-->安全選項
交互式登陸：不顯示最后的用戶名　　　　　　　啟用
網絡訪問：不允許SAM帳戶的匿名枚舉　　 　　 啟用 已經啟用
網絡訪問：不允許SAM帳戶和共享的匿名枚舉　　 啟用
網絡訪問：不允許儲存網絡身份驗證的憑據　　　啟用
網絡訪問：可匿名訪問的共享　　　　　　　　　內容全部刪除
網絡訪問：可匿名訪問的命名管道　　　　　　　內容全部刪除
網絡訪問：可遠程訪問的注冊表路徑　　　　　　內容全部刪除
網絡訪問：可遠程訪問的注冊表路徑和子路徑　　內容全部刪除
帳戶：重命名來賓帳戶　　　　　　　　　　　　這里可以更改guest帳號
帳戶：重命名系統管理員帳戶　　　　　　　　　這里可以更改Administrator帳號
10、安全設置-->賬戶策略-->賬戶鎖定策略
在運行中輸入gpedit.msc回車，打開組策略編輯器，選擇計算機配置-->Windows設置-->安全設置-->賬戶策略-->賬戶鎖定策略，將賬戶鎖定閾值設為“三次登陸無效”，“鎖定時間為30分鍾”，“復位鎖定計數設為30分鍾”。
11、本地安全設置
選擇計算機配置-->Windows設置-->安全設置-->本地策略-->用戶權限分配
關閉系統：只有Administrators組、其它全部刪除。
通過終端服務拒絕登陸：加入Guests組、IUSR_*****、IWAM_*****、NETWORK SERVICE、SQLDebugger
通過終端服務允許登陸：加入Administrators、Remote Desktop Users組，其他全部刪除
12、更改Administrator，guest賬戶，新建一無任何權限的假Administrator賬戶
管理工具→計算機管理→系統工具→本地用戶和組→用戶
新建一個Administrator帳戶作為陷阱帳戶，設置超長密碼，並去掉所有用戶組
更改描述：管理計算機(域)的內置帳戶
13、密碼策略
選擇計算機配置-->Windows設置-->安全設置-->密碼策略
啟動 密碼必須符合復雜性要求
最短密碼長度
14、禁用DCOM ("沖擊波"病毒 RPC/DCOM 漏洞)
運行Dcomcnfg.exe。控制台根節點→組件服務→計算機→右鍵單擊“我的電腦”→屬性”→默認屬性”選項卡→清除“在這台計算機上啟用分布式 COM”復選框。
15、ASP漏洞
主要是卸載WScript.Shell 和 Shell.application 組件，是否刪除看是否必要。
regsvr32/u C:\WINDOWS\System32\wshom.ocx
regsvr32/u C:\WINDOWS\system32\shell32.dll
刪除可能權限不夠
del C:\WINDOWS\System32\wshom.ocx
del C:\WINDOWS\system32\shell32.dll
如果確實要使用，或者也可以給它們改個名字。
WScript.Shell可以調用系統內核運行DOS基本命令
可以通過修改注冊表，將此組件改名，來防止此類木馬的危害。
HKEY_CLASSES_ROOT\WScript.Shell\及HKEY_CLASSES_ROOT\WScript.Shell.1\
改名為其它的名字，如：改為WScript.Shell_ChangeName 或 WScript.Shell.1_ChangeName
自己以后調用的時候使用這個就可以正常調用此組件了
也要將clsid值也改一下
HKEY_CLASSES_ROOT\WScript.Shell\CLSID\項目的值
HKEY_CLASSES_ROOT\WScript.Shell.1\CLSID\項目的值
也可以將其刪除，來防止此類木馬的危害。
Shell.Application可以調用系統內核運行DOS基本命令
可以通過修改注冊表，將此組件改名，來防止此類木馬的危害。
HKEY_CLASSES_ROOT\Shell.Application\及HKEY_CLASSES_ROOT\Shell.Application.1\改名為其它的名字，如：改為Shell.Application_ChangeName 或 Shell.Application.1_ChangeName
自己以后調用的時候使用這個就可以正常調用此組件了
也要將clsid值也改一下
HKEY_CLASSES_ROOT\Shell.Application\CLSID\項目的值
HKEY_CLASSES_ROOT\Shell.Application\CLSID\項目的值
也可以將其刪除，來防止此類木馬的危害。
禁止Guest用戶使用shell32.dll來防止調用此組件。
2000使用命令：cacls C:\WINNT\system32\shell32.dll /e /d guests
2003使用命令：cacls C:\WINDOWS\system32\shell32.dll /e /d guests
禁止使用FileSystemObject組件，FSO是使用率非常高的組件，要小心確定是否卸載。改名后調用就要改程序了，Set FSO = Server.CreateObject("Scripting.FileSystemObject")。
FileSystemObject可以對文件進行常規操作,可以通過修改注冊表，將此組件改名，來防止此類木馬的危害。
HKEY_CLASSES_ROOT\Scripting.FileSystemObject\
改名為其它的名字，如：改為 FileSystemObject_ChangeName
自己以后調用的時候使用這個就可以正常調用此組件了
也要將clsid值也改一下HKEY_CLASSES_ROOT\Scripting.FileSystemObject\CLSID\項目的值
也可以將其刪除，來防止此類木馬的危害。
2000注銷此組件命令：RegSrv32 /u C:\WINNT\SYSTEM\scrrun.dll
2003注銷此組件命令：RegSrv32 /u C:\WINDOWS\SYSTEM\scrrun.dll
如何禁止Guest用戶使用scrrun.dll來防止調用此組件?
使用這個命令：cacls C:\WINNT\system32\scrrun.dll /e /d guests
15、打開UAC
控制面板 用戶賬戶 打開或關閉用戶賬戶控制
16、程序權限
"net.exe","net1.exe","cmd.exe","tftp.exe","netstat.exe","regedit.exe","at.exe","attrib.exe","cacls.exe","format.com","c.exe"
或完全禁止上述命令的執行
gpedit.msc-〉用戶配置-〉管理模板-〉系統
啟用 阻止訪問命令提示符 同時 也停用命令提示符腳本處理
啟用 阻止訪問注冊表編輯工具
啟用 不要運行指定的windows應用程序，添加下面的
at.exe attrib.exe c.exe cacls.exe cmd.exe format.com net.exe net1.exe netstat.exe regedit.exe tftp.exe
17、Serv-u安全問題(個人建議不是特別高的要求沒必要用serv_U可以使用FTP服務器 FileZilla Server)
安裝程序盡量采用最新版本，避免采用默認安裝目錄，設置好serv-u目錄所在的權限，設置一個復雜的管理員密碼。修改serv-u的banner信息，設置被動模式端口范圍(4001—4003)在本地服務器中設置中做好相關安全設置：包括檢查匿名密碼，禁用反超時調度，攔截“FTP bounce”攻擊和FXP，對於在30秒內連接超過3次的用戶攔截10分鍾。域中的設置為：要求復雜密碼，目錄只使用小寫字母，高級中設置取消允許使用MDTM命令更改文件的日期。
更改serv-u的啟動用戶：在系統中新建一個用戶，設置一個復雜點的密碼，不屬於任何組。將servu的安裝目錄給予該用戶完全控制權限。建立一個FTP根目錄，需要給予這個用戶該目錄完全控制權限，因為所有的ftp用戶上傳，刪除，更改文件都是繼承了該用戶的權限，否則無法操作文件。另外需要給該目錄以上的上級目錄給該用戶的讀取權限，否則會在連接的時候出現530 Not logged in, home directory does not exist。比如在測試的時候ftp根目錄為d:soft，必須給d盤該用戶的讀取權限，為了安全取消d盤其他文件夾的繼承權限。而一般的使用默認的system啟動就沒有這些問題，因為system一般都擁有這些權限的。如果FTP不是必須每天都用，不如就關了吧，要用再打開。
下面是其它網友的補充：大家可以參考下
Windows Web Server 2008 R2服務器簡單安全設置
1、新做系統一定要先打上已知補丁，以后也要及時關注微軟的漏洞報告。略。
2、所有盤符根目錄只給system和Administrator的權限，其他的刪除。
3、將所有磁盤格式轉換為NTFS格式。
命令：convert c:/fs:ntfs c:代表C盤，其他盤類推。WIN08 r2 C盤一定是ntfs格式的，不然不能安裝系統
4、開啟Windows Web Server 2008 R2自帶的高級防火牆。
默認已經開啟。
5、安裝必要的殺毒軟件如mcafee，安裝一款ARP防火牆，安天ARP好像不錯。略。
6、設置屏幕屏保護。
7、關閉光盤和磁盤的自動播放功能。