Windows Server 2008 R2常規安全設置及基本安全策略

 

（1）請務必使用復雜密碼（字母+數字+特殊符號，包含大小寫，並保證10位及以上字符）。

（2）更改administrator用戶為admin888，新加admin陷阱帳戶，新建一個iis網站用戶為iis_web用戶專門為網站管理用戶。

修改系統默認帳戶名並新建一個Administrator帳戶作為陷阱帳戶，設置超長密碼，並去掉所有用戶組。(就是在用戶組那里設置為空即可.讓這個帳號不屬於任何用戶組)，同樣改名禁用掉Guest用戶。

 

一.賬戶策略

（1）密碼策略：

打開 控制面板 > 管理工具 > 本地安全策略，在 帳戶策略 > 密碼策略 中，確認 密碼必須符合復雜性要求 策略已啟用。

 

 （2）帳戶鎖定策略：

 打開 控制面板 > 管理工具 > 本地安全策略，在 帳戶策略 > 帳戶鎖定策略 中，配置 帳戶鎖定閾值 不大於10次。

 

 

 

 

 

 二、本地策略

（1）審核策略：

打開 控制面板 > 管理工具 > 本地安全策略，在 本地策略 > 審核策略 中，設置 審核成功和失敗。

 

 

 

 

（2）用戶權限分配

打開 控制面板 > 管理工具 > 本地安全策略，在 本地策略 > 用戶權限分配 中，配置 關閉系統 權限只分配給Administrators組。

打開 控制面板 > 管理工具 > 本地安全策略，在 本地策略 > 用戶權限分配 中，配置 從遠端系統強制關機 權限只分配給Administrators組。

打開 控制面板 > 管理工具 > 本地安全策略，在 本地策略 > 用戶權限分配 中，配置 取得文件或其它對象的所有權 權限只分配給Administrators組。

打開 控制面板 > 管理工具 > 本地安全策略，在 本地策略 > 用戶權限分配 中，配置 允許本地登錄 權限給指定授權用戶。

打開 控制面板 > 管理工具 > 本地安全策略，在 本地策略 > 用戶權限分配 中，配置 從網絡訪問此計算機 權限給指定授權用戶，策略中的“Everyone”刪除。

 

 

 

（3）安全選項

打開 控制面板 > 管理工具 > 本地安全策略，在 本地策略 > 安全選項 中，進行如下設置：

交互式登錄: 不顯示最后的用戶名，啟用

網絡訪問:不允許SAM帳戶和共享的匿名枚舉，啟用

網絡訪問:不允許存儲網絡身份驗證的密碼和憑據，啟用

網絡訪問:可遠程訪問的注冊表路徑，清空

網絡訪問:可遠程訪問的注冊表路徑和子路徑，清空

打開 控制面板 > 管理工具 > 本地安全策略，在 本地策略 > 安全選項 中，禁用 關機: 允許系統在未登錄前關機 策略。

打開 控制面板 > 管理工具 > 本地安全策略，在 本地策略 > 安全選項 中，設置 Microsoft網絡服務器：暫停會話前所需的空閑時間數量 屬性為15分鍾。

 

 

 

 

 

 

三、 共享文件夾及訪問權限

關閉默認共享，非域環境中，關閉Windows硬盤默認共享，例如C$，D$。

（1）每個共享文件夾的共享權限僅限於業務需要，不要設置成為 Everyone。打開 控制面板 > 管理工具 > 計算機管理，在 共享文件夾 中，查看每個共享文件夾的共享權限。

（2）啟用屏幕保護程序，設置等待時間為 5分鍾，並啟用 在恢復時使用密碼保護。

（3）安裝最新的操作系統Hotfix補丁。安裝補丁，新做系統一定要先打上已知補丁，以后也要及時關注微軟的漏洞報告。略。

（4）所有盤符根目錄只給system和Administrator的權限，其他的刪除。

 

 

四、 禁用不需要的和危險的服務

打開服務器管理器，進入“服務”管理，將下列服務禁用（用黃色標識的服務在2008系統中可能不存在）

控制面板 管理工具 服務

Distributed linktracking client   用於局域網更新連接信息
PrintSpooler  打印服務
Remote Registry  遠程修改注冊表
Server 計算機通過網絡的文件、打印、和命名管道共享
TCP/IP NetBIOS Helper  提供
TCP/IP (NetBT) 服務上的
NetBIOS 和網絡上客戶端的
NetBIOS 名稱解析的支持
Workstation   泄漏系統用戶名列表 與Terminal Services Configuration 關聯
Computer Browser 維護網絡計算機更新 默認已經禁用
Net Logon   域控制器通道管理 默認已經手動
Remote Procedure Call (RPC) Locator   RpcNs*遠程過程調用 (RPC) 默認已經手動
刪除服務sc delete MySql

 

 

 

 

 

 

 

五、Windows Web Server 2008 R2服務器簡單安全設置

1、新做系統一定要先打上已知補丁，以后也要及時關注微軟的漏洞報告。略。
2、所有盤符根目錄只給system和Administrator的權限，其他的刪除。
3、將所有磁盤格式轉換為NTFS格式。
命令：convert c:/fs:ntfs c:代表C盤，其他盤類推。WIN08 r2 C盤一定是ntfs格式的，不然不能安裝系統
4、開啟Windows Web Server 2008 R2自帶的高級防火牆。
默認已經開啟。
5、安裝必要的殺毒軟件如mcafee，安裝一款ARP防火牆，安天ARP好像不錯。略。
6、設置屏幕屏保護。
7、關閉光盤和磁盤的自動播放功能。
8、刪除系統默認共享。
命令：net share c$ /del 這種方式下次啟動后還是會出現，不徹底。也可以做成一個批處理文件，然后設置開機自動執動這個批處理。但是還是推薦下面的方法，直修改注冊表的方法。
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Lanmanserver\parameters下面新建AutoShareServer ,值為0 。。重啟一下，測試。已經永久生效了。
9、重命Administrator和Guest帳戶,密碼必須復雜。GUEST用戶我們可以復制一段文本作為密碼，你說這個密碼誰能破。。。。也只有自己了。...
重命名管理員用戶組Administrators。
10、創建一個陷阱用戶Administrator，權限最低。

 11、防火牆設置

 

 

 

 

 

相關文檔參考：

Windows 服務器操作系統安全設置加固方法：https://www.jb51.net/article/135349.htm

Windows Server 2008 R2常規安全設置及基本安全策略：https://www.jb51.net/article/69576.htm

 

 

 

 

 

 

 

 

作者：賴忠標

日期：2020.3.24

坐標：廣州