资源预览内容
第1页 / 共39页
第2页 / 共39页
第3页 / 共39页
第4页 / 共39页
第5页 / 共39页
第6页 / 共39页
第7页 / 共39页
第8页 / 共39页
第9页 / 共39页
第10页 / 共39页
亲,该文档总共39页,到这儿已超出免费预览范围,如果喜欢就下载吧!
资源描述
Windows server 2008 加固指南secpol.msc本地安全策略功能 账户策略密码策略 账户锁定策略 本地策略审核策略 安全选项账户重命名系统管理员账户 账户来宾账户状态services.msc服务lusrmgr.msc本机用户和组gpedit.msc本地策略组编辑器功能 账户策略密码策略 账户锁定策略 本地策略审核策略 安全选项账户重命名系统管理员账户 账户来宾账户状态1 身份鉴别要求2 【操作目的】设置以下帐户策略密码必须符合复杂性、密码长度最小值、密码最长使用期限、强制密码历史、复位帐户锁定计数器、帐户锁定时间、帐户锁定阀值【操作方法】打开“控制面板”“管理工具”,进入“本地安全策略”,或运行secpol.msc打开本地策略、或运行gpedit.msc打开本地策略组编辑器计算机配置windows设置安全设置账户策略中,分别对密码策略、账户锁定策略设置.3 【操作目的】关闭远程桌面和远程协助【操作方法】在“计算机属性”-“远程设置”中设置。4 访问控制5 【操作目的】删除多余账户、禁用Guest账户【操作方法】方法1控制面板-管理工具-计算机管理系统工具本地用户和组用户,右击Guest,选择账户已禁用。方法2运行lusrmgr.msc,在用户中右击Guest,选择账户已禁用。 6 【操作目的】禁用来宾账户【操作方法】方法1运行secpol.msc打开本地策略,安全设置本地策略安全选项账户来宾账户状态 方法2运行gpedit.msc打开本地策略组编辑器计算机配置windows设置安全设置本地策略安全选项账户来宾账户状态7 【操作目的】重命名系统管理员【操作方法】控制面板管理工具本地安全策略本地策略(或运行secpol.msc打开本地策略,或运行gpedit.msc打开本地策略组编辑器计算机配置windows设置)安全设置本地策略安全选项重命名系统管理员帐户8 【操作目的】默认共享关闭【操作方法】方法1计算机右键管理系统工具共享文件夹共享右键停止共享方法2计算机右键管理服务里,停掉SERVER。可能影响其他服务。方法3运行,执行net share查看共享,然后使用net share 名称 /del,可进行关闭方法4进入“开始运行Regedit”,进入注册表编辑器,更改注册表键值在HKLMSystemCurrentControlSetServicesLanmanServerParameters下,右击新建DWORD32-位值,增加REG_DWORD类型的AutoShareServer 键,值为 0。如本机不用共享文件给其他人使用,则在本地连接属性中,禁用“Microsoft网络的文件和打印共享”。9 【操作目的】取得文件或其它对象的所有权仅指派给Administrators。【操作方法】进入“控制面板-管理工具-本地安全策略”(或运行secpol.msc),在“本地策略-用户权利分配” 将“取得文件或其它对象的所有权”设置为“只指派给Administrators组”。10 【操作目的】关机权限设置,设置本地、远程关机只能使用administrator操作。【操作方法】进入“控制面板-管理工具-本地安全策略”(或运行secpol.msc),在“本地策略-用户权利分配”“从远端系统强制关机”、“关闭系统”设置为“只指派给Administrators组”。11 【操作目的】启用访问控制功能,修改system32config文件权限,禁止guest组的修改权限,删除everyone访问权限。【操作方法】点击c盘Windows文件夹config文件夹,右击config选择属性。点击安全一栏,再点击编辑对权限进行编辑,然后进行添加删除用户或组。12 【操作目的】用户账户控制。【操作方法】开始控制面板管理工具本地安全策略本地策略安全选项用户账户控制用户内置管理员账户的管理员批准模式 已启用;用户账户控制管理员批准模式中管理员的提升权限提示的行为 提示凭据;用户账户控制标准用户的提升提示行为 自动拒绝提升请求;用户账户控制检测应用程序安装并提示提升 已启用;用户账户控制仅提升安装在安全位置的UIAccess应用程序 已启用;用户账户控制以管理员批准模式运行所有管理员 已启用;用户账户控制提示提升时切换到安全桌面 已启用;用户账户控制将文件和注册表写入错误虚拟化到每用户位置 已启用;13 【操作目的】禁用“网络访问 将 Everyone权限应用于匿名用户”。【操作方法】进入“控制面板-管理工具-本地安全策略”(或运行secpol.msc),在“本地策略-安全选项,禁用“网络访问 将 Everyone权限应用于匿名用户”。14 【操作目的】从网络访问此计算机。 【操作方法】进入“控制面板-管理工具-本地安全策略”(或运行secpol.msc),在“本地策略-用户权限分配,双击“从网络访问此计算机”,删除所有用户和组。15 【操作目的】拒绝从网络访问这台计算机。 【操作方法】进入“控制面板-管理工具-本地安全策略”(或运行secpol.msc),在“本地策略-用户权限分配,双击“拒绝从网络访问这台计算机”,添加拒绝访问的用户和组。点击“添加用户或组”, 然后点击“输入对象名称来选择”下方的“高级”,在弹出的对话框中点击“立即查找”,选择需要拒绝访问的用户或组,然后确定。16 【操作目的】禁用SAM账户的匿名枚举、不允许 SAM 帐户和共享的匿名枚举 【操作方法】打开“控制面板”“管理工具” 进入“本地安全策略”(或运行secpol.msc打开)选择本地策略安全选项,将“不允许 SAM 帐户的匿名枚举”“ 不允许 SAM 帐户和共享的匿名枚举”启用。17 安全审计18 【操作目的】设置审核策略并生效。【操作方法】打开“控制面板”“管理工具” 进入“本地安全策略”(或运行secpol.msc打开、或运行gpedit.msc打开本地策略组编辑器计算机配置windows设置)在本地策略审核策略,进行设置。高级审核策略配置,进行设置成功和失败19 【操作目的】windows日志存储空间及存储方式设置。【操作方法】控制面板管理工具事件查看器 windows日志分别在“应用程序” “系统”和“安全”的右键菜单中的“属性”常规选项中可设置日志最大空间、日志存储方式 20 【操作目的】新建一个审计账户audit,并赋予其可以读取本地计算机事件日志权限。【操作方法】(1)控制面板管理工具计算机管理本地用户和组,点击用户,在空白处右击选择新用户,输入用户名和密码进行创建。(2)右击“audit”用户,点击“属性”,选择“隶属于”工作栏,点击 “添加”,然后点击“输入对象名称来选择”下方的“高级”,在弹出的对话框中点击“立即查找”,然后点击Even Log Reader,然后确定。(3)可在“隶属于”工作栏中删除users组。21 【操作目的】配置系统时间同步服务器【操作方法】点击右下角时间,然后点击更改日期和时间设置,进入日期和时间对话框,选择“nternet时间”具栏,点击更改设置,修改服务器地址。22 入侵防范23 【操作目的】关闭Computer Browser、DHCP Client、Print Spooler、TCP/IP NetBIOS Helper、Remote Registry、Windows Management Instrumentation(勒索病毒变种需要关闭的服务)、Clipbook(“剪贴簿查看器”储存信息并与远程计算机共享)、Windows Error Reporting Service、com Event system(持系统事件通知服务SENS,此服务为订阅组件对象模型COM组件事件提供自动分布功能)等等服务。 【操作方法】方法1控制面板-管理工具-计算机管理服务和应用程序服务,选中服务进行停止操作。可以按键盘字母进行定位。方法2运行services.msc,选中服务进行停止操作。可以按键盘字母进行定位。注意某些服务禁用后无法直接启动,需要先右键属性,将启动类型由禁用改为自动或手动启动。然后再进行启动。24 【操作目的】通过防火墙,禁止勒索病毒相关的TCP445 135 137 138 139端口。 【操作方法】步打开控制面板Windows防火墙左侧打开或关闭防火墙,开启所有防墙。在高级设置入站规则新建规则端口TCP445 135 137 138 139阻止连接所有区域名称完成。25 【操作目的】防止主机DOS攻击。(windows server 2008需要自建键值,可参考win7)【操作方法】一. 启用 SYN 攻击保护启用 SYN 攻击保护的命名值位于此注册表项的下面HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesTcpipParameters中的新建DWORD32-位值。值名称 SynAttackProtect建议值 2有效值 0 2说明使 TCP 调整 SYN-ACK 的重传。配置此值后,在遇到 SYN 攻击时,对连接超时的响应将更快速。在超过 TcpMaxHal 或 TcpMaxHalRetried 的值后,将触发 SYN 攻击保护。设置 SYN 保护阈值下列值确定触发 SYN 保护的阈值。这一部分中的所有注册表项和值都是在 HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesTcpipParameters的下面新建DWORD32-位值。这些注册表项和值是值名称 TcpMaxPortsExhausted建议值 5有效值 0 65535
收藏 下载该资源
网站客服QQ:2055934822
金锄头文库版权所有
经营许可证:蜀ICP备13022795号 | 川公网安备 51140202000112号