Windows Server 2008 R2常規安全設定及基本安全性原則_win伺服器

用的騰訊雲最早選購的時候悲催的只有Windows Server 2008 R2的系統，原來一直用的Windows Server 2003對2008用起來還不是非常熟練，對於一些基本設定及基本安全性原則，在網上搜了一下，整理大概有以下17個方面，如果有沒說到的希望大家踴躍提出哈！

比較重要的幾部

1.更改預設administrator使用者名稱，複雜密碼
2.開啟防火牆
3.安裝殺毒軟體

1)新做系統一定要先打上補丁
2)安裝必要的殺毒軟體
3)刪除系統預設共用

4)修改本地策略——>安全選項
互動式登陸：不顯示最後的使用者名稱 啟用
網路訪問：不允許SAM 帳戶和共用的匿名枚舉 啟用
網路訪問: 不允許儲存網路身分識別驗證的憑據或 .NET Passports 啟用
網路訪問：可遠端存取的註冊表路徑和子路徑 全部刪除
5)禁用不必要的服務
TCP/IP NetBIOS Helper、Server、 Distributed Link Tracking Client 、Print Spooler、Remote Registry、Workstation
6)禁用IPV6

server 2008 r2互動式登入: 不顯示最後的使用者名稱

其實最重要的就是開啟防火牆+伺服器安全狗（安全狗內建的一些功能基本上都設定的差不多了）+mysql(sqlserver)低許可權運行基本上就差不多了。3389遠程登入，一定要限制ip登入。

一、系統及程式

1、螢幕保護裝置與電源

案頭右鍵--〉個人化--〉螢幕保護裝置程式，螢幕保護裝置程式 選擇無，更改電源設定 選擇高效能，選擇關閉顯示器的時間 關閉顯示器 選 從不 儲存修改

2、配置IIS7組件、FTP7、php 5.5.7、mysql 5.6.15、phpMyAdmin 4.1.8、phpwind 9.0、ISAPI_Rewrite環境。在這裡我給大家可以推薦下阿里雲的伺服器一鍵環境配置，全自動安裝設定很不錯的。點擊查看地址

二、系統安全配置

1、目錄許可權

除系統所在分區之外的所有分區都賦予Administrators和SYSTEM有完全控制權，之後再對其下的子目錄作單獨的目錄許可權

2、遠端連線

我的電腦屬性--〉遠程設定--〉遠程--〉只允許運行帶網路超級身分識別驗證的遠端桌面的電腦串連，選擇允許運行任意版本遠端桌面的電腦串連(較不安全)。備忘：方便多種版本Windows遠端管理伺服器。windows server 2008的遠端桌面連線，與2003相比，引入了網路級身分識別驗證（NLA，network level authentication)，XP SP3不支援這種網路級的身分識別驗證，vista跟win7支援。然而在XP系統中修改一下註冊表，即可讓XP SP3支援網路級身分識別驗證。HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa在右視窗中雙擊Security Pakeages，添加一項“tspkg”。HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders，在右視窗中雙擊SecurityProviders，添加credssp.dll；請注意，在添加這項值時，一定要在原有的值後添加逗號後，別忘了要空一格（英文狀態）。然後將XP系統重啟一下即可。再查看一下，即可發現XP系統已經支援網路級身分識別驗證

3、修改遠端存取服務連接埠

更改遠端連線連接埠方法，可用windows內建的計算機將10進位轉為16進位。更改3389連接埠為8208，重啟生效！

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\Wds\rdpwd\Tds\tcp]
"PortNumber"=dword:0002010

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp]
"PortNumber"=dword:00002010

（1）在開始--運行菜單裡,輸入regedit,進入註冊表編輯,按下面的路徑進入修改連接埠的地方
（2）HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp
（3）找到右側的 "PortNumber"，用十進位方式顯示，預設為3389，改為(例如)6666連接埠
（4）HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\Wds\rdpwd\Tds\tcp
（5）找到右側的 "PortNumber"，用十進位方式顯示，預設為3389，改為同上的連接埠
（6）在控制台--Windows 防火牆--進階設定--入站規則--建立規則
（7）選擇連接埠--協議和連接埠--TCP/特定本地連接埠：同上的連接埠
（8）下一步，選擇允許串連
（9）下一步，選擇公用
（10）下一步，名稱：遠端桌面-新(TCP-In)，描述：用於遠端桌面服務的入站規則，以允許RDP通訊。[TCP 同上的連接埠]
（11）刪除遠端桌面(TCP-In)規則
（12）重新啟動電腦

4、配置本地串連

網路--〉屬性--〉管理網路連接--〉本地串連，開啟“本地串連”介面，選擇“屬性”，左鍵點擊“Microsoft網路用戶端”，再點擊“卸載”，在彈出的對話方塊中“是”確認卸載。點擊“Microsoft網路的檔案和印表機共用”，再點擊“卸載”，在彈出的對話方塊中選擇“是”確認卸載。

解除Netbios和TCP/IP協議的綁定139連接埠：開啟“本地串連”介面，選擇“屬性”，在彈出的“屬性”框中雙擊“Internet協議版本（TCP/IPV4）”，點擊“屬性”，再點擊“進階”—“WINS”，選擇“禁用TCP/IP上的NETBIOS”，點擊“確認”並關閉本地串連屬性。

禁止預設共用：點擊“開始”—“運行”，輸入“Regedit”，開啟登錄編輯程式，開啟登錄機碼“HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters”，在右邊的視窗中建立Dword值，名稱設為AutoShareServer，值設為“0”。

關閉 445連接埠：HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NetBT\Parameters，建立 Dword（32位）名稱設為SMBDeviceEnabled 值設為“0”

5、共用和發現

右鍵“網路” 屬性 網路和共用中心  共用和發現
關閉，網際網路共用，檔案分享權限設定，公用檔案分享權限設定，印表機共用，顯示我正在共用的所有檔案和檔案夾，顯示這台電腦上所有共用的網路檔案夾

6、用防火牆限制Ping

網上自己查吧，ping還是經常需要用到的

7、防火牆的設定

控制台→Windows防火牆設定→更改設定→例外，勾選FTP、HTTP、遠端桌面服務 核心網路

HTTPS用不到可以不勾

3306：Mysql
1433：Mssql

8、禁用不需要的和危險的服務，以下列出服務都需要禁用。

控制台 管理工具 服務

Distributed linktracking client   用於區域網路更新串連資訊
PrintSpooler  列印服務
Remote Registry  遠程修改註冊表
Server 電腦通過網路的檔案、列印、和具名管道共用
TCP/IP NetBIOS Helper  提供
TCP/IP (NetBT) 服務上的
NetBIOS 和網路上用戶端的
NetBIOS 名稱解析的支援
Workstation   泄漏系統使用者名稱列表 與Terminal Services Configuration 關聯
Computer Browser 維護網路電腦更新 預設已經禁用
Net Logon   網域控制站通道管理 預設已經手動
Remote Procedure Call (RPC) Locator   RpcNs*遠端程序呼叫 (RPC) 預設已經手動
刪除服務sc delete MySql

9、安全設定-->本地策略-->安全選項

在運行中輸入gpedit.msc斷行符號，開啟組策略編輯器，選擇電腦配置-->Windows設定-->安全設定-->本地策略-->安全選項

互動式登陸：不顯示最後的使用者名稱　　　　　　　啟用
網路訪問：不允許SAM帳戶的匿名枚舉　　 　　  啟用 已經啟用
網路訪問：不允許SAM帳戶和共用的匿名枚舉　　 啟用
網路訪問：不允許儲存網路身分識別驗證的憑據　　　啟用
網路訪問：可匿名訪問的共用　　　　　　　　　內容全部刪除
網路訪問：可匿名訪問的具名管道　　　　　　　內容全部刪除
網路訪問：可遠端存取的註冊表路徑　　　　　　內容全部刪除
網路訪問：可遠端存取的註冊表路徑和子路徑　　內容全部刪除
帳戶：重新命名來賓帳戶　　　　　　　　　　　　這裡可以更改guest帳號
帳戶：重新命名系統管理員帳戶　　　　　　　　　這裡可以更改Administrator帳號

10、安全設定-->賬戶策略-->賬戶鎖定策略

在運行中輸入gpedit.msc斷行符號，開啟組策略編輯器，選擇電腦配置-->Windows設定-->安全設定-->賬戶策略-->賬戶鎖定策略，將賬戶鎖定閾值設為“三次登陸無效”，“鎖定時間為30分鐘”，“複位鎖定計數設為30分鐘”。

11、本地安全設定

選擇電腦配置-->Windows設定-->安全設定-->本地策略-->使用者權限分配
關閉系統：只有Administrators組、其它全部刪除。
通過終端服務拒絕登陸：加入Guests組、IUSR_*****、IWAM_*****、NETWORK SERVICE、SQLDebugger  
通過終端服務允許登陸：加入Administrators、Remote Desktop Users組，其他全部刪除

12、更改Administrator，guest賬戶，建立一無任何許可權的假Administrator賬戶

管理工具→電腦管理→系統工具→本機使用者和組→使用者
建立一個Administrator帳戶作為陷阱帳戶，設定超長密碼，並去掉所有使用者組
更改描述：管理電腦(域)的內建帳戶

13、密碼原則

選擇電腦配置-->Windows設定-->安全設定-->密碼原則
啟動 密碼必須符合複雜性要求
最短密碼長度

14、禁用DCOM （"衝擊波"病毒 RPC/DCOM 漏洞）

運行Dcomcnfg.exe。主控台根目錄→元件服務→電腦→按右鍵“我的電腦”→屬性”→預設屬性”選項卡→清除“在這台電腦上啟用分散式 COM”複選框。

15、ASP漏洞

主要是卸載WScript.Shell 和 Shell.application 組件，是否刪除看是否必要。

regsvr32/u C:\WINDOWS\System32\wshom.ocx
regsvr32/u C:\WINDOWS\system32\shell32.dll

刪除可能許可權不夠

del C:\WINDOWS\System32\wshom.ocx
del C:\WINDOWS\system32\shell32.dll

如果確實要使用，或者也可以給它們改個名字。

WScript.Shell可以調用系統核心運行DOS基本命令

可以通過修改註冊表，將此組件改名，來防止此類木馬的危害。

HKEY_CLASSES_ROOT\WScript.Shell\及HKEY_CLASSES_ROOT\WScript.Shell.1\

改名為其它的名字，如：改為WScript.Shell_ChangeName 或 WScript.Shell.1_ChangeName

自己以後調用的時候使用這個就可以正常調用此組件了

也要將clsid值也改一下

HKEY_CLASSES_ROOT\WScript.Shell\CLSID\項目的值

HKEY_CLASSES_ROOT\WScript.Shell.1\CLSID\項目的值

也可以將其刪除，來防止此類木馬的危害。

Shell.Application可以調用系統核心運行DOS基本命令

可以通過修改註冊表，將此組件改名，來防止此類木馬的危害。

HKEY_CLASSES_ROOT\Shell.Application\及HKEY_CLASSES_ROOT\Shell.Application.1\改名為其它的名字，如：改為Shell.Application_ChangeName 或 Shell.Application.1_ChangeName

自己以後調用的時候使用這個就可以正常調用此組件了

也要將clsid值也改一下

HKEY_CLASSES_ROOT\Shell.Application\CLSID\項目的值
HKEY_CLASSES_ROOT\Shell.Application\CLSID\項目的值

也可以將其刪除，來防止此類木馬的危害。

禁止Guest使用者使用shell32.dll來防止調用此組件。

2000使用命令：cacls C:\WINNT\system32\shell32.dll /e /d guests
2003使用命令：cacls C:\WINDOWS\system32\shell32.dll /e /d guests

禁止使用FileSystemObject組件，FSO是使用率非常高的組件，要小心確定是否卸載。改名後調用就要改程式了，Set FSO = Server.CreateObject("Scripting.FileSystemObject")。

FileSystemObject可以對檔案進行常規操作,可以通過修改註冊表，將此組件改名，來防止此類木馬的危害。
HKEY_CLASSES_ROOT\Scripting.FileSystemObject\
改名為其它的名字，如：改為 FileSystemObject_ChangeName
自己以後調用的時候使用這個就可以正常調用此組件了
也要將clsid值也改一下HKEY_CLASSES_ROOT\Scripting.FileSystemObject\CLSID\項目的值
也可以將其刪除，來防止此類木馬的危害。
2000登出此組件命令：RegSrv32 /u C:\WINNT\SYSTEM\scrrun.dll
2003登出此組件命令：RegSrv32 /u C:\WINDOWS\SYSTEM\scrrun.dll
如何禁止Guest使用者使用scrrun.dll來防止調用此組件？
使用這個命令：cacls C:\WINNT\system32\scrrun.dll /e /d guests

15、開啟UAC

控制台 使用者賬戶 開啟或關閉使用者賬戶控制

16、程式許可權

"net.exe","net1.exe","cmd.exe","tftp.exe","netstat.exe","regedit.exe","at.exe","attrib.exe","cacls.exe","format.com","c.exe"
或完全禁止上述命令的執行
gpedit.msc-〉使用者配置-〉系統管理範本-〉系統
啟用 阻止訪問命令提示字元 同時 也停用命令提示字元指令碼處理
啟用 阻止訪問註冊表編輯工具
啟用 不要運行指定的windows應用程式，添加下面的
at.exe attrib.exe c.exe cacls.exe cmd.exe format.com net.exe net1.exe netstat.exe regedit.exe tftp.exe

17、Serv-u安全問題（個人建議不是特別高的要求沒必要用serv_U可以使用FTP伺服器 FileZilla Server ）

安裝程式盡量採用最新版本，避免採用預設安裝目錄，設定好serv-u目錄所在的許可權，設定一個複雜的管理員密碼。修改serv-u的banner資訊，設定被動模式連接埠範圍（4001—4003）在本機伺服器中設定中做好相關安全設定：包括檢查匿名密碼，禁用反逾時調度，攔截“FTP bounce”攻擊和FXP，對於在30秒內串連超過3次的使用者攔截10分鐘。域中的設定為：要求複雜密碼，目錄只使用小寫字母，進階中設定取消允許使用MDTM命令變更檔的日期。

更改serv-u的啟動使用者：在系統中建立一個使用者，設定一個複雜點的密碼，不屬於任何組。將servu的安裝目錄給予該使用者完全控制許可權。建立一個FTP根目錄，需要給予這個使用者該目錄完全控制許可權，因為所有的ftp使用者上傳，刪除，變更檔都是繼承了該使用者的許可權，否則無法操作檔案。另外需要給該目錄以上的上級目錄給該使用者的讀取許可權，否則會在串連的時候出現530 Not logged in, home directory does not exist。比如在測試的時候ftp根目錄為d:soft，必須給d盤該使用者的讀取許可權，為了安全取消d盤其他檔案夾的繼承許可權。而一般的使用預設的system啟動就沒有這些問題，因為system一般都擁有這些許可權的。如果FTP不是必須每天都用，不如就關了吧，要用再開啟。

下面是其它網友的補充：大家可以參考下

Windows Web Server 2008 R2伺服器簡單安全設定

1、新做系統一定要先打上已知補丁，以後也要及時關注微軟的漏洞報告。略。
2、所有盤符根目錄只給system和Administrator的許可權，其他的刪除。
3、將所有磁碟格式轉換為NTFS格式。
命令：convert c:/fs:ntfs c:代表C盤，其他盤類推。WIN08 r2 C盤一定是ntfs格式的，不然不能安裝系統
4、開啟Windows Web Server 2008 R2內建的進階防火牆。
預設已經開啟。
5、安裝必要的殺毒軟體如mcafee，安裝一款ARP防火牆，安天ARP好像不錯。略。
6、設定螢幕屏保護。
7、關閉光碟片和磁碟的自動播放功能。
8、刪除系統預設共用。
命令：net share c$ /del 這種方式下次啟動後還是會出現，不徹底。也可以做成一個批次檔，然後設定開機自動執動這個批處理。但是還是推薦下面的方法，直修改註冊表的方法。
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Lanmanserver\parameters下面建立AutoShareServer ,值為0 。。重啟一下，測試。已經永久生效了。
9、重命Administrator和Guest帳戶,密碼必須複雜。GUEST使用者我們可以複製一段文本作為密碼，你說這個密碼誰能破。。。。也只有自己了。...
重新命名管理使用者組Administrators。
10、建立一個陷阱使用者Administrator，許可權最低。

上面二步重新命名最好放在安裝IIS和SQL之前做好，那我這裡就不示範了。

11、本地策略——>稽核原則
稽核原則更改 成功 失敗
審核登入事件 成功 失敗
審核對象訪問 失敗
審核過程跟蹤 無審核
審核目錄服務訪問 失敗
審核特權使用 失敗
審核系統事件 成功 失敗
審核賬戶登入事件 成功 失敗
審核賬戶管理 成功 失敗

12、本地策略——>使用者權限分配
關閉系統：只有Administrators 組、其它的全部刪除。

系統管理範本 > 系統 顯示“關閉事件跟蹤程式”更改為已禁用。這個看大家喜歡。

13、本地策略——>安全選項
互動式登陸：不顯示最後的使用者名稱 啟用
網路訪問：不允許SAM 帳戶和共用的匿名枚舉 啟用
網路訪問: 不允許儲存網路身分識別驗證的憑據或 .NET Passports 啟用
網路訪問：可遠端存取的註冊表路徑 全部刪除
網路訪問：可遠端存取的註冊表路徑和子路徑 全部刪除
14、禁止dump file 的產生。
系統屬性>進階>啟動和故障恢複把 寫入調試資訊 改成“無”
15、禁用不必要的服務。
TCP/IP NetBIOS Helper
Server
Distributed Link Tracking Client
Print Spooler
Remote Registry
Workstation

16、網站方件夾安全屬性設定
刪除C:\ inetpub 目錄。刪不了，不研究了。把許可權最低。。。禁用或刪除預設網站。我這裡不刪除了。停止即可。一般給網站目錄許可權為：
System 完全控制
Administrator 完全控制
Users 讀
IIS_Iusrs 讀、寫
在IIS7 中刪除不常用的映射 建立網站試一下。一定要選到程式所在的目錄，這裡是www.postcha.com目錄，如果只選擇到wwwroot目錄的話，網站就變成子目錄或虛擬目錄安裝了，比較麻煩。所以一定要選擇網站檔案所在的目錄，填上主機頭。因為我們是在虛擬機器上測試，所以對hosts檔案修改一下，類比用網域名稱訪問。真實環境中，不需要修改hosts檔案，直接解釋網域名稱到主機就行。目錄許可權不夠，這個下個教程繼續說明。至少，我們的頁面已經正常了。

17、禁用IPV6。看操作。

在windows server 2008 R2作業系統下部署weblogic web application，部署完成後進行測試，發現測試頁的地址使用的是隧道適配器的地址，而不是靜態ip地址，而且所在的網路並沒有ipv6接入，因此決定將ipv6和隧道適配器禁用，操作如下：
禁用ipv6很簡單，進入 控制台\網路和網際網路\網路和共用中心 單擊面板右側“更改適配器設定”進入網路連接介面，選擇要設定的串連，右鍵選擇屬性，取消網際網路通訊協定 (IP)版本 6 (TCP/IPv6) 前面的選擇框確定即可。

要禁用隧道適配器需要更改註冊表資訊，操作如下：
開始 -> 運行 - > 輸入 Regedit 進入登錄編輯程式
定位到：
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip6\Parameters]
右鍵點擊 Parameters，選擇建立 -> DWORD (32-位)值
命名值為 DisabledComponents，然後修改值為 ffffffff (16進位)
重啟後生效
DisableComponents 值定義：
0， 啟用所有 IPv 6 組件，預設設定
0xffffffff，禁用所有 IPv 6 組件, 除 IPv 6 環回介面
0x20， 以首碼策略中使用 IPv 4 而不是 IPv 6
0x10， 禁用本機 IPv 6 介面
0x01， 禁用所有隧道 IPv 6 介面
0x11， 禁用除用於 IPv 6 環回介面所有 IPv 6 介面

OVER ! 重啟下伺服器吧