Windows 伺服器系統安全防禦加固方法

標籤：windows 加固方法

Windows 伺服器系統安全防禦加固方法

• 更新：

  2017-06-01 19:24

windows伺服器安全強化方案，該方案主要針對windows server 2008 r2，當然對於2012等其他系統也是適用的。

1. 1

   刪除無用賬戶：

   使用Win+R鍵調出運行，輸入compmgmt.msc->本機使用者和組，刪除不用的賬戶

   確保guest賬戶處于禁用狀態，修改管理員預設使用者名administrator為其他。

2. 2

   增強口令策略:

   使用Win+R鍵調出運行，輸入secpol.msc->安全設定

   1.安全性原則->密碼原則

   密碼必須符合複雜性要求：啟用

   密碼長度最小值：8個字元

   密碼最短使用到期日：0天

   密碼最長使用到期日：90天

   強制密碼曆史：1個記住密碼

   用可還原的加密來儲存密碼：已禁用

   2.本地策略->安全選項

   互動式登入：不顯示最後的使用者名稱：啟用

3. 3

   關閉不需要的服務：

   使用Win+R鍵調出運行，輸入services.msc.禁用以下服務：

   Application  Layer Gateway Service

   Background  Intelligent Transfer Service

   Computer Browser

   DHCP Client

   Diagnostic Policy Service

   Distributed Transaction Coordinator

   DNS Client

   Distributed Link Tracking Client

   Remote Registry

   Print Spooler

   Server

   Shell Hardware Detection

   TCP/IP NetBIOS Helper

   Windows Remote Management

4. 4

   關閉netbios服務（關閉139連接埠）：

   網路連接->本地串連->屬性->Internet協議版本 4->屬性->進階->WINS->禁用TCP/IP上的NetBIOS。

   說明：關閉此功能，你伺服器上所有共用服務功能都將關閉，別人在資源管理員中將看不到你的共用資源。這樣也防止了資訊的泄露。

5. 5

   關閉網路檔案和列印共用：網路連接->本地串連->屬性，把除了“Internet協議版本 4”以外的東西都勾掉。

6. 6

   關閉IPV6：

   先關閉網路連接->本地串連->屬性->Internet協議版本 6 (TCP/IPv6)

   然後再修改註冊表：HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip6\Parameters，增加一個Dword項，名字：DisabledComponents，值：ffffffff（十六位的8個f）

7. 7

   關閉microsoft網路用戶端（關閉445連接埠）

   445連接埠是netbios用來在區域網路內解析機器名的服務連接埠，一般伺服器不需要對LAN開放什麼共用，所以可以關閉。

   修改註冊表：HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NetBT\Parameters，則更加一個Dword項：SMBDeviceEnabled，值：0

8. 8

   關閉LLMNR（關閉5355連接埠）

   使用組策略關閉，運行->gpedit.msc->電腦配置->系統管理範本->網路->DNS用戶端->關閉多播名稱解析->啟用

9. 9

   增加網路訪問限制：

   使用Win+R鍵調出運行，輸入secpol.msc->安全設定->本地策略->安全選項:

   網路訪問: 不允許 SAM 帳戶的匿名枚舉：已啟用

   網路訪問: 不允許 SAM 帳戶和共用的匿名枚舉：已啟用

   網路訪問: 將 Everyone許可權應用於匿名使用者：已禁用

   帳戶: 使用空密碼的本地帳戶只允許進行控制台登入：已啟用

10. 10

    修改3389遠端存取預設連接埠：

    1.防火牆中設定

    1.控制台——windows防火牆——進階設定——入站規則——建立規則——連接埠——特定連接埠tcp（如13688）——允許串連 2.完成以上操作之後右擊該條規則範圍——本地ip地址——任何ip地址——遠程ip地址——下列ip地址—— 添加管理者ip 同理其它連接埠可以通過此功能對特定網段屏蔽（如80連接埠）。

    2.運行regedit 2.[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\Wds \rdpwd\Tds \tcp] 和 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\TerminalServer\WinStations\RDP-TCP]，看見PortNamber值了嗎？其預設值是3389，修改成所希望的連接埠即可，例如13688

    3.[HKEY_LOCAL_MACHINE\SYSTEM\CurrentContro1Set\Control\Tenninal Server\WinStations\ RDP\Tcp]，將PortNumber的值（預設是3389）修改成連接埠13688（自訂）。

11. 11

    給Everyone降權：

    滑鼠右鍵系統磁碟機（磁碟）->“屬性”->“安全”，查看每個系統磁碟機根目錄是否設定為Everyone有所有許可權

    刪除Everyone的許可權或者取消Everyone的寫入權限

12. 12

    增加日誌審計：

    使用Win+R鍵調出運行，輸入secpol.msc ->安全設定->本地策略->稽核原則

    建議設定：

    稽核原則更改：成功

    審核登入事件：成功，失敗

    審核對象訪問：成功

    審核進程跟蹤：成功，失敗

    審核目錄服務訪問：成功，失敗

    審核系統事件：成功，失敗

    審核帳戶登入事件：成功，失敗

    審核帳戶管理：成功，失敗

13. 13

    關閉ICMP

    在伺服器的控制台中開啟 windows防火牆 ， 點擊 進階設定->點擊 入站規則 ——找到 檔案和印表機共用(回應要求 - ICMPv4-In) ，啟用此規則即是開啟ping，禁用此規則IP將禁止其他用戶端ping通，但不影響TCP、UDP等串連。

    650) this.width=650;" class="exp-image-default" alt="Windows 伺服器系統安全防禦加固方法" src="https://imgsa.baidu.com/exp/w=500/sign=a612b15a41fbfbeddc59367f48f1f78e/060828381f30e9244424bc5446086e061c95f7d7.jpg" />

14. 14

    IIS配置為不返回詳細錯誤資訊：

    編輯web.config<customErrors>標記的“mode”屬性不能設定為“Off”，這樣使用者能看到異常詳情。並在IIS角色服務中去掉瀏覽目錄、 ASP、CGI、在伺服器端包含檔案。

本文出自 “天馬行空” 部落格，請務必保留此出處http://techmc.blog.51cto.com/740121/1981423

Windows 伺服器系統安全防禦加固方法