windows2008服务器安全设置之基础安全部署

1. 服务器安全设置
 
1.1  管理员账号密码
 
                        首先改掉默认的管理员Administrator 账户的名称,例如:AD_ad.888

                       设置密码复杂一些,数字字母+大小写+字符 例如:pg$RmcrfQaE33HsI

                       密码生成网址:http://suijimimashengcheng.51240.com




2.1  服务器远程连接端口
 
                  
              默认的远程端口是3389,修改为其他端口,例如:53288,开启阿
 
             里云的安全组策略,添加安全组规则把入方向 设置TCP端口为53288
 
             具体的阿里云操作如下图:







3.1  windows2012系统漏洞修复
 
           新装的Windows2008系统,开启windows更新,控制面板—系统安全
 
            ——Windows更新自动更新修复漏洞补丁,如下图示:Sine安全公司是一家专注于:服务器安全、网站安全、网站安全检测、网站安全测试、于一体的安全服务提供商。

 




4.1  杀毒软件的基础安装
 
           安装杀毒软件,国内360在安全响应方面是最领先的,有些漏洞补丁
 
          会及时给用户修复。(除了我们自己研发的漏洞以外)

 



5.1  windows2012本地安全策略

 
           删除windows2012系统的系统默认共享,修改本地登录安全策略
 
          远程连接服务器后,不会在登录屏幕中显示最后成功登录的用户的名称.

                      交互式登陆:不显示最后的用户名       启用 
 
                      网络访问:不允许SAM帐户的匿名枚举     启用  
 
                      网络访问:不允许SAM帐户和共享的匿名枚举     启用 
 
                      网络访问:不允许储存网络身份验证的凭据   启用 
 
                      网络访问:可匿名访问的共享         内容全部删除 
 
                      网络访问:可匿名访问的命名管道       内容全部删除 
 
                      网络访问:可远程访问的注册表路径      内容全部删除 
 
                      网络访问:可远程访问的注册表路径和子路径  内容全部删除 






6.1  禁用一些没用的系统服务
 
               像网站服务器用不了太多的服务,像打印,以及共享服务,
 
                TCP/IP NetBIOS Helper服务、Server服务、 Distributed Link Tracking Client 
 
              、Print Spooler服务、Remote Registry服务、Workstation等等服务都可以关闭,
 
                开放的服务越少,服务器就会越安全:
 
                        Distributed linktracking client   用于局域网更新连接信息 
                      
                        PrintSpooler         打印服务 
 
                        Remote Registry  远程修改注册表 
 
                        Server  计算机通过网络的文件、打印、和命名管道共享 
 
                        TCP/IP NetBIOS Helper   
 
                        TCP/IP (NetBT) 服务
 
                        NetBIOS 和网络上客户端的服务
 
                        NetBIOS 名称解析的支持服务 
 
                       Workstation   泄漏系统用户名列表 与Terminal Services Configuration 关联
          
                        具体的如下图所示:Sine安全公司是一家专注于:服务器安全、网站安全、网站安全检测、网站安全测试、于一体的安全服务提供商。
 




 



7.1  各个分区目录文件夹权限设置
 
             除了系统分区,其他各个磁盘分区都赋予Administrators和SYSTEM
 
             完全控制权限,之后再对其他的子目录作单独的目录权限,一些网站目录
 
             尽可能的设置单独用户运行权限。

 
8.1  系统程序的安全权限设置
 
                      像执行cme.exe net.exe 等命令的时候,直接限制运行。
 
                      操作如下:Gpedit.msc—用户配置—管理模板—系统 
 
                      启用 阻止访问命令提示符 同时也禁用命令提示符脚本处理?
 
                      启用 阻止访问注册表编辑工具 
 
                      启用 不运行指定的windows应用程序,添加下面的命令 
 
                     "cmd.exe","net.exe",
 
                     "tftp.exe",,"net1.exe","netstat.exe","regedit.exe","at.exe","attrib.exe",
 
                      "cacls.exe","format.com","c.exe" 
 
 
                      如下图所示:

 


              另外阿里云账户开启异地登录短信提醒,他们是基于路由器层的监控异地
 
              登录,以及根据经常登录的IP,进行大数据分析判断以及经常登录的计算机
 
              硬件相关信息。

分享:

相关推荐