WindowsServerR2常规安全设置与基本安全策略Word下载.docx
《WindowsServerR2常规安全设置与基本安全策略Word下载.docx》由会员分享,可在线阅读,更多相关《WindowsServerR2常规安全设置与基本安全策略Word下载.docx(18页珍藏版)》请在冰豆网上搜索。
Registry、Workstation
6)禁用IPV6
server2008r2交互式登录:
不显示最后的用户名
一、系统及程序
1、屏幕保护与电源
桌面右键
--〉个性化
--〉屏幕保护程序,屏幕保护程序
选择无,更改电源设置
选择高性能,
选择关闭显示器的时间
关闭显示器
选从不保存修改
2、配置
IIS7组件、
FTP7、php5.5.7
、mysql5.6.15
、phpMyAdmin4.1.8
、phpwind9.0
、
ISAPI_Rewrite环境。
在这里我给大家可以推荐下阿里云的服务器一键环境配置,全自动安
装设置很不错的。
点击查看地址
二、系统安全配置
1、目录权限
除系统所在分区之外的所有分区都赋予Administrators和SYSTEM有完全控制权,之后再对
其下的子目录作单独的目录权限
2、远程连接
我的电脑属性--〉远程设置--〉远程--〉只允许运行带网络超级身份验证的远程桌面的计算
机连接,选择允许运行任意版本远程桌面的计算机连接(较不安全)。
备注:
方便多种版本
Windows远程管理服务器。
windowsserver2008的远程桌面连接,与2003相比,引入了网
络级身份验证(NLA,networklevelauthentication),XPSP3不支持这种网络级的身份验证,
vista跟win7支持。
然而在XP系统中修改一下注册表,即可让XPSP3支持网络级身份验证。
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa在右窗口中双击Security
Pakeages,添加一项“tspkg”。
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders,在右窗口中双击SecurityProviders,添加credssp.dll;
请注意,在添加这项值时,一定要在原有的值
后添加逗号后,别忘了要空一格(英文状态)。
然后将XP系统重启一下即可。
再查看一下,
即可发现XP系统已经支持网络级身份验证
3、修改远程访问服务端口
更改远程连接端口方法,可用windows自带的计算器将10进制转为16进制。
更改3389端口
为8208,重启生效!
WindowsRegistryEditorVersion5.00
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal
Server\Wds\rdpwd\Tds\tcp]
"
PortNumber"
=dword:
0002010
Server\WinStations\RDP-Tcp]
00002010
(1)在开始--运行菜单里,输入regedit,进入注册表编辑,按下面的路径进入修改端口的地方
(2)HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Terminal
Server\WinStations\RDP-Tcp
(3)找到右侧的"
,用十进制方式显示,默认为3389,改为(例如)6666端口
(4)HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal
Server\Wds\rdpwd\Tds\tcp
(5)找到右侧的"
,用十进制方式显示,默认为3389,改为同上的端口
(6)在控制面板--Windows防火墙--高级设置--入站规则--新建规则
(7)选择端口--协议和端口--TCP/特定本地端口:
同上的端口
(8)下一步,选择允许连接
(9)下一步,选择公用
(10)下一步,名称:
远程桌面-新(TCP-In),描述:
用于远程桌面服务的入站规则,以允许RDP通信。
[TCP同上的端口]
(11)删除远程桌面(TCP-In)规则
(12)重新启动计算机
4、配置本地连接
网络--〉属性--〉管理网络连接--〉本地连接,打开“本地连接”界面,选择“属性”,左键点击
“Microsoft网络客户端”,再点击“卸载”,在弹出的对话框中“是”确认卸载。
点击“Microsoft网络的文件和打印机共享”,再点击“卸载”,在弹出的对话框中选择“是”确认卸载。
解除Netbios和TCP/IP协议的绑定139端口:
打开“本地连接”界面,选择“属性”,在弹出的“属性”框中双击“Internet协议版本(TCP/IPV4)”,点击“属性”,再点击“高级”—“WINS”,选择“禁用TCP/IP上的NETBIOS”,点击“确认”并关闭本地连接属性。
禁止默认共享:
点击“开始”—“运行”,输入“Regedit”,打开注册表编辑器,打开注册表项
“HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters
”
,在右边的窗口中新建
Dword
值,名称设为
AutoShareServer
,值设为“0”。
关闭
445端口:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NetBT\Parameters,新建Dword(32位)名称设为SMBDeviceEnabled值设为“0”
5、共享和发现
右键“网络”属性网络和共享中心共享和发现
关闭,网络共享,文件共享,公用文件共享,打印机共享,显示我正在共享的所有文件和文
件夹,显示这台计算机上所有共享的网络文件夹
6、用防火墙限制Ping
网上自己查吧,ping还是经常需要用到的
7、防火墙的设置
控制面板→Windows防火墙设置→更改设置→例外,勾选FTP、HTTP、远程桌面服务核心
网络
HTTPS用不到可以不勾
3306:
Mysql
1433:
Mssql
8、禁用不需要的和危险的服务,以下列出服务都需要禁用。
控制面板管理工具服务
Distributedlinktrackingclient
用于局域网更新连接信息
PrintSpooler
打印服务
RemoteRegistry
远程修改注册表
Server计算机通过网络的文件、打印、和命名管道共享
TCP/IPNetBIOSHelper提供
TCP/IP(NetBT)
服务上的
NetBIOS
和网络上客户端的
名称解析的支持
Workstation
泄漏系统用户名列表
与TerminalServicesConfiguration
关联
ComputerBrowser维护网络计算机更新
默认已经禁用
NetLogon
域控制器通道管理
默认已经手动
RemoteProcedureCall(RPC)Locator
RpcNs*远程过程调用
(RPC)默认已经手动
删除服务scdeleteMySql
9、安全设置-->
本地策略-->
在运行中输入gpedit.msc回车,打开组策略编辑器,选择计算机配置
-->
Windows设置-->
安全设置-->
本地策略-->
不显示最后的用户名
启用
不允许
SAM帐户的匿名枚举
启用已经启用
SAM帐户和共享的匿名枚举
不允许储存网络身份验证的凭据
可匿名访问的共享
内容全部删除
可匿名访问的命名管道
可远程访问的注册表路径
可远程访问的注册表路径和子路径
帐户:
重命名来宾帐户
这里可以更改
guest帐号
重命名系统管理员帐户
Administrator帐号
10、安全设置-->
账户策略-->
账户锁定策略
在运行中输入gpedit.msc回车,打开组策略编辑器,选择计算机配置-->
账户锁定策略,将账户锁定阈值设为“三次登陆无效”,“锁定时间
为30分钟”,“复位锁定计数设为30分钟”。
11、本地安全设置
选择计算机配置
Windows
设置-->
安全设置
本地策略
用户权限分配
关闭系统:
只有
Administrators
组、其它全部删除。
通过终端服务拒绝登陆:
加入
Guests
组、IUSR_*****
、IWAM_*****
、NETWORKSERVICE、
SQLDebugger
通过终端服务允许登陆:
加入Administrators、RemoteDesktopUsers组,其他全部删除
12、更改Administrator,guest账户,新建一无任何权限的假Administrator账户
管理工具→计算机管理→系统工具→本地用户和组→用户
新建一个Administrator帐户作为陷阱帐户,设置超长