Windows服務器安全策略配置——簡單實用！

?

Windows服務器安全策略怎么做？不要覺得這是一個非常深奧遙不可及的問題，其實也是從各個方面去加固系統(tǒng)的安全性而已，它沒有一個定論。

我是艾西今天和你們分享一下windows服務器基本安全策略保障服務器基本安全的一些簡單實用的加固方法。

對windows服務器進行以上的設置和相關策略的制定，可以有效的增加服務器的自身防御能力，防止黑客利用常見的攻擊手段和方法對服務器進行入侵和破壞，降低數(shù)據(jù)被盜取的風險。

?

計算機安全策略配置：

?

(一) 修改遠程桌面端口

將默認端口XXX修改為XXX。

?

(二) 帳戶

對系統(tǒng)管理員默認帳戶administrator進行重命名，停用guest用戶。

?

(三) 開啟windows防火墻

1、取消網(wǎng)絡連接中的文件和打印共享。

2、在例外里面添加遠程桌面端口XXX。

3、在防火墻高級設置時勾選Web服務和安全的Web服務。

4、在防火墻開放FTP端口XX。

5、開放短信發(fā)送平臺端口：XXX

?

(四) 禁用無關服務

1、Printspooler 打印服務

2、Wirelessconfiguration 無線服務

3、RoutingandRemoteAccess在局域網(wǎng)以及廣域網(wǎng)環(huán)境中為企業(yè)提供路由服務。

4、NTLMSecuritysupportprovide：telnet服務和MicrosoftSerch服務使用。

5、Telnet允許遠程用戶登錄到此計算機并運行程序。

6、RemoteDesktopHelpSessionManager：遠程協(xié)助服務。

7、ErrorReportingService收集、存儲和向Microsoft報告異常應用程序。

8、RemoteRegistry 遠程注冊表操作。

?

(五) 禁止IPC空連接

打開注冊表

找到Local_Machine\System\CurrentControlSet\Control\LSA-RestrictAnonymous把這個值改成”1”即可。

?

(六) 刪除默認共享

打開注冊表

找到HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters，新建AutoShareServer類型是REG_DWORD把值改為0。

?

(七) 策略配置

組策略配置:gpedit—>計算機配置—>windows設置—>安全設置—>本地策略。

?

1、在用戶權利分配下，從通過網(wǎng)絡訪問此計算機中刪除PowerUsers和BackupOperators;

2、啟用不允許匿名訪問SAM帳號和共享;

3、啟用不允許為網(wǎng)絡驗證存儲憑據(jù)或Passport;

4、從文件共享中刪除允許匿名登錄的DFS$和COMCFG;

5、啟用交互登錄：不顯示上次的用戶名;

6、啟用在下一次密碼變更時不存儲LANMAN哈希值;

7、禁止IIS匿名用戶在本地登錄。

?

禁用Guest賬戶
Guest賬戶為黑客入侵打開了方便之門，黑客使用Guest賬戶可以進行提權。禁用Guest賬戶是很好的選擇。

?

打開“開始——管理工具——計算機管理——本地用戶和組——用戶——Guest，右鍵打開屬性，打勾“賬戶已禁用”，最后點擊應用和確定即可禁用Guest賬戶

?

?

?

二、密碼策略

操作系統(tǒng)和數(shù)據(jù)庫系統(tǒng)管理，用戶身份標識應具有不易被冒用的特點，口令應有復雜度要求并定期更換密碼。

?

進入“開始——管理工具——本地安全策略”，在“帳戶策略——密碼策略”;

“密碼必須符合復雜度要求” 設置為“啟用”

“密碼長度最小值”設置為“8-12個字符”

“密碼最長使用期限”設置為“90天”

“強制密碼歷史”設置為“記住5個密碼”

“用可以還原的加密來存儲密碼”設置為“禁用”

?

加固前：

?

加固后：

?

?

三、連續(xù)登錄失敗賬戶鎖定策略

應啟用登錄失敗鎖定功能，可采取結束會話、限制非法登錄次數(shù)和自動退出等措施。對于采用靜態(tài)口令認證技術的服務器，應設置當用戶連續(xù)登錄失敗次數(shù)超過5 次(不含5 次)，鎖定該用戶使用的賬號**分鐘。

?

比如連續(xù)登錄失敗超過5次，鎖定該用戶賬號15分鐘

進入“開始——管理工具——本地安全策略”，在“帳戶策略——帳戶鎖定策略”：

“賬戶鎖定時間”設置為15分鐘

“賬戶額鎖定閥值”設置為5 次

“復位賬戶鎖定計數(shù)器”設置為15分鐘

?

?

四、日志審核策略

審核內容應包括重要用戶行為、系統(tǒng)資源的異常使用和重要系統(tǒng)命令的使用等系統(tǒng)內重要的安全相關事件。在主機的審核策略上設置日志審核策略，進入“開始 ——管理工具——本地安全策略”，在“本地策略——審核策略”在主機的審核策略上設置日志審核策略：

審計帳戶登錄事件： 成功，失敗

審計帳戶管理： 成功，失敗

審計目錄服務訪問： 成功，失敗

審計登錄事件： 成功，失敗

審計對象訪問： 成功，失敗

審計策略更改： 成功，失敗

審計特權使用： 成功，失敗

審計系統(tǒng)事件： 成功，失敗

審計過程追蹤： 成功，失敗

?

?

五、設置不顯示最后的用戶名

在本地安全設置系統(tǒng)登錄時不顯示最后的用戶名。

進入“開始——管理工具——本地安全策略”，在“本地策略——安全選項”

“交互式登錄：不顯示最后的用戶名”設置為“已啟用”

?

?

六、啟用主機安全選項的”關機前清除虛擬內存頁面”

應確保系統(tǒng)內的文件、目錄和數(shù)據(jù)庫記錄等資源所在的 存儲空間，被釋放或重新分配 給其他用戶前得到完全清除。

進入“開始——管理工具——本地安全策略”，在本地策略——安全選項
“關機：清除虛擬頁面文件內存”設置為“已啟用”

?

?

?

七、配置日志文件大小
配置日志文件容量，避免受到未預期的刪除、修改或覆蓋等

進入“開始——管理工具——計算機管理——事件查看器——windows日志-系統(tǒng)，右鍵屬性

?

?

?

八、磁盤配額配置

磁盤配額可以限制指定賬戶能夠使用的磁盤空間,這樣可以避免因某個用戶的過度使用磁盤空間造成其他用戶無法正常工作甚至影響系統(tǒng)運行

?

進入“我的電腦——C盤——屬性——配額”

“啟用磁盤管理”設置為啟用

“磁盤空間限制為”設置為”90GB”

“將警告等級設為”設置為”90GB”

“用戶超出配額限制時記錄事件(G)”打勾

?“用戶超過警告等級時記錄事件(V)” 打勾

?

?

九、遠程會話策略

默認情況下，遠程桌面服務允許用戶從遠程桌面服務會話斷開連接，而不用注銷和結束會話。啟用此策略設置，則達到指定時間后將從服務器中刪除已斷開連接的會話

進入運行——gpedit.msc——計算機配置——管理模板——wondows組件——遠程服務——遠程桌面會話主機——會話時間限制

“設置已中斷會話的時間限制”設置為“已啟用”

“結束已斷開連接的會話”設置為“5分鐘”

?

?

?

?

十、強制啟用SSL

當為服務器進行遠程管理時，應采取必要措施，防止鑒別信息在網(wǎng)絡傳輸過程中被竊聽。

?

打開“運行-輸入命令 【gpedit.msc】-本地組策略編輯器—計算機配置—管理模板—windows 組件—遠程桌面服務—遠程桌面會話主機—安全

啟用“設置客戶端連接加密級別”，將加密等級設置為高級。

啟用“遠程（RDP）連接要求使用指定的安全層”安全層選擇SSL。

?

維護系統(tǒng)的安全以及業(yè)務的穩(wěn)定運行，這些步驟必不可少，各位服務器管理員務必重視，安全不怕做多，就怕做少。這些都是常用的操作維護系統(tǒng)的安全，當然也有其它方面的安全性需要鞏固的

?

以上便是運維平常使用的系統(tǒng)鞏固方法，也是最簡單實用的了。

希望今天的分享可以幫助到你們~我是艾西我們下期再見！