Windows Server 加固说明

最新推荐文章于 2024-05-02 21:46:19 发布
最新推荐文章于 2024-05-02 21:46:19 发布
阅读量737 收藏 8
点赞数
文章标签: windows oracle 数据库
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/FK2000000/article/details/133236270
版权

1.1账户

默认账户安全

  • 禁用Guest账户。

  • 禁用或删除其他无用账户(建议先禁用账户三个月,待确认没有问题后删除)。

操作步骤

打开控制面板>管理工具>计算机管理,在系统工具>本地用户和组>用户中,双击Guest账户,在属性中选中账户已禁用,单击确定

按照用户分配账户

按照用户分配账户。根据业务要求,设定不同的用户和用户组。例如,管理员用户,数据库用户,审计用户,来宾用户等。

操作步骤

打开控制面板>管理工具>计算机管理,在系统工具>本地用户和组中,根据您的业务要求设定不同的用户和用户组,包括管理员用户、数据库用户、审计用户、来宾用户等。

定期检查并删除与无关账户

定期删除或锁定与设备运行、维护等与工作无关的账户。

操作步骤

打开控制面板>管理工具>计算机管理,在系统工具>本地用户和组中,删除或锁定与设备运行、维护等与工作无关的账户。

不显示最后的用户名

配置登录登出后,不显示用户名称。

操作步骤

打开控制面板>管理工具>本地安全策略,在本地策略>安全选项中,双击交互式登录:不显示最后的用户名,选择已启用并单击确定

1.2口令

密码复杂度

密码复杂度要求必须满足以下策略:

  • 最短密码长度要求八个字符。

  • 启用本机组策略中密码必须符合复杂性要求的策略。即密码至少包含以下四种类别的字符中的两种:

    • 英语大写字母A,B,C,…Z

    • 英语小写字母a,b,c,…z

    • 西方阿拉伯数字0,1,2,…9

    • 非字母数字字符,如标点符号,@,#,$,%,&,*等

操作步骤

打开控制面板>管理工具>本地安全策略,在账户策略>密码策略中,确认密码必须符合复杂性要求策略已启用。

密码最长留存期

对于采用静态口令认证技术的设备,账户口令的留存期不应长于90天。

操作步骤

打开控制面板>管理工具>本地安全策略,在账户策略>密码策略中,配置密码最长使用期限不大于90天。

账户锁定策略

对于采用静态口令认证技术的设备,应配置当用户连续认证失败次数超过10次后,锁定该用户使用的账户。

操作步骤

打开控制面板>管理工具>本地安全策略,在账户策略>账户锁定策略中,配置账户锁定阈值不大于10次。

配置样例:

1.3授权

远程关机

在本地安全设置中,从远端系统强制关机权限只分配给Administrators组。

操作步骤

打开控制面板>管理工具>本地安全策略,在本地策略>用户权限分配中,配置从远端系统强制关机权限只分配给Administrators组。

本地关机

在本地安全设置中关闭系统权限只分配给Administrators组。

操作步骤

打开控制面板>管理工具>本地安全策略,在本地策略>用户权限分配中,配置关闭系统权限只分配给Administrators组。

用户权限指派

在本地安全设置中,取得文件或其它对象的所有权权限只分配给Administrators组。

操作步骤

打开控制面板>管理工具>本地安全策略,在本地策略>用户权限分配中,配置取得文件或其它对象的所有权权限只分配给Administrators组。

授权账户登录

在本地安全设置中,配置指定授权用户允许本地登录此计算机。

操作步骤

打开控制面板>管理工具>本地安全策略,在本地策略>用户权限分配中,配置允许本地登录权限给指定授权用户。

授权账户从网络访问

在本地安全设置中,只允许授权账号从网络访问(包括网络共享等,但不包括终端服务)此计算机。

操作步骤

打开控制面板>管理工具>本地安全策略,在本地策略>用户权限分配中,配置从网络访问此计算机权限给指定授权用户。

2.日志配置操作

2.1日志配置

审核登录

设备应配置日志功能,对用户登录进行记录。记录内容包括用户登录使用的账户、登录是否成功、登录时间、以及远程登录时、及用户使用的IP地址。

操作步骤

打开控制面板>管理工具>本地安全策略,在本地策略>审核策略中,设置审核登录事件

审核策略

启用本地安全策略中对Windows系统的审核策略更改,成功和失败操作都需要审核。

操作步骤

打开控制面板>管理工具>本地安全策略,在本地策略>审核策略中,设置审核策略更改

审核对象访问

启用本地安全策略中对Windows系统的审核对象访问,成功和失败操作都需要审核。

操作步骤

打开控制面板>管理工具>本地安全策略,在本地策略>审核策略中,设置审核对象访问

审核事件目录服务访问

启用本地安全策略中对Windows系统的审核目录服务访问,仅需要审核失败操作。

操作步骤

打开控制面板>管理工具>本地安全策略,在本地策略>审核策略中,设置审核目录服务器访问

审核特权使用

启用本地安全策略中对Windows系统的审核特权使用,成功和失败操作都需要审核。

操作步骤

打开控制面板>管理工具>本地安全策略,在本地策略>审核策略中,设置审核特权使用

审核系统事件

启用本地安全策略中对Windows系统的审核系统事件,成功和失败操作都需要审核。

操作步骤

打开控制面板>管理工具>本地安全策略,在本地策略>审核策略中,设置审核系统事件

审核账户管理

启用本地安全策略中对Windows系统的审核账户管理,成功和失败操作都要审核。

操作步骤

打开控制面板>管理工具>本地安全策略,在本地策略>审核策略中,设置审核账户管理

审核过程追踪

启用本地安全策略中对Windows系统的审核进程追踪,仅失败操作需要审核。

操作步骤

打开控制面板>管理工具>本地安全策略,在本地策略>审核策略中,设置审核进程追踪

日志文件大小

设置应用日志文件大小至少为8192 KB,可根据磁盘空间配置日志文件大小,记录的日志越多越好。并设置当达到最大的日志尺寸时,按需要轮询记录日志。

操作步骤

打开控制面板>管理工具>事件查看器,配置应用日志、系统日志、安全日志属性中的日志大小,以及设置当达到最大的日志尺寸时的相应策略。

3.IP协议安全配置

3.1IP协议安全

启用SYN攻击保护

启用SYN攻击保护。

  • 指定触发SYN洪水攻击保护所必须超过的TCP连接请求数阈值为5。

  • 指定处于SYN_RCVD状态的TCP连接数的阈值为500。

  • 指定处于至少已发送一次重传的SYN_RCVD状态中的TCP连接数的阈值为400。

操作步骤

打开注册表编辑器,根据推荐值修改注册表键值。

Windows Server 2012

  • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\SynAttackProtect推荐值:2

  • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\TcpMaxHalfOpen推荐值:500

Windows Server 2008

  • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SynAttackProtect推荐值:2

  • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\TcpMaxPortsExhausted推荐值:5

  • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\TcpMaxHalfOpen推荐值:500

  • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\TcpMaxHalfOpenRetried推荐值:400

4.文件权限

4.1共享文件夹及访问权限

关闭默认共享

非域环境中,关闭Windows硬盘默认共享,例如C,D。

操作步骤

打开注册表编辑器,根据推荐值修改注册表键值。

注意

Windows Server 2012版本已默认关闭Windows硬盘默认共享,且没有该注册表键值。

HKLM\System\CurrentControlSet\Services\LanmanServer\Parameters\AutoShareServer推荐值:0

共享文件夹授权访问

每个共享文件夹的共享权限,只允许授权的账户拥有共享此文件夹的权限。

操作步骤

每个共享文件夹的共享权限仅限于业务需要,不要设置成为Everyone。打开控制面板>管理工具>计算机管理,在共享文件夹中,查看每个共享文件夹的共享权限。

5.服务安全

5.1禁用TCP/IP上的NetBIOS

禁用TCP/IP上的NetBIOS协议,可以关闭监听的UDP 137(netbios-ns)、UDP 138(netbios-dgm)以及TCP 139(netbios-ssn)端口。

操作步骤

  1. 计算机管理>服务和应用程序>服务中禁用TCP/IP NetBIOS Helper服务。

  2. 在网络连接属性中,双击Internet协议版本4(TCP/IPv4),单击高级。在WINS页签中,进行如下设置:

禁用不必要的服务

禁用不必要的服务,请参考:

6.安全选项

6.1启用安全选项

操作步骤

打开控制面板>管理工具>本地安全策略,在本地策略>安全选项中,进行如下设置:

6.2禁用未登录前关机

服务器默认是禁止在未登录系统前关机的。如果启用此设置,服务器安全性将会大大降低,给远程连接的黑客造成可乘之机,强烈建议禁用未登录前关机功能。

操作步骤

打开控制面板>管理工具>本地安全策略,在本地策略>安全选项中,禁用关机:允许系统在未登录前关机策略。

7.其他安全配置

7.1防病毒管理

Windows系统需要安装防病毒软件。

操作步骤

安装企业级防病毒软件,并开启病毒库更新及实时防御功能。

7.2设置屏幕保护密码和开启时间

设置从屏幕保护恢复时需要输入密码,并将屏幕保护自动开启时间设定为五分钟。

操作步骤

启用屏幕保护程序,设置等待时间为5分钟,并启用在恢复时使用密码保护

7.3限制远程登录空闲断开时间

对于远程登录的账户,设置不活动超过时间15分钟自动断开连接。

操作步骤

打开控制面板>管理工具>本地安全策略,在本地策略>安全选项中,设置Microsoft网络服务器:暂停会话前所需的空闲时间数量属性为15分钟。

7.4操作系统补丁管理

安装最新的操作系统Hotfix补丁。安装补丁时,应先对服务器系统进行兼容性测试。

操作步骤

安装最新的操作系统Hotfix补丁。安装补丁时,应先对服务器系统进行兼容性测试。

小-Raccoon
关注
  • 0
    点赞
  • 8
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
1-5 Windows server 2012R2安全加固
weixin_43263566的博客
10-09 306
Windows server 2012R2安全加固
Windows操作系统加固
悦分享
06-04 920
2020年1月,微软宣布停止对Windows7操作系统的更新服务,同时不再提供针对其的技术支持、软件更新、漏洞修复等(以下简称“WIN7停服”),继续使用Windows 7操作系统的用户将面临较大的安全风险。建议相关用户尽快更新迭代到更加安全的操作系统。本实践指南从WIN7停服带来的安全风险分析出发,以操作系统加固体系为基础,参考国内外的相关技术指导文件,并重点结合多家网络安全厂商和用户在实际运维中的最佳实践,从安全防护加固和安全配置加固两方面提出了对Windows 7操作系统安全加固的实践建议。
Windows操作系统安全及入侵排查
09-30
本PPT介绍: 1、Windows操作系统的安全配置,通过设置这些配置项可以在一定程度上保证系统的安全性,有效降低被攻击的风险,为业务稳定运行提供一定的保障。安全配置加固涉及的方面包括:补丁管理、账号口令、授权管理、服务管理、功能优化、文件管理、远程访问控制防护、日志审计。课程以Windows server 2008为例,根据上述八大方面提供了详尽的配置操作及说明。 2、Windows系统被入侵后可能出现的异常现象,通过这些异常特征来判断系统是否被入侵。课程还介绍了针对系统入侵的应急排查步骤和要求,主要涉及的排查内容包括:检查系统应用日志、检查账户、检查文件、检查系统启动项和计划任务、检查进程和网络连接、检查是否存留后门等恶意程序,根据上述检查内容提供相关的操作及说明
2012服务器优化工具,Windows server 2012服务器安全加固与web环境配置优化
weixin_42131785的博客
07-31 1313
这周给团队服务器做升级优化,系统重装为Windows server 2012,以下是一些安全配置和web环境配置优化笔记。一、查看系统信息一些基础命令查看主机名:hostname查看网络配置:ipconfig /all查看路由表:route print查看开放端口:netstat -ano二、系统帐号管理2.1 帐号管理“Win+R”键调出“运行”->输入compmgmt.msc->打...
Windows Server 安全策略配置
最新发布
轻舟已过万重山
05-02 931
Windows Server是由微软开发的一种操作系统,主要用于在企业或机构的服务器上运行。它提供了一系列的功能和工具,旨在提高服务器的性能、可靠性、安全性和管理性。
Windows Server服务器安全加固基线配置
weixin_44147924的博客
08-25 1457
一、账户管理、认证授权。
windows-安全加固
m0_52756591的博客
01-18 357
windows-安全加固
windows系统安全加固
剁椒鱼头没剁椒的博客
10-18 9284
一、身份鉴别 1.密码安全策略 位置: 开始——管理工具——本地安全策略——账户策略——密码策略。 加固设置: (1)开启密码复杂度 (2)密码长度最小值为8个字符 (3)密码最短使用期限30天 (4)密码最长使用期限90天 (5)强制密码历史5个 2. 账户锁定策略 位置: 开始——管理工具——本地安全策略——账户策略——账号锁定策略。 加固设置: (1)账户锁定时间30分钟 (2)账户锁定阈值5次 (3)重置账户锁定计算器10分钟 二、访问控制 1. 用户权限分配 位置: 开始——管理工具——本地安全策
windows server 服务器安全加固
ligt
07-22 797
账户 对于管理员账号,要求更改缺省账户名称,并且禁用 guest (来宾) 账号 按照用户分配账户,根据系统要求,设定不同的账户和账户组,管理员用户,数据库用户,审计用户,来宾用户等 删除或锁定与设备运行、维护等工作无关的账户 操作 开始–>管理工具–>本地安全策略–>安全选项,最底下重命名系统管理员账户 开始–>管理工具–>计算机管理–>本地用户和组–>用户,然后要操作哪个用户就右击,然后属性 口令 密码复杂度设置,最短6个字符,四分之三原则(大小写字母,数字,
windows系统管理_windows server 2016 用户管理
JiuMeilove的博客
04-12 3万+
*计算机用户账户:**由将用户定义到某一系统的所有信息组成的记录,账户为用户或计算机提供安全凭证,包括用户名和用户登陆所需要的密码,以及用户使用以便用户和计算机能够登录到网络并访问域资源的权利和权限。不同的身份拥有不同的权限,就像是一栋别墅,这栋别墅的主人可以对这栋别墅里的物品做任意处理,包括使用,买卖,丢弃等等,而如果这栋别墅通过主人出租出去的话,新来的租客对这栋别墅里的物品只有使用的权力而没有使用和丢弃的权利,他的权限是远远低。
Windows Server 2008 主机安全加固文档
03-26
关于server 2008主机安全加固的详细说明文档,可用于WEB服务器的安全加固等。 原创文档.
windows系统安全加固(修正版)
05-02
windows系统安全加固(修正版)
Windows服务器详细安全设置
01-09
安装说明:系统全部NTFS格式化,重新安装系统、安装杀毒软件,并将杀毒软件更新,安装sp2补钉,安装IIS(只安装必须的组件),安装SQL2000,安装.net2.0,开启防火墙。并将服务器打上新的补钉。  2)、关闭不需要的...
Web服务器安全加固步骤.docx
06-07
步骤 注意: 安装和配置 Windows Server 2003。 将<systemroot>\System32\cmd.exe转移到其他目录或更名; 系统帐号尽量少,更改默认帐户名(如Administrator)和描述,密码尽量复杂; 拒绝通过网络访问该计算机...
中职比赛,D阶段加固,详细
06-23
然后,再次尝试爆破,如果无法成功,说明加固有效。 2. **RDP远程代码执行漏洞(MS12-020)**:此漏洞存在于Windows Server 2008 R2上,攻击者可利用nmap扫描并利用MS12-020漏洞进行攻击。加固措施包括禁用远程桌面...
windows默认共享的打开和关闭
热门推荐
远有青山
11-05 5万+
windows默认共享的打开和关闭 Windows启动时都会默认打开admin$ ipc$ 和每个盘符的共享,对于不必要的默认共享,一般都会把它取消掉,可当又需要打开此默认共享时,又该从哪里设置呢,一般来说有两个地方,MSDOS命令和计算机管理共享文件夹,下面主要从DOS命令来设置,因为比较简单,也可进行批处理。 一、因为Windows是默认打开默认共享的,还是先从删除默认共享开始吧:
2.6 Windows server 的安全配置
qq_55202378的博客
07-16 1889
安全配置
最实用的Windows安全加固手册
告白的博客
11-15 1万+
0x00 windows安全加固介绍 安全加固是对信息系统中的主机系统(包括主机所运行的应用系统)与网络设备、安全设备的脆弱性进行 分析并修补。另外,安全加固也包括了对主机系统的身份鉴别与认证、访问控制和审计跟踪策略的增强。 安全加固是配置软件系统的过程,针对服务器操作系统、数据库及应用中间件等软件系统,堵塞漏洞 “后门”,合理进行安全性加强,提高其健壮性和安全性,增加攻击者入侵的难度,系统安全防范水平得到大幅提 0x01 Windows server 加固实例步骤 (一)身份鉴别 设置本地密码安全策略:
服务器维护经验分享,服务器维护经验谈:默认共享的开与关
weixin_35300493的博客
08-06 506
服务器维护经验谈:默认共享的开与关众所周知windows系统从2000开始就引入了一个称为默认共享的概念,当我们安装完操作系统后就会默认开启一些共享,启动包括c$,d$,e$,ipc$,print$,fax$,admin$等等。这些共享是系统自动开启的。即使我们在登录系统后对其使用net share /delete命令进行删除,重新启动计算机后这些默认共享又会出现。一、默认共享带来的危害:大家一定...
windowsserver安全加固脚本
07-04
### 回答1: Windows Server安全加固脚本是一种用于提高服务器安全性的自动化脚本。它可以通过执行一系列预定义的操作来减少系统面临的潜在威胁,并增强服务器的防护能力。下面是关于Windows Server安全加固脚本的一些要点: 1. 安全基线配置:脚本可以根据最佳实践安全配置指南,自动应用服务器的基线配置。这包括关闭不必要的服务和功能、强制使用复杂密码、启用防火墙、限制远程访问等。 2. 更新补丁管理:脚本可以自动检查和安装最新的安全补丁和更新,以修复已知漏洞和强化系统的稳定性与安全性。 3. 强化安全策略:脚本可以自动评估和修改系统的安全策略,限制用户权限和访问权限,加强强密码策略,并设置账户锁定策略等。 4. 安全审计与日志监控:脚本可以帮助配置系统的安全审计功能,并监视系统日志以检测潜在的安全事件和入侵行为。 5. 病毒和恶意软件防护:脚本可以帮助安装和配置杀毒软件和防火墙,确保系统及时检测和阻止恶意软件。 6. 安全加密:脚本可以帮助配置和管理SSL证书、加密通信和安全传输协议,以提供数据加密和安全传输的保障。 总之,Windows Server安全加固脚本是一种功能强大的工具,可以帮助管理员自动化地加固服务器的安全性,减少潜在风险,提高系统的整体安全性和可靠性。 ### 回答2: Windows Server安全加固脚本是指一系列自动化脚本或工具,旨在帮助管理员提高服务器的安全性和防御等级。这些脚本可以执行一系列的操作和设置来加固服务器,以减少潜在的安全风险和漏洞。 首先,安全加固脚本可能会检查操作系统的基本安全设置,例如启用Windows防火墙、禁用不必要的服务和协议等。它还可以帮助禁用不安全的默认设置,如重置默认密码、禁用匿名访问等,以确保服务器上的敏感信息不易受到入侵者的窃取。 其次,脚本还可以帮助管理员设置强密码策略,强制用户使用复杂的密码,并定期更换密码来增加账户的安全性。此外,它还可以帮助管理员管理用户权限,限制特定用户或组的访问权限,以防止未经授权的访问或操作。 此外,安全加固脚本还可以检测并修复服务器上已知的安全漏洞和弱点。例如,它可以帮助安装最新的补丁和更新,以修复操作系统或其他软件中已知的漏洞。它还可以检查服务器上是否安装了安全性软件,如防病毒软件和防火墙,并对其进行更新和配置以提供最佳的保护。 最后,安全加固脚本还可能提供报告和日志功能,以帮助管理员跟踪服务器的安全状况和历史记录。这些报告可以帮助管理员及时发现潜在的安全问题,并采取适当的措施加以解决。 综上所述,Windows Server安全加固脚本可以帮助管理员自动化执行一系列操作和设置,以提高服务器的安全性和防御能力。它可以检查和修复安全设置、强化密码策略、修补安全漏洞等,同时提供报告和日志功能,以帮助管理员监测和维护服务器的安全状态。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值