Windows server 2008r2系统基本安全加固方案
一、针对用户配置
(一)、账户操作
禁用guest账户、删除无效和到期账户、更改管理员名称都可以直接在“计算机管理”中进行操作
进入方式:windows徽标键(win键) + R,输入“compmgmt.msc”进入计算机管理。
1、禁用guest账户
Guest帐户即所谓的来宾帐户,它可以访问计算机,但受到极大的限制。然而黑客依然可以通过该账户进行入侵提权。在不需要使用该账户的情况下,禁用是最好的选择。
操作流程:本地用户和组=>用户=>Guest 在“账户已禁用”选项上打钩启用。
2.删除无效或到期的账户,同时更改管理员名称
无效或是到期的用户,一般是指不会再次使用的账户,这些账户对于计算机而言也是一个隐患,所以最好删除掉。
操作流程:本地用户和组=>用户=>选择无效或是到期的用户=>右键选择删除。
3、更改管理员名称
windows系统的默认管理员账号在网上轻易就能搜索得到,因此最好将管理员的默认账户名更改掉,减小被爆破的几率。
操作流程:本地用户和组=>用户=>选择无效或是到期的用户=>右键选择删除。
(二)、账户策略
“账户策略”主要用来加强用户的账户对爆破的防御能力,下含“密码策略”和“账户锁定策略”。可以通过“本地安全策略”或是“本地组策略编辑器”进行设置,以下是以“本地安全策略”内配置为例:
进入方式:windows徽标键(win键) + R,输入“secpol.msc”进入本地安全策略。
1、密码策略
密码又被称为口令,作为操作系统、用户身份鉴别信息应具有不易被冒用的特点,且口令应符合一定的复杂度要求并定期更换。密码策略内的各条策略的含义及其配置如下:
(1)、密码必须符合复杂性要求
含义:密码复杂性是指密码必须满足由数字、大小写字母和特殊符号组成。
配置:双击后勾选“已启用”,启用该策略。
(2)、密码长度最小值
含义:即密码的长度。增加密码的复杂程度和被爆破的难度。
配置:最小长度值一般配置最低为8个字符,上限为14个字符。(为0时,表示不限制密码长度。)
(3)、密码最短使用期限
含义:密码最短的使用时间,未超过设定的时间期限不能修改密码。
配置:可以按照需求灵活配置,一般可设置为7天,上限为998天。(为0时,表示可以随时更改密码。)
注意:密码最短使用期限在设置时,强制默认小于等于密码最长使用期限。
(4)、密码最长使用期限
含义:密码最长使用时间,超过设定的时间期限后,如果不修改密码,则会在每次使用旧密码登陆后,弹窗提醒修改密码。
配置:默认为42天。可以按照需求灵活配置,上限为999天。(为0时,表示密码没有使用期限,可以一直使用)
(5)、强制密码历史
含义:记忆最近的使用的旧密码的个数,使得被记忆的密码无法再次使用。
配置:可以按照需求灵活配置,一般设置记忆数量不超过5个,上限为24个。(为0时,表示可以随意使用之前的旧密码作为新密码使用)
(6)、用可还原的加密来存储密码
含义:此安全设置确定操作系统是否使用可还原的加密来储存密码。
配置:可还原存在一定隐患,在没有需求情况先最好禁用。
配置结果如下图:
2、配置账户锁定策略
账户锁定策略用于在同一个账户输入次数达到指定次数后,自动锁定该账户一段时间后才能再次进行登录。用于防范被他人暴力爆破。锁定账户策略各条策略的含义及配置如下:
注意:账户锁定策略对管理员无效。
(1)、账户锁定时间
含义:在达到“账户锁定阈值”的限制次数时会锁定账户一定时间。
配置:可以按照需求灵活配置,一般默认在打开设定“账户锁定阈值后”自动定为30分钟,上限为99999分钟。
(2)、账户锁定阈值
含义:同一账户的登入失败次数限制,一旦超过设置的限制次数会自动锁定该账户一定时间。
配置:可以按照需求灵活配置,一般设置为5次,上限为999。(为0时,表示不限制登入失败次数)
(3)、重置账户锁定计数器
含义:重置账户登入失败次数。
配置:可以按照需求灵活配置,一般默认在打开设定“账户锁定阈值后”自动定为30分钟,上限为99999分钟。
注意:该项策略设定时间时,强制默认必须小于等于“账户的锁定时间”。
配置结果如下图:
二、针对系统配置
针对系统的配置比较分散,以下我就我所学到的配置进行举例说明。如有不足请各位大佬多多包涵。
(一)、本地组策略编辑器内的配置
1、进入本地组策略编辑器**
通过windows徽标键(win键)+ R,输入“gpedit.msc”进入
2、设置安全审核
审核在计算机上的所有操作,默认无审核,最好全部开启。
配置结果如下图
3、用户权限分配配置
主要是将权限分配给用户或者组,使用用户或组能够对系统进行操作。重要的有:
(1)、“从网络访问此计算机”策略除了给予管理员组外,只给予值得信任的用户。
(2)、“从远程系统强制关机”、“关闭系统”、“取得文件或其他对象的所有权”三个策略只给予管理员或者管理员组
4、安全选项
主要是对策略的启用与关闭,重要的有:
(1)、Microsoft网络客户端:暂停会话前所需的空闲时间
(对于不活动的用户,最好是设置一定时间断开连接,可以设置为15分钟。
(2)、关机:清除虚拟内存
如果电脑的内存太小,会直接影响到系统效率,这时就得使用虚拟内存。虚拟内存就是将硬盘虚拟成为内存,生成一个用作缓存的页面文件。但是每次关机时,这个虚拟内存在默认的设置中,并不会释放它所记忆的数据,在下次开机时就会影响到开机时间。因此最好设置关机时自动删除,当然开启后会影响关机速度。
(3)、交互不显示最后的用户名
系统会默认记住上一个登陆的用户的登陆名。本意是为了方便用户的登陆,但却为心怀恶念之人提供了一个方便之门。因此在非必要的情况下最好禁用该功能。同时该策略配合“账户策略”能够提高对爆破的防御能力。
5、远程桌面服务策略
远程桌面相关的安全策略,主要配置对已断开连接的远程桌面服务会话配置时间限制。一般配置断开时间为1分钟。配置如下:
6、自动播放关闭
一旦将介质插入驱动器,自动播放就开始从驱动器中进行读取操作。这样,程序的安装文件和音频媒体上的音乐将立即启动。同时这也为恶意软件提供了可乘之机,因此最好关闭该项功能。
(二)、其余零散重要配置
1、日志文件配置
日志文件,它记录着Windows系统及其各种服务运行的每个细节,对增强Windows的稳定和安全性,起着非常重要的作用。不注意对它保护,一些“不速之客”很轻易就将日志文件清空,给系统带来严重的安全隐患。
可已通过修改日志文件的存放位置、使用NTFS文件权限给日志文件设置访问权限。
同时因为服务的流量会产生大量的日志内容,默认的日志文件的容量太小,必须增大日志的容量
日志文件配置点如下:
(1)、windows徽标键(win键) + R,输入“compmgmt.msc”进入计算机管理。
(2)、点击windows日志项。
(3)、右键选项进入属性界面。
(4)、修改默认路径、增加日志文件容量大小(下图为未配置的默认值,可根据需求自行配置)。
。
2、默认共享检查
将默认共享的磁盘从默认共享内移除。进入cmd
输入命令:net share
使用命令,以删除c盘为例:net share C$ /del
3、磁盘配额
磁盘配额可以限制指定账户能够使用的磁盘空间,这样可以避免因某个用户的过度 使用磁盘空间造成其他用户无法正常工作甚至影响系统运行。操作流程如下
windows徽标键(win键) + R,输入“compmgmt.msc”进入计算机管理。
进入属性
配置磁盘额度
注意:以上配置涉及策略的项,在各项策略配置完毕后,一定要注意更新。更新策略的方式有:
1.重启计算机。
2.注销用户,重新登陆。
3.windows徽标键(win键) + R,输入“gpupdate /force”强制更新组策略。