Windows server 2008r2系统基本安全加固方案

Windows server 2008r2系统基本安全加固方案

一、针对用户配置

（一）、账户操作

  禁用guest账户、删除无效和到期账户、更改管理员名称都可以直接在“计算机管理”中进行操作

  进入方式：windows徽标键（win键） + R，输入“compmgmt.msc”进入计算机管理。

1、禁用guest账户

  Guest帐户即所谓的来宾帐户，它可以访问计算机，但受到极大的限制。然而黑客依然可以通过该账户进行入侵提权。在不需要使用该账户的情况下，禁用是最好的选择。

  操作流程：本地用户和组=>用户=>Guest 在“账户已禁用”选项上打钩启用。

2.删除无效或到期的账户，同时更改管理员名称

  无效或是到期的用户，一般是指不会再次使用的账户，这些账户对于计算机而言也是一个隐患，所以最好删除掉。

  操作流程：本地用户和组=>用户=>选择无效或是到期的用户=>右键选择删除。

3、更改管理员名称

  windows系统的默认管理员账号在网上轻易就能搜索得到，因此最好将管理员的默认账户名更改掉，减小被爆破的几率。
  操作流程：本地用户和组=>用户=>选择无效或是到期的用户=>右键选择删除。

（二）、账户策略

  “账户策略”主要用来加强用户的账户对爆破的防御能力，下含“密码策略”和“账户锁定策略”。可以通过“本地安全策略”或是“本地组策略编辑器”进行设置，以下是以“本地安全策略”内配置为例：

  进入方式：windows徽标键（win键） + R，输入“secpol.msc”进入本地安全策略。

1、密码策略

  密码又被称为口令，作为操作系统、用户身份鉴别信息应具有不易被冒用的特点，且口令应符合一定的复杂度要求并定期更换。密码策略内的各条策略的含义及其配置如下：

（1）、密码必须符合复杂性要求

  含义：密码复杂性是指密码必须满足由数字、大小写字母和特殊符号组成。
  配置：双击后勾选“已启用”，启用该策略。

（2）、密码长度最小值

  含义：即密码的长度。增加密码的复杂程度和被爆破的难度。
  配置：最小长度值一般配置最低为8个字符，上限为14个字符。（为0时，表示不限制密码长度。）

（3）、密码最短使用期限

  含义：密码最短的使用时间，未超过设定的时间期限不能修改密码。
  配置：可以按照需求灵活配置，一般可设置为7天，上限为998天。（为0时，表示可以随时更改密码。）
  注意：密码最短使用期限在设置时，强制默认小于等于密码最长使用期限。

（4）、密码最长使用期限

  含义：密码最长使用时间，超过设定的时间期限后，如果不修改密码，则会在每次使用旧密码登陆后，弹窗提醒修改密码。
  配置：默认为42天。可以按照需求灵活配置，上限为999天。（为0时，表示密码没有使用期限，可以一直使用）

（5）、强制密码历史

  含义：记忆最近的使用的旧密码的个数，使得被记忆的密码无法再次使用。
  配置：可以按照需求灵活配置，一般设置记忆数量不超过5个，上限为24个。（为0时，表示可以随意使用之前的旧密码作为新密码使用）

（6）、用可还原的加密来存储密码

  含义：此安全设置确定操作系统是否使用可还原的加密来储存密码。
  配置：可还原存在一定隐患，在没有需求情况先最好禁用。

配置结果如下图：

2、配置账户锁定策略

  账户锁定策略用于在同一个账户输入次数达到指定次数后，自动锁定该账户一段时间后才能再次进行登录。用于防范被他人暴力爆破。锁定账户策略各条策略的含义及配置如下：
  注意：账户锁定策略对管理员无效。

（1）、账户锁定时间

  含义：在达到“账户锁定阈值”的限制次数时会锁定账户一定时间。
  配置：可以按照需求灵活配置，一般默认在打开设定“账户锁定阈值后”自动定为30分钟，上限为99999分钟。

（2）、账户锁定阈值

  含义：同一账户的登入失败次数限制，一旦超过设置的限制次数会自动锁定该账户一定时间。
  配置：可以按照需求灵活配置，一般设置为5次，上限为999。（为0时，表示不限制登入失败次数）

（3）、重置账户锁定计数器

  含义：重置账户登入失败次数。
  配置：可以按照需求灵活配置，一般默认在打开设定“账户锁定阈值后”自动定为30分钟，上限为99999分钟。
  注意：该项策略设定时间时，强制默认必须小于等于“账户的锁定时间”。

配置结果如下图：

二、针对系统配置

  针对系统的配置比较分散，以下我就我所学到的配置进行举例说明。如有不足请各位大佬多多包涵。

（一）、本地组策略编辑器内的配置

1、进入本地组策略编辑器**

  通过windows徽标键（win键）+ R，输入“gpedit.msc”进入

2、设置安全审核

  审核在计算机上的所有操作，默认无审核，最好全部开启。

  配置结果如下图

3、用户权限分配配置

  主要是将权限分配给用户或者组，使用用户或组能够对系统进行操作。重要的有：
  （1）、“从网络访问此计算机”策略除了给予管理员组外，只给予值得信任的用户。
  （2）、“从远程系统强制关机”、“关闭系统”、“取得文件或其他对象的所有权”三个策略只给予管理员或者管理员组

4、安全选项

  主要是对策略的启用与关闭，重要的有：
  （1）、Microsoft网络客户端：暂停会话前所需的空闲时间
  （对于不活动的用户，最好是设置一定时间断开连接，可以设置为15分钟。
  （2）、关机：清除虚拟内存
  如果电脑的内存太小，会直接影响到系统效率，这时就得使用虚拟内存。虚拟内存就是将硬盘虚拟成为内存，生成一个用作缓存的页面文件。但是每次关机时，这个虚拟内存在默认的设置中，并不会释放它所记忆的数据，在下次开机时就会影响到开机时间。因此最好设置关机时自动删除，当然开启后会影响关机速度。
  （3）、交互不显示最后的用户名
  系统会默认记住上一个登陆的用户的登陆名。本意是为了方便用户的登陆，但却为心怀恶念之人提供了一个方便之门。因此在非必要的情况下最好禁用该功能。同时该策略配合“账户策略”能够提高对爆破的防御能力。

5、远程桌面服务策略

  远程桌面相关的安全策略，主要配置对已断开连接的远程桌面服务会话配置时间限制。一般配置断开时间为1分钟。配置如下：

6、自动播放关闭

  一旦将介质插入驱动器，自动播放就开始从驱动器中进行读取操作。这样，程序的安装文件和音频媒体上的音乐将立即启动。同时这也为恶意软件提供了可乘之机，因此最好关闭该项功能。

（二）、其余零散重要配置

1、日志文件配置

  日志文件，它记录着Windows系统及其各种服务运行的每个细节，对增强Windows的稳定和安全性，起着非常重要的作用。不注意对它保护，一些“不速之客”很轻易就将日志文件清空，给系统带来严重的安全隐患。
  可已通过修改日志文件的存放位置、使用NTFS文件权限给日志文件设置访问权限。
  同时因为服务的流量会产生大量的日志内容，默认的日志文件的容量太小，必须增大日志的容量
  日志文件配置点如下：
 （1）、windows徽标键（win键） + R，输入“compmgmt.msc”进入计算机管理。

 （2）、点击windows日志项。

 （3）、右键选项进入属性界面。

 （4）、修改默认路径、增加日志文件容量大小（下图为未配置的默认值，可根据需求自行配置）。
。

2、默认共享检查

将默认共享的磁盘从默认共享内移除。进入cmd

输入命令：net share

使用命令,以删除c盘为例：net share C$ /del

3、磁盘配额

  磁盘配额可以限制指定账户能够使用的磁盘空间,这样可以避免因某个用户的过度 使用磁盘空间造成其他用户无法正常工作甚至影响系统运行。操作流程如下

windows徽标键（win键） + R，输入“compmgmt.msc”进入计算机管理。

进入属性

配置磁盘额度

注意：以上配置涉及策略的项，在各项策略配置完毕后，一定要注意更新。更新策略的方式有：
  1.重启计算机。
  2.注销用户，重新登陆。
  3.windows徽标键（win键） + R，输入“gpupdate /force”强制更新组策略。