windows服务器安全设置

第一次写网络文章，只希望我所做的对大家有所帮助

windows2003安全设置是我在网上收集整理并实际进行设置的。服务器为HP Proliant DL580

windows 2003+oracle 8.1.7+office2000

1所有的操作系统都应跟踪系统更新状况，及时安装最新的系统补丁。

2应禁用或删除不是应用必须的默认帐号，如Guest帐号，管理员个人创建的帐号（IIS，Exchange创建的帐号除外），并及时清除不再使用的用户帐号。 Windows2003 已经禁用 Guest 帐号

 

3删除系统中不需要的子系统，如OS/2和POSIX等。可以通过删除注册表中

HKEY_LOCAL_MACHINE/System/CURRENTCONTROLSET/CONTROL/SESSIOMANAGE/SUBSYSTES/OPTIONAL 下的OS2和POSIX的键值，然后再删除%Systemroot%/system32中的相关文件（os2*,posix*和psx*）的办法来实现

删除键值 Optional和Posix

搜索 os2*,posix* 和 psx* ，没有发现对应的文件

4把共享文件的权限从“everyone”组改成“Authenticated Users”

5删除系统所有的不必要的文件共享，限制用户对共享文件的访问权限

6使用NTFS系统

 

7关闭不必要的服务，除非应用需要，否则Windows2000服务器上应关闭以下服务：

ClipBook Server

Messenger

Spooler(unless print spooling is needed)

 

8开启以下帐号审核策略

登入登出 成功，失败

文件和对象访问 失败

用户权限的使用 失败

用户和组管理 成功，失败

安全策略更改 成功，失败

重启、关机 成功，失败

 

Windows2003 的组策略中没有发现以上帐号审核策略

 

9开启帐号策略，策略设置如下

打开组策略下的“计算机配置”－“Windows设置”－“安全设置”－“帐户策略“－“帐

复位帐号锁定计数器5分钟

帐号锁定时间5分钟

帐号锁定阈值5次

号锁定策略”

先设置阈值大小

 

10开启密码策略，策略设置如下：

打开组策略下的“计算机配置”－“Windows设置”－“安全设置”－“帐户策略－“密码策略”

设置用户口令长度最小值为7位

设置口令最短存留期为30天

设置口令最长存留期为180天

设置强制口令历史最少为5个

设置口令必须符合复杂性要求

 

11启用事件日志记录及安全审核功能，包括

打开组策略下的“计算机配置”－“Windows设置”－“安全设置”－“本地策略“－“审核策略”

审核系统登录事件 成功，失败

审核帐号管理 成功，失败

审核登录事件 成功，失败

审核对象访问 成功，失败

审核策略更改 成功，失败

审核特权使用 成功，失败

审核系统事件   成功，失败

 

12如果不需要就应关闭系统的默认共享，可以通过修改注册表来关闭系统的默认共享：

（1）禁用C$,D$一类的缺省共享：

HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services/lanmanserver/parameters下的AutoShareServer的REG_DWORD设置为0x0。

（2）禁止ADMIN$缺省共享：

HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services/lanmanserver/parameters/AutoShareWks的REG_DWORD设置为0x0。

（3）限制IPC$缺省共享：

HKEY_LOCAL_MACHINE/SYSTEMCurrentControlSet/Control/Lsa/restrictanonymous下的REG_DWORD设置为0x0（缺省）或0x1（匿名用户无法列举本机用户列表）或0x2（匿名用户无法连接本机IPC$共享）

说明：使用0x2时，会造成一些使用Windows命名管道的服务无法启动，如 SQL Server等。

如果以上三项在Windows2003无此键值，则在

HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet001/Services/lanmanserver/parameters

中进行修改

 

13确保Windows服务器事件与本地时间符合，或与网络时间服务器时间同步，禁止未经授权改变服务器时间

14 在本机禁止 Remote Registry服务，防止注册表被远程修改

15 从“管理工具”里打开“本地安全设置”，其中的密码策略、帐户锁定策略、审核策略、拥护权限分配、安全选项等都需要仔细配置。笔者以“用户权限分配”为例介绍方法。选中“用户权限分配”后可以看到可进行某一行为的所有默认组 保留Administrator用户

16 打开“管理工具”----“本地安全设置”，打开其“本地策略”中的“安全选项”，在最后面可以看到有一项帐户策略：重命名系统管理员帐户。双击此策略进入其属性即可修改，这里修改为54master 同时打开“管理工具”----“计算机管理”----“本地用户和组”----“用户”，图31。双击Administrator进入其属性，记下其描述，并从新修改为其他描述。然后在“用户”上单击右键，选择“新用户”，写入所示资料后确定。回到“用户”，双击刚建立好的新帐户进入其属性，把默认的全名删除。再在“隶属于”标签里把他从默认所属的Users组里删除后确定

17 禁用Tcp/ip 上的NetBios，

关闭139端口的方法是在“网络和拨号连接”中“本地连接”中选取“Internet协议(TCP/IP)” 属性，进入高级TCP/IP设置”“WinS设置”里面有一项“禁用TCP/IP的NETBIOS”，打勾

nbtstat命令来读取你的NetBIOS信息和网卡MAC地址

18 用如下服务

Computer Browser
Help and Support

TCP/IP NetBIOS Helper
Workstation // 禁用服务后，不能访问此计算机，但应用程序访问正常

19 设置IPSec安全策略，屏蔽135 445端口的攻击445端口屏蔽后，不能访问此计算机，但可以远程进行维护 其中 135端口对应 Blaster Rpc Exploit 漏洞445端口对应 MS-4011 Exploit 漏洞

20清理协议设置，只保留TCP/IP设置

20禁用Server、DHCP Client、DNS Client、Automatic Updates服务