win2008r2 web服务器安全配置
分区格式安全
所有分区选择NTFS格式,同时参考“IIS7.5用户和用户组权限配置”文档
帐户安全
启用密码策略
在组策略中启用“密码必须符合复杂性要求”并给系统帐户设置强密码
重命名administrator帐户
禁用guest帐户
设置陷阱帐户
新增一个administrator帐户,设置为guests组或无用户组,并设置强密码
服务安全
停止和禁用不必要的服务
TCP/IP NetBIOS Helper
Server
Workstation
Distributed Link Tracking Client
Print Spooler
Remote Registry
删除默认共享
关闭server服务后将不能访问共享,但是安全起见,还是将默认共享删除
在注册表下面的项中
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters
添加或设置"AutoShareServer"=dword,"AutoSharewks"=dwordHKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA
添加或设置”RestrictAnonymous”= dword禁用netbios
组策略安全设置
审核策略
安全选项
修改远程桌面连接端口
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\Wds\rdpwd\Tds\tcp
和
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp
下的PortNumber=3389改成其它端口并在防火墙中开放相应端口
不仅要对服务器的远程桌面做安全设置,对连接过服务器的计算机也要设置,系统默认是会保存上次成功连接的IP和用户名的,如果管理员通过其它计算机连接过web服务器的远程桌面,那么会在计算机上留下痕迹,这样是不安全的,通过下面的设置删除并不保存连接信息:HKEY_CURRENT_USER\Software\Microsoft\Terminal Server Client\Default,取消所有权限,删除“我的文档”目录里的Default.rdp文件,删除后新建一个Default.rdp文件,同样将Default.rdp文件取消所有权限。这样就不会在本地记录远程桌面连接的IP和帐户。
设置屏保密码
设置重要目录和文件的NTFS权限
arp.exe,attrib.exe,cmd.exe,,ftp.exe,tftp.exe,net.exe,net1.exe,netstat.exe,ping.exe,regedit.exe,regsvr32.exe, elnet.exe, xcopy.exe, at.exe只给Administrators组和SYSTEM 的完全控制权限
在win2008下,为了保证安全,这些系统文件的权限默认administrators组不能修改,所有者是TrustedInstaller,是系统内建的帐户,修改这些文件权限需要先将所有者改为当前管理员帐户。
安装杀软,及时更新补丁