服务器及电脑主机系统安全加固操作手册

服务器系统安全加固操作手册

目 录
服务器系统安全加固操作手册
一、 总则
二、 适用范围 安全加固操作手册
三、 主机安全加固
3.1. 帐户策略配置
3.2. 远程登录管理
3.3. 禁用文件共享
3.4. 本地安全策略
3.5. 安全审计
3.6. 入侵防御
3.7. 恶意代码防范

服务器系统安全加固操作手册

一、总则

制定《服务器系统安全加固操作手册》的目的是建立服务器系统安全配置基线，并以此为指导，配置和审视服务器系统的安全性，降低系统存在的安全风险，确保系统安全可靠的运行。

二、适用范围

该手册适用于操作系统为Windows Server 2008/2012 R2的服务器主机安全加固。

三、主机安全加固

主机安全加固也即对服务器操作系统进行安全加固，操作系统作为信息系统的核心，承担着管理硬件资源和软件资源的重任，是整个信息系统安全的基础。因此，需要对操作系统进行安全加固，构建动态、完整的安全体系

3.1. 帐户策略配置

（1）对登录的用户进行身份标识和鉴别，身份鉴别信息具有复杂度要求并定期更换，具体操作如下：
打开 控制面板 > 管理工具 > 本地安全策略，在 帐户策略 > 密码策略 中，设置如下：

注：密码最长使用期限按实际需求进行设置。
（2）设置登录失败处理功能，配置并启用结束会话、限制非法登录次数，当登录连接超时，自动退出，具体操作如下：
打开 控制面板 > 管理工具 > 本地安全策略，在 帐户策略 > 帐户锁定策略 中，设置如下：

（3）查看控制面板－管理工具－计算机管理－系统工具－本地用户和组－用户-右键-属性- 禁止勾选“密码永不过期”。

3.2. 远程登录管理

（1）修改远程桌面默认端口，设置如下：
快捷键“WIN+R”打开运行窗口：输入“regedit”，在注册表编辑器中找到[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\Wds \rdpwd\Tds \tcp]， PortNamber其默认值是3389，修改为自定义端口。
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Tenninal Server\WinStations\ RDP\Tcp]，PortNumber的值默认是3389，修改成相同端口。
（2）设置远程桌面登录限制：
1）针对有VPN的现场，在防火墙入站规则中配置远程控制规则，限制远程登录端口只允许通过VPN或内网其他服务器相互访问；
2）针对无VPN的现场，在防火墙入站规则中配置远程控制规则，限制远程登录端口只允许通过公司网络或内网其他服务器相互访问；
（3）对于远程登陆的帐号，设置不活动超过时间10分钟自动断开连接，设置如下：
快捷键“WIN+R”打开运行窗口：输入“gpedit.msc”，找到计算机配置—管理模板—Windows组件—远程桌面服务—远程桌面会话主机—会话时间限制：设置活动但空闲的远程桌面服务会话的时间限制为10分钟。

3.3. 禁用文件共享

快捷键“WIN+R”打开运行窗口，输入“cmd”，在命令窗口输入“net share”，查看系统默认共享，并关闭所有默认共享，操作如下：
1）运行 regedit > HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet
Services\Lanmanserver\Parameters，在该项的右边空白处，单击右键选择新建DWORD值，添加键“AutoShareServer” (类型为“REG_DWORD”，值为“0”)，关闭c$、d$默认分区类型默认共享。
2）到“HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services
Lanmanserver\Parameters”注册表项，在该项的右边空白处，单击右键选择新建DWORD值，添加键“AutoShareWks” (类型为“REG_DWORD”，值为“0”)，关闭ADMINKaTeX parse error: Undefined control sequence: \SYSTEM at position 31: …Y_LOCAL_MACHINE\̲S̲Y̲S̲T̲E̲M̲\CurrentControl…默认共享。
4）禁用文件共享功能：打开系统服务，关闭“server”服务并设置为禁用。

3.4. 本地安全策略

1）快捷键“WIN+R”打开运行窗口：输入“secpol.msc”，在 安全设置 > 本本地策略 > 用户权限分配 设置：
调试程序 （原内容：Administrator，删除）
2）在 安全设置 > 本本地策略 > 安全选项 设置如下：
交互式登陆：不显示最后的用户名 启用
交互式登陆：计算机不活动限制 600秒
交互式登陆：计算机帐户锁定阈值 5 无效登录尝试
网络访问：不允许SAM帐户的匿名枚举 启用
网络访问：不允许SAM帐户和共享的匿名枚举 启用
网络访问：不允许储存网络身份验证的凭据　　 启用
网络访问：可匿名访问的共享 （空）
网络访问：可匿名访问的命名管道 （空）
网络访问：可远程访问的注册表路径 （空）
网络访问：可远程访问的注册表路径和子路径　　 （空）

3.5. 安全审计

1）启用安全审计功能，审计覆盖到每个用户，对重要的用户行为和重要安全事件进行审计，操作如下：
打开 控制面板 > 管理工具 > 本地安全策略，在 本地策略 > 审核策略 中，设置如下：

2）审计日志备份管理：
快捷键“WIN+R”打开运行窗口：输入“eventvwr.msc”，打开Windows日志，在各日志属性中设置“达到事件日志最大大小时：日志满时将其存档，不覆盖事件(A)”

3.6. 入侵防御

1）仅安装需要的组件和应用程序，关闭不需要的系统服务、默认共享和高危端口，操作如下：
查看系统当前实际监听的端口列表，快捷键“WIN+R”打开运行窗口输入“netstat -ano”命令，查看当前网络连接状况；打开任务管理器，根据PID来查看端口对应的进程或服务；
在 控制面板—>windows防火墙—>高级设置—>出/入站规则：禁用TCP/UDP135、137、138、139、443、445等端口。
2）查看系统服务，关闭Remote Registry服务，限制远程用户修改系统注册表。
3）及时更新系统补丁，仅安装官方补丁，严禁安装第三方补丁。对于实际业务环境服务器，建议使用通知并自动下载更新，但由管理员选择是否安装更新，而不是使用自动安装更新，防止自动更新补丁对实际业务环境产生影响。
4）及时发现可能存在的已知漏洞，并在经过充分测试评估后，及时修补漏洞；条件允许时，使用主机漏洞扫描工具对服务器系统进行漏洞扫描，并对发现的漏洞进行评估、修复。

3.7. 恶意代码防范

Windows服务器上安装360杀毒软件，可开启定时查毒并启用“自动升级病毒特征库及程序”，如果无法在线自动升级，可下载离线病毒库进行升级，网址：http://sd.360.cn/。