Windows_Server_2003_安全加固设置

为安装Windows server操作系统的服务器进行系统安全加固操作系统基本安全加固补丁安装使用Windows update安装最新补丁或者使用第三方软件安装补丁,如360安全卫士系统帐户、密码策略1.帐户密码策略修改“本地计算机”策→计算机配置→windows设置→安全设置→密码策略密码长度最小值7 字符密码最长存留期90 天密码最短存留期30 天密码必须符合复杂性要求启用保障帐号以及口令的安全，但是设置帐号策略后可能导致不符合帐号策略的帐号无法登录，需修改不符合帐号策略的密码（注：管理员不受帐号策略限制，但管理员密码应复杂以避免被暴力猜测导致安全风险）2.帐户锁定策略账户锁定时间30 分钟账户锁定阈值5 次无效登录复位账户锁定计数器30 分钟有效的防止攻击者猜出您账户的密码3.更改默认管理员用户名“本地计算机”策→计算机配置→windows设置→安全设置→本地策略→安全选项帐户: 重命名管理员帐户默认管理员帐号可能被攻击者用来进行密码暴力猜测，可能由于太多的错误密码尝试导致该帐户被锁定。

建议修改默认管理员用户名4.系统默认账户安全Guest 帐户必须禁用；如有特殊需要保留也一定要重命名TSInternetUser 此帐户是为了“Terminal Services Internet Connector License”使用而存在的，故帐户必须禁用，不会对于正常的Terminal Services的功能有影响SUPPORT_388945a0 此帐户是为了IT帮助和支持服务，此帐户必须禁用IUSR_{system} 必须只能是Guest组的成员，此帐户为IIS（Internet Information Server）服务建立IWAM_{system} 必须只能是Guest组的成员，此帐户为IIS（Internet Information Server）服务建立日志审核策略“本地计算机”策→计算机配置→windows设置→安全设置→本地策略→审核策略审核策略更改成功审核登录事件无审核审核对象访问成功, 失败审核过程追踪无审核审核目录服务访问无审核审核特权使用无审核审核系统事件成功, 失败审核帐户登录事件成功, 失败审核帐户管理成功, 失败对系统事件进行审核，在日后出现故障时用于排查故障修改日志的大小与上限开始→控制面板→管理工具→事件察看器安全策略文件修改下述值：日志类型大小覆盖方式应用日志16382K 覆盖早于30 天的事件安全日志16384K 覆盖早于30 天的事件系统日志16384K 覆盖早于30 天的事件网络与服务安全暂停或禁用不需要的后台服务开始→运行→输入“services.msc”将下面服务的启动类型设置为手动并停止上述服务已启动且需要停止的服务包括：Alerter 服务Computer Browser 服务IPSEC Policy Agent 服务Messenger 服务Microsoft Search 服务Print Spooler 服务RunAs Service 服务Remote Registry Service 服务Security Accounts Manager 服务Task Scheduler 服务TCP/IP NetBIOS Helper Service 服务注册表安全性1.禁止匿名用户连接（空连接）注册表如下键值：HKLM\SYSTEM\CurrentControlSet\Control\Lsa“restrictanonymous”的原值为0将该值修改为“1”可以禁止匿名用户列举主机上所有用户、组、共享资源2.删除主机默认共享注册表键值HKLM\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters名称：Autoshareserver类型:REG_DOWN值:1 删除主机因为管理而开放的共享注意：这里可能有部分备份软件使用到系统默认共享3.限制远程注册表远程访问权限注册表如下键值：HKLM\SYSTEM\CurrentControlSet\Control\SecurePipeServers\winreg 名称：Description类型:REG_SZ值:Registry Server4.阻止远程访问系统日志HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\EventLog\Application“本地计算机”策→计算机配置→windows设置→安全设置→本地策略→安全选项网络访问: 可匿名访问的共享网络访问: 可匿名访问的命名管道网络访问: 可远程访问的注册表路径网络访问: 可远程访问的注册表路径和子路径网络访问: 限制对命名管道和共享的匿名访问5.禁用自动运行功能HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer名称：NoDriveTypeAutoRun类型:REG_DWORD值:0xFF文件系统加固注意：文件的权限修改使用cmd命令行下面cacls命令修改，不要直接使用图像界面修改%SystemDrive%\Boot.ini Administrators：完全控制System：完全控制%SystemDrive%\ Administrators：完全控制System：完全控制%SystemDrive%\Ntldr Administrators：完全控制System：完全控制%SystemDrive%\Io.sys Administrators：完全控制System：完全控制%SystemDrive%\Autoexec.bat Administrators：完全控制System：完全控制Authenticated Users：读取和执行、列出文件夹内容、读取%systemdir%\config Administrators：完全控制System：完全控制Authenticated Users：读取和执行、列出文件夹内容、读取%SystemRoot%\Downloaded Program Files Administrators：完全控制System：完全控制Everyone:读取%SystemRoot%\ Fonts Administrators：完全控制System：完全控制Everyone:读取%SystemRoot%\Tasks Administrators：完全控制System：完全控制%SystemRoot%\system32\Append.exe Administrators：完全控制%SystemRoot%\system32\Arp.exe Administrators：完全控制%SystemRoot%\system32\At.exe Administrators：完全控制%SystemRoot%\system32\Attrib.exe Administrators：完全控制%SystemRoot%\system32\Cacls.exe Administrators：完全控制%SystemRoot%\system32\Change.exe Administrators：完全控制%SystemRoot%\system32\ Administrators：完全控制%SystemRoot%\system32\Chglogon.exe Administrators：完全控制%SystemRoot%\system32\Chgport.exe Administrators：完全控制%SystemRoot%\system32\Chguser.exe Administrators：完全控制%SystemRoot%\system32\Chkdsk.exe Administrators：完全控制%SystemRoot%\system32\Chkntfs.exe Administrators：完全控制%SystemRoot%\system32\Cipher.exe Administrators：完全控制%SystemRoot%\system32\Cluster.exe Administrators：完全控制%SystemRoot%\system32\Cmd.exe Administrators：完全控制%SystemRoot%\system32\Compact.exe Administrators：完全控制%SystemRoot%\system32\ Administrators：完全控制%SystemRoot%\system32\Convert.exe Administrators：完全控制%SystemRoot%\system32\Cscript.exe Administrators：完全控制%SystemRoot%\system32\Debug.exe Administrators：完全控制%SystemRoot%\system32\ Administrators：完全控制%SystemRoot%\system32\ Administrators：完全控制%SystemRoot%\system32\Doskey.exe Administrators：完全控制%SystemRoot%\system32\Edlin.exe Administrators：完全控制%SystemRoot%\system32\Exe2bin.exe Administrators：完全控制%SystemRoot%\system32\Expand.exe Administrators：完全控制%SystemRoot%\system32\Fc.exe Administrators：完全控制%SystemRoot%\system32\Find.exe Administrators：完全控制%SystemRoot%\system32\Findstr.exe Administrators：完全控制%SystemRoot%\system32\Finger.exe Administrators：完全控制%SystemRoot%\system32\Forcedos.exe Administrators：完全控制%SystemRoot%\system32\ Administrators：完全控制%SystemRoot%\system32\Ftp.exe Administrators：完全控制%SystemRoot%\system32\Hostname.exe Administrators：完全控制%SystemRoot%\system32\Iisreset.exe Administrators：完全控制%SystemRoot%\system32\Ipconfig.exe Administrators：完全控制%SystemRoot%\system32\Ipxroute.exe Administrators：完全控制%SystemRoot%\system32\Label.exe Administrators：完全控制%SystemRoot%\system32\Logoff.exe Administrators：完全控制%SystemRoot%\system32\Lpq.exe Administrators：完全控制%SystemRoot%\system32\Lpr.exe Administrators：完全控制%SystemRoot%\system32\Makecab.exe Administrators：完全控制%SystemRoot%\system32\Mem.exe Administrators：完全控制%SystemRoot%\system32\Mmc.exe Administrators：完全控制%SystemRoot%\system32\ Administrators：完全控制%SystemRoot%\system32\ Administrators：完全控制%SystemRoot%\system32\Mountvol.exe Administrators：完全控制%SystemRoot%\system32\Msg.exe Administrators：完全控制%SystemRoot%\system32\Nbtstat.exe Administrators：完全控制%SystemRoot%\system32\Net.exe Administrators：完全控制%SystemRoot%\system32\Net1.exe Administrators：完全控制%SystemRoot%\system32\Netsh.exe Administrators：完全控制%SystemRoot%\system32\Netstat.exe Administrators：完全控制%SystemRoot%\system32\Nslookup.exe Administrators：完全控制%SystemRoot%\system32\Ntbackup.exe Administrators：完全控制%SystemRoot%\system32\Ntsd.exe Administrators：完全控制%SystemRoot%\system32\Pathping.exe Administrators：完全控制%SystemRoot%\system32\Ping.exe Administrators：完全控制%SystemRoot%\system32\Print.exe Administrators：完全控制%SystemRoot%\system32\Query.exe Administrators：完全控制%SystemRoot%\system32\Rasdial.exe Administrators：完全控制%SystemRoot%\system32\Rcp.exe Administrators：完全控制%SystemRoot%\system32\Recover.exe Administrators：完全控制%SystemRoot%\system32\Regedt32.exe Administrators：完全控制%SystemRoot%\system32\Regini.exe Administrators：完全控制%SystemRoot%\system32\Register.exe Administrators：完全控制%SystemRoot%\system32\Regsvr32.exe Administrators：完全控制%SystemRoot%\system32\Replace.exe Administrators：完全控制%SystemRoot%\system32\Reset.exe Administrators：完全控制%SystemRoot%\system32\Rexec.exe Administrators：完全控制%SystemRoot%\system32\Route.exe Administrators：完全控制%SystemRoot%\system32\Routemon.exe Administrators：完全控制%SystemRoot%\system32\Router.exe Administrators：完全控制%SystemRoot%\system32\Rsh.exe Administrators：完全控制%SystemRoot%\system32\Runas.exe Administrators：完全控制%SystemRoot%\system32\Runonce.exe Administrators：完全控制%SystemRoot%\system32\Secedit.exe Administrators：完全控制%SystemRoot%\system32\Setpwd.exe Administrators：完全控制%SystemRoot%\system32\Shadow.exe Administrators：完全控制%SystemRoot%\system32\Share.exe Administrators：完全控制%SystemRoot%\system32\Snmp.exe Administrators：完全控制%SystemRoot%\system32\Snmptrap.exe Administrators：完全控制%SystemRoot%\system32\Subst.exe Administrators：完全控制%SystemRoot%\system32\Telnet.exe Administrators：完全控制%SystemRoot%\system32\Termsrv.exe Administrators：完全控制%SystemRoot%\system32\Tftp.exe Administrators：完全控制%SystemRoot%\system32\Tlntadmin.exe Administrators：完全控制%SystemRoot%\system32\Tlntsess.exe Administrators：完全控制%SystemRoot%\system32\Tlntsvr.exe Administrators：完全控制%SystemRoot%\system32\Tracert.exe Administrators：完全控制%SystemRoot%\system32\ Administrators：完全控制%SystemRoot%\system32\Tsadmin.exe Administrators：完全控制%SystemRoot%\system32\Tscon.exe Administrators：完全控制%SystemRoot%\system32\Tsdiscon.exe Administrators：完全控制%SystemRoot%\system32\Tskill.exe Administrators：完全控制%SystemRoot%\system32\Tsprof.exe Administrators：完全控制%SystemRoot%\system32\Tsshutdn.exe Administrators：完全控制%SystemRoot%\system32\ Administrators：完全控制%SystemRoot%\system32\Wscript.exe Administrators：完全控制%SystemRoot%\system32\Xcopy.exe Administrators：完全控制对特定文件权限进行限制，禁止Guests 用户组意外访问这些文件网络安全访问关闭闲置和有潜在危险的端口，将除了用户需要用到的正常计算机端口之外的其他端口都关闭掉屏蔽端口系统防火墙第三方防火墙使用“IP安全策略”控制端口访问开始→设置→控制面板→管理工具→本地安全策略在“IP安全策略，在本地计算机”右键“创建IP安全策略”在点击下一步后会弹出一个警告窗口，按确定就可以点击添加。

服务器安全加固如何设置强密码和访问控制以保护服务器服务器安全加固：如何设置强密码和访问控制以保护服务器概述服务器安全是保护网站和数据免受恶意攻击的关键。

在服务器设置中，设置强密码和访问控制是有效的安全措施。

本文将介绍如何设置强密码和访问控制，以保护服务器免受未授权访问和恶意入侵。

一、设置强密码强密码是保护服务器的首要步骤之一。

以下是一些设置强密码的方法：1.1 长度和复杂性密码应至少包含8个字符，并且应包括字母（大小写）、数字和特殊字符。

更长的密码通常更安全，因此建议使用12个或更多字符的密码。

1.2 随机性密码应随机生成，并且不应容易猜测。

避免使用与个人信息相关的密码，如生日、姓名等。

可以使用密码管理器来生成和管理强密码。

1.3 定期更改密码定期更改密码是保持服务器安全的另一个重要因素。

建议每3个月更改一次密码，以防止密码被恶意攻击者猜测或破解。

1.4 多因素身份验证除了强密码，还可以启用多因素身份验证。

这可以使用手机短信验证、身份验证器应用程序或生物识别技术（如指纹或面部识别）来验证用户身份。

二、访问控制访问控制是管理服务器访问和权限的关键方面。

以下是一些访问控制的常见措施：2.1 使用防火墙防火墙可以限制对服务器的网络访问。

配置防火墙以仅允许来自信任来源的连接，并阻止来自未授权来源的连接。

通过仅开放必要的端口和协议，可以减少潜在攻击的风险。

2.2 固定IP访问限制显式地指定可访问服务器的IP地址列表可以帮助控制远程访问。

通过将访问限制为固定IP列表，可以减少未授权访问的风险。

2.3 用户权限管理确保每个用户都具有适当的权限，并限制对服务器上敏感文件和操作的访问。

分配最低必要权限原则可以减少内部威胁的风险。

2.4 定期审查权限定期审查用户权限，删除不再需要的用户账户，并检查特权用户的活动记录。

这样可以防止未授权的访问和滥用特权。

2.5 锁定登录尝试设置登录尝试次数限制，并暂时锁定账户以防止恶意尝试猜测密码。

文档从互联网中收集，已重新修正排版，word 格式支持编辑，如有帮助欢迎下载支持。

- 1 -word 格式支持编辑，如有帮助欢迎下载支持。

IIS Web 服务器安全加固步骤：步骤注意：安装和配置 WindowsServer 2003。

1. 将<systemroot>\System32\cmd.exe 转移到其他目录或更名；2. 系统帐号尽量少，更改默认帐户名（如Administrator ）和描述，密码尽量复杂；3. 拒绝通过网络访问该计算机（匿名登录；内置管理员帐户；Support_388945a0；Guest ；所有非操作系统服务帐户）4.建议对一般用户只给予读取权限，而只给管理员和System 以完全控制权限，但这样做有可能使某些正常的脚本程序不能执行，或者某些需要写的操作不能完成，这时需要对这些文件所在的文件夹权限进行更改，建议在做更改前先在测试机器上作测试，然后慎重更改。

5.NTFS 文件权限设定（注意文件的权限优先级别比文件夹的权限高）：文件类型建议的 NTFS 权限 CGI 文件（.exe 、.dll 、.cmd 、.pl ） 脚本文件 (.asp)包含文件（.inc 、.shtm 、.shtml ）静态内容（.txt 、.gif 、.jpg 、.htm 、.html ） Everyone （执行）Administrators （完全控制） System （完全控制）6.禁止C$、D$一类的缺省共享HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters AutoShareServer 、REG_DWORD 、0x0 7.禁止ADMIN$缺省共享文档从互联网中收集，已重新修正排版，word格式支持编辑，如有帮助欢迎下载支持。

- 2 -word格式支持编辑，如有帮助欢迎下载支持。

1、应按照用户分配账号。

避免不同用户间共享账号。

避免用户账号和设备间通信使用的账号共享。

结果：现网已实现2、应删除或锁定与设备运行、维护等工作无关的账号。

结果：现网已实现3、对于采用静态口令认证技术的设备，口令长度至少6位，并包括数字、小写字母、大写字母和特殊符号4类中至少2类。

结果：可以实现编号：安全要求-设备-WINDOWS-配置-44、对于采用静态口令认证技术的设备，账户口令的生存期不长于90天。

结果：可以实现编号：安全要求-设备-通用-配置-45、对于采用静态口令认证技术的设备，账户口令的生存期不长于90天。

结果：可以实现，应用账号不建议实现，将会影响应用系统；编号：安全要求-设备-WINDOWS-配置-56、对于采用静态口令认证技术的设备，应配置设备，使用户不能重复使用最近5次（含5次）内已使用的口令。

结果：可以实现编号：安全要求-设备-WINDOWS-配置-67、对于采用静态口令认证技术的设备，应配置当用户连续认证失败次数超过6次（不含6次），锁定该用户使用的账号。

结果：可以实现编号：安全要求-设备-WINDOWS-配置-78、在设备权限配置能力内，根据用户的业务需要，配置其所需的最小权限。

结果：现网已实现9、设备应配置日志功能，对用户登录进行记录，记录内容包括用户登录使用的账号，登录是否成功，登录时间，以及远程登录时，用户使用的IP地址。

结果：现网已实现10、设备应配置日志功能，记录用户对设备的操作，包括但不限于以下内容：账号创建、删除和权限修改，口令修改，读取和修改设备配置，读取和修改业务用户的话费数据、身份数据、涉及通信隐私数据。

记录需要包含用户账号，操作时间，操作内容以及操作结果。

结果：可以实现编号：安全要求-设备-WINDOWS-配置-1111、对于具备TCP/UDP协议功能的设备，设备应根据业务需要，配置基于源IP地址、通信协议TCP或UDP、目的IP地址、源端口、目的端口的流量过滤，过滤所有和业务不相关的流量。

甘肃海丰信息科技有限公司Windows系统安全加固技术指导书◆版本◆密级【绝密】◆发布甘肃海丰科技◆编号GSHF-0005-OPM-©2006-2020 HIGHFLYER INFORMATION TECHNOLOGY ,INC.目录文档信息................................................................. 错误!未定义书签。

前言.................................................................... 错误!未定义书签。

一、编制说明............................................................ 错误!未定义书签。

二、参照标准文件........................................................ 错误!未定义书签。

三、加固原则............................................................ 错误!未定义书签。

1.业务主导原则..................................................... 错误!未定义书签。

2.业务影响最小化原则............................................... 错误!未定义书签。

3.实施风险控制..................................................... 错误!未定义书签。

(一)主机系统............................................................. 错误!未定义书签。

(二)数据库或其他应用 ..................................................... 错误!未定义书签。

windows服务器安全加固方案Windows服务器安全加固方案1、前言Windows服务器是企业信息系统的重要组成部分，为了保护服务器及其上托管的关键数据的安全性，需要进行安全加固。

本文档将详细介绍Windows服务器安全加固的方案和步骤。

2、系统和软件更新2.1 定期安装操作系统补丁- 在Windows服务器上设置自动更新功能，确保及时安装最新的操作系统补丁。

- 定期检查并安装新发布的补丁。

2.2 升级和更新应用程序- 定期检查并更新服务器上安装的所有应用程序和软件到最新版本。

- 通过升级软件版本来修复已知的安全漏洞。

3、账户和访问控制3.1 使用强密码策略- 设置密码复杂性要求，包括字符类型、长度和有效期限制。

- 强制用户定期更改密码，并禁用使用过于简单的密码。

3.2 及时移除或禁用未使用的账户- 定期检查服务器上的账户列表，及时禁用或删除不再使用的账户。

- 禁用默认和管理员账户的远程登录功能。

3.3 使用多因素身份验证- 在必要的情况下，启用多因素身份验证（例如，使用令牌、生物特征等）来增加登录的安全性。

4、访问控制和权限管理4.1 最小权限原则- 为用户和服务账户分配最小权限，仅授予其完成工作所需的权限。

- 定期审查和更新权限设置，确保权限最小化和权限分离原则的实施。

4.2 定期检查访问控制列表 (ACLs)- 审查文件、文件夹和共享的访问控制列表，确保只有授权的用户可以访问相关资源。

4.3 加强远程访问控制- 禁用不再使用的远程桌面协议 (RDP) 和其他远程管理协议。

- 配置防火墙以限制远程访问的IP范围并启用网络层身份验证。

5、安全审计和日志管理5.1 启用安全审计功能- 在Windows服务器上启用安全审计功能，以记录关键事件和活动。

- 配置审计策略以记录成功和失败的登录尝试、文件和对象的访问等。

5.2 定期检查和备份日志- 定期检查服务器的日志，分析并识别潜在的安全事件。

- 建立日志的远程备份，以防止被篡改或删除。

Windows 2003 网站安全权限设置指南随着互联网的普及和IT信息技术的快速发展，各高校所运维的网站数量和规模与日俱增。

与此同时，Windows 2003已成为比较流行的WEB服务器操作系统,安全和性能也得到了广泛的认可，基于IIS WEB服务器软件的网站数量也越来越多。

通常情况，高校的大多数服务器，会由技术力量相对雄厚的网络中心等IT资源部门运维管理。

而网站程序的制作则一般由各单位、各部门自主负责：少数用户单位将会自主开发，或者请专业的IT公司代为开发。

而更多的用户单位则会将网站的制作当作一种福利，交由勤工俭学的学生开发。

因此各网站程序的安全性参差不齐。

在这种情况下，如果不对服务器的默认安全权限进行调整，便将这些网站运行于同一台服务器上，必将引发不少令人头痛的安全问题。

最常遇到的情况是：一台Windows 2003服务器上运行着多个网站，其中某个网站存在着安全漏洞（例如没有采用参数化的SQL查询或没有对用户提交的SQL语句进行过滤），黑客便可通过攻击该网站，取得权限，上传网页木马，得到了一个WEB SHELL执行权限，或者直接利用网页木马，篡改该服务器上所有WEB站点的源文件，往源文件里加入js和iframe恶意代码。

此时那些没有安装反病毒软件的访客，浏览这些页面时便将感染上病毒，结果引来用户的严重不满和投诉，同时也严重损害了学校的形象。

为了避免类似事件的发生，我们有必要将网站和数据库分开部署，通常的作法是将网站存放于一台分配了公网IP的Windows 2003服务器，而数据库则运行于一台与互联网相隔离的私网IP数据库服务器上。

但是，仅启用以上的安全措施还是远远不够的，我们还必须调整这一台Windows2003 WEB服务器的安全权限，对权限做严格的控制，实现各网站之间权限的隔离，做法如下：在WEB服务器上，1.创建若干个系统用户，分别用作IIS6的应用程序池安全性用户和网站匿名访问帐户。

Windows 2003 Server服务器安全配置一、先关闭不需要的端口我比较小心，先关了端口。

只开了3389、21、80、1433，有些人一直说什么默认的3389不安全，对此我不否认，但是利用的途径也只能一个一个的穷举爆破，你把帐号改了密码设置为十五六位，我估计他要破上好几年，哈哈！办法：本地连接--属性--Internet协议（TCP/IP）--高级--选项--TCP/IP筛选--属性--把勾打上，然后添加你需要的端口即可。

PS一句：设置完端口需要重新启动！当然大家也可以更改远程连接端口方法：Windows Registry Editor Version 5.00[HKEY_LOCAL_MACHINE \ SYSTEM\ Current ControlSet \ Control \ TerminalServer\WinStations\RDP-Tcp]"PortNumber"=dword:00002683保存为.REG文件双击即可！更改为9859，当然大家也可以换别的端口，直接打开以上注册表的地址，把值改为十进制的输入你想要的端口即可！重启生效！还有一点，在2003系统里，用TCP/IP筛选里的端口过滤功能，使用FTP服务器的时候，只开放21端口，在进行FTP传输的时候，FTP 特有的Port模式和Passive模式，在进行数据传输的时候，需要动态的打开高端口，所以在使用TCP/IP过滤的情况下，经常会出现连接上后无法列出目录和数据传输的问题。

所以在2003系统上增加的Windows连接防火墙能很好的解决这个问题，不推荐使用网卡的TCP/IP过滤功能。

做FTP下载的用户看仔细，如果要关闭不必要的端口，在\system32\drivers\etc\services 中有列表，记事本就可以打开的。

如果懒的话，最简单的方法是启用WIN2003的自身带的网络防火墙，并进行端口的改变。

Windows Server系统安全加固1.1系统基础信息查看命令1.Windows微标键+R#打开cmd命令窗口2.winver#查看系统版本3.wmic os get ServicePackMajorVersion#查看系统SP版本号4.wmic qfe get hotfixid,InstalledOn#查看系统已安装的hotfix安全补丁5.hostname#查看系统所设置的主机名称6.ipconfig /all#查看系统中所有网卡的网络配置7.ipconfig /flushdns#清空本机的DNS缓存8.route print#查看Windows系统中的路由信息9.arp -a#查看Windows系统中的ARP缓存表stat -ano#查看Windows系统已开放的端口信息1.2安全补丁升级Windows操作系统从发布到生命周期结束的过程中会不断的曝出系统漏洞，微软公司就会不停的打补丁进行BUG和安全漏洞的修复，所以及时的更新系统补丁(尤其是安全补丁)对于系统安全性是非常有效的。

但是注意本项操作存在一定的风险，尤其是生产环境中，系统更新之后需要重启生效，需要选择一个合适的时间段进行；所以一般是在初始部署的时候进行系统版本和补丁更新，正式使用之后，建议关闭自动更新功能，后期只针对安全性漏洞进行手动打补丁。

如下图所示，找不到位置的可以直接搜索“更新”，点击“检查更新”按钮，如果微软官网有更新的补丁就会自动检测并安装。

1.3账号优化1.使用“compmgmt.msc”命令打开“计算机管理”，也可以右击“此电脑”选择管理在“工具”项中选择“计算机管理”。

统默认的、业务系统交互所必须的账户禁用，尤其是Guest账户。

3.禁用指定账户操作步骤如下图所示，也可以使用以下cmd命令行进行账户的禁用操作net user test /del #删除系统账户名称为test的账户net user xxxx /add #创建系统账户名称为test的账户net user test /active:yes #激活test账户net user xxxx /active:no #禁用test账户1.4账号锁定和密码策略优化通过密码策略的优化配置，增强系统密码的复杂度及账户锁定策略，可以极大的降低被暴力破解的可能性。

终级Win2003服务器安全配置篇今天演示一下服务器权限的设置，实现目标是系统盘任何一个目录asp网马不可以浏览,事件查看器完全无错,所有程序正常运行.这个不同于之前做的两个演示，此演示基本上保留系统默认的那些权限组不变，保留原味,以免取消不当造成莫名其妙的错误.看过这个演示，之前的超详细web服务器权限设置,精确到每个文件夹和超详细web服务器权限设置,事件查看器完全无报错就不用再看了.这个比原来做的有所改进.操作系统用的是雨林木风的ghost镜像,补丁是打上截止11.2号最新的Power Users组是否取消无所谓具体操作看演示windows下根目录的权限设置：C:\WINDOWS\Application Compatibility Scripts 不用做任何修改，包括其下所有子目录C:\WINDOWS\AppPatch AcWebSvc.dll已经有users组权限,其它文件加上users组权限C:\WINDOWS\Connection Wizard 取消users组权限C:\WINDOWS\Debug users组的默认不改C:\WINDOWS\Debug\UserMode默认不修改有写入文件的权限,取消users组权限,给特别的权限，看演示C:\WINDOWS\Debug\WPD不取消Authenticated Users组权限可以写入文件，创建目录.C:\WINDOWS\Driver Cache取消users组权限,给i386文件夹下所有文件加上users组权限C:\WINDOWS\Help取消users组权限C:\WINDOWS\Help\iisHelp\common取消users组权限C:\WINDOWS\IIS Temporary Compressed Files默认不修改C:\WINDOWS\ime不用做任何修改，包括其下所有子目录C:\WINDOWS\inf不用做任何修改，包括其下所有子目录C:\WINDOWS\Installer 删除everyone组权限，给目录下的文件加上everyone组读取和运行的权限C:\WINDOWS\java 取消users组权限,给子目录下的所有文件加上users组权限C:\WINDOWS\MAGICSET 默认不变C:\WINDOWS\Media 默认不变C:\WINDOWS\不用做任何修改，包括其下所有子目录C:\WINDOWS\msagent 取消users组权限，给子目录下的所有文件加上users组权限C:\WINDOWS\msapps 不用做任何修改，包括其下所有子目录C:\WINDOWS\mui取消users组权限C:\WINDOWS\PCHEALTH 默认不改C:\WINDOWS\PCHEALTH\ERRORREP\QHEADLES 取消everyone组的权限C:\WINDOWS\PCHEALTH\ERRORREP\QSIGNOFF 取消everyone组的权限C:\WINDOWS\PCHealth\UploadLB 删除everyone组的权限，其它下级目录不用管，没有user组和everyone组权限C:\WINDOWS\PCHealth\HelpCtr 删除everyone组的权限，其它下级目录不用管，没有user组和everyone组权限(这个不用按照演示中的搜索那些文件了，不须添加users组权限就行)C:\WINDOWS\PIF 默认不改C:\WINDOWS\PolicyBackup默认不改,给子目录下的所有文件加上users组权限C:\WINDOWS\Prefetch 默认不改C:\WINDOWS\provisioning 默认不改,给子目录下的所有文件加上users组权限C:\WINDOWS\pss默认不改,给子目录下的所有文件加上users组权限C:\WINDOWS\RegisteredPackages默认不改,给子目录下的所有文件加上users组权限C:\WINDOWS\Registration\CRMLog默认不改会有写入的权限，取消users组的权限C:\WINDOWS\Registration取消everyone组权限.加NETWORK SERVICE 给子目录下的文件加everyone可读取的权限,C:\WINDOWS\repair取消users组权限C:\WINDOWS\Resources取消users组权限C:\WINDOWS\security users组的默认不改，其下Database和logs目录默认不改.取消templates目录users 组权限,给文件加上users组C:\WINDOWS\ServicePackFiles 不用做任何修改，包括其下所有子目录C:\WINDOWS\SoftwareDistribution不用做任何修改，包括其下所有子目录C:\WINDOWS\srchasst 不用做任何修改，包括其下所有子目录C:\WINDOWS\system 保持默认C:\WINDOWS\TAPI取消users组权限，其下那个tsec.ini 权限不要改C:\WINDOWS\twain_32取消users组权限，给目录下的文件加users组权限C:\WINDOWS\vnDrvBas 不用做任何修改，包括其下所有子目录C:\WINDOWS\Web取消users组权限给其下的所有文件加上users组权限C:\WINDOWS\WinSxS 取消users组权限，搜索*.tlb，*.policy，*.cat，*.manifest,*.dll，给这些文件加上everyone组和users权限给目录加NETWORK SERVICE完全控制的权限C:\WINDOWS\system32\wbem 这个目录有重要作用。

Windows 2003 服务器详解设置大全Windows Server 2003 是微软推出的一款服务器操作系统，它基于 Windows NT 的架构，具有非常好的稳定性、可靠性和安全性，适用于企业实施各种应用解决方案。

本文将详细介绍 Windows Server 2003 的设置方法和相关技巧。

安装 Windows 2003 服务器安装 Windows Server 2003 服务器需要以下步骤：1.选择安装语言和安装选项，例如安装 Windows Server 2003 标准版或企业版等。

2.选择安装位置，可以选择已有分区上进行安装，也可以新建分区。

3.设置管理员密码，以保证服务器的管理安全。

4.完成安装后，系统会自动重启，启动时将进入 Windows Server 2003配置向导。

配置 Windows 2003 服务器这里讲解 Windows Server 2003 服务器配置的方式和相关技术：配置网络1.左键单击“开始” ->“控制面板” -> “网络连接” -> “本地连接” -> 右键单击“属性”。

2.双击“Internet 协议(TCP/IP)”选项卡，进入“属性”对话框。

3.选择“自动获取 IP 地址”或“手动配置 IP 地址”进行网络配置。

配置域名和 DNS1.在“控制面板”中选择“管理工具”，然后单击“DNS”。

2.可以在“后缀”下输入本地 DNS 服务器的完全限定域名，也可以直接在“区域”下输入域名。

3.单击“新建区域”，输入相应的域名和 IP 地址。

可以在“区域域名”下找到设置的域名。

配置 FTP 高级服务1.在计算机上运行 Microsoft IIS (Internet 信息服务)，并选择“FTP站点”。

2.选择“FTP 站点”，点击“属性”按钮。

3.在“FTP 站点属性”对话框中，单击“高级”选项卡，随后将 FTP 主目录配置为指定目录。

配置防火墙1.在“控制面板”中找到“安全中心”，单击“Windows 防火墙”进行防火墙的配置。

对于Windows系统的安全加固，以下是一些常见的方法：
更新和安装补丁：确保操作系统和应用程序都及时更新，并安装最新的安全补丁。

这样可以修复已知的漏洞和弱点，增强系统的安全性。

使用强密码和多因素身份验证：确保使用强密码来保护用户账户，并启用多因素身份验证（如短信验证码、指纹识别等），以提高账户的安全性。

防火墙设置：打开系统内置的防火墙，并配置适当的规则来限制网络访问，只允许必要的网络连接。

安装可靠的安全软件：安装和更新可靠的杀毒软件、防火墙和恶意软件防护程序，以及其他安全工具，用于检测和阻止恶意软件和网络攻击。

关闭不必要的服务和功能：禁用或关闭系统中不必要的服务和功能，减少系统的攻击面。

定期备份数据：定期备份重要数据，并确保备份数据存储在安全的地方，以防止数据丢失或损坏。

使用安全的网络连接：避免使用不安全的公共Wi-Fi网络，尽量使用加密的网络连接（如VPN）来保护数据的传输安全。

用户权限管理：合理分配和管理用户权限，确保每个用户只拥有必要的权限，以减少潜在的安全风险。

定期检查安全设置：定期审查和更新系统的安全设置，确保安全策略和配置符合最佳实践，并及时做出调整。

这些方法只是一些常见的安全加固措施，具体的操作和设置可以根据
具体情况和需求进行进一步的调整和优化。

此外，保持对安全漏洞和最新威胁的关注，并采取相应的措施来应对，也是保持系统安全的重要方面。

Windows主机操作系统安全基线规范目录1账号管理、认证授权 (1)1.1账号 (1)1.1.1ELK-Windows-01-01-01 (1)1.1.2ELK-Windows-01-01-02 (2)1.1.3ELK-Windows-01-01-03 (3)1.2口令 (4)1.2.1ELK-Windows-01-02-01 (4)1.2.2ELK-Windows-01-02-02 (5)1.3授权 (6)1.3.1ELK-Windows-01-03-01 (6)1.3.2ELK-Windows-01-03-02 (7)1.3.3ELK-Windows-01-03-03 (8)1.3.4ELK-Windows-01-03-04 (9)1.3.5ELK-Windows-01-03-05 (10)2日志配置 (11)2.1.1ELK-Windows-02-01-01 (11)2.1.2ELK-Windows-02-01-02 (12)3通信协议 (14)3.1IP协议安全 (14)3.1.1ELK-Windows-03-01-01 (14)3.1.2ELK-Windows-03-01-02 (15)3.1.3ELK-Windows-03-01-03 (16)4设备其他安全要求 (18)4.1屏幕保护 (18)4.1.1ELK-Windows-04-01-01 (18)4.1.2ELK-Windows-04-01-02 (19)4.2共享文件夹及访问权限 (20)4.2.1ELK-Windows-04-02-01 (20)4.2.2ELK-Windows-04-02-02 (21)4.3补丁管理 (23)4.3.1ELK-Windows-04-03-01 (23)4.4防病毒管理 (24)4.4.1ELK-Windows-04-04-01 (24)4.4.2ELK-Windows-04-04-02 (25)4.5W INDOWS服务 (26)4.5.1ELK-Windows-04-05-01 (26)4.5.2ELK-Windows-04-05-02 (28)4.6启动项 (29)4.6.1ELK-Windows-04-06-01 (29)4.6.2ELK-Windows-04-06-02 (30)本文档是Windows操作系统的对于Win系统的设备账号认证、日志、协议、补丁升级、文件系统管理等方面的安全配置要求，共26项。

Windows 2003系统安全配置一、2003系统配置三、IIS配置四、其它设置(可选用)1、任何用户密码都要复杂，不需要的用户---删。

2、防ping处理防ping处理建意大家用防火墙一类的软件，这样可以大大降低服务器被攻击的可能性，为什么这样说呢？主要是现在大部份的入侵者都是利用软件扫一个网段存活的主机，一般判断主机是否存活就是看ping的通与不通了！3、防止SYN洪水攻击HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters新建DWORD值，名为SynAttackProtect，值为24、禁止响应ICMP路由通告报文HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\interface 新建DWORD值，名为PerformRouterDiscovery 值为05、防止ICMP重定向报文的攻击HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters将EnableICMPRedirects 值设为06、不支持IGMP协议HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters新建DWORD值，名为IGMPLevel 值为07、禁用DCOM：运行中输入Dcomcnfg.exe。

回车，单击“控制台根节点”下的“组件服务”。

打开“计算机”子文件夹。

对于本地计算机，请以右键单击“我的电脑”，然后选择“属性”。

选择“默认属性”选项卡。

清除“在这台计算机上启用分布式COM”复选框。

windows安全加固的常见方法Windows安全加固是指通过一系列的措施，提高Windows系统的安全性，防止黑客攻击、病毒感染等安全威胁。

在网络安全日益重要的今天，Windows安全加固已经成为了每个企业和个人必须要做的一项工作。

本文将介绍一些常见的Windows安全加固方法。

一、安装杀毒软件杀毒软件是保护Windows系统的第一道防线，它可以及时发现并清除病毒、木马等恶意软件。

因此，安装杀毒软件是Windows安全加固的必要步骤。

在选择杀毒软件时，应该选择知名品牌，更新频率高的杀毒软件，并及时更新病毒库。

二、安装防火墙防火墙是保护Windows系统的第二道防线，它可以监控网络流量，阻止未经授权的访问。

Windows系统自带了防火墙，但是它的功能比较简单，建议安装第三方防火墙软件，如360安全卫士、火绒等。

三、关闭不必要的服务Windows系统默认启动了很多服务，有些服务是我们不需要的，但是它们会占用系统资源，增加系统的安全风险。

因此，关闭不必要的服务是Windows安全加固的重要步骤。

可以通过“服务”管理器来关闭不必要的服务。

四、更新系统补丁Windows系统的漏洞是黑客攻击的入口，因此，及时更新系统补丁是Windows安全加固的重要步骤。

微软每个月都会发布安全补丁，建议及时下载安装。

五、设置强密码强密码是保护Windows系统的重要措施，它可以防止黑客通过猜测密码的方式入侵系统。

建议设置复杂的密码，包括大小写字母、数字和特殊字符，并定期更换密码。

六、禁用自动运行自动运行是Windows系统的一个功能，它可以自动运行光盘、U 盘等外部设备中的程序。

但是，这个功能也会被黑客利用，通过植入病毒来感染系统。

因此，禁用自动运行是Windows安全加固的重要步骤。

七、开启UACUAC是Windows系统的一个安全功能，它可以防止未经授权的程序对系统进行修改。

建议开启UAC，以增加系统的安全性。

八、备份重要数据备份重要数据是Windows安全加固的重要步骤，它可以防止数据丢失或被黑客攻击。

操作系统安全加固措施
操作系统的安全加固措施是为了保护系统不受恶意攻击和未经授权的访问，以下是一些常见的操作系统安全加固措施：
1. 更新操作系统和软件：及时安装操作系统和软件的安全更新，包括修复已知的漏洞和弱点。

2. 增强访问控制：设定强密码和多因素认证，限制用户权限，并确保每个用户只有所需的最低权限。

3. 设置防火墙：使用防火墙来过滤网络流量，仅允许必要的网络连接，并配置防火墙规则以阻止未经授权的访问。

4. 禁用不必要的服务和功能：禁用不需要的服务和功能，以减少潜在的攻击面。

5. 启用日志和监控：开启系统日志记录和监控功能，及时检测和响应潜在的入侵或异常活动。

6. 加密数据传输和存储：使用加密协议和技术保护网络传输和数据存储的安全性，确保敏感信息不被窃取或篡改。

7. 定期备份和恢复：定期备份系统和数据，以防止数据丢失或系统崩溃时能够快速恢复。

8. 监控和审核安全策略：定期审查和更新安全策略，确保其与最新的威胁和风险相匹配。

9. 培训用户和员工：提供安全意识培训，教育用户和员工如何避免常见的安全威胁和社会工程攻击。

10. 使用安全软件和工具：使用杀毒软件、反间谍软件、入侵
检测系统等安全工具来提供实时保护和检测潜在的威胁。

最重要的是，操作系统的安全加固措施应该是一个持续的过程，随着新的威胁和漏洞的出现，及时更新和改进系统。

题目：Window 2003 Server操作系统安全加固（10分）要求如下：按照国家电网公司“SG186工程”信息化建设要求，公司开发建设了某应用系统，系统采用Windows2003平台提供服务，根据等级保护建设和公司信息安全要求，需要根据如下具体要求对系统进行配置和安全加固。

（1）禁用不必要的账号，并对用户口令复杂度设定及用户口令定期更换设置，同时设置系统管理员账号为非常规账号。

（2）增强日志审核，调整审核策略，调整事件日志的大小和覆盖策略。

（3）为进一步提高系统安全性，禁用匿名用户连接（空连接），禁用系统显示上次登录的用户名，删除主机默认共享，禁止dumpfile的产生。

答案及评分标准：问题（1）禁用不必要的账号，并对用户口令复杂度设定及用户口令定期更换设置，同时设置系统管理员账号为非常规账号。

：1）本地安全设置|账户策略|密码策略，对密码策略进行设置。

密码复杂性要求：启用。

密码长度最小值：8字符；密码最短存留期：0天。

（1分）2）本地安全设置|账户策略|账户锁定策略，对账户锁定策略进行设置；复位账户锁定计数器：15分钟。

账户锁定时间：15分钟。

账户锁定阈值：5次。

（1分）3）更改默认管理员账号，本地安全设置|本地策略|安全选项|重命名系统管理员账号。

（1分）4）计算机管理|系统工具|本地用户和组|用户，删除非法账号或多余账号。

（1分）问题（2）增强日志审核，调整审核策略，调整事件日志的大小和覆盖策略。

1）本地安全设置|本地策略|审核策略，进行审核策略调整。

修改安全策略为下述值：审核策略更改成功审核登录事成功（1分）2）管理工具|事件查看器，设置应用程序、安全性、系统三者的默认“最大日志文件大小”和“覆盖策略”。

应用程序、安全性、系统三者的“最大日志文件大小”调整为16384K；覆盖策略调整为“改写久于30天的事件”。

（1分）问题（3）为进一步提高系统安全性，禁用匿名用户连接（空连接），禁用系统显示上次登录的用户名，删除主机默认共享，禁止dumpfile的产生。