WindowsServer 2008 主机安全加固文档

合集下载

Server系统安全加固

为安装Windows server操作系统的服务器进行系统安全加固操作系统基本安全加固补丁安装使用Windows update安装最新补丁或者使用第三方软件安装补丁,如360安全卫士系统帐户、密码策略1.帐户密码策略修改“本地计算机”策→计算机配置→windows设置→安全设置→密码策略密码长度最小值7 字符密码最长存留期90 天密码最短存留期30 天密码必须符合复杂性要求启用保障帐号以及口令的安全，但是设置帐号策略后可能导致不符合帐号策略的帐号无法登录，需修改不符合帐号策略的密码（注：管理员不受帐号策略限制，但管理员密码应复杂以避免被暴力猜测导致安全风险）2.帐户锁定策略账户锁定时间30 分钟账户锁定阈值5 次无效登录复位账户锁定计数器30 分钟有效的防止攻击者猜出您账户的密码3.更改默认管理员用户名“本地计算机”策→计算机配置→windows设置→安全设置→本地策略→安全选项帐户: 重命名管理员帐户默认管理员帐号可能被攻击者用来进行密码暴力猜测，可能由于太多的错误密码尝试导致该帐户被锁定。

建议修改默认管理员用户名4.系统默认账户安全Guest 帐户必须禁用；如有特殊需要保留也一定要重命名TSInternetUser 此帐户是为了“Terminal Services Internet Connector License”使用而存在的，故帐户必须禁用，不会对于正常的Terminal Services的功能有影响SUPPORT_388945a0 此帐户是为了IT帮助和支持服务，此帐户必须禁用IUSR_{system} 必须只能是Guest组的成员，此帐户为IIS（Internet Information Server）服务建立IWAM_{system} 必须只能是Guest组的成员，此帐户为IIS（Internet Information Server）服务建立日志审核策略“本地计算机”策→计算机配置→windows设置→安全设置→本地策略→审核策略审核策略更改成功审核登录事件无审核审核对象访问成功, 失败审核过程追踪无审核审核目录服务访问无审核审核特权使用无审核审核系统事件成功, 失败审核帐户登录事件成功, 失败审核帐户管理成功, 失败对系统事件进行审核，在日后出现故障时用于排查故障修改日志的大小与上限开始→控制面板→管理工具→事件察看器安全策略文件修改下述值：日志类型大小覆盖方式应用日志16382K 覆盖早于30 天的事件安全日志16384K 覆盖早于30 天的事件系统日志16384K 覆盖早于30 天的事件网络与服务安全暂停或禁用不需要的后台服务开始→运行→输入“services.msc”将下面服务的启动类型设置为手动并停止上述服务已启动且需要停止的服务包括：Alerter 服务Computer Browser 服务IPSEC Policy Agent 服务Messenger 服务Microsoft Search 服务Print Spooler 服务RunAs Service 服务Remote Registry Service 服务Security Accounts Manager 服务Task Scheduler 服务TCP/IP NetBIOS Helper Service 服务注册表安全性1.禁止匿名用户连接（空连接）注册表如下键值：HKLM\SYSTEM\CurrentControlSet\Control\Lsa“restrictanonymous”的原值为0将该值修改为“1”可以禁止匿名用户列举主机上所有用户、组、共享资源2.删除主机默认共享注册表键值HKLM\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters名称：Autoshareserver类型:REG_DOWN值:1 删除主机因为管理而开放的共享注意：这里可能有部分备份软件使用到系统默认共享3.限制远程注册表远程访问权限注册表如下键值：HKLM\SYSTEM\CurrentControlSet\Control\SecurePipeServers\winreg 名称：Description类型:REG_SZ值:Registry Server4.阻止远程访问系统日志HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\EventLog\Application“本地计算机”策→计算机配置→windows设置→安全设置→本地策略→安全选项网络访问: 可匿名访问的共享网络访问: 可匿名访问的命名管道网络访问: 可远程访问的注册表路径网络访问: 可远程访问的注册表路径和子路径网络访问: 限制对命名管道和共享的匿名访问5.禁用自动运行功能HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer名称：NoDriveTypeAutoRun类型:REG_DWORD值:0xFF文件系统加固注意：文件的权限修改使用cmd命令行下面cacls命令修改，不要直接使用图像界面修改%SystemDrive%\Boot.ini Administrators：完全控制System：完全控制%SystemDrive%\ Administrators：完全控制System：完全控制%SystemDrive%\Ntldr Administrators：完全控制System：完全控制%SystemDrive%\Io.sys Administrators：完全控制System：完全控制%SystemDrive%\Autoexec.bat Administrators：完全控制System：完全控制Authenticated Users：读取和执行、列出文件夹内容、读取%systemdir%\config Administrators：完全控制System：完全控制Authenticated Users：读取和执行、列出文件夹内容、读取%SystemRoot%\Downloaded Program Files Administrators：完全控制System：完全控制Everyone:读取%SystemRoot%\ Fonts Administrators：完全控制System：完全控制Everyone:读取%SystemRoot%\Tasks Administrators：完全控制System：完全控制%SystemRoot%\system32\Append.exe Administrators：完全控制%SystemRoot%\system32\Arp.exe Administrators：完全控制%SystemRoot%\system32\At.exe Administrators：完全控制%SystemRoot%\system32\Attrib.exe Administrators：完全控制%SystemRoot%\system32\Cacls.exe Administrators：完全控制%SystemRoot%\system32\Change.exe Administrators：完全控制%SystemRoot%\system32\ Administrators：完全控制%SystemRoot%\system32\Chglogon.exe Administrators：完全控制%SystemRoot%\system32\Chgport.exe Administrators：完全控制%SystemRoot%\system32\Chguser.exe Administrators：完全控制%SystemRoot%\system32\Chkdsk.exe Administrators：完全控制%SystemRoot%\system32\Chkntfs.exe Administrators：完全控制%SystemRoot%\system32\Cipher.exe Administrators：完全控制%SystemRoot%\system32\Cluster.exe Administrators：完全控制%SystemRoot%\system32\Cmd.exe Administrators：完全控制%SystemRoot%\system32\Compact.exe Administrators：完全控制%SystemRoot%\system32\ Administrators：完全控制%SystemRoot%\system32\Convert.exe Administrators：完全控制%SystemRoot%\system32\Cscript.exe Administrators：完全控制%SystemRoot%\system32\Debug.exe Administrators：完全控制%SystemRoot%\system32\ Administrators：完全控制%SystemRoot%\system32\ Administrators：完全控制%SystemRoot%\system32\Doskey.exe Administrators：完全控制%SystemRoot%\system32\Edlin.exe Administrators：完全控制%SystemRoot%\system32\Exe2bin.exe Administrators：完全控制%SystemRoot%\system32\Expand.exe Administrators：完全控制%SystemRoot%\system32\Fc.exe Administrators：完全控制%SystemRoot%\system32\Find.exe Administrators：完全控制%SystemRoot%\system32\Findstr.exe Administrators：完全控制%SystemRoot%\system32\Finger.exe Administrators：完全控制%SystemRoot%\system32\Forcedos.exe Administrators：完全控制%SystemRoot%\system32\ Administrators：完全控制%SystemRoot%\system32\Ftp.exe Administrators：完全控制%SystemRoot%\system32\Hostname.exe Administrators：完全控制%SystemRoot%\system32\Iisreset.exe Administrators：完全控制%SystemRoot%\system32\Ipconfig.exe Administrators：完全控制%SystemRoot%\system32\Ipxroute.exe Administrators：完全控制%SystemRoot%\system32\Label.exe Administrators：完全控制%SystemRoot%\system32\Logoff.exe Administrators：完全控制%SystemRoot%\system32\Lpq.exe Administrators：完全控制%SystemRoot%\system32\Lpr.exe Administrators：完全控制%SystemRoot%\system32\Makecab.exe Administrators：完全控制%SystemRoot%\system32\Mem.exe Administrators：完全控制%SystemRoot%\system32\Mmc.exe Administrators：完全控制%SystemRoot%\system32\ Administrators：完全控制%SystemRoot%\system32\ Administrators：完全控制%SystemRoot%\system32\Mountvol.exe Administrators：完全控制%SystemRoot%\system32\Msg.exe Administrators：完全控制%SystemRoot%\system32\Nbtstat.exe Administrators：完全控制%SystemRoot%\system32\Net.exe Administrators：完全控制%SystemRoot%\system32\Net1.exe Administrators：完全控制%SystemRoot%\system32\Netsh.exe Administrators：完全控制%SystemRoot%\system32\Netstat.exe Administrators：完全控制%SystemRoot%\system32\Nslookup.exe Administrators：完全控制%SystemRoot%\system32\Ntbackup.exe Administrators：完全控制%SystemRoot%\system32\Ntsd.exe Administrators：完全控制%SystemRoot%\system32\Pathping.exe Administrators：完全控制%SystemRoot%\system32\Ping.exe Administrators：完全控制%SystemRoot%\system32\Print.exe Administrators：完全控制%SystemRoot%\system32\Query.exe Administrators：完全控制%SystemRoot%\system32\Rasdial.exe Administrators：完全控制%SystemRoot%\system32\Rcp.exe Administrators：完全控制%SystemRoot%\system32\Recover.exe Administrators：完全控制%SystemRoot%\system32\Regedt32.exe Administrators：完全控制%SystemRoot%\system32\Regini.exe Administrators：完全控制%SystemRoot%\system32\Register.exe Administrators：完全控制%SystemRoot%\system32\Regsvr32.exe Administrators：完全控制%SystemRoot%\system32\Replace.exe Administrators：完全控制%SystemRoot%\system32\Reset.exe Administrators：完全控制%SystemRoot%\system32\Rexec.exe Administrators：完全控制%SystemRoot%\system32\Route.exe Administrators：完全控制%SystemRoot%\system32\Routemon.exe Administrators：完全控制%SystemRoot%\system32\Router.exe Administrators：完全控制%SystemRoot%\system32\Rsh.exe Administrators：完全控制%SystemRoot%\system32\Runas.exe Administrators：完全控制%SystemRoot%\system32\Runonce.exe Administrators：完全控制%SystemRoot%\system32\Secedit.exe Administrators：完全控制%SystemRoot%\system32\Setpwd.exe Administrators：完全控制%SystemRoot%\system32\Shadow.exe Administrators：完全控制%SystemRoot%\system32\Share.exe Administrators：完全控制%SystemRoot%\system32\Snmp.exe Administrators：完全控制%SystemRoot%\system32\Snmptrap.exe Administrators：完全控制%SystemRoot%\system32\Subst.exe Administrators：完全控制%SystemRoot%\system32\Telnet.exe Administrators：完全控制%SystemRoot%\system32\Termsrv.exe Administrators：完全控制%SystemRoot%\system32\Tftp.exe Administrators：完全控制%SystemRoot%\system32\Tlntadmin.exe Administrators：完全控制%SystemRoot%\system32\Tlntsess.exe Administrators：完全控制%SystemRoot%\system32\Tlntsvr.exe Administrators：完全控制%SystemRoot%\system32\Tracert.exe Administrators：完全控制%SystemRoot%\system32\ Administrators：完全控制%SystemRoot%\system32\Tsadmin.exe Administrators：完全控制%SystemRoot%\system32\Tscon.exe Administrators：完全控制%SystemRoot%\system32\Tsdiscon.exe Administrators：完全控制%SystemRoot%\system32\Tskill.exe Administrators：完全控制%SystemRoot%\system32\Tsprof.exe Administrators：完全控制%SystemRoot%\system32\Tsshutdn.exe Administrators：完全控制%SystemRoot%\system32\ Administrators：完全控制%SystemRoot%\system32\Wscript.exe Administrators：完全控制%SystemRoot%\system32\Xcopy.exe Administrators：完全控制对特定文件权限进行限制，禁止Guests 用户组意外访问这些文件网络安全访问关闭闲置和有潜在危险的端口，将除了用户需要用到的正常计算机端口之外的其他端口都关闭掉屏蔽端口系统防火墙第三方防火墙使用“IP安全策略”控制端口访问开始→设置→控制面板→管理工具→本地安全策略在“IP安全策略，在本地计算机”右键“创建IP安全策略”在点击下一步后会弹出一个警告窗口，按确定就可以点击添加。

Windows操作系统安全加固策略

保留一切权利。

非经本公司书面许可，任何单位和个人不得擅自摘抄、复制本文档内容的部分或全部，并不得以任何形式传播。

商标声明和其他华为商标均为华为技术有限公司的商标。

本文档提及的其他所有商标或注册商标，由各自的所有人拥有。

注意您购买的产品、服务或特性等应受华为公司商业合同和条款的约束，本文档中描述的全部或部分产品、服务或特性可能不在您的购买或使用范围之内。

除非合同另有约定，华为公司对本文档内容不做任何明示或默示的声明或保证。

由于产品版本升级或其他原因，本文档内容会不定期进行更新。

除非另有约定，本文档仅作为使用指导，本文档中的所有陈述、信息和建议不构成任何明示或暗示的担保。

华为技术有限公司地址：深圳市龙岗区坂田华为总部办公楼邮编：518129网址：客户服务邮箱：support@客户服务电话：4008302118目录1 安全选项 (1)1.1 Microsoft网络客户端 (1)1.2 网络服务器 (1)1.3 MSS (2)1.4 交互式登录 (3)1.5 域成员 (3)1.6 审核 (4)1.7 帐户 (4)1.8 恢复控制台 (5)1.9 系统加密 (5)1.10 系统对象 (5)1.11 系统设置 (6)1.12 网络安全 (6)1.13 网络访问 (7)1.14 设备 (9)2 审核与帐户策略 (10)2.1 Kerberos策略 (10)2.2 事件日志设置 (10)2.3 审核策略 (11)2.4 账户策略 (12)2.5 账户锁定策略 (12)2.6 用户权利指派 (13)3 管理模板 (16)3.1 Internet通信 (16)3.2 Windows更新 (17)3.3 Windows组件 (18)3.4 Windows 防火墙 (18)3.5 系统 (20)1 安全选项安全选项帮助减少病毒攻击和其它安全风险。

Windows系统安全加固操作手册

1、应按照用户分配账号。

避免不同用户间共享账号。

避免用户账号和设备间通信使用的账号共享。

结果：现网已实现2、应删除或锁定与设备运行、维护等工作无关的账号。

结果：现网已实现3、对于采用静态口令认证技术的设备，口令长度至少6位，并包括数字、小写字母、大写字母和特殊符号4类中至少2类。

结果：可以实现编号：安全要求-设备-WINDOWS-配置-44、对于采用静态口令认证技术的设备，账户口令的生存期不长于90天。

结果：可以实现编号：安全要求-设备-通用-配置-45、对于采用静态口令认证技术的设备，账户口令的生存期不长于90天。

结果：可以实现，应用账号不建议实现，将会影响应用系统；编号：安全要求-设备-WINDOWS-配置-56、对于采用静态口令认证技术的设备，应配置设备，使用户不能重复使用最近5次（含5次）内已使用的口令。

结果：可以实现编号：安全要求-设备-WINDOWS-配置-67、对于采用静态口令认证技术的设备，应配置当用户连续认证失败次数超过6次（不含6次），锁定该用户使用的账号。

结果：可以实现编号：安全要求-设备-WINDOWS-配置-78、在设备权限配置能力内，根据用户的业务需要，配置其所需的最小权限。

结果：现网已实现9、设备应配置日志功能，对用户登录进行记录，记录内容包括用户登录使用的账号，登录是否成功，登录时间，以及远程登录时，用户使用的IP地址。

结果：现网已实现10、设备应配置日志功能，记录用户对设备的操作，包括但不限于以下内容：账号创建、删除和权限修改，口令修改，读取和修改设备配置，读取和修改业务用户的话费数据、身份数据、涉及通信隐私数据。

记录需要包含用户账号，操作时间，操作内容以及操作结果。

结果：可以实现编号：安全要求-设备-WINDOWS-配置-1111、对于具备TCP/UDP协议功能的设备，设备应根据业务需要，配置基于源IP地址、通信协议TCP或UDP、目的IP地址、源端口、目的端口的流量过滤，过滤所有和业务不相关的流量。

系统安全加固

- 28 -
02 Windows
系统安全加固
2.11 修补操作系统漏洞
Windows系统漏洞其实是指windows操作系统本身所存在的技术缺陷。系统漏洞往往会被病毒利用侵入并攻击用户计算机。微软会定期对已知的系统漏洞发布补丁程序，用户只要定期下载并安装补丁程序，可以保证计算机不会轻易被病毒入侵。所以我们一般都应该对windows提示的系统漏洞进行下载更新（也就是我们俗称的打补丁），以此保护我们的计算机系统。
- 26 -
02 Windows
系统安全加固
2.9 关闭系统默认共享
关闭默认共享方法三：注册表编辑法
1、打开注册表编辑器
2、找到路径： HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\ parameters 3、将AutoShareServer项的键值由1改为0，这样就能关闭硬盘分区的默认共享；
02 Windows
系统安全加固
2.9 关闭系统默认共享
关闭默认共享方法一：打开【控制面板】-->【管理工具】-->【计算机管理】-->
【共享文件夹】-->【共享】，在相应的共享文件夹上右击停止共享。
注意：此种方法关闭共享后，如果计算机重启，默认共享又会开启。
- 25 -
02 Windows
系统安全加固
1、利用快捷键Win+R打开运行框，输入 cmd，打开命令提示符窗口； 2、再窗口中输入命令net share回车。如下图所示。C$，D$，E$，F$默认共享，以及 IPC$远程IPC，ADMIN$远程管理； 3、print$为打印机共享，一般办公室中一台电脑上安装打印机，然后把打印机共享。

windows2008安全配置以及优化

（1）防止黑客建立IPC$空连接打开注册表编辑器，定位到HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA分支，在右边修改RestrictAnonymous为1.（2）账户问题。

首先以系统管理员身份进入Windows Server 2008系统桌面，从中依次点选"开始"/"运行"命令，打开系统运行文本框，在其中输入"gpedit.msc"字符串命令，单击回车键后，进入对应系统的组策略编辑界面；其次选中组策略编辑界面左侧列表中的"计算机配置"节点选项，再从该节点选项下面依次点选"管理模板"、"Windows组件"、"Windows登录选项"分支选项，从目标分支选项下面找到"在用户登录期间显示有关以前登录的信息"目标组策略选项，并用鼠标双击该选项，进入如图8所示的选项设置界面；(图挂了你自己猜吧) 在该选项设置界面中检查"已启用"选项有没有被选中，倘若看到该选项还没有被选中时，我们应该重新选中它，再单击"确定"按钮保存上面的设置操作，这样的话Windows Server 2008服务器系统自带的显示以前登录信息功能就被成功启用了。

日后，当有危险登录行为发生在Windows Server 2008服务器系统中时，目标危险登录账号信息就会被Windows Server 2008系统自动跟踪记忆下来，网络管理员下次重启服务器系统时，就能非常清楚地看到上次登录系统的所有账号信息，其中来自陌生账号的登录行为可能就是危险登录行为，根据这个危险登录行为网络管理员应该及时采取安全措施进行应对，以便杜绝该现象的再次发生。

（3）加强连接安全保护Windows Server 2008服务器系统自带的防火墙功能比以往进步了不少，为了让本地系统中的所有网络连接安全性及时地得到Windows防火墙的保护，我们需要对该系统环境下的组策略参数进行合适设置，来让Windows Server 2008服务器系统下的所有网络连接都处于Windows防火墙的安全保护之中，下面就是具体的设置步骤：首先以系统管理员身份进入Windows Server 2008系统桌面，从中依次点选"开始"/"运行"命令，打开系统运行文本框，在其中输入"gpedit.msc"字符串命令，单击回车键后，进入对应系统的组策略编辑界面；其次将鼠标定位于组策略编辑界面左侧列表区域中的"计算机配置"节点选项上，再从该节点选项下面依次点选"管理模板"、"网络"、"网络连接"、"Windows防火墙"、"标准配置文件"组策略子项，在目标组策略子项下面，找到"Windows防火墙：保护所有网络连接"选项，并用鼠标双击该选项，进入如图7所示的选项设置界面；（图挂了你自己猜）检查该设置界面中的"已启用"选项是否处于选中状态，要是发现该选项还没有被选中时，我们应该及时将它选中，再单击"确定"按钮保存上述设置操作，那样的话Windows Server 2008系统下的所有网络连接日后都会处于Windows防火墙的安全保护之下了。

实验四WindowsServer2008系统安全配置(最新整理)

实验报告院系：信息与工程学院班级：学号姓名：实验课程：《网络安全技术实验》实验名称：实验四 Windows Server2008系统安全配置指导教师：实验四Windows Server 2008系统安全配置实验学时 2一、实验目的与要求1、了解Windows Sever 2008 操作系统的安全功能、缺陷和安全协议；2、熟悉Windows Sever 2008 操作系统的安全配置过程及方法；二、实验仪器和器材计算机一台VMware workstation 10 Windows Sever 2008操作系统三、实验原理网络防火墙及端口安全管理在“深层防御”体系中，网络防火墙处于周边层，而Windows防火墙处于主机层面。

和Windows XP和Windows 2003的防火墙一样，Windows Server 2008的防火墙也是一款基于主机的状态防火墙，它结合了主机防火墙和IPSec，可以对穿过网络边界防火墙和发自企业内部的网络攻击进行防护，可以说基于主机的防火墙是网络边界防火墙的一个有益的补充。

与以前Windows版本中的防火墙相比，Windows Server 2008中的高级安全防火墙（WFAS）有了较大的改进，首先它支持双向保护，可以对出站、入站通信进行过滤。

其次它将Windows防火墙功能和Internet 协议安全(IPSec)集成到一个控制台中。

使用这些高级选项可以按照环境所需的方式配置密钥交换、数据保护(完整性和加密)以及身份验证设置。

而且WFAS还可以实现更高级的规则配置，你可以针对Windows Server上的各种对象创建防火墙规则，配置防火墙规则以确定阻止还是允许流量通过具有高级安全性的Windows防火墙。

传入数据包到达计算机时，具有高级安全性的Windows防火墙检查该数据包，并确定它是否符合防火墙规则中指定的标准。

如果数据包与规则中的标准匹配，则具有高级安全性的Windows防火墙执行规则中指定的操作，即阻止连接或允许连接。

操作系统安全加固

上一页下一页返回
项目６操作系统安全加固
• ⑧禁用注册表编辑器。单击 “ 开始 ”→ “ 运行 ”命令，输入 “ ｇｐｅｄｉｔ.ｍｓｃ” 命令，打开本地组策略编辑器，如图６－２８所示。
• 选择 “ 本地计算机策略 ”→ “ 用户配置 ” → “ 管理模板 ” → “ 系统 ”节点，如图６－２９所示。双击 “ 阻止访问注册编辑工具”项，打开“阻止访问注册表编辑工具属性 ” 对话框，选择 “ 已启用 ” 单选按钮，如图６－３０所示，单击 “ 确定 ” 按钮，关闭 “ 本地组策略编辑器 ” 对话框，选择 “ 开始 ”→ “ 运行 ”命令，输入注册表编辑器命令 “ ｒｅｇｅｄｉｔ.ｅｘｅ” ，系统将会提示如图６－３１所示的对话框，禁止使用注册表编辑器。
下一页返回
项目６操作系统安全加固
• ③设置审核账户登录事件的失败事件及审核账户管理的成功与失败事件。
统文件夹Ｃ：＼ｔｅｓｔ的失败访问事件。
• ⑤开机时设置为 “ 不自动显示上次登录账户 ” ，禁止枚举账户名。
• 双击右侧窗格中的“审核登录事件”项，打开“审核登录事件属性 ” 对话框，选择“ 审核这些操作： ” 复选框的 “ 失败 ” 选项，如图６－１２所示。单击 “ 确定 ” 按钮返回，双击 “ 审核账户管理 ” 项，出现 “ 审核账户管理属性 ” 对话框，选择 “ 审核这些操作： ” 复选框的 “ 成功 ” 和 “ 失败 ” 选项，如图６－１３所示，单击 “确定”按钮。

2Windows系统安全加固

将〝Administrator〞重命名为其他称号，可以有效地处置这一效果。
第二十四页，共116页。
步骤1：选择〝末尾〞→ 〝顺序〞→〝管理工具〞→〝本地(běndì)平安战略〞命令，翻开〝本地(běndì)平安设置〞窗口，如图2-1所示。
第二十五页，共116页。
步骤2：在左侧窗格中，选择〝平安设置〞→ 〝本地战略〞→〝平安选项〞选项，在右侧(yòu cè)窗格中，双击〝账户：重命名系统管理员账户〞战略选项，翻开如图2-2所示的对话框，将系统管理员账户称号〝Administrator〞改为一个普通的账户称号，如〝 huang〞，而不要运用如〝Admin〞之类的账户称号，单击〝确定〞按钮。
第九页，共116页。
2.添加WONDOWS用户密码，设置密码战略 (1) 用户—添加管理员用户〔2〕设置用户账户战略步骤1：选择〝末尾〞→ 〝顺序〞→〝管理工具〞→〝本地平安战
略〞命令(mìng lìng)，翻开〝本地平安设置窗口，在左侧窗格中，选择〝平安设置〞→〝账户战略〞→〝密码战略〞选项，如图2-14所示。
第十二页，共116页。
步骤4：同理，设置〝密码最长运用(yùnyòng)期限〞为〝14〞天，设置〝强迫密码历史〞为〝10〞个记住的密码，设置〝密码必需契合复杂性要求〞为〝已启用〞。上述设置完成后的密码战略如图2-17所示。
第十三页，共116页。
(2) 设置用户账户锁定战略用户账户锁定战略可以防止合法入侵者不时地猜想用户的账户密码。步骤1：在图2-17中，选择左侧窗格中的〝账户锁定战略〞选项，在右
侧(yòu cè)窗格中显示了账户锁定战略的三个战略项，如图2-18所示。
第十四页，共116页。
步骤2：双击右侧(yòu cè)窗格中的〝账户锁定阈值〞战略选项，翻开〝账户锁定阈值属性〞对话框，选择〝本地平安设置〞选项卡，设置〝在发作以下状况之后，锁定账户〞为3次有效登录，如图2-19所示。

WindowsServer2008配置系统安全策略

WindowsServer2008配置系统安全策略下⾯学习Windows Server 2008配置系统安全策略在⼯作组中的计算机本地安全策略有⽤户策略，密码策略，密码过期默认42天服务账户设置成永不过期，帐户锁定策略，本地策略，审核策略，计算机记录哪些安全事件最后在域环境中使⽤组策略配置计算机安全。

1.在⼯作组中的安全策略，打开本地安全策略。

2.打开本地安全策略之后选择密码策略，可以看到有很多的策略，先看第⼀个密码复杂性要求。

3.打开密码必须符合复杂性要求，默认是打开的，我们在设置密码的时候，不能设置纯数字或者纯字母，必须要有数字加⼤⼩写。

4.密码长度最⼩值，这个是设置密码最低⼩于⼏位数，默认是0，这⾥修改为6位，在设置密码的时候必须满⾜6位，包括数字字母⼤⼩写或者特殊符号。

5.密码最短使⽤期限，默认是0天这⾥设置为30天，在30天不会提⽰你修改密码，必须要使⽤30天才能改密码。

6.密码最长使⽤期限，默认是42天，这⾥修改为60天超过60天之后会提⽰让你修改密码。

7.强制密码历史，这个选项是你修改密码时不能⼀样，默认是0，这⾥设置为3次，修改3次密码之后才能修改回第⼀次使⽤的密码。

8.打开账户锁定策略，账户锁定值默认是0次，可以设置5次超过5次就会把这个账户锁定，为了防⽌别⼈⼊侵你的电脑，等待半个⼩时之后就会⾃动解锁，或者联系管理员⾃动解锁。

9.账号锁定时间，默认是30分钟⾃动解锁，也可以⾃⼰修改，这⾥修改为3分钟⾃动解锁。

10.现在lisi这个⽤户输错五次密码，就算输⼊正确的密码，提⽰账户已锁定，⽆法登录。

11.打开服务器管理器，选择本地⽤户和组，可以查看lisi这个⽤户，输错5次密码之后账户已锁定，管理员可以⼿动把这个勾去掉，然后确定就能登⼊了，或者lisi这个⽤户等待3分钟之后账户会⾃动解锁。

12.打开本地策略，选择审核登录事件，默认是⽆审核，这⾥我勾选成功跟失败，然后确定。

13.打开事件查看器，选择安全把⾥⾯的事件先全部删除，然后使⽤lisi远程登录到这台计算机。

WindowsWindows2008系统讲座

18
账户策略－账户锁定策略
账户锁定阈值账户锁定时间复位账户锁定计数器
19
本地策略－审核策略
是否在安全日志中记录登录用户的操作事件
审核策略
审核策略更改
说明
确定是否对用户权限分配策略、审核策略或信任策略的更改进行审核确定是否审核此策略应用到的系统中发生的登录和注销事件确定是否审核用户访问某个对象（如文件、文件夹、注册表项、打印机）的事件确定是否审核在这台计算机用于验证账户时，用户登录到其他计算机或者从其他计算机注销的每个实例确定是否审核用户重新启动、关闭计算机以及对系统安全或安全日志有影响的事件
技能展示
理解备份类型会备份和还原的方法会配置任务计划理解Windows的安全模式
65
Windows备份和还原
一些突发事故会导致数据丢失
硬件故障病毒误操作自然灾害
备份是指将系统中数据的副本按一定策略储存到安全的地方备份的目的是在系统故障或误操作后，能利用备份信息还原数据，尽可能减小损失
灰色为继承权限
10
取消继承强制继承
权限的继承-2
从上继承强制继承
11
权限的拒绝
拒绝权限可以覆盖所有其他权限可以设置拒绝用户账户，也可以拒绝组
例：user属于组group1和group2
12
取得所有权-1
应用场景
管理员没有查看权限
13
取得所有权-2
如何取得所有权
“安全”→“继续”→“所有者”
组策略的应用规则
继承与阻止继承累加应用顺序强制生效筛选
47
继承与阻止继承
在默认情况下，下层容器会继承来自上层容器的GPO 子容器可以阻止继承上级的组策略

服务器安全加固手册

服务器安全加固手册一、安全策略加固：1、点击“开始”—“管理工具”—“本地安全策略”：2、点击“账户策略”—“密码策略”和“账户策略”，策略配置如下：3、点击“本地策略”—“审核策略”和“安全选项”，策略配置如下：4、点击“开始”—“管理工具”—“计算机管理”：5、点击“系统工具”—“本地用户和组”—“用户”，鼠标右击“guest”账户点击“属性”，将guest账户禁用：二、防火墙安全配置：注意：开启防火墙会导致外部主动访该问服务器的部分端口流量被阻断，如（数据库服务器中开启防火墙后，应用服务器则无法连接数据库端口），强烈建议先梳理各服务器需要开放的业务端口，在防火墙策略中放开需要使用到的业务端口，再打开、启动防火墙。

保证业务的正常运行，一旦开启防火墙发现对业务有影响则立即关闭防火墙。

1、点击“开始”—“管理工具”—“高级安全windows防火墙”：2、点击“入站规则”—“远程桌面（TCP-In）”—鼠标右击“属性”：3、点击“作用域”—“远程IP地址”中填写如下IP地址：4、点击“开始”—“网络”—右击鼠标“属性”：5、点击“windows防火墙”—“打开或关闭windows防火墙”，开启防火墙功能：三、补丁更新1、补丁更新前请将服务器进行安全备份，以免补丁更新失败造成数据丢失。

2、如果windows系统为正版授权系统，可在“开始”—“所有程序”—“windows update”—“启动自动更新”—“检查更新”，采用windows系统自动更新功能。

3、如果服务器可上网，安装360安全卫士或电脑管家等第三方软件，进行在线补丁更新，但补丁更新完后务必将该软件卸载、删除。

4、可在微软官方网站中《https:///zh-cn/》中下载高危漏洞补丁进行离线安装。

四、删除多余的第三方应用软件：删除多余的、不需要使用的第三方软件，如QQ、Teamview、输入法、浏览器等不许使用的应用软件。

五、防病毒部署：建议购买国内知名厂商防病毒软件，建议采用C/S架构的病毒集中管理方式，实现防病毒的分布式部署。

系统安全加固方案-3

系统安全加固方案文档说明1. Microsoft Windows远程桌面协议中间人攻击漏洞(CVE-2005-1794)【原理扫描】4.1漏洞清单3/104.2加固方案1、安装此补丁WindowsServer2003-KB2621440-x86-CHS.exe即可解决安全此安全漏洞问题。

4.3回退方案在控制面板-添加/删除程序中卸载该补丁即可4.4加固结果已经加固4/102. Microsoft远程桌面协议RDP远程代码可执行漏洞(CVE-2012-0002)(MS12-020)【原理扫描】漏洞1.1漏洞清单5/101.2加固方案Windows2008和windows2003分别安装此补丁WindowsServer2003-KB2621440-x86-CHS.exe和Windows6.1-KB2621440-x64.msu 即可解决安全此安全漏洞问题。

1.3回退方案在控制面板-添加/删除程序中卸载该补丁即可1.4加固结果已经加固3. Mongodb未授权访问漏洞【原理扫描】2.1漏洞清单6/107/102.2加固方案在ers中添加用户，启动认证。

#在admin 数据库中创建用户！xjyd 密码为xjyd!!20161、[mongodb@rac3 bin]$ ./mongo 127.0.0.1:27017MongoDB shell version: 2.0.1connecting to: 127.0.0.1:27017/test> use adminswitched to db admin>> db.addUser("supper", "sup"){ "n" : 0, "connectionId" : 4, "err" : null, "ok" : 1 }{"user" : "supper","readOnly" : false,"pwd" : "51a481f72b8b8218df9fee50b3737c44","_id" : ObjectId("4f2bc0d357a309043c6947a4") }> db.auth("supper","sup")18/10> exitbye2、在ers中添加用户，启动认证。

主机安全加固报告docx

引言概述：正文内容：1.操作系统的安全配置1.1更新操作系统和软件1.2加强密码策略1.3禁用不必要的服务和功能1.4安装防火墙和入侵检测系统1.5使用安全的远程访问方式，如SSH2.网络安全设置2.1配置网络防火墙2.2使用安全的网络协议和加密通信2.3划分网络区域和访问控制列表2.4防止DNS劫持和ARP欺骗攻击2.5实施入侵检测和入侵防御系统3.用户权限和访问控制3.1建立用户账户和权限管理策略3.2配置强制访问控制机制3.3限制特权用户的权限3.4定期审计用户活动和权限更改3.5建立用户培训和意识教育计划4.应用程序和服务的安全性4.1安装可信赖的应用程序和软件来源4.2定期更新和升级应用程序和服务4.3配置应用程序安全选项和访问控制4.4使用安全的网络协议和加密通信4.5实施应用程序的漏洞扫描和安全测试5.日志和监控的重要性5.1配置日志记录和审计策略5.2检查和分析日志文件5.3实施网络流量监控和入侵检测系统5.4建立安全事件响应计划5.5进行安全评估和定期审计总结：主机安全加固对于确保计算机系统的安全性至关重要。

本报告通过详细阐述了操作系统的安全配置、网络安全设置、用户权限和访问控制、应用程序和服务的安全性，以及日志和监控的重要性。

通过采取这些措施，并与其他安全实践相结合，可以大大提高主机安全性，防止恶意攻击和非法访问，保护机密信息和数据的安全。

每个组织和个人都应当重视主机安全加固，并根据特定需求制定相应的安全策略和实施计划。

切勿忽视主机安全，以免给计算机系统带来潜在的风险和威胁。

安全加固方案

安全加固方案1安全加固概述随着网络技术的飞速发展，网络安全逐渐成为影响信息系统业务发展的关键问题。

由于信息系统拥有各种网络设备、操作系统、数据库和应用系统，存在大量的安全漏洞，对其进行安全加固增加其安全性是十分必要的。

安全加固是指参考国内国际权威的系统安全配置标准，并结合用户信息系统实际情况，对信息系统涉及的主机、网络设备、应用及数据库的脆弱性进行分析并修补，包括安全配置加固和漏洞修补，增强用户信息系统抗攻击能力，有效减轻系统总体安全风险，提升信息系统安全防范水平，可以建立起一套适应性更强的安全保障基线，有效构建起信息系统安全堤坝。

2安全加固内容安全加固是参考国内国际权威的系统安全配置标准，并结合用户信息系统实际情况，在用户允许的前提下，对重要服务器的操作系统和应用服务进行适度安全配置加固和系统安全优化，包括打补丁、停止不必要的服务、升级或更换程序、修改配置及权限等，包括操作系统安全加固和优化、应用软件安全加固和优化、网络设备安全加固和优化，加固服务内容包括基线加固、漏洞修复和安全设备调优。

2.1基线加固2.1.1主机加固针对目前使用的操作系统，如Windows、Linux、AIX等进行加固。

Windows设备安全加固内容：账号、口令、授权、日志配置操作、日志保护配置、共享文件夹及访问权限、Windows服务、防病毒管理、自动播放、屏幕保护、远程登录控制、补丁管理、IP协议安全配置操作、时间同步服务。

Linux操作系统安全加固内容：账号、口令、文件权限、IP协议安全、日志审计、关闭不必要的服务、资源控制。

AIX操作系统安全加固内容：账号、口令、授权、日志配置、IP协议安全、路由协议安全、补丁管理、内核调整、服务进程和启动、AIX可被利用的漏洞。

2.1.2数据库加固针对不同数据库类型的数据库如Oracle、SQL Server、MySQL等进行加固，加固服务的内容包括：身份鉴别、访问控制、安全审计、资源控制等安全项加固。

计算机安防加固事项

1. Windows主机1.1 系统账户优化安全建议：设置强登录口令、删除多余账户、禁用Guest账户。

使用以下指令：“Win+R”键调出“运行”－>compmgmt.msc（计算机管理）->本地用户和组（或者打开“开始”－>“管理工具”－>“计算机管理”）查看是否有不用的账号，系统账号所属组是否正确以及guest账号是否锁定。

选择“本地用户和组”的“用户”，可设置口令、删除或禁用非必需账户或禁用Guest账户。

或命令行操作：使用“net user 用户名/del”命令删除多余账号使用“net user 用户名/active:no”命令锁定账号以修改口令为例：对需要修改口令的用户点击右键，选择“设置密码”（建议口令长度为8位以上，含字母、数字和字符）。

添加新密码，点“确定”。

实施风险：风险说明：需要分析用户是否被其它系统使用，如果在使用，则需要进行相应的修改。

1.2 关闭非必需服务安全建议：查看服务列表，禁用多个不需要的服务。

打开“控制面板”－>“管理工具”，进入“服务”。

点击相应的服务，选择启动类型为“已禁用”，设置服务状态为“停止”。

常见的非必需服务有：Alerter 远程发送警告信息Computer Browser 计算机浏览器：维护网络上更新的计算机清单Messenger 允许网络之间互相传送提示信息的功能，如net sendremote Registry 远程管理注册表，开启此服务带来一定的风险Print Spooler 如果相应服务器没有打印机，可以关闭此服务Task Scheduler 计划任务，查看“控制面板”的“任务计划”中是否有计划，若有，则不关闭。

(不确定，暂不关闭)SNMP 简单网管协议，如启用网管应用则不关闭。

Help and support 帮助服务，windows 2003以下版本有该服务。

Wirrless Configuration 关于无线功能的服务。

Windows操作系统安全加固规范

Windows主机操作系统安全基线规范目录1账号管理、认证授权 (1)1.1账号 (1)1.1.1ELK-Windows-01-01-01 (1)1.1.2ELK-Windows-01-01-02 (2)1.1.3ELK-Windows-01-01-03 (3)1.2口令 (4)1.2.1ELK-Windows-01-02-01 (4)1.2.2ELK-Windows-01-02-02 (5)1.3授权 (6)1.3.1ELK-Windows-01-03-01 (6)1.3.2ELK-Windows-01-03-02 (7)1.3.3ELK-Windows-01-03-03 (8)1.3.4ELK-Windows-01-03-04 (9)1.3.5ELK-Windows-01-03-05 (10)2日志配置 (11)2.1.1ELK-Windows-02-01-01 (11)2.1.2ELK-Windows-02-01-02 (12)3通信协议 (14)3.1IP协议安全 (14)3.1.1ELK-Windows-03-01-01 (14)3.1.2ELK-Windows-03-01-02 (15)3.1.3ELK-Windows-03-01-03 (16)4设备其他安全要求 (18)4.1屏幕保护 (18)4.1.1ELK-Windows-04-01-01 (18)4.1.2ELK-Windows-04-01-02 (19)4.2共享文件夹及访问权限 (20)4.2.1ELK-Windows-04-02-01 (20)4.2.2ELK-Windows-04-02-02 (21)4.3补丁管理 (23)4.3.1ELK-Windows-04-03-01 (23)4.4防病毒管理 (24)4.4.1ELK-Windows-04-04-01 (24)4.4.2ELK-Windows-04-04-02 (25)4.5W INDOWS服务 (26)4.5.1ELK-Windows-04-05-01 (26)4.5.2ELK-Windows-04-05-02 (28)4.6启动项 (29)4.6.1ELK-Windows-04-06-01 (29)4.6.2ELK-Windows-04-06-02 (30)本文档是Windows操作系统的对于Win系统的设备账号认证、日志、协议、补丁升级、文件系统管理等方面的安全配置要求，共26项。

网络安全主机安全加固

网络安全主机安全加固 Revised by BETTY on December 25,2020网络安全主机安全加固一、安全加固概述网络与应用系统加固和优化服务是实现客户信息系统安全的关键环节。

通过使用该项服务，将在客户信息系统的网络层、主机层和应用层等层次建立符合客户安全需求的安全状态，并以此作为保证客户信息系统安全的起点。

网络与应用系统加固和优化服务的目的是通过对主机和网络设备所存在安全问题执行以下操作：● 正确的安装；● 安装最新和全部OS和应用软件的安全补丁；● 操作系统和应用软件的安全配置；● 系统安全风险防范；● 提供系统使用和维护建议；● 系统功能测试；● 系统安全风险测试；● 系统完整性备份；● 必要时重建系统等。

上述工作的结果决定了网络与应用系统加固和优化的流程、实施的内容、步骤和复杂程度。

具体说，则可以归纳为：（1）加固目标也就是确定系统在做过加固和优化后，达到的安全级别，通常不同环境下的系统对安全级别的要求不同，由此采用的加固方案也不同。

（2）明确系统运行状况的内容包括:● 系统的具体用途,即明确系统在工作环境下所必需开放的端口和服务等。

● 系统上运行的应用系统及其正常所必需的服务。

● 我们是从网络扫描及人工评估里来收集系统的运行状况的。

（3）明确加固风险：网络与应用系统加固是有一定风险的，一般可能的风险包括停机、应用程序不能正常使用、最严重的情况是系统被破坏无法使用。

这些风险一般是由于系统运行状况调查不清导致，也有因为加固方案的代价分析不准确，误操作引起。

因此在加固前做好系统备份是非常重要的。

（4）系统备份：备份内容包括：文件系统、关键数据、配置信息、口令、用户权限等内容；最好做系统全备份以便快速恢复。

二．加固和优化流程概述网络与应用系统加固和优化的流程主要由以下四个环节构成：1. 状态调查对系统的状态调查的过程主要是导入以下服务的结果：● 系统安全需求分析● 系统安全策略制订● 系统安全风险评估(网络扫描和人工评估)对于新建的系统而言，主要是导入系统安全需求分析和系统安全策略制订这两项服务的结果。

服务器安全加固方法

最近我们在使用阿里云的过程中，发现服务器安全性也不是很高，而服务端的安全软件都很贵。

为了给朋友们提供更加有效的解决方案，我们决定身体力行，高筑墙，大幅度提升服务器的安全防护级别！方法与步骤如下：一、主机安全1、启用防火墙阿里云windows Server 2008 R2默认居然没有启用防火墙。

2012可能也是这样的，这个一定要检查！2、补丁更新启用windows更新服务，设置为自动更新状态，以便及时打补丁。

但需要注意：360安全卫士不支持2008补丁的安装。

阿里云的windows Server 2008 R2默认为自动更新状态，2012可能也是这样的，这个也要先检查！3、账号口令；优化账号。

操作目的：减少系统无用账号，降低风险。

加固方法：“Win+R”键调出“运行”->compmgmt.msc（计算机管理）->本地用户和组。

1)删除不用的账号，系统账号所属组是否正确。

云服务刚开通时，应该只有一个administrator账号和处于禁用状态的guest账号；2)确保guest账号是禁用状态3)买阿里云时，管理员账户名称不要用administrator备注：口令策略操作目的：增强口令的复杂度及锁定策略等，降低被暴力破解的可能性加固方法：“Win+R”键调出“运行”->secpol.msc （本地安全策略）->安全设置1、账户策略->密码策略密码必须符合复杂性要求：启用密码长度最小值：8个字符密码最短使用期限：0天密码最长使用期限：90天强制密码历史：1个记住密码用可还原的加密来存储密码：已禁用2、本地策略->安全选项交互式登录：不显示最后的用户名：启用备注“Win+R”键调出“运行”->gpupdate /force立即生效网络服务优化服务（1）操作目的关闭不需要的服务，减小风险加固方法“Win+R”键调出“运行”->services.msc，以下服务改为禁用：Application Layer Gateway Service（为应用程序级协议插件提供支持并启用网络/协议连接）Background Intelligent Transfer Service（利用空闲的网络带宽在后台传输文件。

主机加固报告范文

主机加固报告范文一、背景介绍随着互联网和信息技术的快速发展，计算机网络环境变得更加复杂和不稳定。

主机作为计算机网络的核心节点，承载着重要的业务和数据。

由于互联网的开放性和全球化，主机面临各种安全威胁和攻击，例如病毒、木马、网络钓鱼和黑客攻击等。

为了确保主机系统的稳定性和安全性，我们进行了主机加固工作。

二、目标和范围本次主机加固的目标是提高主机系统的安全性，减少系统和数据的风险。

加固范围包括操作系统、网络配置、服务配置、账户权限、日志记录等方面。

三、加固措施1.操作系统安全-定期更新操作系统的补丁和安全更新，及时修补漏洞。

-禁止未授权的外部访问，设置访问控制列表(ACL)限制访问。

-禁用不必要的服务和功能，减少攻击面。

-安装防火墙，限制外部网络对主机的访问。

2.网络配置安全-配置网络安全设备，如入侵检测系统(IDS)和入侵防御系统(IPS)，实时监测和阻断网络攻击。

-配置虚拟专用网络(VPN)，加密敏感数据传输。

-使用安全协议，如HTTPS进行通信，防止数据被窃听和篡改。

-禁用不必要的网络服务和端口，减少风险。

3.服务配置安全-设置服务的权限和访问控制，限制恶意用户和进程的操作。

-禁用不必要的服务，定期检查并关闭不需要的端口。

-安装安全软件，如反病毒软件和反恶意软件，确保主机系统的安全。

4.账户权限安全-配置账户策略，包括密码复杂度要求、账户锁定策略等，有效防止密码破解和暴力破解攻击。

-限制管理员用户的权限，并采用最小权限原则进行账户设置。

-定期检查并删除未授权的用户账户。

5.日志记录安全-开启主机系统的日志记录功能，记录关键操作和事件。

-配置日志审计工具，实时监测和分析系统日志，及时发现异常行为和攻击。

-定期备份和存档日志文件，防止日志文件被篡改或删除。

四、测试结果和建议经过主机加固措施的实施和测试，我们发现主机系统的安全性得到了明显提升。

经过渗透测试，未发现系统被入侵的风险。

然而，仍有一些可以改进的地方：-定期对操作系统进行漏洞扫描和安全评估，及时修复和应对新的安全威胁。

windows加固

启用”，点击确定；
(2)双击“为活动但空闲的终端服务会话设置时间限制”，
选择“已启用”，设置“活动会话限制”为10分钟，点击确定
。
1.按windows键+R，输入gpedit.msc，进入“本地组策略
编辑器”；
2.进入“计算机配置->Window设置->安全设置->本地策
略->安全选项”；
限制匿名用户连接权限，防止用户远程
仅允许 Administrators 组进行远端系统强制关机和关闭系统，避免非法用户关闭系统。
1.进入“控制面板->管理工具->本地安全策略->本地策略
->安全选项”；
禁止凭据管理器保存通过域身份验证的
2.双击“"网络访问，不允许存储网络身份验证的密码和凭密码和凭据，避免用户信息泄露。
据”，选择“已启用”，点击确定。
Simple Network Management Protocol(SNMP) Service
（Win XP、Win 2000不适用）
Simple Network Management Protocol(SNMP) Trap （Win XP、Win 2000 不适用） Telnet World Wide Web Publishing Service （Win XP、Win
2.右击删除无关账号
工作无关的账户，避免无关账户被黑客
3.右击Guest账号--属性--禁用。
利用。
1.在Win 7：进入控制面板->显示->个性化->屏幕保护
程序->5分钟； 2.在Win 2000、Win XP、Win 2003和Win 2008：进入控制面板->显示->屏幕保护程序（更改屏幕保护程序）；