Server系统安全加固

为安装Windows server操作系统的服务器进行系统安全加固

操作系统基本安全加固

补丁安装

使用Windows update安装最新补丁

或者使用第三方软件安装补丁,如360安全卫士

系统帐户、密码策略

1.帐户密码策略修改

“本地计算机”策→计算机配置→windows设置→安全设置→密码策略

密码长度最小值7 字符

密码最长存留期90 天

密码最短存留期30 天

密码必须符合复杂性要求启用

保障帐号以及口令的安全，但是设置帐号策略后可能导致不符合帐号策略的帐号无法登录，需修改不符合帐号策略的密码（注：管理员不受帐号策略限制，但管理员密码应复杂以避免被暴力猜测导致安全风险）

2.帐户锁定策略

账户锁定时间30 分钟

账户锁定阈值5 次无效登录

复位账户锁定计数器30 分钟

有效的防止攻击者猜出您账户的密码

3.更改默认管理员用户名

“本地计算机”策→计算机配置→windows设置→安全设置→本地策略→安全选项

帐户: 重命名管理员帐户

默认管理员帐号可能被攻击者用来进行密码暴力猜测，可能由于太多的错误密码尝试导致该帐户被锁定。建议修改默认管理员用户名

4.系统默认账户安全

Guest 帐户必须禁用；如有特殊需要保留也一定要重命名

TSInternetUser 此帐户是为了“Terminal Services Internet Connector License”使用而存在的，故帐户必须禁用，不会对于正常的Terminal Services的功能有影响

SUPPORT_388945a0 此帐户是为了IT帮助和支持服务，此帐户必须禁用

IUSR_{system} 必须只能是Guest组的成员，此帐户为IIS（Internet Information Server）服务建立

IWAM_{system} 必须只能是Guest组的成员，此帐户为IIS（Internet Information Server）服务建立

日志审核策略

“本地计算机”策→计算机配置→windows设置→安全设置→本地策略→审核策略

审核策略更改成功

审核登录事件无审核

审核对象访问成功, 失败

审核过程追踪无审核

审核目录服务访问无审核

审核特权使用无审核

审核系统事件成功, 失败

审核帐户登录事件成功, 失败

审核帐户管理成功, 失败

对系统事件进行审核，在日后出现故障时用于排查故障

修改日志的大小与上限

开始→控制面板→管理工具→事件察看器

安全策略文件修改下述值：

日志类型大小覆盖方式

应用日志16382K 覆盖早于30 天的事件

安全日志16384K 覆盖早于30 天的事件

系统日志16384K 覆盖早于30 天的事件

网络与服务安全

暂停或禁用不需要的后台服务

开始→运行→输入“services.msc”将下面服务的启动类型设置为手动并停止上述服务

已启动且需要停止的服务包括：

Alerter 服务

Computer Browser 服务

IPSEC Policy Agent 服务

Messenger 服务

Microsoft Search 服务

Print Spooler 服务

RunAs Service 服务

Remote Registry Service 服务

Security Accounts Manager 服务

Task Scheduler 服务

TCP/IP NetBIOS Helper Service 服务

注册表安全性

1.禁止匿名用户连接（空连接）

注册表如下键值：HKLM\SYSTEM\CurrentControlSet\Control\Lsa

“restrictanonymous”的原值为0将该值修改为“1”可以禁止匿名用户列举主机上所有用户、组、共享资源

2.删除主机默认共享

注册表键值HKLM\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters

名称：Autoshareserver类型:REG_DOWN值:1 删除主机因为管理而开放的共享

注意：这里可能有部分备份软件使用到系统默认共享

3.限制远程注册表远程访问权限

注册表如下键值：HKLM\SYSTEM\CurrentControlSet\Control\SecurePipeServers\winreg 名称：Description类型:REG_SZ值:Registry Server

4.阻止远程访问系统日志

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\EventLog\Application

“本地计算机”策→计算机配置→windows设置→安全设置→本地策略→安全选项网络访问: 可匿名访问的共享

网络访问: 可匿名访问的命名管道

网络访问: 可远程访问的注册表路径

网络访问: 可远程访问的注册表路径和子路径

网络访问: 限制对命名管道和共享的匿名访问

5.禁用自动运行功能

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer

名称：NoDriveTypeAutoRun类型:REG_DWORD值:0xFF

文件系统加固

注意：文件的权限修改使用cmd命令行下面cacls命令修改，不要直接使用图像界面修改%SystemDrive%\Boot.ini Administrators：完全控制System：完全控制

%SystemDrive%\ Administrators：完全控制System：完全控制

%SystemDrive%\Ntldr Administrators：完全控制System：完全控制

%SystemDrive%\Io.sys Administrators：完全控制System：完全控制

%SystemDrive%\Autoexec.bat Administrators：完全控制System：完全控制Authenticated Users：读取和执行、列出文件夹内容、读取

%systemdir%\config Administrators：完全控制System：完全控制Authenticated Users：读取和执行、列出文件夹内容、读取

%SystemRoot%\Downloaded Program Files Administrators：完全控制System：完全控制Everyone:读取

%SystemRoot%\ Fonts Administrators：完全控制System：完全控制Everyone:读取

%SystemRoot%\Tasks Administrators：完全控制System：完全控制

%SystemRoot%\system32\Append.exe Administrators：完全控制

%SystemRoot%\system32\Arp.exe Administrators：完全控制

%SystemRoot%\system32\At.exe Administrators：完全控制

%SystemRoot%\system32\Attrib.exe Administrators：完全控制

%SystemRoot%\system32\Cacls.exe Administrators：完全控制

%SystemRoot%\system32\Change.exe Administrators：完全控制

%SystemRoot%\system32\ Administrators：完全控制

%SystemRoot%\system32\Chglogon.exe Administrators：完全控制

%SystemRoot%\system32\Chgport.exe Administrators：完全控制

%SystemRoot%\system32\Chguser.exe Administrators：完全控制

%SystemRoot%\system32\Chkdsk.exe Administrators：完全控制

%SystemRoot%\system32\Chkntfs.exe Administrators：完全控制

%SystemRoot%\system32\Cipher.exe Administrators：完全控制

%SystemRoot%\system32\Cluster.exe Administrators：完全控制

%SystemRoot%\system32\Cmd.exe Administrators：完全控制

%SystemRoot%\system32\Compact.exe Administrators：完全控制

%SystemRoot%\system32\ Administrators：完全控制

%SystemRoot%\system32\Convert.exe Administrators：完全控制

%SystemRoot%\system32\Cscript.exe Administrators：完全控制

%SystemRoot%\system32\Debug.exe Administrators：完全控制