Windows_Server_2008安全配置基础(改)

Windows2008系统安全设置编写：技术支持李岩伟1、密码设置复杂一些，例如：********2、更改administrator账户名称，例如：南关区社管服务器administrator更改为*******，更改方法：开始—运行：gpedit.msc---计算机配置--- Windows设置--安全设置---本地策略---安全选项---帐户：重命名系统管理员---右键---属性---更改名称；3、更改guest账户名称，例如更改为********，更改方法：开始—运行：gpedit.msc---计算机配置--- Windows设置--安全设置---本地策略---安全选项---帐户：重命名来宾帐户---右键---属性---更改名称；4、新建一无任何权限的假Administrator账户管理工具→计算机管理→系统工具→本地用户和组→用户新建一个Administrator帐户作为陷阱帐户，设置超长密码（例如：*********），并去掉所有用户组更改描述：管理计算机(域)的内置帐户5、更改远程桌面端口：开始—运行：regedit，单击“确定”按钮后，打开注册表编辑窗口;找到：[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\TerminalServer\Wds\rdpwd\Tds\tcp] 双击右边PortNumber——点十进制——更改值为：XXX（例如22）——点确定。

然后找到：[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\TerminalServer\WinStations\RDP-Tcp] 双击右边PortNumber——点十进制——更改值为：XXX（例如22）——点确定。

6、设置不显示最后的用户名，设置方法：开始—运行：gpedit.msc---计算机配置--- Windows设置--安全设置---本地策略---安全选项---交互式登录：不显示最后的用户名---右键---属性---已启用---应用7、安全设置-->本地策略-->安全选项在运行中输入gpedit.msc回车，打开组策略编辑器，选择计算机配置-->Windows 设置-->安全设置-->本地策略-->安全选项交互式登陆：不显示最后的用户名启用网络访问：不允许SAM帐户的匿名枚举启用已经启用网络访问：不允许SAM帐户和共享的匿名枚举启用网络访问：不允许储存网络身份验证的凭据启用网络访问：可匿名访问的共享内容全部删除网络访问：可匿名访问的命名管道内容全部删除网络访问：可远程访问的注册表路径内容全部删除网络访问：可远程访问的注册表路径和子路径内容全部删除8、安全设置-->账户策略-->账户锁定策略在运行中输入gpedit.msc回车，打开组策略编辑器，选择计算机配置-->Windows 设置-->安全设置-->账户策略-->账户锁定策略，将账户锁定阈值设为“三次登陆无效”，“锁定时间为30分钟”，“复位锁定计数设为30分钟”。

Windows Server 2008 R2常规安全设置及基本安全策略比较重要的几部1.更改默认administrator用户名，复杂密码2.开启防火墙3.安装杀毒软件1)新做系统一定要先打上补丁2)安装必要的杀毒软件3)删除系统默认共享4)修改本地策略——>安全选项交互式登陆：不显示最后的用户名启用网络访问：不允许SAM 帐户和共享的匿名枚举启用网络访问: 不允许存储网络身份验证的凭据或 .NET Passports 启用网络访问：可远程访问的注册表路径和子路径全部删除5)禁用不必要的服务TCP/IP NetBIOS Helper、Server、Distributed Link Tracking Client 、Print Spooler、Remote Registry、Workstation6)禁用IPV6server 2008 r2交互式登录: 不显示最后的用户名一、系统及程序1、屏幕保护与电源桌面右键--〉个性化--〉屏幕保护程序，屏幕保护程序选择无，更改电源设置选择高性能，选择关闭显示器的时间关闭显示器选从不保存修改2、配置IIS7组件、FTP7、php 5.5.7、mysql 5.6.15、phpMyAdmin 4.1.8、phpwind 9.0、ISAPI_Rewrite环境。

在这里我给大家可以推荐下阿里云的服务器一键环境配置，全自动安装设置很不错的。

点击查看地址二、系统安全配置1、目录权限除系统所在分区之外的所有分区都赋予Administrators和SYSTEM有完全控制权，之后再对其下的子目录作单独的目录权限2、远程连接我的电脑属性--〉远程设置--〉远程--〉只允许运行带网络超级身份验证的远程桌面的计算机连接，选择允许运行任意版本远程桌面的计算机连接(较不安全)。

备注：方便多种版本Windows远程管理服务器。

windows server 2008的远程桌面连接，与2003相比，引入了网络级身份验证（NLA，network level authentication)，XP SP3不支持这种网络级的身份验证，vista跟win7支持。

实验二Windows Server 2008的基本配置一、实验目的1、掌握Windows Server 2008的基本配置2、掌握MMC控制台的使用二、实验环境1、安装有Windows Server 2008虚拟机软件的计算机三、实验作业将操作结果数据保存到WORD文档中，名称为班级-姓名-学号.doc，例如1班张三1号的文件名为：1-张三-01.doc。

操作结束将实验作业文档提交。

四、实验内容1、修改计算机名在桌面中选择【计算机】图标右击选择【属性】，单击【高级系统设置】，打开【系统属性】对话框，选择【计算机名】选项卡，单击【更改】按钮，更改计算机名称，命名为student班级学号，例如1班一号的计算机名称为：student101。

将修改后计算机名的【系统属性】的【计算机名】选项卡截图到实验作业中。

2、配置TCP/IP参数（1）查看当前计算机的TCP/IP参数右键单击桌面上的【网络】，选择【属性】，或者在桌面右下角单击【网络连接】图标，选择【网络和共享中心】，则打开【网络和共享中心】对话框。

单击【查看状态】，显示【本地连接状态】对话框单击【详细信息】，可以查看当前计算机TCP/IP的配置信息，截图记录到实验作业中。

（2）设置静态IP地址在上图中选择【属性】单击，打开【本地连接属性】对话框双击Internet协议版本4（TCP/IPV4）或单击后选择【属性】自己设置静态IP信息：IP地址：192.168.0.XXX（XXX为本人的班级学号，例如1班1号为192.168.0.101）；子网掩码：255.255.255.0。

设置结束，再次查看当前计算机的TCP/IP参数，并将查看结果截图到实验作业中。

3、设置网络发现和共享（1）打开【网络和共享中心】，设置网络发现、文件共享的启用。

（2）利用网络测试命令Ipconfig和Ping测试本机的网络状态及网络的连通性。

测试结果截屏到实验作业（3）双击桌面中的【网络】，打开【网络】对话框，查看当前网络中的所有计算机信息，并截图到实验作业中。

（1）防止黑客建立IPC$空连接打开注册表编辑器，定位到HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA分支，在右边修改RestrictAnonymous为1.（2）账户问题。

首先以系统管理员身份进入Windows Server 2008系统桌面，从中依次点选"开始"/"运行"命令，打开系统运行文本框，在其中输入"gpedit.msc"字符串命令，单击回车键后，进入对应系统的组策略编辑界面；其次选中组策略编辑界面左侧列表中的"计算机配置"节点选项，再从该节点选项下面依次点选"管理模板"、"Windows组件"、"Windows登录选项"分支选项，从目标分支选项下面找到"在用户登录期间显示有关以前登录的信息"目标组策略选项，并用鼠标双击该选项，进入如图8所示的选项设置界面；(图挂了你自己猜吧) 在该选项设置界面中检查"已启用"选项有没有被选中，倘若看到该选项还没有被选中时，我们应该重新选中它，再单击"确定"按钮保存上面的设置操作，这样的话Windows Server 2008服务器系统自带的显示以前登录信息功能就被成功启用了。

日后，当有危险登录行为发生在Windows Server 2008服务器系统中时，目标危险登录账号信息就会被Windows Server 2008系统自动跟踪记忆下来，网络管理员下次重启服务器系统时，就能非常清楚地看到上次登录系统的所有账号信息，其中来自陌生账号的登录行为可能就是危险登录行为，根据这个危险登录行为网络管理员应该及时采取安全措施进行应对，以便杜绝该现象的再次发生。

（3）加强连接安全保护Windows Server 2008服务器系统自带的防火墙功能比以往进步了不少，为了让本地系统中的所有网络连接安全性及时地得到Windows防火墙的保护，我们需要对该系统环境下的组策略参数进行合适设置，来让Windows Server 2008服务器系统下的所有网络连接都处于Windows防火墙的安全保护之中，下面就是具体的设置步骤：首先以系统管理员身份进入Windows Server 2008系统桌面，从中依次点选"开始"/"运行"命令，打开系统运行文本框，在其中输入"gpedit.msc"字符串命令，单击回车键后，进入对应系统的组策略编辑界面；其次将鼠标定位于组策略编辑界面左侧列表区域中的"计算机配置"节点选项上，再从该节点选项下面依次点选"管理模板"、"网络"、"网络连接"、"Windows防火墙"、"标准配置文件"组策略子项，在目标组策略子项下面，找到"Windows防火墙：保护所有网络连接"选项，并用鼠标双击该选项，进入如图7所示的选项设置界面；（图挂了你自己猜）检查该设置界面中的"已启用"选项是否处于选中状态，要是发现该选项还没有被选中时，我们应该及时将它选中，再单击"确定"按钮保存上述设置操作，那样的话Windows Server 2008系统下的所有网络连接日后都会处于Windows防火墙的安全保护之下了。

实验报告院系：信息与工程学院班级：学号姓名：实验课程：《网络安全技术实验》实验名称：实验四 Windows Server2008系统安全配置指导教师：实验四Windows Server 2008系统安全配置实验学时 2一、实验目的与要求1、了解Windows Sever 2008 操作系统的安全功能、缺陷和安全协议；2、熟悉Windows Sever 2008 操作系统的安全配置过程及方法；二、实验仪器和器材计算机一台VMware workstation 10 Windows Sever 2008操作系统三、实验原理网络防火墙及端口安全管理在“深层防御”体系中，网络防火墙处于周边层，而Windows防火墙处于主机层面。

和Windows XP和Windows 2003的防火墙一样，Windows Server 2008的防火墙也是一款基于主机的状态防火墙，它结合了主机防火墙和IPSec，可以对穿过网络边界防火墙和发自企业内部的网络攻击进行防护，可以说基于主机的防火墙是网络边界防火墙的一个有益的补充。

与以前Windows版本中的防火墙相比，Windows Server 2008中的高级安全防火墙（WFAS）有了较大的改进，首先它支持双向保护，可以对出站、入站通信进行过滤。

其次它将Windows防火墙功能和Internet 协议安全(IPSec)集成到一个控制台中。

使用这些高级选项可以按照环境所需的方式配置密钥交换、数据保护(完整性和加密)以及身份验证设置。

而且WFAS还可以实现更高级的规则配置，你可以针对Windows Server上的各种对象创建防火墙规则，配置防火墙规则以确定阻止还是允许流量通过具有高级安全性的Windows防火墙。

传入数据包到达计算机时，具有高级安全性的Windows防火墙检查该数据包，并确定它是否符合防火墙规则中指定的标准。

如果数据包与规则中的标准匹配，则具有高级安全性的Windows防火墙执行规则中指定的操作，即阻止连接或允许连接。

WindowsServer2008配置系统安全策略下⾯学习Windows Server 2008配置系统安全策略在⼯作组中的计算机本地安全策略有⽤户策略，密码策略，密码过期默认42天服务账户设置成永不过期，帐户锁定策略，本地策略，审核策略，计算机记录哪些安全事件最后在域环境中使⽤组策略配置计算机安全。

1.在⼯作组中的安全策略，打开本地安全策略。

2.打开本地安全策略之后选择密码策略，可以看到有很多的策略，先看第⼀个密码复杂性要求。

3.打开密码必须符合复杂性要求，默认是打开的，我们在设置密码的时候，不能设置纯数字或者纯字母，必须要有数字加⼤⼩写。

4.密码长度最⼩值，这个是设置密码最低⼩于⼏位数，默认是0，这⾥修改为6位，在设置密码的时候必须满⾜6位，包括数字字母⼤⼩写或者特殊符号。

5.密码最短使⽤期限，默认是0天这⾥设置为30天，在30天不会提⽰你修改密码，必须要使⽤30天才能改密码。

6.密码最长使⽤期限，默认是42天，这⾥修改为60天超过60天之后会提⽰让你修改密码。

7.强制密码历史，这个选项是你修改密码时不能⼀样，默认是0，这⾥设置为3次，修改3次密码之后才能修改回第⼀次使⽤的密码。

8.打开账户锁定策略，账户锁定值默认是0次，可以设置5次超过5次就会把这个账户锁定，为了防⽌别⼈⼊侵你的电脑，等待半个⼩时之后就会⾃动解锁，或者联系管理员⾃动解锁。

9.账号锁定时间，默认是30分钟⾃动解锁，也可以⾃⼰修改，这⾥修改为3分钟⾃动解锁。

10.现在lisi这个⽤户输错五次密码，就算输⼊正确的密码，提⽰账户已锁定，⽆法登录。

11.打开服务器管理器，选择本地⽤户和组，可以查看lisi这个⽤户，输错5次密码之后账户已锁定，管理员可以⼿动把这个勾去掉，然后确定就能登⼊了，或者lisi这个⽤户等待3分钟之后账户会⾃动解锁。

12.打开本地策略，选择审核登录事件，默认是⽆审核，这⾥我勾选成功跟失败，然后确定。

13.打开事件查看器，选择安全把⾥⾯的事件先全部删除，然后使⽤lisi远程登录到这台计算机。

Windows 2008服务器安全设置技术实例目录Windows 2008服务器安全设置技术实例 (1)一、服务器安全设置之--硬盘权限篇 (2)二、服务器安全设置之--系统服务篇(设置完毕需要重新启动) (13)三、服务器安全设置之--组件安全设置篇 (18)四、服务器安全设置之--本地安全策略设置（重要） (20)A、策略——>密码策略 (20)B、策略——>锁定策略 (20)D、本地策略——>用户权限分配 (21)E、本地策略——>安全选项 (21)五、服务器安全设置之--本地安全策略-IP安全策略 (22)六、服务器安全设置之--高级安全windows防火墙(掌握好很重要) (23)七、服务器安全设置之--本地安全策略-高级审核策略配置 (24)a. 系统审核策略——>登录 (24)b. 系统审核策略——>管理 (24)c. 系统审核策略——>详细跟踪 (25)d. 系统审核策略——>DS访问 (25)e. 系统审核策略——>登陆/注销 (25)f. 系统审核策略——>对象访问 (25)g. 系统审核策略——>策略更改 (25)h. 系统审核策略——>特权使用 (25)八、服务器安全设置之--远程桌面服务策略 (26)九、服务器安全设置之--组策略配置（掌握好很重要） (26)十、服务器安全设置之--用户安全设置 (28)十一、选配—防御PHP木马攻击的技巧 (30)一、服务器安全设置之--硬盘权限篇这里着重谈需要的权限，也就是最终文件夹或硬盘需要的权限，可以防御各种木马入侵，提权攻击，跨站攻击等。

本实例经过多次试验，安全性能很好，服务器基本没有被木马威胁的担忧了（注：红色背景为主要审查配置对象）。

注：其他应用程序相关权限，除主要的权限访问继承上一级文件夹以外，需对指定的文件夹或文件进行单独的权限设置，规则按最小权限给予。

Windows Server 2008安全配置基础一、及时打补丁二、阻止恶意Ping攻击我们知道，巧妙地利用Windows系统自带的ping命令，可以快速判断局域网中某台重要计算机的网络连通性;可是，ping命令在给我们带来实用的同时，也容易被一些恶意用户所利用，例如恶意用户要是借助专业工具不停地向重要计算机发送ping命令测试包时，重要计算机系统由于无法对所有测试包进行应答，从而容易出现瘫痪现象。

为了保证Windows Server 2008服务器系统的运行稳定性，我们可以修改该系统的组策略参数，来禁止来自外网的非法ping攻击：首先以特权身份登录进入Windows Server 2008服务器系统，依次点选该系统桌面上的“开始”/“运行”命令，在弹出的系统运行对话框中，输入字符串命令“gpedit.msc”，单击回车键后，进入对应系统的控制台窗口;其次选中该控制台左侧列表中的“计算机配置”节点选项，并从目标节点下面逐一点选“Windows设置”、“安全设置”、“高级安全Windows防火墙”、“高级安全Windows 防火墙——本地组策略对象”选项，再用鼠标选中目标选项下面的“入站规则”项目;接着在对应“入站规则”项目右侧的“操作”列表中，点选“新规则”选项，此时系统屏幕会自动弹出新建入站规则向导对话框，依照向导屏幕的提示，先将“自定义”选项选中，再将“所有程序”项目选中，之后从协议类型列表中选中“ICMPv4”，如图3所示;协议类型列表中选中“ICMPv4”，之后向导屏幕会提示我们选择什么类型的连接条件时，我们可以选中“阻止连接”选项，同时依照实际情况设置好对应入站规则的应用环境，最后为当前创建的入站规则设置一个适当的名称。

完成上面的设置任务后，将Windows Server 2008服务器系统重新启动一下，这么一来Windows Server 2008服务器系统日后就不会轻易受到来自外网的非法ping 测试攻击了。

Windows Server 2008 设置2009年08月09日一、取消必须输入密码登录系统的方法“运行”中输入：“gpedit.msc“，“计算机配置”→“WINDOWS设置”→“”→“帐户策略”→“密码策略”。

在这个路径下找到“密码必须符合复杂性要求”设置为禁用，“密码长度最小值”设置为0。

这样你就可以创建空密码的用户帐户了。

二、安装桌面体验安装完毕后，看到桌面了，这和VISTA一点都不一样，由于是服务器系统，默认是没有华丽的效果的。

开启方法如下：“开始”→“服务器管理”→“服务器管理器”在右边一栏找到“功能摘要”，然后点击“添加功能”，滑动找到“桌面体验” 当然如果是无线使用笔记本的话，无线功能也要加上。

之后应该是重启。

三、开启Aero 要开启Aero效果需要启动相关服务。

“开始”--运行（或者Win+R键）services.Msc找到Themes 右键开启服务。

然后右键属性，把启动方式改为自动。

注意：开启Aero，显卡硬件必须要支持DX9.0和PS2.0，128M以上显存。

四：关闭IE SEC 服务器系统要求很高性，所以微软给ie添加了安全增强。

这就使得ie在Internet区域级别一直是最高的，而且无法进行整体调整。

点击快速运行栏的“服务器管理器”，开启服务器管理器。

1.勾选“登录时不要显示此控制台” 2.点击“配置IE ESC”，将对“管理员”和“用户”设置成“禁用”五、去掉关机事件跟踪每次关机都要求给出原因，用起来很烦人。

去掉的方法不难。

“开始”“运行”键入gpedit.Msc 打开“开始”->运行->输入“gpedit.msc”，在出现的窗口的左边部分，选择“计算机配置”->“管理模板”->“系统”，在右边窗口双击“关机事件跟踪”，在出现的对话框中选择“禁止”.六、让计算机直登陆而无须按ctrl+alt+del 方法1：在运行框中键入“gpedit.msc”进入主策略编辑器。

个人使用Windows Server 2008配置安装完Windows Server 2008后怎么配置电脑1、如何安装Windows Server 2008 ?可以采取两种方式：一是硬盘安装，二是光盘安装。

无论采取哪种方式，都建议遵循从低版本到高版本的安装顺序，即：Windows XP——Windows VISTA——Windows Server 2008 。

否则会相当麻烦的。

2、安装到最后一步提示输入密码，我怎么输了N次都过不去呢?输入错误。

Windows Server 2008要求采取比较复杂的密码方式，如果简单输入12345678或者abcdefgh，那是绝对不行的。

正确输入应当是：8位以上包括英文大小写字母的密码，比如：Windows2008，绝对一次顺利通过。

3、如何关闭UAC?控制面板→用户帐户→打开或关闭用户账户控制→取消使用用户账户控制(UAC)帮助保护您的计算机。

4、如何取消开机按 CTRL+ALT+DEL登陆?控制面板→管理工具→本地安全策略→本地策略→安全选项→交互式登陆：无须按CTRL+ALT+DEL→启用。

5、如何取消关机时出现的关机理由选择项?开始→运行gpedit.msc →计算机配置→管理模板→系统→显示“关闭事件跟踪程序”→禁用。

另外，“密码长度最小值”设置为0。

这样你就可以创建空密码的用户帐户了。

6、如何启用简单密码登陆?开始→运行gpedit.msc →计算机配置→ Windows设置→安全设置→密码策略“密码必须符合复杂性要求”→禁用。

7、如何实现自动登陆?开始→运行→输入“rundll32 netplwiz.dll,UsersRunDll”命令打开帐户窗口，先选中要自动登陆的账户，去选“要使用本机，用户必须输入用户名密码”复选框，输入该帐户的密码即可(前提是要关闭UAC)。

8、如何取消每次开机的默认共享?将下列内容导入注册表，重启即可(前提是要关闭UAC)。