Win2008 Server组策略安全设置整理
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
1. 启用internet进程
在运行里输入gpedit.msc->计算机配置->管理模板->windows组件->internet explorer->安全功能->限制文件下载->internet进程->选择已启用,日后Windows Server 2008系统就会自动弹出阻止Internet Explorer进程的非用户初始化的文件下载提示,单击提示对话框中的“确定”按钮,恶意程序就不会通过IE浏览器窗口随意下载保存到本地计算机硬盘中了。
(作用:防止恶意代码直接下载到本机上)
2. 对重要文件夹进行安全审核、
打开组策略->计算机配置->Windows设置->安全设置->本地策略->审核策略->审核对象访问,右键单击该项目,执行右键菜单中的“属性”命令打开目标组策略项目的属性设置窗口;选中该属性设置窗口中的“成功”和“失败”复选项,再单击“确定”按钮,如此一来访问重要文件夹或其他对象的登录尝试、用户账号、系统关闭、重启系统以及其他一些事件无论成功与失败,都会被Windows Server 2008系统自动记录保存到对应的日志文件中,我们只要及时查看服务器系统的相关日志文件,就能知道重要文件夹以及其他一些对象是否遭受过非法访问或攻击了,一旦发现系统存在安全隐患的话,我们只要根据日志文件中的内容及时采取针对性措施进行安全防范就可以了。
3. 禁止改变本地安全访问级别
打开组策略->用户配置->管理模板->Windows组件->Internet
Explorer->Internet控制模板->禁用安全页,右键菜单中的“属性”命令打开目标组
策略项目的属性设置窗口;选择已启用
4. 禁用internet选项
打开组策略->用户配置->管理模板->Windows组件->Internet Explorer->浏览器菜单->禁用“Internet选项”组策略的属性设置窗口打开,然后选中其中的“已启用”
选项,最后单击“确定”按钮就能使设置生效了。
5. 禁止超级账号名称被偷窃(黑客最爱用的)
打开组策略->“计算机配置->Windows设置->安全设置->本地策略->安全选项->网络访问:允许匿名SID/名称转换,右键单击该选项,执行右键菜单中的“属性”命令,选中其中的“已禁用”选项,再单击“确定”按钮退出组策略属性设置窗口,这样的话任何用户都将无法利用SID标识来窃取Windows Server 2008系统的登录账号名称信息了,那么Windows Server 2008系统受到暴力破解登录的机会就大大减少了,此时对应系统的安全性也就能得到有效保证了。
6. 禁止U盘病毒“趁虚而入”
打开组策略->用户配置->管理模板->系统->可移动存储访问->可移动磁盘:拒绝读取权限”和可移动磁盘:拒绝写入权限两个,右键选择“属性”命令,选中其中的“已启用”选项,再单击“确定”按钮退出组策略属性设置窗口。
7. 禁止来自程序的漏洞攻击
打开组策略->计算机配置->Windows设置->安全设置->高级安全Windows防火墙->高级安全Windows防火墙——本地组策略对象->入站规则,右击打开新建入站规则向导设置界面;根据向导界面的提示,将规则类型参数设置为“程序”,然后选中“此程序路径”选项,并单击“浏览”按钮,将存在明显漏洞的目标应用程序选中,接下来选中“阻止连接”项目,最后再设置好新建规则的名称,并单击“完成”按钮,如此一来Windows Server 2008系统中的高级防火墙程序就会禁止那些
存在明显安全漏洞的应用程序访问网络了,那样的话病毒或木马自然也就不能通过应用程序漏洞对本地服务器实施恶意攻击了。
8. 谨防登录密码被木马窃取
首先以特权帐号登录进Windows Server 2008服务器系统,依次点选该系统桌面中的“开始”、“运行”命令,在其后出现的系统运行对话框中,输入“control userpasswords2”字符串命令,单击“确定”按钮后,进入对应系统的用户账户控制对话框;
在对话框中单击“用户”标签,√上“要使用本机,用户必须输入用户名和密码”选项,之后选“高级”标签,进入标签设置页面;在该页面的“安全登录”处选中“要求用户按Ctrl+Alt+Delete”选项,同时单击“确定”按钮,如此一来任何一位用户包括网络管理员在尝试登录Windows Server 2008服务器时,都需要先按下Ctrl+Alt+Delete组合键,打开服务器系统的登录验证对话框,之后在其中正确输入系统特权账号的名称、密码等信息,才能安全登录进入Windows Server 2008服务器系统桌面,而在这个登录服务器系统的过程专业木马程序是无法窃取到登录帐号与密码信息的,如此一来系统特权帐号的登录密码就不会被轻易丢失了。
9. 强制远程用户进行网络验证
选择“程序->管理工具->服务器管理器,进入对应系统的服务器管理器界面;在右侧子窗格中找到“服务器摘要”设置项,并单击该设置区域下面的“配置远程桌面”按钮,进入Windows Server 2008系统的远程桌面属性设置窗口;
在该属性设置窗口的“远程桌面”位置处,我们看到Windows Server 2008系统为远程用户提供了三个安全选项,要是我们希望局域网中的所有用户都能非常顺畅地通过远程桌面连接功能来对Windows Server 2008服务器系统进行远程控制时,那就需要将这里的“允许运行任意版本远程桌面的计算机连接”安全项目选中,不过轻易选中该安全选项,Windows Server 2008服务器系统容易遭受非法攻击。
为了防止服务器系统开通远程桌面连接功能后会给自身带来安全麻烦,Windows Server 2008系统为远程控制用户提供了“只允许运行带网络级身份验证的远程桌面的计算机连接”安全设置选项,我们只要选中该安全控制选项,同时单击“确定”按钮退出设置对话框,那样一来Windows Server 2008系统日后就会强行对任何一位企图通过远程桌面连接功能控制服务器的用户执行网络身份验证了,通不过网络身份验证的远程控制用户自然就不能对Windows Server 2008服务器系统进行远程管理和控制了。
默认XP SP3的远程不支持网络级别身份验证
首先在客户端上打开注册表编辑器定位路径至:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa下打开security packages添加tspkg到最后一条后点取而关闭此窗口。
然后定位到:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders \下找到securityproviders编辑字符串添加数值:, credssp.dll(逗号后有个空格)然后确定关闭。
重启系统后生效,然后再运行mstsc查看信息已经显示为支持网络级别身份验证了。
10. 封堵特权账号漏洞
打开组策略->计算机配置->Windows设置->安全设置->本地策略->安全选项->“帐户:重命名系统管理员帐户”选项设置窗口,在该窗口的“本地安全设置”标签页面中,为Administrator账号重新设置一个外人不容易想到的新名称,比方说我们在这里可以将其设置为“CapInfo-ZhouQC”,再单击“确定”按钮执行设置保存操作,那样一来我们就能成功封堵Windows Server 2008系统的特权账号漏洞了。
11. 封堵系统转存漏洞
打开控制面板->系统,进入Windows Server 2008系统的属性设置界面; 找到高级系统设置”功能选项,弹出高级系统属性设置界面,在该设置界面的“启动和故障恢复”位置处单击“设置”按钮,打开Windows Server 2008系统的启动和故障恢复设置对话框;在“系统失败”位置处,单击“写入调试信息”选项的下拉按钮,并从下拉列表中点选“无”,再单击“确定”按钮保存好上述设置操作,这么一来Windows Server 2008系统日后即使发生了系统崩溃现象,也不会将故障发生那一刻的内存镜像内容保存为系统转存文件了,那么本地系统的一些隐私信息也就不会被他人非法偷看了。
12. 封堵网络发现漏洞
打开控制面板,双击该窗口中的“网络和共享中心”选项,再在其后界面中展开网络发现功能设置区域,选中其中的“关闭网络发现”选项,同时单击“应用”按钮保存好上述设置操作;依次单击“开始”/“设置”/“网络连接”命令,在弹出的网络连接列表窗口中,用鼠标右键单击目标本地连接图标,并执行快捷菜单中的“属性”命令,打开目标本地连接属性设置界面,取消默认选中的Link-Layer Topology Discovery Responder协议选项,再单击“确定”按钮,之后再将“链路层拓扑发现映射器I/O驱动程序”的选中状态一并取消,最后单击“确定”按钮执行参数设置保存操作.
13. 封堵虚拟内存漏洞
打开组策略->计算机配置->“Windows设置->安全设置->本地策略->安全选
项->“关机:清除虚拟内存页面文件”选项;接着用鼠标右键单击“关机:清除虚拟内存页面文件”选项,从弹出的快捷菜单中执行“属性”命令,打开目标组策略属性设置窗口,选中其中的“已启用”选项,同时单击“确定”按钮保存好上述设置操作,这么一来Windows Server 2008系统日后关闭系统之前,会自动将保存在虚拟内存中的隐私信息清除掉,那么其他用户就无法通过访问系统页面文件的方式来窃取本地系统的操作隐私了。
14. 实战应用审核功能
DOS命令“sec pol.msc->安全设置->本地策略->审核策略,在对应“审核策略”分支选项的右侧显示区域中,双击“审核账户管理”策略选项,选中“成功”和“失败”选项,再单击“确定”按钮关闭策略选项设置对话框,这样一来无论用户账户创建成功还是创建失败,Windows Server 2008系统都会自动记录下用户账号创建事件.。