WindowsServer2008R2Enterprise安全配置笔记服务器安装好了后,要进行必要的安全配置,才能使用服务器更安全可靠。
工具/原料
WindowsServer2008R2Enterprise
方法/步骤
1、检查是否已正确配置密码长度最小值打开命令提示符,运行命令“gpedit.msc”打开组策略编辑器,浏览到路径“本地计算机策略\计算机配置\Windows设置\安全设置\帐户策略\密码策略”,在右边窗格中找到“密码长度最小值”,配置为不小于标准值的值,6
方法/步骤2
1、检查是否已更改管理员帐户名称打开命令提示符,运行命令“gpedit.msc”打开组策略编辑器,浏览到路径“本地计算机策略\计算机配置\Windows设置\安全设置\本地策略\安全选项”,在右边窗格中找到“(帐户:)重命名(系统)管理员帐户”,更改其默认设置“Administrator”(注意:若当前是以Administrator用户登录,则无法更改)。
2、检查是否已正确配置帐户锁定阈值打开命令提示符,运行命令“gpedit.msc”打开组策略编辑器,浏览到路径“本地计算机策略\计算机配置\Windows设置\安全设置\帐户策略\帐户锁定策略”,在右边窗格中找到“帐户锁定阈值”,配置为非0值。配置为0表示帐户将永远不会被锁定。
3、检查是否已正确配置“复位帐户锁定计数器”时间打开命令提示符,运行命令“gpedit.msc”打开组策略编辑器,浏览到路径“本地计算机策略\计算机配置\Windows设置\安全设置\帐户策略\帐户锁定策略”,在右边窗格中找到“复位(重置)帐户锁定计数器”,配置为不小于标准值的值。
方法/步骤3
1、检查是否已正确配置帐户锁定时间打开命令提示符,运行命令“gpedit.msc”打开组策略编辑器,浏览到路径“本地计算机策略\计算机配置\Windows设置\安全设置\帐户策略\帐户锁定策略”,在右边窗格中找到“帐户锁定时间”,配置为不小于标准值的值。要配置此设置必须先配置“帐户锁定阈值”。当配置为0时,检测到的实际值为-1。
2、检查是否已正确配置密码最短使用期限打开命令提示符,运行命令“gpedit.msc”打开组策略编辑器,浏览到路径“本地计算机策略\计算机配置\Windows设置\安全设置\帐户策略\密码策略”,在右边窗格中找到“密码最短存留期(使用期限)”,配置为非0值。如果希望“强制密码历史”有效,则需要将密码最短使用期限设置为大于0的值。
3、检查是否已正确配置“强制密码历史”打开命令提示符,运行命令“gpedit.msc”打开组策略编辑器,浏览到路径“本地计算机策略\计算机配置\Windows设置\安全设置\帐户策略\密码策略”,在右边窗格中找到“强制密码历史”,配置为不小于标准值的值。
方法/步骤4
1、检查是否已删除可远程访问的注册表路径和子路径打开命令提示符,运行命令“gpedit.msc”打开组策略编辑器,浏览到路径“本地计算机策略\计算机配置\Windows设置\安全设置\本地策略\安全选项”,在右边窗格中找到“网络访问:可远程访问的注册表路径”,配置为空。Windows2000没有此设置,不需配置。
2、检查可远程访问的注册表路径和子路径打开命令提示符,运行命令“gpedit.msc”打开组策略编辑器,浏览到路径“本地计算机策略\计算机配置\Windows设置\安全设置\本地策略\安全选项”,在右边窗格中找到“网络访问:可远程访问的注册表路径和子路径”,配置为空。Windows2000和WindowsXP没有此设置,不需配置。
3、检查是否已限制可关闭系统的帐户和组打开命令提示符,运行命令“gpedit.msc”打开组策略编辑器,浏览到路径“本地计算机策略\计算机配置\Windows设置\安全设置\本地策略\用户权限分配”,在右边窗格中找到“关闭系统”,配置为仅含有“Administrators”用户组。
方法/步骤5
1、检查是否已禁止SAM帐户和共享的匿名枚举打开命令提示符,运行命令“gpedit.msc”打开组策略编辑器,浏览到路径“本地计算机策略\计算机配置\Windows设置\安全设置\本地策略\安全选项”,在右边窗格中找到“网络访问:不允许SAM帐户和共享的匿名枚举”,配置为“启用”(在Windows2000下,将“对匿名连接的额外限制”配置为“不允许枚举SAM账号和共享”)。
2、检查是否已正确配置审核(日志记录)策略打开命令提示符,运行命令“gpedit.msc”打开组策略编辑器,浏览到路径“本地计算机策略\计算机配置\Windows设置\安全设置\本地策略\审核策略”,在右边窗格中找到“审核特权使用”,"审核系统事件",“审核进程跟踪”,“审核策略更改”,“审核帐户登录事件”,“审核目录服务访问”,“审核帐户管理”,“审核对象访问”,“审核登录事件”,勾选“成功”和“失败”。
3、检查Windows防火墙状态在Windows2000中,没有Windows防火墙,不检查此项;在WindowsXP及其SP1中,打开控制面板,找到“网络连接”,打开“本地连接”的“属性”对话框,切换到“高级”选项卡,勾选“通过限制或阻止来自Internet…”,并点击下方“设置”按钮设置例外端口;在其余版本的Windows中,打开控制面板,找到“Windows防火墙”,将当前网络位置的防火墙配置为“启用”,并根据实际需求设置例外。
方法/步骤6
1、检查是否已启用并正确配置源路由攻击保护打开命令提示符,运行命令“r娣定撰钠egedit”打开注册表编辑器,浏览到路径高酿眚郁“HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters”,添加名称为“DisableIPSourceRouting”、类型为DWORD、数据为标准值的数值,若已存在则修改其数据。此数据的有效值为0-2,其中0表示转发所有数据包,1表示不转发源路由的数据包,2表示丢弃所有传入源路由的数据包。
2、检查是否已禁用ICMP重定向打开命令提示符,运行命令“regedit”打开注册表编辑器,浏览到路径“HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters”,添加名称为“EnableICMPRedirect”、类型为DWORD、数据为标准值的数值,若已存在则修改其数据。此数据的有效值为0-1。
3、检查处于SYN_RCVD状态下的TCP连接阈值打开命令提示符,运行命令“regedit”打开注册表编辑器,浏览到路径“HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters”,添加名称为“TcpMaxHalfOpen”、类型为DWORD、数据为标准值(注意:标准值为16进制表示)的数值,若已存在则修改其数据。此数据的有效值为在64-ffff(16进制)。0x01f4
方法/步骤7
1、检查取消尝试响应SYN请求之前要重新传输SYN-ACK的次数打开命令提示符,运行命令“regedit”打开注册表编辑器,浏览到路径“HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters”,添加名称为“TcpMaxConnectResponseRetransmissions”、类型为DWORD、数据为标准值的数值,若已存在则修改其数据。此数据的有效值为0-255。0x2
2、检查处于SYN_RCVD状态下,且至少已经进行了一次重新传输的T觊皱筠桡CP连接阈值打开命令提示符,运行命令“regedit”打开注册表编辑器芟坳葩津,浏览到路径“HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters”,添加名称为“TcpMaxHalfOpenRetried”、类型为DWORD、数据为标准值(注意:标准值为16进制表示)的数值,若已存在则修改其数据。此数据的有效值为在50-ffff(16进制)。0x0190
3、检查TCP连接请求阈值打开命令提示符,运行命令“regedit”打开注册表编辑器,浏览到路径“HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters”,添加名称为“TcpMaxPortsExhausted”、类型为DWORD、数据为标准值(注意:标准值为16进制表示)的数值,若已存在则修改其数据。此数据的有效值为在0-ffff(16进制)。0x5
方法/步骤8
1、检查是否已启用SYN攻击保护打开命令提示符,运行命令“regedit”打开注册表编辑器,浏览到路径“HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters”,添加名称为“SynAttackProtect”、类型为DWORD、数据为标准值(注意:标准值为16进制表示)的数值,若已存在则修改其数据。此数据的有效值为0-1。0x1
2、检查是否已禁用失效网关检测打开命令提示符,运行命令“regedit”打开注册表编辑器,浏览到路径“HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters”,添加名称为“EnableDeadGWDetect”、类型为DWORD、数据为标准值的数值,若已存在则修改其数据。此数据的有效值为0-1。如果不将该值设置为0,攻击可能会强制服务器切换网关,而切换到的新网关可能并不是您打算使用的网关。
3、检查是否已启用TCP最大传输单元(MTU)大小自动探测打开命令提示腿发滏呸符,运行命令“regedit”打开注册表编辑器,浏览到路径“HKEY_LOCAL_MACHINE\SYSTE罄休卦咦M\CurrentControlSet\Services\Tcpip\Parameters”,添加名称为“EnablePMTUDiscovery”、类型为DWORD、数据为标准值的数值,若已存在则修改其数据。此数据的有效值为0-1,其中0表示不自动探测MTU大小,都使用576字节的MTU,1表示自动探测MTU大小。如果不将该值设置为0,攻击者可能会强制MTU值变得非常小,从而导致堆栈的负荷过大。
方法/步骤9
1、检查TCP“连接存活时间”打开命令提示符,运行命令“regedit鹁鼍漉糍”打开注册表编辑器,浏览到路径“HKEY_LOCAL_MA潮贾篡绐CHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters”,添加名称为“KeepAliveTime”、类型为DWORD、数据为标准值(注意:标准值是以毫秒为单位的)以内的数值,若已存在则修改其数据。此数据的有效值为1-0xFFFFFFFF。该值控制TCP通过发送“保持活动”的数据包来验证空闲连接仍然完好无损的频率。如果仍能连接到远程计算机,该计算机就会对“保持活动”的数据包作出应答。默认情况下,不发送“保持活动”的数据包。建议将该值设置为300,000(5分钟)(十进制基数格式)
2、检查重传单独数据片段的次数打开命令提示符,运行命令“regedit”打开注册表编辑器,浏览到路径“HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters”,添加名称为“TcpMaxDataRetransmissions”、类型为DWORD、数据为标准值的数值,若已存在则修改其数据。此数据的有效值为0-65535。0x2
3、检查是否已禁用路由发现功能打开命令提示符,运行命令“regedit鹁鼍漉糍”打开注册表编辑器,浏览到路径“HKEY_LOCAL_MA潮贾篡绐CHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters”,添加名称为“PerformRouterDiscovery”、类型为DWORD、数据为标准值的数值,若已存在则修改其数据。此数据的有效值为0-1。0表示禁用此功能,1表示开启。“路由发现”请求路由信息以构建整个网络,如果开启此功能,系统会将此信息添加到路由表中。0x0
方法/步骤10
1、检查远程桌面(RDP)服务端口打开命令提示符,运行命令“regedit”打开注册表编辑器,浏览到路径“HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\TerminalServer\WinStations\RDP-Tcp”,修改名称为“PortNumber”的数值的数据,使其不等于标准值(注意:标准值为16进制表示)。此数据的有效值为1-65535。
2、检查DHCPClient服务状态打开命令提示符,运行命令“services.msc”打开服务管理器,停止显示名称为“DHCPClient”的服务。
3、关闭不必要的端口-4451.修改注册表"HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\NetBT\Parameters",根据操作系统的是32位还是64位,新建DWORD/QWORD项"SMBDeviceEnabled",将值改为02.停止和禁用Server服务。运行services.msc,禁用并停止server服务。3.重启系统
方法/步骤11
1、检查“提示用户在密码过期之前进行更改”策略中配置的天数打开命令提示符,运行命令“gpedit.msc”打开组策略编辑器,浏览到路径“本地计算机策略\计算机配置\Windows设置\安全设置\本地策略\安全选项”,在右边窗格中找到“交互式登录:提示用户在密码过期之前进行更改”或“交互式登录:在密码到期前提示用户更改密码”,配置为不小于标准值(注意:标准值为16进制表示)的值。0xe;Windows2000中无此设置,不检查此项。
2、检查是否已对所有驱动器关闭Windows自动播放打开命令提示符,运酚祯馄嫱行命令“gpedit.msc”打开组策略编辑器,浏览到路径“本地计算机策略\计算机配置\管理模板\Windows组件\自穰惩较瘁动播放策略”(适用于Windows200WindowsVista、Windows2008RWindows7)或“本地计算机策略\计算机配置\管理模板\系统”(适用于Windows2000、WindowsXP、Windows200Windows2003R2),在右边窗格中找到“关闭/停用自动播放”,配置为“启用”,且选为对“所有驱动器”生效。
3、检查是否已启用“不显示最后的用户名”策略打开命令提示符,运行命令“gpedit.msc”打开组策略编辑器,浏览到路径“本地计算机策略\计算机配置\Windows设置\安全设置\本地策略\安全选项”,在右边窗格中找到“登录屏幕上不要显示上次登录的用户名”(适用于Windows2000)或“交互式登录:不显示最后的用户名”,配置为“已启用”。0x1
方法/步骤12
1、检查“锁定会话时显示用户信息”级别打开命令提示符,运行命令“reg娣定撰钠edit”打开注册表编辑器,浏览到路径“H憬悸原蠼KEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System”,添加名称为“DontDisplayLockedUserId”、类型为DWORD、数据为标准值的数值,若已存在则修改其数据。此数据的有效值为1-3,其中1表示显示名称、域名、用户名,2表示仅显示用户名称,3表示不显示用户信息。WindowsXP需要安装207399补丁才能生效;Windows2000没有此设置,不检查此项。
