Windows Server 2008 的基本安全防护措施与策略

时间:2020-09-11 15:43:43 浏览次数:20 来源:https://blog.csdn.net/qq_38959715/article/details/79823572

Windows Server 2008 的基本安全防护措施与策略


一、操作系统的用户安全


1.对于系统的内置的账户(即系统管理员账户),最好令其唯一,减少权限的分配。

2.对其进行重命名,尽量避免系统管理员账户名称使用Admin、masterd、guanliyuan之类被黑客优先试探的名称。

3.创建陷阱账号,即名称与默认管理员账户名称类似或完全相同,而权限极低的用户账号。

4.设置密码强度限制,创建账号锁定机制(一旦账户密码出现校验错误若干次,应立即断开连接并锁定该账号)


二、文件系统的安全


1.设置共享文件的访问权限和访问对象(其中NTFS权限对本地和网络访问共享文件都起作用,共享权限只对网络访问起作用)

2.设置隐藏共享,创建共享文件的时在填写共享名是加上$后缀,访问时加上此后缀即可。

3.取消默认磁盘共享,在系统提供的注册表编辑器中,在HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\LanmanServer\Parameters 下新建REG_DWORD值,命名“AutoShareServer”后对“数值数据”植入“0”,停止默认磁盘共享。(危害:若在客户机访问文件服务器的默认共享,输入管理员账号后,C盘的所有资源可以被完全控制,查看自己电脑的所有共享资源可在DOS命名窗口输入“net share”)

4.加密文件,Windows server 2008 提供的加密文件系统为(Encrypting File System)EFS。


三、本地安全策略


1.密码策略,可强制用户账户设的密码置满足安全需求,防止用户将自己的密码设置得过短或太简单。

2.账户锁定策略,防止其他人无数次的猜测计算机用户的密码。

3.审核策略,记录有有关入侵的主要信息,帮助判断是否发生了违法安全的事件。

4.用户权限分配,控制不同用户对计算机资源的控制权限。

5.安全选项,增强系统的安全性。


四、防火墙


1.自定义入站规则和出站规则,严格控制出入服务器的流量,从而增加服务器的安全。

2.关闭自动播放,在【本地组策略编辑器】中关闭系统的自动播放,减少木马和病毒的传播路径。

3.禁止用户使用注册表编辑工具,在【本地组策略编辑器】中,启动“阻止访问注册表编辑工具”,防止非法用户通过修改注册表危害系统安全。

4.显示用户以前的登录信息,启用本地组策略中的“在用户登录期间显示有关以前登录的信息”,对用户登录系统的行为进行跟踪,从而发现实体图非法登录账户的行为。

5.使用防火墙对ping进行限制。

6.修改远程访问端口,使得通讯端口不易被识破。


五、其他


这些是从网上收集来的各种进一步加强安全防护


1.屏幕保护与电源,更改电源设置,选择高性能,选择关闭显示器的时间【关闭显示器】选从不保存修改。

2.禁用DCOM,运行Dcomcnfg.exe。控制台根节点→组件服务→计算机→右键单击“我的电脑”→属性”→默认属性”选项卡→清除“在这台计算机上启用分布式 COM”复选框。

3.禁用IPV6,在控制面板上“更改适配器设置”进入网络连接界面,选择要设置的连接,右键选择属性,取消Internet 协议版本 6 (TCP/IPv6) 前面的选择框确定即可。

4.禁用不需要的和危险的服务:


Distributed linktracking client   用于局域网更新连接信息

PrintSpooler  打印服务

Remote Registry  远程修改注册表

Server 计算机通过网络的文件、打印、和命名管道共享

TCP/IP NetBIOS Helper  提供

TCP/IP (NetBT) 服务上的

NetBIOS 和网络上客户端的

NetBIOS 名称解析的支持

Workstation   泄漏系统用户名列表 与Terminal Services Configuration 关联

Computer Browser 维护网络计算机更新 默认已经禁用

Net Logon   域控制器通道管理 默认已经手动

Remote Procedure Call (RPC) Locator   RpcNs*远程过程调用 (RPC) 默认已经手动

删除服务sc delete MySql


5.关闭Windows Remote Management服务(关闭47001端口)

6.关闭Netbios服务(关闭139端口)网络连接->本地连接->属性->Internet协议版本 4->属性->高级->WINS->禁用TCP/IP上的NetBIOS

7.安装必要的杀毒软件如mcafee,安装一款ARP防火墙,安天ARP好像不错。

8.新做系统一定要先打上已知补丁,以后也要及时关注微软的漏洞报告。


在线咨询
服务热线

400-068-0978

工单系统
扫一扫

全国免费服务热线

400-068-0978

返回顶部

工单系统 留下您的咨询信息,我们会再工作时间尽快回复您!