Windows_Server_2003_安全加固设置

为安装Windows server操作系统的服务器进行系统安全加固操作系统基本安全加固补丁安装使用Windows update安装最新补丁或者使用第三方软件安装补丁,如360安全卫士系统帐户、密码策略1.帐户密码策略修改“本地计算机”策→计算机配置→windows设置→安全设置→密码策略密码长度最小值7 字符密码最长存留期90 天密码最短存留期30 天密码必须符合复杂性要求启用保障帐号以及口令的安全，但是设置帐号策略后可能导致不符合帐号策略的帐号无法登录，需修改不符合帐号策略的密码（注：管理员不受帐号策略限制，但管理员密码应复杂以避免被暴力猜测导致安全风险）2.帐户锁定策略账户锁定时间30 分钟账户锁定阈值5 次无效登录复位账户锁定计数器30 分钟有效的防止攻击者猜出您账户的密码3.更改默认管理员用户名“本地计算机”策→计算机配置→windows设置→安全设置→本地策略→安全选项帐户: 重命名管理员帐户默认管理员帐号可能被攻击者用来进行密码暴力猜测，可能由于太多的错误密码尝试导致该帐户被锁定。

建议修改默认管理员用户名4.系统默认账户安全Guest 帐户必须禁用；如有特殊需要保留也一定要重命名TSInternetUser 此帐户是为了“Terminal Services Internet Connector License”使用而存在的，故帐户必须禁用，不会对于正常的Terminal Services的功能有影响SUPPORT_388945a0 此帐户是为了IT帮助和支持服务，此帐户必须禁用IUSR_{system} 必须只能是Guest组的成员，此帐户为IIS（Internet Information Server）服务建立IWAM_{system} 必须只能是Guest组的成员，此帐户为IIS（Internet Information Server）服务建立日志审核策略“本地计算机”策→计算机配置→windows设置→安全设置→本地策略→审核策略审核策略更改成功审核登录事件无审核审核对象访问成功, 失败审核过程追踪无审核审核目录服务访问无审核审核特权使用无审核审核系统事件成功, 失败审核帐户登录事件成功, 失败审核帐户管理成功, 失败对系统事件进行审核，在日后出现故障时用于排查故障修改日志的大小与上限开始→控制面板→管理工具→事件察看器安全策略文件修改下述值：日志类型大小覆盖方式应用日志16382K 覆盖早于30 天的事件安全日志16384K 覆盖早于30 天的事件系统日志16384K 覆盖早于30 天的事件网络与服务安全暂停或禁用不需要的后台服务开始→运行→输入“services.msc”将下面服务的启动类型设置为手动并停止上述服务已启动且需要停止的服务包括：Alerter 服务Computer Browser 服务IPSEC Policy Agent 服务Messenger 服务Microsoft Search 服务Print Spooler 服务RunAs Service 服务Remote Registry Service 服务Security Accounts Manager 服务Task Scheduler 服务TCP/IP NetBIOS Helper Service 服务注册表安全性1.禁止匿名用户连接（空连接）注册表如下键值：HKLM\SYSTEM\CurrentControlSet\Control\Lsa“restrictanonymous”的原值为0将该值修改为“1”可以禁止匿名用户列举主机上所有用户、组、共享资源2.删除主机默认共享注册表键值HKLM\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters名称：Autoshareserver类型:REG_DOWN值:1 删除主机因为管理而开放的共享注意：这里可能有部分备份软件使用到系统默认共享3.限制远程注册表远程访问权限注册表如下键值：HKLM\SYSTEM\CurrentControlSet\Control\SecurePipeServers\winreg 名称：Description类型:REG_SZ值:Registry Server4.阻止远程访问系统日志HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\EventLog\Application“本地计算机”策→计算机配置→windows设置→安全设置→本地策略→安全选项网络访问: 可匿名访问的共享网络访问: 可匿名访问的命名管道网络访问: 可远程访问的注册表路径网络访问: 可远程访问的注册表路径和子路径网络访问: 限制对命名管道和共享的匿名访问5.禁用自动运行功能HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer名称：NoDriveTypeAutoRun类型:REG_DWORD值:0xFF文件系统加固注意：文件的权限修改使用cmd命令行下面cacls命令修改，不要直接使用图像界面修改%SystemDrive%\Boot.ini Administrators：完全控制System：完全控制%SystemDrive%\ Administrators：完全控制System：完全控制%SystemDrive%\Ntldr Administrators：完全控制System：完全控制%SystemDrive%\Io.sys Administrators：完全控制System：完全控制%SystemDrive%\Autoexec.bat Administrators：完全控制System：完全控制Authenticated Users：读取和执行、列出文件夹内容、读取%systemdir%\config Administrators：完全控制System：完全控制Authenticated Users：读取和执行、列出文件夹内容、读取%SystemRoot%\Downloaded Program Files Administrators：完全控制System：完全控制Everyone:读取%SystemRoot%\ Fonts Administrators：完全控制System：完全控制Everyone:读取%SystemRoot%\Tasks Administrators：完全控制System：完全控制%SystemRoot%\system32\Append.exe Administrators：完全控制%SystemRoot%\system32\Arp.exe Administrators：完全控制%SystemRoot%\system32\At.exe Administrators：完全控制%SystemRoot%\system32\Attrib.exe Administrators：完全控制%SystemRoot%\system32\Cacls.exe Administrators：完全控制%SystemRoot%\system32\Change.exe Administrators：完全控制%SystemRoot%\system32\ Administrators：完全控制%SystemRoot%\system32\Chglogon.exe Administrators：完全控制%SystemRoot%\system32\Chgport.exe Administrators：完全控制%SystemRoot%\system32\Chguser.exe Administrators：完全控制%SystemRoot%\system32\Chkdsk.exe Administrators：完全控制%SystemRoot%\system32\Chkntfs.exe Administrators：完全控制%SystemRoot%\system32\Cipher.exe Administrators：完全控制%SystemRoot%\system32\Cluster.exe Administrators：完全控制%SystemRoot%\system32\Cmd.exe Administrators：完全控制%SystemRoot%\system32\Compact.exe Administrators：完全控制%SystemRoot%\system32\ Administrators：完全控制%SystemRoot%\system32\Convert.exe Administrators：完全控制%SystemRoot%\system32\Cscript.exe Administrators：完全控制%SystemRoot%\system32\Debug.exe Administrators：完全控制%SystemRoot%\system32\ Administrators：完全控制%SystemRoot%\system32\ Administrators：完全控制%SystemRoot%\system32\Doskey.exe Administrators：完全控制%SystemRoot%\system32\Edlin.exe Administrators：完全控制%SystemRoot%\system32\Exe2bin.exe Administrators：完全控制%SystemRoot%\system32\Expand.exe Administrators：完全控制%SystemRoot%\system32\Fc.exe Administrators：完全控制%SystemRoot%\system32\Find.exe Administrators：完全控制%SystemRoot%\system32\Findstr.exe Administrators：完全控制%SystemRoot%\system32\Finger.exe Administrators：完全控制%SystemRoot%\system32\Forcedos.exe Administrators：完全控制%SystemRoot%\system32\ Administrators：完全控制%SystemRoot%\system32\Ftp.exe Administrators：完全控制%SystemRoot%\system32\Hostname.exe Administrators：完全控制%SystemRoot%\system32\Iisreset.exe Administrators：完全控制%SystemRoot%\system32\Ipconfig.exe Administrators：完全控制%SystemRoot%\system32\Ipxroute.exe Administrators：完全控制%SystemRoot%\system32\Label.exe Administrators：完全控制%SystemRoot%\system32\Logoff.exe Administrators：完全控制%SystemRoot%\system32\Lpq.exe Administrators：完全控制%SystemRoot%\system32\Lpr.exe Administrators：完全控制%SystemRoot%\system32\Makecab.exe Administrators：完全控制%SystemRoot%\system32\Mem.exe Administrators：完全控制%SystemRoot%\system32\Mmc.exe Administrators：完全控制%SystemRoot%\system32\ Administrators：完全控制%SystemRoot%\system32\ Administrators：完全控制%SystemRoot%\system32\Mountvol.exe Administrators：完全控制%SystemRoot%\system32\Msg.exe Administrators：完全控制%SystemRoot%\system32\Nbtstat.exe Administrators：完全控制%SystemRoot%\system32\Net.exe Administrators：完全控制%SystemRoot%\system32\Net1.exe Administrators：完全控制%SystemRoot%\system32\Netsh.exe Administrators：完全控制%SystemRoot%\system32\Netstat.exe Administrators：完全控制%SystemRoot%\system32\Nslookup.exe Administrators：完全控制%SystemRoot%\system32\Ntbackup.exe Administrators：完全控制%SystemRoot%\system32\Ntsd.exe Administrators：完全控制%SystemRoot%\system32\Pathping.exe Administrators：完全控制%SystemRoot%\system32\Ping.exe Administrators：完全控制%SystemRoot%\system32\Print.exe Administrators：完全控制%SystemRoot%\system32\Query.exe Administrators：完全控制%SystemRoot%\system32\Rasdial.exe Administrators：完全控制%SystemRoot%\system32\Rcp.exe Administrators：完全控制%SystemRoot%\system32\Recover.exe Administrators：完全控制%SystemRoot%\system32\Regedt32.exe Administrators：完全控制%SystemRoot%\system32\Regini.exe Administrators：完全控制%SystemRoot%\system32\Register.exe Administrators：完全控制%SystemRoot%\system32\Regsvr32.exe Administrators：完全控制%SystemRoot%\system32\Replace.exe Administrators：完全控制%SystemRoot%\system32\Reset.exe Administrators：完全控制%SystemRoot%\system32\Rexec.exe Administrators：完全控制%SystemRoot%\system32\Route.exe Administrators：完全控制%SystemRoot%\system32\Routemon.exe Administrators：完全控制%SystemRoot%\system32\Router.exe Administrators：完全控制%SystemRoot%\system32\Rsh.exe Administrators：完全控制%SystemRoot%\system32\Runas.exe Administrators：完全控制%SystemRoot%\system32\Runonce.exe Administrators：完全控制%SystemRoot%\system32\Secedit.exe Administrators：完全控制%SystemRoot%\system32\Setpwd.exe Administrators：完全控制%SystemRoot%\system32\Shadow.exe Administrators：完全控制%SystemRoot%\system32\Share.exe Administrators：完全控制%SystemRoot%\system32\Snmp.exe Administrators：完全控制%SystemRoot%\system32\Snmptrap.exe Administrators：完全控制%SystemRoot%\system32\Subst.exe Administrators：完全控制%SystemRoot%\system32\Telnet.exe Administrators：完全控制%SystemRoot%\system32\Termsrv.exe Administrators：完全控制%SystemRoot%\system32\Tftp.exe Administrators：完全控制%SystemRoot%\system32\Tlntadmin.exe Administrators：完全控制%SystemRoot%\system32\Tlntsess.exe Administrators：完全控制%SystemRoot%\system32\Tlntsvr.exe Administrators：完全控制%SystemRoot%\system32\Tracert.exe Administrators：完全控制%SystemRoot%\system32\ Administrators：完全控制%SystemRoot%\system32\Tsadmin.exe Administrators：完全控制%SystemRoot%\system32\Tscon.exe Administrators：完全控制%SystemRoot%\system32\Tsdiscon.exe Administrators：完全控制%SystemRoot%\system32\Tskill.exe Administrators：完全控制%SystemRoot%\system32\Tsprof.exe Administrators：完全控制%SystemRoot%\system32\Tsshutdn.exe Administrators：完全控制%SystemRoot%\system32\ Administrators：完全控制%SystemRoot%\system32\Wscript.exe Administrators：完全控制%SystemRoot%\system32\Xcopy.exe Administrators：完全控制对特定文件权限进行限制，禁止Guests 用户组意外访问这些文件网络安全访问关闭闲置和有潜在危险的端口，将除了用户需要用到的正常计算机端口之外的其他端口都关闭掉屏蔽端口系统防火墙第三方防火墙使用“IP安全策略”控制端口访问开始→设置→控制面板→管理工具→本地安全策略在“IP安全策略，在本地计算机”右键“创建IP安全策略”在点击下一步后会弹出一个警告窗口，按确定就可以点击添加。

服务器安全加固如何设置强密码和访问控制以保护服务器服务器安全加固：如何设置强密码和访问控制以保护服务器概述服务器安全是保护网站和数据免受恶意攻击的关键。

在服务器设置中，设置强密码和访问控制是有效的安全措施。

本文将介绍如何设置强密码和访问控制，以保护服务器免受未授权访问和恶意入侵。

一、设置强密码强密码是保护服务器的首要步骤之一。

以下是一些设置强密码的方法：1.1 长度和复杂性密码应至少包含8个字符，并且应包括字母（大小写）、数字和特殊字符。

更长的密码通常更安全，因此建议使用12个或更多字符的密码。

1.2 随机性密码应随机生成，并且不应容易猜测。

避免使用与个人信息相关的密码，如生日、姓名等。

可以使用密码管理器来生成和管理强密码。

1.3 定期更改密码定期更改密码是保持服务器安全的另一个重要因素。

建议每3个月更改一次密码，以防止密码被恶意攻击者猜测或破解。

1.4 多因素身份验证除了强密码，还可以启用多因素身份验证。

这可以使用手机短信验证、身份验证器应用程序或生物识别技术（如指纹或面部识别）来验证用户身份。

二、访问控制访问控制是管理服务器访问和权限的关键方面。

以下是一些访问控制的常见措施：2.1 使用防火墙防火墙可以限制对服务器的网络访问。

配置防火墙以仅允许来自信任来源的连接，并阻止来自未授权来源的连接。

通过仅开放必要的端口和协议，可以减少潜在攻击的风险。

2.2 固定IP访问限制显式地指定可访问服务器的IP地址列表可以帮助控制远程访问。

通过将访问限制为固定IP列表，可以减少未授权访问的风险。

2.3 用户权限管理确保每个用户都具有适当的权限，并限制对服务器上敏感文件和操作的访问。

分配最低必要权限原则可以减少内部威胁的风险。

2.4 定期审查权限定期审查用户权限，删除不再需要的用户账户，并检查特权用户的活动记录。

这样可以防止未授权的访问和滥用特权。

2.5 锁定登录尝试设置登录尝试次数限制，并暂时锁定账户以防止恶意尝试猜测密码。

文档从互联网中收集，已重新修正排版，word 格式支持编辑，如有帮助欢迎下载支持。

- 1 -word 格式支持编辑，如有帮助欢迎下载支持。

IIS Web 服务器安全加固步骤：步骤注意：安装和配置 WindowsServer 2003。

1. 将<systemroot>\System32\cmd.exe 转移到其他目录或更名；2. 系统帐号尽量少，更改默认帐户名（如Administrator ）和描述，密码尽量复杂；3. 拒绝通过网络访问该计算机（匿名登录；内置管理员帐户；Support_388945a0；Guest ；所有非操作系统服务帐户）4.建议对一般用户只给予读取权限，而只给管理员和System 以完全控制权限，但这样做有可能使某些正常的脚本程序不能执行，或者某些需要写的操作不能完成，这时需要对这些文件所在的文件夹权限进行更改，建议在做更改前先在测试机器上作测试，然后慎重更改。

5.NTFS 文件权限设定（注意文件的权限优先级别比文件夹的权限高）：文件类型建议的 NTFS 权限 CGI 文件（.exe 、.dll 、.cmd 、.pl ） 脚本文件 (.asp)包含文件（.inc 、.shtm 、.shtml ）静态内容（.txt 、.gif 、.jpg 、.htm 、.html ） Everyone （执行）Administrators （完全控制） System （完全控制）6.禁止C$、D$一类的缺省共享HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters AutoShareServer 、REG_DWORD 、0x0 7.禁止ADMIN$缺省共享文档从互联网中收集，已重新修正排版，word格式支持编辑，如有帮助欢迎下载支持。

- 2 -word格式支持编辑，如有帮助欢迎下载支持。

1、应按照用户分配账号。

避免不同用户间共享账号。

避免用户账号和设备间通信使用的账号共享。

结果：现网已实现2、应删除或锁定与设备运行、维护等工作无关的账号。

结果：现网已实现3、对于采用静态口令认证技术的设备，口令长度至少6位，并包括数字、小写字母、大写字母和特殊符号4类中至少2类。

结果：可以实现编号：安全要求-设备-WINDOWS-配置-44、对于采用静态口令认证技术的设备，账户口令的生存期不长于90天。

结果：可以实现编号：安全要求-设备-通用-配置-45、对于采用静态口令认证技术的设备，账户口令的生存期不长于90天。

结果：可以实现，应用账号不建议实现，将会影响应用系统；编号：安全要求-设备-WINDOWS-配置-56、对于采用静态口令认证技术的设备，应配置设备，使用户不能重复使用最近5次（含5次）内已使用的口令。

结果：可以实现编号：安全要求-设备-WINDOWS-配置-67、对于采用静态口令认证技术的设备，应配置当用户连续认证失败次数超过6次（不含6次），锁定该用户使用的账号。

结果：可以实现编号：安全要求-设备-WINDOWS-配置-78、在设备权限配置能力内，根据用户的业务需要，配置其所需的最小权限。

结果：现网已实现9、设备应配置日志功能，对用户登录进行记录，记录内容包括用户登录使用的账号，登录是否成功，登录时间，以及远程登录时，用户使用的IP地址。

结果：现网已实现10、设备应配置日志功能，记录用户对设备的操作，包括但不限于以下内容：账号创建、删除和权限修改，口令修改，读取和修改设备配置，读取和修改业务用户的话费数据、身份数据、涉及通信隐私数据。

记录需要包含用户账号，操作时间，操作内容以及操作结果。

结果：可以实现编号：安全要求-设备-WINDOWS-配置-1111、对于具备TCP/UDP协议功能的设备，设备应根据业务需要，配置基于源IP地址、通信协议TCP或UDP、目的IP地址、源端口、目的端口的流量过滤，过滤所有和业务不相关的流量。

甘肃海丰信息科技有限公司Windows系统安全加固技术指导书◆版本◆密级【绝密】◆发布甘肃海丰科技◆编号GSHF-0005-OPM-©2006-2020 HIGHFLYER INFORMATION TECHNOLOGY ,INC.目录文档信息................................................................. 错误!未定义书签。

前言.................................................................... 错误!未定义书签。

一、编制说明............................................................ 错误!未定义书签。

二、参照标准文件........................................................ 错误!未定义书签。

三、加固原则............................................................ 错误!未定义书签。

1.业务主导原则..................................................... 错误!未定义书签。

2.业务影响最小化原则............................................... 错误!未定义书签。

3.实施风险控制..................................................... 错误!未定义书签。

(一)主机系统............................................................. 错误!未定义书签。

(二)数据库或其他应用 ..................................................... 错误!未定义书签。

windows服务器安全加固方案Windows服务器安全加固方案1、前言Windows服务器是企业信息系统的重要组成部分，为了保护服务器及其上托管的关键数据的安全性，需要进行安全加固。

本文档将详细介绍Windows服务器安全加固的方案和步骤。

2、系统和软件更新2.1 定期安装操作系统补丁- 在Windows服务器上设置自动更新功能，确保及时安装最新的操作系统补丁。

- 定期检查并安装新发布的补丁。

2.2 升级和更新应用程序- 定期检查并更新服务器上安装的所有应用程序和软件到最新版本。

- 通过升级软件版本来修复已知的安全漏洞。

3、账户和访问控制3.1 使用强密码策略- 设置密码复杂性要求，包括字符类型、长度和有效期限制。

- 强制用户定期更改密码，并禁用使用过于简单的密码。

3.2 及时移除或禁用未使用的账户- 定期检查服务器上的账户列表，及时禁用或删除不再使用的账户。

- 禁用默认和管理员账户的远程登录功能。

3.3 使用多因素身份验证- 在必要的情况下，启用多因素身份验证（例如，使用令牌、生物特征等）来增加登录的安全性。

4、访问控制和权限管理4.1 最小权限原则- 为用户和服务账户分配最小权限，仅授予其完成工作所需的权限。

- 定期审查和更新权限设置，确保权限最小化和权限分离原则的实施。

4.2 定期检查访问控制列表 (ACLs)- 审查文件、文件夹和共享的访问控制列表，确保只有授权的用户可以访问相关资源。

4.3 加强远程访问控制- 禁用不再使用的远程桌面协议 (RDP) 和其他远程管理协议。

- 配置防火墙以限制远程访问的IP范围并启用网络层身份验证。

5、安全审计和日志管理5.1 启用安全审计功能- 在Windows服务器上启用安全审计功能，以记录关键事件和活动。

- 配置审计策略以记录成功和失败的登录尝试、文件和对象的访问等。

5.2 定期检查和备份日志- 定期检查服务器的日志，分析并识别潜在的安全事件。

- 建立日志的远程备份，以防止被篡改或删除。

Windows 2003 网站安全权限设置指南随着互联网的普及和IT信息技术的快速发展，各高校所运维的网站数量和规模与日俱增。

与此同时，Windows 2003已成为比较流行的WEB服务器操作系统,安全和性能也得到了广泛的认可，基于IIS WEB服务器软件的网站数量也越来越多。

通常情况，高校的大多数服务器，会由技术力量相对雄厚的网络中心等IT资源部门运维管理。

而网站程序的制作则一般由各单位、各部门自主负责：少数用户单位将会自主开发，或者请专业的IT公司代为开发。

而更多的用户单位则会将网站的制作当作一种福利，交由勤工俭学的学生开发。

因此各网站程序的安全性参差不齐。

在这种情况下，如果不对服务器的默认安全权限进行调整，便将这些网站运行于同一台服务器上，必将引发不少令人头痛的安全问题。

最常遇到的情况是：一台Windows 2003服务器上运行着多个网站，其中某个网站存在着安全漏洞（例如没有采用参数化的SQL查询或没有对用户提交的SQL语句进行过滤），黑客便可通过攻击该网站，取得权限，上传网页木马，得到了一个WEB SHELL执行权限，或者直接利用网页木马，篡改该服务器上所有WEB站点的源文件，往源文件里加入js和iframe恶意代码。

此时那些没有安装反病毒软件的访客，浏览这些页面时便将感染上病毒，结果引来用户的严重不满和投诉，同时也严重损害了学校的形象。

为了避免类似事件的发生，我们有必要将网站和数据库分开部署，通常的作法是将网站存放于一台分配了公网IP的Windows 2003服务器，而数据库则运行于一台与互联网相隔离的私网IP数据库服务器上。

但是，仅启用以上的安全措施还是远远不够的，我们还必须调整这一台Windows2003 WEB服务器的安全权限，对权限做严格的控制，实现各网站之间权限的隔离，做法如下：在WEB服务器上，1.创建若干个系统用户，分别用作IIS6的应用程序池安全性用户和网站匿名访问帐户。