WindowsServer 2008 主机安全加固文档

为安装Windows server操作系统的服务器进行系统安全加固操作系统基本安全加固补丁安装使用Windows update安装最新补丁或者使用第三方软件安装补丁,如360安全卫士系统帐户、密码策略1.帐户密码策略修改“本地计算机”策→计算机配置→windows设置→安全设置→密码策略密码长度最小值7 字符密码最长存留期90 天密码最短存留期30 天密码必须符合复杂性要求启用保障帐号以及口令的安全，但是设置帐号策略后可能导致不符合帐号策略的帐号无法登录，需修改不符合帐号策略的密码（注：管理员不受帐号策略限制，但管理员密码应复杂以避免被暴力猜测导致安全风险）2.帐户锁定策略账户锁定时间30 分钟账户锁定阈值5 次无效登录复位账户锁定计数器30 分钟有效的防止攻击者猜出您账户的密码3.更改默认管理员用户名“本地计算机”策→计算机配置→windows设置→安全设置→本地策略→安全选项帐户: 重命名管理员帐户默认管理员帐号可能被攻击者用来进行密码暴力猜测，可能由于太多的错误密码尝试导致该帐户被锁定。

建议修改默认管理员用户名4.系统默认账户安全Guest 帐户必须禁用；如有特殊需要保留也一定要重命名TSInternetUser 此帐户是为了“Terminal Services Internet Connector License”使用而存在的，故帐户必须禁用，不会对于正常的Terminal Services的功能有影响SUPPORT_388945a0 此帐户是为了IT帮助和支持服务，此帐户必须禁用IUSR_{system} 必须只能是Guest组的成员，此帐户为IIS（Internet Information Server）服务建立IWAM_{system} 必须只能是Guest组的成员，此帐户为IIS（Internet Information Server）服务建立日志审核策略“本地计算机”策→计算机配置→windows设置→安全设置→本地策略→审核策略审核策略更改成功审核登录事件无审核审核对象访问成功, 失败审核过程追踪无审核审核目录服务访问无审核审核特权使用无审核审核系统事件成功, 失败审核帐户登录事件成功, 失败审核帐户管理成功, 失败对系统事件进行审核，在日后出现故障时用于排查故障修改日志的大小与上限开始→控制面板→管理工具→事件察看器安全策略文件修改下述值：日志类型大小覆盖方式应用日志16382K 覆盖早于30 天的事件安全日志16384K 覆盖早于30 天的事件系统日志16384K 覆盖早于30 天的事件网络与服务安全暂停或禁用不需要的后台服务开始→运行→输入“services.msc”将下面服务的启动类型设置为手动并停止上述服务已启动且需要停止的服务包括：Alerter 服务Computer Browser 服务IPSEC Policy Agent 服务Messenger 服务Microsoft Search 服务Print Spooler 服务RunAs Service 服务Remote Registry Service 服务Security Accounts Manager 服务Task Scheduler 服务TCP/IP NetBIOS Helper Service 服务注册表安全性1.禁止匿名用户连接（空连接）注册表如下键值：HKLM\SYSTEM\CurrentControlSet\Control\Lsa“restrictanonymous”的原值为0将该值修改为“1”可以禁止匿名用户列举主机上所有用户、组、共享资源2.删除主机默认共享注册表键值HKLM\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters名称：Autoshareserver类型:REG_DOWN值:1 删除主机因为管理而开放的共享注意：这里可能有部分备份软件使用到系统默认共享3.限制远程注册表远程访问权限注册表如下键值：HKLM\SYSTEM\CurrentControlSet\Control\SecurePipeServers\winreg 名称：Description类型:REG_SZ值:Registry Server4.阻止远程访问系统日志HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\EventLog\Application“本地计算机”策→计算机配置→windows设置→安全设置→本地策略→安全选项网络访问: 可匿名访问的共享网络访问: 可匿名访问的命名管道网络访问: 可远程访问的注册表路径网络访问: 可远程访问的注册表路径和子路径网络访问: 限制对命名管道和共享的匿名访问5.禁用自动运行功能HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer名称：NoDriveTypeAutoRun类型:REG_DWORD值:0xFF文件系统加固注意：文件的权限修改使用cmd命令行下面cacls命令修改，不要直接使用图像界面修改%SystemDrive%\Boot.ini Administrators：完全控制System：完全控制%SystemDrive%\ Administrators：完全控制System：完全控制%SystemDrive%\Ntldr Administrators：完全控制System：完全控制%SystemDrive%\Io.sys Administrators：完全控制System：完全控制%SystemDrive%\Autoexec.bat Administrators：完全控制System：完全控制Authenticated Users：读取和执行、列出文件夹内容、读取%systemdir%\config Administrators：完全控制System：完全控制Authenticated Users：读取和执行、列出文件夹内容、读取%SystemRoot%\Downloaded Program Files Administrators：完全控制System：完全控制Everyone:读取%SystemRoot%\ Fonts Administrators：完全控制System：完全控制Everyone:读取%SystemRoot%\Tasks Administrators：完全控制System：完全控制%SystemRoot%\system32\Append.exe Administrators：完全控制%SystemRoot%\system32\Arp.exe Administrators：完全控制%SystemRoot%\system32\At.exe Administrators：完全控制%SystemRoot%\system32\Attrib.exe Administrators：完全控制%SystemRoot%\system32\Cacls.exe Administrators：完全控制%SystemRoot%\system32\Change.exe Administrators：完全控制%SystemRoot%\system32\ Administrators：完全控制%SystemRoot%\system32\Chglogon.exe Administrators：完全控制%SystemRoot%\system32\Chgport.exe Administrators：完全控制%SystemRoot%\system32\Chguser.exe Administrators：完全控制%SystemRoot%\system32\Chkdsk.exe Administrators：完全控制%SystemRoot%\system32\Chkntfs.exe Administrators：完全控制%SystemRoot%\system32\Cipher.exe Administrators：完全控制%SystemRoot%\system32\Cluster.exe Administrators：完全控制%SystemRoot%\system32\Cmd.exe Administrators：完全控制%SystemRoot%\system32\Compact.exe Administrators：完全控制%SystemRoot%\system32\ Administrators：完全控制%SystemRoot%\system32\Convert.exe Administrators：完全控制%SystemRoot%\system32\Cscript.exe Administrators：完全控制%SystemRoot%\system32\Debug.exe Administrators：完全控制%SystemRoot%\system32\ Administrators：完全控制%SystemRoot%\system32\ Administrators：完全控制%SystemRoot%\system32\Doskey.exe Administrators：完全控制%SystemRoot%\system32\Edlin.exe Administrators：完全控制%SystemRoot%\system32\Exe2bin.exe Administrators：完全控制%SystemRoot%\system32\Expand.exe Administrators：完全控制%SystemRoot%\system32\Fc.exe Administrators：完全控制%SystemRoot%\system32\Find.exe Administrators：完全控制%SystemRoot%\system32\Findstr.exe Administrators：完全控制%SystemRoot%\system32\Finger.exe Administrators：完全控制%SystemRoot%\system32\Forcedos.exe Administrators：完全控制%SystemRoot%\system32\ Administrators：完全控制%SystemRoot%\system32\Ftp.exe Administrators：完全控制%SystemRoot%\system32\Hostname.exe Administrators：完全控制%SystemRoot%\system32\Iisreset.exe Administrators：完全控制%SystemRoot%\system32\Ipconfig.exe Administrators：完全控制%SystemRoot%\system32\Ipxroute.exe Administrators：完全控制%SystemRoot%\system32\Label.exe Administrators：完全控制%SystemRoot%\system32\Logoff.exe Administrators：完全控制%SystemRoot%\system32\Lpq.exe Administrators：完全控制%SystemRoot%\system32\Lpr.exe Administrators：完全控制%SystemRoot%\system32\Makecab.exe Administrators：完全控制%SystemRoot%\system32\Mem.exe Administrators：完全控制%SystemRoot%\system32\Mmc.exe Administrators：完全控制%SystemRoot%\system32\ Administrators：完全控制%SystemRoot%\system32\ Administrators：完全控制%SystemRoot%\system32\Mountvol.exe Administrators：完全控制%SystemRoot%\system32\Msg.exe Administrators：完全控制%SystemRoot%\system32\Nbtstat.exe Administrators：完全控制%SystemRoot%\system32\Net.exe Administrators：完全控制%SystemRoot%\system32\Net1.exe Administrators：完全控制%SystemRoot%\system32\Netsh.exe Administrators：完全控制%SystemRoot%\system32\Netstat.exe Administrators：完全控制%SystemRoot%\system32\Nslookup.exe Administrators：完全控制%SystemRoot%\system32\Ntbackup.exe Administrators：完全控制%SystemRoot%\system32\Ntsd.exe Administrators：完全控制%SystemRoot%\system32\Pathping.exe Administrators：完全控制%SystemRoot%\system32\Ping.exe Administrators：完全控制%SystemRoot%\system32\Print.exe Administrators：完全控制%SystemRoot%\system32\Query.exe Administrators：完全控制%SystemRoot%\system32\Rasdial.exe Administrators：完全控制%SystemRoot%\system32\Rcp.exe Administrators：完全控制%SystemRoot%\system32\Recover.exe Administrators：完全控制%SystemRoot%\system32\Regedt32.exe Administrators：完全控制%SystemRoot%\system32\Regini.exe Administrators：完全控制%SystemRoot%\system32\Register.exe Administrators：完全控制%SystemRoot%\system32\Regsvr32.exe Administrators：完全控制%SystemRoot%\system32\Replace.exe Administrators：完全控制%SystemRoot%\system32\Reset.exe Administrators：完全控制%SystemRoot%\system32\Rexec.exe Administrators：完全控制%SystemRoot%\system32\Route.exe Administrators：完全控制%SystemRoot%\system32\Routemon.exe Administrators：完全控制%SystemRoot%\system32\Router.exe Administrators：完全控制%SystemRoot%\system32\Rsh.exe Administrators：完全控制%SystemRoot%\system32\Runas.exe Administrators：完全控制%SystemRoot%\system32\Runonce.exe Administrators：完全控制%SystemRoot%\system32\Secedit.exe Administrators：完全控制%SystemRoot%\system32\Setpwd.exe Administrators：完全控制%SystemRoot%\system32\Shadow.exe Administrators：完全控制%SystemRoot%\system32\Share.exe Administrators：完全控制%SystemRoot%\system32\Snmp.exe Administrators：完全控制%SystemRoot%\system32\Snmptrap.exe Administrators：完全控制%SystemRoot%\system32\Subst.exe Administrators：完全控制%SystemRoot%\system32\Telnet.exe Administrators：完全控制%SystemRoot%\system32\Termsrv.exe Administrators：完全控制%SystemRoot%\system32\Tftp.exe Administrators：完全控制%SystemRoot%\system32\Tlntadmin.exe Administrators：完全控制%SystemRoot%\system32\Tlntsess.exe Administrators：完全控制%SystemRoot%\system32\Tlntsvr.exe Administrators：完全控制%SystemRoot%\system32\Tracert.exe Administrators：完全控制%SystemRoot%\system32\ Administrators：完全控制%SystemRoot%\system32\Tsadmin.exe Administrators：完全控制%SystemRoot%\system32\Tscon.exe Administrators：完全控制%SystemRoot%\system32\Tsdiscon.exe Administrators：完全控制%SystemRoot%\system32\Tskill.exe Administrators：完全控制%SystemRoot%\system32\Tsprof.exe Administrators：完全控制%SystemRoot%\system32\Tsshutdn.exe Administrators：完全控制%SystemRoot%\system32\ Administrators：完全控制%SystemRoot%\system32\Wscript.exe Administrators：完全控制%SystemRoot%\system32\Xcopy.exe Administrators：完全控制对特定文件权限进行限制，禁止Guests 用户组意外访问这些文件网络安全访问关闭闲置和有潜在危险的端口，将除了用户需要用到的正常计算机端口之外的其他端口都关闭掉屏蔽端口系统防火墙第三方防火墙使用“IP安全策略”控制端口访问开始→设置→控制面板→管理工具→本地安全策略在“IP安全策略，在本地计算机”右键“创建IP安全策略”在点击下一步后会弹出一个警告窗口，按确定就可以点击添加。

Windows操作系统安全加固策略文档版本01发布日期2015-12-31版权所有© 华为技术有限公司2016。

保留一切权利。

非经本公司书面许可，任何单位和个人不得擅自摘抄、复制本文档内容的部分或全部，并不得以任何形式传播。

商标声明和其他华为商标均为华为技术有限公司的商标。

本文档提及的其他所有商标或注册商标，由各自的所有人拥有。

注意您购买的产品、服务或特性等应受华为公司商业合同和条款的约束，本文档中描述的全部或部分产品、服务或特性可能不在您的购买或使用范围之内。

除非合同另有约定，华为公司对本文档内容不做任何明示或默示的声明或保证。

由于产品版本升级或其他原因，本文档内容会不定期进行更新。

除非另有约定，本文档仅作为使用指导，本文档中的所有陈述、信息和建议不构成任何明示或暗示的担保。

华为技术有限公司地址：深圳市龙岗区坂田华为总部办公楼邮编：518129网址：客户服务邮箱：support@客户服务电话：4008302118目录1 安全选项 (1)1.1 Microsoft网络客户端 (1)1.2 网络服务器 (1)1.3 MSS (2)1.4 交互式登录 (3)1.5 域成员 (3)1.6 审核 (4)1.7 帐户 (4)1.8 恢复控制台 (5)1.9 系统加密 (5)1.10 系统对象 (5)1.11 系统设置 (6)1.12 网络安全 (6)1.13 网络访问 (7)1.14 设备 (9)2 审核与帐户策略 (10)2.1 Kerberos策略 (10)2.2 事件日志设置 (10)2.3 审核策略 (11)2.4 账户策略 (12)2.5 账户锁定策略 (12)2.6 用户权利指派 (13)3 管理模板 (16)3.1 Internet通信 (16)3.2 Windows更新 (17)3.3 Windows组件 (18)3.4 Windows 防火墙 (18)3.5 系统 (20)1 安全选项安全选项帮助减少病毒攻击和其它安全风险。

1、应按照用户分配账号。

避免不同用户间共享账号。

避免用户账号和设备间通信使用的账号共享。

结果：现网已实现2、应删除或锁定与设备运行、维护等工作无关的账号。

结果：现网已实现3、对于采用静态口令认证技术的设备，口令长度至少6位，并包括数字、小写字母、大写字母和特殊符号4类中至少2类。

结果：可以实现编号：安全要求-设备-WINDOWS-配置-44、对于采用静态口令认证技术的设备，账户口令的生存期不长于90天。

结果：可以实现编号：安全要求-设备-通用-配置-45、对于采用静态口令认证技术的设备，账户口令的生存期不长于90天。

结果：可以实现，应用账号不建议实现，将会影响应用系统；编号：安全要求-设备-WINDOWS-配置-56、对于采用静态口令认证技术的设备，应配置设备，使用户不能重复使用最近5次（含5次）内已使用的口令。

结果：可以实现编号：安全要求-设备-WINDOWS-配置-67、对于采用静态口令认证技术的设备，应配置当用户连续认证失败次数超过6次（不含6次），锁定该用户使用的账号。

结果：可以实现编号：安全要求-设备-WINDOWS-配置-78、在设备权限配置能力内，根据用户的业务需要，配置其所需的最小权限。

结果：现网已实现9、设备应配置日志功能，对用户登录进行记录，记录内容包括用户登录使用的账号，登录是否成功，登录时间，以及远程登录时，用户使用的IP地址。

结果：现网已实现10、设备应配置日志功能，记录用户对设备的操作，包括但不限于以下内容：账号创建、删除和权限修改，口令修改，读取和修改设备配置，读取和修改业务用户的话费数据、身份数据、涉及通信隐私数据。

记录需要包含用户账号，操作时间，操作内容以及操作结果。

结果：可以实现编号：安全要求-设备-WINDOWS-配置-1111、对于具备TCP/UDP协议功能的设备，设备应根据业务需要，配置基于源IP地址、通信协议TCP或UDP、目的IP地址、源端口、目的端口的流量过滤，过滤所有和业务不相关的流量。

（1）防止黑客建立IPC$空连接打开注册表编辑器，定位到HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA分支，在右边修改RestrictAnonymous为1.（2）账户问题。

首先以系统管理员身份进入Windows Server 2008系统桌面，从中依次点选"开始"/"运行"命令，打开系统运行文本框，在其中输入"gpedit.msc"字符串命令，单击回车键后，进入对应系统的组策略编辑界面；其次选中组策略编辑界面左侧列表中的"计算机配置"节点选项，再从该节点选项下面依次点选"管理模板"、"Windows组件"、"Windows登录选项"分支选项，从目标分支选项下面找到"在用户登录期间显示有关以前登录的信息"目标组策略选项，并用鼠标双击该选项，进入如图8所示的选项设置界面；(图挂了你自己猜吧) 在该选项设置界面中检查"已启用"选项有没有被选中，倘若看到该选项还没有被选中时，我们应该重新选中它，再单击"确定"按钮保存上面的设置操作，这样的话Windows Server 2008服务器系统自带的显示以前登录信息功能就被成功启用了。

日后，当有危险登录行为发生在Windows Server 2008服务器系统中时，目标危险登录账号信息就会被Windows Server 2008系统自动跟踪记忆下来，网络管理员下次重启服务器系统时，就能非常清楚地看到上次登录系统的所有账号信息，其中来自陌生账号的登录行为可能就是危险登录行为，根据这个危险登录行为网络管理员应该及时采取安全措施进行应对，以便杜绝该现象的再次发生。

（3）加强连接安全保护Windows Server 2008服务器系统自带的防火墙功能比以往进步了不少，为了让本地系统中的所有网络连接安全性及时地得到Windows防火墙的保护，我们需要对该系统环境下的组策略参数进行合适设置，来让Windows Server 2008服务器系统下的所有网络连接都处于Windows防火墙的安全保护之中，下面就是具体的设置步骤：首先以系统管理员身份进入Windows Server 2008系统桌面，从中依次点选"开始"/"运行"命令，打开系统运行文本框，在其中输入"gpedit.msc"字符串命令，单击回车键后，进入对应系统的组策略编辑界面；其次将鼠标定位于组策略编辑界面左侧列表区域中的"计算机配置"节点选项上，再从该节点选项下面依次点选"管理模板"、"网络"、"网络连接"、"Windows防火墙"、"标准配置文件"组策略子项，在目标组策略子项下面，找到"Windows防火墙：保护所有网络连接"选项，并用鼠标双击该选项，进入如图7所示的选项设置界面；（图挂了你自己猜）检查该设置界面中的"已启用"选项是否处于选中状态，要是发现该选项还没有被选中时，我们应该及时将它选中，再单击"确定"按钮保存上述设置操作，那样的话Windows Server 2008系统下的所有网络连接日后都会处于Windows防火墙的安全保护之下了。

实验报告院系：信息与工程学院班级：学号姓名：实验课程：《网络安全技术实验》实验名称：实验四 Windows Server2008系统安全配置指导教师：实验四Windows Server 2008系统安全配置实验学时 2一、实验目的与要求1、了解Windows Sever 2008 操作系统的安全功能、缺陷和安全协议；2、熟悉Windows Sever 2008 操作系统的安全配置过程及方法；二、实验仪器和器材计算机一台VMware workstation 10 Windows Sever 2008操作系统三、实验原理网络防火墙及端口安全管理在“深层防御”体系中，网络防火墙处于周边层，而Windows防火墙处于主机层面。

和Windows XP和Windows 2003的防火墙一样，Windows Server 2008的防火墙也是一款基于主机的状态防火墙，它结合了主机防火墙和IPSec，可以对穿过网络边界防火墙和发自企业内部的网络攻击进行防护，可以说基于主机的防火墙是网络边界防火墙的一个有益的补充。

与以前Windows版本中的防火墙相比，Windows Server 2008中的高级安全防火墙（WFAS）有了较大的改进，首先它支持双向保护，可以对出站、入站通信进行过滤。

其次它将Windows防火墙功能和Internet 协议安全(IPSec)集成到一个控制台中。

使用这些高级选项可以按照环境所需的方式配置密钥交换、数据保护(完整性和加密)以及身份验证设置。

而且WFAS还可以实现更高级的规则配置，你可以针对Windows Server上的各种对象创建防火墙规则，配置防火墙规则以确定阻止还是允许流量通过具有高级安全性的Windows防火墙。

传入数据包到达计算机时，具有高级安全性的Windows防火墙检查该数据包，并确定它是否符合防火墙规则中指定的标准。

如果数据包与规则中的标准匹配，则具有高级安全性的Windows防火墙执行规则中指定的操作，即阻止连接或允许连接。