Windows Server 2008 R2常规安全设置及基本安全策略
windowsserver2008配置本地安全策略
第六章配置本地安全策略一、账户策略的应用1、以管理员账户Administrator登录到服务器2、单击“开始”→“管理工具”→“本地安全策略”(或者“开始”→“运行”→输入“secpol.msc”),打开本地安全策略。
3、选择“账户策略”→“密码策略”→设置密码长度最小值为7,启用密码必须符合复杂性要求,密码使用最长期限为30天4、选择“账户策略”→“账户锁定策略”,设置账户锁定阈值为3.5、单击“开始”→“运行”→,输入“gpupdate”,刷新策略。
6、管理员administrator打开“服务器管理器”控制台。
7、展开“配置”→“本地用户和组”→“用户”,右击账户UserA,选择“重设密码”,输入新密码和确认密码“aaa”,单击“确定”按钮,提示密码不符合密码策略的要求。
8、输入旧密码,输入新密码和确认新密码“aaa”,单击“确定”同样提示密码不符合密码策略要求。
9、以账户UserA在计算机上登录,故意输错3次密码,提示账户被锁定10、以administrator登录没有被锁定的提示。
对计算机解锁。
11、以管理员账户登录服务器解锁UserA账户。
12、在“服务器管理器”中,展开“配置”→“本地用户和组”→“用户”,右击账户UserA,选择“属性”→“常规”,可以看到账户以锁定的。
13、清除“账户以锁定”的复选框。
14、以UserA账户登录服务器,输入正确的密码可以正常登陆。
审核策略的应用1、以管理员账户登录到服务器,在D盘创建一个名字为“sss”的文件夹。
2、单击“开始”→“程序”→“管理工具”→“本地安全策略”,打开本地安全策略。
3、选择“本地策略”→“审核策略”→,双击“审核对象访问”策略,选择“成功”和“失败”4、刷新策略。
5、右击文件夹sss,选择“属性”→“安全”→“高级”→“审核”,添加“everyone”6、选择全部审核项目细节(完全控制:成功和失败),单击“确定”按钮。
7、注销“administrator”,以“UserA”登录到服务器访问“sss”文件夹。
win2008服务器安全设置部署文档(推荐)
win2008服务器安全设置部署⽂档(推荐)年前⼀直在赶项⽬,到最后⼏⽇才拿到新服务器新添加的硬盘,重做阵列配置⽣产环境,还要编写部署⽂档做好安全策略,交给测试部门与相关部门做上线前最后测试,然后将部署⽂档交给相关部门同事,让他根据部署⽂档再做⼀次系统,以保证以后其他同事能⾃⼰正常部署服务器,最后终于赶在放假前最后⼀天匆忙搞定测试后,简单的指导同事按部署⽂档将服务器重新部署了⼀次就先跑路回家了,剩下的就留给加班的同事负责将服务器托管到机房了。
年后回来上班后按⼯作计划开始做⽂档(主要对之前编写的部署⽂档进⾏修正和将相关未添加的安全策略添加进⽂档中,并在测试环境进⾏安全测试)。
等搞定后要对服务器做最后⼀次安全检查时,运营部门已将⽹站推⼴出去了,真是晕死,都不给⼈活了......只能是加班加点对已挂到公⽹的服务器⽇志和相关设置项做⼀次体检。
当然⼀检查发现挂出去的服务器有着各种各样的攻击记录,不过还好都防住了,没有什么问题,然后就是继续添加⼀些防⽕墙策略和系统安全设置。
接下来还是不停的忙,要写《服务器安全检查指引——⽇常维护说明》。
公司新项⽬要开发,得对新项⽬分析需求,编写开发⽂档,然后搭建前后端开发框架,旧系统要增加新功能,⼜得写V3、V4不同版本的功能升级开发⽂档......今天终于忙得七七⼋⼋了,回头⼀看,2⽉份就这样⼀眨眼就过去了,看来程序员⽼得快还是有道理的,时间都不是⾃⼰的了。
前⾯啰哩啰嗦的讲了⼀⼤堆费话,现在开始转⼊正题。
对于服务器的安全,相信很多开发⼈员都会碰到,但绝⼤多数⼈对安全都没有什么概念。
记得10年前我刚接⼿服务器时,仅兴奋,⼜彷徨,⽽真正⾯对时,却⽆从下⼿,上百度和⾕歌上找,也没有完整的说明介绍,对安全都是⼀头雾⽔。
刚开始配置的服务器漏洞百出,那时⼏乎吃睡在机房,也避免不了服务器给⿊的事情发⽣,⽽且⼤多被⿊后还⼀⽆所知,想想都是郁闷~~~当然经验也是在被⿊的过程中慢慢升级的,哈哈...... 下⾯就将写好的《服务器安全部署⽂档》分享出来,希望能对⼤家有所帮助。
Windows Server 2008 R2 WEB 服务器安全设置指南(三)之文件夹权限设置
Windows Server 2008 R2 WEB 服务器安全设置指南(三)之文件夹权限设置通过控制文件夹权限来提高站点的安全性。
这一篇权限设置包括二个方面,一个是系统目录、盘符的权限,一个是应用程序的上传文件夹权限设置。
系统目录确保所有盘符都是NTFS格式,如果不是,可以用命令convert d:/fs:ntfs 转换为NTFS格式。
所有磁盘根目录只给system和administrators权限,其它删除。
其中系统盘符会有几个提示,直接确定就可以了。
在做这步操作之前,你的运行环境软件必须都安装好以后才能做。
不然可能会导致软件安装错误,记住一点所有安全性的操作设置都必须在软件安装完以后才能进行。
站点目录每个网站对应一个目录,并为这个网站目录加上IUSR和IIS_IUSRS权限,都只给“列出文件夹内容”和“读取”权限。
例如我在D盘根目录下创建了一个wwwroot的目录,再在里面创建了一个的目录,这个目录里面放的是我的网站程序。
其中wwwroot只要继存d盘的权限即可,而这个目录,我们需要再添加二个权限,即IUSR和IIS_IUSRS。
wwwroot权限:站点目录权限:一般的网站都有上传文件、图片功能,而用户上传的文件都是不可信的。
所以还要对上传目录作单独设置。
上传目录还需要给IIS_IUSRS组再添加“修改”、“写入”权限。
经过上面这样设置承在一个执行权限,一旦用户上传了恶意文件,我们的服务器就沦陷了,但是我们这里又不能不给,所以我们还要配合IIS来再设置一下。
在iis7以上版本里,这个设置非常的方便。
打开IIS管理器,找到站点,选中上传目录,在中间栏IIS下双击打开“处理程序映射”,再选择“编辑功能权限”,把“脚本”前面的勾掉就可以了。
好了,我们打开upload文件夹看一下,是不是多了一个web.config。
web.config里的内容如下:意思是upload目录下的所有文件(包括所有子文件夹下的)将只有只读权限。
windows2008 r2的账户锁定策略
windows2008 r2的账户锁定策略Windows2008 R2是微软公司推出的一款服务器操作系统。
在这个操作系统中,账户锁定策略是非常重要的一项安全措施。
本文将详细介绍Windows2008 R2的账户锁定策略,并一步一步回答与之相关的问题。
一、什么是账户锁定策略?账户锁定策略是指在一定的条件下,当用户连续输入错误的密码达到一定次数时,系统会自动锁定该账户一段时间,以保护系统的安全。
账户锁定策略可以防止暴力破解攻击,提高系统的安全性。
二、账户锁定策略的设置方法?步骤一:登录Windows Server 2008 R2系统,以管理员权限打开“服务器管理器”。
步骤二:在“服务器管理器”中,选择“配置”选项卡,点击“本地用户和组”,在右侧窗口中点击“用户”。
步骤三:在“用户”窗口中,选择需要设置账户锁定策略的用户,右键点击,选择“属性”。
步骤四:在“属性”窗口中,选择“账户”选项卡,在“帐户锁定”部分,点击“锁定帐户”复选框,并设置相关参数,比如“账户锁定阈值”和“锁定持续时间”。
然后点击“确定”保存设置。
三、账户锁定策略的参数解释1. 账户锁定阈值:表示当用户连续输入错误的密码次数达到设定的值时,系统会自动锁定该账户。
一般建议将该值设置为3~5次,以兼顾安全与用户体验。
2. 锁定持续时间:表示当账户被锁定后,需要等待的时间解锁账户。
可以选择设定一段时间(如15分钟),也可以设置为管理员手动解锁。
根据实际需求和安全要求进行设置。
四、账户锁定策略的作用账户锁定策略可以有效地防止恶意用户进行暴力破解攻击。
通过限制用户连续尝试错误密码的次数,避免了暴力破解攻击者利用程序自动化尝试密码。
同时,账户锁定策略还可以提醒用户注意密码的安全性,避免使用过于简单的密码。
五、账户锁定策略的注意事项1. 合理设置账户锁定阈值和锁定持续时间。
如果设置太低,可能会导致用户频繁被锁定,影响正常使用;如果设置太高,可能会增加系统被攻击的风险。
WindowsServer2008系统安全系统配置大全
Windows 2008服务器安全设置技术实例目录Windows 2008服务器安全设置技术实例 (1)一、服务器安全设置之--硬盘权限篇 (2)二、服务器安全设置之--系统服务篇(设置完毕需要重新启动) (13)三、服务器安全设置之--组件安全设置篇 (18)四、服务器安全设置之--本地安全策略设置(重要) (20)A、策略——>密码策略 (20)B、策略——>锁定策略 (20)D、本地策略——>用户权限分配 (21)E、本地策略——>安全选项 (21)五、服务器安全设置之--本地安全策略-IP安全策略 (22)六、服务器安全设置之--高级安全windows防火墙(掌握好很重要) (23)七、服务器安全设置之--本地安全策略-高级审核策略配置 (24)a. 系统审核策略——>登录 (24)b. 系统审核策略——>管理 (24)c. 系统审核策略——>详细跟踪 (25)d. 系统审核策略——>DS访问 (25)e. 系统审核策略——>登陆/注销 (25)f. 系统审核策略——>对象访问 (25)g. 系统审核策略——>策略更改 (25)h. 系统审核策略——>特权使用 (25)八、服务器安全设置之--远程桌面服务策略 (26)九、服务器安全设置之--组策略配置(掌握好很重要) (26)十、服务器安全设置之--用户安全设置 (28)十一、选配—防御PHP木马攻击的技巧 (30)一、服务器安全设置之--硬盘权限篇这里着重谈需要的权限,也就是最终文件夹或硬盘需要的权限,可以防御各种木马入侵,提权攻击,跨站攻击等。
本实例经过多次试验,安全性能很好,服务器基本没有被木马威胁的担忧了(注:红色背景为主要审查配置对象)。
注:其他应用程序相关权限,除主要的权限访问继承上一级文件夹以外,需对指定的文件夹或文件进行单独的权限设置,规则按最小权限给予。
Windows Server 2008 R2 游戏服务器简单安全设置及使用IP安全策略关闭端口
Windows Server 2008 R2 游戏服务器简单安全设置及使用IP安全策略关闭端口1给administrator用户加密码,开始运行control userpassword2控制面板\用户帐户给administrator设密码control userpasswords2这个运行命令,可以取消输入密码你输入的没有错误,可能是你机子根本没有密码吧,你仔细看会发现你的指针是闪过一下漏斗的。
下面的效果一样的开始--运行,输入“rundll32 netplwiz.dll,UsersRunDll”,按回车键后弹出“用户帐户”窗口,看清楚,这可跟“控制面板”中打开的“用户账户”面板窗口不同哦!然后取消选定“要使用本机,用户必须输入用户名和密码”选项,单击确定,在弹出的对话框中输入你想让电脑每次自动登录的账户和密码即可。
2修改远程访问端口,这个可以在使用的软件上修改修改远程访问服务端口更改远程连接端口方法,可用windows自带的计算器将10进制转为16进制。
更改3389端口为8208,重启生效!Windows Registry Editor Version 5.00[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\TerminalServer\Wds\rdpwd\Tds\tcp]"PortNumber"=dword:0002010[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\TerminalServer\WinStations\RDP-Tcp]"PortNumber"=dword:00002010(1)在开始--运行菜单里,输入regedit,进入注册表编辑,按下面的路径进入修改端口的地方(2)HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\TerminalServer\WinStations\RDP-Tcp(3)找到右侧的 "PortNumber",用十进制方式显示,默认为3389,改为(例如)6666端口(4)HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\TerminalServer\Wds\rdpwd\Tds\tcp(5)找到右侧的 "PortNumber",用十进制方式显示,默认为3389,改为同上的端口(6)在控制面板--Windows 防火墙--高级设置--入站规则--新建规则(7)选择端口--协议和端口--TCP/特定本地端口:同上的端口(8)下一步,选择允许连接(9)下一步,选择公用(10)下一步,名称:远程桌面-新(TCP-In),描述:用于远程桌面服务的入站规则,以允许RDP通信。
WindowsServer2008配置系统安全策略
WindowsServer2008配置系统安全策略下⾯学习Windows Server 2008配置系统安全策略在⼯作组中的计算机本地安全策略有⽤户策略,密码策略,密码过期默认42天服务账户设置成永不过期,帐户锁定策略,本地策略,审核策略,计算机记录哪些安全事件最后在域环境中使⽤组策略配置计算机安全。
1.在⼯作组中的安全策略,打开本地安全策略。
2.打开本地安全策略之后选择密码策略,可以看到有很多的策略,先看第⼀个密码复杂性要求。
3.打开密码必须符合复杂性要求,默认是打开的,我们在设置密码的时候,不能设置纯数字或者纯字母,必须要有数字加⼤⼩写。
4.密码长度最⼩值,这个是设置密码最低⼩于⼏位数,默认是0,这⾥修改为6位,在设置密码的时候必须满⾜6位,包括数字字母⼤⼩写或者特殊符号。
5.密码最短使⽤期限,默认是0天这⾥设置为30天,在30天不会提⽰你修改密码,必须要使⽤30天才能改密码。
6.密码最长使⽤期限,默认是42天,这⾥修改为60天超过60天之后会提⽰让你修改密码。
7.强制密码历史,这个选项是你修改密码时不能⼀样,默认是0,这⾥设置为3次,修改3次密码之后才能修改回第⼀次使⽤的密码。
8.打开账户锁定策略,账户锁定值默认是0次,可以设置5次超过5次就会把这个账户锁定,为了防⽌别⼈⼊侵你的电脑,等待半个⼩时之后就会⾃动解锁,或者联系管理员⾃动解锁。
9.账号锁定时间,默认是30分钟⾃动解锁,也可以⾃⼰修改,这⾥修改为3分钟⾃动解锁。
10.现在lisi这个⽤户输错五次密码,就算输⼊正确的密码,提⽰账户已锁定,⽆法登录。
11.打开服务器管理器,选择本地⽤户和组,可以查看lisi这个⽤户,输错5次密码之后账户已锁定,管理员可以⼿动把这个勾去掉,然后确定就能登⼊了,或者lisi这个⽤户等待3分钟之后账户会⾃动解锁。
12.打开本地策略,选择审核登录事件,默认是⽆审核,这⾥我勾选成功跟失败,然后确定。
13.打开事件查看器,选择安全把⾥⾯的事件先全部删除,然后使⽤lisi远程登录到这台计算机。
2008r2 安全策略写入注册表
2008r2 安全策略写入注册表在Windows Server 2008 R2中,可以通过组策略编辑器(Group Policy Editor)来配置安全策略,并将其写入注册表。
以下是一些步骤,可以帮助您在Windows Server 2008 R2中配置安全策略并写入注册表:1. 打开组策略编辑器:按下Win键,键入“组策略编辑器”,然后选择“组策略编辑器”。
2. 导航到所需的策略:在左侧导航窗格中,展开“计算机配置”或“用户配置”,然后选择“策略”文件夹。
3. 创建或编辑策略:右键单击“策略”文件夹,选择“创建新策略”或“编辑策略”。
4. 配置安全设置:在右侧窗格中,展开“安全设置”文件夹。
5. 配置安全选项:在“安全设置”文件夹中,您可以配置各种安全选项,例如帐户策略、本地策略、审核策略等。
根据您的需求进行必要的配置。
6. 确定策略:完成配置后,右键单击“安全设置”文件夹,选择“应用”以使更改生效。
7. 将策略写入注册表:在组策略编辑器中,展开“计算机配置”或“用户配置”,然后展开“Windows设置”文件夹。
8. 创建或编辑注册表项:右键单击“注册表”文件夹,选择“创建新项”或“编辑项”。
9. 将值添加到注册表:在右侧窗格中,选择要添加的注册表项,然后右键单击该项并选择“新建”>“DWORD值”或“字符串值”,根据需要为其指定名称和值。
10. 应用更改:完成注册表项的配置后,右键单击“注册表”文件夹,选择“应用”以使更改生效。
11. 关闭组策略编辑器:在组策略编辑器窗口中,单击“文件”>“退出”以关闭组策略编辑器。
请注意,在更改注册表之前,请确保您已备份注册表并了解注册表编辑器的使用风险。
错误的更改可能导致系统不稳定或无法正常工作。
建议在进行更改之前仔细阅读相关文档并谨慎操作。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
Windows Server 2008 R2常规安全设置及基本安全策略比较重要的几部1.更改默认administrator用户名,复杂密码2.开启防火墙3.安装杀毒软件1)新做系统一定要先打上补丁2)安装必要的杀毒软件3)删除系统默认共享4)修改本地策略——>安全选项交互式登陆:不显示最后的用户名启用网络访问:不允许SAM 帐户和共享的匿名枚举启用网络访问: 不允许存储网络身份验证的凭据或.NET Passports 启用网络访问:可远程访问的注册表路径和子路径全部删除5)禁用不必要的服务TCP/IP NetBIOS Helper、Server、Distributed Link Tracking Client 、Print Spooler、Remote Registry、Workstation6)禁用IPV6server 2008 r2交互式登录: 不显示最后的用户名一、系统及程序1、屏幕保护与电源桌面右键--〉个性化--〉屏幕保护程序,屏幕保护程序选择无,更改电源设置选择高性能,选择关闭显示器的时间关闭显示器选从不保存修改2、配置IIS7组件、FTP7、php 5.5.7、mysql 5.6.15、phpMyAdmin 4.1.8、phpwind 9.0、ISAPI_Rewrite 环境。
在这里我给大家可以推荐下阿里云的服务器一键环境配置,全自动安装设置很不错的。
点击查看地址二、系统安全配置1、目录权限除系统所在分区之外的所有分区都赋予Administrators和SYSTEM有完全控制权,之后再对其下的子目录作单独的目录权限2、远程连接我的电脑属性--〉远程设置--〉远程--〉只允许运行带网络超级身份验证的远程桌面的计算机连接,选择允许运行任意版本远程桌面的计算机连接(较不安全)。
备注:方便多种版本Windows远程管理服务器。
windows server 2008的远程桌面连接,与2003相比,引入了网络级身份验证(NLA,network level authentication),XP SP3不支持这种网络级的身份验证,vista 跟win7支持。
然而在XP系统中修改一下注册表,即可让XP SP3支持网络级身份验证。
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa在右窗口中双击Security Pakeages,添加一项“tspkg”。
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders,在右窗口中双击SecurityProviders,添加credssp.dll;请注意,在添加这项值时,一定要在原有的值后添加逗号后,别忘了要空一格(英文状态)。
然后将XP系统重启一下即可。
再查看一下,即可发现XP系统已经支持网络级身份验证3、修改远程访问服务端口更改远程连接端口方法,可用windows自带的计算器将10进制转为16进制。
更改3389端口为8208,重启生效!Windows Registry Editor Version 5.00[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\TerminalServer\Wds\rdpwd\Tds\tcp]"PortNumber"=dword:0002010[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\TerminalServer\WinStations\RDP-Tcp]"PortNumber"=dword:00002010(1)在开始--运行菜单里,输入regedit,进入注册表编辑,按下面的路径进入修改端口的地方(2)HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\TerminalServer\WinStations\RDP-Tcp(3)找到右侧的"PortNumber",用十进制方式显示,默认为3389,改为(例如)6666端口(4)HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\TerminalServer\Wds\rdpwd\Tds\tcp(5)找到右侧的"PortNumber",用十进制方式显示,默认为3389,改为同上的端口(6)在控制面板--Windows 防火墙--高级设置--入站规则--新建规则(7)选择端口--协议和端口--TCP/特定本地端口:同上的端口(8)下一步,选择允许连接(9)下一步,选择公用(10)下一步,名称:远程桌面-新(TCP-In),描述:用于远程桌面服务的入站规则,以允许RDP通信。
[TCP 同上的端口](11)删除远程桌面(TCP-In)规则(12)重新启动计算机4、配置本地连接网络--〉属性--〉管理网络连接--〉本地连接,打开“本地连接”界面,选择“属性”,左键点击“Microsoft网络客户端”,再点击“卸载”,在弹出的对话框中“是”确认卸载。
点击“Microsoft 网络的文件和打印机共享”,再点击“卸载”,在弹出的对话框中选择“是”确认卸载。
解除Netbios和TCP/IP协议的绑定139端口:打开“本地连接”界面,选择“属性”,在弹出的“属性”框中双击“Internet协议版本(TCP/IPV4)”,点击“属性”,再点击“高级”—“WINS”,选择“禁用TCP/IP上的NETBIOS”,点击“确认”并关闭本地连接属性。
禁止默认共享:点击“开始”—“运行”,输入“Regedit”,打开注册表编辑器,打开注册表项“HKEY_LOCAL_MACHIN E\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters”,在右边的窗口中新建Dword值,名称设为AutoShareServer,值设为“0”。
关闭445端口:HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NetBT\Parameters,新建Dword (32位)名称设为SMBDeviceEnabled 值设为“0”5、共享和发现右键“网络” 属性网络和共享中心共享和发现关闭,网络共享,文件共享,公用文件共享,打印机共享,显示我正在共享的所有文件和文件夹,显示这台计算机上所有共享的网络文件夹6、用防火墙限制Ping网上自己查吧,ping还是经常需要用到的7、防火墙的设置控制面板→Windows防火墙设置→更改设置→例外,勾选FTP、HTTP、远程桌面服务核心网络HTTPS用不到可以不勾3306:Mysql1433:Mssql8、禁用不需要的和危险的服务,以下列出服务都需要禁用。
控制面板管理工具服务Distributed linktracking client 用于局域网更新连接信息PrintSpooler 打印服务Remote Registry 远程修改注册表Server 计算机通过网络的文件、打印、和命名管道共享TCP/IP NetBIOS Helper 提供TCP/IP (NetBT) 服务上的NetBIOS 和网络上客户端的NetBIOS 名称解析的支持Workstation 泄漏系统用户名列表与Terminal Services Configuration 关联Computer Browser 维护网络计算机更新默认已经禁用Net Logon 域控制器通道管理默认已经手动Remote Procedure Call (RPC) Locator RpcNs*远程过程调用(RPC) 默认已经手动删除服务sc delete MySql9、安全设置-->本地策略-->安全选项在运行中输入gpedit.msc回车,打开组策略编辑器,选择计算机配置-->Windows设置-->安全设置-->本地策略-->安全选项交互式登陆:不显示最后的用户名启用网络访问:不允许SAM帐户的匿名枚举启用已经启用网络访问:不允许SAM帐户和共享的匿名枚举启用网络访问:不允许储存网络身份验证的凭据启用网络访问:可匿名访问的共享内容全部删除网络访问:可匿名访问的命名管道内容全部删除网络访问:可远程访问的注册表路径内容全部删除网络访问:可远程访问的注册表路径和子路径内容全部删除帐户:重命名来宾帐户这里可以更改guest帐号帐户:重命名系统管理员帐户这里可以更改Administrator帐号10、安全设置-->账户策略-->账户锁定策略在运行中输入gpedit.msc回车,打开组策略编辑器,选择计算机配置-->Windows设置-->安全设置-->账户策略-->账户锁定策略,将账户锁定阈值设为“三次登陆无效”,“锁定时间为30分钟”,“复位锁定计数设为30分钟”。
11、本地安全设置选择计算机配置-->Windows设置-->安全设置-->本地策略-->用户权限分配关闭系统:只有Administrators组、其它全部删除。
通过终端服务拒绝登陆:加入Guests组、IUSR_*****、IWAM_*****、NETWORK SERVICE、SQLDebugger通过终端服务允许登陆:加入Administrators、Remote Desktop Users组,其他全部删除12、更改Administrator,guest账户,新建一无任何权限的假Administrator账户管理工具→计算机管理→系统工具→本地用户和组→用户新建一个Administrator帐户作为陷阱帐户,设置超长密码,并去掉所有用户组更改描述:管理计算机(域)的内置帐户13、密码策略选择计算机配置-->Windows设置-->安全设置-->密码策略启动密码必须符合复杂性要求最短密码长度14、禁用DCOM ("冲击波"病毒RPC/DCOM 漏洞)运行Dcomcnfg.exe。
控制台根节点→组件服务→计算机→右键单击“我的电脑”→属性”→默认属性”选项卡→清除“在这台计算机上启用分布式COM”复选框。
15、ASP漏洞主要是卸载WScript.Shell 和Shell.application 组件,是否删除看是否必要。
regsvr32/u C:\WINDOWS\System32\wshom.ocxregsvr32/u C:\WINDOWS\system32\shell32.dll删除可能权限不够del C:\WINDOWS\System32\wshom.ocxdel C:\WINDOWS\system32\shell32.dll如果确实要使用,或者也可以给它们改个名字。