Windows服务器安全加固专业技术方案

合集下载

Windows 2003服务器安全加固方案(最新)

Windows 2003服务器安全加固方案sql服务器安全加固安装最新的mdac()5.1 密码策略由于sql server不能更改sa用户名称，也不能删除这个超级用户，所以，我们必须对这个帐号进行最强的保护，当然，包括使用一个非常强壮的密码，最好不要在数据库应用中使用sa帐号。

新建立一个拥有与sa一样权限的超级用户来管理数据库。

同时养成定期修改密码的好习惯。

数据库管理员应该定期查看是否有不符合密码要求的帐号。

比如使用下面的sql语句：use masterselect name,password from syslogins where password is null5.2 数据库日志的记录核数据库登录事件的"失败和成功"，在实例属性中选择"安全性"，将其中的审核级别选定为全部，这样在数据库系统和操作系统日志里面，就详细记录了所有帐号的登录事件。

5.3 管理扩展存储过程xp_cmdshell是进入操作系统的最佳捷径，是数据库留给操作系统的一个大后门。

请把它去掉。

使用这个sql语句：use mastersp_d ropextendedproc ’xp_cmdshell’注：如果你需要这个存储过程，请用这个语句也可以恢复过来。

sp_addextendedproc ’xp_cmdshell’, ’xpsql70.dll’ole自动存储过程(会造成管理器中的某些特征不能使用)，这些过程包括如下(不需要可以全部去掉：sp_oacreate sp_oadestroy sp_oageterrorinfo sp_oagetpropertysp_oamethod sp_oasetproperty sp_oastop去掉不需要的注册表访问的存储过程，注册表存储过程甚至能够读出操作系统管理员的密码来，如下：xp_regaddmultistring xp_regkey xp_regvalue xp_regenumvaluesxp_regread xp_regremovemultistring xp_regwrite5.4 防tcp/ip端口探测在实例属性中选择tcp/ip协议的`属性。

windows服务器安全加固方案

1．系统的安全加固：我们通过配置目录权限，系统安全策略，协议栈加强，系统服务和访问控制加固您的系统，整体提高服务器的安全性。

2．IIS手工加固：手工加固iis可以有效的提高iweb站点的安全性，合理分配用户权限，配置相应的安全策略，有效的防止iis用户溢出提权。

3．系统应用程序加固，提供应用程序的安全性，例如sql的安全配置以及服务器应用软件的安全加固。

三．系统的安全加固：1．目录权限的配置：1.1 除系统所在分区之外的所有分区都赋予Administrators和SYSTEM有完全控制权，之后再对其下的子目录作单独的目录权限，如果WEB站点目录，你要为其目录权限分配一个与之对应的匿名访问帐号并赋予它有修改权限，如果想使网站更加坚固，可以分配只读权限并对特殊的目录作可写权限。

1.2 系统所在分区下的根目录都要设置为不继承父权限，之后为该分区只赋予Administrators和SYSTEM有完全控制权。

1.3 因为服务器只有管理员有本地登录权限，所在要配置Documents and Settings这个目录权限只保留Administrators和SYSTEM有完全控制权，其下的子目录同样。

另外还有一个隐藏目录也需要同样操作。

因为如果你安装有PCAnyWhere那么他的的配置信息都保存在其下，使用webshell 或FSO可以轻松的调取这个配置文件。

1.4 配置Program files目录，为Common Files目录之外的所有目录赋予Administrators和SYSTEM 有完全控制权。

1.5 配置Windows目录，其实这一块主要是根据自身的情况如果使用默认的安全设置也是可行的，不过还是应该进入SYSTEM32目录下，将cmd.exe、ftp.exe、net.exe、scrrun.dll、shell.dll这些杀手锏程序赋予匿名帐号拒绝访问。

1．6审核MetBase.bin，C:\WINNT\system32\inetsrv目录只有administrator只允许Administrator 用户读写。

windows服务器安全加固方案

windows服务器安全加固方案Windows服务器安全加固方案一、操作系统方面的加固1.更新补丁●及时安装最新的操作系统补丁，修复已知漏洞，提高系统的稳定性和安全性。

●配置自动更新功能，确保系统定期自动获取并安装最新的补丁。

2.启用防火墙●使用Windows服务器自带的防火墙功能，限制对服务器的网络访问。

●配置防火墙规则，仅允许必要的端口和服务对外开放，禁止不必要的访问。

3.管理账户安全●修改默认账户名和密码，确保使用强密码策略。

●禁用或删除不必要的账户，限制权限最小化原则。

●启用账户锁定功能，防止暴力尝试。

4.审计日志配置●启用Windows服务器的安全审计日志功能。

●配置适当的日志记录级别，确保及时发现异常操作。

●定期审查审计日志，对安全事件进行分析和响应。

5.硬盘加密●对敏感数据和信息进行加密保护。

●使用BitLocker等工具为服务器硬盘进行加密，防止数据泄露。

二、网络安全方面的加固1.网络设备配置●配置安全的网络设备参数，例如路由器、交换机等。

●将网络设备的默认密码修改为强密码。

●配置访问控制列表（ACL）限制对网络设备的访问。

2.加密通信●在远程管理和文件传输等过程中，使用加密通信协议，例如SSL/TLS。

●避免使用不安全的协议和加密算法，如旧版SSL、弱密码算法等。

3.网络隔离●通过网络分段和VLAN等技术，将服务器划分到不同的安全域中，实现网络隔离。

●使用防火墙和访问控制策略，划定服务器与其他网络设备之间的信任边界。

4.安全加密传输协议（IPsec）●使用IPsec协议对服务器之间的通信进行加密和认证。

●配置IPsec策略，限制仅允许受信任的服务器之间进行加密通信。

5.无线网络安全●对无线局域网（WLAN）进行加密保护，使用WPA2或更高级别的加密算法。

●定期更改无线网络密码，限制访问权限。

三、应用程序和服务方面的加固1.关闭不必要的服务●禁用或关闭不需要的应用程序和服务，减少系统暴露的攻击面。

服务器安全加固的方法和工具

服务器安全加固的方法和工具随着互联网的快速发展，服务器安全问题日益凸显，黑客攻击、病毒入侵等安全威胁时有发生。

因此，对服务器进行安全加固显得尤为重要。

本文将介绍一些常用的服务器安全加固方法和工具，帮助管理员提升服务器的安全性。

一、操作系统安全加固方法1. 及时更新补丁：定期检查操作系统厂商发布的安全补丁，并及时进行更新，修补系统漏洞，提升系统的安全性。

2. 禁用不必要的服务：关闭不必要的系统服务，减少系统暴露的攻击面，降低被攻击的风险。

3. 配置防火墙：通过配置防火墙，限制网络访问权限，只允许必要的端口和服务对外开放，提高系统的安全性。

4. 强化账户密码策略：设置复杂的密码策略，包括密码长度、复杂度、定期更换等，防止密码被破解。

5. 启用安全审计：开启系统的安全审计功能，记录系统操作日志，及时发现异常行为，加强对系统的监控和管理。

二、数据库安全加固方法1. 更新数据库软件：及时更新数据库软件的补丁，修复已知漏洞，提升数据库的安全性。

2. 配置访问控制：限制数据库的访问权限，只允许授权用户进行操作，避免未授权访问和操作。

3. 数据加密：对重要数据进行加密存储，保护数据的机密性，防止数据泄露。

4. 定期备份数据：建立定期备份机制，确保数据的安全性和可恢复性，防止数据丢失或损坏。

5. 监控数据库性能：监控数据库的性能指标，及时发现异常行为和性能问题，保障数据库的稳定运行。

三、网络安全加固方法1. 使用VPN加密通信：通过使用VPN技术，加密网络通信数据，防止数据被窃取和篡改。

2. 配置网络访问控制列表（ACL）：通过配置ACL，限制网络访问权限，只允许授权的主机和用户进行访问，提高网络的安全性。

3. 定期检查网络设备：定期检查网络设备的安全配置，确保设备没有被篡改或感染恶意软件，保障网络的安全运行。

4. 使用入侵检测系统（IDS）：部署IDS系统，监控网络流量和行为，及时发现入侵行为，加强对网络的安全防护。

Windows 服务器操作系统安全设置加固方法是什么.doc

Windows 服务器操作系统安全设置加固方法是什么方法步骤1. 账户管理和认证授权1.1 账户默认账户安全禁用Guest账户。

禁用或删除其他无用账户(建议先禁用账户三个月，待确认没有问题后删除。

) 操作步骤打开控制面板管理工具计算机管理，在系统工具本地用户和组用户中，双击Guest 帐户，在属性中选中帐户已禁用，单击确定。

按照用户分配帐户按照用户分配帐户。

根据业务要求，设定不同的用户和用户组。

例如，管理员用户，数据库用户，审计用户，来宾用户等。

操作步骤打开控制面板管理工具计算机管理，在系统工具本地用户和组中，根据您的业务要求设定不同的用户和用户组，包括管理员用户、数据库用户、审计用户、来宾用户等。

定期检查并删除与无关帐户定期删除或锁定与设备运行、维护等与工作无关的帐户。

操作步骤打开控制面板管理工具计算机管理，在系统工具本地用户和组中，删除或锁定与设备运行、维护等与工作无关的帐户。

不显示最后的用户名配置登录登出后，不显示用户名称。

操作步骤：打开控制面板管理工具本地安全策略，在本地策略安全选项中，双击交互式登录:不显示最后的用户名，选择已启用并单击确定。

log1.2 口令密码复杂度密码复杂度要求必须满足以下策略：最短密码长度要求八个字符。

启用本机组策略中密码必须符合复杂性要求的策略。

即密码至少包含以下四种类别的字符中的两种：英语大写字母A, B, C, Z 英语小写字母a, b, c, z 西方阿拉伯数字0, 1, 2, 9 非字母数字字符，如标点符号，@, #, $, %, , *等操作步骤打开控制面板管理工具本地安全策略，在帐户策略密码策略中，确认密码必须符合复杂性要求策略已启用。

密码最长留存期对于采用静态口令认证技术的设备，帐户口令的留存期不应长于90天。

操作步骤打开控制面板管理工具本地安全策略，在帐户策略密码策略中，配置密码最长使用期限不大于90天。

pwd帐户锁定策略对于采用静态口令认证技术的设备，应配置当用户连续认证失败次数超过10次后，锁定该用户使用的帐户。

服务器操作系统安全设置与加固指南与实际案例分享

服务器操作系统安全设置与加固指南与实际案例分享随着互联网的迅猛发展，服务器成为了我们日常生活中不可或缺的组成部分。

然而，服务器的安全问题也日益凸显出来。

为了保护服务器免受各种潜在威胁的侵害，我们需要进行正确的操作系统安全设置与加固。

本文将为大家提供一份服务器操作系统安全设置与加固指南，并结合实际案例分享，希望能对读者有所帮助。

一、安全设置与加固指南1. 建立强密码策略：强密码是保护服务器的第一道防线。

设置复杂的密码要求，包括大写字母、小写字母、数字和特殊字符，并要求定期更换密码。

2. 更新操作系统补丁：及时安装操作系统补丁可以修复安全漏洞，减少服务器受到攻击的风险。

建议自动检查和更新操作系统补丁。

3. 配置防火墙：防火墙是保护服务器免受未经授权访问的重要工具。

只开放必要的端口，对外暴露的服务进行严格控制。

4. 禁用不必要的服务与组件：关闭不需要的服务与组件可以减少被攻击的可能性。

只保留必要的服务，并更新最新版本以修复已知漏洞。

5. 加密传输与通信：对于敏感数据，使用加密协议进行传输和通信，例如SSL/TLS协议。

同时，禁止未加密传输，避免信息泄露。

6. 配置访问权限：对文件和目录设置正确的权限，避免未经授权的读取、写入和执行。

只允许必要的用户和组访问敏感文件。

7. 定期备份数据：定期备份服务器数据是防止数据丢失的有效手段。

将备份数据存储在不同的位置，以防止单点故障。

8. 监控与日志记录：使用监控工具和日志记录系统，实时监测服务器的运行状态和异常行为。

及时发现并回应潜在的安全风险。

二、实际案例分享为了更好地理解服务器操作系统安全设置与加固，下面我们将分享一个实际案例。

某公司的服务器在没有进行安全加固的情况下，遭到了黑客的入侵。

黑客通过漏洞攻击成功获取了管理员权限，并篡改了公司网站的内容、窃取了用户数据。

这次入侵给公司的声誉和财务带来了严重的损失。

于是，该公司决定对服务器进行安全加固。

首先，他们重新评估了服务器的安全策略，并建立了强密码策略。

服务器安全加固方案

第2篇
服务器安全加固方案
一、引言
服务器作为企业关键信息资产的核心载体，其安全性直接关系到企业业务的稳定运行和数据的保护。本方案旨在通过全面的安全评估和加固措施，提升服务器在面对日益复杂的网络威胁时的防御能力，确保企业信息系统的安全可靠。
二、目标
1.降低服务器遭受外部攻击的风险。
2.减少服务器内部数据泄露的可能性。
2.降低服务器被非法入侵的风险；
3.提高服务器硬件、软件资源的利用率；
4.确保企业数据的安全性和完整性；
5.提升企业信息安全管理的规范化和标准化水平。
三、方案内容
1.硬件安全加固
（1）物理安全
1.1服务器放置在专用机房内，确保机房的温度、湿度、电源等满足服务器正常运行要求；
1.2机房实行严格的出入管理制度，禁止无关人员进入；
服务器安全加固方案
第1篇
服务器安全加固方案
一、背景
随着互联网技术的不断发展，服务器作为企业数据存储、业务处理的核心，其安全性愈发受到重视。为了确保服务器在面临各种安全威胁时能够保持稳定、可靠运行，降低潜在风险，提高企业信息安全水平，特制定本服务器安全加固方案。
二、目标
1.防范各类网络攻击，确保服务器系统安全；
（2）安全培训
定期对员工进行安全意识培训，提升整体安全防护水平。
（3）安全审计
开展定期安全审计，评估加固措施的有效性，并根据审计结果进行调整。
四、实施与监督
1.制定详细的实施计划，包括时间表、责任分配和资源需求。
2.在实施过程中，确保每项加固措施符合相关法律法规和标准要求。
3.定期监督实施进度，确保加固措施的正确执行和效果评估。
1.3机房内安装监控设备，对服务器进行24小时实时监控；

windows服务器安全加固方案

windows服务器安全加固方案Windows服务器安全加固方案1、前言Windows服务器是企业信息系统的重要组成部分，为了保护服务器及其上托管的关键数据的安全性，需要进行安全加固。

本文档将详细介绍Windows服务器安全加固的方案和步骤。

2、系统和软件更新2.1 定期安装操作系统补丁- 在Windows服务器上设置自动更新功能，确保及时安装最新的操作系统补丁。

- 定期检查并安装新发布的补丁。

2.2 升级和更新应用程序- 定期检查并更新服务器上安装的所有应用程序和软件到最新版本。

- 通过升级软件版本来修复已知的安全漏洞。

3、账户和访问控制3.1 使用强密码策略- 设置密码复杂性要求，包括字符类型、长度和有效期限制。

- 强制用户定期更改密码，并禁用使用过于简单的密码。

3.2 及时移除或禁用未使用的账户- 定期检查服务器上的账户列表，及时禁用或删除不再使用的账户。

- 禁用默认和管理员账户的远程登录功能。

3.3 使用多因素身份验证- 在必要的情况下，启用多因素身份验证（例如，使用令牌、生物特征等）来增加登录的安全性。

4、访问控制和权限管理4.1 最小权限原则- 为用户和服务账户分配最小权限，仅授予其完成工作所需的权限。

- 定期审查和更新权限设置，确保权限最小化和权限分离原则的实施。

4.2 定期检查访问控制列表 (ACLs)- 审查文件、文件夹和共享的访问控制列表，确保只有授权的用户可以访问相关资源。

4.3 加强远程访问控制- 禁用不再使用的远程桌面协议 (RDP) 和其他远程管理协议。

- 配置防火墙以限制远程访问的IP范围并启用网络层身份验证。

5、安全审计和日志管理5.1 启用安全审计功能- 在Windows服务器上启用安全审计功能，以记录关键事件和活动。

- 配置审计策略以记录成功和失败的登录尝试、文件和对象的访问等。

5.2 定期检查和备份日志- 定期检查服务器的日志，分析并识别潜在的安全事件。

- 建立日志的远程备份，以防止被篡改或删除。

服务器操作系统的安全设置与加固

服务器操作系统的安全设置与加固首先，服务器操作系统的安全设置是确保服务器免受恶意攻击和未经授权的访问的重要环节。

本文将介绍一些常见的服务器操作系统安全设置和加固方法，帮助您提升服务器的安全性。

一、更新和安装补丁定期更新操作系统及相关软件是保障服务器安全的关键一步。

厂商会发布各种修复漏洞的补丁，及时更新可以防止黑客利用已知漏洞进行攻击。

同时，及时安装最新版本的安全软件，如防火墙和杀毒软件，也是必不可少的。

二、配置强密码和多因素认证设置强密码是防止未经授权访问的重要措施。

使用组合各种字符、数字和符号的方式创建一个密码，并确保密码符合最低长度要求。

此外，启用多因素认证可以进一步提升服务器的安全性，例如使用手机验证码、指纹识别等方式。

三、限制访问和使用安全策略通过限制连接服务器的IP范围、禁用不必要的服务和端口、限制root用户的远程访问等方法，可以有效降低服务器面临的风险。

此外，使用安全策略可以限制用户的权限，只允许他们访问特定的文件和目录，从而减少潜在的安全漏洞。

四、加密和备份数据对于重要的数据，应尽可能使用加密技术进行保护。

例如，可以使用SSL证书来加密传输的数据，或者使用加密的存储技术来保护数据文件。

此外，定期备份数据并将其存储在安全的地方也是非常重要的，以应对可能的数据丢失或受损情况。

五、监控和日志记录通过实施日志记录和监控措施，可以更好地发现潜在的安全问题。

监控可以帮助您及时识别并回应未经授权的访问或异常活动。

同时，定期检查服务器的日志文件，可以帮助您追踪和分析潜在的安全事件。

六、安全教育和培训最后，对服务器操作系统的安全设置和加固方法进行培训和教育，可以增强员工对服务器安全的意识和理解。

学习如何识别和应对常见的网络攻击，以及掌握服务器安全最佳实践，是保护服务器免受各种威胁的重要手段。

总之，服务器操作系统的安全设置与加固是确保服务器安全性的关键一步。

通过更新和安装补丁、配置强密码和多因素认证、限制访问和使用安全策略、加密和备份数据、监控和日志记录以及进行安全教育和培训，可以提升服务器的抵御风险的能力，保证服务器运行的安全稳定。

服务器操作系统安全加固

服务器操作系统安全加固在当今数字化时代，服务器的安全性是至关重要的。

服务器操作系统作为承载着企业和个人敏感数据的核心系统，安全加固是确保服务器免受外部威胁的关键措施之一。

本文将介绍一些服务器操作系统安全加固的方法，以保护服务器免受恶意攻击和数据泄露的威胁。

1. 更新操作系统服务器操作系统供应商会定期发布安全更新和补丁程序，以修复已知的漏洞和弱点。

及时应用这些更新非常重要，因为黑客往往会利用已知漏洞入侵系统。

管理员应当建立一个自动更新系统的流程，确保服务器始终运行最新版本的操作系统和相关组件。

2. 配置强密码策略强密码是服务器安全的基石。

管理员应要求用户使用长、复杂的密码，并定期更换密码。

此外，禁用默认用户名和密码，尽量避免使用常见用户名和密码组合，以提高服务器的安全性。

3. 启用防火墙防火墙是服务器安全的第一道屏障，可以监控和过滤网络流量。

管理员应确保服务器上的防火墙已正确配置，只允许必要的端口和协议通过。

定期审查和更新防火墙规则，确保服务器始终受到适当的保护。

4. 安装安全更新和防病毒软件安全更新和防病毒软件可以帮助防止恶意软件和病毒感染服务器。

定期更新这些软件非常重要，以确保其能够及时识别和阻止新的威胁。

管理员还应当定期扫描服务器，以检查潜在的安全风险和恶意软件。

5. 配置访问控制策略服务器上的访问控制策略应当仔细配置，以限制对敏感数据和系统资源的访问。

管理员应当实施最小权限原则，仅赋予用户所需的权限。

此外，应定期审查和更新访问控制策略，以适应组织内部和外部的变化。

6. 使用加密传输使用加密传输可以有效保护服务器和用户之间的敏感数据传输。

管理员应当配置服务器以使用安全协议，如SSL/TLS，以确保数据在传输过程中得到加密。

此外，还应当禁用不安全的协议和加密算法，以防止潜在的安全漏洞。

7. 定期备份数据定期备份数据是防止数据丢失和恶意攻击的重要手段。

管理员应制定定期备份策略，并确保备份的数据存储在安全的地方。

1、下载文档前请自行甄别文档内容的完整性，平台不提供额外的编辑、内容补充、找答案等附加服务。
2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
3、如文档侵犯您的权益，请联系客服反馈,我们会尽快为您处理(人工客服工作时间：9:00-18:30)。

Windows 2003服务器安全加固方案.txt如果你同时爱几个人，说明你年轻：如果你只爱一个人，那么，你已经老了：如果你谁也不爱，你已获得重生。

积极的人一上有一个坚持的习惯。

Windows 2003服务器安全加固方案【桓文】培训包就业考试包通过NA59921世纪IT人才网热门招聘职位系统集成系统维护工程师系统分析员嵌入式程序开发教程Windows高级工程师的培训地【就业】先实习后上岗，入职年薪5-10万！中国IT实验室收集整理佚名2010-4-19保存本文推荐给好友收藏本页欢迎进入Windows社区论坛，与200万技术人员互动交流 >>进入因为IIS(H卩Internet Information Server)的方便性和易用性，使它成为最受欢迎的 Web 服务器软件之一。

但是，IIS的安全性却一直令人担忧。

如何利用IIS建立一个安全的Web服务器，是很多人关心的话题。

要创建一个安全可靠的险b服务器，必须要实现Windows 2003和IIS 的双重安全，因为IIS的用户同时也是Windows 2003的用户，并且IIS目录的权限依赖Windows 的NTFS文件系统的权限控制，所以保护IIS安全的第一步就是确保Windows 2000操作系统的女全，所以要对服务器进行安全加固，以免遭到黑客的攻击，造成严重的后果。

我们通过以下几个方而对您的系统进行安全加固：1.系统的安全加固：我们通过配置目录权限，系统安全策略，协议栈加强，系统服务和访问控制加固您的系统，整体提高服务器的安全性。

2.IIS手工加固：手工加固iis可以有效的提髙iweb站点的安全性，合理分配用户权限，配置相应的安全策略，有效的防止iis用户溢出提权。

3.系统应用程序加固，提供应用程序的安全性，例如sql的安全配置以及服务器应用软件的安全加固。

系统的安全加固：1.目录权限的配置：1.1除系统所在分区之外的所有分区都赋予Administrators和SYSTEM有完全控制权，之后再对其下的子目录作单独的目录权限，如果WEB站点目录，你要为其目录权限分配一个与之对应的匿名访问帐号并赋予它有修改权限，如果想使网站更加坚固，可以分配只读权限并对特殊的目录作可写权限。

1.2系统所在分区下的根目录都要设置为不继承父权限，之后为该分区只赋予Administrators和SYSTEM有完全控制权。

1.3因为服务器只有管理员有本地登录权限，所在要配Documents and Settings这个目录权限只保留Administrators和SYSTEM有完全控制权，其下的子目录同样。

期外还有一个隐藏目录也需要同样操作。

因为如果你安装有PCAnyWhere那么他的的配程信息都保存在其下，使用webshell或FSO可以轻松的调取这个配置文件。

1.4配苣Program files目录，为Common Fi.les目录之外的所有目录赋予Administrators和SYSTEM有完全控制权。

1.5配置Windows g录，英实这一块主要是根据自身的情况如果使用默认的安全设置也是可行的，不过还是应该进入SYSTEM32目录下，将cmd. exe^ ftp. exe^ net. exe、scrrun. dll、shell, dll这些杀手铜程序赋予匿名帐号拒绝访问。

1.6 审核 MetBase. bin. C: /WINNT/system32/inetsrv 目录只有 administrator 只允许Administrator 用户读写。

2.组策略配宜：在用户权利指派卜，从通过网络访问此汁算机中删除Power Users和Backup Operators-启用不允许匿需访问SAM帐号和共享。

启用不允许为网络验证存储凭据或Passporto从文件共享中删除允许匿划登录的DFSS和COHCFG。

启用交互登录：不显示上次的用户划。

启用在下一次密码变更时不存储LANMAN哈希值。

禁止IIS匿名用户在本地登录。

3.本地安全策略设置：开始菜单一＞管理工具一＞本地安全策略A、本地策略一一＞审核策略审核策略更改成功失败审核登录事件成功失败审核对象访问失败审核过程跟踪无审核审核目录服务访问失败审核特权使用失败审核系统事件成功失败审核账户登录事件成功失败审核账户管理成功失败注：在设置审核登陆事件时选择记失败，这样在事件查看器里的安全日志就会记录登陆失败的信息。

B、本地策略一一＞用户权限分配关闭系统：只有Administrators组、其它全部删除。

通过终端服务拒绝登陆：加入Guests. User组通过终端服务允许登陆：只加入Administrators组，苴他全部删除C、本地策略——＞安全选项交互式登陆：不显示上次的用户名启用网络访问：不允许SAM帐户和共享的匿拿枚举启用网络访问：不允许为网络身份验证储存凭证启用网络访问：可匿爼访问的共享全部删除网络访问：可匿名访问的命全部删除网络访问：可远程访问的注册表路径全部删除网络访问：可远程访问的注册表路径和子路径全部删除帐户：重命名来宾帐戸重命名一个帐户帐户：重命名系统管理员帐户重命名一个帐户4.本地账户策略：在账户策略-＞密码策略中设定：密码复杂性要求启用密码长度最小值6位强制密码历史5次最长存留期30天在账户策略-〉账户锁泄策略中设左：账户锁左3次错误登录锁上时间20分钟复位锁定计数20分钟5.修改注册表配置：5.1通过更改注册表local_machine/system./currentcontrolset/control/lsa-restrictanonyTnous 二 1 来禁止139空连接5.2修改数据包的生存时间（ttl）值hkey_local_machine/systenk/currentcontrolset/services/tcpip/parametersdefaultttl reg_dword 0-0xff （0-255 十进制，默认值 128）5. 3防止syn洪水攻击 hkey-local-machine/systeWcurrentcontrolset/services/tcpip/parameters synattackprotectreg_dword 0x2（默认值为 0x0）5. 4禁止响应icmp路由通告报文hkey_local_machine/system//currentcontrolset/services/tcpip/parameters/interfaces/interfaceperformrouterdiscovery reg_dword 0x0（默认值为 0x2）欢迎进入Windows社区论坛，与200万技术人员互动交流 >>进入5・5防止icmp重龙向报文的攻击hkey_local_machine/system//currentcontrolset/services/tcpip/parametersenableicmpredirects reg_dword 0x0（默认值为 0x1）5.6不支持igmp协议hkey_local_machine/system/currentcontrolset/services/tcpip/parameters5・7修改3389默认端口：运行Regedt32并转到此项：HKEY_LOCAL31ACHINE/System/z CurrentControlSet/Control/Terminal Server/WinStations/RDP-Tcp,找到u PortNumber ” 子项，您会看到值00000D3D,它是3389的十六进制表示形式。

使用十六进制数值修改此端口号，并保存新值。

禁用不必要的服务不但可以降低服务器的资源占用减轻负担，而且可以增强安全性。

下而列出了igmplevel reg_dword 0x0（默认值为 0x2）5.8设置arp缓存老化时间设置hkey_local_machine/system/z currentcontrolset/services:/tcpip/parametersarpcachelife reg_dword 0-0xffffffff （秒数，默认值为 120 秒）arpcacheminreferencedlife reg_dword O-Oxffffffff （秒数，默认值为 600）5. 9禁止死网关监测技术hkey_local_machine/system/'currentcontrolset/services: /1 cp i p/par ame t er s enabledeadgwdetect reg_dword 0x0（默认值为 oxi）5. 10不支持路由功能hkey_local_machine/system/z currentcontrolset/services:/tcpip/parametersipenablerouter reg_dword 0x0（默认值为 0x0）6.禁用服务：•Application Experience Lookup Service•Automatic Updates•BITS•Computer Browser•DHCP Client•Error Reporting Service•Help and Support•Network Location Awareness•Print Spooler•Remote Registry•Secondary Logon•Server•Smartcard•TCP/IP NetBIOS Helper•Workstation•Windows Audio•Windows Time•Wireless Configuration7.解除NetBios与TCP/IP协议的绑立控制面版一一网络一一绑左一一NetBios接口一一禁用2000：控制而版一一网络和拨号连接一一本地网络一一属性一一TCP/IP一一属性一一高级一一WINS一一禁用TCP/IP上的NETBIOS8.使用tcp/ip筛选在网络连接的协议里启用TCP/IP筛选，仅开放必要的端口（如80）设置设置逻辑后台智能传输服务（bits）服务器扩展启用bits是windows updates和"自动更新"所使用的后台文件传输机制。

如果使用 windows updates或"自动更新"在iis服务器中自动应用service pack和热修补程序，则必须有该组件。

公用文件启用iis需要这些文件，一左要在iis服务器中启用它们。

文件传输协议（ftp）服务禁用允许iis服务器提供ftp服务。