账号安全:更改管理员账号

更改账户名:

      以Administrator账户登录本地计算机,开始->运行->compmgmt.msc(计算机管理)->本地用户和组->用户,右击Administrator账户并选择“重命名”,

      并输入新的账户名称就可以了,但尽量不要用admin 、guanliyuan之类的名称,否则账户安全性一样没有什么保障

windows server 2008系统加固_右键

 

禁用账户:

      开始->运行->compmgmt.msc(计算机管理)->本地用户和组->用户窗口中,右击Administrator,选择属性打开属性对话框,选中“账户已禁用”复选框,

确认,这样就将Administrator 禁用了。

 

 

删除无用的账户

 

   开始->运行->compmgmt.msc(计算机管理)->本地用户和组 -> 用户,然后选择要删除的用户,右键选择删除。

 

      在cmd下使用“net user 用户名 /del”命令删除账号。

 

      使用“net user 用户名 /active:no”命令锁定账号。

windows server 2008系统加固_右键_02

 

 

 

口令策略

      开始->运行->secpol.msc (本地安全策略)->安全设置->账户策略->密码策略

      密码必须符合复杂性要求启用,密码长度最小值至少为8,密码最长使用期限根据情况设定,不要设置太长。强制密码历史设置至少为5,当然可以设置更多。

windows server 2008系统加固_ip地址_03

 

 

 

账户锁定策略

      开始->运行->secpol.msc (本地安全策略)->安全设置->账户设置->账户锁定策略

      复位帐户锁定计数器、账户锁定时间设置为一分钟即可,账户锁定时间不宜设置太长,避免被人恶意攻击而造成自己无法登陆。帐户锁定阀值设置5次即可,不应设置太大。否则起不到好的效果。

windows server 2008系统加固_应用程序_04

 

 

 

文件系统安全:使用NTFS文件系统

 

      查看每个系统驱动器是否使用NTFS文件系统,如果不是,使用转换命令:convert <驱动器盘符>: /fs:ntfs 。

windows server 2008系统加固_应用程序_05

 

检查Everyone权限

      如果Everyone 组的用户具备完全控制权,则可以对该文件夹或者文件进行所有的文件操作,建议取消Everyone组的完全控制权限。

      查看每个系统驱动器根目录是否设置为Everyone有所有权限,删除Everyone的权限或者取消Everyone的写权限。

 windows server 2008系统加固_计算机管理_06

 

 

限制命令权限

卸载这些不安全组件。

      regsvr32 /u C:\WINDOWS\System32\wshom.ocx

      regsvr32 /u C:\WINDOWS\system32\shell32.dll

windows server 2008系统加固_计算机管理_07

 

 

 

 

 对一些命令做限制。建议对以下命令做限制,只允许system、Administrator组访问:

windows server 2008系统加固_计算机管理_08

 

 

网络服务安全

      关闭一些不必要的服务和端口,可以大大降低被入侵的风险。

      关闭不必要的服务:开始->运行->services.msc。

 

 

 关闭或屏蔽一些端口

 

      使用netstat 来查看端口使用情况,加上 –a 选项显示所有的连接和监听端口,加上-n以后以数字形式显示地址和端口号

 

windows server 2008系统加固_右键_09

 

 

 

 网络限制

      开始->运行->secpol.msc ->安全设置->本地策略->安全选项,然后选中要更改的项目,右键-> 属性  进行更改,进行一下设置:

      windows server 2008系统加固_计算机管理_10

 

设置完以后,执行gpupdate /force 使策略立即生效。  

 

 

windows server 2008系统加固_ip地址_11

 

 

 

 

 

日志及审计的安全性

      Windows Server 2008 系统日志包括:

      1、应用程序日志。应用程序日志包含由应用程序或系统程序记录的时间。

      2、安全日志。安全日志记录着有效和无效的登陆事件,以及与文件操作的其他事件。

      3、系统日志。系统日志包含Windows 系统组件记录的事件。

      4、安装程序日志。安装程序日志,记录在系统安装或者安装微软公司产品时,产生的日志。

      在cmd输入eventvwr.msc 来打开事件查看器

windows server 2008系统加固_文件系统_12

 

 

 

 

 通过查看日志,能够发现登录异常等情况来判断自己有没有被入侵或攻击。系统默认的日志量较小,应该增大日志量大小,

避免由于日志文件容量过小导致日志记录不全。右击要设置的日志类型,选择属性。

 

 

  增强审核

 

      对系统事件进行审核,在日后出现故障时用于排查故障。

 

      开始->运行->secpol.msc ->安全设置->本地策略->审核策略(操作与网络限制差不多)

 

      建议设置

 

      windows server 2008系统加固_计算机管理_13

 

补丁管理

 

 

 

 

思考题:

除了上面的讲到的,还有哪些加固的方法?(参考自:https://blog.csdn.net/GGxiaobai/article/details/53896062)

1:ipsec策略

以远程终端为例1.控制面板——windows防火墙——高级设置——入站规则——新建规则——端口——特定端口tcp(如3389)——允许连接 2.完成以上操作之后右击该条规则作用域——本地ip地址——任何ip地址——远程ip地址——下列ip地址—— 添加管理者ip 同理其它端口可以通过此功能对特定网段屏蔽(如80端口)

2:关闭文件和打印机共享

直接停止“server”服务,并设置为禁用,重启后再右键点某个磁盘选属性,“共享”这个页面就不存在了。

3:关掉IPv6