Windows Server 2008 R2 安全加固

0x00 简介

　　安全加固是企业安全中及其重要的一环，其主要内容包括账号安全、认证授权、协议安全、审计安全四项，这篇博客简单整理一下Windows Server 2008 R2的安全加固方案。

0x01 账号安全

　　这一部分主要是对账号进行加固。

账号管理

　　运行->compmgmt.msc（计算机管理）->本地用户和组。

　　1.删除不用的账号，系统账号所属组是否正确。

　　2.确保guest账号是禁用状态。

　　3.修改管理员账户名，不要用administrator。

　　4.创建陷阱administrator，权限设置为最低

口令管理

　　运行->secpol.msc （本地安全策略）->安全设置

　　1.账户策略->密码策略

　　密码必须符合复杂性要求：启用

　　密码长度最小值：8个字符

　　密码最短使用期限：0天

　　密码最长使用期限：90天

　　强制密码历史：1个记住密码

　　用可还原的加密来存储密码：已禁用

　　2.本地策略->安全选项

　　交互式登录：不显示最后的用户名：启用

　　/* 运行->gpupdate /force立即生效 */

远程访问　

　　核心：高强度密码+默认端口修改

　　1.控制面板——windows防火墙——高级设置——入站规则——新建规则——端口——特定端口tcp（如13688）——允许连接 2.完成以上操作之后右击该条规则作用域——本地ip地址——任何ip地址——远程ip地址——下列ip地址—— 添加管理者ip 同理其它端口可以通过此功能对特定网段屏蔽（如80端口）。

　　请注意：不是专线的网络的IP地址经常变，不适合限定IP。

　　2.运行regedit 2.[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\Wds \rdpwd\Tds \tcp] 和 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\TerminalServer\WinStations\RDP-TCP]，看见PortNamber值了吗？其默认值是3389，修改成所希望的端口即可，例如13688

　　3.[HKEY_LOCAL_MACHINE\SYSTEM\CurrentContro1Set\Control\Tenninal Server\WinStations\ RDP\Tcp]，将PortNumber的值（默认是3389）修改成端口13688（自定义）。

　　4.重新启动电脑，以后远程登录的时候使用端口13688就可以了。

0x02 认证授权

　　认证授权主要是验证你是谁，你能够做什么。

权限检查

　　鼠标右键磁盘驱动器->属性->安全，查看每个系统驱动器根目录是否设置为Everyone有所有权限

　　删除Everyone的权限或者取消Everyone的写权限

授权管理

　　进入“控制面板->管理工具->本地安全策略”，在“本地策略->用户权利指派”:

　　把“关闭系统”设置为“只指派给Administrators组”

　　把 “从远端系统强制关机”设置为“只指派Administrators组”

　　设置“取得文件或其它对象的所有权”设置为“只指派给Administrators组

NTFS权限管理

　　NTFS权限是基于文件的,既可以在文件夹上设置也可以在文件上设置，NTFS权限必须是NTFS文件系统,否则不起作用。具体加固方式：

1. C盘只给administrators 和system权限，其他的权限不给，其他的盘也可以这样设置（web目录权限依具体情况而定）
2. 这里给的system权限也不一定需要给，只是由于某些第三方应用程序是以服务形式启动的，需要加上这个用户，否则造成启动不了。
3. Windows目录要加上给users的默认权限，否则ASP和ASPX等应用程序就无法运行（如果你使用IIS的话，要引用windows下的dll文件）。
4. c:/user/ 只给administrators 和system权限

0x03 协议服务安全

　　协议和服务加固主要阻止入侵者远程获取服务器的权限。

禁用ping

　　也就是关闭ICMP，在服务器的控制面板中打开windows防火墙 ，点击高级设置：点击 入站规则 ——找到 文件和打印机共享(回显请求 - ICMPv4-In) ，启用此规则即是开启ping，禁用此规则IP将禁止其他客户端ping通，但不影响TCP、UDP等连接。

关闭139端口　

　　网络连接->本地连接->属性->Internet协议版本 4->属性->高级->WINS->禁用TCP/IP上的NetBIOS。

　　说明：关闭此功能，你服务器上所有共享服务功能都将关闭，别人在资源管理器中将看不到你的共享资源。这样也防止了信息的泄露。

关闭445端口　　

　　445端口是netbios用来在局域网内解析机器名的服务端口，一般服务器不需要对LAN开放什么共享，所以可以关闭。

　　修改注册表：HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NetBT\Parameters，则更加一个Dword项：SMBDeviceEnabled，值：0

关闭5355端口

　　5355端口的服务是LLMNR。本地链路多播名称解析，也叫多播DNS，用于解析本地网段上的名称，没啥用但还占着5355端口。

　　使用组策略关闭，运行->gpedit.msc->计算机配置->管理模板->网络->DNS客户端->关闭多播名称解析->启用

关闭不必要的服务　

　　“Win+R”键调出“运行”->services.msc，以下服务改为禁用：

　　Application  Layer Gateway Service（为应用程序级协议插件提供支持并启用网络/协议连接）

　　Background  Intelligent Transfer Service（利用空闲的网络带宽在后台传输文件。如果服务被停用，例如Windows Update 和 MSN Explorer的功能将无法自动下载程序和其他信息）

　　Computer Browser（维护网络上计算机的更新列表，并将列表提供给计算机指定浏览）

　　DHCP Client

　　Diagnostic Policy Service

　　Distributed Transaction Coordinator

　　DNS Client

　　Distributed Link Tracking Client

　　Remote Registry（使远程用户能修改此计算机上的注册表设置）

　　Print Spooler（管理所有本地和网络打印队列及控制所有打印工作）

　　Server（不使用文件共享可以关闭，关闭后再右键点某个磁盘选属性，“共享”这个页面就不存在了）

　　Shell Hardware Detection

　　TCP/IP NetBIOS Helper（提供 TCP/IP (NetBT) 服务上的NetBIOS 和网络上客户端的NetBIOS 名称解析的支持，从而使用户能够共享文件、打印和登录到网络）

　　Task Scheduler（使用户能在此计算机上配置和计划自动任务）

　　Windows Remote Management(47001端口，Windows远程管理服务，用于配合IIS管理硬件，一般用不到)

　　Workstation（创建和维护到远程服务的客户端网络连接。如果服务停止，这些连接将不可用）

0x04 审计安全

　　日志就是计算机系统、设备、软件等在某种情况下记录的信息。具体的内容取决于日志的来源。

增强日志

　　“Win+R”键调出“运行”->eventvwr.msc ->“windows日志”->查看“应用程序”“安全”“系统”的属性

　　建议设置：

　　日志上限大小：20480 KB

日志审核

　　“Win+R”键调出“运行”->secpol.msc ->安全设置->本地策略->审核策略

　　建议设置：

　　审核策略更改：成功

　　审核登录事件：成功，失败

　　审核对象访问：成功

　　审核进程跟踪：成功，失败　　

　　审核目录服务访问：成功，失败

　　审核系统事件：成功，失败

　　审核帐户登录事件：成功，失败

　　审核帐户管理：成功，失败

　　/*运行->gpupdate /force立即生效*/