今天小編跟大家講解下有關科技常識：WINDOWS server 2008 r2,win2012 r2 服務器安全加固實戰，相信小伙伴們對這個話題應該也很關注吧，小編也收集到了有關科技常識：WINDOWS server 2008 r2,win2012 r2 服務器安全加固實戰的相關資料，希望小伙伴會喜歡也能夠幫助大家。

　　主機安全

　　啟用防火墻阿里云windows Server 2008 R2默認居然沒有啟用防火墻。2012可能也是這樣的，不過這個一定要檢查!

　　補丁更新啟用windows更新服務，設置為自動更新狀態，以便及時打補丁。不要用360了，360安全衛士不支持2008補丁的安裝

　　阿里云windows Server 2008 R2默認為自動更新狀態，2012可能也是這樣的，不過這個一定要檢查!

　　賬號口令

　　優化賬號

　　操作目的

　　減少系統無用賬號，降低風險

　　加固方法

　　“Win+R”鍵調出“運行”->compmgmt.msc(計算機管理)->本地用戶和組。

　　1、刪除不用的賬號，系統賬號所屬組是否正確。云服務剛開通時，應該只有一個administrator賬號和處于禁用狀態的guest賬號;

　　2、確保guest賬號是禁用狀態

　　3、買阿里云時，管理員賬戶名稱不要用administrator

　　備注

　　口令策略

　　操作目的

　　增強口令的復雜度及鎖定策略等，降低被暴力破解的可能性

　　加固方法

　　“Win+R”鍵調出“運行”->secpol.msc (本地安全策略)->安全設置

　　1、賬戶策略->密碼策略

　　密碼必須符合復雜性要求：啟用

　　密碼長度最小值：8個字符

　　密碼最短使用期限：0天

　　密碼最長使用期限：90天

　　強制密碼歷史：1個記住密碼

　　用可還原的加密來存儲密碼：已禁用

　　2、本地策略->安全選項

　　交互式登錄：不顯示最后的用戶名：啟用

　　備注

　　“Win+R”鍵調出“運行”->gpupdate /force立即生效

　　網絡服務

　　優化服務(1)

　　操作目的

　　關閉不需要的服務，減小風險

　　加固方法

　　“Win+R”鍵調出“運行”->services.msc，以下服務改為禁用：

　　Application Layer Gateway Service(為應用程序級協議插件提供支持并啟用網絡/協議連接)

　　Background Intelligent Transfer Service(利用空閑的網絡帶寬在后臺傳輸文件。如果服務被停用，例如Windows Update和MSN Explorer的功能將無法自動下載程序和其他信息)

　　Computer Browser(維護網絡上計算機的更新列表，并將列表提供給計算機指定瀏覽)

　　DHCP Client

　　Diagnostic Policy Service

　　Distributed Transaction Coordinator

　　DNS Client

　　Distributed Link Tracking Client

　　Remote Registry(使遠程用戶能修改此計算機上的注冊表設置)

　　Print Spooler(管理所有本地和網絡打印隊列及控制所有打印工作)

　　Server(不使用文件共享可以關閉，關閉后再右鍵點某個磁盤選屬性，“共享”這個頁面就不存在了)

　　Shell Hardware Detection

　　TCP/IP NetBIOS Helper(提供TCP/IP (NetBT)服務上的NetBIOS和網絡上客戶端的NetBIOS名稱解析的支持，從而使用戶能夠共享文件、打印和登錄到網絡)

　　Task Scheduler(使用戶能在此計算機上配置和計劃自動任務)

　　Windows Remote Management(47001端口，Windows遠程管理服務，用于配合IIS管理硬件，一般用不到)

　　Workstation(創建和維護到遠程服務的客戶端網絡連接。如果服務停止，這些連接將不可用)

　　備注

　　用服務需謹慎，特別是遠程計算機

　　優化服務(2)

　　在"網絡連接"里，把不需要的協議和服務都移除 去掉Qos數據包計劃程序

　　關閉Netbios服務(關閉139端口)

　　網絡連接->本地連接->屬性->Internet協議版本 4->屬性->高級->WINS->禁用TCP/IP上的NetBIOS。

　　說明：關閉此功能，你服務器上所有共享服務功能都將關閉，別人在資源管理器中將看不到你的共享資源。這樣也防止了信息的泄露。

　　Microsoft網絡的文件和打印機共享

　　網絡連接->本地連接->屬性，把除了“Internet協議版本 4”以外的東西都勾掉。

　　ipv6協議

　　先關閉網絡連接->本地連接->屬性->Internet協議版本 6 (TCP/IPv6)

　　然后再修改注冊表：HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip6\Parameters，增加一個Dword項，名字：DisabledComponents，值：ffffffff(十六位的8個f)

　　重啟服務器即可關閉ipv6

　　microsoft網絡客戶端(主要是為了訪問微軟的網站)

　　關閉445端口445端口是netbios用來在局域網內解析機器名的服務端口，一般服務器不需要對LAN開放什么共享，所以可以關閉。

　　修改注冊表：HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NetBT\Parameters，則更加一個Dword項：SMBDeviceEnabled，值：0

　　關閉LLMNR(關閉5355端口)什么是LLMNR?本地鏈路多播名稱解析，也叫多播DNS，用于解析本地網段上的名稱，沒啥用但還占著5355端口。

　　使用組策略關閉，運行->gpedit.msc->計算機配置->管理模板->網絡->DNS客戶端->關閉多播名稱解析->啟用

　　網絡限制

　　操作目的

　　網絡訪問限制

　　加固方法

　　“Win+R”鍵調出“運行”->secpol.msc ->安全設置->本地策略->安全選項

　　網絡訪問: 不允許 SAM 帳戶的匿名枚舉：已啟用

　　網絡訪問: 不允許 SAM 帳戶和共享的匿名枚舉：已啟用

　　網絡訪問: 將 Everyone權限應用于匿名用戶：已禁用

　　帳戶: 使用空密碼的本地帳戶只允許進行控制臺登錄：已啟用

　　備注

　　“Win+R”鍵調出“運行”->gpupdate /force立即生效

　　遠程訪問

　　一定要使用高強度密碼

　　更改遠程終端默認端口號

　　步驟：

　　1.防火墻中設置

　　1.控制面板――windows防火墻――高級設置――入站規則――新建規則――端口――特定端口tcp(如13688)――允許連接 2.完成以上操作之后右擊該條規則作用域――本地ip地址――任何ip地址――遠程ip地址――下列ip地址―― 添加管理者ip 同理其它端口可以通過此功能對特定網段屏蔽(如80端口)。

　　請注意：不是專線的網絡的IP地址經常變，不適合限定IP。

　　2.運行regedit 2.[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\Wds \rdpwd\Tds \tcp] 和 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\TerminalServer\WinStations\RDP-TCP]，看見PortNamber值了嗎?其默認值是3389，修改成所希望的端口即可，例如13688

　　3.[HKEY_LOCAL_MACHINE\SYSTEM\CurrentContro1Set\Control\Tenninal Server\WinStations\ RDP\Tcp]，將PortNumber的值(默認是3389)修改成端口13688(自定義)。

　　4.重新啟動電腦，以后遠程登錄的時候使用端口13688就可以了。

　　文件系統

　　檢查Everyone權限

　　操作目的

　　增強Everyone權限

　　加固方法

　　鼠標右鍵系統驅動器(磁盤)->“屬性”->“安全”，查看每個系統驅動器根目錄是否設置為Everyone有所有權限

　　刪除Everyone的權限或者取消Everyone的寫權限

　　備注

　　NTFS權限設置

　　注意：

　　1、2008 R2默認的文件夾和文件所有者為TrustedInstaller，這個用戶同時擁有所有控制權限。 2、注冊表同的項也是這樣，所有者為TrustedInstaller。 3、如果要修改文件權限時應該先設置 管理員組 administrators 為所有者，再設置其它權限。 4、如果要刪除或改名注冊表，同樣也需先設置 管理員組 為所有者，同時還要應該到子項，直接刪除當前項還是刪除不掉時可以先刪除子項后再刪除此項。

　　步驟：

　　C盤只給administrators 和system權限，其他的權限不給，其他的盤也可以這樣設置(web目錄權限依具體情況而定) 這里給的system權限也不一定需要給，只是由于某些第三方應用程序是以服務形式啟動的，需要加上這個用戶，否則造成啟動不了。 Windows目錄要加上給users的默認權限，否則ASP和ASPX等應用程序就無法運行(如果你使用IIS的話，要引用windows下的dll文件)。 c:/user/ 只給administrators 和system權限

　　日志和授權

　　增強日志

　　操作目的

　　增大日志量大小，避免由于日志文件容量過小導致日志記錄不全

　　加固方法

　　“Win+R”鍵調出“運行”->eventvwr.msc ->“windows日志”->查看“應用程序”“安全”“系統”的屬性

　　建議設置：

　　日志上限大小：20480 KB

　　Windows server 2008 R2默認就是這樣設置的

　　備注

　　增強審核

　　操作目的

　　對系統事件進行審核，在日后出現故障時用于排查故障

　　加固方法

　　“Win+R”鍵調出“運行”->secpol.msc ->安全設置->本地策略->審核策略

　　建議設置：

　　審核策略更改：成功

　　審核登錄事件：成功，失敗

　　審核對象訪問：成功

　　審核進程跟蹤：成功，失敗

　　審核目錄服務訪問：成功，失敗

　　審核系統事件：成功，失敗

　　審核帳戶登錄事件：成功，失敗

　　審核帳戶管理：成功，失敗

　　備注

　　“Win+R”鍵調出“運行”->gpupdate /force立即生效

　　授權

　　進入“控制面板->管理工具->本地安全策略”，在“本地策略->用戶權利指派”:

　　把“關閉系統”設置為“只指派給Administrators組”

　　把 “從遠端系統強制關機”設置為“只指派Administrators組”

　　設置“取得文件或其它對象的所有權”設置為“只指派給Administrators組

　　攻擊保護關閉ICMP

　　也就是平時說的PING，讓別人PING不到服務器，減少不必要的軟件掃描麻煩。

　　在服務器的控制面板中打開 windows防火墻 ， 點擊 高級設置：

　　點擊 入站規則 ――找到 文件和打印機共享(回顯請求 - ICMPv4-In) ，啟用此規則即是開啟ping，禁用此規則IP將禁止其他客戶端ping通，但不影響TCP、UDP等連接。

　　應用服務安全

　　IISweb.config配置不能返回詳細的應用異常

　　標記的“mode”屬性不能設置為“Off”，這樣用戶能看到異常詳情。

　　在IIS角色服務中去掉目錄瀏覽、 ASP、CGI、在服務器端包含文件

　　IIS用戶

　　匿名身份驗證不能使用管理員賬號，得使用普通用戶賬號。