Windows 服務器系統安全防禦加固方法

• 更新：
  2017-06-01 19:24

windows服務器安全加固方案，該方案主要針對windows server 2008 r2，當然對於2012等其他系統也是適用的。

1. 1
   刪除無用賬戶：
   使用Win+R鍵調出運行，輸入compmgmt.msc->本地用戶和組，刪除不用的賬戶
   確保guest賬戶處於禁用狀態，修改管理員默認用戶名administrator為其他。
2. 2
   增強口令策略:
   使用Win+R鍵調出運行，輸入secpol.msc->安全設置
   1.安全策略->密碼策略
   密碼必須符合復雜性要求：啟用
   密碼長度最小值：8個字符
   密碼最短使用期限：0天
   密碼最長使用期限：90天
   強制密碼歷史：1個記住密碼
   用可還原的加密來存儲密碼：已禁用
   2.本地策略->安全選項
   交互式登錄：不顯示最後的用戶名：啟用
3. 3
   關閉不需要的服務：
   使用Win+R鍵調出運行，輸入services.msc.禁用以下服務：
   Application Layer Gateway Service
   Background Intelligent Transfer Service
   Computer Browser
   DHCP Client
   Diagnostic Policy Service
   Distributed Transaction Coordinator
   DNS Client
   Distributed Link Tracking Client
   Remote Registry
   Print Spooler
   Server
   Shell Hardware Detection
   TCP/IP NetBIOS Helper
   Windows Remote Management
4. 4
   關閉netbios服務（關閉139端口）：
   網絡連接->本地連接->屬性->Internet協議版本 4->屬性->高級->WINS->禁用TCP/IP上的NetBIOS。
   說明：關閉此功能，你服務器上所有共享服務功能都將關閉，別人在資源管理器中將看不到你的共享資源。這樣也防止了信息的泄露。
5. 5
   關閉網絡文件和打印共享：網絡連接->本地連接->屬性，把除了"Internet協議版本 4"以外的東西都勾掉。
6. 6
   關閉IPV6：
   先關閉網絡連接->本地連接->屬性->Internet協議版本 6 (TCP/IPv6)
   然後再修改註冊表：HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip6\Parameters，增加一個Dword項，名字：DisabledComponents，值：ffffffff（十六位的8個f）
7. 7
   關閉microsoft網絡客戶端（關閉445端口）
   445端口是netbios用來在局域網內解析機器名的服務端口，一般服務器不需要對LAN開放什麽共享，所以可以關閉。
   修改註冊表：HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NetBT\Parameters，則更加一個Dword項：SMBDeviceEnabled，值：0
8. 8
   關閉LLMNR（關閉5355端口）
   使用組策略關閉，運行->gpedit.msc->計算機配置->管理模板->網絡->DNS客戶端->關閉多播名稱解析->啟用
9. 9
   增加網絡訪問限制：
   使用Win+R鍵調出運行，輸入secpol.msc->安全設置->本地策略->安全選項:
   網絡訪問: 不允許 SAM 帳戶的匿名枚舉：已啟用
   網絡訪問: 不允許 SAM 帳戶和共享的匿名枚舉：已啟用
   網絡訪問: 將 Everyone權限應用於匿名用戶：已禁用
   帳戶: 使用空密碼的本地帳戶只允許進行控制臺登錄：已啟用
10. 10
    修改3389遠程訪問默認端口：
    1.防火�暀仇]置
    1.控制面板——windows防火�晼X—高級設置——入站規則——新建規則——端口——特定端口tcp（如13688）——允許連接 2.完成以上操作之後右擊該條規則作用域——本地ip地址——任何ip地址——遠程ip地址——下列ip地址—— 添加管理者ip 同理其它端口可以通過此功能對特定網段屏蔽（如80端口）。
    2.運行regedit 2.[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\Wds \rdpwd\Tds \tcp] 和 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\TerminalServer\WinStations\RDP-TCP]，看見PortNamber值了嗎？其默認值是3389，修改成所希望的端口即可，例如13688
    3.[HKEY_LOCAL_MACHINE\SYSTEM\CurrentContro1Set\Control\Tenninal Server\WinStations\ RDP\Tcp]，將PortNumber的值（默認是3389）修改成端口13688（自定義）。
11. 11
    給Everyone降權：
    鼠標右鍵系統驅動器（磁盤）->"屬性"->"安全"，查看每個系統驅動器根目錄是否設置為Everyone有所有權限
    刪除Everyone的權限或者取消Everyone的寫權限
12. 12
    增加日誌審計：
    使用Win+R鍵調出運行，輸入secpol.msc ->安全設置->本地策略->審核策略
    建議設置：
    審核策略更改：成功
    審核登錄事件：成功，失敗
    審核對象訪問：成功
    審核進程跟蹤：成功，失敗
    審核目錄服務訪問：成功，失敗
    審核系統事件：成功，失敗
    審核帳戶登錄事件：成功，失敗
    審核帳戶管理：成功，失敗
13. 13
    關閉ICMP
    在服務器的控制面板中打開 windows防火�� ， 點擊 高級設置->點擊 入站規則 ——找到 文件和打印機共享(回顯請求 - ICMPv4-In) ，啟用此規則即是開啟ping，禁用此規則IP將禁止其他客戶端ping通，但不影響TCP、UDP等連接。
    
14. 14
    IIS配置為不返回詳細錯誤信息：
    編輯web.config<customErrors>標記的"mode"屬性不能設置為"Off"，這樣用戶能看到異常詳情。並在IIS角色服務中去掉目錄瀏覽、 ASP、CGI、在服務器端包含文件。

本文出自 "天馬行空" 博客，請務必保留此出處http://techmc.blog.51cto.com/740121/1981423