当前位置: 爱符号 - 所有分类 - 资源共享 - 文档 - 系统/安全 - [系统安全]让你的 Windows 2008 快速进入城堡模式
[系统安全]让你的 Windows 2008 快速进入城堡模式 [XiTongAnQuan]RangNiDe Windows 2008 KuaiSuJinRuChengBaoMoShi
符号空间 发表于:2012-10-22 12:34:18 阅读(2565)
关键词:win2008 win2008 Windows Windows 2008 2008 系统安全 系统安全
摘要:这是本人某次部署Windows 2008 数据中心的时候,在网上搜索了很多安全方面的文章,然后做了一个总结。 看不懂的请回复,或者直接跳过,觉得没有用或用不上也请跳过,网上写的都很杂,所以我就直接写了怎么操作就OK了。 1、禁止恶意程序“不请自来” gpedit.msc “计算机配置”

这是本人某次部署Windows 2008 数据中心的时候,在网上搜索了很多安全方面的文章,然后做了一个总结。

看不懂的请回复,或者直接跳过,觉得没有用或用不上也请跳过,网上写的都很杂,所以我就直接写了怎么操作就OK了。


1、禁止恶意程序“不请自来”

gpedit.msc
“计算机配置”
“管理模板”/“Windows组件”/“Internet Explorer”/“安全功能”/“限制文件下载”,
在右侧“Internet Explorer进程”右键 - “属性”;选中“已启用”,单击“确定”

2、对重要文件夹进行安全审核
gpedit.msc
“计算机配置”
“Windows设置”/“安全设置”/“本地策略”/“审核策略”,
在右侧“审核对象访问”右键 - “属性”;选中“成功”和“失败”,单击“确定”



3、禁止改变本地安全访问级别
gpedit.msc
“用户配置”
“管理模板”/“Windows组件”/“Internet Explorer”/“Internet控制模板”,
在右侧“禁用安全页”右键 - “属性”;选中“已启用”,单击“确定”
-------------
“管理模板”/“Windows组件”/“Internet Explorer”/“浏览器菜单”
在右侧禁用“Internet选项”右键 - “属性”;选中“已启用”,单击“确定”


4、禁止超级账号名称被偷窃
gpedit.msc
“计算机配置”
“Windows设置”/“安全设置”/“本地策略”/“安全选项”
在右侧“网络访问:允许匿名SID/名称转换”右键 - “属性”;选中“已禁用”,单击“确定”


5、禁止U盘病毒“趁虚而入”
gpedit.msc
“用户配置”
“管理模板”/“系统”/“可移动存储”
在右侧“可移动磁盘:拒绝读取权限”;选中“已启用”,单击“确定”


6、禁止来自程序的漏洞攻击
gpedit.msc
“计算机配置”
“Windows设置”/“安全设置”/“高级安全Windows防火墙”
/“高级安全Windows防火墙——本地组策略对象”
“入站规则”右键 - “属性”;
规则类型:程序, 选中“此程序路径”,单击“浏览”按钮, 将存在明显漏洞的目标应用程序选中
选中“阻止连接”,最后再设置好新建规则的名称,并单击 “完成”按钮

iis7,mssql,notepad,cmd
后期安装的程序:第三方和本公司开发。


7、让漏洞补丁及时打
建议不要使用系统自带的更新,推荐使用金山卫士,可以考虑定期手动更新。

services.msc
服务"Windows Update",右键 - “属性”;单击"启动"按钮,设置"自动",单击"确定"
"开始"/"所有程序"/"Windows Update",单击"将Windows设置为自动安装更新"选项,
更新时间修改设置成中午或下班休息的时候


8、全力围剿流氓程序
"开始"/"所有程序"/"Windows Defender";单击该界面中的"立即检查更新"按钮,
菜单栏中单击"扫描"/"完全扫描"
 提示窗口:" 全部删除"


9、阻止恶意Ping攻击
"开始"/"所有程序"/"管理工具"/"高级安全Windows防火墙"
左侧"入站规则",在右侧单击"新规则",选中"自定义"类型,选中"所有程序",
协议类型选中"ICMPv4",本地端口以及远程端口参数全部设置为"所有端口",
匹配任何IP地址,选中"阻止连接"单击“确定”


10、加强系统安全提示
"开始"/"运行",输入"msconfig",单击"确定"
单击"工具"标签,单击"启动" 按钮,
最后单击"确定"按钮并重新启动一下Windows Server 2008系统


11、禁止实施网络破坏
gpedit.msc
“计算机配置”
“Windows设置”/“安全设置”/“本地策略”/“用户权限分配”
在右侧“从网络访问此计算机”双击
删除这里所有的用户账号,建议设定 Administrators 用户组


12、加强连接安全保护
gpedit.msc
“计算机配置”
"管理模板"/"网络"/"网络连接"/"Windows防火墙"/"标准配置文件"
在右侧“Windows防火墙:保护所有网络连接”双击,选中“已启用”,单击“确定”


13、及时发现危险登录
gpedit.msc
"计算机配置"
"管理模板"、"Windows组件"、"Windows登录选项"
在右侧"在用户登录期间显示有关以前登录的信息"双击,选中“已启用”,单击“确定”


14、预防账号突然丢失
"开始"/"运行",输入"credwiz",单击"确定"
选中该向导窗口中的"备份存储的用户名和密码",并依照屏幕提示单击"下一步"按钮,
之后单击"浏览"按钮,在弹出的文件保存对话框中,
设置好系统账号备份文件的保存位置以及名称信息,再单击"保存"按钮,
那样一来Windows Server 2008系统中的所有账号信息就能保存到指定的crd备份文件中了

-----------以下是别人写的废话--------------
其实,Windows Server 2008系统的备份功能十分强大,
我们可以使用该功能所心所欲地设置备份方式、备份内容等。
例如,要备份系统安装分区时,我们可以按照如下步骤来进行:

首先以超级权限进入Windows Server 2008系统桌面,
打开系统的"开始"菜单,从中逐一点选"程序"、"管理工具"、"Windows Server Backup"选项,
打开系统的Windows Server Backup程序窗口,在该窗口中我们可以随心所欲地进行各种数据
备份操作;

其次在Windows Server Backup程序窗口的操作列表区域中,单击"备份计划"选项,
从其后出现的向导设置对话框中根据提示不停单击"下一步"按钮,
当向导提示询问我们要进行什么类型的配置时,我们可以选中"自定义"选项;
之后向导设置窗口又会要求我们选择备份项目,由于在这里我们只要备份系统安装分区,
为此我们只要选择系统安装分区选项就可以了,当然在选择备份项目的向导设置窗口中,
我们发现Windows Server 2008系统在默认状态下已经选中了系统安装分区,
并且这些分区的选中状态是不可取消的;

紧接着备份向导窗口要求我们指定备份时间,
默认状态下Windows Server 2008系统在每天的21:00进行一次备份操作;
如果保存在Windows Server 2008系统安装分区中的数据信息不停发生变化的时候,
我们可以选中这里的"每天多次"选项,之后从"可用时间"列表框中选择具体需要
进行备份操作的时间,再单击"添加"按钮,那么被指定的可用时间就会自动出现在
"已计划的时间"列表框中了;

继续单击"下一步"按钮后,备份向导窗口会要求我们选择目标磁盘并进行标记目标磁盘,
此时我们可以将支持IEEE1394接口或USB2.0接口的移动硬盘插入到Windows Server 2008系统中,
待到系统正确识别并安装好移动硬盘的驱动程序后,再将移动硬盘对应的分区符号选中,
之后依照向导提示对移动硬盘进行格式化操作,确保移动硬盘所在的磁盘分区格式必须为NTFS格式,
已经Windows Server 2008系统的安装分区也是NTFS格式;在完成移动硬盘的格式化操作后,
我们还需要进入标记目标磁盘向导页面,对每一个选择备份的磁盘进行标签设置操作,
这些设置的标签在系统恢复数据信息时将是我们非常重要的辨别手段;

再对上面设置的各项设置参数进行一次检查,看看有没有设置不当的地方,
一旦发现还存在错误设置时,我们还可以通过备份向导界面中的"上一步"按钮返回到对应设置页面,
对错误的参数进行重新修改,最后单击"备份"按钮,
Windows Server 2008系统就会自动将我们指定的系统安装分区备份保存到附加到本地计算机中
的外部移动硬盘中了
-------------------------


15、启用网络访问保护
“开始”、“程序”、“管理工具”、“服务器管理器”
左侧“角色”,右侧“添加角色”
单击“下一步”,选中“网络策略和访问服务”,选中“网络策略服务器”,再单击“安装”按钮


16、定义安全健康标准
“开始”、“程序”、“管理工具”、“服务器管理器”
左侧“角色”/“网络策略和访问服务”/“NPS”/“网络访问保护”/“系统健康验证器”
右侧单击“属性”,单击“配置”
选中“已为所有网络连接启用防火墙”、“防病毒应用程序已启用”、“防病毒程序为最新的”、
“已启用自动更新”等安全标准

为保证普通工作站接入网络的效率能降低要求的尽量降低要求


17、设置健康验证策略
“开始”、“程序”、“管理工具”、“服务器管理器”
左侧“角色”/“网络策略和访问服务”/“NPS”/“策略”/“健康策略”
右侧单击“新建”
在“策略名称”文本框中输入“安全工作站”,从“客户端SHV检查”列表中选择
“客户端通过了所有SHV检查”选项,之后将“此健康策略中使用的SHV”参数设置为
“Windows安全健康验证程序”,单击“确定”

同样地,我们还可以新建一个“不安全工作站”的验证策略,
在新建该策略时只要从“客户端SHV检查”列表中选中
“客户端未能通过一个或多个SHV检查”选项,同时其他设置保持不变就可以了。


18、设置网络控制策略
“开始”、“程序”、“管理工具”、“服务器管理器”
左侧“角色”/“网络策略和访问服务”/“NPS”/“策略”/“网络策略”
右侧单击“新建”
在“策略名称”文本框中输入“安全连接”,
“网络访问服务器类型”参数设置为“DHCP Server”,单击“下一步”,
单击“添加”,选中“安全工作站”,
依照提示依次选中“已授予访问权限”、“仅执行计算机健康检查”选项,
最后从“策略设置”列表中选中“NAP强制允许完全网络访问”选项,
再单击“完成”按钮完成网络控制策略设置任务

同样地,我们还需要创建一个“不安全连接”的控制策略,
在进行这种策略创建操作时,我们只要从“选择条件”列表中选中之前定义好的
“不安全工作站”策略,同时选中“拒绝访问”选项,其余参数跟上面几乎一样,
最后再单击“完成”按钮就可以了。


19、设置DHCP服务参数
DHCP服务器控制台窗口,再进入目标作用域的属性设置对话框,
打开“网络访问保护”标签设置页面,将其中的“对此作用域启用”项目选中,
同时将“使用默认网络访问保护配置文件”项目也选中,
最后单击”确定“按钮保存好上述设置操作就好了。


20、让你的Win2008更安全 限制匿名访问
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA
RestrictAnonymous=1
解释:
0 依赖于默认权限
1 不允许枚举SAM 帐户和名称
2 没有显式匿名权限就无法访问,同时Vista地带提醒您在域控制器DC中需要注意的

当基于 Windows 2000/2003/2008 的域控制器上的 RestrictAnonymous 注册表值被设置为 2 时,
下列任务受到限制: ? 下级成员工作站或服务器无法建立 netlogon 安全通道。

? 信任域中的下级域控制器无法建立 netlogon 安全通道。
? Microsoft Windows NT 用户在密码过期后无法更改密码。此外,Macintosh 用户根本不能更改他们的密码。
? 浏览器服务无法从在 RestrictAnonymous 注册表值设置为 2 的计算机上运行的备份浏览器、
主浏览器或域主浏览器中检索域列表或服务器列表。因此,
所有依赖浏览器服务的程序都无法正常工作。

由于上述结果,建议您不要在包括下级客户端的混合模式环境中将 RestrictAnonymous
注册表值设置为 2。只有在 Windows 2000/2003/2008 环境下,
并且只有当进行了充分的质量保证测试以证实适当的服务级别和程序功能继续保持之后,
才应考虑将 RestrictAnonymous 注册表值设置为 2。

 
21、拒绝修改防火墙安全规则
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\SharedAccess\Parameters\
FirewallPolicy\FirewallRules
限制Everyone帐号来访问FirewallRules注册表子项
“完全控制”权限调整为“拒绝”,


22、及时监控系统账号恶意创建
“开始”/ “运行”命令,执行“secpol.msc”命令
左侧“安全设置”、“本地策略”、“审核策略”,
找到“审核帐户管理”组策略选项,打开设置对话框,
将该对话框中的“成功”、“失败”选项全部选中,单击 “确定”;

右键单击Win2008桌面中的“计算机”- 点选“管理”命令,打开对应系统的计算机管理对话框,
在该对话框的左侧显示区域依次点选“服务器管理器”/“配置”/“本地用户和组”/“用户”选项,
同时用鼠标右键单击该选项,并执行快捷菜单中的“新用户”命令,在其后出现的新用户创建对话框中,随意创建一个用户账号,一旦创建成功后,系统就会自动生成一个登录账号创建成功日志记录;

接着依次单击“开始”/“程序”/“管理工具”/“事件查看器”选项,
打开事件查看器控制台窗口,从该控制台窗口的左侧位置处依次点选“Windows日志”/“系统”
分支选项,并从目标分支下面找到刚刚生成的新用户账号创建成功的日志记录,
再用鼠标右键单击该记录选项,同时执行右键菜单中的“将任务附加到此事件”命令,
打开创建基本任务向导对话框;

按照向导提示将基本任务名称设置为“账号创建报警”,将该任务执行的操作设置为
“显示消息”,之后设置消息标题为“谨防账号被恶意创建”,将消息内容设置为
“有新用户账号刚刚被创建,请系统管理员立即验证其合法性”,最后单击“完成”
按钮结束基本任务的附加操作,如此一来日后本地Win2008系统中有新的用户账号被偷偷创建时,
系统屏幕上会立即出现“有新用户账号刚刚被创建,请系统管理员立即验证其合法性”
这样的提示信息,看到这样的提示系统管理员就能及时监控到有人在偷偷创建用户账号了,
此时只要采用针对性措施进行应对就能保证本地Win2008系统的运行安全性了。


23、巧妙限制普通用户上网访问
首先以普通权限账号登录Win2008系统,打开对应系统的“开始”菜单,
从中点选IE浏览器选项,在弹出的IE浏览器窗口中单击“工具”选项,
从下拉菜单中执行“Internet选项”命令,进入Internet选项设置窗口;

其次单击该设置窗口中的“连接”选项卡,
并单击对应选项设置页面中的“局域网设置”按钮,
此时系统屏幕上会出现一个如图5所示的设置对话框,
选中其中的 “为LAN使用代理服务器”项目,
同时任意输入一个无效的代理服务器主机地址以及端口号码,
再单击“确定”按钮执行参数保存作;

接着注销Win2008系统,换以系统管理员身份重新登录系统,
打开该系统桌面中的“开始”菜单,从中点选“运行”命令,从其后出现的系统运行框中执行
“gpedit.msc”命令,进入对应系统的组策略控制台界面;

选中该控制台界面左侧位置处的“计算机配置”节点分支,
并从目标分支下面依次展开“管理模板”、“Windows组件”、“Internet Explorer”、
“Internet控制面板”组策略子项,之后双击目标组策略子项下面的“禁用连接页”选项,
选中对应设置界面中的“已启用”选项,再单击“确定”按钮保存好上述设置操作,
最后将Win2008系统重新启动一下。

这样一来,日后当用户以普通权限的账号登录 Win2008系统,并在该系统环境中上网访问时,
IE浏览器会自动先搜索一个无效的代理服务器,并企图通过该代理服务器进行网络访问,
显然这样的访问操作是不会成功的;而用户以系统管理员权限在Win2008系统环境下访问时,
IE浏览器不会优先连接代理服务器,而是直接可以进行上网访问,这样的访问当然能够看到内容。


24、只允许指定人员进行远程控制
“开始”/“程序”/“管理工具”/“服务器管理器”
左侧“服务器管理”/“服务器摘要”/“配置远程桌面”
“远程桌面”处单击“选择用户”按钮


25、拒绝Administrator进行攻击测试
“开始”/“运行”,输入“Secpol.msc”
左侧“安全设置”/“本地策略”/“安全选项
“帐户:重命名系统管理员帐户”,

建议再创建一个叫Administrator的用户,并禁用用户,删除隶属权限


26、修改telnet端口保护远程连接安全
“开始”/“运行”,输入“cmd”
输入字符串命令“tlntadmn config port=2991”(其中“2991”是修改后的新端口号码)
当然,我们不到服务器现场,也能远程修改Windows Server 2008
服务器系统的telnet程序端口号码,
我们只要在本地客户端系统打开DOS命令行工作窗口,
在该窗口的命令行提示符下输入字符串命令
“tlntadmn config server port=2991 -u xxx -p yyy ”
(Server表示远程服务器系统的主机名称或IP地址,port=2991要修改为的远程登录端口号码,
xxx为登录服务器系统的用户名,yyy是对应用户账号的密码,单击回车键后,
远程服务器系统的telnet端口号码就变成“2991”了。


27、强行使用复杂密码阻止暴力破解
“开始”/“程序”/“管理工具”/“本地安全策略”
左侧“账户策略”/“密码策略”
右侧双击其中的“密码必须符合复杂性要求”组策略选项
对“强制密码历史”、“密码长度最小值”、“用可还原的加密来储存密码”、“密码最长使用期限”、“密码最短使用期限”等策略进行按需修改


28、密码保护共享功能控制共享连接
“开始”/“设置”/“控制面板”,双击网络和共享中心
展开“共享和发现”/“密码保护的共享”,选中“密码保护的共享”, 单击“应用”


29、防火墙禁用端口(常见):35,137,138,139,445

30、防火墙禁用端口(防P2P,比如迅雷进行扫描): 3077,3078
声明:以上内容仅代表作者观点,不代表爱符号赞成此内容或立场
win2008相关的分享
 
  • ·暂无相关分享
  •  
Windows相关的分享
 
2008相关的分享
 
系统安全相关的分享
 
作者热播
 
相关分类
热门分享
 
最新分享