Windows 服务器系统安全防御加固方法

Windows 服务器系统安全防御加固方法

更新：2017-06-01 19:24

windows服务器安全加固方案，该方案主要针对windows server 2008 r2，当然对于2012等其他系统也是适用的。1删除无用账户：使用Win+R键调出运行，输入compmgmt.msc->本地用户和组，删除不用的账户确保guest账户处于禁用状态，修改管理员默认用户名administrator为其他。
2增强口令策略:使用Win+R键调出运行，输入secpol.msc->安全设置1.安全策略->密码策略密码必须符合复杂性要求：启用密码长度最小值：8个字符密码最短使用期限：0天密码最长使用期限：90天强制密码历史：1个记住密码用可还原的加密来存储密码：已禁用2.本地策略->安全选项交互式登录：不显示最后的用户名：启用
3关闭不需要的服务：使用Win+R键调出运行，输入services.msc.禁用以下服务：Application Layer Gateway ServiceBackground Intelligent Transfer ServiceComputer BrowserDHCP ClientDiagnostic Policy ServiceDistributed Transaction CoordinatorDNS ClientDistributed Link Tracking ClientRemote RegistryPrint SpoolerServerShell Hardware DetectionTCP/IP NetBIOS HelperWindows Remote Management
4关闭netbios服务（关闭139端口）：网络连接->本地连接->属性->Internet协议版本 4->属性->高级->WINS->禁用TCP/IP上的NetBIOS。说明：关闭此功能，你服务器上所有共享服务功能都将关闭，别人在资源管理器中将看不到你的共享资源。这样也防止了信息的泄露。
5关闭网络文件和打印共享：网络连接->本地连接->属性，把除了“Internet协议版本 4”以外的东西都勾掉。
6关闭IPV6：先关闭网络连接->本地连接->属性->Internet协议版本 6 (TCP/IPv6)然后再修改注册表：HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip6\Parameters，增加一个Dword项，名字：DisabledComponents，值：ffffffff（十六位的8个f）
7关闭microsoft网络客户端（关闭445端口）445端口是netbios用来在局域网内解析机器名的服务端口，一般服务器不需要对LAN开放什么共享，所以可以关闭。修改注册表：HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NetBT\Parameters，则更加一个Dword项：SMBDeviceEnabled，值：0
8关闭LLMNR（关闭5355端口）使用组策略关闭，运行->gpedit.msc->计算机配置->管理模板->网络->DNS客户端->关闭多播名称解析->启用
9增加网络访问限制：使用Win+R键调出运行，输入secpol.msc->安全设置->本地策略->安全选项:网络访问: 不允许 SAM 帐户的匿名枚举：已启用网络访问: 不允许 SAM 帐户和共享的匿名枚举：已启用网络访问: 将 Everyone权限应用于匿名用户：已禁用帐户: 使用空密码的本地帐户只允许进行控制台登录：已启用
10修改3389远程访问默认端口：1.防火墙中设置1.控制面板——windows防火墙——高级设置——入站规则——新建规则——端口——特定端口tcp（如13688）——允许连接 2.完成以上操作之后右击该条规则作用域——本地ip地址——任何ip地址——远程ip地址——下列ip地址—— 添加管理者ip 同理其它端口可以通过此功能对特定网段屏蔽（如80端口）。2.运行regedit 2.[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\Wds \rdpwd\Tds \tcp] 和 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\TerminalServer\WinStations\RDP-TCP]，看见PortNamber值了吗？其默认值是3389，修改成所希望的端口即可，例如136883.[HKEY_LOCAL_MACHINE\SYSTEM\CurrentContro1Set\Control\Tenninal Server\WinStations\ RDP\Tcp]，将PortNumber的值（默认是3389）修改成端口13688（自定义）。
11给Everyone降权：鼠标右键系统驱动器（磁盘）->“属性”->“安全”，查看每个系统驱动器根目录是否设置为Everyone有所有权限删除Everyone的权限或者取消Everyone的写权限
12增加日志审计：使用Win+R键调出运行，输入secpol.msc ->安全设置->本地策略->审核策略建议设置：审核策略更改：成功审核登录事件：成功，失败审核对象访问：成功审核进程跟踪：成功，失败审核目录服务访问：成功，失败审核系统事件：成功，失败审核帐户登录事件：成功，失败审核帐户管理：成功，失败
13关闭ICMP在服务器的控制面板中打开 windows防火墙 ， 点击 高级设置->点击 入站规则 ——找到 文件和打印机共享(回显请求 - ICMPv4-In) ，启用此规则即是开启ping，禁用此规则IP将禁止其他客户端ping通，但不影响TCP、UDP等连接。

14IIS配置为不返回详细错误信息：编辑web.config<customErrors>标记的“mode”属性不能设置为“Off”，这样用户能看到异常详情。并在IIS角色服务中去掉目录浏览、 ASP、CGI、在服务器端包含文件。

本文出自 “天马行空” 博客，请务必保留此出处http://techmc.blog.51cto.com/740121/1981423