服务器基本安全配置

1、服务器基本安全配置1. 用户安全(1) 运行 lusrmgr.msc,重命名原 Administrator 用户为自定义一定长度的名字， 并新建同名 Administrator 普通用户，设置超长密码去除所有隶属用户组。(2) 运行 gpedit.msc 计算机配置安全设置账户策略密码策略启动密码复杂性要求，设置密码最小长度、密码最长使用期限，定期修改密码保证服务器账户的密码安全。(3) 运行 gpedit.msc 计算机配置安全设置账户策略账户锁定策略启动账户锁定，设置单用户多次登录错误锁定策略，具体设置参照要求设置。(4) 运行 gpedit.msc 计算机配置安全设置本地策略安全选项交互

2、式登录 :不显示上次的用户名；启动交互式登录：回话锁定时显示用户信息；不显示用户信息(5) 运行 gpedit.msc 计算机配置安全设置本地策略安全选项网络访问：可匿名访问的共享；清空网络访问：可匿名访问的命名管道；清空网络访问：可远程访问的注册表路径；清空网络访问：可远程访问的注册表路径和子路径；清空(6) 运行 gpedit.msc 计算机配置安全设置本地策略通过终端服务拒绝登陆加入一下用户（* 代表计算机名）ASPNETGuestIUSR_*IWAM_*NETWORK SERVICESQLDebugger注：用户添加查找如下图：(7) 运行 gpedit.msc 计算机配置安全设置本地

3、策略策略审核即系统日志记录的审核消息，方便我们检查服务器的账户安全，推荐设置如下：(8)2. 共享安全(1) 运行 Regedit删除系统默认的共享HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesLanmanServerParameter s增加一个键：名称 : AutoShareServer ; 类型 : REG_DWORD 值; : 0(2) 运行 Regedit禁止 IPC 空连接Local_Machine/System/CurrentControlSet/Control/LSA 把 RestrictAnonymous 的键值改成 ”1”

4、。(3)3. 服务端口安全(1) 运行 Regedit修改 3389 远程端口打开 HKEY_LOCAL_MACHINESYSTEM CurrentControlSetControlTerminalServerWdsrdpwdTdstcp ，将 PortNamber 的键值（默认是 3389 ）修改成自定义端口:14720打开 HKEY_LOCAL_MACHINESYSTEMCurrentContro1SetControlTenninalServerWinStationsRDP-Tcp ，将 PortNumber 的键值（默认是3389）修改成自定义端口 :14720(2) 运行 servic

5、es.msc禁用不需要的和危险的服务以下列出建议禁止的服务，具体情况根据需求分析执行：Alerter发送管理警报和通知Automatic UpdatesWindows 自动更新服务Computer Browser维护网络计算机更新（网上邻居列表）Distributed File System局域网管理共享文件Distributed linktracking client用于局域网更新连接信息Error reporting service发送错误报告Remote Procedure Call (RPC) LocatorRpcNs*远程过程调用(RPC)Remote Registry远程修改注册表

6、Removable storage管理可移动媒体、驱动程序和库Remote Desktop Help Session Manager远程协助Routing and Remote Access 在局域网以及广域网环境中为企业提供路由服务 Shell Hardware Detection 为自动播放硬件事件提供通知。Messenger消息文件传输服务Net Logon域控制器通道管理NTLMSecuritysupportprovidetelnet 服务和 Microsoft Serch 用的PrintSpooler打印服务telnettelnet 服务Workstation泄漏系统用户名列表（注：

7、如使用局域网请勿关闭）(3) 运行 gpedit.msc IPSec安全加密端口，内部使用加密访问。原理：利用组策略中的“ IP 安全策略”功能中，安全服务器（需要安全）功能。将所有访问远程如 13013 端口的请求筛选到该 ip 安全策略中来， 使得该请求需要通过双方的预共享密钥进行身份认证后才能进行连接，其中如果一方没有启用“需要安全”时，则无法进行连接，同时如果客户端的预共享密钥错误则无法与服务器进行连接。在此条件下，不影响其他服务的正常运行。操作步骤：1) 打开 GPEDIT.MSC，在计算机策略中有“ IP 安全策略” ,选择“安全服务器（需要安全）”项目属性，然后在 IP 安全规则

8、中选择“所有 IP 通信”打开编辑，在“编辑规则 属性”中，双击“所有 IP 通信”，在 IP 筛选器中，添加或编辑一个筛选器。2)退回到 “编辑规则属性” 中，在此再选择 “身份验证方法” 。删除“ Kerberos 5”,点击添加，在“新身份验证方法”中，选择“使用此字符串（预共享密钥） ”，然后填写服务器所填的预共享密钥 （服务器的预共享密钥为 ”123abc,.”）。然后确定。3) 选择“安全服务器（需要安全） ”右键指派即可。附截图：4. 防火墙安全(1) 启动系统自带防火墙添加例外程序端口，除服务器对外服务端口添加到例外。其余都删除或不勾选。有必要时编辑例外设置访问地址限制。 （高

9、级设置参照要求设定）(2) 选择性安装第三方防火墙，设定防火墙网络访问规则，除了必要对外开放的端口，其他都不要对外开放。特别是 Telnet:23 端口， FTP :21,22 端口，数据库端口，邮件端口 :25,101 等重要的端口，如没有必要尽可能不要对外开放。(3)5.移动存储设备策略安全目的：一般移动感染病毒会在移动设备的根目录下带有autorun.inf 及病毒文件自动运行。主要是阻止防御移动存储设备的危险程序自动运行。(1) 运行 gpedit.msc 关闭自动播放计算机配置管理模版系统：关闭自动播放已启动，所有驱动器用户配置管理模版系统：关闭自动播放已启动，所有驱动器(2) 运行

10、 gpedit.msc 策略限制根目录运行文件计算机配置 windows 设置安全设置软件限制策略其他规则：右键新建路径规则，不允许所有盘符根目录下的这些后缀的文件运行。（*:*.bat 、 *:*.com 、 *:*.vb* 、 *:*.exe ）(3)6. 其他安全(1) Ftp 站点目录安全， 去除非必要用户的修改写入权限，定制对于权限， 对于执行和修改权限配置妥当。(2) Http 站点目录权限，一般站点都需去除用户的写入权限，常用的网站一般为读取权限。(3) 数据库安全，如 SQL数据库，设置 Sa超长密码，正常情况下禁止使用 sa 用户访问数据库。对应其他用户设置对应数据库的映射安全，无需所有数据库映射。(4) 定期修改系统用户密码，及其他牵涉用户的相关密码。且密码要符合复杂性要求。(5) 定期检查系统日志安全，以防有人尝试破解用户账户密码。如有批量多条用户登录失败，则需特别注意调查原因。(6) 定期检查部署策略是否正常