WindowsServer2008系统安全系统配置大全

1、文档Windows 2008 服务器 安全设置 技术实例目录Windows 2008 服务器 安全设置 技术实例 - 硬盘权限篇 - 系统服务篇 （ 设置完毕需要重新启动 ） - 组件安全设置篇 - 本地安全策略设置 （重要） 四、服务器安全设置之服务器安全设置之服务器安全设置之 服务器安全设置之A、策略B、策略D、本地策略E、本地策略五、六、七、服务器安全设置之 服务器安全设置之 服务器安全设置之 系统审核策略 系统审核策略 系统审核策略 系统审核策略 系统审核策略 系统审核策略 系统审核策略 系统审核策略a.b.c.d.e. f.g.h.密码策略 锁定策略 用户权限分配 安全选项 - 本地

2、安全策略 -IP 安全策略 - 高级安全 windows 防火墙 （掌握好很重要 ）- 本地安全策略 - 高级审核策略配置 登录 管理 详细跟踪 DS访问登陆/注销 对象访问 策略更改 特权使用 八、服务器安全设置之- 远程桌面服务策略 九、服务器安全设置之- 组策略配置（掌握好很重要）十、服务器安全设置之- 用户安全设置 选配一防御PHP木马攻击的技巧13182020202121222324242425252525252526262830、服务器安全设置之-硬盘权限篇这里着重谈需要的权限，也就是最终文件夹或硬盘需要的权限， 可以防御各种木 马入侵，提权攻击，跨站攻击等。本实例经过多次试验，安

3、全性能很好，服务器 基本没有被木马威胁的担忧了（注：红色背景为主要审查配置对象）。其他权限部分:Admi nistrators完全控制该文件夹，子文件夹 及文件不是继承的SYSTE完全控制该文件夹，子文件夹 及文件不是继承的硬盘或文件夹：C: D: E: F:类推无如果安装了其他运行环境，比如PHP等,则根据PHP勺环境功能要求来设置硬盘权限，一般是安装目录加上users读取运行权限就足够了，比如c:php的话，就在根目录权限继承的情况下加上users读取运行权限，需要写入数据的比如tmp文件夹，则把users的写删权限加上，运行权限不要，然后把虚拟主机用户的读权限拒绝即可。如果是mysql的

4、话，用一个独立用户运行 MYSQ会更安全，下面会有介绍。如果是winwebmail，则最好建立独立的应用程序池和独立IIS用户，然后整个安装目录有users用户的读/运行/写/权限，IIS用户则相同，这个IIS用户就只用在winwebmail的WEE访问中，其他IIS站点切勿使用，安装了 winwebmail的服务器硬盘权限设置后面举例Admi nistrators完全控制该文件夹，子文件夹 及文件继承于c:无：CREATOR OwN完全控制1只有子文件夹及文件继承于c:SYSTE完全控制1硬盘或文件夹：C:I net pub硬盘或文件夹：C:Inetpub/temp其他权限部分：Admi n

5、i strators完全控制Users读取，读取和执行该文件夹，子文件夹 及文件该文件夹，子文件 夹及文件不是继承的不是继承的SYSTE完全控制该文件夹，子文件夹 及文件不是继承的硬盘或文件夹：C:Inetpub/wwwroot其他权限部分：Admi ni strators完全控制IIS_IUSR读取运行/列出文件夹 目录/读取该文件夹，子文件夹 及文件该文件夹，子文件夹及 文件不是继承的1不是继承的SYSTE完全控制Users读取运行/列出文件夹 目录/读取该文件夹，子文件夹 及文件该文件夹，子文件夹及 文件不是继承的1不是继承的该文件夹，子文件夹 及文件继承于c:硬盘或文件夹：C:Inet

6、pub/wwwroot/aspnet_clie nt其他权限部分：Admi ni strators完全控制11Users '读取该文件夹，子文件夹 及文件该文件夹，子文件夹及 文件不是继承的不是继承的SYSTE完全控制该文件夹，子文件夹 及文件不是继承的1I硬盘或文件夹：C:UsersAdmi nistrators完全控制Users读取和运行（包括列出 文件夹容，读取权限）， USERS!的权限仅仅限 制于读取和运行， 绝对不能加上写入权限该文件夹，子文件夹 及文件该文件夹，子文件夹及 文件不是继承的不是继承的SYSTE完全控制该文件夹，子文件夹 及文件不是继承的硬盘或文件夹：C:Us

7、ers/Administrator其他权限部分：Admi ni strators完全控制Admi ni strator完全控制该文件夹，子文件夹 及文件该文件夹，子文件 夹及文件不是继承的不是继承的SYSTE完全控制该文件夹，子文件夹 及文件不是继承的硬盘或文件夹：C:Users/DefaultC:UsersDefaultA pp Data'Roami ng权分其他权限部分：Admi ni strators完全控制Users读取和运行该文件夹，子文件夹该文件夹，子文件夹及及文件文件不是继承的继承上一级文件夹SYSTE完全控制USER组的权限仅仅限制于读取和运行， 绝对不能加上写入权限该

8、文件夹，子文件夹 及文件不是继承的硬盘或文件夹： 始菜单开主要权限部分其他权限部分：Admi ni strators完全控制Users读取和运行该文件夹，子文件夹 及文件该文件夹，子文件 夹及文件不是继承的不是继承的SYSTE完全控制该文件夹，子文件夹 及文件隐藏，只读不是继承的I硬盘或文件夹：C:UsersAdministratorAppData其他权限部分：Admi ni strators完全控制11Users读取和运行该文件夹，子文件夹 及文件该文件夹，子文件夹及 文件不是继承的不是继承的SYSTE完全控制该文件夹，子文件夹 及文件不是继承的硬盘或文件夹：C:UsersDefaultAp

9、pData部其他权限部分：|Admi ni strators完全控制Users读取和运行该文件夹，子文件夹 及文件该文件夹，子文件夹及 文件不是继承的|不是继承的SYSTE完全控制隐藏，只读该文件夹，子文件夹 及文件不是继承的硬盘或文件夹：C:UsersDefaultDownloadsC:UsersDefaultDocume nts主要权限部分其他权限部分：Admi ni strators完全控制Users 1读取和运行该文件夹，子文件夹 及文件该文件夹，子文件夹及 文件继承于上一级文件 夹继承上一级目录SYSTE完全控制只读该文件夹，子文件夹 及文件继承于上一级文件 夹硬盘或文件夹：C:Us

10、ersAdministratorAppData'Roaming C:UsersAdm ini stratorA pp Data'Local主要权限部分他权限部分：Admi nistrators | 完全控制Admi ni stratorSYSTE该文件夹，子文件夹 及文件该文件夹，子文件夹 及文件该文件夹，子文件夹 及文件继承于上一级文件夹完全控制继承于上一级文件夹完全控制硬盘或文件夹：C:UsersDefaultAppDataLocalTemp其他权限部分：Admi nistrators完全控制Users读取和运行该文件夹，子文件夹 及文件该文件夹，子文件夹及 文件继承上一级

11、文件夹继承上一级目录SYSTE完全控制只读该文件夹，子文件夹 及文件1继承上一级文件夹硬盘或文件夹：C:UsersAdministratorAppDataLocalTemp继承于上一级文件夹其他权限部分:Admi nistrators完全控制Admi ni stratorSYSTE该文件夹，子文件夹 及文件继承上一级文件夹 完全控制该文件夹，子文件夹及文件继承于上一级文件夹完全控制该文件夹，子文件夹及文件继承上一级文件夹硬盘或文件夹：C:UsersDefaultAppData'Roaming'Microsoft权其他权限部分：Admi ni strators完全控制该文件夹，子

12、文件夹Users读取和运行该文件夹，子文件夹及及文件文件继承上一级文件夹继承上一级文件夹SYSTE完全控制此文件夹包含Microsoft应用程序状态数据，系统默认权限即可。该文件夹，子文件夹 及文件继承上一级文件夹硬盘或文件夹：C:UsersAdmi nistratorA pp Data'Roami ngMicrosoftCry pto'RSAC:UsersAdmi nistratorA pp DataRoami ngMicrosoftCry pto主要权限部分其他权限部分：Admi nistrators完全控制该文件夹，子文件夹 及文件继承上一级文件夹存在administra

13、tor管理员权限，不用SYSTE桃 全控制y理会。该文件夹，子文件夹 及文件 1继承上一级文件夹硬盘或文件夹：C:UsersAdministratorAppData'RoamingMicrosoftHTML Hel p主要权限部分其他权限部分：Admi ni strators完全控制Admi ni strator完全控制该文件夹，子文件夹 及文件该文件夹，子文件夹及 文件继承上一级文件夹继承上一级文件夹SYSTE完全控制该文件夹，子文件夹 及文件继承上一级文件夹硬盘或文件夹：C:UsersDefaultA pp Data'Roami ngMicrosoftWi ndows

14、9;Network Shortcuts权分其他权限部分：Admi nistrators完全控制Users读取和运行该文件夹，子文件夹 及文件该文件夹，子文件 夹及文件继承上一级文件夹继承于上一级文 件夹SYSTE完全控制该文件夹，子文件夹 及文件继承上一级文件夹硬盘或文件夹：C:Windows'Media其他权限部分:Admi nistrators完全控制Users读取和运行该文件夹，子文件夹 及文件该文件夹，子文件夹及 文件不是继承的继承于上一级文件夹SYSTE完全控制该文件夹，子文件夹 及文件不是继承的硬盘或文件夹：C:WindowsC:P rogram FilesC:Progra

15、m Files (x86)C:P rogram FilesCo mmon FilesC:Program FilesWi ndows NTC:Program Files (x86)Wi ndows NTC:Program Files (x86)Common FilesC:Program Files (x86)Wi ndows NTAccessoriesC:Program FilesWi ndows NTAccessoriesC:P rogram FilesCo mmon Files'Microsoft SharedC:Program Files (x86)Common FilesMicr

16、osoft SharedAdmi ni strators特殊权限完全控制Users读取和运行只有该文 件夹子文件夹及文件该文件夹，子文件夹及 文件不是继承 的不是继承 的不是继承的CREATOR OwNBR殊权限11只有该文件夹不是继承的SYSTE特殊权限完全控制后续子文件夹均为继承父目录只有该文 件夹子文件夹及文件不是继承 的不是继承 的硬盘或文件夹：C:Program FilesMicrosoft SQL ServerMSSQL其他权限部分：1Admi nistrators完全控制Users读取和运行该文件夹，子文件夹 及文件该文件夹，子文件夹及 文件1继承于上一级文件1夹继承于上一级文件

17、夹SYSTeM全控制y该文件夹，子文件夹 及文件继承于上一级文件夹硬盘或文件夹：E:Program FilesMicrosolE:P rogram FilesMicrosolE:盘的情况）ft SQL Serverft SQL ServerMSSQL （数据库部分装在其他权限部分：Admi ni strators完全控制1Users读取和运行该文件夹，子文件夹 及文件该文件夹，子文件 夹及文件继承于上一级文件夹继承于上一级文 件夹CREATOR OWN完全控希y只有子文件夹及文件不是继承的SYSTE完全控制该文件夹，子文件夹 及文件继承于上一级文件 夹硬盘或文件夹:C:Program File

18、s'lnternet ExpIorer'iexplore.exeC:P rogram Files (x86)l nternet ExpIo reriex plo re.exe1其他权限部分:Admi nistrators读取和执行，读取Users读取和执行，读取该文件夹，子文件夹 及文件该文件夹，子文件 夹及文件继承于上一级文件 夹继承于上一级文 件夹SYSTE读取和执行，读取该文件夹，子文件夹 及文件继承于上一级文件 夹硬盘或文件夹：C:Windows'Temp其他权限部分：Admi ni strators完全控制Users列出文件夹/读取数据该文件夹，子文件夹 及文

19、件该文件夹，子文件夹及 文件|v不是继承的不是继承的CREATOR OwN完全控制yIIS_IUSR（如果服务器存在 IIS或其他应用服 务，给予相应的读 取权限）列出文件夹/读取 数据只有子文件夹及文件该文件夹，子文件 夹及文件不是继承的不是继承的SYSTE完全控制该文件夹，子文件夹 及文件不是继承的I硬盘或文件夹：C:WINDOWS/system32其他权限部分:Admi nistrators完全控制Users读取和运行该文件夹，子文件夹 及文件该文件夹，子文件夹及 文件不是继承的不是继承的CREATOR OwNS全控制 y只有子文件夹及文件不是继承的SYSTE完全控制该文件夹，子文件夹

20、及文件不是继承的硬盘或文件夹：C:WINDOWS/system32/config其他权限部分:Admi nistrators不是继承的不是继承的I硬盘或文件夹：C:WINDOWS/system32/inetsrv该文件夹，子文件夹 及文件该文件夹，子文件夹 及文件CREATOR OwN完全控制I只有子文件夹及文件 |不是继承的SYSTE椀全控制yAdmi nistrators完全控制Users读取和运行该文件夹，子文件夹 及文件该文件夹，子文件夹及 文件1不是继承的不是继承的I CREATOR OWN完全控制只有子文件夹及文件不是继承的SYSTE完全控制该文件夹，子文件夹 及文件不是继承的注：

21、其他应用程序相关权限，除主要的权限访问继承上一级文件夹以外，需对 指定的文件夹或文件进行单独的权限设置，规则按最小权限给予。二、服务器安全设置之-系统服务篇（设置完毕需要重新启动）*除非特殊情况非开不可，下列系统服务要停止并禁用App licati on Layer Gateway Service服务名称：ALG显示名称：App licati on Layer Gateway Service服务描述：为应用程序级协议插件提供支持并启用网络/协议连接。如果 此服务被禁用，任何依赖它的服务将无法启动。可执行文件路径：E:WINDOWSSystem32alg.exe其他补充：Backgro und

22、In tellige nt Tran sfer Service服务名称：BITS显示名称：Backgro und In tellige nt Tran sfer Service服务描述：服务描述:利用空闲的网络带宽在后台传输文件。如果服务被 停用，例如Win dows Up date和MSNEx plorer的功能将无法 自动下载程序和其他信息。如果此服务被禁用，任何依赖它的 服务如果没有容错技术以直接通过IE传输文件，一旦BITS 被禁用，就可能无法传输文件。可执行文件路径：E:WINDOWSsystem32svchost.exe -k netsvcs'其他补充：Compu ter

23、Browser服务名称：BrowserU显示名称：Compu ter BrowserU服务描述：服务描述:维护网络上计算机的更新列表，并将列表提供给计 算机指定浏览。如果服务停止，列表不会被更新或维护。如果 服务被禁用，任何直接依赖于此服务的服务将无法启动。可执行文件路径：可执行文件路径：E:WINDOWSsystem32svchost.exe -k n etsvcs其他补充：DNS Client（如果没有开启DNS!务器，将禁止掉）服务名称：Dnscache显示名称：DNS Clie nt服务描述：DNS客户端服务（dnscache）缓存域名系统（DNS）名称并注册该 计算机的完整计算机名称

24、。如果该服务被停止，将继续解析 DNS名称。然而，将不缓存 DNS名称的查询结果，且不注册 计算机名称。如果该服务被禁用，则任何明确依赖于它的服务 都将无法启动。可执行文件路径：svchost.exe -k NetworkService其他补充：Internet Connection Shari ng (ICS)服务名称：SharedAccess显示名称：Internet Connection Shari ng (ICS)服务描述：为家庭和小型办公网络提供网络地址转换、 寻址、名称解析和 /或入侵保护服务。可执行文件路径：svchost.exe -k n etsvcs其他补充：IP Hel p

25、er"服务名称：iphip svc显示名称：IP Hel per服务描述：使用IPv6 转换技术（6to4、ISATAP端口代理和Teredo）和IP-HTT PS提供隧道连接。如果停止该服务，则计算机将不具 备这些技术提供的增强连接优势。可执行文件路径：C:Wi ndowsSystem32svchost.exe -k NetSvcs其他补充：Net.Tc p Liste ner Ada pter1 .Net. Pipe Liste ner Ada pterNet.Tc p Liste ner Ada pterNet.Tcp Port Shari ng Service服务名称：Mic

26、rosoft.NET 组件显示名称：Net.Tc p Liste ner Ada pter Net. Pipe Liste ner Ada pterNet.Tc p Liste ner Ada pter Net.Tcp Port Shari ng Service服务描述：Microsoft.NET组件相关服务"可执行文件路径：C:Wi ndowsMicrosoft.NETFramework*其他补充：可根据情况进行禁止。Distributed File System服务名称：Dfs显示名称：Distributed File System服务描述：将分散的文件共享合并成一个逻辑名称空间

27、并在局域网或广 域网上管理这些逻辑卷。如果这个服务被停止，用户则无法访 问文件共享。如果这个服务被禁用，任何依赖它的服务将无法 启动。可执行文件路径：C:WINDOWSsystem32Dfssvc.exe其他补充：Print Spo oler"服务名称：Spo oler显示名称：Print Spo oler服务描述：管理所有本地和网络打印队列及控制所有打印工作。 如果此服 务被停用，本地计算机上的打印将不可用。如果此服务被禁用， 任何依赖于它的服务将无法启用。可执行文件路径：C:WINDOWSsystem32s poolsv.exe其他补充：UP roblem Rep orts an

28、d Soluti ons Con trol Panel Support服务名称：werc plsupport显示名称：P roblem Rep orts and Soluti ons Con trol Panel Support服务描述：此服务为查看、发送和删除“问题报告和解决方案”控制面板 的系统级问题报告提供支持。可执行文件路径：C:Wi ndowsSystem32svchost.exe -k n etsvcs其他补充：Remote Deskt op Services UserMode Port Redirector'服务名称：UmRd pService显示名称：Remote De

29、skt op Services UserMode Port Redirector服务描述：允许为RDP连接重定向打印机/驱动程序/端口L可执行文件路径：C:Wi ndowsSystem32svchost.exe -kLocalSystemNetworkRestricted其他补充：Remote P rocedure Call (R PC) Locator服务名称：Rp cLocator显示名称：Remote P rocedure Call (R PC) Locator服务描述：在Windows 2003和Windows的早期版本中，远程过程调用 (RPC)定位器服务可管理RPC名称服务数据库。

30、在Windows Vista和Windows的更新版本中，此服务不提供任何功能， 但可用于应用程序兼容性。可执行文件路径：C:Win dowssystem32locator.exe其他补充：Remote Registry“服务名称：RemoteRegistry显示名称：Remote Registry服务描述：使远程用户能修改此计算机上的注册表设置。 如果此服务被终 止，只有此计算机上的用户才能修改注册表。如果此服务被禁 用，任何依赖它的服务将无法启动。可执行文件路径：C:Wi ndowssystem32svchost.exe -k regsvc其他补充：Routi ng and Remote

31、Access服务名称RemoteAccess显示名称Routi ng and Remote Access“服务描述在局域网以及广域网环境中为企业提供路由服务。可执行文件路径C:WINDOWSSystem32svchost.exe -k netsvcs其他补充 Server服务名称：Lanman server显示名称：Server服务描述：支持此计算机通过网络的文件、打印、和命名管道共享。如果 服务停止，这些功能不可用。如果服务被禁用，任何直接依赖 于此服务的服务将无法启动。可执行文件路径：'1C:WINDOWSSystem32svchost.exe -k netsvcs其他补充:She

32、ll Hardware Detect ion服务名称ShellHWDetection显示名称服务描述可执行文件路径其他补充Shell Hardware Detect ion为自动播放硬件事件提供通知。C:WINDOWSSystem32svchost.exe -k n etsvcsSSD P DiscoverySSDPSRV服务名称：显示名称：|SSDP Discovery当发现了使用SSDP协议的网络设备和服务，如UPnP设备, 同时还报告了运行在本地计算机上使用的 SSD P设备和服务。 如果停止此服务，基于SSD P的设备将不会被发现。如果禁用 此服务，任何依赖此服务的服务都无常启动。C:

33、Wi ndowssystem32svchost.exe -kLocalServiceA ndNolm person atio n服务描述:可执行文件路径:其他补充:Task Scheduler服务名称:显示名称:Schedule服务描述:Task Scheduler使用户能在此计算机上配置和计划自动任务。_如果此服务被终 止，这些任务将无法在计划时间里运行。如果此服务被禁用， 任何依赖它的服务将无法启动。可执行文件路径:C:WINDOWSSystem32svchost.exe -k n etsvcs其他补充:如果没有任务计划的程序运行，就直接禁掉服务名称:TCP/IP NetBIOS Hel

34、perLmHosts显示名称:服务描述:TCP/IP NetBIOS Hel per提供TCP/IP (NetBT) 服务上的NetBIOS和网络上客户端的NetBIOS名称解析的支持，从而使用户能够共享文件、打印和 登录到网络。如果此服务被停用，这些功能可能不可用。如果 此服务被禁用，任何依赖它的服务将无法启动。可执行文件路径:C:Wi ndowssystem32svchost.exe -kLocalServiceNetworkRestricted其他补充:UPnP Device Host'服务名称：upnp host显示名称：UPnP Device Host服务描述：允许UPnP设

35、备宿主在此计算机上。如果停止此服务，则所有 宿主的UPnP设备都将停止工作，并且不能添加其他宿主设 备。如果禁用此服务，则任何显式依赖于它的服务将都无法启 动。可执行文件路径：C:Wi ndowssystem32svchost.exe -k LocalServiceA ndNolm person atio n°其他补充：Workstatio n服务名称：lanman workstatio n显示名称：Workstatio n服务描述：创建和维护到远程服务的客户端网络连接。 如果服务停止，这 些连接将不可用。如果服务被禁用，任何直接依赖于此服务的' 服务将无法启动。可执行文件路

36、径：C:Wi ndowsSystem32svchost.exe -k NetworkService其他补充：11 .以上是windows2008server标准服务当中需要停止的服务，作为IIS网络服务器, 以上服务务必要停止三、服务器安全设置之-组件安全设置篇A、卸载 WScript.Shell和Shell.appiication组件，将下面的代码保存为一个.BAT文件执行（2008系统）Uwi ndows2008.batregsvr32 /u C:/WINDOWS/System32/wshom.ocx regsvr32 /u C：/Wi ndows/SysWOW64/wshom.ocx r

37、egsvr32 /u C：/WINDOWS/system32/shell32.dll regsvr32 /u C：/Wi ndows/SysWOW64/shell32.dllB、改名不安全组件，需要注意的是组件的名称和Clsid都要改，并且要改彻底了，不要照抄，要自己改U【开始f运行f regedit f回车】打开注册表编辑器然后【编辑f查找f填写Shell.a ppl icatio nf查找下一个】用这个方法能找到两个注册表项:13709620-C279-11CE-A49E-444553540000和 Shell.a PP licati on。第一步：为了确保万无一失，把这两个注册表项导出来

38、，保存 为xxxx.reg 文件。第二步：比如我们想做这样的更改13709620-C279-11CE-A49E-444553540000 改名为13709620-C279-11CE-A49E-444553540001Shell.a PP licati on 改名为 Shell.a pp licati on_n ohack第三步：那么，就把刚才导出的.reg文件里的容按上面的对 应关系替换掉，然后把修改好的.reg文件导入到注册表中（双 击即可），导入了改名后的注册表项之后，别忘记了删除原有 的那两个项目。这里需要注意一点，Clsid中只能是十个数字 和ABCDE六个字母。其实，只要把对应注册表

39、项导出来备份，然后直接改键名就可以了，WScript.Shell 和 Shell.application组件是脚本入侵过老杜评论:程中，提升权限的重要环节，这两个组件的卸载和修改对应注 册键名，可以很大程度的提高虚拟主机的脚本安全性能，一般 来说，ASP和php类脚本 提升权限的功能是无法实现了，再加 上一些系统服务、硬盘访问权限、端口过滤、本地安全策略的 设置，虚拟主机因该说，安全性能有非常大的提高，黑客入侵 的可 能性是非常低了。注销了 Shell组件之后，侵入者运行 提升工具的可能性就很小了，但是 prel等别的脚本语言也有 shell能力，为防万一，还是设置一 下为好。下面是另外一种

40、设置，小异。检查相关权限是否符合下面要求 硬盘或文件：C:/WINDOWS/SYSTEM32/scrru n.dllC:/Wi ndows/SysWOW64/scrru n.dllC:/WINDOWS/system32/cmd.exeC:/Wi ndows/SysWOW64/cmd.exeC:/WINDOWS/System32/wshom.ocxC:/Win dows/SysWOW64/wshom.ocxC:/WINDOWS/system32/shell32.dllC:/Wi ndows/SysWOW64/shell32.dll读取和执行Users读取和执行该文件夹，子文件夹 及文件该文件夹，

41、子文件夹及 文件继承于上一级文件 夹继承于上一级文件夹SYSTE读取和执行该文件夹，子文件夹 及文件继承于上一级文件夹1其他权限部分:如果发现有权限不一致的，请强制更改为上面列表的权限要求。四、服务器安全设置之-本地安全策略设置（重要）安全策略自动更新命令：GPUp date/force （应用组策略自动生效不需重新启动）开始菜单一 管理工具一 本地安全策略密码必须符合复杂性要求已启用密码长度最小值8个字符密码最短使用期限0天密码最长使用期限90强制密码历史0个记住的密码用可还原的加密来存储密码已禁用A策略密码策略B、策略一一 锁定策略锁定时间30分钟锁定阈值4次无效登陆重置锁定阈值30分钟之

42、后C、本地策略审核策略更改成功失败审核登录事件成功失败审核对象访问失败审核过程跟踪无审核审核目录服务访问失败审核特权使用失败审核系统事件成功失败审核账户登录事件成功失败审核账户管理成功失败审核策略D本地策略用户权限分配关闭系统：只有Administrators拒绝通过远程桌面服务登陆：加入允许通过远程桌面服务登陆：只加入 Admi ni strators 组，其他全部删除组、其它全部删除。Guests 组Microsoft网络服务器：对通信进行数字签名（始终）已启用交互式登录：不显示最后的用户名已启用网络访问：不允许SAM的匿名枚举已启用网络访问：不允许SAMffi共享的匿名枚举已启用网络访问

43、：不允许存储网络身份验证的密码和凭证已启用网络访问：可匿名访问的共享（全部清除）网络访问：可远程访问的注册表路径（全部清除）网络访问：可远程访问的注册表路径和子路径（全部清除）网络访问：限制对命名管道和共享的匿名访问已启用:来宾状态已禁用:重命名来宾（重命名一个）:重命名系统管理员（重命名一个）E本地策略一一 安全选项五、服务器安全设置之-本地安全策略-IP安全策略与高级安全windows防火墙配合(仅仅列出需要屏蔽或阻止的端口或协议)协议IP协议端口源地址目标地址描述方式ICMP任意端口任何IP地址-从 任意端口任何IP地址-从 任意端口ICMP阻止TCP任何IP地址-从 任意端口我的IP地

44、址-UD P阻止uUDP136任何IP地址-从 任意端口我的IP地址-136136-UD P阻止TCP/UDP137任何IP地址-从 任意端口我的IP地址-137137-TCP/UD 卩口 ,P阻止TCP/UDP任何IP地址-从' 任意端口我的IP地址-TC P/UDP阻止TCP/UDP任何IP地址-从 任意端口我的IP地址-TC P/UDP阻止JTCP445任何IP地址-从'任意端口我的IP地址-445445-TC P阻止UDP445任何IP地址-从 任意端口我的IP地址-445445-UD P阻止TCP21我的IP地址-从 任意端口1任何IP地址-到21端口阻止tftp出站

45、阻止TCP22我的IP地址-22任何IP地址-任 意端口阻止阻止TCP23我的IP地址-22任何IP地址-任 意端口阻止阻止TCP3389指定IP地址-从 任意端口我的IP地址-3389RDP-TCP允许1以上是IP安全策略里的设置，可以根据实际情况，增加或删除端口关闭139端口的方法是在“网络连接”中“本地连接”中选取“In ternet协议版本4(TCP/IPv4) ”的属性，在“常规”选项卡中进入“高级”设置，“WINS 设置”里面有一项“禁用 TCP/IP的NETBIOS，打勾就关闭了 139端口。六、服务器安全设置之-高级安全windows防火墙（掌握好很重n«用vehe,

46、略*e*菜Aft护9 杓？躬干ifl Y.3dw，t、iK9嗤曲S 爭a解S対融由1睚ifJl?苦曹辜tXMU.期旧常初塾细刚m门# »上J卧儒苛（鬥卿士石伽ifR）申FT吋n'mlwT笳;yfi杖吉启用目止与夫在r许程底和中的程 曲勺芳话轴电用砌：=网曲忑出忠f山+柚戡赛bsr月止驱昶$7：理小4屮shAJ垢朋干戶止袈吝就?;协；1*»目 Met isnffi训砒即埔* P EJi'A JiTWahrstPi+sin?什也星尽堺区£：启用windows防火墙不允许关闭或禁止 点击“控制面板”-“系统和安全” -“windows防火墙”，点击左边的

47、“打开或关闭 windows防火墙”：在“家庭和工作网络位置设置”和“公用网络位置设置”勾选“启动windows防火墙”。允许程序或功能通过windows防火墙在“windows防火墙”，点击左边的“允许程序或功能通过 windows防火墙”： 可以选择自己需要的程序和功能，允许通过防火墙通信，没有的程序也可以进行 添加。公用远程桌面这里只设置允许远程桌面连接，详细的配置可以进入到“ 高级安全windows防火 墙”的“入站规则”中设置，对开通web服务的服务器，可以允许“ HTTP服务”，其 他配合“高级设置”来进行操作。高级设置 在“windows防火墙”，点击左边的“高级设置”，进入到“高级安全windows防火墙”:入站规则添加并按照以下规则重新配置，可根据情况禁止相应规则:名称配置 文件已启 用操作程序本地 地址远程地 址协议本地 端口远程 端口21,22,23所有是阻止任何任何任何TCP21,22,23任何所有是阻止任何任何任何TCP任何137所有是阻止任何任何任何TCP137任何所有是阻止任何任何任何TCP任何所有是阻止任何任何任何TCP任何445所有是阻止任何任何任何TCP445任何ICMPV6所有是阻止任何任何任何ICMP 乖任何任何ICMP v6所有是阻止任何任何任何ICMP v4任何任何远程 桌面公用是允许System任何指定IPTC