windows server 安全设置规范

盐田教育局WINDOWS服务器安全设置规范,,,,

编号,检查项目,操作项目及规范,是否进行安全设置,备注

1,磁盘与阵列,所有分区为NTFS格式阵列为RAID5,是□否□,

,,关闭任何分区的自动运行特性(金山杀毒可以关闭此特性),是□否□,

2,协议,"不要安装不需要的协议，如IPX/SPX,NetBIOS,一般情况下仅TCP/IP协议即可",是□否□,

3,帐号,保证禁止guest帐号,是□否□,

,,将administrator改名为比较难猜的帐号(注意:需要与应用系统开发人员确认，以防导致应用系统运行异常),是□否□,

,,密码唯一性：记录上次的6个密码,是□否□,

,,帐号失败登录锁定的门限：10,是□否□,

,,锁定后重新启用的时间间隔：720分钟,是□否□,

,,密码使用字母、数字、特殊字符三者混合组成,是□否□,

,,建立另一个备用管理员账号，防止特殊情况发生,是□否□,

,,设置“本地安全策略→本地策略→安全选项”中的匿名连接的额外限制为“不容许枚举SAM账号和共享”,是□否□,

,,设置“本地安全策略→本地策略→安全选项”中不显示上次登录用户名,是□否□,

,,设置“本地安全策略→本地策略→中用户权力指派”中限制更改系统时间、关闭系统的权力仅管理员。,是□否□,

4,"文件与目录

权限","将C:\winnt,C:\winnt\config,C:\winnt\system32,C:\winnt\system等目录的访问权限做限制，限制everyone的写权限，限制users组的读写权限",是□否□,

,,"将各分区的根目录的everyone从权限列表中删除,然后分别添加Administrators的权限。不要给Guests任何权限",是□否□,

,,运行Sfc/enable启动文件保护机制，以保护重要系统文件被修改。,是□否□,

,,WEB主目录、系统、日志分别安装在不同分区,是□否□,

5,注册表修正,限制LSA匿名访问:将HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA中RestricAnonymousREG_DWORD值设为1,是□否□,

,,去除所有网络共享:HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanManServer\Parameters\中AutoShareServerREG_DWORD值设为0再创建一个AutoShareWks双字节值，设置为0（注意大小写）。,是□否□,

,,禁止建立空连接:Local_Machine\System\CurrentControlSet\Control\LSA-RestrictAnonymous的值改成1,是□否□,

,,"有必要开远程桌面的服务器要修改服务端口:在“HKLM\SYSTEM\CurrentControlSet\Control\TerminalServer\WinStations”

处找到类似RDP-TCP的子键，修改PortNumber值。",是□否□,

,,"445端口惹出了不少问题关闭方法修改注册表，添加一个键值HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\NetBT\Parameters

Name:SMBDeviceEnabledType:REG_DWORDvalue:0",是□否□,

,,"通过修改注册表防止小规模DDOS攻击：HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters

新建""DWORD值""值名为""SynAttackProtect""数据值为""1""",是□否□,

6,隐藏服务器,隐藏服务器：减少来自局域网的嗅探netconfigserver/hidden:yes,是□否□,

7,禁用DUMP,"禁止dumpfile的产生,dump文件在系统崩溃和蓝屏的时候是一份很有用的查找问题的资料。然而，它也能够给黑客提供一些敏感信息比如一些应用程序的密码等。控制面板>系统属性>高级>启动和故障恢复把写入调试信息改成无",是□否□,

8,禁用远程访问,"打开组策略编辑器，依次展开“计算机配置→Windows设置→安全设置→本地策略→安全选项”，

在右侧窗口中找到“网络访问：可远程访问的注册表路径”，然后在打开的窗口中，将可远程访问的注册表路径和子路径内容全部设置为空即可。",是□否□,

9,"本地安全

策略配置",账户策略>密码策略>密码最短使用期限改成0天[即密码不过期],是□否□,

,,账户策略>账户锁定策略>账户锁定阈值5次账户锁定时间10分钟[个人推荐配置],是□否□,

,,"本地策略>审核策略>

账户管理成功失败

登录事件成功失败

对象访问失败

策略更改成功失败

特权使用失败

系统事件成功失败

目录服务访问失败

账户登录事件成功失败",是□否□,

,,"本地策略>安全选项>清除虚拟内存页面文件更改为""已启用""

>不显示上次的用户名更改为""已启用""

>不需要按CTRL+ALT+DEL更改为""已启用""

>不允许SAM账户的匿名枚举更改为""已启用""

>不允许SAM账户和共享的匿名枚举更改为""已启用""

>重命名来宾账户更改成一个复杂的账户名

>重命名系统管理员账号更改一个自己用的账号[同时可建立一个无用户组的Administrat账户]

",是□否□,

10,"删除不安全

组件","WScript.Shell、Shell.application这两个组件一般一些ASP木马或一些恶意程序都会使用到。

regsvr32/uwshom.ocx卸载WScript.Shell组件

regsvr32/ushell32.dll卸载Shell.application组件删除前与应用系统开发人员确认

",是□否□,

11,关闭不必要的端口,"应该封闭这些端口，主要有：TCP135、139、445、593、1025端口和UDP135、137、138、445端口，一些流行病毒的后门端口（如TCP2745、3127、6129端口），以及远程服务访问端口3389。具体方法为：网上邻居>属性>本地连接>属性>internet协议(tcp/ip)>属性>高级>选项>tcp/ip筛选>属性打开tcp/ip筛选，添加需要的tcp,udp,协议即可。

",是□否□,

12,删除默认共享,"HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters新建DWORD值，名称设为AutoShareServer值设为0

",是□否□,

13,禁止ADMIN$缺省共享,"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters项，添加键值AutoShareWKs、REG_DWORD设置值为0

",是□否□,

14,不让系统显示上次登录的用户名,"默认情况下，登录对话框中会显示上次登录的用户名。这使得别人可以很容易地得到系统的一些用户名，进而做密码猜测。修改注册表可以不让对话框里显示上次登录的用户名。方法为：打开注册表编辑器并找到注册表“HKLM\Software\Microsoft\WindowsT\CurrentVersion\Winlogon\Dont-DisplayLastUserName”，把REG_SZ的键值改成1。

",是□否□,

15,隐藏重要文件/目录,"

可以修改注册表实现完全隐藏:“HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Current-Version\Explorer\Advanced\Folder\Hi-dden\SHOWALL”，鼠标右击“CheckedValue”，选择修改，把数值由1改为0

",是□否□,

16,禁用DCOM,"

运行中输入Dcomcnfg.exe。回车，单击“控制台根节点”下的“组件服务”。打开“计算机”子文件夹。对于本地计算机，请以右键单击“我的电脑”，然后选择“属性”。选择“默认属性”选项卡。

清除“在这台计算机上启用分布式COM”复选框。

",是□否□,

17,关闭华医生Dr.Watson,"

在开始-运行中输入""drwtsn32""，或者开始-程序-附件-系统工