Windows Server 2008R2 Enterprise安全配置笔记

Windows Server 2008R2 Enterprise安全配置笔记

Windows Server 2008 R2 Enterprise安全配置笔记

服务器安装好了后，要进行必要的安全配置，才能使用服务器更安全可靠。

检查是否已正确配置密码码盆长度最小值

打开命令提示符，运行命令“gpedit.msc”盯科打开组策略编辑器，浏览到路径“本地计算机策略\计算机配置\Windows设置\安全设置\帐户策略\密码策略”，在右边窗格荡颂脂中找到“密码长度最小值”，配置为不小于标准值的值,6

检查是否已更改管理员帐户名称

打开命令提示符，运行命令“gpedit.msc”打开组策略编辑器，浏览到路径“本地计算机策略\计算机配置\Windows设置\安全设置\本地策略\安全选项”，在右边窗格中找到“(帐户:)重命名(系统)管理员帐户”，更改其默认设置“Administrator”(注意：若当前是以Administrator用户登录，则无法更改)。

检查是否已正确配置帐户锁定阈值

打开命令提示符，运行命令“gpedit.msc”打开组策略编辑器，浏览到路径“本地计算机策略\计算机配置\Windows设置\安全设置\帐户策略\帐户锁定策略”，在右边窗格中找到“帐户锁定阈值”，配置为非0值。配置为0表示帐户将永远不会被锁定。

检查是否已正确配置“复位帐户锁定计数器”时间

打开命令提示符，运行命令“gpedit.msc”打开组策略编辑器，浏览到路径“本地计算机策略\计算机配置\Windows设置\安全设置\帐户策略\帐户锁定策略”，在右边窗格中找到“复位(重置)帐户锁定计数器”，配置为不小于标准值的值。

检查是否已正确配置帐户锁定时间

打开命令提示符，运行命令“gpedit.msc”打开组策略编辑器，浏览到路径“本地计算机策略\计算机配置\Windows设置\安全设置\帐户策略\帐户锁定策略”，在右边窗格中找到“帐户锁定时间”，配置为不小于标准值的值。要配置此设置必须先配置“帐户锁定阈值”。当配置为0时，检测到的实际值为-1。

检查是否已正确配置密码最短使用期限

打开命令提示符，运行命令“gpedit.msc”打开组策略编辑器，浏览到路径“本地计算机策略\计算机配置\Windows设置\安全设置\帐户策略\密码策略”，在右边窗格中找到“密码最短存留期(使用期限)”，配置为非0值。如果希望“强制密码历史”有效，则需要将密码最短使用期限设置为大于 0 的值。

检查是否已正确配置“强制密码历史”

打开命令提示符，运行命令“gpedit.msc”打开组策略编辑器，浏览到路径“本地计算机策略\计算机配置\Windows设置\安全设置\帐户策略\密码策略”，在右边窗格中找到“强制密码历史”，配置为不小于标准值的值。

检查是否已删除可远程访问的注册表路径和子路径

打开命令提示符，运行命令“gpedit.msc”打开组策略编辑器，浏览到路径“本地计算机策略\计算机配置\Windows设置\安全设置\本地策略\安全选项”，在右边窗格中找到“网络访问: 可远程访问的注册表路径”，配置为空。Windows2000没有此设置，不需配置。

检查可远程访问的注册表路径和子路径

打开命令提示符，运行命令“gpedit.msc”打开组策略编辑器，浏览到路径“本地计算机策略\计算机配置\Windows设置\安全设置\本地策略\安全选项”，在右边窗格中找到“网络访问: 可远程访问的注册表路径和子路径”，配置为空。Windows2000和WindowsXP没有此设置，不需配置。

检查是否已限制可关闭系统的帐户和组

打开命令提示符，运行命令“gpedit.msc”打开组策略编辑器，浏览到路径“本地计算机策略\计算机配置\Windows设置\安全设置\本地策略\用户权限分配”，在右边窗格中找到“关闭系统”，配置为仅含有“Administrators”用户组。

检查是否已禁止SAM帐户和共享的匿名枚举

打开命令提示符，运行命令“gpedit.msc”打开组策略编辑器，浏览到路径“本地计算机策略\计算机配置\Windows设置\安全设置\本地策略\安全选项”，在右边窗格中找到“网络访问: 不允许 SAM 帐户和共享的匿名枚举”，配置为“启用”(在Windows2000下，将“对匿名连接的额外限制”配置为“不允许枚举SAM账号和共享”)。

检查是否已正确配置审核(日志记录)策略

打开命令提示符，运行命令“gpedit.msc”打开组策略编辑器，浏览到路径“本地计算机策略\计算机配置\Windows设置\安全设置\本地策略\审核策略”，在右边窗格中找到“审核特权使用”,"审核系统事件",“审核进程跟踪”,“审核策略更改”,“审核帐户登录事件”,“审核目录服务访问”,“审核帐户管理”,“审核对象访问”,“审核登录事件”,勾选“成功”和“失败”。

检查Windows防火墙状态

在Windows2000中，没有Windows防火墙，不检查此项；在WindowsXP及其SP1中，打开控制面板，找到“网络连接”，打开“本地连接”的“属性”对话框，切换到“高级”选项卡，勾选“通过限制或阻止来自Internet…”，并点击下方“设置”按钮设置例外端口；在其余版本的Windows中，打开控制面板，找到“Windows防火墙”，将当前网络位置的防火墙配置为“启用”，并根据实际需求设置例外。

检查是否已启用并正确配置源路由攻击保护

打开命令提示符，运行命令“regedit”打开注册表编辑器，浏览到路径“HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters”，添加名称为“DisableIPSourceRouting”、类型为DWORD、数据为标准值的数值，若已存在则修改其数据。此数据的有效值为0-2，其中0表示转发所有数据包，1表示不转发源路由的数据包，2表示丢弃所有传入源路由的数据包。

检查是否已禁用ICMP重定向

打开命令提示符，运行命令“regedit”打开注册表编辑器，浏览到路径“HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters”，添加名称为“EnableICMPRedirect”、类型为DWORD、数据为标准值的数值，若已存在则修改其数据。此数据的有效值为0-1。

检查处于SYN_RCVD 状态下的 TCP 连接阈值

打开命令提示符，运行命令“regedit”打开注册表编辑器，浏览到路径“HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters”，添加名称为“TcpMaxHalfOpen”、类型为DWORD、数据为标准值(注意：标准值为16进制表示)的数值，若已存在则修改其数据。此数据的有效值为在64-ffff(16进制)。0x01f4

检查取消尝试响应 SYN 请求之前要重新传输 SYN-ACK 的次数

打开命令提示符，运行命令“regedit”打开注册表编辑器，浏览到路径“HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters”，添加名称为“TcpMaxConnectResponseRetransmissions”、类型为DWORD、数据为标准值的数值，若已存在则修改其数据。此数据的有效值为0-255。0x2

检查处于SYN_RCVD 状态下，且至少已经进行了一次重新传输的TCP连接阈值

打开命令提示符，运行命令“regedit”打开注册表编辑器，浏览到路径“HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters”，添加名称为“TcpMaxHalfOpenRetried”、类型为DWORD、数据为标准值(注意：标准值为16进制表示)的数值，若已存在则修改其数据。此数据的有效值为在50-ffff(16进制)。0x0190

检查TCP连接请求阈值

打开命令提示符，运行命令“regedit”打开注册表编辑器，浏览到路径“HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters”，添加名称为“TcpMaxPortsExhausted”、类型为DWORD、数据为标准值(注意：标准值为16进制表示)的数值，若已存在则修改其数据。此数据的有效值为在0-ffff(16进制)。0x5

检查是否已启用SYN攻击保护

打开命令提示符，运行命令“regedit”打开注册表编辑器，浏览到路径“HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters”，添加名称为“SynAttackProtect”、类型为DWORD、数据为标准值(注意：标准值为16进制表示)的数值，若已存在则修改其数据。此数据的有效值为0-1。0x1

检查是否已禁用失效网关检测

打开命令提示符，运行命令“regedit”打开注册表编辑器，浏览到路径“HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters”，添加名称为“EnableDeadGWDetect”、类型为DWORD、数据为标准值的数值，若已存在则修改其数据。此数据的有效值为0-1。如果不将该值设置为 0，攻击可能会强制服务器切换网关，而切换到的新网关可能并不是您打算使用的网关。

检查是否已启用TCP最大传输单元(MTU)大小自动探测

打开命令提示符，运行命令“regedit”打开注册表编辑器，浏览到路径“HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters”，添加名称为“EnablePMTUDiscovery”、类型为DWORD、数据为标准值的数值，若已存在则修改其数据。此数据的有效值为0-1，其中0表示不自动探测MTU大小，都使用576字节的MTU，1表示自动探测MTU大小。如果不将该值设置为 0，攻击者可能会强制 MTU 值变得非常小，从而导致堆栈的负荷过大。

检查TCP“连接存活时间”

打开命令提示符，运行命令“regedit”打开注册表编辑器，浏览到路径“HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters”，添加名称为“KeepAliveTime”、类型为DWORD、数据为标准值(注意：标准值是以毫秒为单位的)以内的数值，若已存在则修改其数据。此数据的有效值为1-0xFFFFFFFF。该值控制 TCP 通过发送“保持活动”的数据包来验证空闲连接仍然完好无损的频率。如果仍能连接到远程计算机，该计算机就会对“保持活动”的数据包作出应答。默认情况下，不发送“保持活动”的数据包。建议将该值设置为 300,000（5 分钟）（十进制基数格式）

检查重传单独数据片段的次数

打开命令提示符，运行命令“regedit”打开注册表编辑器，浏览到路径“HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters”，添加名称为“TcpMaxDataRetransmissions”、类型为DWORD、数据为标准值的数值，若已存在则修改其数据。此数据的有效值为0-65535。0x2

检查是否已禁用路由发现功能

打开命令提示符，运行命令“regedit”打开注册表编辑器，浏览到路径“HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters”，添加名称为“PerformRouterDiscovery”、类型为DWORD、数据为标准值的数值，若已存在则修改其数据。此数据的有效值为0-1。0表示禁用此功能，1表示开启。“路由发现”请求路由信息以构建整个网络，如果开启此功能，系统会将此信息添加到路由表中。0x0

检查远程桌面(RDP)服务端口

打开命令提示符，运行命令“regedit”打开注册表编辑器，浏览到路径“HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp”，修改名称为“PortNumber”的数值的数据，使其不等于标准值(注意：标准值为16进制表示)。此数据的有效值为1-65535。

检查DHCP Client服务状态

打开命令提示符，运行命令“services.msc”打开服务管理器，停止显示名称为“DHCP Client”的服务。

关闭不必要的端口-445

1.修改注册表"HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\NetBT\Parameters",根据操作系统的是32位还是64位，新建DWORD/QWORD项"SMBDeviceEnabled"，将值改为0

2.停止和禁用Server服务。运行services.msc，禁用并停止server服务。

3.重启系统

检查“提示用户在密码过期之前进行更改”策略中配置的天数

打开命令提示符，运行命令“gpedit.msc”打开组策略编辑器，浏览到路径“本地计算机策略\计算机配置\Windows设置\安全设置\本地策略\安全选项”，在右边窗格中找到“交互式登录: 提示用户在密码过期之前进行更改”或“交互式登录: 在密码到期前提示用户更改密码”，配置为不小于标准值(注意：标准值为16进制表示)的值。0xe ; Windows2000中无此设置，不检查此项。

检查是否已对所有驱动器关闭Windows自动播放

打开命令提示符，运行命令“gpedit.msc”打开组策略编辑器，浏览到路径“本地计算机策略\计算机配置\管理模板\Windows组件\自动播放策略”(适用于Windows2008、WindowsVista、Windows2008R2、Windows7)或“本地计算机策略\计算机配置\管理模板\系统”(适用于Windows2000、WindowsXP、Windows2003、Windows2003R2)，在右边窗格中找到“关闭/停用自动播放”，配置为“启用”，且选为对“所有驱动器”生效。

检查是否已启用“不显示最后的用户名”策略

打开命令提示符，运行命令“gpedit.msc”打开组策略编辑器，浏览到路径“本地计算机策略\计算机配置\Windows设置\安全设置\本地策略\安全选项”，在右边窗格中找到“登录屏幕上不要显示上次登录的用户名”(适用于Windows2000)或“交互式登录: 不显示最后的用户名”，配置为“已启用”。0x1

检查“锁定会话时显示用户信息”级别

打开命令提示符，运行命令“regedit”打开注册表编辑器，浏览到路径“HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System”，添加名称为“DontDisplayLockedUserId”、类型为DWORD、数据为标准值的数值，若已存在则修改其数据。此数据的有效值为1-3，其中1表示显示名称、域名、用户名，2表示仅显示用户名称，3表示不显示用户信息。WindowsXP需要安装207399补丁才能生效；Windows2000没有此设置，不检查此项。