标签：windows 加固要领

Windows 处事器系统安适防御加固要领

更新：

2017-06-01 19:24

windows处事器安适加固方案，该方案主要针对windows server 2008 r2，固然对付2012等其他系统也是适用的。

1

删除无用账户：

使用Win+R键调出运行，输入compmgmt.msc->本地用户和组，删除不用的账户

确保guest账户处于禁用状态，改削打点员默认用户名administrator为其他。

2

增强口令计谋:

使用Win+R键调出运行，输入secpol.msc->安适设置

1.安适计谋->暗码计谋

暗码必需切合庞大性要求：启用

暗码长度最小值：8个字符

暗码最短使用期限：0天

暗码最长使用期限：90天

强制暗码历史：1个记住暗码

用可还原的加密来存储暗码：已禁用

2.本地计谋->安适选项

交互式登录：不显示最后的用户名：启用

3

*不需要的处事：

使用Win+R键调出运行，输入services.msc.禁用以下处事：

Application  Layer Gateway Service

Background  Intelligent Transfer Service

Computer Browser

DHCP Client

Diagnostic Policy Service

Distributed Transaction Coordinator

DNS Client

Distributed Link Tracking Client

Remote Registry

Print Spooler

Server

Shell Hardware Detection

TCP/IP NetBIOS Helper

Windows Remote Management

4

*netbios处事（*139端口）：

网络连接->本地连接->属性->Internet协议版本 4->属性->高级->WINS->禁用TCP/IP上的NetBIOS。

说明：*此成果，你处事器上所有共享处事成果都将*，别人在资源打点器中将看不到你的共享资源。这样也防备了信息的泄露。

5

*网络文件和打印共享：网络连接->本地连接->属性，把除了“Internet协议版本 4”以外的对象都勾失。

6

*IPV6：

先*网络连接->本地连接->属性->Internet协议版本 6 (TCP/IPv6)

然后再改削注册表：HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip6\Parameters，增加一个Dword项，名字：DisabledComponents，值：ffffffff（十六位的8个f）

7

*microsoft网络客户端（*445端口）

445端口是netbios用来在局域网内解析机器名的处事端口，一般处事器不需要对LAN开放什么共享，所以可以*。

改削注册表：HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NetBT\Parameters，则越发一个Dword项：SMBDeviceEnabled，值：0

8

*LLMNR（*5355端口）

使用组计谋*，运行->gpedit.msc->计算机配置->打点模板->网络->DNS客户端->*多播名称解析->启用

9

增加网络访谒限制：

使用Win+R键调出运行，输入secpol.msc->安适设置->本地计谋->安适选项:

网络访谒: 不允许 SAM 帐户的匿名枚举：已启用

网络访谒: 不允许 SAM 帐户和共享的匿名枚举：已启用

网络访谒: 将 Everyone权限应用于匿名用户：已禁用

帐户: 使用空暗码的本地帐户只允许进行控制台登录：已启用

10

改削3389长途访谒默认端口：

1.防火墙中设置

1.控制面板——windows防火墙——高级设置——入站法则——新建法则——端口——特定端口tcp（如13688）——允许连接 2.完成以上操纵之后右击该条法则感化域——本地ip地点——任何ip地点——长途ip地点——下列ip地点—— 添加打点者ip 同理其它端口可以通过此成果对特定网段屏蔽（如80端口）。

2.运行regedit 2.[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\Wds \rdpwd\Tds \tcp] 和 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\TerminalServer\WinStations\RDP-TCP]，看见PortNamber值了吗？其默认值是3389，改削成所但愿的端口即可，例如13688

3.[HKEY_LOCAL_MACHINE\SYSTEM\CurrentContro1Set\Control\Tenninal Server\WinStations\ RDP\Tcp]，将PortNumber的值（默认是3389）改削成端口13688（自界说）。

11

给Everyone降权：

鼠标右键系统驱动器（磁盘）->“属性”->“安适”，检察每个系统驱动器根目录是否设置为Everyone有所有权限

删除Everyone的权限或者打消Everyone的写权限

12

增加日志审计：

使用Win+R键调出运行，输入secpol.msc ->安适设置->本地计谋->审核计谋

建议设置：

审核计谋变动：告成

审核登录事件：告成，掉败

审查东西访谒：告成

审核进程跟踪：告成，掉败

审核目录处事访谒：告成，掉败

审核系统事件：告成，掉败

审核帐户登录事件：告成，掉败

审核帐户打点：告成，掉败

13

*ICMP

在处事器的控制面板中打开 windows防火墙 ， 点击 高级设置->点击 入站法则 ——找到 文件和打印机共享(回显请求 - ICMPv4-In) ，启用此法则便是开启ping，禁用此法则IP将禁止其他客户端ping通，但不影响TCP、UDP等连接。