Windows 2008 Einige Punkte zur Sicherheitsverstärkung des Servers

Überprüfen Sie die Systemversion

Windows Server 2008 r2 Enterprise

Zweck

VPN-Server

Überprüfen Sie den Hostnamen

Überprüfen Sie die Netzwerk-Konfiguration

操作目的

Verhindern Sie Malware und Viren sowie andere schädliche Programme

检查方法

Überprüfen Sie, ob der Antiviren-Dienst im System gestartet ist

加固方法

Installieren Sie Antivirensoftware; aktivieren Sie die Echtzeit-Überwachung; stellen Sie einen geeigneten Überwachungsgrad ein; stellen Sie ein Passwort für die Antivirensoftware ein

是否实施

备注

操作目的

Installieren Sie System-Patches, um Lücken zu schließen

检查方法

Verwenden Sie das Scan-Tool zur Erkennung von Lücken

加固方法

Verwenden Sie Tools, um Patches automatisiert anzuwenden

是否实施

备注

操作目的

Verringern Sie die ungenutzten Konten im System, um das Risiko zu senken

检查方法

“Win+R”键调出“运行”->compmgmt.msc (Computermanagement)->Lokale Benutzer und Gruppen, überprüfen Sie, ob es ungenutzte Konten gibt, ob die Gruppenzuordnung der Systemkonten korrekt ist und ob das guest-Konto gesperrt ist

加固方法

Verwenden Sie den Befehl „net user Benutzername /del”, um das Konto zu löschen

Verwenden Sie den Befehl „net user Benutzername /active:no”-Befehl, um das Konto zu sperren

是否实施

备注

Überprüfen Sie den Registrierungstabelle, um den Schattenkonto zu verhindern

操作目的

Erhöhen Sie die Komplexität des Passworts und die Locking-Strategien, um die Wahrscheinlichkeit einer Brute-Force-Attacke zu verringern

检查方法

“Win+R”键调出“运行”->secpol.msc (Local Security Policy)->安全设置

加固方法

1, Account policy->Password policy

Passwords must meet complexity requirements: enabled

Minimum password length:8characters

Password minimum age: 0 days

Password maximum age:90 days

Enforce password history:1number of remembered passwords

Store passwords using reversible encryption: disabled

2, Account settings->Account lockout policy

Account lockout duration:30 minutes

Account lockout threshold:5invalid logins

Reset account lockout counter:30 minutes

3, Local Policy->Security options

Interactive logon: Do not display the last username: enabled

是否实施

备注

“Win+R”键调出“运行”->gpupdate /force立即生效

操作目的

Disable unnecessary services to reduce risk

检查方法

“Win+R”键调出“运行”->services.msc

加固方法

Change the following services to manual

COM+ Event System

DHCP Client

Diagnostic Policy Service

Distributed Transaction Coordinator

DNS Client

Distributed Link Tracking Client

Remote Registry

Print Spooler

Server (you can disable it if not using file sharing)

Shell Hardware Detection

TCP/IP NetBIOS Helper

Windows Update

是否实施

备注

Be cautious when disabling services, especially on remote computers

操作目的

Disable default shares

检查方法

“Win+R”键调出“运行”->cmd.exe->net share, view shares

加固方法

Disable default shares such as C$, D$

“Win+R”键调出“运行”->regedit->Find HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters, create a new AutoShareServer (REG_DWORD) with a key value of 0

是否实施

备注

操作目的

Network access restrictions

检查方法

“Win+R”键调出“运行”->secpol.msc ->安全设置->本地策略->Security options

加固方法

Network access: Do not allow anonymous enumeration of SAM accounts: enabled

Network access: Do not allow anonymous enumeration of SAM accounts and shares: enabled

Network access: Apply Everyone permissions to anonymous users: disabled

Account: Local accounts with empty passwords are allowed console logon only: enabled

是否实施

备注

“Win+R”键调出“运行”->gpupdate /force立即生效

操作目的

Enhance file system security

检查方法

Check if each system drive uses the NTFS file system

加固方法

It is recommended to use the NTFS file system, conversion command: convert <drive letter>: /fs:ntfs

是否实施

备注

操作目的

增强Everyone权限

检查方法

鼠标右键系统驱动器（磁盘）->“属性”->“安全”，查看每个系统驱动器根目录是否设置为Everyone有所有权限

加固方法

删除Everyone的权限或者取消Everyone的写权限

是否实施

备注

操作目的

限制部分命令的权限

检查方法

使用cacls命令或资源管理器查看以下文件权限

加固方法

建议对以下命令做限制，只允许system、Administrator组访问

%systemroot%\system32\cmd.exe

%systemroot%\system32\regsvr32.exe

%systemroot%\system32\tftp.exe

%systemroot%\system32\ftp.exe

%systemroot%\system32\telnet.exe

%systemroot%\system32\net.exe

%systemroot%\system32\net1.exe

%systemroot%\system32\cscript.exe

%systemroot%\system32\wscript.exe

%systemroot%\system32\regedit.exe

%systemroot%\system32\regedt32.exe

%systemroot%\system32\cacls.exe

%systemroot%\system32\command.com

%systemroot%\system32\at.exe

是否实施

备注

可能会影响业务系统正常运行

操作目的

增大日志量大小，避免由于日志文件容量过小导致日志记录不全

检查方法

“Win+R”键调出“运行”->eventvwr.msc ->“windows日志”->查看“应用程序”“安全”“系统”的属性

加固方法

建议设置：

日志上限大小：20480 KB

是否实施

备注

操作目的

对系统事件进行审核，在日后出现故障时用于排查故障

检查方法

“Win+R”键调出“运行”->secpol.msc ->安全设置->本地策略->审核策略

加固方法

建议设置：

审核策略更改：成功

审核登录事件：成功，失败

审核对象访问：成功

审核进程跟踪：成功，失败

审核目录服务访问：成功，失败

审核系统事件：成功，失败

审核账户登录事件：成功，失败

审核账户管理：成功，失败

是否实施

备注

“Win+R”键调出“运行”->gpupdate /force立即生效