Windows 2008 server security reinforcement a few considerations

2020-05-15 03:06:56
OfStack

1. System information

      查看系统版本

      Windows Server 2008 r2 Enterprise

      用途

      Vpn服务器

      查看主机名

      查看网络配置

2. Anti-virus software management

2.1 soft installation

      操作目的

      预防木马及病毒等危害程序

      检查方法

      检查系统杀软服务是否启动。

      加固方法

      安装杀毒软件；开启实时监控；设置合适的监控级别；为杀软设置密码。

      是否实施

      备注

3. Patch management

3.1 patch installation

      操作目的

      安装系统补丁，修补漏洞

      检查方法

      使用漏扫工具扫描。

      加固方法

      使用工具自动化打补丁。

      是否实施

      备注

4. Account password

4.1 account optimization

      操作目的

      减少系统无用账号，降低风险

      检查方法

      “Win+R”键调出“运行”->compmgmt.msc（计算机管理）->本地用户和组，查看是否有不用的账号，系统账号所属组是否正确以及guest账号是否锁定

      加固方法

      使用“net user 用户名 /del”命令删除账号
使用“net user 用户名 /active:no”命令锁定账号

      是否实施

      备注

      检查注册表，预防影子账号。

4.2 password strategy

      操作目的

      增强口令的复杂度及锁定策略等，降低被暴力破解的可能性

      检查方法

      “Win+R”键调出“运行”->secpol.msc （本地安全策略）->安全设置

      加固方法

      1，账户策略->密码策略
密码必须符合复杂性要求：启用
密码长度最小值：8个字符
密码最短使用期限：0天
密码最长使用期限：90天
强制密码历史：1个记住密码
用可还原的加密来存储密码：已禁用
2，账户设置->账户锁定策略
帐户锁定时间：30分钟
帐户锁定阀值：5次无效登录
重置帐户锁定计数器：30分钟
3，本地策略->安全选项
交互式登录：不显示最后的用户名：启用

      是否实施

      备注

      “Win+R”键调出“运行”->gpupdate /force立即生效

5. Web services

5.1 service optimization

      操作目的

      关闭不需要的服务，减小风险

      检查方法

      “Win+R”键调出“运行”->services.msc

      加固方法

      以下服务改为手动
COM+ Event System
DHCP Client
Diagnostic Policy Service
Distributed Transaction Coordinator
DNS Client
Distributed Link Tracking Client
Remote Registry
Print Spooler
Server（不使用文件共享可以关闭）
Shell Hardware Detection
TCP/IP NetBIOS Helper
Windows Update

      是否实施

      备注

      停用服务需谨慎，特别是远程计算机

5.2 close sharing

      操作目的

      关闭默认共享

      检查方法

      “Win+R”键调出“运行”->cmd.exe->net share，查看共享

      加固方法

      关闭C$，D$等默认共享
“Win+R”键调出“运行”->regedit->找到HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters ，新建AutoShareServer（REG_DWORD），键值为0

      是否实施

      备注

5.3 network restrictions

      操作目的

      网络访问限制

      检查方法

      “Win+R”键调出“运行”->secpol.msc ->安全设置->本地策略->安全选项

      加固方法

      网络访问: 不允许 SAM 帐户的匿名枚举：已启用
网络访问: 不允许 SAM 帐户和共享的匿名枚举：已启用
网络访问: 将 Everyone权限应用于匿名用户：已禁用
帐户: 使用空密码的本地帐户只允许进行控制台登录：已启用

      是否实施

      备注

      “Win+R”键调出“运行”->gpupdate /force立即生效

6. File system

6.1 use NTFS

      操作目的

      增强文件系统安全性

      检查方法

      查看每个系统驱动器是否使用NTFS文件系统

      加固方法

      建议使用NTFS文件系统，转换命令：convert <驱动器盘符>: /fs:ntfs

      是否实施

      备注

6.2 check the Everyone permissions

      操作目的

      增强Everyone权限

      检查方法

      鼠标右键系统驱动器（磁盘）->“属性”->“安全”，查看每个系统驱动器根目录是否设置为Everyone有所有权限

      加固方法

      删除Everyone的权限或者取消Everyone的写权限

      是否实施

      备注

6.3 limit command permissions

      操作目的

      预防木马及病毒等危害程序

      检查方法

      检查系统杀软服务是否启动。

      加固方法

      安装杀毒软件；开启实时监控；设置合适的监控级别；为杀软设置密码。

      是否实施

      备注

0

7. Log audit

7.1 enhancement log

      操作目的

      预防木马及病毒等危害程序

      检查方法

      检查系统杀软服务是否启动。

      加固方法

      安装杀毒软件；开启实时监控；设置合适的监控级别；为杀软设置密码。

      是否实施

      备注

1

7.2 enhanced audit

      操作目的

      预防木马及病毒等危害程序

      检查方法

      检查系统杀软服务是否启动。

      加固方法

      安装杀毒软件；开启实时监控；设置合适的监控级别；为杀软设置密码。

      是否实施

      备注

2

Note: the template of this article is from baidu down, I have made appropriate modifications.

查看系统版本	Windows Server 2008 r2 Enterprise
用途	Vpn服务器
查看主机名
查看网络配置

操作目的	预防木马及病毒等危害程序
检查方法	检查系统杀软服务是否启动。
加固方法	安装杀毒软件；开启实时监控；设置合适的监控级别；为杀软设置密码。
是否实施
备注

操作目的	安装系统补丁，修补漏洞
检查方法	使用漏扫工具扫描。
加固方法	使用工具自动化打补丁。
是否实施
备注

操作目的	减少系统无用账号，降低风险
检查方法	“Win+R”键调出“运行”->compmgmt.msc（计算机管理）->本地用户和组，查看是否有不用的账号，系统账号所属组是否正确以及guest账号是否锁定
加固方法	使用“net user 用户名 /del”命令删除账号使用“net user 用户名 /active:no”命令锁定账号
是否实施
备注	检查注册表，预防影子账号。

操作目的	增强口令的复杂度及锁定策略等，降低被暴力破解的可能性
检查方法	“Win+R”键调出“运行”->secpol.msc （本地安全策略）->安全设置
加固方法	1，账户策略->密码策略密码必须符合复杂性要求：启用密码长度最小值：8个字符密码最短使用期限：0天密码最长使用期限：90天强制密码历史：1个记住密码用可还原的加密来存储密码：已禁用 2，账户设置->账户锁定策略帐户锁定时间：30分钟帐户锁定阀值：5次无效登录重置帐户锁定计数器：30分钟 3，本地策略->安全选项交互式登录：不显示最后的用户名：启用
是否实施
备注	“Win+R”键调出“运行”->gpupdate /force立即生效

操作目的	关闭不需要的服务，减小风险
检查方法	“Win+R”键调出“运行”->services.msc
加固方法	以下服务改为手动 COM+ Event System DHCP Client Diagnostic Policy Service Distributed Transaction Coordinator DNS Client Distributed Link Tracking Client Remote Registry Print Spooler Server（不使用文件共享可以关闭） Shell Hardware Detection TCP/IP NetBIOS Helper Windows Update
是否实施
备注	停用服务需谨慎，特别是远程计算机

操作目的	关闭默认共享
检查方法	“Win+R”键调出“运行”->cmd.exe->net share，查看共享
加固方法	关闭C$，D$等默认共享 “Win+R”键调出“运行”->regedit->找到HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters ，新建AutoShareServer（REG_DWORD），键值为0
是否实施
备注

操作目的	网络访问限制
检查方法	“Win+R”键调出“运行”->secpol.msc ->安全设置->本地策略->安全选项
加固方法	网络访问: 不允许 SAM 帐户的匿名枚举：已启用网络访问: 不允许 SAM 帐户和共享的匿名枚举：已启用网络访问: 将 Everyone权限应用于匿名用户：已禁用帐户: 使用空密码的本地帐户只允许进行控制台登录：已启用
是否实施
备注	“Win+R”键调出“运行”->gpupdate /force立即生效

操作目的	增强文件系统安全性
检查方法	查看每个系统驱动器是否使用NTFS文件系统
加固方法	建议使用NTFS文件系统，转换命令：convert <驱动器盘符>: /fs:ntfs
是否实施
备注

操作目的	增强Everyone权限
检查方法	鼠标右键系统驱动器（磁盘）->“属性”->“安全”，查看每个系统驱动器根目录是否设置为Everyone有所有权限
加固方法	删除Everyone的权限或者取消Everyone的写权限
是否实施
备注