Windows Server 2008 R2 服务器系统安全防御加固方法包括定期更新补丁、使用强密码和多因素认证、限制用户权限、配置防火墙规则、监控日志、禁用不必要的服务和端口、安装防病毒软件等。
文件系统安全
| 步骤 | 说明 |
| 1. 使用NTFS文件系统 | 确保所有系统驱动器都使用NTFS文件系统,如果不是,使用命令convert<驱动器盘符>: /fs:ntfs进行转换。 |
| 2. 设置权限 | 查看每个驱动器的根目录,取消Everyone组用户的完全控制权,仅给予“读取和执行”、“列出文件夹目录”、“读取”这三个权限。 |
检查并限制Everyone权限
| 步骤 | 说明 |
| 1. 查看权限 | 查看系统驱动盘根目录下Everyone的权限。 |
| 2. 修改权限 | 取消Everyone组用户的完全控制权,一般只给“读取和执行”、“列出文件夹目录”、“读取”这三个权限。 |
删除组件和限制命令权限
| 步骤 | 说明 |
| 1. 删除组件 | 删除“WScript.Shell”和“Shell.application”这两个组件,分别使用命令regsvr32 /u C:\WINDOWS\System32\wshom.ocx和regsvr32 /u C:\WINDOWS\system32\shell32.dll。 |
| 2. 限制命令权限 | 对某些命令做限制,只允许system、Administrator组访问,找到对应的文件,把其他用户的权限去掉,只留下system、Administrator组的访问权限。 |
关闭不必要的服务和端口
| 步骤 | 说明 |
| 1. 查看服务 | 使用命令services.msc打开服务管理界面,根据服务需求情况禁用不需要的服务。 |
| 2. 查看端口 | 使用命令netstat -a -n查看当前端口使用情况。 |
| 3. 添加端口筛选器 | 创建IP安全策略,添加需要过滤的端口号,配置筛选器操作的动作为阻止。 |
调整日志和审计策略
| 步骤 | 说明 |
| 1. 查看日志 | 使用命令eventvwr.msc打开事件查看器。 |
| 2. 更改日志存储大小 | 避免由于日志文件容量过小导致日志记录不全。 |
| 3. 增强审核 | 建议设置产生日志,方便以后出现故障时利于排查。 |
强化账号管理和密码策略
| 步骤 | 说明 |
| 1. 修改系统管理员账号名 | 尽量不要用admin、administrator、guanliyuan之类的名称。 |
| 2. 禁用或新建管理员账户 | 直接禁用管理员账户,然后新建一个普通用户。 |
| 3. 删除无用账户 | 在命令行下操作或直接在计算机管理的用户中选中需要删除的账户右键删除。 |
| 4. 设置口令策略 | 设置密码必须符合复杂性要求,建议密码长度最小值至少为8,强制密码历史设置至少为5。 |
| 5. 账户锁定策略 | 建议账户锁定阈值设置为5次,复位和锁定时间设定为几分钟。 |
定期更新系统补丁
| 步骤 | 说明 |
| 1. 查看已安装补丁 | 使用命令systeminfo或通过控制面板查看。 |
| 2. 及时更新补丁 | 根据官网最新消息,从官网下载补丁,然后手动进行安装。 |
相关问题与解答
1、如何更改终端默认端口号?
答案:可以通过修改注册表来更改终端默认端口号,运行regedit,导航到HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp,将PortNumber的值(默认是3389)修改成自定义的端口号,例如12345,然后在防火墙中设置ipsec编辑规则,重新启动电脑后即可使用新端口远程登录。
2、如何删除默认共享?
答案:可以通过命令提示符删除默认共享,打开dos,输入命令net share查看默认共享,新建文本文档,输入命令net share c$ /del net share d$ /del net share IPC$ /del net share admin$ /del另存为sharedelte.bat,运行gpedit.msc,展开windows设置—脚本(启动\关机)—启动,右键属性—添加sharedelte.bat。
小伙伴们,上文介绍了“Windows server 2008 R2 服务器系统安全防御加固方法”的内容,你了解清楚吗?希望对你有所帮助,任何问题可以给我留言,让我们下期再见吧。
