2008r2 web服务器安全部署

win2008r2 web服务器安全配置

1 分区格式安全

所有分区选择NTFS格式，同时参考“IIS7.5用户和用户组权限配置”文档

2 帐户安全

2.1 启用密码策略

在组策略中启用“密码必须符合复杂性要求”并给系统帐户设置强密码

2.2 重命名administrator帐户

2.3 禁用guest帐户

2.4 设置陷阱帐户

新增一个administrator帐户，设置为guests组或无用户组，并设置强密码

3 服务安全

停止和禁用不必要的服务 TCP/IP NetBIOS Helper Server

Workstation

Distributed Link Tracking Client Print Spooler Remote Registry

4 删除默认共享

关闭server服务后将不能访问共享，但是安全起见，还是将默认共享删除

在注册表下面的项中

HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Services\\lanmanserver\\parameters 添加或设置\HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Control\\LSA 添加或设置”RestrictAnonymous”= dword:00000001

5 禁用netbios

6 组策略安全设置

6.1 审核策略

6.2 安全选项

7 修改远程桌面连接端口

HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Control\\Terminal Server\\Wds\\rdpwd\\Tds\\tcp

和

HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Control\\Terminal Server\\WinStations\\RDP-Tcp

下的PortNumber=3389改成其它端口并在防火墙中开放相应端口

不仅要对服务器的远程桌面做安全设置，对连接过服务器的计算机也要设置，系统默认是会保存上次成功连接的IP和用户名的，如果管理员通过其它计算机连接过web服务器的远程桌面，那么会在计算机上留下痕迹，这样是不安全的，通过下面的设置删除并不保存连接信息：HKEY_CURRENT_USER\\Software\\Microsoft\\Terminal Server Client\\Default，取消所有权限，删除“我的文档”目录里的Default.rdp文件，删除后新建一个Default.rdp文件，同样将Default.rdp文件取消所有权限。这样就不会在本地记录远程桌面连接的IP和帐户。

8 设置屏保密码

9 设置重要目录和文件的NTFS权限

arp.exe，attrib.exe，cmd.exe，format.com，ftp.exe，tftp.exe，net.exe，net1.exe，netstat.exe，ping.exe，regedit.exe，regsvr32.exe, elnet.exe, xcopy.exe, at.exe只给Administrators组和SYSTEM 的完全控制权限

在win2008下，为了保证安全，这些系统文件的权限默认administrators组不能修改，所有者是TrustedInstaller，是系统内建的帐户，修改这些文件权限需要先将所有者改为当前管理员帐户。

10 安装杀软，及时更新补丁

本文来源：https://www.bwwdw.com/article/e7lt.html