首页网络安全正文

windows2008安全加固方法（win10系统安全加固）

网络安全 4个月前 (02-02) 465

本篇文章给大家谈谈windows2008安全加固方法，以及win10系统安全加固对应的知识点，希望对各位有所帮助，不要忘了收藏本站喔。本文目录一览： 1、怎样对windows操作系统进行安全加固

本篇文章给大家谈谈windows2008安全加固方法，以及win10系统安全加固对应的知识点，希望对各位有所帮助，不要忘了收藏本站喔。

本文目录一览：

1、怎样对windows操作系统进行安全加固
2、windows server 2008 怎么设置 windows 防火墙
3、Windows 的服务器安全加固方案
4、可通过什么方法对windows操作系统进行加固
5、论述提高windows server 2008 的安全可以从哪些方面入手

怎样对windows操作系统进行安全加固

1、修改默认管理员账户名称

Windows操作系统安装后，默认的管理员用户名为administrator，只要知道了该账户的密码，就掌握了系统的最高权限，若将管理员名称更改为其它名称，对于入侵者而言，是提高了入侵的门槛。

2、密码管理

密码长度和强度，建议设置密码长度为10位以上，并采用大写字母、小写字母、数字、字符混合使用；定期修改密码，比如1个月、3个月修改一次，根据系统的重要性确定修改周期。

3、禁用不需要的用户

禁用GUEST账号，以及其它不使用的账号。

4、安装杀毒软件

安装杀毒软件后，定期、及时更新到最新版本的特征库，提升系统反病毒的能力。

5、开启防火墙

在控制面板中，开启windows防火墙，可根据具体情况，进行细化配置。

6、禁用不用的服务

在控制面板的管理工具中，找到服务，打开后，根据具体情况，禁用不必要的服务。

7、关闭常被入侵的端口

开放的端口是网络入侵的部分前提，所以关闭常被入侵的端口，减少安全事件发生的概率。

8、关闭默认共享

删除盘符下的默认共享，比如要删除C盘下的默认共享，在命令提示符中，输入以下命令：net share c$/del。

9、配置安全策略

在控制面板的管理工具中，打开本地安全策略。在本地策略的安全选项中，进行安全配置。

windows server 2008 怎么设置 windows 防火墙

1.打开控制面板，点击windows 防火墙

2.防火墙的主页面里列出防火寺的基本状态。点击“启用或关闭windows防火墙”可以配置防火墙选项

3.在常规菜单里可以开户或关闭windows防火墙。启用防火墙下有个“阻止所有传入连接”设置如果打上勾，是在使用的网络不确定安全时启用.

4.接着配置例外选项，所谓例外指的是防火墙对这些例外的应用程序使用的端口或者自行添加的端口不进行阻止，直接放行，适合于已知安全的应用。

5.点击“添加程序”，系统列出已安装的应用程序，选择需要添加成例外的应用程序，点击确认即可添加成windows防火墙例外程序。“更改范围”选项里可以设置更具体的选项。

6.点击例外菜单下“添加端口”可添加自己所需要放行的端口，如tomcat运行时默认8080端口，可以填入tomcat及端口号8080，那么系统将对8080端口进行放行

7.点击高级菜单，这里可以配置防火墙保护哪些网卡通讯的数据。

Windows 的服务器安全加固方案

因为IIS(即Internet Information Server)的方便性和易用性，使它成为最受欢迎的Web服务器软件之一。但是，IIS的安全性却一直令人担忧。如何利用IIS建立一个安全的Web服务器，是很多人关心的话题。要创建一个安全可靠的Web服务器，必须要实现Windows 2003和IIS的双重安全，因为IIS的用户同时也是Windows 2003的用户，并且IIS目录的权限依赖Windows的NTFS文件系统的权限控制，所以保护IIS安全的`第一步就是确保Windows 2000操作系统的安全，所以要对服务器进行安全加固，以免遭到黑客的攻击，造成严重的后果。

我们通过以下几个方面对您的系统进行安全加固：

1. 系统的安全加固：我们通过配置目录权限，系统安全策略，协议栈加强，系统服务和访问控制加固您的系统，整体提高服务器的安全性。

2. IIS手工加固：手工加固iis可以有效的提高iweb站点的安全性，合理分配用户权限，配置相应的安全策略，有效的防止iis用户溢出提权。

3. 系统应用程序加固，提供应用程序的安全性，例如sql的安全配置以及服务器应用软件的安全加固。

系统的安全加固：

1.目录权限的配置：

1.1 除系统所在分区之外的所有分区都赋予Administrators和SYSTEM有完全控制权，之后再对其下的子目录作单独的目录权限，如果WEB站点目录，你要为其目录权限分配一个与之对应的匿名访问帐号并赋予它有修改权限，如果想使网站更加坚固，可以分配只读权限并对特殊的目录作可写权限。

1.2 系统所在分区下的根目录都要设置为不继承父权限，之后为该分区只赋予Administrators和SYSTEM有完全控制权。

1.3 因为服务器只有管理员有本地登录权限，所在要配置Documents and Settings这个目录权限只保留Administrators和SYSTEM有完全控制权，其下的子目录同样。另外还有一个隐藏目录也需要同样操作。因为如果你安装有PCAnyWhere那么他的的配置信息都保存在其下，使用webshell或FSO可以轻松的调取这个配置文件。

1.4 配置Program files目录，为Common Files目录之外的所有目录赋予Administrators和SYSTEM有完全控制权。

1.5 配置Windows目录，其实这一块主要是根据自身的情况如果使用默认的安全设置也是可行的，不过还是应该进入SYSTEM32目录下，将 cmd.exe、、net.exe、scrrun.dll、shell.dll这些杀手锏程序赋予匿名帐号拒绝访问。

1.6审核MetBase.bin，C:WINNTsystem32inetsrv目录只有administrator只允许Administrator用户读写。

2.组策略配置:

在用户权利指派下，从通过网络访问此计算机中删除Power Users和Backup Operators;

启用不允许匿名访问SAM帐号和共享;

启用不允许为网络验证存储凭据或Passport;

从文件共享中删除允许匿名登录的DFS$和COMCFG;

启用交互登录：不显示上次的用户名;

启用在下一次密码变更时不存储LANMAN哈希值;

禁止IIS匿名用户在本地登录;

3.本地安全策略设置:

开始菜单—管理工具—本地安全策略

A、本地策略——审核策略

审核策略更改成功失败

审核登录事件成功失败

审核对象访问失败

审核过程跟踪无审核

审核目录服务访问失败

审核特权使用失败

审核系统事件成功失败

审核账户登录事件成功失败

审核账户管理成功失败

注：在设置审核登陆事件时选择记失败，这样在事件查看器里的安全日志就会记录登陆失败的信息。

可通过什么方法对windows操作系统进行加固

一）安装对策

在进行系统安装时，采取以下对策：

1、在完全安装、配置好操作系统，给系统全部安装系统补丁之前，一定不要把机器接入网络。

2、在安装操作系统时，建议至少分三个磁盘分区。第一个分区用来安装操作系统，第二分区存放IIS、FTP和各种应用程序，第三个分区存放重要的数据和日志文件。

3、采用NTFS文件格式安装操作系统，可以保证文件的安全，控制用户对文件的访问权限。

4、在安装系统组件时，不要采用缺省安装，删除系统缺省选中的IIS、DHCP、DNS等服务。

5、在安装完操作系统后，应先安装在其上面的应用系统，后安装系统补丁。安装系统补丁一定要全面。

6、做系统的ghost以备还原。

（二）运行对策

在系统运行时，采取以下对策：

1、关闭系统默认共享

修改系统注册表，禁止默认共享功能。在[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServiceslanmanserverparameters]下新建"autoshareserver"=dword:00000000。

2、删除多余的不需要的网络协议，只保留TCP/IP网络通讯协议。

3、关闭不必要的有安全隐患的服务

用户可以根据实际情况，关闭如：Telnet services、DHCP Client、DNS Client、Print spooler、Remote Registry services、SNMP　Services 、Terminal Services 等有安全隐患的系统服务。　

4、启用安全策略（Gpedit.msc 打开系统策略编辑器）

（1）帐号锁定策略。设置帐号锁定阀值，3次无效登录后，即锁定帐号。

（2）密码策略。

一是密码必须符合复杂性要求，即密码中必须包括字母、数字以及特殊字符。

二是服务器密码长度最少设置为8位字符以上。

（3）审核策略。默认安装时是关闭的。激活此功能有利于管理员很好的掌握机器的状态，可以从日志中了解到机器是否在被人蛮力攻击、非法的文件访问等等。建议至少审核登录事件、帐户登录事件、帐户管理三个事件。

（4）“用户权利指派”。在“用户权利指派”中，将“从远端系统强制关机”权限设置为禁止任何人有此权限，防止黑客从远程关闭系统。

（5）“安全选项”。在“安全选项”中，将“对匿名连接的额外限制”权限改为“不允许枚举SAM帐号和共享”。也可以通过修改注册表中的值来禁止建立空连接，[HKEY_LOCAL_MACHINESystemCurrentControlSetControlLSA]下的"RestrictAnonymous"=000001。可以有效地防止利用IPC$空连接枚举SAM帐号和共享资源，造成系统信息的泄露。

5、加强对Administrator帐号和Guest帐号的管理监控

将Administrator帐号重新命名，创建一个陷阱账号，名为“Administrator”，口令为10位以上的复杂口令，其权限设置成最低，即：将其设为不隶属于任何一个组，并通过安全审核，借此发现攻击者的入侵企图。设置2个管理员用账号，一个具有一般权限，用来处理一些日常事物；另一个具有Administrators 权限，只在需要的时候使用。修改Guest用户口令为复杂口令，并禁用GUEST用户帐号。

6、关闭文件和打印共享

[HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionPoliciesNetWork] "NoFileSharingControl"=0000001

论述提高windows server 2008 的安全可以从哪些方面入手

关于安全防范工作，具体如下：

1、及时安装漏洞补丁

自Windows Server 2008系统问世以来声称自己的安全性能非常强大，这并不意味着该系统安全已经无懈可击了，因为来自该系统的安全漏洞还是接二连三地被专业黑客们发现了，为了能够在第一时间堵住Windows Server 2008系统最新的系统漏洞，微软公司也是马不停蹄地为最新发现的系统漏洞提供了补丁安装程序，要是我们能够及时下载安装这些漏洞补丁程序，那么Windows Server 2008系统的安全隐患就能被控制在一个很低的水平。当自己的电脑中安装了indows Server 2008系统后，我们应该巧妙设置系统，让其能够自动从Internet网络中下载安装最新发现的漏洞补丁程序。

2、定期清剿流氓程序在Windows Server 2008系统环境下上网访问时，稍微不小心就可能会遇到一些流氓程序的突然袭击，并且恶意程序缠身之后我们往往很难直接将它们清除出系统。为了让Windows Server 2008系统不让流氓程序疯狂"缠身"，我们可以巧妙地使用该系统自带的Windows Defender 功能，来定期扫描系统的各个"角落"，这样一来就能将"躲藏"在Windows Server 2008系统中的各种恶意流氓程序搜索出来，并且自动对它们执行删除操作。

3、阻止恶意Ping攻击我们知道很多黑客常常会借助一些专业工具向服务器系统不停地发送Ping测试数据包，以便破坏服务器系统的正常工作状态。事实上，在Windows Server 2008系统环境下，我们可以利用该系统提供的强大Windows防火墙功能，来阻止黑客向Windows Server 2008服务器系统实施恶意Ping攻击。

4、加强系统安全提示功能接触过Windows Vista系统的朋友，肯定会被该系统的UAC功能（用户帐号控制功能）所吸引，因为每次用户在该系统中尝试进行一些影响系统安全的操作时，屏幕上总会及时出现提示，要求用户进行确认操作，这无形之中就为系统安全增添了一层保险。然而，当我们尝试在Windows Server 2008系统环境下，进行删除类似系统文件这样的危险操作时，系统屏幕上并没有及时出现相应的安全提示，如此说来这是否意味着Windows Server 2008系统不支持UAC功能？其实，Windows Server 2008系统同样也具有UAC功能，只是在默认状态下没有将该功能启用起来罢了；为了防止在Windows Server 2008服务器系统中不小心进行了一些不安全操作，我们建议各位还是将该系统自带的UAC功能启用起来，并且该功能还能有效防范一些木马程序自动在系统后台进行安装操作。

windows2008安全加固方法（win10系统安全加固）