資源描述:
《windows2008組策略安全配置文檔》由會員上傳分享��,免費在線閱讀�,更多相關(guān)內(nèi)容在行業(yè)資料-天天文庫。
1�����、關(guān)于windows2008的組策略設(shè)置開始---運行----gpedit.msc---組策略----計算機(jī)配置----Windows設(shè)置----安全設(shè)置---組策略設(shè)置: 在用戶權(quán)利指派下,從通過網(wǎng)絡(luò)訪問此計算機(jī)中刪除PowerUsers和BackupOperators; 啟用不允許匿名訪問SAM帳號和共享; 啟用不允許為網(wǎng)絡(luò)驗證存儲憑據(jù)或Passport; 從文件共享中刪除允許匿名登錄的DFS$和COMCFG; 啟用交互登錄:不顯示上次的用戶名; 啟用在下一次密碼變更時不存儲LANMAN哈希值; 禁止IIS匿名用戶在
2�����、本地登錄; 3.本地安全策略設(shè)置: 開始菜單—>管理工具—>本地安全策略 A��、本地策略——>審核策略 審核策略更改 成功 失敗 審核登錄事件 成功 失敗 審核對象訪問失敗 審核過程跟蹤 無審核 審核目錄服務(wù)訪問失敗 審核特權(quán)使用失敗 審核系統(tǒng)事件 成功 失敗 審核賬戶登錄事件 成功 失敗 審核賬戶管理 成功 失敗 注:在設(shè)置審核登陸事件時選擇記失敗��,這樣在事件查看器里的安全日志就會記錄登陸失敗的信息�����?! �、本地策略——>用戶權(quán)限分配 關(guān)閉系統(tǒng):只有Administrators組、其它全部刪除��?��! ⊥ㄟ^終
3�、端服務(wù)拒絕登陸:加入Guests�、User組(備注不要加入User組以后無法遠(yuǎn)程登錄。) 通過終端服務(wù)允許登陸:只加入Administrators組,其他全部刪除 C�、本地策略——>安全選項 交互式登陸:不顯示上次的用戶名 啟用 網(wǎng)絡(luò)訪問:不允許SAM帳戶和共享的匿名枚舉啟用 網(wǎng)絡(luò)訪問:不允許為網(wǎng)絡(luò)身份驗證儲存憑證 啟用 網(wǎng)絡(luò)訪問:可匿名訪問的共享 全部刪除 網(wǎng)絡(luò)訪問:可匿名訪問的命全部刪除 網(wǎng)絡(luò)訪問:可遠(yuǎn)程訪問的注冊表路徑全部刪除 網(wǎng)絡(luò)訪問:可遠(yuǎn)程訪問的注冊表路徑和子路徑全部刪除 帳戶:重命名來賓帳戶重命名一個
4、帳戶帳戶:重命名系統(tǒng)管理員帳戶 重命名一個帳戶防火墻安全設(shè)置:計算機(jī)配置----管理模板----網(wǎng)絡(luò)---網(wǎng)絡(luò)連接----windows防火墻----標(biāo)準(zhǔn)配置文件---windows防火墻保護(hù)所有網(wǎng)絡(luò)連接----啟動Tsconfig.msc右鍵RDP—TCP屬性安全層SSL(TLS.0)加密級別高(帶網(wǎng)絡(luò)認(rèn)證安全連接)關(guān)于目錄權(quán)限設(shè)置:1.1除系統(tǒng)所在分區(qū)之外的所有分區(qū)都賦予Administrators和SYSTEM有完全控制權(quán)���,之后再對其下的子目錄作單獨的目錄權(quán)限��,如果WEB站點目錄���,你要為其目錄權(quán)限分配一個與之對應(yīng)的匿名訪問帳號
5、并賦予它有修改權(quán)限���,如果想使網(wǎng)站更加堅固���,可以分配只讀權(quán)限并對特殊的目錄作可寫權(quán)限?�!?.2系統(tǒng)所在分區(qū)下的根目錄都要設(shè)置為不繼承父權(quán)限�,之后為該分區(qū)只賦予Administrators和SYSTEM有完全控制權(quán)。1.3因為服務(wù)器只有管理員有本地登錄權(quán)限���,所在要配置DocumentsandSettings這個目錄權(quán)限只保留Administrators和SYSTEM有完全控制權(quán)�,其下的子目錄同樣�。另外還有一個隱藏目錄也需要同樣操作����。因為如果你安裝有PCAnyWhere那么他的的配置信息都保存在其下����,使用webshell或FSO可以輕松的
6、調(diào)取這個配置文件��。1.4配置Programfiles目錄�����,為CommonFiles目錄之外的所有目錄賦予Administrators和SYSTEM有完全控制權(quán)����。1.5配置Windows目錄��,其實這一塊主要是根據(jù)自身的情況如果使用默認(rèn)的安全設(shè)置也是可行的����,不過還是應(yīng)該進(jìn)入SYSTEM32目錄下,將cmd.exe�����、ftp.exe、net.exe�����、scrrun.dll��、shell.dll這些殺手锏程序賦予匿名帳號拒絕訪問���。1.6審核MetBase.bin�����,C:WINNTsystem32inetsrv目錄只有administrator
7���、只允許Administrator用戶讀寫。修改SQL數(shù)據(jù)庫端口cliconfg1433修改成其它的端口XP遠(yuǎn)程連接windows2008支持網(wǎng)絡(luò)級別的身份認(rèn)證(mstsc打開遠(yuǎn)程連接查看軟件是否支持6.1協(xié)議)開始---運行---regedit打開注冊表-----定位到以下注冊表鍵值:HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlLsa���,雙擊右側(cè)SecurityPackages�����,打開編輯多字符串對話框�,在列表中添加tspkg��。定位到以下注冊表鍵值:HKEY_LOCAL_MAC
8、HINESYSTEMCurrentControlSetControlSecurityProviders�����,雙擊右側(cè)的SecurityProviders�����,如無則新建此字符串�����,打開編輯字符串對話框�,在數(shù)值數(shù)據(jù)框中添加,credssp
