查看系统版本

Windows Server 2008 r2 Enterprise

用途

Vpn服务器

查看主机名

查看网络配置

操作目的

预防木马及病毒等危害程序

检查方法

检查系统杀软服务是否启动。

加固方法

安装杀毒软件；开启实时监控；设置合适的监控级别；为杀软设置密码。

是否实施

备注

操作目的

安装系统补丁，修补漏洞

检查方法

使用漏扫工具扫描。

加固方法

使用工具自动化打补丁。

是否实施

备注

操作目的

减少系统无用账号，降低风险

检查方法

“Win+R”键调出“运行”->compmgmt.msc（计算机管理）->本地用户和组，查看是否有不用的账号，系统账号所属组是否正确以及guest账号是否锁定

加固方法

使用“net user 用户名 /del”命令删除账号

使用“net user 用户名 /active:no”命令锁定账号

是否实施

备注

检查注册表，预防影子账号。

操作目的

增强口令的复杂度及锁定策略等，降低被暴力破解的可能性

检查方法

“Win+R”键调出“运行”->secpol.msc （本地安全策略）->安全设置

加固方法

1，账户策略->密码策略

密码必须符合复杂性要求：启用

密码长度最小值：8个字符

密码最短使用期限：0天

密码最长使用期限：90天

强制密码历史：1个记住密码

用可还原的加密来存储密码：已禁用

2，账户设置->账户锁定策略

帐户锁定时间：30分钟

帐户锁定阀值：5次无效登录

重置帐户锁定计数器：30分钟

3，本地策略->安全选项

交互式登录：不显示最后的用户名：启用

是否实施

备注

“Win+R”键调出“运行”->gpupdate /force立即生效

操作目的

关闭不需要的服务，减小风险

检查方法

“Win+R”键调出“运行”->services.msc

加固方法

以下服务改为手动

COM+ Event System

DHCP Client

Diagnostic Policy Service

Distributed Transaction Coordinator

DNS Client

Distributed Link Tracking Client

Remote Registry

Print Spooler

Server（不使用文件共享可以关闭）

Shell Hardware Detection

TCP/IP NetBIOS Helper

Windows Update

是否实施

备注

停用服务需谨慎，特别是远程计算机

操作目的

关闭默认共享

检查方法

“Win+R”键调出“运行”->cmd.exe->net share，查看共享

加固方法

关闭C$，D$等默认共享

“Win+R”键调出“运行”->regedit->找到HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters ，新建AutoShareServer（REG_DWORD），键值为0

是否实施

备注

操作目的

网络访问限制

检查方法

“Win+R”键调出“运行”->secpol.msc ->安全设置->本地策略->安全选项

加固方法

网络访问: 不允许 SAM 帐户的匿名枚举：已启用

网络访问: 不允许 SAM 帐户和共享的匿名枚举：已启用

网络访问: 将 Everyone权限应用于匿名用户：已禁用

帐户: 使用空密码的本地帐户只允许进行控制台登录：已启用

是否实施

备注

“Win+R”键调出“运行”->gpupdate /force立即生效

操作目的

增强文件系统安全性

检查方法

查看每个系统驱动器是否使用NTFS文件系统

加固方法

建议使用NTFS文件系统，转换命令：convert <驱动器盘符>: /fs:ntfs

是否实施

备注

操作目的

增强Everyone权限

检查方法

鼠标右键系统驱动器（磁盘）->“属性”->“安全”，查看每个系统驱动器根目录是否设置为Everyone有所有权限

加固方法

删除Everyone的权限或者取消Everyone的写权限

是否实施

备注

操作目的

限制部分命令的权限

检查方法

使用cacls命令或资源管理器查看以下文件权限

加固方法

建议对以下命令做限制，只允许system、Administrator组访问

%systemroot%\system32\cmd.exe

%systemroot%\system32\regsvr32.exe

%systemroot%\system32\tftp.exe

%systemroot%\system32\ftp.exe

%systemroot%\system32\telnet.exe

%systemroot%\system32\net.exe

%systemroot%\system32\net1.exe

%systemroot%\system32\cscript.exe

%systemroot%\system32\wscript.exe

%systemroot%\system32\regedit.exe

%systemroot%\system32\regedt32.exe

%systemroot%\system32\cacls.exe

%systemroot%\system32\command.com

%systemroot%\system32\at.exe

是否实施

备注

可能会影响业务系统正常运行

操作目的

增大日志量大小，避免由于日志文件容量过小导致日志记录不全

检查方法

“Win+R”键调出“运行”->eventvwr.msc ->“windows日志”->查看“应用程序”“安全”“系统”的属性

加固方法

建议设置：

日志上限大小：20480 KB

是否实施

备注

操作目的

对系统事件进行审核，在日后出现故障时用于排查故障

检查方法

“Win+R”键调出“运行”->secpol.msc ->安全设置->本地策略->审核策略

加固方法

建议设置：

审核策略更改：成功

审核登录事件：成功，失败

审核对象访问：成功

审核进程跟踪：成功，失败

审核目录服务访问：成功，失败

审核系统事件：成功，失败

审核帐户登录事件：成功，失败

审核帐户管理：成功，失败

是否实施

备注

“Win+R”键调出“运行”->gpupdate /force立即生效