Windows服务器安全策略设置

1.非必要共享服务和端口-操作系统
2.密码复杂度和定期更新-操作系统
3.登陆失败锁定和超时锁定-操作系统
4.禁用guest和administrator改名-操作系统
5.三员设置-操作系统
6.信息资源分级分类和依据敏感标签访问控制-操作系统
7.限制终端接入地址-操作系统
8.终端地址限制-数据库
9.密码复杂度策略和更新策略-数据库
10.杀毒软件-操作系统

1.非必要共享服务和端口-操作系统

**
操作系统关闭不必要的服务如smartd（一个守护进程（帮助程序）、Print Spoole（管理所有本地和网络打印队列及控制所有打印工作），操作系统关闭默认盘符共享，操作系统通过防火墙或IPSEC禁用不必要的135、139、445端口。
了解135、139、445端口：
135：IEen工具能够借助135端口轻松连接到Internet上的其他工作站，并远程控制该工作站的IE浏览器。例如，在浏览器中执行的任何操作，包括浏览页面内容、输入帐号密码、输入搜索关键字等，都会被IEen工具监控到。甚至在网上银行中输入的各种密码信息，都能被IEen工具清楚地获得。除了可以对远程工作站上的IE浏览器进行操作、控制外，IEen工具通过135端口几乎可以对所有的借助DCOM开发技术设计出来的应用程序进行远程控制，例如IEen工具也能轻松进入到正在运行Excel的计算机中，直接对Excel进行各种编辑操作。
139：139端口是一种TCP端口，该端口在你通过网上邻居访问局域网中的共享文件或共享打印机时就能发挥作用。139端口一旦被Internet上的某个攻击者利用的话，就能成为一个危害极大的安全漏洞。因为黑客要是与目标主机的139端口建立连接的话，就很有可能浏览到指定网段内所有工作站中的全部共享信息，甚至可以对目标主机中的共享文件夹进行各种编辑、删除操作，倘若攻击者还知道目标主机的IP地址和登录帐号的话，还能轻而易举地查看到目标主机中的隐藏共享信息。
445：445端口也是一种TCP端口，该端口在Windows 2000 Server或Windows Server 2003系统中发挥的作用与139端口是完全相同的。具体地说，它也是提供局域网中文件或打印机共享服务。不过该端口是基于CIFS协议（通用因特网文件系统协议）工作的，而139端口是基于SMB协议（服务器协议族）对外提供共享服务。同样地，攻击者与445端口建立请求连接，也能获得指定局域网内的各种共享信息。

步骤一：

步骤二：

步骤三：在服务里面找到smartd、Print Spoole并禁用服务。

步骤四：右键-属性。关闭磁盘共享。

步骤五：操作系统通过防火墙禁用不必要的135、139、445端口。

步骤六：

步骤七：

步骤八：

步骤九：

步骤十：

步骤十一：最后启用防火墙。

2.密码复杂度和定期更新-操作系统

在工具中-本地安全策略

密码长度不少于8位，密码更换周期不超过90天。

3.登陆失败锁定和超时锁定-操作系统

操作系统启用5次登录失败锁定策略，设置30分钟登录超时锁定策略。

cmd命令‘gpedit.msc’。计算机配置-管理模板-Windows组件-远程桌面服务-远程桌面会话主机
远程桌面连接设置5分钟会话超时

远程桌面会话超时策略

4.禁用guest和administrator改名-操作系统

在Administrator上点击右键——重命名（设置密码）。

5.三员设置-操作系统

创建三个账户systemuser-系统管理员，audit-系统审计员，syssafe-系统安全员
系统管理员
1.负责系统参数，如流程、表单的配置、维护和管理。
2.负责用户的注册、删除,保证用户标识符在系统生命周期的唯一性;
3.负责组织机构的变动调整,负责与用户权限相关的各类角色的设置。

安全保密管理员
1.负责人员涉密等级和职务等信息调整和用户权限的分配;
2.负责保管所有除系统管理员以外的所有用户的ID标志符文件。安全保密管理员不能以其他用户身份登录系统;
3.不能查看和修改任何业务数据库中的信息；
4.负责用户审计日志以及安全审计员日志的查看，但不能增删改日志内容。

安全审计员
1.负责监督查看系统管理员、安全保密管理员和安全审计管理员的操作日志,但不能增删改日志内容;
2.负责定期备份、维护和导出日志。
在应用系统设计过程中应避免超级用户，即该用户具有完全的资源访问权限。
对于普通用户的权限，应按照最小授权原则进行划分，将其权限设定在完成工作所需的最小授权范围内。

6.信息资源分级分类和依据敏感标签访问控制-操作系统

通过对不同用户的用户组分配，控制操作系统资源的使用与访问控制。
用户右键-属性-隶属于-添加。对账户进行权限功能分配。

7.限制终端接入地址-操作系统

对操作系统进行限制接入终端ip。打开“高级安全windows防火墙”窗口。“入站规则”，“远程桌面-用户模式（TCP-In）”，属性中选择“作用域”设置相关信息。

8.终端地址限制-数据库

Oracle的Net Manager中。数据库限制终端接入地址限制。

9.密码复杂度策略和更新策略-数据库

1.命令行窗口下输入sqlplus
2.“请输入用户名:" 提示下直接输入用户名/密码@数据库名
一、修改密码过期时间
1、查看目前的密码过期策略

select * from dba_profiles s where s.profile='DEFAULT' and resource_name='PASSWORD_LIFE_TIME';

2、修改密码过期策略

alter profile default limit password_life_time 90;

二、修改密码错误次数

select * from dba_profiles s where s.profile='DEFAULT' and resource_name='FAILED_LOGIN_ATTEMPTS';

SQL>alter profile default limit failed_login_attempts 5;    //修改为5次

三.设置密码策略

SQL> alter system set resource_limit = true;
SQL> alter profile default limit password_verify_function verify_function;
SQL> select * from dba_profiles where resource_NAME='PASSWORD_VERIFY_FUNCTION';

10.杀毒软件-操作系统

及时安装网络版杀毒软件，定期进行全盘病毒扫描，及时识别入侵和病毒行为。