WindowsServer2008R2WEB服务器安全设置指南(二)之组策略与用户设置讲述.doc

Windows Server 2008 R2 WEB 服务器安全设置指南(二)之组策略与用户设置 通过优化设置组策略、对系统默认的管理员、用户进行重命名、创建陷阱帐户等措施来提高系统安全性。 接 HYPERLINK /read/3 \t _blank 上篇，我们已经改好了远程连接端口，已经能拒绝一部份攻击了，但是这些设置还远远不够。在做以下安全时，必须确保你的服务器软件已经全部配置完毕，并且能正常使用，不然如果在安全设置后再安装软件的话，有可能会安装失败或发生其它错误，导致环境配置失败。 密码策略 系统密码的强弱直接关系到系统的安全，如果你的密码太简单，万一你的远程连接端口被扫到，那破解你的密码就是分分钟钟后了。所以，我们的系统密码必须要设置一个符合安全性要求的密码，如使用大小写英文、数字、特殊符号、长度不小于6位等措施来加强密码安全性。在Windows 2008以上系统中，系统提供了一个“密码策略”的设置，我们来设置它，先进入“本地安全策略”， 依次打开 安全设置-----帐户策略-----密码策略-----密码必须符合复杂性要求,启用. 审核策略 审核策略的作用就是万一有恶意用户在破解你的密码、登录你的系统，或者修改你的系统等事件，你可以及早发现并处理。 默认都是无审核，我们必须修改它，如下是我修改的审核策略， 己基本能捕捉所需信息，我们只要分析这些产生的日志，就能发现问题所在。 用户权限分配 这里主要是限制哪些用户可以使用远程连接登录到服务器，默认是Administrators组和Remote Desktop Users组，这二个组的成员都可以远程登录到服务器，而我们一般作为WEB服务器，用户不会太多，可能就只有一个管理员，所以就没必要指定组，直接指定用户就可以了。 修改系统用户和组 1、对系统默认用户名和用户组进行重命名，这里分二步。 ? ? ⑴、重命名默认管理员administrator和来宾帐户，如我就将administrator重命名为wobushiad，将guest重命名为wobushiguest， 以后登录服务器就要使用修改后的用户名wobushiad来登录。 ? ? ⑵、新建一个名为administrator，隶属于Guests组的用户，设置一个超级复杂的密码（在记事本里打一串字符包??大小写、数字、特殊符号复制进去，你自己无需记住此密码），并禁用帐户。这个帐户是一个陷阱帐户，我们自己并不会使用此帐户。 再修改默认管理员组administrators和Guest组， 安全选项 交互式登录: 不显示最后的用户名，启用；网络访问:不允许SAM帐户和共享的匿名枚举，启用；网络访问:不允许存储网络身份验证的密码和凭据，启用；网络访问:可远程访问的注册表路径，清空；网络访问:可远程访问的注册表路径和子路径，清空