windows2008组策略安全配置.docVIP

关于windows2008 的组策略设置 开始---运行----gpedit.msc---组策略----计算机配置---- Windows设置----安全设置--- 组策略设置： 　　在用户权利指派下，从通过网络访问此计算机中删除Power Users和Backup Operators; 　　启用不允许匿名访问SAM帐号和共享; 　　启用不允许为网络验证存储凭据或Passport; 　　从文件共享中删除允许匿名登录的DFS$和COMCFG; 　　启用交互登录：不显示上次的用户名; 　　启用在下一次密码变更时不存储LANMAN哈希值; 　　禁止IIS匿名用户在本地登录; 　　3.本地安全策略设置: 　　开始菜单—管理工具—本地安全策略 　　A、本地策略——审核策略 　　审核策略更改　成功　失败 　　审核登录事件　成功　失败 　　审核对象访问失败 　　审核过程跟踪　无审核 　　审核目录服务访问失败 　　审核特权使用失败 　　审核系统事件　成功　失败 　　审核账户登录事件　成功　失败 　　审核账户管理　成功　失败 　　注：在设置审核登陆事件时选择记失败，这样在事件查看器里的安全日志就会记录登陆失败的信息。 　　B、本地策略——用户权限分配 　　关闭系统：只有Administrators组、其它全部删除。 　　通过终端服务拒绝登陆：加入Guests、User组（备注不要加入User组以后无法远程登录。） 　　通过终端服务允许登陆：只加入Administrators组，其他全部删除 　　C、本地策略——安全选项 　　交互式登陆：不显示上次的用户名　启用 　　网络访问：不允许SAM帐户和共享的匿名枚举启用 　　网络访问：不允许为网络身份验证储存凭证　启用 　　网络访问：可匿名访问的共享　全部删除 　　网络访问：可匿名访问的命全部删除 　　网络访问：可远程访问的注册表路径全部删除 　　网络访问：可远程访问的注册表路径和子路径全部删除 　　帐户：重命名来宾帐户重命名一个帐户 帐户：重命名系统管理员帐户　重命名一个帐户 防火墙安全设置： 计算机配置----管理模板----网络---网络连接----windows防火墙----标准配置文件---windows防火墙保护所有网络连接---- 启动 Tsconfig.msc 右键RDP—TCP 属性 安全层SSL （TLS.0）加密级别高（带网络认证安全连接） 关于目录权限设置： 1.1 除系统所在分区之外的所有分区都赋予Administrators和SYSTEM有完全控制权，之后再对其下的子目录作单独的目录权限，如果WEB站点目录，你要为其目录权限分配一个与之对应的匿名访问帐号并赋予它有修改权限，如果想使网站更加坚固，可以分配只读权限并对特殊的目录作可写权限。 　1.2 系统所在分区下的根目录都要设置为不继承父权限，之后为该分区只赋予Administrators和SYSTEM有完全控制权。 1.3 因为服务器只有管理员有本地登录权限，所在要配置Documents and Settings这个目录权限只保留Administrators和SYSTEM有完全控制权，其下的子目录同样。另外还有一个隐藏目录也需要同样操作。因为如果你安装有PCAnyWhere那么他的的配置信息都保存在其下，使用webshell或FSO可以轻松的调取这个配置文件。 1.4 配置Program files目录，为Common Files目录之外的所有目录赋予Administrators和SYSTEM有完全控制权。 1.5 配置Windows目录，其实这一块主要是根据自身的情况如果使用默认的安全设置也是可行的，不过还是应该进入SYSTEM32目录下，将 cmd.exe、ftp.exe、net.exe、scrrun.dll、shell.dll这些杀手锏程序赋予匿名帐号拒绝访问。 1.6审核MetBase.bin，C:\WINNT\system32\inetsrv目录只有administrator只允许Administrator用户读写。 修改SQL数据库端口 cliconfg 1433 修改成其它的端口 XP远程连接 windows2008 支持网络级别的身份认证 （mstsc 打开远程连接查看软件是否支持6.1协议） 开始---运行---regedit 打开注册表-----定位到以下注册表键值：HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa，双击右侧Security Packages，打开编辑多字符串对话框，在列表中添加 tspkg 。 定位到以下注册表键值：HKEY_LOCAL_MACHINE\SYSTEM \CurrentControlSet\Con