首页 » 系统安全 » Windows » Windows 2008 » 正文

windows 2008 R2安全加固-组策略篇

1、策略设置->网络访问限制

运行->secpol.msc ->安全设置->本地策略->安全选项
网络访问: 不允许 SAM 帐户的匿名枚举:已启用
网络访问: 不允许 SAM 帐户和共享的匿名枚举:已启用
网络访问: 将 Everyone权限应用于匿名用户:已禁用
帐户: 使用空密码的本地帐户只允许进行控制台登录:已启用
交互式登陆:不显示上次的用户名 启用
网络访问:可匿名访问的共享 全部删除
网络访问:可匿名访问的命全部删除
网络访问:可远程访问的注册表路径全部删除
网络访问:可远程访问的注册表路径和子路径全部删除
帐户:重命名来宾帐户重命名一个帐户
帐户:重命名系统管理员帐户 重命名一个帐户

本地策略
关闭系统:只有Administrators组、其它全部删除。
通过终端服务拒绝登陆:加入Guests、User组
通过终端服务允许登陆:只加入Administrators组,其他全部删除

2、策略设置->日志审核

运行->eventvwr.msc ->“windows日志”->查看“应用程序”“安全”“系统”的属性
建议设置:
日志上限大小:20480 KB
可以在“创建自定义视图中”选择要记录的时间,建议选择:近30天或更长

3、 策略设置->口令策略

运行->secpol.msc (本地安全策略)->安全设置
3,1 账户策略->密码策略

密码必须符合复杂性要求:启用
密码长度最小值:8个字符
密码最短使用期限:0天
密码最长使用期限:90天
强制密码历史:5个记住密码
用可还原的加密来存储密码:已禁用

3,2,账户设置->账户锁定策略

帐户锁定时间:30分钟
帐户锁定阀值:5次无效登录
重置帐户锁定计数器:30分钟

3,3,本地策略->安全选项

交互式登录:不显示最后的用户名:启用
在用户权利指派下,从通过网络访问此计算机中删除Power Users和Backup Operators;
不允许匿名访问SAM帐号和共享; 启用
启用不允许为网络验证存储凭据或Passport :启用
从文件共享中删除允许匿名登录的DFS$和COMCFG;
交互登录:不显示上次的用户名 :启用
在下一次密码变更时不存储LANMAN哈希值; :启用
禁止IIS匿名用户在本地登录; :启用

4、 策略设置-审核

运行->secpol.msc ->安全设置->本地策略->审核策略
建议设置:
审核策略更改 成功 失败
审核登录事件 成功 失败
审核对象访问 失败
审核过程跟踪 无审核
审核目录服务访问 失败
审核特权使用 失败
审核系统事件 失败
审核账户登录事件 成功 失败
审核账户管理 成功 失败

运行->gpupdate /force立即生效

发表评论