Windows服务器安全策略配置——简单实用!
Windows服务器安全策略怎么做?不要觉得这是一个非常深奥遥不可及的问题,其实也是从各个方面去加固系统的安全性而已,它没有一个定论,今天我和你们分享一下windows服务器基本安全策略保障服务器基本安全的一些简单实用的加固方法。
一、禁用Guest账户
Guest账户为黑客入侵打开了方便之门,黑客使用Guest账户可以进行提权。禁用Guest账户是很好的选择。
打开“开始——管理工具——计算机管理——本地用户和组——用户——Guest,右键打开属性,打勾账户已禁用,最后点击应用和确定即可禁用Guest账户
二、密码策略
操作系统和数据库系统管理,用户身份标识应具有不易被冒用的特点,口令应有复杂度要求并定期更换密码。
进入开始——管理工具——本地安全策略,在帐户策略——密码策略;
密码必须符合复杂度要求 设置为启用
密码长度最小值设置为8-12个字符
密码最长使用期限设置为90天
强制密码历史设置为记住5个密码
用可以还原的加密来存储密码设置为禁用
加固前:
加固后:
三、连续登录失败账户锁定策略
应启用登录失败锁定功能,可采取结束会话、限制非法登录次数和自动退出等措施。对于采用静态口令认证技术的服务器,应设置当用户连续登录失败次数超过5 次(不含5 次),锁定该用户使用的账号**分钟。
比如连续登录失败超过5次,锁定该用户账号15分钟
进入开始——管理工具——本地安全策略,在帐户策略——帐户锁定策略:
账户锁定时间设置为15分钟
账户额锁定阀值设置为5 次
复位账户锁定计数器设置为15分钟
四、日志审核策略
审核内容应包括重要用户行为、系统资源的异常使用和重要系统命令的使用等系统内重要的安全相关事件。在主机的审核策略上设置日志审核策略,进入开始 ——管理工具——本地安全策略,在本地策略——审核策略在主机的审核策略上设置日志审核策略:
审计帐户登录事件: 成功,失败
审计帐户管理: 成功,失败
审计目录服务访问: 成功,失败
审计登录事件: 成功,失败
审计对象访问: 成功,失败
审计策略更改: 成功,失败
审计特权使用: 成功,失败
审计系统事件: 成功,失败
审计过程追踪: 成功,失败
五、设置不显示最后的用户名
在本地安全设置系统登录时不显示最后的用户名。
进入开始——管理工具——本地安全策略,在本地策略——安全选项
交互式登录:不显示最后的用户名设置为已启用
六、启用主机安全选项的关机前清除虚拟内存页面
应确保系统内的文件、目录和数据库记录等资源所在的 存储空间,被释放或重新分配 给其他用户前得到完全清除。
进入开始——管理工具——本地安全策略,在本地策略——安全选项
关机:清除虚拟页面文件内存设置为已启用
七、配置日志文件大小
配置日志文件容量,避免受到未预期的删除、修改或覆盖等
进入开始——管理工具——计算机管理——事件查看器——windows日志-系统,右键属性
八、磁盘配额配置
磁盘配额可以限制指定账户能够使用的磁盘空间,这样可以避免因某个用户的过度使用磁盘空间造成其他用户无法正常工作甚至影响系统运行
进入我的电脑——C盘——属性——配额
启用磁盘管理设置为启用
磁盘空间限制为设置为90GB
将警告等级设为设置为90GB
用户超出配额限制时记录事件(G)打勾
用户超过警告等级时记录事件(V) 打勾
九、远程会话策略
默认情况下,远程桌面服务允许用户从远程桌面服务会话断开连接,而不用注销和结束会话。启用此策略设置,则达到指定时间后将从服务器中删除已断开连接的会话
进入运行——gpedit.msc——计算机配置——管理模板——wondows组件——远程服务——远程桌面会话主机——会话时间限制
设置已中断会话的时间限制设置为已启用
结束已断开连接的会话设置为5分钟