服务器主机安全规范.docxVIP

Word文档下载后（可任意编辑） 第 PAGE 1 第 PAGE 1 页 共 NUMPAGES 1 页 服务器主机安全规范 启用防火墙 阿里云windows Server 2008 R2默认竟然没有启用防火墙。2012可能也是这样的，不过这个肯定要检查！ 补丁更新 启用windows更新服务，设置为自动更新状态，以便准时打补丁。  阿里云windows Server 2008 R2默认为自动更新状态，2012可能也是这样的，不过这个肯定要检查！ 账号口令优化账号 操作目的  削减系统无用账号，降低风险  加固方法  “Win+R〞键调出“运行〞-compmgmt.msc〔计算机管理〕-本地用户和组。  1、删除不用的账号，系统账号所属组是否正确。云服务刚开通时，应当只有一个administrator账号和处于禁用状态的guest账号；  2、确保guest账号是禁用状态  3、买阿里云时，管理员账户名称不要用administrator  备注  ? 口令策略 操作目的  增添口令的冗杂度及锁定策略等，降低被暴力破解的可能性  加固方法  “Win+R〞键调出“运行〞-secpol.msc 〔本地安全策略〕-安全设置  1、账户策略-密码策略  密码必需符合冗杂性要求：启用  密码长度最小值：8个字符  密码最短使用期限：0天  密码最长使用期限：90天  强制密码历史：1个记住密码  用可还原的加密来存储密码：已禁用  2、本地策略-安全选项  交互式登录：不显示最终的用户名：启用  备注  “Win+R〞键调出“运行〞-gpupdate /force马上生效 网络服务优化服务〔1〕 操作目的  关闭不需要的服务，减小风险  加固方法  “Win+R〞键调出“运行〞-services.msc，以下服务改为禁用：  Application ?Layer Gateway Service〔为应用程序级协议插件提供支持并启用网络/协议连接〕  Background ?Intelligent Transfer Service〔利用空闲的网络带宽在后台传输文件。假如服务被停用，例如Windows Update?和?MSN Explorer的功能将无法自动下载程序和其他信息〕  Computer Browser〔维护网络上计算机的更新列表，并将列表提供给计算机指定浏览〕  DHCP Client  Diagnostic Policy Service  Distributed Transaction Coordinator  DNS Client  Distributed Link Tracking Client  Remote Registry〔使远程用户能修改此计算机上的注册表设置〕  Print Spooler〔管理全部本地和网络打印队列及掌握全部打印工作〕  Server〔不使用文件共享可以关闭，关闭后再右键点某个磁盘选属性，“共享〞这个页面就不存在了〕  Shell Hardware Detection  TCP/IP NetBIOS Helper〔提供?TCP/IP (NetBT)?服务上的NetBIOS?和网络上客户端的NetBIOS?名称解析的支持，从而使用户能够共享文件、打印和登录到网络〕  Task Scheduler〔使用户能在此计算机上配置和计划自动任务〕  Windows Remote Management(47001端口，Windows远程管理服务，用于协作IIS管理硬件，一般用不到)  Workstation〔创建和维护到远程服务的客户端网络连接。假如服务停止，这些连接将不行用〕  备注  用服务需谨慎，特殊是远程计算机 优化服务〔2〕 ·?????????? 在网络连接里，把不需要的协议和服务都移除  2? 去掉Qos数据包计划程序  2??关闭Netbios服务〔关闭139端口〕  网络连接-本地连接-属性-Internet协议版本 4-属性-高级-WINS-禁用TCP/IP上的NetBIOS。  说明：关闭此功能，你服务器上全部共享服务功能都将关闭，别人在资源管理器中将看不到你的共享资源。这样也防止了信息的泄露。  2? Micros