WindowsServer2016系统加固
标签(空格分隔): Windows_Server_系统管理
1.安装系统更新注意事项
服务器系统在没有安装补丁之前切记不要联网。
所需的补丁在其他计算机下载后,使用其移动存储设备或者刻录成光盘,复制到需要安装补丁的服务器。
某些补丁程序对安装顺序有要求,否则无法完成安装或导致安装失败。
开始安装补丁程序前应首先关闭其他应用程序,以免导致安装失败。另外,有些补丁程序安装完成后需要重新启动计算机方可生效,打开的应用程序应注意及时保存当前的结果。
获取补丁程序时应注意其版本要求,不仅要注意操作系统的类型,还应注意英文版和简体中文版、繁体中文版的区别。
安装过程中如需确认或更改安装目录的,建议保持系统默认设置。在进行补丁安装时,选择需要应用的补丁进行安装,并不是所有的补丁都适用于当前环境
问:具体怎么安装补丁?
2.系统管理员账户
2.1 直接更改Administrator账户名
- 步骤
- 依次点击“开始”→“Windows管理工具”→“计算机管理”→展开“系统工具”→“本地用户和组”→“用户”→右键选择Administrator账户并选择重命名。
2.2 通过组策略更改Administrator账户名
- 步骤
- 依次点击“开始”→“Windows管理工具”→“本地安全策略”→展开“安全设置”→“本地策略”→“安全选项”→在右侧主窗口中双击“账户:重命名系统管理员账户”→在属性”对话框,输入新的账户名称。
2.3 禁用Administrator账户
- 步骤
- “计算机管理”→“本地用户和组”→“用户”→双击Administrator打开属性窗口→勾选“账户已禁用”选项并应用。
问:禁用Administrator账户会有什么后果?
2.4创建陷阱账户
- 陷阱账户
- 与默认管理员账户名称(Administrator)类似或完全相同,而权限却极低的用户账户。
这种方法通常和更改Administrator账户名称配合使用,即将系统管理员账户更名后,再创建一个名称为Administrator的陷阱账户。 - 步骤
- “计算机管理”→“本地用户和组”→“用户”窗口中→右键单击选择“新用户”→输入用户名“Administrator”→密码设置一个复杂程度极高的安全密码→选中“密码永不过期”复选框→双击陷阱账户→将其各类权限设置为最低。如“拨入”选项卡中,“网络访问权限”选项区域选择“拒绝访问按钮”,“远程控制”选项卡中取消“启用远程控制”,“隶属于”选项卡中更改用户组为Guests组等
问:为什么实验时密码永不过期复选框选不了?
3.磁盘访问权限
- 3.1 完全控制
- 拥有不受限制的完全访问。
- 3.2 修改
- 选中了“修改”复选框,其他的4项属性(读取和运行、列出文件夹目录、读取、写入)将自动被选中。如果4项属性账户的任何一项没有被选中,“修改”条件将不再成立。
- 3.3 读取和运行
- 允许读取和运行卷、目录或者文件下的任何文件,“列出文件夹目录”和“读取”是“读取和运行”的必要条件。
- 3.4 列出文件夹目录
- 只能浏览卷、目录或者文件下的子目录,不能读取,不能运行。
- 3.5 读取
- 能够读取卷、目录或者文件下的数据。
- 3.6 写入
- 可以向卷、目录或者文件下写入数据。
- 3.7 特殊的权限
- 对以上6种权限进行了细分。
- 3.8 系统磁盘权限设置
- 系统盘及所有磁盘只赋予Administrators组和SYSTEM组的完全控制权限;系统盘“\用户”目录只赋予Administrators组和SYSTEM组的完全控制权限;
系统盘\Windwos\System32\cals.exe、cmd.exe、net.exe、ftp.exe、tftp.exe、telnet.exe、netstat.exe、regedit.exe、at.exe、attrib.exe、format.com、del文件只给Administrators和SYSTEM的完全控制权限,将\system32\cmd.exe、format.com、ftp.exe转移到其他目录或更名;用户账户对应文件夹中的文件和文件夹仅赋予所属用户和Administrators完全控制权限?
4.加密系统账户数据库
- 步骤
- “开始”→“运行”,输入“syskey”并确认,打开“保证Windows账户数据库的安全”对话框
找不着运行,直接在搜索Windows里搜索syskey可以→点击“确定”按钮,对SAM文件进行二次加密→点击“更新”按钮,打开“启动秘钥”对话框,系统默认选择“系统产生的密码”单选按钮。此处选择“密码启动”单选框并设置一个安全性较高的密码。