English | 简体中文 | 繁體中文 | Русский язык | Français | Español | Português | Deutsch | 日本語 | 한국어 | Italiano | بالعربية

ملاحظات يجب مراعاتها لتعزيز أمان خادم Windows 2008

一、系统信息

查看系统版本	Windows Server 2008 r2 Enterprise
用途	Vpn服务器
查看主机名
查看网络配置

二、杀毒软件管理

2.1 杀软安装

هدف العمل	预防木马及病毒等危害程序
طريقة التحقق	检查系统杀软服务是否启动。
طرق تعزيز	安装杀毒软件；开启实时监控；设置合适的监控级别；为杀软设置密码。
هل تنفذ
ملاحظة

三、补丁管理

3.1补丁安装

هدف العمل	安装系统补丁，修补漏洞
طريقة التحقق	使用漏扫工具扫描。
طرق تعزيز	使用工具自动化打补丁。
هل تنفذ
ملاحظة

四、账号口令

4.1优化账号

هدف العمل	减少系统无用账号，降低风险
طريقة التحقق	“Win+R”键调出“运行”->compmgmt.msc（计算机管理）->本地用户和组，查看是否有不用的账号，系统账号所属组是否正确以及guest账号是否锁定
طرق تعزيز	使用“net user 用户名 /del”命令删除账号使用“net user 用户名 /active:no”命令锁定账号
هل تنفذ
ملاحظة	检查注册表，预防影子账号。

4.2口令策略

هدف العمل	增强口令的复杂度及锁定策略等，降低被暴力破解的可能性
طريقة التحقق	“Win+R”键调出“运行”->secpol.msc （本地安全策略）->安全设置
طرق تعزيز	1，账户策略->密码策略密码必须符合复杂性要求：启用密码长度最小值：8个字符密码最短使用期限：0天密码最长使用期限：90天强制密码历史：1个记住密码用可还原的加密来存储密码：已禁用 2，账户设置->账户锁定策略帐户锁定时间：30分钟帐户锁定阀值：5次无效登录重置帐户锁定计数器：30分钟 3، سياسة المحلية -> خيارات الأمان دخول تفاعلي: عدم عرض اسم المستخدم الأخير: تم تشغيل
هل تنفذ
ملاحظة	استدعاء مفتاح 'Win+R' لفتح 'التشغيل' -> gpupdate /force لتطبيق التغييرات فورًا

خامسًا، خدمات الشبكة

5.1 تحسين الخدمات

هدف العمل	إغلاق الخدمات غير الضرورية، تقليل المخاطر
طريقة التحقق	استدعاء "تشغيل" باستخدام مفتاح "Win+R" -> services.msc
طرق تعزيز	الخدمات التالية يتم تعديلها يدويًا COM+ Event System DHCP Client Diagnostic Policy Service Distributed Transaction Coordinator DNS Client Distributed Link Tracking Client سجل البعيد طابعة النسخ خادم (يمكن إغلاقه إذا لم يتم استخدامه ملفات المشاركة) كشف عن الأجهزة المعقدة مساعد NetBIOS TCP/IP تحديث Windows
هل تنفذ
ملاحظة	إيقاف الخدمات يجب القيام به بحذر، خاصةً على الحواسيب البعيدة

5.2 إغلاق المشاركات

هدف العمل	إغلاق المشاركات الافتراضية
طريقة التحقق	استخدام مفتاح 'Win+R' لفتح 'تشغيل' -> cmd.exe -> net share، لعرض المشاركات
طرق تعزيز	إغلاق مشاركات الافتراضية مثل C$، D$ وغيرها استخدام مفتاح 'Win+R' لفتح 'تشغيل' -> regedit -> العثور على HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters، إنشاء AutoShareServer (REG_DWORD)، قيمة المفتاح 0
هل تنفذ
ملاحظة

5.3 تحديد وصول الشبكة

هدف العمل	تحديد وصول الشبكة
طريقة التحقق	استخدام مفتاح 'Win+R' لفتح 'تشغيل' -> secpol.msc -> إعدادات الأمان -> سياسات المحلية -> خيارات الأمان
طرق تعزيز	وصول الشبكة: منع تعداد SAM للحسابات: مفعلة وصول الشبكة: منع تعداد SAM للحسابات والشارات: مفعلة وصول الشبكة: تطبيق حقوق Everyone على المستخدمين المجهولين: معطل الحساب: حسابات المحلية التي تستخدم كلمة المرور الفارغة تسمح فقط بالدخول إلى الشاشة التشغيلية: مفعلة
هل تنفذ
ملاحظة	استدعاء مفتاح 'Win+R' لفتح 'التشغيل' -> gpupdate /force لتطبيق التغييرات فورًا

النوع السادس، نظام الملفات

6.1 استخدام NTFS

هدف العمل	تعزيز أمان نظام الملفات
طريقة التحقق	تحقق مما إذا كان كل محرك النظام يستخدم نظام الملفات NTFS
طرق تعزيز	يُنصح باستخدام نظام الملفات NTFS، الأمر التحويلي: convert <اسم وحدة التخزين>: /fs:ntfs
هل تنفذ
ملاحظة

6.2 فحص حقوق Everyone

هدف العمل	تعزيز حقوق Everyone
طريقة التحقق	استخدام الماوس الأيمن على محرك النظام (القرص) -> 'خصائص' -> 'الأمان'، لتحقق مما إذا كان مسمى Everyone يملك جميع الحقوق في جذور محركات النظام
طرق تعزيز	إزالة حقوق الوصول لـ Everyone أو إلغاء حقوق الكتابة الخاصة بـ Everyone
هل تنفذ
ملاحظة

6.3 تحديد حقوق الوصول للأوامر

هدف العمل	تحديد حقوق الوصول لبعض الأوامر
طريقة التحقق	استخدام الأمر cacls أو محكم الملفات لعرض حقوق الوصول إلى الملفات التالية
طرق تعزيز	يُنصح بتحديد قيود الأوامر، وإذن الوصول فقط لمجموعات system وAdministrator %systemroot%\system32\cmd.exe %systemroot%\system32\regsvr32.exe %systemroot%\system32\tftp.exe %systemroot%\system32\ftp.exe %systemroot%\system32\telnet.exe %systemroot%\system32\net.exe %systemroot%\system32\net1.exe %systemroot%\system32\cscript.exe %systemroot%\system32\wscript.exe %systemroot%\system32\regedit.exe %systemroot%\system32\regedt32.exe %systemroot%\system32\cacls.exe %systemroot%\system32\command.com %systemroot%\system32\at.exe
هل تنفذ
ملاحظة	قد يؤثر على تشغيل النظام الخاص بالعمليات التجارية

التحقق من السجلات

7.1 تعزيز السجلات

هدف العمل	زيادة حجم السجلات لتجنب عدم تسجيل جميع السجلات بسبب صغر حجم ملف السجلات
طريقة التحقق	استدعاء مفتاح 'Win+R' لفتح 'التشغيل' -> eventvwr.msc -> 'سجلات windows' -> عرض 'التطبيقات' 'الأمان' 'النظام'
طرق تعزيز	إعداد التوصية: حجم الحد الأقصى للسجلات: 20480 كيلوبايت
هل تنفذ
ملاحظة

7.2 تعزيز التحقق

هدف العمل	تحقق من أحداث النظام لاستخدامها في تحليل المشاكل في المستقبل عند حدوث أعطال
طريقة التحقق	استدعاء مفتاح 'Win+R' لفتح 'التشغيل' -> secpol.msc -> إعدادات الأمان -> سياسات محلية -> سياسات التحقق
طرق تعزيز	إعداد التوصية: مراجعة تغيير السياسات: نجاح مراجعة أحداث تسجيل الدخول: نجاح، فشل مراجعة الوصول إلى الكائن: نجاح مراجعة تتبع العمليات: نجاح، فشل مراجعة زيارات خدمة الدليل: نجاح، فشل مراجعة أحداث النظام: نجاح، فشل مراجعة أحداث تسجيل الدخول للحسابات: نجاح، فشل مراجعة إدارة الحسابات: نجاح، فشل
هل تنفذ
ملاحظة	استدعاء مفتاح 'Win+R' لفتح 'التشغيل' -> gpupdate /force لتطبيق التغييرات فورًا

ملاحظة: قمت بتعديل هذا النموذج من بaidu، وعدلته بشكل مناسب.

تعليمية الأساس

من المحتمل أن تهمك