Windows_2008服务器安全方案(汇总)

4星 · 超过85%的资源需积分: 10 105 浏览量更新于2023-05-29 评论 1 收藏 849KB DOC 举报

身份认证购VIP最低享 7 折!

领优惠券(最高得80元）

资源详情

资源评论

资源推荐

Windows 2008 服务器安全方案(汇总)

2010 年 12 月 26 日星期日

Windows 2008 服务器安全加固方案

因为 IIS(即 Internet Information Server)的方便性和易用性，使它成为最受欢迎的 Web 服

务器软件之一。但是，IIS 的安全性却一直令人担忧。如何利用 IIS 建立一个安全的 Web 服

务器，是很多人关心的话题。要创服务器安全检测建一个安全可靠的 Web 服务器，必须要

实现 Windows 2003 和 IIS 的双重安全，因为 IIS 的用户同时也是 Windows 2003 的用户，并

且 IIS 目录的权限依赖 Windows 的 NTFS 文件系统的权限控制，所以保护 IIS 安全的第一步

就是确保 Windows 2000 操作系统的安全，所以要对服务器进行安全加固，以免遭到黑客的

攻击，造成严重的后果。

我们通过以下几个方面对您的系统进行安全加固：

1. 系统的安全加固：我们通过配置目录权限，系统安全策略，协议栈加强，系统服务和访

问控制加固您的系统，整体提高服务器的安全性。

2. IIS 手工加固：手工加固 iis 可以有效的提高 iweb 站点的安全性服务器安全加固，合理分

配用户权限，配置相应的安全策略，有效的防止 iis 用户溢出提权。

3. 系统应用程序加固，提供应用程序的安全性，例如 sql 的安全配置以及服务器应用软件

的安全加固。

系统的安全加固：

1.目录权限的配置：

1.1 除系统所在分区之外的所有分区都赋予 Administrators 和 SYSTEM 有完全控制权，之后

再对其下的子目录作单独的目录权限，如果 WEB 站点目录，你要为其目录权限分配一个

与之对应的匿名访问帐号并赋予它有修改权限，如果想使网站更加坚固，可以分配只读权

限并对特殊的目录作可写权限。

1.2 系统所在分区下的根目录都要设置为不继承父权限，之后为该分区只赋予

Administrators 和 SYSTEM 有完全控制权。

1.3 因为服务器只有管理员有本地登录权限，所在要配置 Documents and Settings 这个目录

权限只保留 Administrators 和 SYSTEM 有完全控制权，其下的子目录同样。另外还有一个

隐藏目录也需要同样操作。因为如果你安装有 PCAnyWhere 那么他的的配置信息都保存在

其下，使用 webshell 或 FSO 可以轻松的调取这个配置文件。

1.4 配置 Program files 目录，为 Common Files 目录之外的所有目录赋予 Administrators 和

SYSTEM 有完全控制权。

1.5 配置 Windows 目录，其实这一块主要是根据自身的情况如果使用默认的安全设置也是

可行的，不过还是应该进入 SYSTEM32 目录下，将

cmd.exe、ftp.exe、net.exe、scrrun.dll、shell.dll 这些杀手锏程序赋予匿名帐号拒绝访问。

第 1 页共 71 页

Windows 2008 服务器安全方案(汇总)

2010 年 12 月 26 日星期日

Windows Server 2008 用户权限管理

来源：中国红盟时间：2010-12-26 10:46:00 点击：2 今日评论：0 条几十年来，大型机和服

务器一直使用“超级用户”和“用户”这种用户控制方案。这种方案存在一个明显的安全问题：

它需要防止普通用户获取非法访问权限。

在 DOS 电脑以及随后的 Windows 操作系统中，访问控制模式更加复杂。早期的 Windows

操作系统不能在同一台机器上设置不同的用户权限；所有的行动都需要超级用户执行。但

是，Windows NT 系统最终定义了管理员角色和用户角色，尽管在实际情况中大多数用户

还是需要超级用户的访问权限来执行他们平时的操作。

今天，许多企业的业务模式都要求大范围（地理位置上的）的联合操作，Windows NT 中

简单的特权/非特权用户管理功能已经不够用了。意识到这一趋势之后，微软在 2009 年开

发了 Windows Server 2008，该系统具有以多级权限属性系统为基础的多层次管理模式。该

模式可以限制标准用户，让他们只能用非特权的形式运行应用程序软件，只留给他们操作

所需要的最小管理权限，从而改进了微软 Windows 的安全性。比如，服务台用户只能改变

其他用户的密码。通过这种方式，大型企业中的用户管理权限可以受到限制，操作中的超

级用户数量减少。在本文中，我们将讨论一下如何使用 Windows Server 2008 对权限分配进

行控制。

域上的权限管理

在 Windows Server 2008 环境中，有两种政策：活动目录（AD）全局域政策以及本地服务

器安全帐户管理器（SAM）注册表政策。AD 利用它的目录架构来控制任何给定 Windows

服务器域（支持通用安全政策的一组服务器）的组权限。这使得 AD 可以对域中的所有用

户帐户执行公共帐户权限管理。

当有新的 Windows 服务器添加进来时，他们会连接到活动目录，活动目录会检查所有的组

政策对象（Group Policy Objects，GPO）——用户能够执行的应用程序和服务——并把这

些权限链接到该目录下的 Active Directory Users and Computers（活动目录用户和计算机）

分支中的域根用户。然后 AD 把这些定义的、默认的权限传递到新服务器上，开始管理其

用户。AD 目录下的组织单元（Organization Unit，OU）分支也可以定义，人们可以用 OU

为计算机创建本地帐户政策。比如，服务台 OU 可以定义一系列全局政策，帮助服务台人

员执行具有公共权限的活动。

Windows Server 2008 的活动目录还引进了一个新的功能，叫做多元密码政策(Fine-Grained

Password Policy)，其中包括一个锁定政策。有了这个新功能后，公司可以在同一个域中对

不同的用户使用不同的密码和锁定政策。这个功能出现之前，整个域中只有一个政策。为

了充分利用这个功能，活动目录管理员必须创建一个新的对象，名为密码设置对象

（Password Settings Object，PSO）。他或她可以在 PSO 中设定同样的密码最长期限、复

杂度要求、锁定阈值，等等。然后，PSO 会连接到一个活动目录组：组的范围为全局

（Global）（不是本地（ Local 或者通用（Univeral）），组的类型为安全（ Security）

（不是分布（Distribution））。所有的组成员都会继承链接到该组的 PSO 中定义的密码

和锁定政策。

第 4 页共 71 页

Windows 2008 服务器安全方案(汇总)

2010 年 12 月 26 日星期日

本地多级控制

域上的全局政策配置完成以后，人们就可以在单独的 Windows Server 2008 系统中通过用户

权利分配（User Rights Assignment，URA）功能定义本地权限。用户权利能够控制用户在

计算机上执行哪些任务。这些权利包括登录权限和特权。登录权限控制哪些人有权登录到

计算机上，以及他们如何登录：通过网络还是本地，作为批处理工作还是作为服务登录。

特权则控制计算机和域资源的访问，并可以覆盖特定对象上设定的权限，比如备份文件和

目录、创建全局对象、调试程序等等。这些特权由系统 URA 对象下的组政策（Group

Policy）进行管理，而且两种用户权利都是由管理员分配到组或者单独用户，作为系统安

全设置的一部分。请注意，管理员应该尽可能地通过分组来管理本地权利，确保与企业政

策的一致性以及最小化单独系统中权限管理的困难程度。

为了访问本地 URA 对象，添加、删除或者修改权限，管理员必须在 Windows Server 2008

中用 Windows 控制面板打开本地安全设置（Local Security Settings）。他或她可以在左边看

见一个树状目录。点击本地政策（Local Policies），然后选择用户权利分配（ User Rights

Assignment），就能够编辑所有的 39 个登录权利和权限了。

确保适当的权限

Windows Server 2008 中有九个审计政策，分成两个子类，它们可以确保 Windows 管理员正

确设置用户权限。安全团队可以在计算机中打开本地安全政策（ Local Security Policy）控

制台，进入 Security Settings\Local Policies\Audit Policy 目录，查看系统审计政策设置。下文

简要地描述了每个政策，以及它们的用法：

审计帐户登录事件——跟踪所有试图用域用户帐户登录的活动，不管这种尝试源自何处。

开启这项政策以后，工作站或者成员服务器会记录所有使用计算机 SAM 中存储的本地帐

户的登录尝试。

审计帐户管理——用来监视用户帐户和组的变化，对管理员和服务台工作人员的审计活动

有参考价值。该政策记录密码重置、新创建的帐户以及组成员和 Active Directory 控制器的

变化。该政策还记录域用户、域分组以及计算机帐户的变化。

审计目录服务访问——提供 Active Directory 中对象变化的低级别审计跟踪。该政策跟踪的

活动与审计帐户管理事件中跟踪的相同，但是级别低很多。使用这个政策可以识别用户帐

户的哪些领域或者任何其他 Active Directory 对象被访问过。审计帐户管理事件可以提供更

好的用户帐户和组的监视维护信息，但是审计目录服务访问是跟踪 OU 和 GPO 变化的唯一

途径，这对于变化控制来说很重要。

审计登录事件——记录本地计算机上的登录尝试，无论使用域帐户还是本地帐户登录。在

Active Directory 域控制器中，该政策只记录访问域控制器的尝试。

审计对象访问——处理 Active Directory 之外所有对象的访问审计。该政策可以用来审计任

何类型的 Windows 对象访问，包括注册表键值、打印机、以及服务。（注意：如果服务器

第 5 页共 71 页

剩余63页未读，继续阅读

天府云创

2016-10-13

不错，写的很详细，我看完了，有些地方虽然过时了，但值得简介！

lijiehk

粉丝: 0
资源: 2

会员权益专享

Windows_2008服务器安全方案(汇总)

评论5

会员权益专享

最新资源

Windows_2008服务器安全方案(汇总)

评论5

IBM_3650_服务器_windows_2003_2008__双网卡绑定

windows_server_2008建立域服务器

Windows_Server_2008上使用IIS搭建WEB服务器、CA数字证书应用图解(全)

Windows_server_2008文件服务器-隐藏用户无权限访问的共享文件夹

Windows_Server_2008_R2技术概要.白皮书.中文版

windows2008_Win8_Windows2012_FTP服务器配置

服务器Windows_server 2008 管理员密码丢失恢复方法

浪潮服务器NF8460M3安装windows_Server2008.doc

cn_windows_server_2012_r2_with_update_x64_dvd_4065220

windterm_2.6.0_prerelease_1_windows_portable_x86_64

Windows_Server_2008实战服务群集-配置NLB实现网站WEB负载均衡

Windows Server 2008服务器系统数据安全

windows2008dhcp服务器配置

windows2008dns服务器配置

VMware_ESX服务器原理与技术

java 将Windows服务器共享文件夹的文件拷贝到linux服务器网络路径下

mysql_5.1_数据库服务器安装_导入数据及卸载步骤.

惠普HP_Proliant服务器管理软件详细介绍

windows搭建tftp服务器的软件

会员权益专享

最新资源