一、系统信息

查看系统版本

Windows Server 2008 r2 Enterprise

用途

Vpn服务器

查看主机名

查看网络配置

二、杀毒软件管理

2.1 杀软安装

操作目的

预防木马及病毒等危害程序

检查方法

检查系统杀软服务是否启动。

加固方法

安装杀毒软件；开启实时监控；设置合适的监控级别；为杀软设置密码。

是否实施

备注

三、补丁管理

3.1补丁安装

操作目的

安装系统补丁，修补漏洞

检查方法

使用漏扫工具扫描。

加固方法

使用工具自动化打补丁。

是否实施

备注

四、账号口令

4.1优化账号

操作目的

减少系统无用账号，降低风险

检查方法

“Win+R”键调出“运行”->compmgmt.msc（计算机管理）->本地用户和组，查看是否有不用的账号，系统账号所属组是否正确以及guest账号是否锁定

加固方法

使用“net user 用户名 /del”命令删除账号

使用“net user 用户名 /active:no”命令锁定账号

是否实施

备注

检查注册表，预防影子账号。

4.2口令策略

操作目的

增强口令的复杂度及锁定策略等，降低被暴力破解的可能性

检查方法

“Win+R”键调出“运行”->secpol.msc （本地安全策略）->安全设置

加固方法

1，账户策略->密码策略

密码必须符合复杂性要求：启用

密码长度最小值：8个字符

密码最短使用期限：0天

密码最长使用期限：90天

强制密码历史：1个记住密码

用可还原的加密来存储密码：已禁用

2，账户设置->账户锁定策略

帐户锁定时间：30分钟

帐户锁定阀值：5次无效登录

重置帐户锁定计数器：30分钟

3，本地策略->安全选项

交互式登录：不显示最后的用户名：启用

是否实施

备注

“Win+R”键调出“运行”->gpupdate /force立即生效

五、网络服务

5.1优化服务

操作目的

关闭不需要的服务，减小风险

检查方法

“Win+R”键调出“运行”->services.msc

加固方法

以下服务改为手动

COM+ Event System

DHCP Client

Diagnostic Policy Service

Distributed Transaction Coordinator

DNS Client

Distributed Link Tracking Client

Remote Registry

Print Spooler

Server（不使用文件共享可以关闭）

Shell Hardware Detection

TCP/IP NetBIOS Helper

Windows Update

是否实施

备注

停用服务需谨慎，特别是远程计算机

5.2关闭共享

操作目的

关闭默认共享

检查方法

“Win+R”键调出“运行”->cmd.exe->net share，查看共享

加固方法

关闭C$，D$等默认共享

“Win+R”键调出“运行”->regedit->找到HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters ，新建AutoShareServer（REG_DWORD），键值为0

是否实施

备注

5.3网络限制

操作目的

网络访问限制

检查方法

“Win+R”键调出“运行”->secpol.msc ->安全设置->本地策略->安全选项

加固方法

网络访问: 不允许 SAM 帐户的匿名枚举：已启用

网络访问: 不允许 SAM 帐户和共享的匿名枚举：已启用

网络访问: 将 Everyone权限应用于匿名用户：已禁用

帐户: 使用空密码的本地帐户只允许进行控制台登录：已启用

是否实施

备注

“Win+R”键调出“运行”->gpupdate /force立即生效

六、文件系统

6.1使用NTFS

操作目的

增强文件系统安全性

检查方法

查看每个系统驱动器是否使用NTFS文件系统

加固方法

建议使用NTFS文件系统，转换命令：convert <驱动器盘符>: /fs:ntfs

是否实施

备注

6.2 检查Everyone权限

操作目的

增强Everyone权限

检查方法

鼠标右键系统驱动器（磁盘）->“属性”->“安全”，查看每个系统驱动器根目录是否设置为Everyone有所有权限

加固方法

删除Everyone的权限或者取消Everyone的写权限

是否实施

备注

6.3 限制命令权限

操作目的

限制部分命令的权限

检查方法

使用cacls命令或资源管理器查看以下文件权限

加固方法

建议对以下命令做限制，只允许system、Administrator组访问

%systemroot%\system32\cmd.exe

%systemroot%\system32\regsvr32.exe

%systemroot%\system32\tftp.exe

%systemroot%\system32\ftp.exe

%systemroot%\system32\telnet.exe

%systemroot%\system32\net.exe

%systemroot%\system32\net1.exe

%systemroot%\system32\cscript.exe

%systemroot%\system32\wscript.exe

%systemroot%\system32\regedit.exe

%systemroot%\system32\regedt32.exe

%systemroot%\system32\cacls.exe

%systemroot%\system32\command.com

%systemroot%\system32\at.exe

是否实施

备注

可能会影响业务系统正常运行

七、日志审核

7.1增强日志

操作目的

增大日志量大小，避免由于日志文件容量过小导致日志记录不全

检查方法

“Win+R”键调出“运行”->eventvwr.msc ->“windows日志”->查看“应用程序”“安全”“系统”的属性

加固方法

建议设置：

日志上限大小：20480 KB

是否实施

备注

7.2增强审核

操作目的

对系统事件进行审核，在日后出现故障时用于排查故障

检查方法

“Win+R”键调出“运行”->secpol.msc ->安全设置->本地策略->审核策略

加固方法

建议设置：

审核策略更改：成功

审核登录事件：成功，失败

审核对象访问：成功

审核进程跟踪：成功，失败

审核目录服务访问：成功，失败

审核系统事件：成功，失败

审核帐户登录事件：成功，失败

审核帐户管理：成功，失败

是否实施

备注

“Win+R”键调出“运行”->gpupdate /force立即生效

注：此文模板是从百度down的，我做了适当修改。