Win2008R2企业安全配置要点

Windows Server 2008 R2企业版安全设置与配置要点记录

1、 确认密码最小长度设置是否正确

2、 打开命令提示符，输入gpedit.msc启动组策略编辑器，依次进入本地计算机策略→计算机配置→Windows设置→安全设置→账户策略→密码策略，在右侧窗口找到密码最长使用期限，将其设置为不超过42天，以符合安全规范要求。

3、 确认管理员账户名称是否已修改

4、 以管理员身份打开命令提示符，输入gpedit.msc并回车，启动本地组策略编辑器。依次展开计算机配置→Windows设置→安全设置→本地策略→安全选项。在右侧列表中找到账户：重命名系统管理员账户这一项，双击打开后将默认名称Administrator修改为自定义名称。需要注意的是，如果当前正在使用Administrator账户登录系统，则无法进行此项更改，必须切换至其他管理员账户操作方可成功。

5、 确认账户锁定阈值设置是否准确。

6、 以管理员身份打开命令提示符，输入gpedit.msc并回车，启动组策略编辑器。依次展开本地计算机策略→计算机配置→Windows设置→安全设置→帐户策略→帐户锁定策略。在右侧窗口双击帐户锁定阈值，将其设置为一个大于0的数值，避免设为0，否则系统将不会触发账户锁定机制，无法有效防范暴力破解攻击。

7、 确认复位账户锁定计数器时间设置是否准确。

8、 打开命令提示符，输入gpedit.msc启动组策略编辑器。依次进入本地计算机策略→计算机配置→Windows设置→安全设置→账户策略→账户锁定策略，在右侧窗口找到重置账户锁定计数器选项，将其设置为不低于规定标准的时间值，以确保账户安全策略的有效性。

9、 确认账户锁定时间设置是否准确

10、 打开命令提示符，输入gpedit.msc启动组策略编辑器。依次进入本地计算机策略→计算机配置→Windows设置→安全设置→帐户策略→帐户锁定策略。在右侧窗口找到帐户锁定时间，将其设置为不低于标准要求的数值。注意，此选项需先配置帐户锁定阈值才可生效。当帐户锁定时间设为0时，系统实际识别为-1，表示无限期锁定，应避免此设置。

11、 确认密码最短使用期限设置是否正确

12、 打开命令提示符，输入gpedit.msc启动组策略编辑器。依次进入本地计算机策略→计算机配置→Windows设置→安全设置→账户策略→密码策略。在右侧窗口找到密码最短使用期限项，将其设置为非零数值。若要确保强制密码历史策略生效，必须将该值设为大于0，以防止用户立即更改密码并重复使用旧密码，从而增强系统安全性。

13、 检查强制密码历史设置是否正确

14、 打开命令提示符，输入gpedit.msc启动组策略编辑器。依次进入本地计算机策略→计算机配置→Windows设置→安全设置→账户策略→密码策略，在右侧找到强制密码历史选项，将其设置为不低于规定标准的数值，以确保系统密码管理符合安全要求。

15、 确认已移除可远程访问的注册表路径及其子项

16、 打开命令提示符，输入gpedit.msc启动组策略编辑器。依次展开本地计算机策略→计算机配置→Windows设置→安全设置→本地策略→安全选项，在右侧找到网络访问：可远程访问的注册表路径并双击打开，将其值清空。此操作适用于支持该策略的系统，Windows 2000不包含此项设置，无需调整。完成后关闭编辑器，策略将生效。

17、 检查可远程访问的注册表项及其子项

18、 打开命令提示符，输入gpedit.msc启动组策略编辑器。依次进入本地计算机策略→计算机配置→Windows设置→安全设置→本地策略→安全选项，在右侧找到网络访问：可远程访问的注册表路径和子路径项，将其设置为空值。此操作有助于增强系统安全性，防止远程非法访问注册表。需要注意的是，Windows 2000与Windows XP系统不包含该策略选项，因此无需进行此项配置。

19、 核查可关机账户及组是否已受限

20、 以管理员身份打开命令提示符，输入gpedit.msc并回车，启动本地组策略编辑器。依次展开计算机配置→Windows设置→安全设置→本地策略→用户权限分配。在右侧找到关闭系统策略，双击打开后将其配置为仅允许Administrators组成员拥有该权限，移除其他所有用户或组，完成后保存设置并关闭窗口。

21、 检查是否禁用SAM账户及共享的匿名枚举功能。

22、 打开命令提示符，输入gpedit.msc并回车，启动组策略编辑器。依次展开本地计算机策略→计算机配置→Windows设置→安全设置→本地策略→安全选项。在右侧列表中找到网络访问：不允许 SAM 帐户和共享的匿名枚举策略，将其设置为已启用。对于 Windows 2000 系统，需定位到对匿名连接的额外限制策略，并将其配置为不允许枚举 SAM 账号和共享，以增强系统安全性，防止未经授权的用户通过匿名方式获取账户与共享信息。

23、 确认审核（日志记录）策略是否已正确设置

24、 通过命令提示符输入gpedit.msc启动组策略编辑器，随后依次展开本地计算机策略→计算机配置→Windows设置→安全设置→本地策略→审核策略。在右侧列表中定位到审核特权使用、审核系统事件、审核进程跟踪、审核策略更改、审核帐户登录事件、审核目录服务访问、审核帐户管理、审核对象访问以及审核登录事件等策略项。对每一项均双击打开，勾选成功与失败两个选项，完成设置后保存更改，以确保相关安全事件能够被全面记录和审计，增强系统的安全监控能力。

25、 查看Windows防火墙是否开启

26、 在Windows 2000系统中，由于不包含Windows防火墙功能，因此无需进行此项检查。对于Windows XP及其SP1版本，需进入控制面板，选择网络连接，右键打开本地连接属性，切换至高级选项卡，勾选通过限制或阻止来自Internet的该计算机上的应用程序选项，并点击下方设置按钮，根据需要配置允许的例外端口。而在其他后续版本的Windows操作系统中，应进入控制面板，找到Windows防火墙组件，针对当前所处的网络位置（如家庭、工作或公共网络），将防火墙状态设置为启用，并依据实际应用需求，在例外规则中添加必要的程序或端口，以确保网络通信正常且系统安全受控。

27、 确认源路由攻击防护已开启且配置正确

28、 通过命令提示符执行regedit命令启动注册表编辑器，随后导航至HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesTcpipParameters路径。在此位置创建一个名为DisableIPSourceRouting的DWORD类型值，数据设置为推荐标准值；如该条目已存在，则直接修改其数值即可。该设置的取值范围为0到2：当值为0时，系统将转发所有接收到的数据包；值为1时，禁止转发带有源路由信息的数据包；值为2时，系统会直接丢弃所有包含传入源路由信息的数据包。此项配置有助于提升网络安全性，防止潜在的源路由攻击，建议根据实际安全需求合理设定参数，确保网络环境的稳定与安全。操作完成后需重启系统以使更改生效。

29、 确认ICMP重定向功能是否已关闭

30、 以管理员身份打开命令提示符，输入regedit并回车，启动注册表编辑器。依次展开路径：HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesTcpipParameters。在此项下查找名为EnableICMPRedirect的DWORD值，若不存在，则新建一个DWORD（32位）值，并命名为该名称；若已存在，则双击进行修改。将其数值数据设置为0或1中的标准值，其中有效范围仅限于0和1之间。完成后关闭编辑器，设置即时生效。

31、 检测处于SYN_RCVD状态的TCP连接数量是否超过设定阈值。

32、 通过命令提示符执行regedit命令启动注册表编辑器，随后导航至HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesTcpipParameters路径。在此位置创建一个名为TcpMaxHalfOpen的DWORD类型值，其数据设置为指定的十六进制标准数值0x01f4；若该项已存在，则直接修改其数值即可。该配置项用于定义系统允许的最大半开放TCP连接数，有效取值范围为十六进制的64至ffff之间。正确设置此参数有助于优化网络连接性能，提升系统在高并发连接场景下的稳定性与响应能力。操作完成后建议重启计算机以使更改生效。

33、 检查在放弃响应SYN请求前，重传SYN-ACK的次数。

34、 以管理员身份打开命令提示符，输入regedit并回车，启动注册表编辑器。随后导航至HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesTcpipParameters路径。在此位置查找是否存在名为TcpMaxConnectResponseRetransmissions的DWORD值。若该值不存在，则新建一个DWORD（32位）值，并将其命名为TcpMaxConnectResponseRetransmissions，然后设置其数值数据为标准推荐值；若已存在，则直接双击修改其数值数据。该参数的有效取值范围为0到255之间的十进制数，也可使用十六进制表示，例如0x2对应十进制的2，完成设置后关闭编辑器即可生效。

35、 监测处于SYN_RCVD状态且已重传至少一次的TCP连接数量上限。

36、 以管理员身份运行命令提示符，输入regedit并回车，启动注册表编辑器。在左侧导航栏中依次展开HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesTcpipParameters路径。在此项下查找是否存在名为TcpMaxHalfOpenRetried的DWORD值。若不存在，则右键空白处，选择新建一个DWORD（32位）值，并将其命名为TcpMaxHalfOpenRetried。双击该值进入编辑界面，将数值数据设置为指定的十六进制标准值0x0190。若该项已存在，则直接修改其数值数据为0x0190即可。注意，该参数的有效取值范围为十六进制的50至ffff之间，设置完成后无需重启即可生效，系统将依据新配置调整相关网络行为。

37、 检测TCP连接请求的上限值

38、 通过命令提示符执行regedit命令启动注册表编辑器，随后导航至HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesTcpipParameters路径。在此位置创建或修改名为TcpMaxPortsExhausted的注册表项，其类型应设为DWORD（32位），数值数据采用十六进制格式，并设置为标准值。若该项已存在，则直接更新其数值内容。该配置项的有效取值范围为十六进制的0至ffff之间，推荐的标准设定值为0x5。完成设置后保存更改并退出编辑器，该配置有助于管理系统在端口耗尽时的行为响应，提升网络服务稳定性。操作前建议备份注册表，以防误操作引发系统异常。

39、 确认SYN攻击防护功能是否开启

40、 以管理员身份运行命令提示符，输入regedit启动注册表编辑器。依次展开以下路径：HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesTcpipParameters。在该位置查找名为SynAttackProtect的DWORD值项，若不存在，则新建此项，名称为SynAttackProtect，类型选择DWORD（32位），数值数据设置为十六进制的1；若该项已存在，则双击修改其数值为1。该值用于启用SYN攻击防护机制，有效取值范围为0到1，其中1表示开启保护，0表示关闭。完成设置后关闭注册表编辑器，无需重启即可生效。建议操作前备份注册表以防异常。

41、 确认是否关闭了无效网关检测功能

42、 通过命令提示符执行regedit命令启动注册表编辑器，随后导航至HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesTcpipParameters路径。在此位置创建一个名为EnableDeadGWDetect的DWORD类型值，将其数据设置为默认标准值；若该条目已存在，则直接修改其数据内容。该参数的有效取值范围为0到1之间的整数。特别需要注意的是，若未将此值明确设为0，系统在遭遇特定网络攻击时可能被诱导自动切换默认网关，导致流量被重定向至非预期的网关设备，从而引发网络通信异常或安全隐患。因此，合理配置该项有助于增强网络稳定性与安全性。

43、 确认是否开启TCP最大传输单元自动探测功能。

44、 通过命令提示符启动注册表编辑器，可输入regedit命令进入。随后导航至注册表路径HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesTcpipParameters。在此位置创建一个新的DWORD类型值，命名为EnablePMTUDiscovery，并将其数据设置为默认推荐值；若该条目已存在，则直接修改其数值即可。该配置项的取值范围为0到1：设为0时，系统将不启用MTU自动探测功能，并统一使用576字节作为MTU大小；设为1时，则开启自动探测机制，动态调整MTU以适应网络环境。建议保持或设置为1，以确保通信效率与网络性能。若未正确配置此值，特别是设为非安全状态，可能使系统面临风险，攻击者可利用漏洞强制将MTU降得极小，导致网络协议栈处理负担加重，进而影响系统稳定性与响应能力。因此，合理设置该参数对维护网络连接的可靠性具有重要意义。

45、 检查TCP连接的存活时长

46、 通过命令提示符执行regedit命令，启动注册表编辑器。随后导航至注册表路径HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesTcpipParameters。在此位置检查是否存在名为KeepAliveTime的条目。若该条目尚未创建，则需新建一个DWORD类型的值，并将其命名为KeepAliveTime；若已存在，则直接修改其数值。该值的数据应设置为介于1到4294967295之间的十进制数字，代表毫秒时间单位。此参数用于设定系统发送TCP保持连接探测包的间隔时长，以检测长时间空闲的网络连接是否依然有效。当远端设备仍处于可通信状态时，会响应这些探测数据包，从而确认链路正常。默认情况下，系统不会主动发送此类探测包。为提升连接稳定性并及时发现中断，推荐将KeepAliveTime的数值设为300,000，即相当于5分钟的时间间隔，使用十进制格式输入。此设置适用于需要维持长时间连接的应用场景，有助于避免因连接无故断开而导致的通信失败问题。操作完成后，无需重启系统即可生效。

47、 检查单个数据片段重传次数

48、 通过命令提示符执行regedit命令启动注册表编辑器，随后导航至HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesTcpip.Parameters路径。在该位置检查是否存在名为TcpMaxDataRetransmissions的DWORD类型键值。若不存在，则新建此项，并将其数值设置为默认标准值；若已存在，则直接修改其数值数据。该参数用于控制TCP数据包的最大重传次数，取值范围为0到65535之间的十进制数，也可用十六进制表示，例如0x2对应十进制的2。配置完成后保存更改并退出编辑器。

49、 确认路由发现功能是否已关闭

50、 在计算机中打开命令提示符，输入regedit并回车，以启动注册表编辑器。随后导航至注册表路径HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesTcpipParameters。在此位置检查是否存在名为PerformRouterDiscovery的项，若不存在，则新建一个DWORD类型的值，并将其名称设为PerformRouterDiscovery，数值数据设置为默认标准值；若该项已存在，则直接修改其数值数据。该数值的有效范围为0到1之间的整数，其中0代表关闭路由发现功能，1表示启用。当此功能开启时，系统会主动发送请求，获取网络中的路由信息，并将获得的数据自动添加至本地路由表中，用于优化网络通信路径。若无需此类自动探测，建议保持该值为0，以避免不必要的网络流量和潜在的安全风险。操作完成后需保存更改并重启相关服务或系统以使设置生效。

51、 检查远程桌面服务端口是否开放

52、 通过命令提示符执行regedit命令启动注册表编辑器，随后导航至HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlTerminal ServerWinStationsRDP-Tcp路径。在此位置找到名为PortNumber的项，修改其数值数据，确保新值不同于默认的十六进制标准端口号。该端口数值的有效范围为十进制1至65535之间的任意整数。更改后需确保系统防火墙及其他网络设备同步更新相应规则，以保障远程连接正常。操作前建议备份注册表，避免配置错误导致服务异常。

53、 查看DHCP客户端服务是否正常运行

54、 以管理员身份运行命令提示符，输入 services.msc 进入服务管理界面，找到显示名称为DHCP Client的服务并将其停止。

55、 关闭非必要端口，如445端口

56、 进入注册表编辑器，定位到HKEY_LOCAL_MACHINESYSTEMCurrentControlSetservicesNetBTParameters路径。根据系统类型，若为32位系统，新建一个DWORD值；若为64位系统，则新建QWORD值，名称设为SMBDeviceEnabled，并将其数值数据设置为0，完成后保存更改并重启计算机以使设置生效。

57、 打开服务管理器，找到Server服务，将其停止并设置为禁用状态。

58、 重启系统

59、 核查密码过期前提示用户修改的策略天数设置。

60、 打开命令提示符，输入gpedit.msc启动组策略编辑器。依次进入本地计算机策略→计算机配置→Windows设置→安全设置→本地策略→安全选项。在右侧列表中查找交互式登录：提示用户在密码过期前更改密码或类似名称的策略项。将其启用并设置数值，确保不低于规定的标准值，其中标准值以十六进制表示为0xe。若系统为Windows 2000，则该项不存在，无需进行配置或检查。完成设置后保存更改并关闭编辑器，确保策略生效。

61、 确认所有驱动器的Windows自动播放功能均已关闭。

62、 通过命令提示符执行gpedit.msc以启动组策略编辑器。根据操作系统版本选择相应路径：若系统为Windows 2008、Windows Vista、Windows 2008 R2或Windows 7，需依次展开本地计算机策略→计算机配置→管理模板→Windows组件→自动播放策略；若为Windows 2000、Windows XP、Windows 2003或Windows 2003 R2，则进入本地计算机策略→计算机配置→管理模板→系统。在右侧设置项中查找关闭/停用自动播放选项，将其配置为已启用，并设定策略作用范围为所有驱动器，以确保所有存储设备接入时均不触发自动播放功能。完成设置后保存更改，该配置将有效阻止各类可移动介质和光盘的自动运行行为，提升系统安全性，防止潜在恶意程序通过自动播放机制传播。此方法适用于专业版及服务器版Windows系统。

63、 确认是否开启不显示上次登录用户名策略

64、 通过命令提示符执行gpedit.msc启动组策略编辑器，依次展开本地计算机策略→计算机配置→Windows设置→安全设置→本地策略→安全选项。在右侧列表中定位到登录屏幕上不显示上次登录的用户名（Windows 2000）或交互式登录：不显示最后的用户名选项，将其设置为已启用，以防止系统在登录界面显示最近一次登录的账户名称，从而提升安全性。该配置适用于对系统安全有较高要求的使用环境。

65、 检查锁定会话时是否显示用户信息的权限级别

66、 通过运行regedit命令启动注册表编辑器，定位至HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionPoliciesSystem路径。在此项下创建或修改一个名为DontDisplayLockedUserId的DWORD类型值，将其数据设为有效范围内的数值。该值可取1至3之间的整数：设置为1时，登录界面将显示用户全名、域名及用户名；设置为2时，仅显示用户名；设置为3时，则不显示任何用户相关信息。此配置适用于支持该策略的系统版本。对于Windows XP系统，需预先安装编号为207399的补丁程序，否则设置无效；而Windows 2000系统本身不支持此项配置，因此无需进行检查或修改。操作前建议备份注册表，以防误改导致系统异常。完成设置后重启计算机或注销当前会话，新配置即可在锁屏或登录界面生效。