主機安全
啟用防火牆
阿里雲windows Server 2008 R2預設居然沒有啟用防火牆。2012可能也是這樣的,不過這個一定要檢查!
補丁更新
啟用windows更新服務,設定為自動更新狀態,以便及時打補丁。
阿里雲windows Server 2008 R2預設為自動更新狀態,2012可能也是這樣的,不過這個一定要檢查!
賬號口令
優化賬號
|
操作目的 |
減少系統無用賬號,降低風險 |
|
加固方法 |
“Win+R”鍵調出“執行”->compmgmt.msc(計算機管理)->本地使用者和組。 1、刪除不用的賬號,系統賬號所屬組是否正確。雲服務剛開通時,應該只有一個administrator賬號和處於禁用狀態的guest賬號; 2、確保guest賬號是禁用狀態 3、買阿里雲時,管理員賬戶名稱不要用administrator |
|
備註 |
|
口令策略
|
操作目的 |
增強口令的複雜度及鎖定策略等,降低被暴力破解的可能性 |
|
加固方法 |
“Win+R”鍵調出“執行”->secpol.msc (本地安全策略)->安全設定 1、賬戶策略->密碼策略 密碼必須符合複雜性要求:啟用 密碼長度最小值:8個字元 密碼最短使用期限:0天 密碼最長使用期限:90天 強制密碼歷史:1個記住密碼 用可還原的加密來儲存密碼:已禁用 2、本地策略->安全選項 互動式登入:不顯示最後的使用者名稱:啟用 |
|
備註 |
“Win+R”鍵調出“執行”->gpupdate /force立即生效 |
網路服務
優化服務(1)
|
操作目的 |
關閉不需要的服務,減小風險 |
|
加固方法 |
“Win+R”鍵調出“執行”->services.msc,以下服務改為禁用: Application Layer Gateway Service(為應用程式級協議外掛提供支援並啟用網路/協議連線) Background Intelligent Transfer Service(利用空閒的網路頻寬在後臺傳輸檔案。如果服務被停用,例如Windows Update 和 MSN Explorer的功能將無法自動下載程式和其他資訊) Computer Browser(維護網路上計算機的更新列表,並將列表提供給計算機指定瀏覽) DHCP Client Diagnostic Policy Service Distributed Transaction Coordinator DNS Client Distributed Link Tracking Client Remote Registry(使遠端使用者能修改此計算機上的登錄檔設定) Print Spooler(管理所有本地和網路列印佇列及控制所有列印工作) Server(不使用檔案共享可以關閉,關閉後再右鍵點某個磁碟選屬性,“共享”這個頁面就不存在了) Shell Hardware Detection TCP/IP NetBIOS Helper(提供 TCP/IP (NetBT) 服務上的NetBIOS 和網路上客戶端的NetBIOS 名稱解析的支援,從而使使用者能夠共享檔案、列印和登入到網路) Task Scheduler(使使用者能在此計算機上配置和計劃自動任務) Windows Remote Management(47001埠,Windows遠端管理服務,用於配合IIS管理硬體,一般用不到) Workstation(建立和維護到遠端服務的客戶端網路連線。如果服務停止,這些連線將不可用) |
|
備註 |
用服務需謹慎,特別是遠端計算機 |
優化服務(2)
- 在"網路連線"裡,把不需要的協議和服務都移除
² 去掉Qos資料包計劃程式
² 關閉Netbios服務(關閉139埠)
網路連線->本地連線->屬性->Internet協議版本 4->屬性->高階->WINS->禁用TCP/IP上的NetBIOS。
說明:關閉此功能,你伺服器上所有共享服務功能都將關閉,別人在資源管理器中將看不到你的共享資源。這樣也防止了資訊的洩露。
² Microsoft網路的檔案和印表機共享
網路連線->本地連線->屬性,把除了“Internet協議版本 4”以外的東西都勾掉。
² ipv6協議
先關閉網路連線->本地連線->屬性->Internet協議版本 6 (TCP/IPv6)
然後再修改登錄檔:HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip6\Parameters,增加一個Dword項,名字:DisabledComponents,值:ffffffff(十六位的8個f)
重啟伺服器即可關閉ipv6
² microsoft網路客戶端(主要是為了訪問微軟的網站)
- 關閉445埠
445埠是netbios用來在區域網內解析機器名的服務埠,一般伺服器不需要對LAN開放什麼共享,所以可以關閉。
修改登錄檔:HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NetBT\Parameters,則更加一個Dword項:SMBDeviceEnabled,值:0
- 關閉LLMNR(關閉5355埠)
什麼是LLMNR?本地鏈路多播名稱解析,也叫多播DNS,用於解析本地網段上的名稱,沒啥用但還佔著5355埠。
使用組策略關閉,執行->gpedit.msc->計算機配置->管理模板->網路->DNS客戶端->關閉多播名稱解析->啟用
網路限制
|
操作目的 |
網路訪問限制 |
|
加固方法 |
“Win+R”鍵調出“執行”->secpol.msc ->安全設定->本地策略->安全選項 網路訪問: 不允許 SAM 帳戶的匿名列舉:已啟用 網路訪問: 不允許 SAM 帳戶和共享的匿名列舉:已啟用 網路訪問: 將 Everyone許可權應用於匿名使用者:已禁用 帳戶: 使用空密碼的本地帳戶只允許進行控制檯登入:已啟用 |
|
備註 |
“Win+R”鍵調出“執行”->gpupdate /force立即生效 |
遠端訪問
一定要使用高強度密碼
更改遠端終端預設埠號
步驟:
1.防火牆中設定
1.控制皮膚——windows防火牆——高階設定——入站規則——新建規則——埠——特定埠tcp(如13688)——允許連線 2.完成以上操作之後右擊該條規則作用域——本地ip地址——任何ip地址——遠端ip地址——下列ip地址—— 新增管理者ip 同理其它埠可以通過此功能對特定網段遮蔽(如80埠)。
請注意:不是專線的網路的IP地址經常變,不適合限定IP。
2.執行regedit 2.[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\Wds \rdpwd\Tds \tcp] 和 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\TerminalServer\WinStations\RDP-TCP],看見PortNamber值了嗎?其預設值是3389,修改成所希望的埠即可,例如13688
3.[HKEY_LOCAL_MACHINE\SYSTEM\CurrentContro1Set\Control\Tenninal Server\WinStations\ RDP\Tcp],將PortNumber的值(預設是3389)修改成埠13688(自定義)。
4.重新啟動電腦,以後遠端登入的時候使用埠13688就可以了。
檔案系統
檢查Everyone許可權
|
操作目的 |
增強Everyone許可權 |
|
加固方法 |
滑鼠右鍵系統驅動器(磁碟)->“屬性”->“安全”,檢視每個系統驅動器根目錄是否設定為Everyone有所有許可權 刪除Everyone的許可權或者取消Everyone的寫許可權 |
|
備註 |
|
NTFS許可權設定
注意:
1、2008 R2預設的資料夾和檔案所有者為TrustedInstaller,這個使用者同時擁有所有控制許可權。 2、登錄檔同的項也是這樣,所有者為TrustedInstaller。 3、如果要修改檔案許可權時應該先設定 管理員組 administrators 為所有者,再設定其它許可權。 4、如果要刪除或改名登錄檔,同樣也需先設定 管理員組 為所有者,同時還要應該到子項,直接刪除當前項還是刪除不掉時可以先刪除子項後再刪除此項。
步驟:
- C盤只給administrators 和system許可權,其他的許可權不給,其他的盤也可以這樣設定(web目錄許可權依具體情況而定)
- 這裡給的system許可權也不一定需要給,只是由於某些第三方應用程式是以服務形式啟動的,需要加上這個使用者,否則造成啟動不了。
- Windows目錄要加上給users的預設許可權,否則ASP和ASPX等應用程式就無法執行(如果你使用IIS的話,要引用windows下的dll檔案)。
- c:/user/ 只給administrators 和system許可權
日誌和授權
增強日誌
|
操作目的 |
增大日誌量大小,避免由於日誌檔案容量過小導致日誌記錄不全 |
|
加固方法 |
“Win+R”鍵調出“執行”->eventvwr.msc ->“windows日誌”->檢視“應用程式”“安全”“系統”的屬性 建議設定: 日誌上限大小:20480 KB Windows server 2008 R2預設就是這樣設定的 |
|
備註 |
|
增強稽核
|
操作目的 |
對系統事件進行稽核,在日後出現故障時用於排查故障 |
|
加固方法 |
“Win+R”鍵調出“執行”->secpol.msc ->安全設定->本地策略->稽核策略 建議設定: 稽核策略更改:成功 稽核登入事件:成功,失敗 稽核物件訪問:成功 稽核程式跟蹤:成功,失敗 稽核目錄服務訪問:成功,失敗 稽核系統事件:成功,失敗 稽核帳戶登入事件:成功,失敗 稽核帳戶管理:成功,失敗 |
|
備註 |
“Win+R”鍵調出“執行”->gpupdate /force立即生效 |
授權
進入“控制皮膚->管理工具->本地安全策略”,在“本地策略->使用者權利指派”:
把“關閉系統”設定為“只指派給Administrators組”
把 “從遠端系統強制關機”設定為“只指派Administrators組”
設定“取得檔案或其它物件的所有權”設定為“只指派給Administrators組
攻擊保護
關閉ICMP
也就是平時說的PING,讓別人PING不到伺服器,減少不必要的軟體掃描麻煩。
在伺服器的控制皮膚中開啟 windows防火牆 , 點選 高階設定:
點選 入站規則 ——找到 檔案和印表機共享(回顯請求 - ICMPv4-In) ,啟用此規則即是開啟ping,禁用此規則IP將禁止其他客戶端ping通,但不影響TCP、UDP等連線。
應用服務安全
IIS
web.config配置不能返回詳細的應用異常
<customErrors>標記的“mode”屬性不能設定為“Off”,這樣使用者能看到異常詳情。
在IIS角色服務中去掉目錄瀏覽、 ASP、CGI、在伺服器端包含檔案
IIS使用者
匿名身份驗證不能使用管理員賬號,得使用普通使用者賬號