windowsserver2008阿里雲ECS伺服器安全設定

最近我們Sinesafe安全公司在為客戶使用阿里雲ecs伺服器做安全的過程中，發現伺服器基礎安全性都沒有做。為了為站長們提供更加有效的安全基礎解決方案，我們Sinesafe將對阿里雲伺服器win2008 系統進行基礎安全部署實戰過程！

比較重要的幾部分

1.更改預設administrator使用者名稱，複雜密碼2.開啟防火牆3.安裝防毒軟體

1)新做系統一定要先打上補丁2)安裝必要的防毒軟體3)刪除系統預設共享

4)修改本地策略——>安全選項 互動式登陸：不顯示最後的使用者名稱 啟用網路訪問：不允許SAM 帳戶和共享的匿名列舉 啟用網路訪問: 不允許儲存網路身份驗證的憑據或 .NET Passports 啟用網路訪問：可遠端訪問的登錄檔路徑和子路徑 全部刪除5)禁用不必要的服務TCP/IP NetBIOS Helper、Server、 Distributed Link Tracking Client 、Print Spooler、Remote Registry、Workstation6)禁用IPV6

server 2008 r2互動式登入: 不顯示最後的使用者名稱

其實最重要的就是開啟防火牆。

主機安全

啟用防火牆阿里雲windows Server 2008 R2預設居然沒有啟用防火牆。2012可能也是這樣的，不過這個一定要檢查！

補丁更新啟用windows更新服務，設定為自動更新狀態，以便及時打補丁。不要用360了，360安全衛士不支援2008補丁的安裝

阿里雲windows Server 2008 R2預設為自動更新狀態，2012可能也是這樣的，不過這個一定要檢查！

賬號口令

優化賬號

操作目的

減少系統無用賬號，降低風險

加固方法

“Win+R”鍵調出“執行”->compmgmt.msc（計算機管理）->本地使用者和組。

1、刪除不用的賬號，系統賬號所屬組是否正確。雲服務剛開通時，應該只有一個administrator賬號和處於禁用狀態的guest賬號；

2、確保guest賬號是禁用狀態

3、買阿里雲時，管理員賬戶名稱不要用administrator

備註

口令策略

操作目的

增強口令的複雜度及鎖定策略等，降低被暴力破解的可能性

加固方法

“Win+R”鍵調出“執行”->secpol.msc （本地安全策略）->安全設定

1、賬戶策略->密碼策略

密碼必須符合複雜性要求：啟用

密碼長度最小值：8個字元

密碼最短使用期限：0天

密碼最長使用期限：90天

強制密碼歷史：1個記住密碼

用可還原的加密來儲存密碼：已禁用

2、本地策略->安全選項

互動式登入：不顯示最後的使用者名稱：啟用

備註

“Win+R”鍵調出“執行”->gpupdate /force立即生效

網路服務

優化服務（1）

操作目的

關閉不需要的服務，減小風險

加固方法

“Win+R”鍵調出“執行”->services.msc，以下服務改為禁用：

Application Layer Gateway Service（為應用程式級協議外掛提供支援並啟用網路/協議連線）

Background Intelligent Transfer Service（利用空閒的網路頻寬在後臺傳輸檔案。如果服務被停用，例如Windows Update 和 MSN Explorer的功能將無法自動下載程式和其他資訊）

Computer Browser（維護網路上計算機的更新列表，並將列表提供給計算機指定瀏覽）

DHCP Client

Diagnostic Policy Service

Distributed Transaction Coordinator

DNS Client

Distributed Link Tracking Client

Remote Registry（使遠端使用者能修改此計算機上的登錄檔設定）

Print Spooler（管理所有本地和網路列印佇列及控制所有列印工作）

Server（不使用檔案共享可以關閉，關閉後再右鍵點某個磁碟選屬性，“共享”這個頁面就不存在了）

Shell Hardware Detection

TCP/IP NetBIOS Helper（提供 TCP/IP (NetBT) 服務上的NetBIOS 和網路上客戶端的NetBIOS 名稱解析的支援，從而使使用者能夠共享檔案、列印和登入到網路）

Task Scheduler（使使用者能在此計算機上配置和計劃自動任務）

Windows Remote Management(47001埠，Windows遠端管理服務，用於配合IIS管理硬體，一般用不到)

Workstation（建立和維護到遠端服務的客戶端網路連線。如果服務停止，這些連線將不可用）

備註

用服務需謹慎，特別是遠端計算機

優化服務（2）

在”網路連線”裡，把不需要的協議和服務都移除 去掉Qos資料包計劃程式

關閉Netbios服務（關閉139埠）

網路連線->本地連線->屬性->Internet協議版本 4->屬性->高階->WINS->禁用TCP/IP上的NetBIOS。

說明：關閉此功能，你伺服器上所有共享服務功能都將關閉，別人在資源管理器中將看不到你的共享資源。這樣也防止了資訊的洩露。

Microsoft網路的檔案和印表機共享

網路連線->本地連線->屬性，把除了“Internet協議版本 4”以外的東西都勾掉。

ipv6協議

先關閉網路連線->本地連線->屬性->Internet協議版本 6 (TCP/IPv6)

然後再修改登錄檔：HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesTcpip6Parameters，增加一個Dword項，名字：DisabledComponents，值：ffffffff（十六位的8個f）

重啟伺服器即可關閉ipv6

microsoft網路客戶端（主要是為了訪問微軟的網站）

關閉445埠445埠是netbios用來在區域網內解析機器名的服務埠，一般伺服器不需要對LAN開放什麼共享，所以可以關閉。

修改登錄檔：HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesNetBTParameters，則更加一個Dword項：SMBDeviceEnabled，值：0

關閉LLMNR（關閉5355埠）什麼是LLMNR？本地鏈路多播名稱解析，也叫多播DNS，用於解析本地網段上的名稱，沒啥用但還佔著5355埠。

使用組策略關閉，執行->gpedit.msc->計算機配置->管理模板->網路->DNS客戶端->關閉多播名稱解析->啟用

網路限制

操作目的

網路訪問限制

加固方法

“Win+R”鍵調出“執行”->secpol.msc ->安全設定->本地策略->安全選項

網路訪問: 不允許 SAM 帳戶的匿名列舉：已啟用

網路訪問: 不允許 SAM 帳戶和共享的匿名列舉：已啟用

網路訪問: 將 Everyone許可權應用於匿名使用者：已禁用

帳戶: 使用空密碼的本地帳戶只允許進行控制檯登入：已啟用

備註

“Win+R”鍵調出“執行”->gpupdate /force立即生效

遠端訪問

一定要使用高強度密碼

更改遠端終端預設埠號

步驟：

1.防火牆中設定

1.控制皮膚——windows防火牆——高階設定——入站規則——新建規則——埠——特定埠tcp（如13688）——允許連線 2.完成以上操作之後右擊該條規則作用域——本地ip地址——任何ip地址——遠端ip地址——下列ip地址—— 新增管理者ip 同理其它埠可以通過此功能對特定網段遮蔽（如80埠）。

請注意：不是專線的網路的IP地址經常變，不適合限定IP。

2.執行regedit 2.[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlTerminal ServerWds
dpwdTds cp] 和 [HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlTerminalServerWinStationsRDP-TCP]，看見PortNamber值了嗎？其預設值是3389，修改成所希望的埠即可，例如13688

3.[HKEY_LOCAL_MACHINESYSTEMCurrentContro1SetControlTenninal ServerWinStations RDPTcp]，將PortNumber的值（預設是3389）修改成埠13688（自定義）。

4.重新啟動電腦，以後遠端登入的時候使用埠13688就可以了。

檔案系統

檢查Everyone許可權

操作目的

增強Everyone許可權

加固方法

滑鼠右鍵系統驅動器（磁碟）->“屬性”->“安全”，檢視每個系統驅動器根目錄是否設定為Everyone有所有許可權

刪除Everyone的許可權或者取消Everyone的寫許可權

備註

NTFS許可權設定

注意：

1、2008 R2預設的資料夾和檔案所有者為TrustedInstaller，這個使用者同時擁有所有控制許可權。 2、登錄檔同的項也是這樣，所有者為TrustedInstaller。 3、如果要修改檔案許可權時應該先設定 管理員組 administrators 為所有者，再設定其它許可權。 4、如果要刪除或改名登錄檔，同樣也需先設定 管理員組 為所有者，同時還要應該到子項，直接刪除當前項還是刪除不掉時可以先刪除子項後再刪除此項。

步驟：

C盤只給administrators 和system許可權，其他的許可權不給，其他的盤也可以這樣設定（web目錄許可權依具體情況而定）這裡給的system許可權也不一定需要給，只是由於某些第三方應用程式是以服務形式啟動的，需要加上這個使用者，否則造成啟動不了。Windows目錄要加上給users的預設許可權，否則ASP和ASPX等應用程式就無法執行（如果你使用IIS的話，要引用windows下的dll檔案）。c:/user/ 只給administrators 和system許可權

日誌和授權

增強日誌

操作目的

增大日誌量大小，避免由於日誌檔案容量過小導致日誌記錄不全

加固方法

“Win+R”鍵調出“執行”->eventvwr.msc ->“windows日誌”->檢視“應用程式”“安全”“系統”的屬性

建議設定：

日誌上限大小：20480 KB

Windows server 2008 R2預設就是這樣設定的

備註

增強稽核

操作目的

對系統事件進行稽核，在日後出現故障時用於排查故障

加固方法

“Win+R”鍵調出“執行”->secpol.msc ->安全設定->本地策略->稽核策略

建議設定：

稽核策略更改：成功

稽核登入事件：成功，失敗

稽核物件訪問：成功

稽核程式跟蹤：成功，失敗

稽核目錄服務訪問：成功，失敗

稽核系統事件：成功，失敗

稽核帳戶登入事件：成功，失敗

稽核帳戶管理：成功，失敗

備註

“Win+R”鍵調出“執行”->gpupdate /force立即生效

授權

進入“控制皮膚->管理工具->本地安全策略”，在“本地策略->使用者權利指派”:

把“關閉系統”設定為“只指派給Administrators組”

把 “從遠端系統強制關機”設定為“只指派Administrators組”

設定“取得檔案或其它物件的所有權”設定為“只指派給Administrators組

攻擊保護關閉ICMP

也就是平時說的PING，讓別人PING不到伺服器，減少不必要的軟體掃描麻煩。

在伺服器的控制皮膚中開啟 windows防火牆 ， 點選 高階設定：

點選 入站規則 ——找到 檔案和印表機共享(回顯請求 – ICMPv4-In) ，啟用此規則即是開啟ping，禁用此規則IP將禁止其他客戶端ping通，但不影響TCP、UDP等連線。

應用服務安全

IISweb.config配置不能返回詳細的應用異常

<customErrors>標記的“mode”屬性不能設定為“Off”，這樣使用者能看到異常詳情。

在IIS角色服務中去掉目錄瀏覽、 ASP、CGI、在伺服器端包含檔案

IIS使用者

匿名身份驗證不能使用管理員賬號，得使用普通使用者賬號。