• Windows Server 2008 R2 安全加固


    0x00 简介

      安全加固是企业安全中及其重要的一环,其主要内容包括账号安全、认证授权、协议安全、审计安全四项,这篇博客简单整理一下Windows Server 2008 R2的安全加固方案。

    0x01 账号安全

      这一部分主要是对账号进行加固。

    账号管理

      运行->compmgmt.msc(计算机管理)->本地用户和组。

      1.删除不用的账号,系统账号所属组是否正确。

      2.确保guest账号是禁用状态。

      3.修改管理员账户名,不要用administrator。

      4.创建陷阱administrator,权限设置为最低

    口令管理

      运行->secpol.msc (本地安全策略)->安全设置

      1.账户策略->密码策略

      密码必须符合复杂性要求:启用

      密码长度最小值:8个字符

      密码最短使用期限:0天

      密码最长使用期限:90天

      强制密码历史:1个记住密码

      用可还原的加密来存储密码:已禁用

      2.本地策略->安全选项

      交互式登录:不显示最后的用户名:启用

      /* 运行->gpupdate /force立即生效 */

    远程访问 

      核心:高强度密码+默认端口修改

      1.控制面板——windows防火墙——高级设置——入站规则——新建规则——端口——特定端口tcp(如13688)——允许连接 2.完成以上操作之后右击该条规则作用域——本地ip地址——任何ip地址——远程ip地址——下列ip地址—— 添加管理者ip 同理其它端口可以通过此功能对特定网段屏蔽(如80端口)。

      请注意:不是专线的网络的IP地址经常变,不适合限定IP

      2.运行regedit 2.[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlTerminal ServerWds dpwdTds cp] 和 [HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlTerminalServerWinStationsRDP-TCP],看见PortNamber值了吗?其默认值是3389,修改成所希望的端口即可,例如13688

      3.[HKEY_LOCAL_MACHINESYSTEMCurrentContro1SetControlTenninal ServerWinStations RDPTcp],将PortNumber的值(默认是3389)修改成端口13688(自定义)。

      4.重新启动电脑,以后远程登录的时候使用端口13688就可以了。

    0x02 认证授权

      认证授权主要是验证你是谁,你能够做什么。

    权限检查

      鼠标右键磁盘驱动器->属性->安全,查看每个系统驱动器根目录是否设置为Everyone有所有权限

      删除Everyone的权限或者取消Everyone的写权限

    授权管理

      进入“控制面板->管理工具->本地安全策略”,在“本地策略->用户权利指派”:

      把“关闭系统”设置为“只指派给Administrators组”

      把 “从远端系统强制关机”设置为“只指派Administrators组”

       设置“取得文件或其它对象的所有权”设置为“只指派给Administrators组

    NTFS权限管理

      NTFS权限是基于文件的,既可以在文件夹上设置也可以在文件上设置,NTFS权限必须是NTFS文件系统,否则不起作用。具体加固方式:

    1. C盘只给administrators 和system权限,其他的权限不给,其他的盘也可以这样设置(web目录权限依具体情况而定)
    2. 这里给的system权限也不一定需要给,只是由于某些第三方应用程序是以服务形式启动的,需要加上这个用户,否则造成启动不了。
    3. Windows目录要加上给users的默认权限,否则ASP和ASPX等应用程序就无法运行(如果你使用IIS的话,要引用windows下的dll文件)。
    4. c:/user/ 只给administrators 和system权限

    0x03 协议服务安全

      协议和服务加固主要阻止入侵者远程获取服务器的权限。

    禁用ping

      也就是关闭ICMP,在服务器的控制面板中打开windows防火墙 ,点击高级设置:点击 入站规则 ——找到 文件和打印机共享(回显请求 - ICMPv4-In) ,启用此规则即是开启ping,禁用此规则IP将禁止其他客户端ping通,但不影响TCP、UDP等连接。

    关闭139端口 

      网络连接->本地连接->属性->Internet协议版本 4->属性->高级->WINS->禁用TCP/IP上的NetBIOS。

      说明:关闭此功能,你服务器上所有共享服务功能都将关闭,别人在资源管理器中将看不到你的共享资源。这样也防止了信息的泄露。

    关闭445端口  

      445端口是netbios用来在局域网内解析机器名的服务端口,一般服务器不需要对LAN开放什么共享,所以可以关闭。

      修改注册表:HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesNetBTParameters,则更加一个Dword项:SMBDeviceEnabled,值:0

    关闭5355端口

      5355端口的服务是LLMNR。本地链路多播名称解析,也叫多播DNS,用于解析本地网段上的名称,没啥用但还占着5355端口。

      使用组策略关闭,运行->gpedit.msc->计算机配置->管理模板->网络->DNS客户端->关闭多播名称解析->启用

    关闭不必要的服务 

      “Win+R”键调出“运行”->services.msc,以下服务改为禁用:

      Application  Layer Gateway Service(为应用程序级协议插件提供支持并启用网络/协议连接)

      Background  Intelligent Transfer Service(利用空闲的网络带宽在后台传输文件。如果服务被停用,例如Windows Update 和 MSN Explorer的功能将无法自动下载程序和其他信息)

      Computer Browser(维护网络上计算机的更新列表,并将列表提供给计算机指定浏览)

      DHCP Client

      Diagnostic Policy Service

      Distributed Transaction Coordinator

      DNS Client

      Distributed Link Tracking Client

      Remote Registry(使远程用户能修改此计算机上的注册表设置)

      Print Spooler(管理所有本地和网络打印队列及控制所有打印工作)

      Server(不使用文件共享可以关闭,关闭后再右键点某个磁盘选属性,“共享”这个页面就不存在了)

      Shell Hardware Detection

      TCP/IP NetBIOS Helper(提供 TCP/IP (NetBT) 服务上的NetBIOS 和网络上客户端的NetBIOS 名称解析的支持,从而使用户能够共享文件、打印和登录到网络)

      Task Scheduler(使用户能在此计算机上配置和计划自动任务)

      Windows Remote Management(47001端口,Windows远程管理服务,用于配合IIS管理硬件,一般用不到)

      Workstation(创建和维护到远程服务的客户端网络连接。如果服务停止,这些连接将不可用)

    0x04 审计安全

      日志就是计算机系统、设备、软件等在某种情况下记录的信息。具体的内容取决于日志的来源。

    增强日志

      “Win+R”键调出“运行”->eventvwr.msc ->“windows日志”->查看“应用程序”“安全”“系统”的属性

      建议设置:

      日志上限大小:20480 KB

    日志审核

      “Win+R”键调出“运行”->secpol.msc ->安全设置->本地策略->审核策略

      建议设置:

      审核策略更改:成功

      审核登录事件:成功,失败

      审核对象访问:成功

      审核进程跟踪:成功,失败  

      审核目录服务访问:成功,失败

      审核系统事件:成功,失败

      审核帐户登录事件:成功,失败

      审核帐户管理:成功,失败

      /*运行->gpupdate /force立即生效*/

  • 相关阅读:
    reids 持久化
    center os 下redis安装以及基本使用
    MongoDB安装(Window)
    mysql中文乱码解决办法
    github托管代码
    MySQL表损坏修复【Incorrect key file for table】
    运维杂记-02
    配置ssh秘钥登陆
    nginx解决跨域问题
    运维杂记-01
  • 原文地址:https://www.cnblogs.com/richardlee97/p/10692241.html
Copyright © 2020-2023  润新知