啟用防火墻
阿里云windows Server 2008 R2默認居然沒有啟用防火墻�����。2012可能也是這樣的�,不過這個一定要檢查�����!
補丁更新
啟用windows更新服務(wù),設(shè)置為自動更新狀態(tài)�,以便及時打補丁。
阿里云windows Server 2008 R2默認為自動更新狀態(tài)�����,2012可能也是這樣的�����,不過這個一定要檢查��!
賬號口令
優(yōu)化賬號
操作目的 | 減少系統(tǒng)無用賬號��,降低風險 |
加固方法 | “Win+R”鍵調(diào)出“運行”->compmgmt.msc(計算機管理)->本地用戶和組。 1����、刪除不用的賬號��,系統(tǒng)賬號所屬組是否正確���。云服務(wù)剛開通時�,應(yīng)該只有一個administrator賬號和處于禁用狀態(tài)的guest賬號���; 2���、確保guest賬號是禁用狀態(tài) 3�、買阿里云時���,管理員賬戶名稱不要用administrator |
備注 | ? |
口令策略
操作目的 | 增強口令的復雜度及鎖定策略等�,降低被暴力破解的可能性 |
加固方法 | “Win+R”鍵調(diào)出“運行”->secpol.msc (本地安全策略)->安全設(shè)置 1�、賬戶策略->密碼策略 密碼必須符合復雜性要求:啟用 密碼長度最小值:8個字符 密碼最短使用期限:0天 密碼最長使用期限:90天 強制密碼歷史:1個記住密碼 用可還原的加密來存儲密碼:已禁用 2、本地策略->安全選項 交互式登錄:不顯示最后的用戶名:啟用 |
備注 | “Win+R”鍵調(diào)出“運行”->gpupdate /force立即生效 |
網(wǎng)絡(luò)服務(wù)
優(yōu)化服務(wù)(1)
操作目的 | 關(guān)閉不需要的服務(wù)���,減小風險 |
加固方法 | “Win+R”鍵調(diào)出“運行”->services.msc�����,以下服務(wù)改為禁用: Application ?Layer Gateway Service(為應(yīng)用程序級協(xié)議插件提供支持并啟用網(wǎng)絡(luò)/協(xié)議連接) Background ?Intelligent Transfer Service(利用空閑的網(wǎng)絡(luò)帶寬在后臺傳輸文件���。如果服務(wù)被停用,例如Windows Update?和?MSN Explorer的功能將無法自動下載程序和其他信息) Computer Browser(維護網(wǎng)絡(luò)上計算機的更新列表�,并將列表提供給計算機指定瀏覽) DHCP Client Diagnostic Policy Service Distributed Transaction Coordinator DNS Client Distributed Link Tracking Client Remote Registry(使遠程用戶能修改此計算機上的注冊表設(shè)置) Print Spooler(管理所有本地和網(wǎng)絡(luò)打印隊列及控制所有打印工作) Server(不使用文件共享可以關(guān)閉,關(guān)閉后再右鍵點某個磁盤選屬性����,“共享”這個頁面就不存在了) Shell Hardware Detection TCP/IP NetBIOS Helper(提供?TCP/IP (NetBT)?服務(wù)上的NetBIOS?和網(wǎng)絡(luò)上客戶端的NetBIOS?名稱解析的支持�,從而使用戶能夠共享文件���、打印和登錄到網(wǎng)絡(luò)) Task Scheduler(使用戶能在此計算機上配置和計劃自動任務(wù)) Windows Remote Management(47001端口�����,Windows遠程管理服務(wù),用于配合IIS管理硬件�,一般用不到) Workstation(創(chuàng)建和維護到遠程服務(wù)的客戶端網(wǎng)絡(luò)連接。如果服務(wù)停止��,這些連接將不可用) |
備注 | 用服務(wù)需謹慎����,特別是遠程計算機 |
優(yōu)化服務(wù)(2)
·????????????????? 在"網(wǎng)絡(luò)連接"里,把不需要的協(xié)議和服務(wù)都移除
2? 去掉Qos數(shù)據(jù)包計劃程序
2??關(guān)閉Netbios服務(wù)(關(guān)閉139端口)
網(wǎng)絡(luò)連接->本地連接->屬性->Internet協(xié)議版本 4->屬性->高級->WINS->禁用TCP/IP上的NetBIOS�����。
說明:關(guān)閉此功能��,你服務(wù)器上所有共享服務(wù)功能都將關(guān)閉�����,別人在資源管理器中將看不到你的共享資源。這樣也防止了信息的泄露����。
2? Microsoft網(wǎng)絡(luò)的文件和打印機共享
網(wǎng)絡(luò)連接->本地連接->屬性,把除了“Internet協(xié)議版本 4”以外的東西都勾掉�����。
2? ipv6協(xié)議
先關(guān)閉網(wǎng)絡(luò)連接->本地連接->屬性->Internet協(xié)議版本 6 (TCP/IPv6)
然后再修改注冊表:HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip6\Parameters��,增加一個Dword項����,名字:DisabledComponents,值:ffffffff(十六位的8個f)
重啟服務(wù)器即可關(guān)閉ipv6
2? microsoft網(wǎng)絡(luò)客戶端(主要是為了訪問微軟的網(wǎng)站)
·????????????????? 關(guān)閉445端口
445端口是netbios用來在局域網(wǎng)內(nèi)解析機器名的服務(wù)端口��,一般服務(wù)器不需要對LAN開放什么共享����,所以可以關(guān)閉。
修改注冊表:HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NetBT\Parameters���,則更加一個Dword項:SMBDeviceEnabled��,值:0
·????????????????? 關(guān)閉LLMNR(關(guān)閉5355端口)
什么是LLMNR��?本地鏈路多播名稱解析�,也叫多播DNS,用于解析本地網(wǎng)段上的名稱����,沒啥用但還占著5355端口。
使用組策略關(guān)閉�����,運行->gpedit.msc->計算機配置->管理模板->網(wǎng)絡(luò)->DNS客戶端->關(guān)閉多播名稱解析->啟用
網(wǎng)絡(luò)限制
操作目的 | 網(wǎng)絡(luò)訪問限制 |
加固方法 | “Win+R”鍵調(diào)出“運行”->secpol.msc ->安全設(shè)置->本地策略->安全選項 網(wǎng)絡(luò)訪問: 不允許 SAM 帳戶的匿名枚舉:已啟用 網(wǎng)絡(luò)訪問: 不允許 SAM 帳戶和共享的匿名枚舉:已啟用 網(wǎng)絡(luò)訪問: 將 Everyone權(quán)限應(yīng)用于匿名用戶:已禁用 帳戶: 使用空密碼的本地帳戶只允許進行控制臺登錄:已啟用 |
備注 | “Win+R”鍵調(diào)出“運行”->gpupdate /force立即生效 |
遠程訪問
一定要使用高強度密碼
更改遠程終端默認端口號
步驟:
1.防火墻中設(shè)置
1.控制面板——windows防火墻——高級設(shè)置——入站規(guī)則——新建規(guī)則——端口——特定端口tcp(如13688)——允許連接 2.完成以上操作之后右擊該條規(guī)則作用域——本地ip地址——任何ip地址——遠程ip地址——下列ip地址—— 添加管理者ip 同理其它端口可以通過此功能對特定網(wǎng)段屏蔽(如80端口)�。
請注意:不是專線的網(wǎng)絡(luò)的IP地址經(jīng)常變����,不適合限定IP。
2.運行regedit 2.[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\Wds \rdpwd\Tds \tcp] 和 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\TerminalServer\WinStations\RDP-TCP]���,看見PortNamber值了嗎����?其默認值是3389�,修改成所希望的端口即可,例如13688
3.[HKEY_LOCAL_MACHINE\SYSTEM\CurrentContro1Set\Control\Tenninal Server\WinStations\ RDP\Tcp]�����,將PortNumber的值(默認是3389)修改成端口13688(自定義)。
4.重新啟動電腦���,以后遠程登錄的時候使用端口13688就可以了���。
文件系統(tǒng)
檢查Everyone權(quán)限
操作目的 | 增強Everyone權(quán)限 |
加固方法 | 鼠標右鍵系統(tǒng)驅(qū)動器(磁盤)->“屬性”->“安全”,查看每個系統(tǒng)驅(qū)動器根目錄是否設(shè)置為Everyone有所有權(quán)限 刪除Everyone的權(quán)限或者取消Everyone的寫權(quán)限 |
備注 | ? |
NTFS權(quán)限設(shè)置
注意:
1�、2008 R2默認的文件夾和文件所有者為TrustedInstaller,這個用戶同時擁有所有控制權(quán)限���。 2����、注冊表同的項也是這樣�,所有者為TrustedInstaller。 3���、如果要修改文件權(quán)限時應(yīng)該先設(shè)置管理員組 administrators 為所有者�����,再設(shè)置其它權(quán)限�。 4、如果要刪除或改名注冊表��,同樣也需先設(shè)置管理員組為所有者��,同時還要應(yīng)該到子項�,直接刪除當前項還是刪除不掉時可以先刪除子項后再刪除此項。
步驟:
- C盤只給administrators 和system權(quán)限����,其他的權(quán)限不給,其他的盤也可以這樣設(shè)置(web目錄權(quán)限依具體情況而定)
- 這里給的system權(quán)限也不一定需要給�,只是由于某些第三方應(yīng)用程序是以服務(wù)形式啟動的,需要加上這個用戶��,否則造成啟動不了����。
- Windows目錄要加上給users的默認權(quán)限����,否則ASP和ASPX等應(yīng)用程序就無法運行(如果你使用IIS的話,要引用windows下的dll文件)�����。
- c:/user/ 只給administrators 和system權(quán)限
日志和授權(quán)
增強日志
操作目的 | 增大日志量大小,避免由于日志文件容量過小導致日志記錄不全 |
加固方法 | “Win+R”鍵調(diào)出“運行”->eventvwr.msc ->“windows日志”->查看“應(yīng)用程序”“安全”“系統(tǒng)”的屬性 建議設(shè)置: 日志上限大?����。?/span>20480 KB Windows server 2008 R2默認就是這樣設(shè)置的 |
備注 | ? |
增強審核
操作目的 | 對系統(tǒng)事件進行審核�,在日后出現(xiàn)故障時用于排查故障 |
加固方法 | “Win+R”鍵調(diào)出“運行”->secpol.msc ->安全設(shè)置->本地策略->審核策略 建議設(shè)置: 審核策略更改:成功 審核登錄事件:成功,失敗 審核對象訪問:成功 審核進程跟蹤:成功�����,失敗 審核目錄服務(wù)訪問:成功�,失敗 審核系統(tǒng)事件:成功,失敗 審核帳戶登錄事件:成功����,失敗 審核帳戶管理:成功,失敗 |
備注 | “Win+R”鍵調(diào)出“運行”->gpupdate /force立即生效 |
授權(quán)
進入“控制面板->管理工具->本地安全策略”�����,在“本地策略->用戶權(quán)利指派”:
把“關(guān)閉系統(tǒng)”設(shè)置為“只指派給Administrators組”
把?“從遠端系統(tǒng)強制關(guān)機”設(shè)置為“只指派Administrators組”
?設(shè)置“取得文件或其它對象的所有權(quán)”設(shè)置為“只指派給Administrators組
攻擊保護
關(guān)閉ICMP
也就是平時說的PING�����,讓別人PING不到服務(wù)器,減少不必要的軟件掃描麻煩����。
在服務(wù)器的控制面板中打開?windows防火墻?,點擊?高級設(shè)置:
?
點擊?入站規(guī)則?——找到?文件和打印機共享(回顯請求 - ICMPv4-In)?����,啟用此規(guī)則即是開啟ping,禁用此規(guī)則IP將禁止其他客戶端ping通�,但不影響TCP、UDP等連接���。
?
應(yīng)用服務(wù)安全
IIS
web.config配置不能返回詳細的應(yīng)用異常
<customErrors>標記的“mode”屬性不能設(shè)置為“Off”��,這樣用戶能看到異常詳情��。
在IIS角色服務(wù)中去掉目錄瀏覽����、 ASP���、CGI、在服務(wù)器端包含文件
IIS用戶
匿名身份驗證不能使用管理員賬號����,得使用普通用戶賬號�。
