win server 2008 r2

前沿拓展:


1、重要安全策略1.1、密码复杂度

修改方法:在“运行”中输入“gpedit.msc”打开组策略编辑器,浏览到路径“本地计算机策略计算机配置Windows设置安全设置帐户策略密码策略”。

默认配置内容如下图:

win server 2008 r2

修改如下参数配置:

“密码必须符合复杂性要求”,配置为“已启用”,要求复杂性。

“密码长度最小值”,建议8或12。

“强制密码历史”,配置5,最近5个密码不能使用。

“密码最短存留期(使用期限)”,配置为1。

“密码最长存留期(使用期限)”,配置为90。

“用可还原的加密来存储密码”,已禁用。

win server 2008 r2

注意:若使用堡垒机登录windows,“密码最短存留期(使用期限)”和 “密码最长存留期(使用期限)”不改,保留原设置,修改该配置项可能会影响堡垒机的使用以及信息科对服务器的管理。

1.2、账户锁定

“gpedit.msc”打开组策略编辑器,浏览到路径“本地计算机策略计算机配置Windows设置安全设置帐户策略帐户锁定策略”。

默认配置内容如下图:

win server 2008 r2

帐户锁定时间,建议30分钟。

帐户锁定阈值,建议5。

重置帐户锁定计数器,建议30分钟。

win server 2008 r2

以上表示30分钟内有5次登录失败,锁定这个账户(不可登录)30分钟后解锁。

1.3、 远程会话闲置一段时间后自动断开

“gpedit.msc”打开组策略编辑器,浏览路径“本地计算机配置”“管理模板”“windows组件”“远程桌面服务”“远程桌面会话主机”“会话时间限制”。

默认配置内容如下图:

win server 2008 r2

修改配置内容:设置活动但空闲的远程桌面会话时间限制 已启用 10分钟

win server 2008 r2

1.4、删除无用账户

检查系统没有无用账户,windows禁用guest账户,根据实际需要修改administrator用户名为其他用户名。

2、安全选项

“gpedit.msc”打开组策略编辑器,浏览到路径“本地计算机策略计算机配置Windows设置安全设置本地策略安全选项”。

2.1、提示用户密码过期前修改的天数

“gpedit.msc”打开组策略编辑器,浏览到路径“本地计算机策略计算机配置Windows设置安全设置本地策略安全选项”,在右边窗格中找到“交互式登录: 提示用户在过期之前更改密码”,默认为5改为30。

win server 2008 r2

2.2、删除匿名访问的命名管道和共享

默认已是空的,请配置时核对。

“网络访问: 可匿名访问的命名管道”,配置为空。

“网络访问: 可匿名访问的共享”,配置为空。

win server 2008 r2

2.3、关闭远程访问注册表

“网络访问:可远程访问的注册表路径”,清空。

“网络访问: 可远程访问的注册表路径和子路径”,清空。

win server 2008 r2

2.4、禁用guest账户

“(帐户:)来宾帐户状态”,配置为“已禁用”,默认已经为已禁用,请配置时核对。

win server 2008 r2

2.5、 修改管理员账户名称

“(帐户:)重命名(系统)管理员帐户”,更改其默认设置“Administrator”(注意:若当前是以Administrator用户登录,则无法更改)。

win server 2008 r2

2.6、屏保启用密码

Windows Server 2008及Windows Server 2012在控制面板->显示->更改屏幕保护程序。选择一个屏幕保护程序,将等待时间配置为不大于300秒,且勾选“在恢复时显示登录屏幕”。

win server 2008 r2

win server 2008 r2

2.7、启用“关机清除虚拟内存页面文件”

默认配置为“已禁用”,请修改为“已启用”

win server 2008 r2

win server 2008 r2

2.8、不显示最后的用户名

默认配置为“已禁用”,请修改为“已启用”

win server 2008 r2

win server 2008 r2

3、关闭危险服务和端口

“services.msc”打开系统服务,以下服务请停止,再设置为“手动”或“禁用”。

a. 关闭Remote Registry。

win server 2008 r2

win server 2008 r2

b. 关闭Server。

这个服务一定要关闭,大部分攻击针对445,139,135端口,都是这个服务,一定要关闭。更改为手动。

c. 关闭Shell Hardware Detection。

win server 2008 r2

win server 2008 r2

d. 关闭Printer Spooler。

win server 2008 r2

win server 2008 r2

e. 关闭DHCP Client。

注意:先查看是否是dhcp动态ip,若是固定ip,服务中关闭dhcp client。若是自动获得ip,不能关闭dhcp client。

win server 2008 r2

win server 2008 r2

若服务器是通过自动获得ip,dhcp client服务不能关闭。

4、端口管理4.1、关闭445,135,137,138,139端口

控制面板-管理工具-本地安全策略,ip安全策略,创建ip安全策略,阻止其他ip访问本机ip的危险端口。

win server 2008 r2

增加ip安全规则,添加规则,规则名任意(如关闭端口,封端口):

win server 2008 r2

win server 2008 r2

win server 2008 r2

win server 2008 r2

win server 2008 r2

添加ip筛选器列表:

源地址:任何ip地址。

目标地址:我的ip地址。

源端口:任何端口。

目标端口:依次是445,135,137,138,139。

win server 2008 r2

设置筛选器**作为阻止:

win server 2008 r2

win server 2008 r2

确定后,点右键-分配,策略已指派变成是。

win server 2008 r2

win server 2008 r2

4.2、修改常用中间件默认端口(建议)

所有中间件,数据库,web服务器的默认端口,容易被攻击者扫描利用,也会被安全公司扫描出漏洞报告,请修改默认端口,为方便记忆,建议默认端口号每位数字+1,以下举例常用:

win server 2008 r2

有条件的话修改远程端口(windows 3389,linux 22)为其他端口。

5、系统保护5.1、 启用数据执行保护

计算机-属性-高级系统设置-高级-性能-设置-数据执行保护,勾选“仅为基本Windows程序和服务启用DEP”。

win server 2008 r2

更改此配置需要重启系统才能生效。暂时不重启,设置就好。

5.2、 安装杀毒软件

安装杀毒软件,若有购买正版杀毒则直接采用,若没有,请使用免费的火绒安全软件,资源小效果好:

https://www.huorong.cn/person5.html

注意:不要使用360杀毒,360会留下后门导致本地端口被占满,应用无法对外服务。

5.3、 密码保管

以下密码保管的建议:

a.每台服务器的登录密码满足复杂度,且各不相同。

b.远程服务器(windows远程桌面,linux远程客户端,数据库客户端)工具禁止使用记住密码功能。

c.将密码记录在本机的excel文档中,并加密。每次有登录需要时输入该excel文档密码,从文档中**相应的密码到相应的客户端工具中登录,提高安全性。

拓展知识:

原创文章,作者:九贤生活小编,如若转载,请注明出处:http://www.wangguangwei.com/78727.html