[轉]WINDOWS服務器安全加固實戰（WINDOWS SERVER 2008 R2和WINDOWS SERVER 2012）

時間 2019-11-06

標籤 windows 服務器安全加固實戰 server r2 欄目 Windows 简体版

原文原文鏈接

主機安全

啓用防火牆

阿里雲windows Server 2008 R2默認竟然沒有啓用防火牆。2012可能也是這樣的，不過這個必定要檢查！html

補丁更新

啓用windows更新服務，設置爲自動更新狀態，以便及時打補丁。ios

阿里雲windows Server 2008 R2默認爲自動更新狀態，2012可能也是這樣的，不過這個必定要檢查！web

帳號口令

優化帳號

操做目的windows

減小系統無用帳號，下降風險安全

加固方法服務器

「Win+R」鍵調出「運行」->compmgmt.msc（計算機管理）->本地用戶和組。網絡

一、刪除不用的帳號，系統帳號所屬組是否正確。雲服務剛開通時，應該只有一個administrator帳號和處於禁用狀態的guest帳號；tcp

二、確保guest帳號是禁用狀態工具

三、買阿里雲時，管理員帳戶名稱不要用administrator優化

備註

口令策略

操做目的

加強口令的複雜度及鎖定策略等，下降被暴力破解的可能性

加固方法

「Win+R」鍵調出「運行」->secpol.msc （本地安全策略）->安全設置

一、帳戶策略->密碼策略

密碼必須符合複雜性要求：啓用

密碼長度最小值：8個字符

密碼最短使用期限：0天

密碼最長使用期限：90天

強制密碼歷史：1個記住密碼

用可還原的加密來存儲密碼：已禁用

二、本地策略->安全選項

交互式登陸：不顯示最後的用戶名：啓用

備註

「Win+R」鍵調出「運行」->gpupdate /force當即生效

網絡服務

優化服務（1）

操做目的

關閉不須要的服務，減少風險

加固方法

「Win+R」鍵調出「運行」->services.msc，如下服務改成禁用：

Application Layer Gateway Service（爲應用程序級協議插件提供支持並啓用網絡/協議鏈接）

Background Intelligent Transfer Service（利用空閒的網絡帶寬在後臺傳輸文件。若是服務被停用，例如Windows Update 和 MSN Explorer的功能將沒法自動下載程序和其餘信息）

Computer Browser（維護網絡上計算機的更新列表，並將列表提供給計算機指定瀏覽）

DHCP Client

Diagnostic Policy Service

Distributed Transaction Coordinator

DNS Client

Distributed Link Tracking Client

Remote Registry（使遠程用戶能修改此計算機上的註冊表設置）

Print Spooler（管理全部本地和網絡打印隊列及控制全部打印工做）

Server（不使用文件共享能夠關閉，關閉後再右鍵點某個磁盤選屬性，「共享」這個頁面就不存在了）

Shell Hardware Detection

TCP/IP NetBIOS Helper（提供 TCP/IP (NetBT) 服務上的NetBIOS 和網絡上客戶端的NetBIOS 名稱解析的支持，從而使用戶可以共享文件、打印和登陸到網絡）

Task Scheduler（使用戶能在此計算機上配置和計劃自動任務）

Windows Remote Management(47001端口，Windows遠程管理服務，用於配合IIS管理硬件，通常用不到)

Workstation（建立和維護到遠程服務的客戶端網絡鏈接。若是服務中止，這些鏈接將不可用）

備註

用服務需謹慎，特別是遠程計算機

優化服務（2）

在"網絡鏈接"裏，把不須要的協議和服務都移除

² 去掉Qos數據包計劃程序

² 關閉Netbios服務（關閉139端口）

網絡鏈接->本地鏈接->屬性->Internet協議版本 4->屬性->高級->WINS->禁用TCP/IP上的NetBIOS。

說明：關閉此功能，你服務器上全部共享服務功能都將關閉，別人在資源管理器中將看不到你的共享資源。這樣也防止了信息的泄露。

² Microsoft網絡的文件和打印機共享

網絡鏈接->本地鏈接->屬性，把除了「Internet協議版本 4」之外的東西都勾掉。

² ipv6協議

先關閉網絡鏈接->本地鏈接->屬性->Internet協議版本 6 (TCP/IPv6)

而後再修改註冊表：HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip6\Parameters，增長一個Dword項，名字：DisabledComponents，值：ffffffff（十六位的8個f）

重啓服務器便可關閉ipv6

² microsoft網絡客戶端（主要是爲了訪問微軟的網站）

關閉445端口

445端口是netbios用來在局域網內解析機器名的服務端口，通常服務器不須要對LAN開放什麼共享，因此能夠關閉。

修改註冊表：HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NetBT\Parameters，則更加一個Dword項：SMBDeviceEnabled，值：0

關閉LLMNR（關閉5355端口）

什麼是LLMNR？本地鏈路多播名稱解析，也叫多播DNS，用於解析本地網段上的名稱，沒啥用但還佔着5355端口。

使用組策略關閉，運行->gpedit.msc->計算機配置->管理模板->網絡->DNS客戶端->關閉多播名稱解析->啓用

網絡限制

操做目的

網絡訪問限制

加固方法

「Win+R」鍵調出「運行」->secpol.msc ->安全設置->本地策略->安全選項

網絡訪問: 不容許 SAM 賬戶的匿名枚舉：已啓用

網絡訪問: 不容許 SAM 賬戶和共享的匿名枚舉：已啓用

網絡訪問: 將 Everyone權限應用於匿名用戶：已禁用

賬戶: 使用空密碼的本地賬戶只容許進行控制檯登陸：已啓用

備註

「Win+R」鍵調出「運行」->gpupdate /force當即生效

遠程訪問

必定要使用高強度密碼

更改遠程終端默認端口號

步驟：

1.防火牆中設置

1.控制面板——windows防火牆——高級設置——入站規則——新建規則——端口——特定端口tcp（如13688）——容許鏈接 2.完成以上操做以後右擊該條規則做用域——本地ip地址——任何ip地址——遠程ip地址——下列ip地址—— 添加管理者ip 同理其它端口能夠經過此功能對特定網段屏蔽（如80端口）。

請注意：不是專線的網絡的IP地址常常變，不適合限定IP。

2.運行regedit 2.[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\Wds \rdpwd\Tds \tcp] 和 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\TerminalServer\WinStations\RDP-TCP]，看見PortNamber值了嗎？其默認值是3389，修改爲所但願的端口便可，例如13688

3.[HKEY_LOCAL_MACHINE\SYSTEM\CurrentContro1Set\Control\Tenninal Server\WinStations\ RDP\Tcp]，將PortNumber的值（默認是3389）修改爲端口13688（自定義）。

4.從新啓動電腦，之後遠程登陸的時候使用端口13688就能夠了。

文件系統

檢查Everyone權限

操做目的

加強Everyone權限

加固方法

鼠標右鍵系統驅動器（磁盤）->「屬性」->「安全」，查看每一個系統驅動器根目錄是否設置爲Everyone有全部權限

刪除Everyone的權限或者取消Everyone的寫權限

備註

NTFS權限設置

注意：

一、2008 R2默認的文件夾和文件全部者爲TrustedInstaller，這個用戶同時擁有全部控制權限。二、註冊表同的項也是這樣，全部者爲TrustedInstaller。三、若是要修改文件權限時應該先設置管理員組 administrators 爲全部者，再設置其它權限。四、若是要刪除或更名註冊表，一樣也需先設置管理員組爲全部者，同時還要應該到子項，直接刪除當前項仍是刪除不掉時能夠先刪除子項後再刪除此項。

步驟：