Windows服务器安全加固10条建议

2020-05-12 16:29:25 浏览数 (3)

上节我们介绍了“Linux安全加固10条建议”本节我们继续看Windows服务器安全加过10条建议。

以下是笔者刚在网上找到的一份2016年的服务器操作系统市场份额数据(https://shuhari.dev/blog/2019/7/win-server-not-dominated) 可以看到Windows服务器操作系统市场份额是比较高的。 但据我个人了解国内互联网公司的服务器市场Linux操作系统的份额要远远高于Windows服务器 ,主要原因是Linux开源免费,可以根据自己的业务进行量身定制。

Spiceworks报道的2016年服务器操作系统市场份额Spiceworks报道的2016年服务器操作系统市场份额

相比Linux服务器Windows服务器也是有很庞大的用户群体,从国内使用Windows操作系统的用户看主要通过Windows服务器建站和存放数据等。去年“Windows远程桌面代码执行漏洞”也影响了很大的一批用户,这里我们来介绍一下如何加固我们的Windows服务器安全。

本文以腾讯云的Windows server 2012R2 作为测试环境。

1) 设置复杂密码

服务器设置大写、小写、特殊字符、数字组成的12-16位的复杂密码 ,也可使用密码生成器自动生成复杂密码,这里给您一个链接参考:https://suijimimashengcheng.51240.com/

2) 更改 3389 远程登录端口

  • 先选择开始-->运行,输入regedit,点击确认,打开注册表,然后找到路径[HKEY_LOCAL_MACHINESYSTEMCurrentContro1SetControlTenninal ServerWinStationsRDP-Tcp],到PortNamber,然后右键–>修改,选择到十进制,你就会看到现在您使用的端口号(默认值是3389),然后修改为您想要使用的端口就可以了,如3390,但是不要选择一些我们常用的端口或者您的软件需要使用的端口,否则会出现端口冲突。
  • [HKEY_LOCAL_MACHINESYSTEM CurrentControlSetControlTerminal ServerWdsrdpwdTdstcp],也是找到PortNumber,同上面一样修改一下端口值3390就可以了

注意:修改完毕后,重启服务器,才会生效。 以下为3389端口登录工具介绍:

  • 点击查看Windows 登录方式
  • 点击查看Linux 登录方式
  • 点击查看Mac 登录方式 (客户端连接服务器只支持默认3389端口)

3)腾讯云平台安全组功能

腾讯云平台有安全组功能,里面您只需要放行业务协议和端口,不建议放行所有协议所有端口,参考文档: https://cloud.tencent.com/document/product/215/20398

4) 帐户锁定策略

对于采用静态口令认证技术的设备,应配置当用户连续认证失败次数超过10次后,锁定该用户使用的帐户。

操作步骤

打开 控制面板 > 管理工具 > 本地安全策略,在 帐户策略 > 帐户锁定策略 中,配置 帐户锁定阈值 不大于10次。

帐户锁定策略帐户锁定策略

5)账户安全

Windows服务器一般默认情况下会禁用guest账户,同时服务器只保留guest(禁用状态)和administrator(管理员)账户。

  • 禁用Guest账户。
  • 禁用或删除其他无用账户(建议先禁用账户三个月,待确认没有问题后删除。)

操作步骤

打开 控制面板 > 管理工具 > 计算机管理,在 系统工具 > 本地用户和组 > 用户 中,双击 Guest 帐户,在属性中选中 帐户已禁用,单击 确定。

账户安全账户安全

6) 不显示最后的用户名

配置登录登出后,不显示用户名称。

操作步骤:

打开 控制面板 > 管理工具 > 本地安全策略,在 本地策略 > 安全选项 中,双击 交互式登录:不显示最后的用户名,选择 已启用 并单击 确定。

不显示最后的用户名不显示最后的用户名

7) 授权

远程关机

在本地安全设置中,从远端系统强制关机权限只分配给Administrators组。

操作步骤

打开 控制面板 > 管理工具 > 本地安全策略,在 本地策略 > 用户权限分配 中,配置 从远端系统强制关机 权限只分配给Administrators组。

从远端系统强制关机从远端系统强制关机

本地关机

在本地安全设置中关闭系统权限只分配给Administrators组。

操作步骤

打开 控制面板 > 管理工具 > 本地安全策略,在 本地策略 > 用户权限分配 中,配置 关闭系统 权限只分配给Administrators组。

用户权限指派

在本地安全设置中,取得文件或其它对象的所有权权限只分配给Administrators组。

操作步骤

打开 控制面板 > 管理工具 > 本地安全策略,在 本地策略 > 用户权限分配 中,配置 取得文件或其它对象的所有权 权限只分配给Administrators组。

授权帐户登录

在本地安全设置中,配置指定授权用户允许本地登录此计算机。

操作步骤

打开 控制面板 > 管理工具 > 本地安全策略,在 本地策略 > 用户权限分配 中,配置 允许本地登录 权限给指定授权用户。

授权帐户从网络访问

在本地安全设置中,只允许授权帐号从网络访问(包括网络共享等,但不包括终端服务)此计算机。

操作步骤

打开 控制面板 > 管理工具 > 本地安全策略,在 本地策略 > 用户权限分配 中,配置 从网络访问此计算机 权限给指定授权用户。

8) 日志配置操作

日志配置

审核登录

设备应配置日志功能,对用户登录进行记录。记录内容包括用户登录使用的帐户、登录是否成功、登录时间、以及远程登录时、及用户使用的IP地址。

操作步骤

打开 控制面板 > 管理工具 > 本地安全策略,在 本地策略 > 审核策略 中,设置 审核登录事件。

审核策略

启用本地安全策略中对Windows系统的审核策略更改,成功和失败操作都需要审核。

操作步骤

打开 控制面板 > 管理工具 > 本地安全策略,在 本地策略 > 审核策略 中,设置 审核策略更改。

审核对象访问

启用本地安全策略中对Windows系统的审核对象访问,成功和失败操作都需要审核。

操作步骤

打开 控制面板 > 管理工具 > 本地安全策略,在 本地策略 > 审核策略 中,设置 审核对象访问。

审核事件目录服务访问

启用本地安全策略中对Windows系统的审核目录服务访问,仅需要审核失败操作。

操作步骤

打开 控制面板 > 管理工具 > 本地安全策略,在 本地策略 > 审核策略 中,设置 审核目录服务器访问。

审核特权使用

启用本地安全策略中对Windows系统的审核特权使用,成功和失败操作都需要审核。

操作步骤

打开 控制面板 > 管理工具 > 本地安全策略,在 本地策略 > 审核策略 中,设置 审核特权使用。

审核系统事件

启用本地安全策略中对Windows系统的审核系统事件,成功和失败操作都需要审核。

操作步骤

打开 控制面板 > 管理工具 > 本地安全策略,在 本地策略 > 审核策略 中,设置 审核系统事件。

审核帐户管理

启用本地安全策略中对Windows系统的审核帐户管理,成功和失败操作都要审核。

操作步骤

打开 控制面板 > 管理工具 > 本地安全策略,在 本地策略 > 审核策略 中,设置 审核帐户管理。

审核过程追踪

启用本地安全策略中对Windows系统的审核进程追踪,仅失败操作需要审核。

操作步骤

打开 控制面板 > 管理工具 > 本地安全策略,在 本地策略 > 审核策略 中,设置 审核进程追踪。

9) 备份重要数据

  • 推荐使用云硬盘做数据备份,详细见视频 (https://www.bilibili.com/video/av93747306)
  • 使用cosbrowser (https://console.cloud.tencent.com/cos5/cosbrowser)

10) 其他配置

防病毒管理

Windows系统需要安装防病毒软件。如安装“腾讯管家”预防病毒或及时的漏洞更新。

漏洞相关

详细见 https://console.cloud.tencent.com/ssav2/vulner

设置屏幕保护密码和开启时间

设置从屏幕保护恢复时需要输入密码,并将屏幕保护自动开启时间设定为五分钟。

操作步骤

启用屏幕保护程序,设置等待时间为 5分钟,并启用 在恢复时使用密码保护。

限制远程登录空闲断开时间

对于远程登录的帐户,设置不活动超过时间15分钟自动断开连接。

操作步骤

打开 控制面板 > 管理工具 > 本地安全策略,在 本地策略 > 安全选项 中,设置 Microsoft网络服务器:暂停会话前所需的空闲时间数量 属性为15分钟。

参考资料

Windows操作系统安全加固: https://help.aliyun.com/knowledge_detail/49781.html

0 人点赞