系统建设

操作系统安全规范之Windows Server

liaoya · 1月4日 · 2021年 2345次已读

1、重要安全策略

1.1、密码复杂度

修改方法:在“运行”中输入“gpedit.msc”打开组策略编辑器,浏览到路径“本地计算机策略计算机配置Windows设置安全设置帐户策略密码策略”。

默认配置内容如下图:

6ddf73903adb4c9b8e9e44838d2ee6e4

修改如下参数配置:

“密码必须符合复杂性要求”,配置为“已启用”,要求复杂性。

“密码长度最小值”,建议8或12。

“强制密码历史”,配置5,最近5个密码不能使用。

“密码最短存留期(使用期限)”,配置为1。

“密码最长存留期(使用期限)”,配置为90。

“用可还原的加密来存储密码”,已禁用。

ff0ec1c5eab448b1856409b070238059

注意:若使用堡垒机登录windows,“密码最短存留期(使用期限)”和 “密码最长存留期(使用期限)”不改,保留原设置,修改该配置项可能会影响堡垒机的使用以及信息科对服务器的管理。

1.2、账户锁定

“gpedit.msc”打开组策略编辑器,浏览到路径“本地计算机策略计算机配置Windows设置安全设置帐户策略帐户锁定策略”。

默认配置内容如下图:

9048805a39ad4e2ab19d138dd1925c76

帐户锁定时间,建议30分钟。

帐户锁定阈值,建议5。

重置帐户锁定计数器,建议30分钟。

a0440b4c89be4e4e8c3509923dc17c21

以上表示30分钟内有5次登录失败,锁定这个账户(不可登录)30分钟后解锁。

1.3、 远程会话闲置一段时间后自动断开

“gpedit.msc”打开组策略编辑器,浏览路径“本地计算机配置”“管理模板”“windows组件”“远程桌面服务”“远程桌面会话主机”“会话时间限制”。

默认配置内容如下图:

e91f8cd46230493e8fc19eebbc103e91

修改配置内容:设置活动但空闲的远程桌面会话时间限制 已启用 10分钟

55200a1311f642f4a57c87d5426d977d

1.4、删除无用账户

检查系统没有无用账户,windows禁用guest账户,根据实际需要修改administrator用户名为其他用户名。

2、安全选项

“gpedit.msc”打开组策略编辑器,浏览到路径“本地计算机策略计算机配置Windows设置安全设置本地策略安全选项”。

2.1、提示用户密码过期前修改的天数

“gpedit.msc”打开组策略编辑器,浏览到路径“本地计算机策略计算机配置Windows设置安全设置本地策略安全选项”,在右边窗格中找到“交互式登录: 提示用户在过期之前更改密码”,默认为5改为30。

df9ecd118323474793febe9d9471a9cf

2.2、删除匿名访问的命名管道和共享

默认已是空的,请配置时核对。

“网络访问: 可匿名访问的命名管道”,配置为空。

“网络访问: 可匿名访问的共享”,配置为空。

653c7cfaf1c84431826069069caf4e10

2.3、关闭远程访问注册表

“网络访问:可远程访问的注册表路径”,清空。

“网络访问: 可远程访问的注册表路径和子路径”,清空。

3e248ecd4c394dfab766975021cb3486

2.4、禁用guest账户

“(帐户:)来宾帐户状态”,配置为“已禁用”,默认已经为已禁用,请配置时核对。

de4df85f31014ff79dab25c36b6b7c5c

2.5、 修改管理员账户名称

注意:若不是公司维护的服务器,注意修改账户名导致不能登录。不确定则最好不要做修改。

“(帐户:)重命名(系统)管理员帐户”,更改其默认设置“Administrator”(注意:若当前是以Administrator用户登录,则无法更改)。

8399cc228ff440dd8b8327e4db405bd7

2.6、屏保启用密码

Windows Server 2008及Windows Server 2012在控制面板->显示->更改屏幕保护程序。选择一个屏幕保护程序,将等待时间配置为不大于300秒,且勾选“在恢复时显示登录屏幕”。

ef8da951e6554f28929261de5421148b
2b8cd3ee5e9d4e8cb4cfc8f2f83b90a7

2.7、启用“关机清除虚拟内存页面文件”

默认配置为“已禁用”,请修改为“已启用”

95ef54eb85dd42c1827493e2352d54a8
89c345c4cdc648b4bdd216825577bca9

2.8、不显示最后的用户名

默认配置为“已禁用”,请修改为“已启用”

5f5ce1fe918540b4bc0c08c09713ead4
e05b0171c3394ab19abf446a94a4199f

3、关闭危险服务和端口

“services.msc”打开系统服务,以下服务请停止,再设置为“手动”或“禁用”。

a. 关闭Remote Registry。

ac5c31628b994b6fb8f5503165a9d6dd
40c5bdba08e3461ba48697925f4c2a68

b. 关闭Server。

这个服务一定要关闭,大部分攻击针对445,139,135端口,都是这个服务,一定要关闭。更改为手动。

c. 关闭Shell Hardware Detection。

1f66acb7086341608e51fe68d686954f
ecc0a0f130e14f5899c20519fd45cf9f

d. 关闭Printer Spooler。

8a8d6eba91534b35b96214d83e520569
b23d4b15b13145bd9a2437d455a55bee

e. 关闭DHCP Client。

注意:先查看是否是dhcp动态ip,若是固定ip,服务中关闭dhcp client。若是自动获得ip,不能关闭dhcp client。

c0ab89ce0ca149a08e48fc942ceaa3ca
5451b45e2639426685182c4e0aae3875

若服务器是通过自动获得ip,dhcp client服务不能关闭。

4、端口管理

4.1、关闭445,135,137,138,139端口

控制面板-管理工具-本地安全策略,ip安全策略,创建ip安全策略,阻止其他ip访问本机ip的危险端口。

989cb74eefca4ace8326291861b3d7de

增加ip安全规则,添加规则,规则名任意(如关闭端口,封端口):

61b9aeb207864ee880eec7f3f05aef8d
7fc7e0ca8b3842188d47c7ff1604d927
69e7df97a5f94b7e8be617ea633e7f45
85f69f00fed84dbda8bca6de9cb9be7b
25cf095afcdb4c57917b1f25bfcd225a

添加ip筛选器列表:

源地址:任何ip地址。

目标地址:我的ip地址。

源端口:任何端口。

目标端口:依次是445,135,137,138,139。

20e34f1953574d56a8b4aeed8fa8c2e2

设置筛选器操作为阻止:

311a68dce3074f2181009e4691bb7fd0
d4d7a11a634945519cc01a92145deac7

确定后,点右键-分配,策略已指派变成是。

169dd3cd80c24493975fe5f68e1013fe
3ddd69b13854497595b3ce59e6653abb

4.2、修改常用中间件默认端口(建议)

所有中间件,数据库,web服务器的默认端口,容易被攻击者扫描利用,也会被安全公司扫描出漏洞报告,请修改默认端口,为方便记忆,建议默认端口号每位数字+1,以下举例常用:

44f2461854a746f48124517f5cdfecb6

有条件的话修改远程端口(windows 3389,linux 22)为其他端口。

5、系统保护

5.1、 启用数据执行保护

计算机-属性-高级系统设置-高级-性能-设置-数据执行保护,勾选“仅为基本Windows程序和服务启用DEP”。

30fc0f3c75a945eeb303443c7e7728c9

更改此配置需要重启系统才能生效。暂时不重启,设置就好。

5.2、 安装杀毒软件

安装杀毒软件,若有购买正版杀毒则直接采用,若没有,请使用免费的火绒安全软件,资源小效果好:

https://www.huorong.cn/person5.html

注意:不要使用360杀毒,360会留下后门导致本地端口被占满,应用无法对外服务。

5.3、 密码保管

以下密码保管的建议:

a.每台服务器的登录密码满足复杂度,且各不相同。

b.远程服务器(windows远程桌面,linux远程客户端,数据库客户端)工具禁止使用记住密码功能。

c.将密码记录在本机的excel文档中,并加密。每次有登录需要时输入该excel文档密码,从文档中复制相应的密码到相应的客户端工具中登录,提高安全性。

0 条回应