今天小編跟大家講解下有關(guān)科技常識：WINDOWS server 2008 r2,win2012 r2 服務(wù)器安全加固實(shí)戰(zhàn)，相信小伙伴們對這個話題應(yīng)該也很關(guān)注吧，小編也收集到了有關(guān)科技常識：WINDOWS server 2008 r2,win2012 r2 服務(wù)器安全加固實(shí)戰(zhàn)的相關(guān)資料，希望小伙伴會喜歡也能夠幫助大家。

　　主機(jī)安全

　　啟用防火墻阿里云windows Server 2008 R2默認(rèn)居然沒有啟用防火墻。2012可能也是這樣的，不過這個一定要檢查!

　　補(bǔ)丁更新啟用windows更新服務(wù)，設(shè)置為自動更新狀態(tài)，以便及時打補(bǔ)丁。不要用360了，360安全衛(wèi)士不支持2008補(bǔ)丁的安裝

　　阿里云windows Server 2008 R2默認(rèn)為自動更新狀態(tài)，2012可能也是這樣的，不過這個一定要檢查!

　　賬號口令

　　優(yōu)化賬號

　　操作目的

　　減少系統(tǒng)無用賬號，降低風(fēng)險(xiǎn)

　　加固方法

　　“Win+R”鍵調(diào)出“運(yùn)行”->compmgmt.msc(計(jì)算機(jī)管理)->本地用戶和組。

　　1、刪除不用的賬號，系統(tǒng)賬號所屬組是否正確。云服務(wù)剛開通時，應(yīng)該只有一個administrator賬號和處于禁用狀態(tài)的guest賬號;

　　2、確保guest賬號是禁用狀態(tài)

　　3、買阿里云時，管理員賬戶名稱不要用administrator

　　備注

　　口令策略

　　操作目的

　　增強(qiáng)口令的復(fù)雜度及鎖定策略等，降低被暴力破解的可能性

　　加固方法

　　“Win+R”鍵調(diào)出“運(yùn)行”->secpol.msc (本地安全策略)->安全設(shè)置

　　1、賬戶策略->密碼策略

　　密碼必須符合復(fù)雜性要求：啟用

　　密碼長度最小值：8個字符

　　密碼最短使用期限：0天

　　密碼最長使用期限：90天

　　強(qiáng)制密碼歷史：1個記住密碼

　　用可還原的加密來存儲密碼：已禁用

　　2、本地策略->安全選項(xiàng)

　　交互式登錄：不顯示最后的用戶名：啟用

　　備注

　　“Win+R”鍵調(diào)出“運(yùn)行”->gpupdate /force立即生效

　　網(wǎng)絡(luò)服務(wù)

　　優(yōu)化服務(wù)(1)

　　操作目的

　　關(guān)閉不需要的服務(wù)，減小風(fēng)險(xiǎn)

　　加固方法

　　“Win+R”鍵調(diào)出“運(yùn)行”->services.msc，以下服務(wù)改為禁用：

　　Application Layer Gateway Service(為應(yīng)用程序級協(xié)議插件提供支持并啟用網(wǎng)絡(luò)/協(xié)議連接)

　　Background Intelligent Transfer Service(利用空閑的網(wǎng)絡(luò)帶寬在后臺傳輸文件。如果服務(wù)被停用，例如Windows Update和MSN Explorer的功能將無法自動下載程序和其他信息)

　　Computer Browser(維護(hù)網(wǎng)絡(luò)上計(jì)算機(jī)的更新列表，并將列表提供給計(jì)算機(jī)指定瀏覽)

　　DHCP Client

　　Diagnostic Policy Service

　　Distributed Transaction Coordinator

　　DNS Client

　　Distributed Link Tracking Client

　　Remote Registry(使遠(yuǎn)程用戶能修改此計(jì)算機(jī)上的注冊表設(shè)置)

　　Print Spooler(管理所有本地和網(wǎng)絡(luò)打印隊(duì)列及控制所有打印工作)

　　Server(不使用文件共享可以關(guān)閉，關(guān)閉后再右鍵點(diǎn)某個磁盤選屬性，“共享”這個頁面就不存在了)

　　Shell Hardware Detection

　　TCP/IP NetBIOS Helper(提供TCP/IP (NetBT)服務(wù)上的NetBIOS和網(wǎng)絡(luò)上客戶端的NetBIOS名稱解析的支持，從而使用戶能夠共享文件、打印和登錄到網(wǎng)絡(luò))

　　Task Scheduler(使用戶能在此計(jì)算機(jī)上配置和計(jì)劃自動任務(wù))

　　Windows Remote Management(47001端口，Windows遠(yuǎn)程管理服務(wù)，用于配合IIS管理硬件，一般用不到)

　　Workstation(創(chuàng)建和維護(hù)到遠(yuǎn)程服務(wù)的客戶端網(wǎng)絡(luò)連接。如果服務(wù)停止，這些連接將不可用)

　　備注

　　用服務(wù)需謹(jǐn)慎，特別是遠(yuǎn)程計(jì)算機(jī)

　　優(yōu)化服務(wù)(2)

　　在"網(wǎng)絡(luò)連接"里，把不需要的協(xié)議和服務(wù)都移除 去掉Qos數(shù)據(jù)包計(jì)劃程序

　　關(guān)閉Netbios服務(wù)(關(guān)閉139端口)

　　網(wǎng)絡(luò)連接->本地連接->屬性->Internet協(xié)議版本 4->屬性->高級->WINS->禁用TCP/IP上的NetBIOS。

　　說明：關(guān)閉此功能，你服務(wù)器上所有共享服務(wù)功能都將關(guān)閉，別人在資源管理器中將看不到你的共享資源。這樣也防止了信息的泄露。

　　Microsoft網(wǎng)絡(luò)的文件和打印機(jī)共享

　　網(wǎng)絡(luò)連接->本地連接->屬性，把除了“Internet協(xié)議版本 4”以外的東西都勾掉。

　　ipv6協(xié)議

　　先關(guān)閉網(wǎng)絡(luò)連接->本地連接->屬性->Internet協(xié)議版本 6 (TCP/IPv6)

　　然后再修改注冊表：HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip6\Parameters，增加一個Dword項(xiàng)，名字：DisabledComponents，值：ffffffff(十六位的8個f)

　　重啟服務(wù)器即可關(guān)閉ipv6

　　microsoft網(wǎng)絡(luò)客戶端(主要是為了訪問微軟的網(wǎng)站)

　　關(guān)閉445端口445端口是netbios用來在局域網(wǎng)內(nèi)解析機(jī)器名的服務(wù)端口，一般服務(wù)器不需要對LAN開放什么共享，所以可以關(guān)閉。

　　修改注冊表：HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NetBT\Parameters，則更加一個Dword項(xiàng)：SMBDeviceEnabled，值：0

　　關(guān)閉LLMNR(關(guān)閉5355端口)什么是LLMNR?本地鏈路多播名稱解析，也叫多播DNS，用于解析本地網(wǎng)段上的名稱，沒啥用但還占著5355端口。

　　使用組策略關(guān)閉，運(yùn)行->gpedit.msc->計(jì)算機(jī)配置->管理模板->網(wǎng)絡(luò)->DNS客戶端->關(guān)閉多播名稱解析->啟用

　　網(wǎng)絡(luò)限制

　　操作目的

　　網(wǎng)絡(luò)訪問限制

　　加固方法

　　“Win+R”鍵調(diào)出“運(yùn)行”->secpol.msc ->安全設(shè)置->本地策略->安全選項(xiàng)

　　網(wǎng)絡(luò)訪問: 不允許 SAM 帳戶的匿名枚舉：已啟用

　　網(wǎng)絡(luò)訪問: 不允許 SAM 帳戶和共享的匿名枚舉：已啟用

　　網(wǎng)絡(luò)訪問: 將 Everyone權(quán)限應(yīng)用于匿名用戶：已禁用

　　帳戶: 使用空密碼的本地帳戶只允許進(jìn)行控制臺登錄：已啟用

　　備注

　　“Win+R”鍵調(diào)出“運(yùn)行”->gpupdate /force立即生效

　　遠(yuǎn)程訪問

　　一定要使用高強(qiáng)度密碼

　　更改遠(yuǎn)程終端默認(rèn)端口號

　　步驟：

　　1.防火墻中設(shè)置

　　1.控制面板――windows防火墻――高級設(shè)置――入站規(guī)則――新建規(guī)則――端口――特定端口tcp(如13688)――允許連接 2.完成以上操作之后右擊該條規(guī)則作用域――本地ip地址――任何ip地址――遠(yuǎn)程ip地址――下列ip地址―― 添加管理者ip 同理其它端口可以通過此功能對特定網(wǎng)段屏蔽(如80端口)。

　　請注意：不是專線的網(wǎng)絡(luò)的IP地址經(jīng)常變，不適合限定IP。

　　2.運(yùn)行regedit 2.[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\Wds \rdpwd\Tds \tcp] 和 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\TerminalServer\WinStations\RDP-TCP]，看見PortNamber值了嗎?其默認(rèn)值是3389，修改成所希望的端口即可，例如13688

　　3.[HKEY_LOCAL_MACHINE\SYSTEM\CurrentContro1Set\Control\Tenninal Server\WinStations\ RDP\Tcp]，將PortNumber的值(默認(rèn)是3389)修改成端口13688(自定義)。

　　4.重新啟動電腦，以后遠(yuǎn)程登錄的時候使用端口13688就可以了。

　　文件系統(tǒng)

　　檢查Everyone權(quán)限

　　操作目的

　　增強(qiáng)Everyone權(quán)限

　　加固方法

　　鼠標(biāo)右鍵系統(tǒng)驅(qū)動器(磁盤)->“屬性”->“安全”，查看每個系統(tǒng)驅(qū)動器根目錄是否設(shè)置為Everyone有所有權(quán)限

　　刪除Everyone的權(quán)限或者取消Everyone的寫權(quán)限

　　備注

　　NTFS權(quán)限設(shè)置

　　注意：

　　1、2008 R2默認(rèn)的文件夾和文件所有者為TrustedInstaller，這個用戶同時擁有所有控制權(quán)限。 2、注冊表同的項(xiàng)也是這樣，所有者為TrustedInstaller。 3、如果要修改文件權(quán)限時應(yīng)該先設(shè)置 管理員組 administrators 為所有者，再設(shè)置其它權(quán)限。 4、如果要刪除或改名注冊表，同樣也需先設(shè)置 管理員組 為所有者，同時還要應(yīng)該到子項(xiàng)，直接刪除當(dāng)前項(xiàng)還是刪除不掉時可以先刪除子項(xiàng)后再刪除此項(xiàng)。

　　步驟：

　　C盤只給administrators 和system權(quán)限，其他的權(quán)限不給，其他的盤也可以這樣設(shè)置(web目錄權(quán)限依具體情況而定) 這里給的system權(quán)限也不一定需要給，只是由于某些第三方應(yīng)用程序是以服務(wù)形式啟動的，需要加上這個用戶，否則造成啟動不了。 Windows目錄要加上給users的默認(rèn)權(quán)限，否則ASP和ASPX等應(yīng)用程序就無法運(yùn)行(如果你使用IIS的話，要引用windows下的dll文件)。 c:/user/ 只給administrators 和system權(quán)限

　　日志和授權(quán)

　　增強(qiáng)日志

　　操作目的

　　增大日志量大小，避免由于日志文件容量過小導(dǎo)致日志記錄不全

　　加固方法

　　“Win+R”鍵調(diào)出“運(yùn)行”->eventvwr.msc ->“windows日志”->查看“應(yīng)用程序”“安全”“系統(tǒng)”的屬性

　　建議設(shè)置：

　　日志上限大小：20480 KB

　　Windows server 2008 R2默認(rèn)就是這樣設(shè)置的

　　備注

　　增強(qiáng)審核

　　操作目的

　　對系統(tǒng)事件進(jìn)行審核，在日后出現(xiàn)故障時用于排查故障

　　加固方法

　　“Win+R”鍵調(diào)出“運(yùn)行”->secpol.msc ->安全設(shè)置->本地策略->審核策略

　　建議設(shè)置：

　　審核策略更改：成功

　　審核登錄事件：成功，失敗

　　審核對象訪問：成功

　　審核進(jìn)程跟蹤：成功，失敗

　　審核目錄服務(wù)訪問：成功，失敗

　　審核系統(tǒng)事件：成功，失敗

　　審核帳戶登錄事件：成功，失敗

　　審核帳戶管理：成功，失敗

　　備注

　　“Win+R”鍵調(diào)出“運(yùn)行”->gpupdate /force立即生效

　　授權(quán)

　　進(jìn)入“控制面板->管理工具->本地安全策略”，在“本地策略->用戶權(quán)利指派”:

　　把“關(guān)閉系統(tǒng)”設(shè)置為“只指派給Administrators組”

　　把 “從遠(yuǎn)端系統(tǒng)強(qiáng)制關(guān)機(jī)”設(shè)置為“只指派Administrators組”

　　設(shè)置“取得文件或其它對象的所有權(quán)”設(shè)置為“只指派給Administrators組

　　攻擊保護(hù)關(guān)閉ICMP

　　也就是平時說的PING，讓別人PING不到服務(wù)器，減少不必要的軟件掃描麻煩。

　　在服務(wù)器的控制面板中打開 windows防火墻 ， 點(diǎn)擊 高級設(shè)置：

　　點(diǎn)擊 入站規(guī)則 ――找到 文件和打印機(jī)共享(回顯請求 - ICMPv4-In) ，啟用此規(guī)則即是開啟ping，禁用此規(guī)則IP將禁止其他客戶端ping通，但不影響TCP、UDP等連接。

　　應(yīng)用服務(wù)安全

　　IISweb.config配置不能返回詳細(xì)的應(yīng)用異常

　　標(biāo)記的“mode”屬性不能設(shè)置為“Off”，這樣用戶能看到異常詳情。

　　在IIS角色服務(wù)中去掉目錄瀏覽、 ASP、CGI、在服務(wù)器端包含文件

　　IIS用戶

　　匿名身份驗(yàn)證不能使用管理員賬號，得使用普通用戶賬號。