精品免费在线观看-精品欧美-精品欧美成人bd高清在线观看-精品欧美高清不卡在线-精品欧美日韩一区二区

17站長(zhǎng)網(wǎng)

windows server 2008 r2和win2012 r2服務(wù)器安全加固的方法

2022-10-22 14:07| 查看: 2038 |來(lái)源: 互聯(lián)網(wǎng)

windows server 2008 r2和win2012 r2服務(wù)器安全加固的方法主機(jī)安全 啟用防火墻 阿里云windows Server 2008 R2默認(rèn)居然沒(méi)有啟用防火墻。2012可能也是這樣的,不過(guò)這個(gè)一定要檢查! 補(bǔ)丁更新 啟用windows更新服務(wù)

windows server 2008 r2和win2012 r2服務(wù)器安全加固的方法

主機(jī)安全

啟用防火墻
阿里云windows Server 2008 R2默認(rèn)居然沒(méi)有啟用防火墻。2012可能也是這樣的,不過(guò)這個(gè)一定要檢查!

補(bǔ)丁更新
啟用windows更新服務(wù),設(shè)置為自動(dòng)更新?tīng)顟B(tài),以便及時(shí)打補(bǔ)丁。不要用360了,360安全衛(wèi)士不支持2008補(bǔ)丁的安裝

阿里云windows Server 2008 R2默認(rèn)為自動(dòng)更新?tīng)顟B(tài),2012可能也是這樣的,不過(guò)這個(gè)一定要檢查!

賬號(hào)口令

優(yōu)化賬號(hào)

操作目的

減少系統(tǒng)無(wú)用賬號(hào),降低風(fēng)險(xiǎn)

加固方法

“Win+R”鍵調(diào)出“運(yùn)行”->compmgmt.msc(計(jì)算機(jī)管理)->本地用戶(hù)和組。

1、刪除不用的賬號(hào),系統(tǒng)賬號(hào)所屬組是否正確。云服務(wù)剛開(kāi)通時(shí),應(yīng)該只有一個(gè)administrator賬號(hào)和處于禁用狀態(tài)的guest賬號(hào);

2、確保guest賬號(hào)是禁用狀態(tài)

3、買(mǎi)阿里云時(shí),管理員賬戶(hù)名稱(chēng)不要用administrator

備注

 

口令策略

操作目的

增強(qiáng)口令的復(fù)雜度及鎖定策略等,降低被暴力破解的可能性

加固方法

“Win+R”鍵調(diào)出“運(yùn)行”->secpol.msc (本地安全策略)->安全設(shè)置

1、賬戶(hù)策略->密碼策略

密碼必須符合復(fù)雜性要求:?jiǎn)⒂?/p>

密碼長(zhǎng)度最小值:8個(gè)字符

密碼最短使用期限:0天

密碼最長(zhǎng)使用期限:90天

強(qiáng)制密碼歷史:1個(gè)記住密碼

用可還原的加密來(lái)存儲(chǔ)密碼:已禁用

2、本地策略->安全選項(xiàng)

交互式登錄:不顯示最后的用戶(hù)名:?jiǎn)⒂?/p>

備注

“Win+R”鍵調(diào)出“運(yùn)行”->gpupdate /force立即生效

網(wǎng)絡(luò)服務(wù)

優(yōu)化服務(wù)(1)

操作目的

關(guān)閉不需要的服務(wù),減小風(fēng)險(xiǎn)

加固方法

“Win+R”鍵調(diào)出“運(yùn)行”->services.msc,以下服務(wù)改為禁用:

Application  Layer Gateway Service(為應(yīng)用程序級(jí)協(xié)議插件提供支持并啟用網(wǎng)絡(luò)/協(xié)議連接)

Background  Intelligent Transfer Service(利用空閑的網(wǎng)絡(luò)帶寬在后臺(tái)傳輸文件。如果服務(wù)被停用,例如Windows Update 和 MSN Explorer的功能將無(wú)法自動(dòng)下載程序和其他信息)

Computer Browser(維護(hù)網(wǎng)絡(luò)上計(jì)算機(jī)的更新列表,并將列表提供給計(jì)算機(jī)指定瀏覽)

DHCP Client

Diagnostic Policy Service

Distributed Transaction Coordinator

DNS Client

Distributed Link Tracking Client

Remote Registry(使遠(yuǎn)程用戶(hù)能修改此計(jì)算機(jī)上的注冊(cè)表設(shè)置)

Print Spooler(管理所有本地和網(wǎng)絡(luò)打印隊(duì)列及控制所有打印工作)

Server(不使用文件共享可以關(guān)閉,關(guān)閉后再右鍵點(diǎn)某個(gè)磁盤(pán)選屬性,“共享”這個(gè)頁(yè)面就不存在了)

Shell Hardware Detection

TCP/IP NetBIOS Helper(提供 TCP/IP (NetBT) 服務(wù)上的NetBIOS 和網(wǎng)絡(luò)上客戶(hù)端的NetBIOS 名稱(chēng)解析的支持,從而使用戶(hù)能夠共享文件、打印和登錄到網(wǎng)絡(luò))

Task Scheduler(使用戶(hù)能在此計(jì)算機(jī)上配置和計(jì)劃自動(dòng)任務(wù))

Windows Remote Management(47001端口,Windows遠(yuǎn)程管理服務(wù),用于配合IIS管理硬件,一般用不到)

Workstation(創(chuàng)建和維護(hù)到遠(yuǎn)程服務(wù)的客戶(hù)端網(wǎng)絡(luò)連接。如果服務(wù)停止,這些連接將不可用)

備注

用服務(wù)需謹(jǐn)慎,特別是遠(yuǎn)程計(jì)算機(jī)

優(yōu)化服務(wù)(2)

在"網(wǎng)絡(luò)連接"里,把不需要的協(xié)議和服務(wù)都移除
  去掉Qos數(shù)據(jù)包計(jì)劃程序

  關(guān)閉Netbios服務(wù)(關(guān)閉139端口)

網(wǎng)絡(luò)連接->本地連接->屬性->Internet協(xié)議版本 4->屬性->高級(jí)->WINS->禁用TCP/IP上的NetBIOS。

說(shuō)明:關(guān)閉此功能,你服務(wù)器上所有共享服務(wù)功能都將關(guān)閉,別人在資源管理器中將看不到你的共享資源。這樣也防止了信息的泄露。

  Microsoft網(wǎng)絡(luò)的文件和打印機(jī)共享

網(wǎng)絡(luò)連接->本地連接->屬性,把除了“Internet協(xié)議版本 4”以外的東西都勾掉。

  ipv6協(xié)議

先關(guān)閉網(wǎng)絡(luò)連接->本地連接->屬性->Internet協(xié)議版本 6 (TCP/IPv6)

然后再修改注冊(cè)表:HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip6\Parameters,增加一個(gè)Dword項(xiàng),名字:DisabledComponents,值:ffffffff(十六位的8個(gè)f)

重啟服務(wù)器即可關(guān)閉ipv6

  microsoft網(wǎng)絡(luò)客戶(hù)端(主要是為了訪問(wèn)微軟的網(wǎng)站)

關(guān)閉445端口
445端口是netbios用來(lái)在局域網(wǎng)內(nèi)解析機(jī)器名的服務(wù)端口,一般服務(wù)器不需要對(duì)LAN開(kāi)放什么共享,所以可以關(guān)閉。

修改注冊(cè)表:HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NetBT\Parameters,則更加一個(gè)Dword項(xiàng):SMBDeviceEnabled,值:0

關(guān)閉LLMNR(關(guān)閉5355端口)
什么是LLMNR?本地鏈路多播名稱(chēng)解析,也叫多播DNS,用于解析本地網(wǎng)段上的名稱(chēng),沒(méi)啥用但還占著5355端口。

使用組策略關(guān)閉,運(yùn)行->gpedit.msc->計(jì)算機(jī)配置->管理模板->網(wǎng)絡(luò)->DNS客戶(hù)端->關(guān)閉多播名稱(chēng)解析->啟用

網(wǎng)絡(luò)限制

操作目的

網(wǎng)絡(luò)訪問(wèn)限制

加固方法

“Win+R”鍵調(diào)出“運(yùn)行”->secpol.msc ->安全設(shè)置->本地策略->安全選項(xiàng)

網(wǎng)絡(luò)訪問(wèn): 不允許 SAM 帳戶(hù)的匿名枚舉:已啟用

網(wǎng)絡(luò)訪問(wèn): 不允許 SAM 帳戶(hù)和共享的匿名枚舉:已啟用

網(wǎng)絡(luò)訪問(wèn): 將 Everyone權(quán)限應(yīng)用于匿名用戶(hù):已禁用

帳戶(hù): 使用空密碼的本地帳戶(hù)只允許進(jìn)行控制臺(tái)登錄:已啟用

備注

“Win+R”鍵調(diào)出“運(yùn)行”->gpupdate /force立即生效

遠(yuǎn)程訪問(wèn)

一定要使用高強(qiáng)度密碼

更改遠(yuǎn)程終端默認(rèn)端口號(hào)

步驟:

1.防火墻中設(shè)置

1.控制面板——windows防火墻——高級(jí)設(shè)置——入站規(guī)則——新建規(guī)則——端口——特定端口tcp(如13688)——允許連接 2.完成以上操作之后右擊該條規(guī)則作用域——本地ip地址——任何ip地址——遠(yuǎn)程ip地址——下列ip地址—— 添加管理者ip 同理其它端口可以通過(guò)此功能對(duì)特定網(wǎng)段屏蔽(如80端口)。

請(qǐng)注意:不是專(zhuān)線的網(wǎng)絡(luò)的IP地址經(jīng)常變,不適合限定IP。

2.運(yùn)行regedit 2.[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\Wds \rdpwd\Tds \tcp] 和 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\TerminalServer\WinStations\RDP-TCP],看見(jiàn)PortNamber值了嗎?其默認(rèn)值是3389,修改成所希望的端口即可,例如13688

3.[HKEY_LOCAL_MACHINE\SYSTEM\CurrentContro1Set\Control\Tenninal Server\WinStations\ RDP\Tcp],將PortNumber的值(默認(rèn)是3389)修改成端口13688(自定義)。

4.重新啟動(dòng)電腦,以后遠(yuǎn)程登錄的時(shí)候使用端口13688就可以了。

文件系統(tǒng)

檢查Everyone權(quán)限

操作目的

增強(qiáng)Everyone權(quán)限

加固方法

鼠標(biāo)右鍵系統(tǒng)驅(qū)動(dòng)器(磁盤(pán))->“屬性”->“安全”,查看每個(gè)系統(tǒng)驅(qū)動(dòng)器根目錄是否設(shè)置為Everyone有所有權(quán)限

刪除Everyone的權(quán)限或者取消Everyone的寫(xiě)權(quán)限

備注

 

NTFS權(quán)限設(shè)置

注意:

1、2008 R2默認(rèn)的文件夾和文件所有者為T(mén)rustedInstaller,這個(gè)用戶(hù)同時(shí)擁有所有控制權(quán)限。 2、注冊(cè)表同的項(xiàng)也是這樣,所有者為T(mén)rustedInstaller。 3、如果要修改文件權(quán)限時(shí)應(yīng)該先設(shè)置 管理員組 administrators 為所有者,再設(shè)置其它權(quán)限。 4、如果要?jiǎng)h除或改名注冊(cè)表,同樣也需先設(shè)置 管理員組 為所有者,同時(shí)還要應(yīng)該到子項(xiàng),直接刪除當(dāng)前項(xiàng)還是刪除不掉時(shí)可以先刪除子項(xiàng)后再刪除此項(xiàng)。

步驟:

  1. C盤(pán)只給administrators 和system權(quán)限,其他的權(quán)限不給,其他的盤(pán)也可以這樣設(shè)置(web目錄權(quán)限依具體情況而定)
  2. 這里給的system權(quán)限也不一定需要給,只是由于某些第三方應(yīng)用程序是以服務(wù)形式啟動(dòng)的,需要加上這個(gè)用戶(hù),否則造成啟動(dòng)不了。
  3. Windows目錄要加上給users的默認(rèn)權(quán)限,否則ASP和ASPX等應(yīng)用程序就無(wú)法運(yùn)行(如果你使用IIS的話(huà),要引用windows下的dll文件)。
  4. c:/user/ 只給administrators 和system權(quán)限

日志和授權(quán)

增強(qiáng)日志

操作目的

增大日志量大小,避免由于日志文件容量過(guò)小導(dǎo)致日志記錄不全

加固方法

“Win+R”鍵調(diào)出“運(yùn)行”->eventvwr.msc ->“windows日志”->查看“應(yīng)用程序”“安全”“系統(tǒng)”的屬性

建議設(shè)置:

日志上限大小:20480 KB

Windows server 2008 R2默認(rèn)就是這樣設(shè)置的

備注

 

增強(qiáng)審核

操作目的

對(duì)系統(tǒng)事件進(jìn)行審核,在日后出現(xiàn)故障時(shí)用于排查故障

加固方法

“Win+R”鍵調(diào)出“運(yùn)行”->secpol.msc ->安全設(shè)置->本地策略->審核策略

建議設(shè)置:

審核策略更改:成功

審核登錄事件:成功,失敗

審核對(duì)象訪問(wèn):成功

審核進(jìn)程跟蹤:成功,失敗

審核目錄服務(wù)訪問(wèn):成功,失敗

審核系統(tǒng)事件:成功,失敗

審核帳戶(hù)登錄事件:成功,失敗

審核帳戶(hù)管理:成功,失敗

備注

“Win+R”鍵調(diào)出“運(yùn)行”->gpupdate /force立即生效

授權(quán)

進(jìn)入“控制面板->管理工具->本地安全策略”,在“本地策略->用戶(hù)權(quán)利指派”:

把“關(guān)閉系統(tǒng)”設(shè)置為“只指派給Administrators組”

把 “從遠(yuǎn)端系統(tǒng)強(qiáng)制關(guān)機(jī)”設(shè)置為“只指派Administrators組”

設(shè)置“取得文件或其它對(duì)象的所有權(quán)”設(shè)置為“只指派給Administrators組

攻擊保護(hù)
關(guān)閉ICMP

也就是平時(shí)說(shuō)的PING,讓別人PING不到服務(wù)器,減少不必要的軟件掃描麻煩。

在服務(wù)器的控制面板中打開(kāi) windows防火墻 , 點(diǎn)擊 高級(jí)設(shè)置:

點(diǎn)擊 入站規(guī)則 ——找到 文件和打印機(jī)共享(回顯請(qǐng)求 - ICMPv4-In) ,啟用此規(guī)則即是開(kāi)啟ping,禁用此規(guī)則IP將禁止其他客戶(hù)端ping通,但不影響TCP、UDP等連接。

應(yīng)用服務(wù)安全

IIS
web.config配置不能返回詳細(xì)的應(yīng)用異常

標(biāo)記的“mode”屬性不能設(shè)置為“Off”,這樣用戶(hù)能看到異常詳情。

在IIS角色服務(wù)中去掉目錄瀏覽、 ASP、CGI、在服務(wù)器端包含文件

IIS用戶(hù)

匿名身份驗(yàn)證不能使用管理員賬號(hào),得使用普通用戶(hù)賬號(hào)。

本文最后更新于 2022-10-22 14:07,某些文章具有時(shí)效性,若有錯(cuò)誤或已失效,請(qǐng)?jiān)诰W(wǎng)站留言或聯(lián)系站長(zhǎng):17tui@17tui.com
·END·
站長(zhǎng)網(wǎng)微信號(hào):w17tui,關(guān)注站長(zhǎng)、創(chuàng)業(yè)、關(guān)注互聯(lián)網(wǎng)人 - 互聯(lián)網(wǎng)創(chuàng)業(yè)者營(yíng)銷(xiāo)服務(wù)中心

免責(zé)聲明:本站部分文章和圖片均來(lái)自用戶(hù)投稿和網(wǎng)絡(luò)收集,旨在傳播知識(shí),文章和圖片版權(quán)歸原作者及原出處所有,僅供學(xué)習(xí)與參考,請(qǐng)勿用于商業(yè)用途,如果損害了您的權(quán)利,請(qǐng)聯(lián)系我們及時(shí)修正或刪除。謝謝!

17站長(zhǎng)網(wǎng)微信二維碼

始終以前瞻性的眼光聚焦站長(zhǎng)、創(chuàng)業(yè)、互聯(lián)網(wǎng)等領(lǐng)域,為您提供最新最全的互聯(lián)網(wǎng)資訊,幫助站長(zhǎng)轉(zhuǎn)型升級(jí),為互聯(lián)網(wǎng)創(chuàng)業(yè)者提供更加優(yōu)質(zhì)的創(chuàng)業(yè)信息和品牌營(yíng)銷(xiāo)服務(wù),與站長(zhǎng)一起進(jìn)步!讓互聯(lián)網(wǎng)創(chuàng)業(yè)者不再孤獨(dú)!

掃一掃,關(guān)注站長(zhǎng)網(wǎng)微信

大家都在看

熱門(mén)排行

    最近更新

      返回頂部
      主站蜘蛛池模板: 欧美日韩国产一区二区三区不卡 | 97就要鲁就要鲁夜夜爽 | 日本三级韩国三级三级a级按摩 | 久久精品人| 国产伦精品一区二区三区网站 | 免费网站在线观看国产v片 免费网站成人亚洲 | 亚洲国产日韩在线观频 | 好硬好湿好爽再深一点h视频 | 最新欧美一级视频 | 黄欧美| 亚洲美日韩 | 国语一级毛片私人影院 | 国产亚洲精品美女久久久久 | 国产高清自偷自在线观看 | 香蕉看片 | 高清不卡毛片免费观看 | 自拍网视频 | 中国一级毛片欧美一级毛片 | 亚洲精品一区二区在线播放 | 亚洲www网站 | 日韩一区国产二区欧美三区 | 99视频有精品 | 日韩日b视频| 国产精品免费看久久久麻豆 | 国产精品视频网 | 欧美一级片免费 | 国产国产精品人在线视 | 黄色草逼 | 成人在线观看一区 | 免费一级黄色录像 | 在线观看av片永久免费 | 国产亚洲精品国看不卡 | 在线观看的黄色网址 | 欧美国产日韩在线播放 | 狂野猛交xxxx吃奶 | 欧美成人影院在线观看三级 | 国产精品视频流白浆免费视频 | 中国xxxxxxxxx孕交 | 亚洲巨乳自拍在线视频 | 91亚洲人成手机在线观看 | 靠逼久久|