最近我们立方技术工作室在使用阿里云的过程中,发现服务器安全性也不是很高,而服务端的安全软件都很贵。为了为朋友们提供更加有效的解决方案,我们决定身体力行,高筑墙,大幅度提升服务器的安全防护级别! 主机安全启用防火墙阿里云windows Server 2008 R2默认居然没有启用防火墙。2012可能也是这样的,不过这个一定要检查! 补丁更新启用windows更新服务,设置为自动更新状态,以便及时打补丁。 阿里云windows Server 2008 R2默认为自动更新状态,2012可能也是这样的,不过这个一定要检查! 账号口令优化账号
口令策略
网络服务优化服务(1)
优化服务(2)
2 去掉Qos数据包计划程序 2 关闭Netbios服务(关闭139端口) 网络连接->本地连接->属性->Internet协议版本 4->属性->高级->WINS->禁用TCP/IP上的NetBIOS。 说明:关闭此功能,你服务器上所有共享服务功能都将关闭,别人在资源管理器中将看不到你的共享资源。这样也防止了信息的泄露。 2 Microsoft网络的文件和打印机共享 网络连接->本地连接->属性,把除了“Internet协议版本 4”以外的东西都勾掉。 2 ipv6协议 先关闭网络连接->本地连接->属性->Internet协议版本 6 (TCP/IPv6) 然后再修改注册表:HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip6\Parameters,增加一个Dword项,名字:DisabledComponents,值:ffffffff(十六位的8个f) 重启服务器即可关闭ipv6 2 microsoft网络客户端(主要是为了访问微软的网站)
445端口是netbios用来在局域网内解析机器名的服务端口,一般服务器不需要对LAN开放什么共享,所以可以关闭。 修改注册表:HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NetBT\Parameters,则更加一个Dword项:SMBDeviceEnabled,值:0
什么是LLMNR?本地链路多播名称解析,也叫多播DNS,用于解析本地网段上的名称,没啥用但还占着5355端口。 使用组策略关闭,运行->gpedit.msc->计算机配置->管理模板->网络->DNS客户端->关闭多播名称解析->启用 网络限制
远程访问一定要使用高强度密码更改远程终端默认端口号步骤: 1.防火墙中设置 1.控制面板——windows防火墙——高级设置——入站规则——新建规则——端口——特定端口tcp(如13688)——允许连接 2.完成以上操作之后右击该条规则作用域——本地ip地址——任何ip地址——远程ip地址——下列ip地址—— 添加管理者ip 同理其它端口可以通过此功能对特定网段屏蔽(如80端口)。 请注意:不是专线的网络的IP地址经常变,不适合限定IP。 2.运行regedit 2.[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\Wds \rdpwd\Tds \tcp] 和 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\TerminalServer\WinStations\RDP-TCP],看见PortNamber值了吗?其默认值是3389,修改成所希望的端口即可,例如13688 3.[HKEY_LOCAL_MACHINE\SYSTEM\CurrentContro1Set\Control\Tenninal Server\WinStations\ RDP\Tcp],将PortNumber的值(默认是3389)修改成端口13688(自定义)。 4.重新启动电脑,以后远程登录的时候使用端口13688就可以了。 文件系统检查Everyone权限
NTFS权限设置注意: 1、2008 R2默认的文件夹和文件所有者为TrustedInstaller,这个用户同时拥有所有控制权限。 2、注册表同的项也是这样,所有者为TrustedInstaller。 3、如果要修改文件权限时应该先设置 管理员组 administrators 为所有者,再设置其它权限。 4、如果要删除或改名注册表,同样也需先设置 管理员组 为所有者,同时还要应该到子项,直接删除当前项还是删除不掉时可以先删除子项后再删除此项。 步骤:
日志和授权增强日志
增强审核
授权进入“控制面板->管理工具->本地安全策略”,在“本地策略->用户权利指派”: 把“关闭系统”设置为“只指派给Administrators组” 把 “从远端系统强制关机”设置为“只指派Administrators组” 设置“取得文件或其它对象的所有权”设置为“只指派给Administrators组 攻击保护关闭ICMP也就是平时说的PING,让别人PING不到服务器,减少不必要的软件扫描麻烦。 在服务器的控制面板中打开 windows防火墙 , 点击 高级设置:
点击 入站规则 ——找到 文件和打印机共享(回显请求 - ICMPv4-In) ,启用此规则即是开启ping,禁用此规则IP将禁止其他客户端ping通,但不影响TCP、UDP等连接。
应用服务安全IISweb.config配置不能返回详细的应用异常<customErrors>标记的“mode”属性不能设置为“Off”,这样用户能看到异常详情。 在IIS角色服务中去掉目录浏览、 ASP、CGI、在服务器端包含文件IIS用户 匿名身份验证不能使用管理员账号,得使用普通用户账号。 |
|
来自: Bladexu的文库 > 《网络安全》