最近,我们网站安全公司发现,在使用阿里云ecs服务器为客户进行安全保护的过程中,服务器的基本安全没有得到保证。为了给站长们提供更有效的基本安全解决方案,我们Sinesafe将为阿里云服务器win2008系统实施基本安全部署的操作过程!
服务器安全更重要的部分
1.更改默认管理员用户名和复杂密码2。打开防火墙3。安装防病毒软件
1)补丁必须应用于新建系统;2)必须安装必要的防病毒软件;3)必须删除系统默认共享
4)修改本地策略->安全选项交互式登录:不显示最后一个用户名以启用网络访问:不允许匿名枚举SAM帐户和共享以启用网络访问:不允许存储用于网络身份验证的凭据或。启用网络访问的网络通道:删除所有远程可访问的注册表路径和子路径5)禁用不必要的服务TCP/ IP网络BIOS助手、服务器、分布式链接跟踪客户端、后台打印程序、远程注册表、工作站6)禁用IPV6
服务器2008 r2交互式登录:不显示最后一个用户名
事实上,最重要的是打开防火墙。
主机安全性
启用防火墙阿里云窗口服务器2008 R2默认情况下不启用防火墙。win2012可能也是如此,但必须检查一下!
修补程序更新启用窗口更新服务,并设置为自动更新状态,以便及时进行修补。不要再用360了。360安全卫士不支持安装patch 2008补丁。
默认情况下,阿里云视窗服务器2008 R2会自动更新,win2012可能会相同,但必须检查!
帐户密码
优化账号
操作目的
减少系统无用的账户和风险
增量法
“Win+R”键调用“run”-> compmgmt . MSC(计算机管理)->本地用户和组。
1.删除未使用的帐号,并检查系统帐号是否属于正确的组。首次打开云服务时,应该只有一个管理员帐户和处于禁用状态的来宾帐户。
2.确保来宾帐户被禁用
3.购买ariyun时,不要使用administrator作为管理员的帐户名
评论
密码策略
操作目的
增强密码复杂性和锁定策略,降低被暴力破解的可能性。
增量法
“Win+R”键调用“run”-> secpol . MSC(本地安全策略)->安全设置
1.帐户策略->密码策略
密码必须满足复杂性要求:已启用
最小密码长度:8个字符
最小密码期限:0天
最长密码期限:90天
强制密码历史记录:1记住密码
使用可恢复加密存储密码:禁用
2.本地策略->安全选项
交互式登录:不显示最后一个用户名:已启用
评论
“赢+赢”键调用“运行”->gpupdate /force立即生效
网络服务
优化服务(1)
操作目的
关闭不必要的服务,降低风险
增量法
“Win+R”键调用“run”-> services . MSC,以下服务将被禁用:
应用层网关服务(支持应用层协议插件并支持网络/协议连接)
后台智能传输服务(使用空闲网络带宽在后台传输文件。如果该服务被禁用,诸如窗口更新和MSN资源管理器等功能将不会自动下载程序和其他信息)
计算机浏览器(维护网络上计算机的更新列表,并将该列表提供给计算机进行指定浏览)
DHCP客户端
诊断策略服务
分布式事务协调器
域名系统客户端
分布式链接跟踪客户端
远程注册表(允许远程用户修改这台计算机上的注册表设置)
后台打印程序(管理所有本地和网络打印队列,并控制所有打印作业)
服务器(您可以在不使用文件共享的情况下关闭它,然后在关闭后右键单击磁盘以选择属性。“共享”页面不存在)
外壳硬件检测
网络输入输出接口助手(为网络上的客户端提供网络输入输出接口服务和网络输入输出接口名称解析支持,使用户能够共享文件、打印和登录网络)
任务计划程序(使用户能够在这台计算机上配置和计划自动任务)
视窗远程管理(47001端口,视窗远程管理服务,与IIS管理硬件结合使用,不常用)
工作站(创建和维护到远程服务的客户端网络连接。如果服务停止,这些连接将不可用)
评论
使用服务时应该小心,尤其是远程计算机。
优化服务(2)
在“网络连接”中,删除不必要的协议和服务,并删除Qos数据包调度程序
关闭Netbios服务(关闭端口139)
网络连接->本地连接->属性->互联网协议版本4->属性->高级->WINS->禁用基于TCP/IP的网络BIOS。
注意:关闭此功能,服务器上的所有共享服务都将关闭,其他人将无法在资源管理器中看到您的共享资源。这也防止了信息的泄露。
微软网络中的文件和打印机共享
网络连接->本地连接->属性,除了“互联网协议版本4”之外的所有内容都已签出。
Ipv6协议
首先关闭网络连接->本地连接->属性->互联网协议版本6 (TCP/IPv6)
然后修改注册表:HKEY _ local _ machine \ system \ current controlset \ services \ tcpip 6 \参数,添加一个Dword键,名称:DisabledComponents,值:ffffffff位中的8位)
重新启动服务器以关闭ipv6
微软网络客户端(主要用于访问微软网站)
关闭445端口445是网络bios用来解析局域网内机器名称的服务端口。通常,服务器不需要向局域网打开任何共享,因此它可以关闭。
修改注册表:HKEY _ LOCAL _ MACHINE \ SYSTEM \ current controlset \ Services \ Netbt \ Parameters,然后修改一个更为双字的键:SMBDeviceEnabled,值:0
关闭LLMNR(关闭港口5355)LLMNR是什么?本地链路多播名称解析,也称为多播域名解析,用于解析本地网段上的名称。它是无用的,但仍然占据端口5355。
使用组策略关闭,运行->gpedit.msc->计算机配置->管理模板->网络->DNS客户端->关闭多播名称解析->启用
网络限制
操作目的
网络访问限制
增量法
“赢+赢”键调用“运行”->secpol.msc->安全设置->本地策略->安全选项
网络访问:不允许匿名枚举SAM帐户:已启用
网络访问:不允许匿名枚举SAM帐户和共享:已启用
网络访问:将所有人权限应用于匿名用户:已禁用
帐户:密码为空的本地帐户仅允许控制台登录:已启用
评论
“赢+赢”键调用“运行”->gpupdate /force立即生效
远程存取
请务必使用强密码。
更改远程终端的默认端口号
步骤:
1.防火墙中的设置
1.控制面板-窗口防火墙-高级设置-入站规则-新规则-端口特定端口tcp(例如13688)-允许连接2。完成上述操作后,右键单击规则的范围-本地ip地址-任意ip地址-远程ip地址-以下ip地址-添加管理器ip类似地,其他端口可以与特定网段隔离(例如端口80)。
请注意,不是专用线路的网络的IP地址通常会发生变化,不适合进行IP限制。
2.运行Regedit 2。[HKEY _ LOCAL _ MACHINE \ SYSTEM \ CURRENT CONtrol set \ CONtrol \ TERMINAL SERVER \ WDS \ RDPWD \ TDS \ TCP]和[HKEY _ LOCAL _ MACHINE \ SYSTEM \ CURRENT CONtrol set \ CONtrol \ TERMINAL SERVER \ win stations \ RDP-TCP],您看到端口错误值了吗?默认值为3389,可以修改为所需端口,例如13688。
3.[HKEY _ local _ machine \ system \ current control 1 set \ control \ tenal server \ winstations \ RDP \ TCP),将端口号(默认值为3389)的值修改为端口13688(自定义)。
4.远程登录时,重新启动计算机并使用端口13688。
文件系统
检查每个人的权限
操作目的
增强每个人的权利
增量法
右键单击系统驱动器(磁盘)->属性->安全性,查看每个系统驱动器的根目录是否设置为具有所有权限的每个人
删除所有人的权限或取消所有人的写权限。
评论
NTFS权限设置
注意:
1.2008 R2的默认文件夹和文件所有者是TrustedInstaller,该用户同时拥有所有控制权限。2.注册表中的同一项也是如此。所有者是可信安装者。3.如果要修改文件权限,应该在设置其他权限之前将管理员设置为所有者。4.如果要删除或重命名注册表,还需要首先将管理员组设置为所有者。同时,您还应该转到子项。如果您想直接删除当前密钥或不能删除它,您可以先删除该子密钥,然后再删除该密钥。
步骤:
磁盘c只授予管理员和系统权限,不授予其他权限,其他磁盘可以用这种方式设置(网络目录权限取决于具体情况)。这里给定的系统权限不一定需要给定,只是因为一些第三方应用程序是以服务的形式启动的,所以需要添加该用户,否则就无法启动。窗口目录应该被授予用户默认权限,否则应用程序如ASP和ASPX不能运行(如果您使用IIS,您应该参考窗口下的dll文件)。c:/用户/仅授予管理员和系统权限
日志和授权
增强日志
操作目的
增加日志卷的大小,以避免由于日志文件容量太小而导致日志记录不完整。
增量法
“Win+R”键调用“run”-> event vwr。MSC->窗口日志->查看“应用程序”、“安全性”和“系统”的属性
建议设置:
最大日志大小:20480千字节
这是Windows server 2008 R2的默认设置
评论
加强审计
操作目的
查看系统事件,并使用它们排除未来故障。
增量法
“赢+赢”键调用“运行”->secpol.msc->安全设置->本地策略->审计策略
建议设置:
审计策略更改:成功
审核登录事件:成功、失败
审计对象访问:成功
审计过程跟踪:成功,失败
审计目录服务访问:成功,失败
审计系统事件:成功,失败
审计帐户登录事件:成功、失败
审计账户管理:成功,失败
评论
“赢+赢”键调用“运行”->gpupdate /force立即生效
批准
进入“控制面板->管理工具->本地安全策略”,选择“本地策略->用户权限分配”:
将“关闭系统”设置为“仅分配给管理员组”
将“从远程系统强制关机”设置为“仅分配管理员组”
将“获得文件或其他对象的所有权”设置为“仅分配给管理员组”
攻击保护关闭ICMP
换句话说,PING通常用于防止其他人PING服务器,减少不必要的软件扫描麻烦。
在服务器的控制面板中打开windows防火墙,然后单击高级设置:
单击入站规则-查找文件和打印机共享(回应请求-ICMPv4-In)。启用此规则就是打开ping。禁用此规则将禁止其他客户端ping,但不会影响TCP、UDP和其他连接。
应用服务安全性
配置配置无法返回详细的应用程序异常。
标签的“模式”属性不能设置为“关闭”,以便用户可以看到异常详细信息。
从IIS角色服务中删除目录浏览、ASP、CGI,并包括服务器端的文件
IIS用户
匿名身份验证不能使用管理员帐户,只能使用普通用户帐户。