主机安全
启⽤防⽕墙
阿⾥云windows Server 2008 R2默认居然没有启⽤防⽕墙。2012可能也是这样的,不过这个⼀定要检查!
补丁更新
启⽤windows更新服务,设置为⾃动更新状态,以便及时打补丁。不要⽤360了,360安全卫⼠不⽀持2008补丁的安装阿⾥云windows Server 2008 R2默认为⾃动更新状态,2012可能也是这样的,不过这个⼀定要检查!账号⼝令优化账号
操作⽬的减少系统⽆⽤账号,降低风险
“Win+R”键调出“运⾏”->compmgmt.msc(计算机管理)->本地⽤户和组。1、删除不⽤的账号,系统账号所属组是否正确。云服务刚开通时,应该只有⼀个administrator账号和处于禁⽤状态的guest账号;2、确保guest账号是禁⽤状态
3、买阿⾥云时,管理员账户名称不要⽤administrator
加固⽅法备注⼝令策略操作⽬的增强⼝令的复杂度及锁定策略等,降低被暴⼒破解的可能性“Win+R”键调出“运⾏”->secpol.msc (本地安全策略)->安全设置1、账户策略->密码策略密码必须符合复杂性要求:启⽤密码长度最⼩值:8个字符
加固⽅法密码最短使⽤期限:0天
密码最长使⽤期限:90天强制密码历史:1个记住密码⽤可还原的加密来存储密码:已禁⽤2、本地策略->安全选项
交互式登录:不显⽰最后的⽤户名:启⽤“Win+R”键调出“运⾏”->gpupdate /force⽴即⽣效
备注⽹络服务
优化服务(1)操作⽬的关闭不需要的服务,减⼩风险
“Win+R”键调出“运⾏”->services.msc,以下服务改为禁⽤:
Application Layer Gateway Service(为应⽤程序级协议插件提供⽀持并启⽤⽹络/协议连接)
Background Intelligent Transfer Service(利⽤空闲的⽹络带宽在后台传输⽂件。如果服务被停⽤,例如Windows Update 和 MSN Explorer的功能将⽆法⾃动下载程序和其他信息)
Computer Browser(维护⽹络上计算机的更新列表,并将列表提供给计算机指定浏览)DHCP Client
Diagnostic Policy Service
Distributed Transaction CoordinatorDNS Client
加固⽅法Distributed Link Tracking Client
Remote Registry(使远程⽤户能修改此计算机上的注册表设置)Print Spooler(管理所有本地和⽹络打印队列及控制所有打印⼯作)
Server(不使⽤⽂件共享可以关闭,关闭后再右键点某个磁盘选属性,“共享”这个页⾯就不存在了)Shell Hardware Detection
TCP/IP NetBIOS Helper(提供 TCP/IP (NetBT) 服务上的NetBIOS 和⽹络上客户端的NetBIOS 名称解析的⽀持,从⽽使⽤户能够共享⽂件、打印和登录到⽹络)
Task Scheduler(使⽤户能在此计算机上配置和计划⾃动任务)
Windows Remote Management(47001端⼝,Windows远程管理服务,⽤于配合IIS管理硬件,⼀般⽤不到)
Workstation(创建和维护到远程服务的客户端⽹络连接。如果服务停⽌,这些连接将不可⽤)
⽤服务需谨慎,特别是远程计算机
备注优化服务(2)
在\"⽹络连接\"⾥,把不需要的协议和服务都移除 去掉Qos数据包计划程序
关闭Netbios服务(关闭139端⼝)
⽹络连接->本地连接->属性->Internet协议版本 4->属性->⾼级->WINS->禁⽤TCP/IP上的NetBIOS。
说明:关闭此功能,你服务器上所有共享服务功能都将关闭,别⼈在资源管理器中将看不到你的共享资源。这样也防⽌了信息的泄露。 Microsoft⽹络的⽂件和打印机共享
⽹络连接->本地连接->属性,把除了“Internet协议版本 4”以外的东西都勾掉。 ipv6协议
先关闭⽹络连接->本地连接->属性->Internet协议版本 6 (TCP/IPv6)
然后再修改注册表:HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Services\\Tcpip6\\Parameters,增加⼀个Dword项,名字:DisabledComponents,值:ffffffff(⼗六位的8个f)重启服务器即可关闭ipv6
microsoft⽹络客户端(主要是为了访问微软的⽹站)
关闭445端⼝
445端⼝是netbios⽤来在局域⽹内解析机器名的服务端⼝,⼀般服务器不需要对LAN开放什么共享,所以可以关闭。修改注册表:HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Services\\NetBT\\Parameters,则更加⼀个Dword项:SMBDeviceEnabled,值:0
关闭LLMNR(关闭5355端⼝)
什么是LLMNR?本地链路多播名称解析,也叫多播DNS,⽤于解析本地⽹段上的名称,没啥⽤但还占着5355端⼝。使⽤组策略关闭,运⾏->gpedit.msc->计算机配置->管理模板->⽹络->DNS客户端->关闭多播名称解析->启⽤⽹络限制操作⽬的⽹络访问限制
“Win+R”键调出“运⾏”->secpol.msc ->安全设置->本地策略->安全选项
⽹络访问: 不允许 SAM 帐户的匿名枚举:已启⽤
加固⽅法⽹络访问: 不允许 SAM 帐户和共享的匿名枚举:已启⽤
⽹络访问: 将 Everyone权限应⽤于匿名⽤户:已禁⽤
帐户: 使⽤空密码的本地帐户只允许进⾏控制台登录:已启⽤“Win+R”键调出“运⾏”->gpupdate /force⽴即⽣效
备注远程访问
⼀定要使⽤⾼强度密码更改远程终端默认端⼝号步骤:1.防⽕墙中设置
1.控制⾯板——windows防⽕墙——⾼级设置——⼊站规则——新建规则——端⼝——特定端⼝tcp(如13688)——允许连接 2.完成以上操作之后右击该条规则作⽤域——本地ip地址——任何ip地址——远程ip地址——下列ip地址—— 添加管理者ip 同理其它端⼝可以通过此功能对特定⽹段屏蔽(如80端⼝)。
请注意:不是专线的⽹络的IP地址经常变,不适合限定IP。
2.运⾏regedit 2.[HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Control\\Terminal Server\\Wds \\rdpwd\\Tds \cp] 和
[HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Control\\TerminalServer\\WinStations\\RDP-TCP],看见PortNamber值了吗?其默认值是3389,修改成所希望的端⼝即可,例如13688
3.[HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentContro1Set\\Control\\Tenninal Server\\WinStations\\ RDP\\Tcp],将PortNumber的值(默认是3389)修改成端⼝13688(⾃定义)。
4.重新启动电脑,以后远程登录的时候使⽤端⼝13688就可以了。⽂件系统
检查Everyone权限操作⽬的加固⽅法备注增强Everyone权限
⿏标右键系统驱动器(磁盘)->“属性”->“安全”,查看每个系统驱动器根⽬录是否设置为Everyone有所有权限
删除Everyone的权限或者取消Everyone的写权限
NTFS权限设置注意:
1、2008 R2默认的⽂件夹和⽂件所有者为TrustedInstaller,这个⽤户同时拥有所有控制权限。 2、注册表同的项也是这样,所有者为TrustedInstaller。 3、如果要修改⽂件权限时应该先设置 管理员组 administrators 为所有者,再设置其它权限。 4、如果要删除或改名注册表,同样也需先设置 管理员组 为所有者,同时还要应该到⼦项,直接删除当前项还是删除不掉时可以先删除⼦项后再删除此项。步骤:
1. C盘只给administrators 和system权限,其他的权限不给,其他的盘也可以这样设置(web⽬录权限依具体情况⽽定)
2. 这⾥给的system权限也不⼀定需要给,只是由于某些第三⽅应⽤程序是以服务形式启动的,需要加上这个⽤户,否则造成启动不了。
3. Windows⽬录要加上给users的默认权限,否则ASP和ASPX等应⽤程序就⽆法运⾏(如果你使⽤IIS的话,要引⽤windows下的dll⽂件)。
4. c:/user/ 只给administrators 和system权限⽇志和授权增强⽇志操作⽬的增⼤⽇志量⼤⼩,避免由于⽇志⽂件容量过⼩导致⽇志记录不全
“Win+R”键调出“运⾏”->eventvwr.msc ->“windows⽇志”->查看“应⽤程序”“安全”“系统”的属性
加固⽅法建议设置:
⽇志上限⼤⼩:20480 KB
Windows server 2008 R2默认就是这样设置的
备注增强审核操作⽬的
对系统事件进⾏审核,在⽇后出现故障时⽤于排查故障“Win+R”键调出“运⾏”->secpol.msc ->安全设置->本地策略->审核策略建议设置:审核策略更改:成功审核登录事件:成功,失败加固⽅法审核对象访问:成功审核进程跟踪:成功,失败审核⽬录服务访问:成功,失败审核系统事件:成功,失败审核帐户登录事件:成功,失败审核帐户管理:成功,失败“Win+R”键调出“运⾏”->gpupdate /force⽴即⽣效
备注授权
进⼊“控制⾯板->管理⼯具->本地安全策略”,在“本地策略->⽤户权利指派”:把“关闭系统”设置为“只指派给Administrators组”
把 “从远端系统强制关机”设置为“只指派Administrators组”
设置“取得⽂件或其它对象的所有权”设置为“只指派给Administrators组攻击保护关闭ICMP
也就是平时说的PING,让别⼈PING不到服务器,减少不必要的软件扫描⿇烦。在服务器的控制⾯板中打开 windows防⽕墙 , 点击 ⾼级设置:
点击 ⼊站规则 ——找到 ⽂件和打印机共享(回显请求 - ICMPv4-In) ,启⽤此规则即是开启ping,禁⽤此规则IP将禁⽌其他客户端ping通,但不影响TCP、UDP等连接。
应⽤服务安全
IIS
web.config配置不能返回详细的应⽤异常
匿名⾝份验证不能使⽤管理员账号,得使⽤普通⽤户账号。 因篇幅问题不能全部显示,请点此查看更多更全内容