windows server 2008 R2 Enterprise 系统安全配置
window 安全配置规则
一、开启防火墙
二、允许远程网络进行远程桌面连接
如果使用默认的远程端口的话,按照下图,允许远程桌面通过防火墙就行了;
如果你的远程端口号不是默认的,则需要按照(四)中新建入站规则了
三、修改远程端口号
运行中输入regedit(打开注册表编辑器)
在注册表HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\Wds\rdpwd\Tds\tcp目录下,修改PortNumber数值,这边将其端口修改为33899(十进制)
在注册表HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Tenninal Server\WinStations\RDP-Tcp目录下,修改PortNumber数值,将其端口修改为33899(十进制)
重启服务器生效,使用IP + 端口,远程访问
四、只允许固定源IP访问远程端口
进入控制面板
找到Windows 防火墙
左边高级设置
点击入站规则
右上角新建规则
打开新建入站规则向导界面,规则类型:选择自定义,点击下一步,程序选择默认,点击下一步
协议和端口:协议类型选择TCP,本地端口选择特定端口下方输入11650,远程端口选择所有端口,点击下一步
作用域:在 此规则应用于哪些远程ip地址 选择下列ip地址,点击添加输入您的指定ip,点击下一步,操作和配置文件选择默认,点击下一步
名称:命名为11650,描述写上特定IP访问指定端口至此设置完成
五、更改管理员密码
进入开始面板,点击管理工具。
双击打开计算机管理
依次打开系统工具->本地用户和组->用户,找到administrator管理员用户
右键administrator管理员用户,选择 设置密码,弹出的提示框,点击是
进入设置密码提示框,输入您想要设置的密码,点击确定即可。 注意:系统会强制密码复杂性,密码最好由大小写字母+数字组成
设置成功之后会提示成功,下次登录时就可以用新的密码登陆了
六、密码错误几次后锁定该用户
依次打开管理工具->本地安全策略->账户策略->账户锁定策略
双击账户锁定阈值,这里,我们设置5次失败后,锁定账户30分钟
七、禁用Guest帐号
默认情况下,新安装的windows操作系统,都是禁用该帐号的。为了安全起见,可以按照以下步骤检查系统是否禁用了该帐号
进入开始面板,点击管理工具。
双击打开计算机管理
依次打开系统工具->本地用户和组->用户 ,找到Guest帐号
如果帐号名称左下角有个向下的箭头,说明已经禁用了
如果帐号名称左下角没有箭头,
右键Guest管理员用户,选择 属性,选中下图中的位置
设置拒绝远程访问
八、删除不必要的用户
进入开始面板,点击管理工具。
双击打开计算机管理
依次打开系统工具->本地用户和组->用户
左键单机,选中不必要的用户,点击红叉进行删除操作
九、创建新用户作为管理员进行远程登录,加入Administrator用户组,禁止Administrator远程登录服务器
考虑到有些服务需要作为administrator用户运行,所以不建议对administrator用户进行改名,我们选择新建用户并加入管理员组
进入开始面板,点击管理工具。
双击打开计算机管理
依次打开系统工具->本地用户和组->用户
创建新用户,用户名xiaomi,密码自己设置
把新用户xiaomi加入管理员组
在Administrators属性对话框中,选择确定
禁止Administrator远程登录服务器
控制面板->管理工具->本地安全策略->本地策略->用户权限分配->
双击拒绝通过远程桌面服务登录,这样设置之后,administrator用户依然可以弹出远程桌面连接,并让输入密码,但是无法进入远程桌面
十、更改文件共享的默认权限
将共享文件的权限从“Everyone"更改为"授权用户”,”Everyone"意味着任何有权进入网络的用户都能够访问这些共享文件。
十一、安全密码
安全密码的定义是:安全期内无法破解出来的密码就是安全密码,也就是说,就算获取到了密码文档,必须花费42天或者更长的时间才能破解出来(Windows安全策略默认42天更改一次密码)。
十二、屏幕保护 / 屏幕锁定 密码
防止内部人员破坏服务器的一道屏障。在管理员离开时,自动加载。
十三、安装防病毒软件
Windows操作系统没有附带杀毒软件,一个好的杀毒软件不仅能够杀除一些病毒程序,还可以查杀大量的木马和黑客工具。设置了杀毒软件,黑客使用那些著名的木马程序就毫无用武之地了。同时一定要注意经常升级病毒库 !
这里我们用安全狗这个第三方安全软件,安装之后,会提示让体检,检查结果如下:
我们来看下帐号风险里有什么需要修复的,提示xiaomi这个帐号没必要启用,但是,我们认为xiaomi这个必须是要启用的,所以这项选择忽略
其它风险项可以查看一下,必要修复就修复,像系统漏洞这些,强烈建议修复,虽然系统会很卡
前面我们设置了只允许固定的源IP地址访问远程桌面端口号
这里我们通过安全狗,再增加设置,只允许固定的主机名可以访问远程桌面端口号,截图如下:
十四、定时备份服务器上的重要文件到本地或其它服务器
备份到本服务器是没有多大意义的,所以建议备份到别的机器
备份的方式,建议选择对目标文件或目录进行压缩后拷贝出来
十五、系统防火墙和安全狗的防火墙关系
安全狗的防火墙是在系统防火墙之上的
也就是说外界想要访问你服务器上某个端口,先经过安全狗的防火墙,再经过系统防火墙。
实验过程:
在服务器上开启80端口的web服务后
安全狗的防火墙设置允许通过,系统防火墙设置不允许通过,结果:不允许通过
安全狗的防火墙设置允许通过,系统防火墙设置允许通过,结果:允许通过
安全狗的防火墙设置不允许通过,系统防火墙设置允许通过,结果:不允许通过
安全狗的防火墙设置不允许通过,系统防火墙设置不允许通过,结果:不允许通过
所以,当服务器上某个端口外网无法访问时,需要排查这2个防火墙,是不是很烦。建议用系统自带的防火墙,安全狗的防火墙保持默认就行
十六、堡垒机
堡垒机作为服务器的最后一道屏障,其安全方面需要做到以上十五点,更需要开启审计功能。
十七、特别提醒
我们在第四点和第十三点分别提到了限制源IP访问远程桌面端口和限制源主机名访问远程桌面端口
所以:
如果你的办公网的出网IP是变动的公网IP
如果你需要用不同的终端主机访问服务器的远程桌面端口
这两种情况,根据实际情况选择使用系统自带的策略或是选择安全狗的策略,但是个人建议使用系统自带的策略,安全狗的策略保持默认即可。