windows server 2008 R2 Enterprise 系统安全配置

window 安全配置规则

一、开启防火墙

二、允许远程网络进行远程桌面连接

如果使用默认的远程端口的话,按照下图,允许远程桌面通过防火墙就行了;

如果你的远程端口号不是默认的,则需要按照(四)中新建入站规则

三、修改远程端口号

运行中输入regedit(打开注册表编辑器)

  1. 在注册表HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\Wds\rdpwd\Tds\tcp目录下,修改PortNumber数值,这边将其端口修改为33899(十进制)

  2. 在注册表HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Tenninal Server\WinStations\RDP-Tcp目录下,修改PortNumber数值,将其端口修改为33899(十进制)

重启服务器生效,使用IP + 端口,远程访问

四、只允许固定源IP访问远程端口

  1. 进入控制面板

  2. 找到Windows 防火墙

  3. 左边高级设置

  4. 点击入站规则

  5. 右上角新建规则

  6. 打开新建入站规则向导界面,规则类型:选择自定义,点击下一步,程序选择默认,点击下一步

  7. 协议和端口:协议类型选择TCP,本地端口选择特定端口下方输入11650远程端口选择所有端口,点击下一步

  8. 作用域:在 此规则应用于哪些远程ip地址 选择下列ip地址,点击添加输入您的指定ip,点击下一步,操作和配置文件选择默认,点击下一步

  9. 名称:命名为11650,描述写上特定IP访问指定端口至此设置完成

五、更改管理员密码

  1. 进入开始面板,点击管理工具

  2. 双击打开计算机管理

  3. 依次打开系统工具->本地用户和组->用户,找到administrator管理员用户

  4. 右键administrator管理员用户,选择 设置密码,弹出的提示框,点击

  5. 进入设置密码提示框,输入您想要设置的密码,点击确定即可。 注意:系统会强制密码复杂性,密码最好由大小写字母+数字组成

  6. 设置成功之后会提示成功,下次登录时就可以用新的密码登陆了

六、密码错误几次后锁定该用户

  1. 依次打开管理工具->本地安全策略->账户策略->账户锁定策略

  2. 双击账户锁定阈值,这里,我们设置5次失败后,锁定账户30分钟

七、禁用Guest帐号

默认情况下,新安装的windows操作系统,都是禁用该帐号的。为了安全起见,可以按照以下步骤检查系统是否禁用了该帐号

  1. 进入开始面板,点击管理工具

  2. 双击打开计算机管理

  3. 依次打开系统工具->本地用户和组->用户 ,找到Guest帐号

    如果帐号名称左下角有个向下的箭头,说明已经禁用了

    如果帐号名称左下角没有箭头,

  4. 右键Guest管理员用户,选择 属性,选中下图中的位置

  5. 设置拒绝远程访问

八、删除不必要的用户

  1. 进入开始面板,点击管理工具

  2. 双击打开计算机管理

  3. 依次打开系统工具->本地用户和组->用户

  4. 左键单机,选中不必要的用户,点击红叉进行删除操作

九、创建新用户作为管理员进行远程登录,加入Administrator用户组,禁止Administrator远程登录服务器

考虑到有些服务需要作为administrator用户运行,所以不建议对administrator用户进行改名,我们选择新建用户并加入管理员组

  1. 进入开始面板,点击管理工具

  2. 双击打开计算机管理

  3. 依次打开系统工具->本地用户和组->用户

  4. 创建新用户,用户名xiaomi,密码自己设置

  5. 把新用户xiaomi加入管理员组

    Administrators属性对话框中,选择确定

  6. 禁止Administrator远程登录服务器

    控制面板->管理工具->本地安全策略->本地策略->用户权限分配->
    双击拒绝通过远程桌面服务登录

    这样设置之后,administrator用户依然可以弹出远程桌面连接,并让输入密码,但是无法进入远程桌面

十、更改文件共享的默认权限

将共享文件的权限从“Everyone"更改为"授权用户”,”Everyone"意味着任何有权进入网络的用户都能够访问这些共享文件。

十一、安全密码

安全密码的定义是:安全期内无法破解出来的密码就是安全密码,也就是说,就算获取到了密码文档,必须花费42天或者更长的时间才能破解出来(Windows安全策略默认42天更改一次密码)。

十二、屏幕保护 / 屏幕锁定 密码

防止内部人员破坏服务器的一道屏障。在管理员离开时,自动加载。

十三、安装防病毒软件

Windows操作系统没有附带杀毒软件,一个好的杀毒软件不仅能够杀除一些病毒程序,还可以查杀大量的木马和黑客工具。设置了杀毒软件,黑客使用那些著名的木马程序就毫无用武之地了。同时一定要注意经常升级病毒库 !

这里我们用安全狗这个第三方安全软件,安装之后,会提示让体检,检查结果如下:

我们来看下帐号风险里有什么需要修复的,提示xiaomi这个帐号没必要启用,但是,我们认为xiaomi这个必须是要启用的,所以这项选择忽略

其它风险项可以查看一下,必要修复就修复,像系统漏洞这些,强烈建议修复,虽然系统会很卡

前面我们设置了只允许固定的源IP地址访问远程桌面端口号

这里我们通过安全狗,再增加设置,只允许固定的主机名可以访问远程桌面端口号,截图如下:

十四、定时备份服务器上的重要文件到本地或其它服务器

备份到本服务器是没有多大意义的,所以建议备份到别的机器

备份的方式,建议选择对目标文件或目录进行压缩后拷贝出来

十五、系统防火墙和安全狗的防火墙关系

安全狗的防火墙是在系统防火墙之上的

也就是说外界想要访问你服务器上某个端口,先经过安全狗的防火墙,再经过系统防火墙

实验过程:

在服务器上开启80端口的web服务后

  1. 安全狗的防火墙设置允许通过,系统防火墙设置不允许通过,结果:不允许通过

  2. 安全狗的防火墙设置允许通过,系统防火墙设置允许通过,结果:允许通过

  3. 安全狗的防火墙设置不允许通过,系统防火墙设置允许通过,结果:不允许通过

  4. 安全狗的防火墙设置不允许通过,系统防火墙设置不允许通过,结果:不允许通过

所以,当服务器上某个端口外网无法访问时,需要排查这2个防火墙,是不是很烦。建议用系统自带的防火墙,安全狗的防火墙保持默认就行

十六、堡垒机

堡垒机作为服务器的最后一道屏障,其安全方面需要做到以上十五点,更需要开启审计功能。

十七、特别提醒

我们在第点和第十三点分别提到了限制源IP访问远程桌面端口和限制源主机名访问远程桌面端口

所以:

  1. 如果你的办公网的出网IP是变动的公网IP

  2. 如果你需要用不同的终端主机访问服务器的远程桌面端口

这两种情况,根据实际情况选择使用系统自带的策略或是选择安全狗的策略,但是个人建议使用系统自带的策略安全狗的策略保持默认即可。

posted on 2018-12-26 16:26  静如止水^_^  阅读(2914)  评论(0编辑  收藏  举报

导航