windows server 2008 R2 Enterprise 系统安全配置
window 安全配置规则
一、开启防火墙
二、允许远程网络进行远程桌面连接
如果使用默认的远程端口的话,按照下图,允许远程桌面通过防火墙就行了;
如果你的远程端口号不是默认的,则需要按照(四)中新建入站规则了
三、修改远程端口号
运行中输入regedit(打开注册表编辑器)
在注册表hkey_local_machine\system\currentcontrolset\control\terminal server\wds\rdpwd\tds\tcp目录下,修改portnumber数值,这边将其端口修改为33899(十进制)
在注册表hkey_local_machine\system\currentcontrolset\control\tenninal server\winstations\rdp-tcp目录下,修改portnumber数值,将其端口修改为33899(十进制)
重启服务器生效,使用ip + 端口,远程访问
四、只允许固定源ip访问远程端口
进入控制面板
找到windows 防火墙
左边高级设置
点击入站规则
右上角新建规则
打开新建入站规则向导界面,规则类型:选择自定义,点击下一步,程序选择默认,点击下一步
协议和端口:协议类型选择tcp,本地端口选择特定端口下方输入11650,远程端口选择所有端口,点击下一步
作用域:在 此规则应用于哪些远程ip地址 选择下列ip地址,点击添加输入您的指定ip,点击下一步,操作和配置文件选择默认,点击下一步
名称:命名为11650,描述写上特定ip访问指定端口至此设置完成
五、更改管理员密码
进入开始面板,点击管理工具。
双击打开计算机管理
依次打开系统工具->本地用户和组->用户,找到administrator管理员用户
右键administrator管理员用户,选择 设置密码,弹出的提示框,点击是
进入设置密码提示框,输入您想要设置的密码,点击确定即可。 注意:系统会强制密码复杂性,密码最好由大小写字母+数字组成
设置成功之后会提示成功,下次登录时就可以用新的密码登陆了
六、密码错误几次后锁定该用户
依次打开管理工具->本地安全策略->账户策略->账户锁定策略
双击账户锁定阈值,这里,我们设置5次失败后,锁定账户30分钟
七、禁用guest帐号
默认情况下,新安装的windows操作系统,都是禁用该帐号的。为了安全起见,可以按照以下步骤检查系统是否禁用了该帐号
进入开始面板,点击管理工具。
双击打开计算机管理
-
依次打开系统工具->本地用户和组->用户 ,找到guest帐号
如果帐号名称左下角有个向下的箭头,说明已经禁用了
如果帐号名称左下角没有箭头,
-
右键guest管理员用户,选择 属性,选中下图中的位置
-
设置拒绝远程访问
八、删除不必要的用户
进入开始面板,点击管理工具。
双击打开计算机管理
依次打开系统工具->本地用户和组->用户
-
左键单机,选中不必要的用户,点击红叉进行删除操作
九、创建新用户作为管理员进行远程登录,加入administrator用户组,禁止administrator远程登录服务器
考虑到有些服务需要作为administrator用户运行,所以不建议对administrator用户进行改名,我们选择新建用户并加入管理员组
进入开始面板,点击管理工具。
双击打开计算机管理
依次打开系统工具->本地用户和组->用户
-
创建新用户,用户名xiaomi,密码自己设置
-
把新用户xiaomi加入管理员组
在administrators属性对话框中,选择确定
-
禁止administrator远程登录服务器
控制面板->管理工具->本地安全策略->本地策略->用户权限分配->
双击拒绝通过远程桌面服务登录,这样设置之后,administrator用户依然可以弹出远程桌面连接,并让输入密码,但是无法进入远程桌面
十、更改文件共享的默认权限
将共享文件的权限从“everyone"更改为"授权用户”,”everyone"意味着任何有权进入网络的用户都能够访问这些共享文件。
十一、安全密码
安全密码的定义是:安全期内无法破解出来的密码就是安全密码,也就是说,就算获取到了密码文档,必须花费42天或者更长的时间才能破解出来(windows安全策略默认42天更改一次密码)。
十二、屏幕保护 / 屏幕锁定 密码
防止内部人员破坏服务器的一道屏障。在管理员离开时,自动加载。
十三、安装防病毒软件
windows操作系统没有附带杀毒软件,一个好的杀毒软件不仅能够杀除一些病毒程序,还可以查杀大量的木马和黑客工具。设置了杀毒软件,黑客使用那些著名的木马程序就毫无用武之地了。同时一定要注意经常升级病毒库 !
这里我们用安全狗这个第三方安全软件,安装之后,会提示让体检,检查结果如下:
我们来看下帐号风险里有什么需要修复的,提示xiaomi这个帐号没必要启用,但是,我们认为xiaomi这个必须是要启用的,所以这项选择忽略
其它风险项可以查看一下,必要修复就修复,像系统漏洞这些,强烈建议修复,虽然系统会很卡
前面我们设置了只允许固定的源ip地址访问远程桌面端口号
这里我们通过安全狗,再增加设置,只允许固定的主机名可以访问远程桌面端口号,截图如下:
十四、定时备份服务器上的重要文件到本地或其它服务器
备份到本服务器是没有多大意义的,所以建议备份到别的机器
备份的方式,建议选择对目标文件或目录进行压缩后拷贝出来
十五、系统防火墙和安全狗的防火墙关系
安全狗的防火墙是在系统防火墙之上的
也就是说外界想要访问你服务器上某个端口,先经过安全狗的防火墙,再经过系统防火墙。
实验过程:
在服务器上开启80端口的web服务后
安全狗的防火墙设置允许通过,系统防火墙设置不允许通过,结果:不允许通过
安全狗的防火墙设置允许通过,系统防火墙设置允许通过,结果:允许通过
安全狗的防火墙设置不允许通过,系统防火墙设置允许通过,结果:不允许通过
安全狗的防火墙设置不允许通过,系统防火墙设置不允许通过,结果:不允许通过
所以,当服务器上某个端口外网无法访问时,需要排查这2个防火墙,是不是很烦。建议用系统自带的防火墙,安全狗的防火墙保持默认就行
十六、堡垒机
堡垒机作为服务器的最后一道屏障,其安全方面需要做到以上十五点,更需要开启审计功能。
十七、特别提醒
我们在第四点和第十三点分别提到了限制源ip访问远程桌面端口和限制源主机名访问远程桌面端口
所以:
如果你的办公网的出网ip是变动的公网ip
如果你需要用不同的终端主机访问服务器的远程桌面端口
这两种情况,根据实际情况选择使用系统自带的策略或是选择安全狗的策略,但是个人建议使用系统自带的策略,安全狗的策略保持默认即可。
推荐阅读
-
Windows server 2008 r2下MySQL5.7.17 winx64安装版配置方法图文教程
-
Windows server 2008 r2上安装MySQL5.7.10步骤
-
windows server 2008 R2 禁用ipv6和隧道适配器
-
Microsoft Windows 2008 Server R2 iis7.5上传文件限制200K更改
-
Windows server 2008 R2 服务器系统安全防御加固方法
-
Windows Server 2008 R2常规安全设置及基本安全策略
-
windows server 2008 64位MySQL5.6免安装版本配置方法图解
-
Windows Server 2008 R2 DNS 服务器迁移方法
-
Windows Server 2008(R2) 一键安装PHP环境(PHP5.3+FastCGI模式)
-
解决 Windows Server 2008 R2 上 Windows Update 无法失败,提示 8024402F