服務(wù)器主機(jī)安全規(guī)范

服務(wù)器主機(jī)安全規(guī)范啟用防火墻阿里云windowsServer2008R2默認(rèn)居然沒有啟用防火墻。2012可能也是這樣的，不過這個一定要檢查！補(bǔ)丁更新啟用windows更新服務(wù)，設(shè)置為自動更新狀態(tài)，以便及時打補(bǔ)丁。阿里云windowsServer2008R2默認(rèn)為自動更新狀態(tài)，2012可能也是這樣的，不過這個一定要檢查！賬號口令優(yōu)化賬號操作目的減少系統(tǒng)無用賬號，降低風(fēng)險加固方法“Win+R”鍵調(diào)出“運(yùn)行”->compmgmt.msc（計算機(jī)管理）->本地用戶和組。1、刪除不用的賬號，系統(tǒng)賬號所屬組是否正確。云服務(wù)剛開通時，應(yīng)該只有一個administrator賬號和處于禁用狀態(tài)的guest賬號；2、確保guest賬號是禁用狀態(tài)3、買阿里云時，管理員賬戶名稱不要用administrator備注

口令策略操作目的增強(qiáng)口令的復(fù)雜度及鎖定策略等，降低被暴力破解的可能性加固方法“Win+R”鍵調(diào)出“運(yùn)行”->secpol.msc（本地安全策略）->安全設(shè)置1、賬戶策略->密碼策略密碼必須符合復(fù)雜性要求：啟用密碼長度最小值：8個字符密碼最短使用期限：0天密碼最長使用期限：90天強(qiáng)制密碼歷史：1個記住密碼用可還原的加密來存儲密碼：已禁用2、本地策略->安全選項交互式登錄：不顯示最后的用戶名：啟用備注“Win+R”鍵調(diào)出“運(yùn)行”->gpupdate/force立即生效網(wǎng)絡(luò)服務(wù)優(yōu)化服務(wù)（1）操作目的關(guān)閉不需要的服務(wù)，減小風(fēng)險什么是LLMNR？本地鏈路多播名稱解析，也叫多播DNS，用于解析本地網(wǎng)段上的名稱，沒啥用但還占著5355端口。使用組策略關(guān)閉，運(yùn)行->gpedit.msc->計算機(jī)配置->管理模板->網(wǎng)絡(luò)->DNS客戶端->關(guān)閉多播名稱解析->啟用網(wǎng)絡(luò)限制操作目的網(wǎng)絡(luò)訪問限制加固方法“Win+R”鍵調(diào)出“運(yùn)行”->secpol.msc->安全設(shè)置->本地策略->安全選項網(wǎng)絡(luò)訪問:不允許SAM帳戶的匿名枚舉：已啟用網(wǎng)絡(luò)訪問:不允許SAM帳戶和共享的匿名枚舉：已啟用網(wǎng)絡(luò)訪問:將Everyone權(quán)限應(yīng)用于匿名用戶：已禁用帳戶:使用空密碼的本地帳戶只允許進(jìn)行控制臺登錄：已啟用備注“Win+R”鍵調(diào)出“運(yùn)行”->gpupdate/force立即生效遠(yuǎn)程訪問一定要使用高強(qiáng)度密碼更改遠(yuǎn)程終端默認(rèn)端口號步驟：1.防火墻中設(shè)置1.控制面板——windows防火墻——高級設(shè)置——入站規(guī)則——新建規(guī)則——端口——特定端口tcp（如13688）——允許連接2.完成以上操作之后右擊該條規(guī)則作用域——本地ip地址——任何ip地址——遠(yuǎn)程ip地址——下列ip地址——添加管理者ip同理其它端口可以通過此功能對特定網(wǎng)段屏蔽（如80端口）。請注意：不是專線的網(wǎng)絡(luò)的IP地址經(jīng)常變，不適合限定IP。2.運(yùn)行regedit2.[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\TerminalServer\Wds\rdpwd\Tds\tcp]和[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\TerminalServer\WinStations\RDP-TCP]，看見PortNamber值了嗎？其默認(rèn)值是3389，修改成所希望的端口即可，例如136883.[HKEY_LOCAL_MACHINE\SYSTEM\CurrentContro1Set\Control\TenninalServer\WinStations\RDP\Tcp]，將PortNumber的值（默認(rèn)是3389）修改成端口13688（自定義）。4.重新啟動電腦，以后遠(yuǎn)程登錄的時候使用端口13688就可以了。文件系統(tǒng)檢查Everyone權(quán)限操作目的增強(qiáng)Everyone權(quán)限加固方法鼠標(biāo)右鍵系統(tǒng)驅(qū)動器（磁盤）->“屬性”->“安全”，查看每個系統(tǒng)驅(qū)動器根目錄是否設(shè)置為Everyone有所有權(quán)限刪除Everyone的權(quán)限或者取消Everyone的寫權(quán)限備注

NTFS權(quán)限設(shè)置注意：1、2008R2默認(rèn)的文件夾和文件所有者為TrustedInstaller，這個用戶同時擁有所有控制權(quán)限。2、注冊表同的項也是這樣，所有者為TrustedInstaller。3、如果要修改文件權(quán)限時應(yīng)該先設(shè)置管理員組administrators為所有者，再設(shè)置其它權(quán)限。4、如果要刪除或改名注冊表，同樣也需先設(shè)置管理員組為所有者，同時還要應(yīng)該到子項，直接刪除當(dāng)前項還是刪除不掉時可以先刪除子項后再刪除此項。步驟：C盤只給administrators和system權(quán)限，其他的權(quán)限不給，其他的盤也可以這樣設(shè)置（web目錄權(quán)限依具體情況而定）這里給的system權(quán)限也不一定需要給，只是由于某些第三方應(yīng)用程序是以服務(wù)形式啟動的，需要加上這個用戶，否則造成啟動不了。Windows目錄要加上給users的默認(rèn)權(quán)限，否則ASP和ASPX等應(yīng)用程序就無法運(yùn)行（如果你使用IIS的話，要引用windows下的dll文件）。c:/user/只給administrators和system權(quán)限日志和授權(quán)增強(qiáng)日志操作目的增大日志量大小，避免由于日志文件容量過小導(dǎo)致日志記錄不全加固方法“Win+R”鍵調(diào)出“運(yùn)行”->eventvwr.msc->“windows日志”->查看“應(yīng)用程序”“安全”“系統(tǒng)”的屬性建議設(shè)置：日志上限大?。?0480KBWindowsserver2008R2默認(rèn)就是這樣設(shè)置的備注

增強(qiáng)審核操作目的對系統(tǒng)事件進(jìn)行審核，在日后出現(xiàn)故障時用于排查故障加固方法“Win+R”鍵調(diào)出“運(yùn)行”->secpol.msc->安全設(shè)置->本地策略->審核策略建議設(shè)置：審核策略更改：成功審核登錄事件：成功，失敗審核對象訪問：成功審核進(jìn)程跟蹤：成功，失敗審核目錄服務(wù)訪問：成功，失敗審核系統(tǒng)事件：成功，失敗審核帳戶登錄事件：成功，失敗審核帳戶管理：成功，失敗備注“Win+R”鍵調(diào)出“運(yùn)行”->gpupdate/force立即生效授權(quán)進(jìn)入“控制面板->管理工具->本地安全策略”，在“本地策略->用戶權(quán)利指派”:把“關(guān)閉系統(tǒng)”設(shè)置為“只指派給Administrators組”把

“從遠(yuǎn)端系統(tǒng)強(qiáng)制關(guān)機(jī)”設(shè)置為“只指派Administrators組”

設(shè)置“取得文件或其它對象的所有權(quán)”設(shè)置為“只指派給Administrators組攻擊保護(hù)關(guān)閉ICMP也就是平時說的PING，讓別人PING不到服務(wù)器，減少不必要的軟件掃描麻煩。在服務(wù)器的控制面板中打開

windows防火墻

，點擊

高級設(shè)置：

點擊

入站規(guī)則

——找到

文件和打印機(jī)共享(回顯請求-ICMPv4-In)

，啟用此規(guī)則即是開啟ping，禁用此規(guī)則IP將禁止其他客戶端ping通，但不影響TCP、UDP