Skip to main content
 Web开发网 » 操作系统 » windows系统

操作系统安全规范之Windows Server

2021年10月19日7890百度已收录

1、重要安全策略1.1、密码复杂度修改方法:在“运行”中输入“gpedit.msc”打开组策略编辑器,浏览到路径“本地计算机策略\计算机配置\Windows设置\安全设置\帐户策略\密码策略”。

默认配置内容如下图:

操作系统安全规范之Windows Server  windows server 第1张

修改如下参数配置:

“密码必须符合复杂性要求”,配置为“已启用”,要求复杂性。

“密码长度最小值”,建议8或12。

“强制密码历史”,配置5,最近5个密码不能使用。

“密码最短存留期(使用期限)”,配置为1。

“密码最长存留期(使用期限)”,配置为90。

“用可还原的加密来存储密码”,已禁用。

操作系统安全规范之Windows Server  windows server 第2张

注意:若使用堡垒机登录windows,“密码最短存留期(使用期限)”和 “密码最长存留期(使用期限)”不改,保留原设置,修改该配置项可能会影响堡垒机的使用以及信息科对服务器的管理。

1.2、账户锁定“gpedit.msc”打开组策略编辑器,浏览到路径“本地计算机策略\计算机配置\Windows设置\安全设置\帐户策略\帐户锁定策略”。

默认配置内容如下图:

操作系统安全规范之Windows Server  windows server 第3张

帐户锁定时间,建议30分钟。

帐户锁定阈值,建议5。

重置帐户锁定计数器,建议30分钟。

操作系统安全规范之Windows Server  windows server 第4张

以上表示30分钟内有5次登录失败,锁定这个账户(不可登录)30分钟后解锁。

1.3、 远程会话闲置一段时间后自动断开“gpedit.msc”打开组策略编辑器,浏览路径“本地计算机配置”\“管理模板”\“windows组件”\“远程桌面服务”\“远程桌面会话主机”\“会话时间限制”。

默认配置内容如下图:

操作系统安全规范之Windows Server  windows server 第5张

修改配置内容:设置活动但空闲的远程桌面会话时间限制 已启用 10分钟

操作系统安全规范之Windows Server  windows server 第6张

1.4、删除无用账户检查系统没有无用账户,windows禁用guest账户,根据实际需要修改administrator用户名为其他用户名。

2、安全选项“gpedit.msc”打开组策略编辑器,浏览到路径“本地计算机策略\计算机配置\Windows设置\安全设置\本地策略\安全选项”。

2.1、提示用户密码过期前修改的天数“gpedit.msc”打开组策略编辑器,浏览到路径“本地计算机策略\计算机配置\Windows设置\安全设置\本地策略\安全选项”,在右边窗格中找到“交互式登录: 提示用户在过期之前更改密码”,默认为5改为30。

操作系统安全规范之Windows Server  windows server 第7张

2.2、删除匿名访问的命名管道和共享默认已是空的,请配置时核对。

“网络访问: 可匿名访问的命名管道”,配置为空。

“网络访问: 可匿名访问的共享”,配置为空。

操作系统安全规范之Windows Server  windows server 第8张

2.3、关闭远程访问注册表“网络访问:可远程访问的注册表路径”,清空。

“网络访问: 可远程访问的注册表路径和子路径”,清空。

操作系统安全规范之Windows Server  windows server 第9张

2.4、禁用guest账户“(帐户:)来宾帐户状态”,配置为“已禁用”,默认已经为已禁用,请配置时核对。

操作系统安全规范之Windows Server  windows server 第10张

2.5、 修改管理员账户名称注意:若不是公司维护的服务器,注意修改账户名导致不能登录。不确定则最好不要做修改。

“(帐户:)重命名(系统)管理员帐户”,更改其默认设置“Administrator”(注意:若当前是以Administrator用户登录,则无法更改)。

操作系统安全规范之Windows Server  windows server 第11张

2.6、屏保启用密码Windows Server 2008及Windows Server 2012在控制面板->显示->更改屏幕保护程序。选择一个屏幕保护程序,将等待时间配置为不大于300秒,且勾选“在恢复时显示登录屏幕”。

操作系统安全规范之Windows Server  windows server 第12张

操作系统安全规范之Windows Server  windows server 第13张

2.7、启用“关机清除虚拟内存页面文件”默认配置为“已禁用”,请修改为“已启用”

操作系统安全规范之Windows Server  windows server 第14张

操作系统安全规范之Windows Server  windows server 第15张

2.8、不显示最后的用户名默认配置为“已禁用”,请修改为“已启用”

操作系统安全规范之Windows Server  windows server 第16张

操作系统安全规范之Windows Server  windows server 第17张

3、关闭危险服务和端口“services.msc”打开系统服务,以下服务请停止,再设置为“手动”或“禁用”。

a. 关闭Remote Registry。

操作系统安全规范之Windows Server  windows server 第18张

操作系统安全规范之Windows Server  windows server 第19张

b. 关闭Server。

这个服务一定要关闭,大部分攻击针对445,139,135端口,都是这个服务,一定要关闭。更改为手动。

c. 关闭Shell Hardware Detection。

操作系统安全规范之Windows Server  windows server 第20张

操作系统安全规范之Windows Server  windows server 第21张

d. 关闭Printer Spooler。

操作系统安全规范之Windows Server  windows server 第22张

操作系统安全规范之Windows Server  windows server 第23张

e. 关闭DHCP Client。

注意:先查看是否是dhcp动态ip,若是固定ip,服务中关闭dhcp client。若是自动获得ip,不能关闭dhcp client。

操作系统安全规范之Windows Server  windows server 第24张

操作系统安全规范之Windows Server  windows server 第25张

若服务器是通过自动获得ip,dhcp client服务不能关闭。

4、端口管理4.1、关闭445,135,137,138,139端口控制面板-管理工具-本地安全策略,ip安全策略,创建ip安全策略,阻止其他ip访问本机ip的危险端口。

操作系统安全规范之Windows Server  windows server 第26张

增加ip安全规则,添加规则,规则名任意(如关闭端口,封端口):

操作系统安全规范之Windows Server  windows server 第27张

操作系统安全规范之Windows Server  windows server 第28张

操作系统安全规范之Windows Server  windows server 第29张

操作系统安全规范之Windows Server  windows server 第30张

操作系统安全规范之Windows Server  windows server 第31张

添加ip筛选器列表:

源地址:任何ip地址。

目标地址:我的ip地址。

源端口:任何端口。

目标端口:依次是445,135,137,138,139。

操作系统安全规范之Windows Server  windows server 第32张

设置筛选器操作为阻止:

操作系统安全规范之Windows Server  windows server 第33张

操作系统安全规范之Windows Server  windows server 第34张

确定后,点右键-分配,策略已指派变成是。

操作系统安全规范之Windows Server  windows server 第35张

操作系统安全规范之Windows Server  windows server 第36张

4.2、修改常用中间件默认端口(建议)所有中间件,数据库,web服务器的默认端口,容易被攻击者扫描利用,也会被安全公司扫描出漏洞报告,请修改默认端口,为方便记忆,建议默认端口号每位数字+1,以下举例常用:

操作系统安全规范之Windows Server  windows server 第37张

有条件的话修改远程端口(windows 3389,linux 22)为其他端口。

5、系统保护5.1、 启用数据执行保护计算机-属性-高级系统设置-高级-性能-设置-数据执行保护,勾选“仅为基本Windows程序和服务启用DEP”。

操作系统安全规范之Windows Server  windows server 第38张

更改此配置需要重启系统才能生效。暂时不重启,设置就好。

5.2、 安装杀毒软件安装杀毒软件,若有购买正版杀毒则直接采用,若没有,请使用免费的火绒安全软件,资源小效果好:

注意:不要使用360杀毒,360会留下后门导致本地端口被占满,应用无法对外服务。

5.3、 密码保管以下密码保管的建议:

a.每台服务器的登录密码满足复杂度,且各不相同。

b.远程服务器(windows远程桌面,linux远程客户端,数据库客户端)工具禁止使用记住密码功能。

c.将密码记录在本机的excel文档中,并加密。每次有登录需要时输入该excel文档密码,从文档中复制相应的密码到相应的客户端工具中登录,提高安全性。

评论列表暂无评论
发表评论
微信