服務(wù)器主機安全規(guī)范

服務(wù)器主機安全規(guī)范啟用防火墻阿里云windowsServer2008R2默認居然沒有啟用防火墻。2012可能也是這樣的，不過這個一定要檢查！補丁更新啟用windows更新服務(wù)，設(shè)置為自動更新狀態(tài)，以便及時打補丁。阿里云windowsServer2008R2默認為自動更新狀態(tài)，2012可能也是這樣的，不過這個一定要檢查！賬號口令優(yōu)化賬號操作目的減少系統(tǒng)無用賬號，降低風險加固方法“Win+R”鍵調(diào)出“運行”->compmgmt.msc（計算機管理）->本地用戶和組。1、刪除不用的賬號，系統(tǒng)賬號所屬組是否正確。云服務(wù)剛開通時，應(yīng)該只有一個administrator賬號和處于禁用狀態(tài)的guest賬號；2、確保guest賬號是禁用狀態(tài)3、買阿里云時，管理員賬戶名稱不要用administrator備注

口令策略操作目的增強口令的復雜度及鎖定策略等，降低被暴力破解的可能性加固方法“Win+R”鍵調(diào)出“運行”->secpol.msc（本地安全策略）->安全設(shè)置1、賬戶策略->密碼策略密碼必須符合復雜性要求：啟用密碼長度最小值：8個字符密碼最短使用期限：0天密碼最長使用期限：90天強制密碼歷史：1個記住密碼用可還原的加密來存儲密碼：已禁用2、本地策略->安全選項交互式登錄：不顯示最后的用戶名：啟用備注“Win+R”鍵調(diào)出“運行”->gpupdate/force立即生效網(wǎng)絡(luò)服務(wù)優(yōu)化服務(wù)（1）操作目的關(guān)閉不需要的服務(wù)，減小風險什么是LLMNR？本地鏈路多播名稱解析，也叫多播DNS，用于解析本地網(wǎng)段上的名稱，沒啥用但還占著5355端口。使用組策略關(guān)閉，運行->gpedit.msc->計算機配置->管理模板->網(wǎng)絡(luò)->DNS客戶端->關(guān)閉多播名稱解析->啟用網(wǎng)絡(luò)限制操作目的網(wǎng)絡(luò)訪問限制加固方法“Win+R”鍵調(diào)出“運行”->secpol.msc->安全設(shè)置->本地策略->安全選項網(wǎng)絡(luò)訪問:不允許SAM帳戶的匿名枚舉：已啟用網(wǎng)絡(luò)訪問:不允許SAM帳戶和共享的匿名枚舉：已啟用網(wǎng)絡(luò)訪問:將Everyone權(quán)限應(yīng)用于匿名用戶：已禁用帳戶:使用空密碼的本地帳戶只允許進行控制臺登錄：已啟用備注“Win+R”鍵調(diào)出“運行”->gpupdate/force立即生效遠程訪問一定要使用高強度密碼更改遠程終端默認端口號步驟：1.防火墻中設(shè)置1.控制面板——windows防火墻——高級設(shè)置——入站規(guī)則——新建規(guī)則——端口——特定端口tcp（如13688）——允許連接2.完成以上操作之后右擊該條規(guī)則作用域——本地ip地址——任何ip地址——遠程ip地址——下列ip地址——添加管理者ip同理其它端口可以通過此功能對特定網(wǎng)段屏蔽（如80端口）。請注意：不是專線的網(wǎng)絡(luò)的IP地址經(jīng)常變，不適合限定IP。2.運行regedit2.[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\TerminalServer\Wds\rdpwd\Tds\tcp]和[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\TerminalServer\WinStations\RDP-TCP]，看見PortNamber值了嗎？其默認值是3389，修改成所希望的端口即可，例如136883.[HKEY_LOCAL_MACHINE\SYSTEM\CurrentContro1Set\Control\TenninalServer\WinStations\RDP\Tcp]，將PortNumber的值（默認是3389）修改成端口13688（自定義）。4.重新啟動電腦，以后遠程登錄的時候使用端口13688就可以了。文件系統(tǒng)檢查Everyone權(quán)限操作目的增強Everyone權(quán)限加固方法鼠標右鍵系統(tǒng)驅(qū)動器（磁盤）->“屬性”->“安全”，查看每個系統(tǒng)驅(qū)動器根目錄是否設(shè)置為Everyone有所有權(quán)限刪除Everyone的權(quán)限或者取消Everyone的寫權(quán)限備注

NTFS權(quán)限設(shè)置注意：1、2008R2默認的文件夾和文件所有者為TrustedInstaller，這個用戶同時擁有所有控制權(quán)限。2、注冊表同的項也是這樣，所有者為TrustedInstaller。3、如果要修改文件權(quán)限時應(yīng)該先設(shè)置管理員組administrators為所有者，再設(shè)置其它權(quán)限。4、如果要刪除或改名注冊表，同樣也需先設(shè)置管理員組為所有者，同時還要應(yīng)該到子項，直接刪除當前項還是刪除不掉時可以先刪除子項后再刪除此項。步驟：C盤只給administrators和system權(quán)限，其他的權(quán)限不給，其他的盤也可以這樣設(shè)置（web目錄權(quán)限依具體情況而定）這里給的system權(quán)限也不一定需要給，只是由于某些第三方應(yīng)用程序是以服務(wù)形式啟動的，需要加上這個用戶，否則造成啟動不了。Windows目錄要加上給users的默認權(quán)限，否則ASP和ASPX等應(yīng)用程序就無法運行（如果你使用IIS的話，要引用windows下的dll文件）。c:/user/只給administrators和system權(quán)限日志和授權(quán)增強日志操作目的增大日志量大小，避免由于日志文件容量過小導致日志記錄不全加固方法“Win+R”鍵調(diào)出“運行”->eventvwr.msc->“windows日志”->查看“應(yīng)用程序”“安全”“系統(tǒng)”的屬性建議設(shè)置：日志上限大?。?0480KBWindowsserver2008R2默認就是這樣設(shè)置的備注

增強審核操作目的對系統(tǒng)事件進行審核，在日后出現(xiàn)故障時用于排查故障加固方法“Win+R”鍵調(diào)出“運行”->secpol.msc->安全設(shè)置->本地策略->審核策略建議設(shè)置：審核策略更改：成功審核登錄事件：成功，失敗審核對象訪問：成功審核進程跟蹤：成功，失敗審核目錄服務(wù)訪問：成功，失敗審核系統(tǒng)事件：成功，失敗審核帳戶登錄事件：成功，失敗審核帳戶管理：成功，失敗備注“Win+R”鍵調(diào)出“運行”->gpupdate/force立即生效授權(quán)進入“控制面板->管理工具->本地安全策略”，在“本地策略->用戶權(quán)利指派”:把“關(guān)閉系統(tǒng)”設(shè)置為“只指派給Administrators組”把

“從遠端系統(tǒng)強制關(guān)機”設(shè)置為“只指派Administrators組”

設(shè)置“取得文件或其它對象的所有權(quán)”設(shè)置為“只指派給Administrators組攻擊保護關(guān)閉ICMP也就是平時說的PING，讓別人PING不到服務(wù)器，減少不必要的軟件掃描麻煩。在服務(wù)器的控制面板中打開

windows防火墻

，點擊

高級設(shè)置：

點擊

入站規(guī)則

——找到

文件和打印機共享(回顯請求-ICMPv4-In)

，啟用此規(guī)則即是開啟ping，禁用此規(guī)則IP將禁止其他客戶端ping通，但不影響TCP、UDP