服務(wù)器主機(jī)安全規(guī)范

1、服務(wù)器主機(jī)安全規(guī)范啟用防火墻阿里云windows Server 2008 R2默認(rèn)居然沒有啟用防火墻。2012可能也是這樣的，不過這個(gè)一定要檢查！補(bǔ)丁更新啟用windows更新服務(wù)，設(shè)置為自動(dòng)更新狀態(tài)，以便及時(shí)打補(bǔ)丁。阿里云windows Server 2008 R2默認(rèn)為自動(dòng)更新狀態(tài)，2012可能也是這樣的，不過這個(gè)一定要檢查！賬號(hào)口令優(yōu)化賬號(hào)操作目的減少系統(tǒng)無用賬號(hào)，降低風(fēng)險(xiǎn)加固方法“Win+R”鍵調(diào)出“運(yùn)行”-compmgmt.msc（計(jì)算機(jī)管理）-本地用戶和組。1、刪除不用的賬號(hào)，系統(tǒng)賬號(hào)所屬組是否正確。云服務(wù)剛開通時(shí)，應(yīng)該只有一個(gè)administrator賬號(hào)和處于禁用狀態(tài)的gues

2、t賬號(hào)；2、確保guest賬號(hào)是禁用狀態(tài)3、買阿里云時(shí)，管理員賬戶名稱不要用administrator備注口令策略操作目的增強(qiáng)口令的復(fù)雜度及鎖定策略等，降低被暴力破解的可能性加固方法“Win+R”鍵調(diào)出“運(yùn)行”-secpol.msc （本地安全策略）-安全設(shè)置1、賬戶策略-密碼策略密碼必須符合復(fù)雜性要求：啟用密碼長度最小值：8個(gè)字符密碼最短使用期限：0天密碼最長使用期限：90天強(qiáng)制密碼歷史：1個(gè)記住密碼用可還原的加密來存儲(chǔ)密碼：已禁用2、本地策略-安全選項(xiàng)交互式登錄：不顯示最后的用戶名：啟用備注“Win+R”鍵調(diào)出“運(yùn)行”-gpupdate /force立即生效網(wǎng)絡(luò)服務(wù)優(yōu)化服務(wù)（1）操作目的關(guān)

3、閉不需要的服務(wù)，減小風(fēng)險(xiǎn)加固方法“Win+R”鍵調(diào)出“運(yùn)行”-services.msc，以下服務(wù)改為禁用：Application Layer Gateway Service（為應(yīng)用程序級(jí)協(xié)議插件提供支持并啟用網(wǎng)絡(luò)/協(xié)議連接）Background Intelligent Transfer Service（利用空閑的網(wǎng)絡(luò)帶寬在后臺(tái)傳輸文件。如果服務(wù)被停用，例如Windows Update和MSN Explorer的功能將無法自動(dòng)下載程序和其他信息）Computer Browser（維護(hù)網(wǎng)絡(luò)上計(jì)算機(jī)的更新列表，并將列表提供給計(jì)算機(jī)指定瀏覽）DHCP ClientDiagnostic Policy S

4、erviceDistributed Transaction CoordinatorDNS ClientDistributed Link Tracking ClientRemote Registry（使遠(yuǎn)程用戶能修改此計(jì)算機(jī)上的注冊(cè)表設(shè)置）Print Spooler（管理所有本地和網(wǎng)絡(luò)打印隊(duì)列及控制所有打印工作）Server（不使用文件共享可以關(guān)閉，關(guān)閉后再右鍵點(diǎn)某個(gè)磁盤選屬性，“共享”這個(gè)頁面就不存在了）Shell Hardware DetectionTCP/IP NetBIOS Helper（提供TCP/IP (NetBT)服務(wù)上的NetBIOS和網(wǎng)絡(luò)上客戶端的NetBIOS名稱解析的支持，

5、從而使用戶能夠共享文件、打印和登錄到網(wǎng)絡(luò)）Task Scheduler（使用戶能在此計(jì)算機(jī)上配置和計(jì)劃自動(dòng)任務(wù)）Windows Remote Management(47001端口，Windows遠(yuǎn)程管理服務(wù)，用于配合IIS管理硬件，一般用不到)Workstation（創(chuàng)建和維護(hù)到遠(yuǎn)程服務(wù)的客戶端網(wǎng)絡(luò)連接。如果服務(wù)停止，這些連接將不可用）備注用服務(wù)需謹(jǐn)慎，特別是遠(yuǎn)程計(jì)算機(jī)優(yōu)化服務(wù)（2） 在網(wǎng)絡(luò)連接里，把不需要的協(xié)議和服務(wù)都移除 去掉Qos數(shù)據(jù)包計(jì)劃程序關(guān)閉Netbios服務(wù)（關(guān)閉139端口）網(wǎng)絡(luò)連接-本地連接-屬性-Internet協(xié)議版本 4-屬性-高級(jí)-WINS-禁用TCP/IP上的NetB

6、IOS。說明：關(guān)閉此功能，你服務(wù)器上所有共享服務(wù)功能都將關(guān)閉，別人在資源管理器中將看不到你的共享資源。這樣也防止了信息的泄露。 Microsoft網(wǎng)絡(luò)的文件和打印機(jī)共享網(wǎng)絡(luò)連接-本地連接-屬性，把除了“Internet協(xié)議版本 4”以外的東西都勾掉。 ipv6協(xié)議先關(guān)閉網(wǎng)絡(luò)連接-本地連接-屬性-Internet協(xié)議版本 6 (TCP/IPv6)然后再修改注冊(cè)表：HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesTcpip6Parameters，增加一個(gè)Dword項(xiàng)，名字：DisabledComponents，值：ffffffff（十六位的8個(gè)f）

7、重啟服務(wù)器即可關(guān)閉ipv6 microsoft網(wǎng)絡(luò)客戶端（主要是為了訪問微軟的網(wǎng)站） 關(guān)閉445端口445端口是netbios用來在局域網(wǎng)內(nèi)解析機(jī)器名的服務(wù)端口，一般服務(wù)器不需要對(duì)LAN開放什么共享，所以可以關(guān)閉。修改注冊(cè)表：HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesNetBTParameters，則更加一個(gè)Dword項(xiàng)：SMBDeviceEnabled，值：0 關(guān)閉LLMNR（關(guān)閉5355端口）什么是LLMNR？本地鏈路多播名稱解析，也叫多播DNS，用于解析本地網(wǎng)段上的名稱，沒啥用但還占著5355端口。使用組策略關(guān)閉，運(yùn)行-gpedit

8、.msc-計(jì)算機(jī)配置-管理模板-網(wǎng)絡(luò)-DNS客戶端-關(guān)閉多播名稱解析-啟用網(wǎng)絡(luò)限制操作目的網(wǎng)絡(luò)訪問限制加固方法“Win+R”鍵調(diào)出“運(yùn)行”-secpol.msc -安全設(shè)置-本地策略-安全選項(xiàng)網(wǎng)絡(luò)訪問: 不允許 SAM 帳戶的匿名枚舉：已啟用網(wǎng)絡(luò)訪問: 不允許 SAM 帳戶和共享的匿名枚舉：已啟用網(wǎng)絡(luò)訪問: 將 Everyone權(quán)限應(yīng)用于匿名用戶：已禁用帳戶: 使用空密碼的本地帳戶只允許進(jìn)行控制臺(tái)登錄：已啟用備注“Win+R”鍵調(diào)出“運(yùn)行”-gpupdate /force立即生效遠(yuǎn)程訪問一定要使用高強(qiáng)度密碼更改遠(yuǎn)程終端默認(rèn)端口號(hào)步驟：1.防火墻中設(shè)置1.控制面板windows防火墻高級(jí)設(shè)置入站

9、規(guī)則新建規(guī)則端口特定端口tcp（如13688）允許連接 2.完成以上操作之后右擊該條規(guī)則作用域本地ip地址任何ip地址遠(yuǎn)程ip地址下列ip地址 添加管理者ip 同理其它端口可以通過此功能對(duì)特定網(wǎng)段屏蔽（如80端口）。請(qǐng)注意：不是專線的網(wǎng)絡(luò)的IP地址經(jīng)常變，不適合限定IP。2.運(yùn)行regedit 2.HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlTerminal ServerWds rdpwdTds tcp 和 HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlTerminalServerWinSta

10、tionsRDP-TCP，看見PortNamber值了嗎？其默認(rèn)值是3389，修改成所希望的端口即可，例如136883.HKEY_LOCAL_MACHINESYSTEMCurrentContro1SetControlTenninal ServerWinStations RDPTcp，將PortNumber的值（默認(rèn)是3389）修改成端口13688（自定義）。4.重新啟動(dòng)電腦，以后遠(yuǎn)程登錄的時(shí)候使用端口13688就可以了。文件系統(tǒng)檢查Everyone權(quán)限操作目的增強(qiáng)Everyone權(quán)限加固方法鼠標(biāo)右鍵系統(tǒng)驅(qū)動(dòng)器（磁盤）-“屬性”-“安全”，查看每個(gè)系統(tǒng)驅(qū)動(dòng)器根目錄是否設(shè)置為Everyone有所有

11、權(quán)限刪除Everyone的權(quán)限或者取消Everyone的寫權(quán)限備注NTFS權(quán)限設(shè)置注意：1、2008 R2默認(rèn)的文件夾和文件所有者為TrustedInstaller，這個(gè)用戶同時(shí)擁有所有控制權(quán)限。 2、注冊(cè)表同的項(xiàng)也是這樣，所有者為TrustedInstaller。 3、如果要修改文件權(quán)限時(shí)應(yīng)該先設(shè)置 管理員組 administrators 為所有者，再設(shè)置其它權(quán)限。 4、如果要?jiǎng)h除或改名注冊(cè)表，同樣也需先設(shè)置 管理員組 為所有者，同時(shí)還要應(yīng)該到子項(xiàng)，直接刪除當(dāng)前項(xiàng)還是刪除不掉時(shí)可以先刪除子項(xiàng)后再刪除此項(xiàng)。步驟：1. C盤只給administrators 和system權(quán)限，其他的權(quán)限不給，其

12、他的盤也可以這樣設(shè)置（web目錄權(quán)限依具體情況而定）2. 這里給的system權(quán)限也不一定需要給，只是由于某些第三方應(yīng)用程序是以服務(wù)形式啟動(dòng)的，需要加上這個(gè)用戶，否則造成啟動(dòng)不了。3. Windows目錄要加上給users的默認(rèn)權(quán)限，否則ASP和ASPX等應(yīng)用程序就無法運(yùn)行（如果你使用IIS的話，要引用windows下的dll文件）。4. c:/user/ 只給administrators 和system權(quán)限日志和授權(quán)增強(qiáng)日志操作目的增大日志量大小，避免由于日志文件容量過小導(dǎo)致日志記錄不全加固方法“Win+R”鍵調(diào)出“運(yùn)行”-eventvwr.msc -“windows日志”-查看“應(yīng)用程序”

13、“安全”“系統(tǒng)”的屬性建議設(shè)置：日志上限大?。?0480 KBWindows server 2008 R2默認(rèn)就是這樣設(shè)置的備注增強(qiáng)審核操作目的對(duì)系統(tǒng)事件進(jìn)行審核，在日后出現(xiàn)故障時(shí)用于排查故障加固方法“Win+R”鍵調(diào)出“運(yùn)行”-secpol.msc -安全設(shè)置-本地策略-審核策略建議設(shè)置：審核策略更改：成功審核登錄事件：成功，失敗審核對(duì)象訪問：成功審核進(jìn)程跟蹤：成功，失敗審核目錄服務(wù)訪問：成功，失敗審核系統(tǒng)事件：成功，失敗審核帳戶登錄事件：成功，失敗審核帳戶管理：成功，失敗備注“Win+R”鍵調(diào)出“運(yùn)行”-gpupdate /force立即生效授權(quán)進(jìn)入“控制面板-管理工具-本地安全策略”，在“本地策略-用戶權(quán)利指派”:把“關(guān)閉系統(tǒng)”設(shè)置為“只指派給Administrators組”把“從遠(yuǎn)端系統(tǒng)強(qiáng)制關(guān)機(jī)”設(shè)置為“只指派Administrators組”設(shè)置“取得文件或其它對(duì)象的所有權(quán)”設(shè)置為“只指派給Administrators組攻擊保護(hù)關(guān)閉ICMP也就是平時(shí)說的PING，讓別人PING不到服務(wù)器，減少不必要的軟件掃描麻煩。在服務(wù)器的控制面板中打開windows防火墻， 點(diǎn)擊高級(jí)設(shè)置：點(diǎn)