Windows服务器安全策略怎么做?不要觉得这是一个非常深奥遥不可及的问题,其实也是从各个方面去加固系统的安全性而已,它没有一个定论。

分享一下windows服务器基本安全策略保障服务器基本安全的一些简单实用的加固方法。

对windows服务器进行以上的设置和相关策略的制定,可以有效的增加服务器的自身防御能力,防止黑客利用常见的攻击手段和方法对服务器进行入侵和破坏,降低数据被盗取的风险。

计算机安全策略配置:

(一) 修改远程桌面端口

将默认端口XXX修改为XXX。

(二) 帐户

对系统管理员默认帐户administrator进行重命名,停用guest用户。

(三) 开启windows防火墙

1、取消网络连接中的文件和打印共享。

2、在例外里面添加远程桌面端口XXX。

3、在防火墙高级设置时勾选Web服务和安全的Web服务。

4、在防火墙开放FTP端口XX。

5、开放短信发送平台端口:XXX

(四) 禁用无关服务

1、Printspooler 打印服务

2、Wirelessconfiguration 无线服务

3、RoutingandRemoteAccess在局域网以及广域网环境中为企业提供路由服务。

4、NTLMSecuritysupportprovide:telnet服务和MicrosoftSerch服务使用。

5、Telnet允许远程用户登录到此计算机并运行程序。

6、RemoteDesktopHelpSessionManager:远程协助服务。

7、ErrorReportingService收集、存储和向Microsoft报告异常应用程序。

8、RemoteRegistry 远程注册表操作。

(五) 禁止IPC空连接

打开注册表

找到Local_Machine\System\CurrentControlSet\Control\LSA-RestrictAnonymous把这个值改成”1”即可。

(六) 删除默认共享

打开注册表

找到HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters,新建AutoShareServer类型是REG_DWORD把值改为0。

(七) 策略配置

组策略配置:gpedit—>计算机配置—>windows设置—>安全设置—>本地策略。

网络安全策略可能阻止连接端口 网络安全策略设置_服务器

 

1、在用户权利分配下,从通过网络访问此计算机中删除PowerUsers和BackupOperators;

2、启用不允许匿名访问SAM帐号和共享;

3、启用不允许为网络验证存储凭据或Passport;

4、从文件共享中删除允许匿名登录的DFS$和COMCFG;

5、启用交互登录:不显示上次的用户名;

6、启用在下一次密码变更时不存储LANMAN哈希值;

7、禁止IIS匿名用户在本地登录。

禁用Guest账户
Guest账户为黑客入侵打开了方便之门,黑客使用Guest账户可以进行提权。禁用Guest账户是很好的选择。

打开“开始——管理工具——计算机管理——本地用户和组——用户——Guest,右键打开属性,打勾“账户已禁用”,最后点击应用和确定即可禁用Guest账户

二、密码策略

操作系统和数据库系统管理,用户身份标识应具有不易被冒用的特点,口令应有复杂度要求并定期更换密码。

进入“开始——管理工具——本地安全策略”,在“帐户策略——密码策略”;

“密码必须符合复杂度要求” 设置为“启用”

“密码长度最小值”设置为“8-12个字符”

“密码最长使用期限”设置为“90天”

“强制密码历史”设置为“记住5个密码”

“用可以还原的加密来存储密码”设置为“禁用”

加固前:

网络安全策略可能阻止连接端口 网络安全策略设置_服务器_02

 

加固后:

网络安全策略可能阻止连接端口 网络安全策略设置_远程桌面_03

 

三、连续登录失败账户锁定策略

应启用登录失败锁定功能,可采取结束会话、限制非法登录次数和自动退出等措施。对于采用静态口令认证技术的服务器,应设置当用户连续登录失败次数超过5 次(不含5 次),锁定该用户使用的账号**分钟。

比如连续登录失败超过5次,锁定该用户账号15分钟

进入“开始——管理工具——本地安全策略”,在“帐户策略——帐户锁定策略”:

“账户锁定时间”设置为15分钟

“账户额锁定阀值”设置为5 次

“复位账户锁定计数器”设置为15分钟

网络安全策略可能阻止连接端口 网络安全策略设置_远程桌面_04

 

四、日志审核策略

审核内容应包括重要用户行为、系统资源的异常使用和重要系统命令的使用等系统内重要的安全相关事件。在主机的审核策略上设置日志审核策略,进入“开始 ——管理工具——本地安全策略”,在“本地策略——审核策略”在主机的审核策略上设置日志审核策略:

审计帐户登录事件: 成功,失败

审计帐户管理: 成功,失败

审计目录服务访问: 成功,失败

审计登录事件: 成功,失败

审计对象访问: 成功,失败

审计策略更改: 成功,失败

审计特权使用: 成功,失败

审计系统事件: 成功,失败

审计过程追踪: 成功,失败

网络安全策略可能阻止连接端口 网络安全策略设置_运维_05

 

五、设置不显示最后的用户名

在本地安全设置系统登录时不显示最后的用户名。

进入“开始——管理工具——本地安全策略”,在“本地策略——安全选项”

“交互式登录:不显示最后的用户名”设置为“已启用”

网络安全策略可能阻止连接端口 网络安全策略设置_服务器_06

 

六、启用主机安全选项的”关机前清除虚拟内存页面”

应确保系统内的文件、目录和数据库记录等资源所在的 存储空间,被释放或重新分配 给其他用户前得到完全清除。

进入“开始——管理工具——本地安全策略”,在本地策略——安全选项
“关机:清除虚拟页面文件内存”设置为“已启用”

网络安全策略可能阻止连接端口 网络安全策略设置_服务器_06

 

七、配置日志文件大小
配置日志文件容量,避免受到未预期的删除、修改或覆盖等

进入“开始——管理工具——计算机管理——事件查看器——windows日志-系统,右键属性

网络安全策略可能阻止连接端口 网络安全策略设置_远程桌面_08

 

八、磁盘配额配置

磁盘配额可以限制指定账户能够使用的磁盘空间,这样可以避免因某个用户的过度使用磁盘空间造成其他用户无法正常工作甚至影响系统运行

进入“我的电脑——C盘——属性——配额”

“启用磁盘管理”设置为启用

“磁盘空间限制为”设置为”90GB”

“将警告等级设为”设置为”90GB”

“用户超出配额限制时记录事件(G)”打勾

 “用户超过警告等级时记录事件(V)” 打勾

网络安全策略可能阻止连接端口 网络安全策略设置_windows_09

 

九、远程会话策略

默认情况下,远程桌面服务允许用户从远程桌面服务会话断开连接,而不用注销和结束会话。启用此策略设置,则达到指定时间后将从服务器中删除已断开连接的会话

进入运行——gpedit.msc——计算机配置——管理模板——wondows组件——远程服务——远程桌面会话主机——会话时间限制

“设置已中断会话的时间限制”设置为“已启用”

“结束已断开连接的会话”设置为“5分钟”

网络安全策略可能阻止连接端口 网络安全策略设置_windows_10

 

网络安全策略可能阻止连接端口 网络安全策略设置_网络安全策略可能阻止连接端口_11

 

强制启用SSL
当为服务器进行远程管理时,应采取必要措施,防止鉴别信息在网络传输过程中被窃听。

打开“运行-输入命令 【gpedit.msc】-本地组策略编辑器—计算机配置—管理模板—windows 组件—远程桌面服务—远程桌面会话主机—安全

启用“设置客户端连接加密级别”,将加密等级设置为高级。

启用“远程(RDP)连接要求使用指定的安全层”安全层选择SSL。

网络安全策略可能阻止连接端口 网络安全策略设置_远程桌面_12

 

维护系统的安全以及业务的稳定运行,这些步骤必不可少,各位服务器管理员务必重视,安全不怕做多,就怕做少。这些都是常用的操作维护系统的安全,当然也有其它方面的安全性需要巩固的