阿里云ECSwindows server 2008服务器安全设置

最近我们Sinesafe安全公司在为客户使用阿里云ecs服务器做安全的过程中,发现服务器基础安全性都没有做。为了为站长们提供更加有效的安全基础解决方案,我们Sinesafe将对阿里云服务器win2008 系统进行基础安全部署实战过程!

比较重要的几部分

1.更改默认administrator用户名,复杂密码2.开启防火墙3.安装杀毒软件

1)新做系统一定要先打上补丁2)安装必要的杀毒软件3)删除系统默认共享

4)修改本地策略——>安全选项 交互式登陆:不显示最后的用户名 启用网络访问:不允许SAM 帐户和共享的匿名枚举 启用网络访问: 不允许存储网络身份验证的凭据或 .NET Passports 启用网络访问:可远程访问的注册表路径和子路径 全部删除5)禁用不必要的服务TCP/IP NetBIOS Helper、Server、 Distributed Link Tracking Client 、Print Spooler、Remote Registry、Workstation6)禁用IPV6

server 2008 r2交互式登录: 不显示最后的用户名

其实最重要的就是开启防火墙。

主机安全

启用防火墙阿里云windows Server 2008 R2默认居然没有启用防火墙。2012可能也是这样的,不过这个一定要检查!

补丁更新启用windows更新服务,设置为自动更新状态,以便及时打补丁。不要用360了,360安全卫士不支持2008补丁的安装

阿里云windows Server 2008 R2默认为自动更新状态,2012可能也是这样的,不过这个一定要检查!

账号口令

优化账号

操作目的

减少系统无用账号,降低风险

加固方法

“Win+R”键调出“运行”->compmgmt.msc(计算机管理)->本地用户和组。

1、删除不用的账号,系统账号所属组是否正确。云服务刚开通时,应该只有一个administrator账号和处于禁用状态的guest账号;

2、确保guest账号是禁用状态

3、买阿里云时,管理员账户名称不要用administrator

备注

口令策略

操作目的

增强口令的复杂度及锁定策略等,降低被暴力破解的可能性

加固方法

“Win+R”键调出“运行”->secpol.msc (本地安全策略)->安全设置

1、账户策略->密码策略

密码必须符合复杂性要求:启用

密码长度最小值:8个字符

密码最短使用期限:0天

密码最长使用期限:90天

强制密码历史:1个记住密码

用可还原的加密来存储密码:已禁用

2、本地策略->安全选项

交互式登录:不显示最后的用户名:启用

备注

“Win+R”键调出“运行”->gpupdate /force立即生效

网络服务

优化服务(1)

操作目的

关闭不需要的服务,减小风险

加固方法

“Win+R”键调出“运行”->services.msc,以下服务改为禁用:

Application Layer Gateway Service(为应用程序级协议插件提供支持并启用网络/协议连接)

Background Intelligent Transfer Service(利用空闲的网络带宽在后台传输文件。如果服务被停用,例如Windows Update 和 MSN Explorer的功能将无法自动下载程序和其他信息)

Computer Browser(维护网络上计算机的更新列表,并将列表提供给计算机指定浏览)

DHCP Client

Diagnostic Policy Service

Distributed Transaction Coordinator

DNS Client

Distributed Link Tracking Client

Remote Registry(使远程用户能修改此计算机上的注册表设置)

Print Spooler(管理所有本地和网络打印队列及控制所有打印工作)

Server(不使用文件共享可以关闭,关闭后再右键点某个磁盘选属性,“共享”这个页面就不存在了)

Shell Hardware Detection

TCP/IP NetBIOS Helper(提供 TCP/IP (NetBT) 服务上的NetBIOS 和网络上客户端的NetBIOS 名称解析的支持,从而使用户能够共享文件、打印和登录到网络)

Task Scheduler(使用户能在此计算机上配置和计划自动任务)

Windows Remote Management(47001端口,Windows远程管理服务,用于配合IIS管理硬件,一般用不到)

Workstation(创建和维护到远程服务的客户端网络连接。如果服务停止,这些连接将不可用)

备注

用服务需谨慎,特别是远程计算机

优化服务(2)

在"网络连接"里,把不需要的协议和服务都移除 去掉Qos数据包计划程序

关闭Netbios服务(关闭139端口)

网络连接->本地连接->属性->Internet协议版本 4->属性->高级->WINS->禁用TCP/IP上的NetBIOS。

说明:关闭此功能,你服务器上所有共享服务功能都将关闭,别人在资源管理器中将看不到你的共享资源。这样也防止了信息的泄露。

Microsoft网络的文件和打印机共享

网络连接->本地连接->属性,把除了“Internet协议版本 4”以外的东西都勾掉。

ipv6协议

先关闭网络连接->本地连接->属性->Internet协议版本 6 (TCP/IPv6)

然后再修改注册表:HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip6\Parameters,增加一个Dword项,名字:DisabledComponents,值:ffffffff(十六位的8个f)

重启服务器即可关闭ipv6

microsoft网络客户端(主要是为了访问微软的网站)

关闭445端口445端口是netbios用来在局域网内解析机器名的服务端口,一般服务器不需要对LAN开放什么共享,所以可以关闭。

修改注册表:HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NetBT\Parameters,则更加一个Dword项:SMBDeviceEnabled,值:0

关闭LLMNR(关闭5355端口)什么是LLMNR?本地链路多播名称解析,也叫多播DNS,用于解析本地网段上的名称,没啥用但还占着5355端口。

使用组策略关闭,运行->gpedit.msc->计算机配置->管理模板->网络->DNS客户端->关闭多播名称解析->启用

网络限制

操作目的

网络访问限制

加固方法

“Win+R”键调出“运行”->secpol.msc ->安全设置->本地策略->安全选项

网络访问: 不允许 SAM 帐户的匿名枚举:已启用

网络访问: 不允许 SAM 帐户和共享的匿名枚举:已启用

网络访问: 将 Everyone权限应用于匿名用户:已禁用

帐户: 使用空密码的本地帐户只允许进行控制台登录:已启用

备注

“Win+R”键调出“运行”->gpupdate /force立即生效

远程访问

一定要使用高强度密码

更改远程终端默认端口号

步骤:

1.防火墙中设置

1.控制面板——windows防火墙——高级设置——入站规则——新建规则——端口——特定端口tcp(如13688)——允许连接 2.完成以上操作之后右击该条规则作用域——本地ip地址——任何ip地址——远程ip地址——下列ip地址—— 添加管理者ip 同理其它端口可以通过此功能对特定网段屏蔽(如80端口)。

请注意:不是专线的网络的IP地址经常变,不适合限定IP。

2.运行regedit 2.[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\Wds \rdpwd\Tds \tcp] 和 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\TerminalServer\WinStations\RDP-TCP],看见PortNamber值了吗?其默认值是3389,修改成所希望的端口即可,例如13688

3.[HKEY_LOCAL_MACHINE\SYSTEM\CurrentContro1Set\Control\Tenninal Server\WinStations\ RDP\Tcp],将PortNumber的值(默认是3389)修改成端口13688(自定义)。

4.重新启动电脑,以后远程登录的时候使用端口13688就可以了。

文件系统

检查Everyone权限

操作目的

增强Everyone权限

加固方法

鼠标右键系统驱动器(磁盘)->“属性”->“安全”,查看每个系统驱动器根目录是否设置为Everyone有所有权限

删除Everyone的权限或者取消Everyone的写权限

备注

NTFS权限设置

注意:

1、2008 R2默认的文件夹和文件所有者为TrustedInstaller,这个用户同时拥有所有控制权限。 2、注册表同的项也是这样,所有者为TrustedInstaller。 3、如果要修改文件权限时应该先设置 管理员组 administrators 为所有者,再设置其它权限。 4、如果要删除或改名注册表,同样也需先设置 管理员组 为所有者,同时还要应该到子项,直接删除当前项还是删除不掉时可以先删除子项后再删除此项。

步骤:

C盘只给administrators 和system权限,其他的权限不给,其他的盘也可以这样设置(web目录权限依具体情况而定)这里给的system权限也不一定需要给,只是由于某些第三方应用程序是以服务形式启动的,需要加上这个用户,否则造成启动不了。Windows目录要加上给users的默认权限,否则ASP和ASPX等应用程序就无法运行(如果你使用IIS的话,要引用windows下的dll文件)。c:/user/ 只给administrators 和system权限
日志和授权

增强日志

操作目的

增大日志量大小,避免由于日志文件容量过小导致日志记录不全

加固方法

“Win+R”键调出“运行”->eventvwr.msc ->“windows日志”->查看“应用程序”“安全”“系统”的属性

建议设置:

日志上限大小:20480 KB

Windows server 2008 R2默认就是这样设置的

备注

增强审核

操作目的

对系统事件进行审核,在日后出现故障时用于排查故障

加固方法

“Win+R”键调出“运行”->secpol.msc ->安全设置->本地策略->审核策略

建议设置:

审核策略更改:成功

审核登录事件:成功,失败

审核对象访问:成功

审核进程跟踪:成功,失败

审核目录服务访问:成功,失败

审核系统事件:成功,失败

审核帐户登录事件:成功,失败

审核帐户管理:成功,失败

备注

“Win+R”键调出“运行”->gpupdate /force立即生效

授权

进入“控制面板->管理工具->本地安全策略”,在“本地策略->用户权利指派”:

把“关闭系统”设置为“只指派给Administrators组”

把 “从远端系统强制关机”设置为“只指派Administrators组”

设置“取得文件或其它对象的所有权”设置为“只指派给Administrators组

×××保护关闭ICMP

也就是平时说的PING,让别人PING不到服务器,减少不必要的软件扫描麻烦。

在服务器的控制面板中打开 windows防火墙 , 点击 高级设置:

点击 入站规则 ——找到 文件和打印机共享(回显请求 - ICMPv4-In) ,启用此规则即是开启ping,禁用此规则IP将禁止其他客户端ping通,但不影响TCP、UDP等连接。

应用服务安全

IISweb.config配置不能返回详细的应用异常

<customErrors>标记的“mode”属性不能设置为“Off”,这样用户能看到异常详情。

在IIS角色服务中去掉目录浏览、 ASP、CGI、在服务器端包含文件

IIS用户

匿名身份验证不能使用管理员账号,得使用普通用户账号

原文地址:http://blog.51cto.com/13753419/2130540

时间: 2024-10-07 18:17:02

阿里云ECSwindows server 2008服务器安全设置的相关文章

阿里云Windows server 2008服务器搭建VPN 图文教程,购买境外服务器自建vpn,Win8/win10 连接VPN被阻止,出现812错误解决方法

阿里云Windows server 2008服务器搭建VPN 图文教程(超详细) 第一步:购买阿里云服务器,本文使用的是Windows Server 2008 R2 企业版64位中文版 IP地址:47.88.151.129,所属节点:亚太(新加坡) 服务器配置:2核,4GB,带宽10Mbps 第二步: 打开服务器管理器,点击添加角色,如下图: 本帖隐藏的内容然后弹出如下图所示,点击下一步: 点击后,如下图,勾选网络策略和网络服务,然后点击下一步: 接着继续点击下一步,直到弹出如下图所示的页面,勾

服务器Windows Server 2008 远程控制安全设置技巧

为了保障服务器远程控制操作的安全性,Windows Server 2008系统特意在这方面进行了强化,新推出了许多安全防范功能,不过有的功能在默认状态下并没有启用,这需要我们自行动手,对该系统进行合适设置,才能保证远程控制Windows Server 2008服务器系统的安全性. 1.只允许指定人员进行远程控制 如果允许任何一位普通用户随意对Windows Server 2008服务器系统进行远程控制时,那该服务器系统的安全性肯定很难得到有效保证.有鉴于此,我们可以对Windows Server

阿里云windows server 2012 TIME_WAIT CLOSE_WAIT

新申请的阿里云windows server 2012 R2上部署安装了socket服务器,但客户端连接后老是断开(心跳包没有),服务假死(服务不断也走),客户端申请连接会也会死在cmd下输入指令 netstat -ano | findstr 10001 可以看到对应端口TIME_WAIT CLOSE_WAIT服务端解决办法是修改注册表HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services/Tcpip/Parameters,添加名为TcpTimed

Microsoft server 2008服务器搭建~

搭建服务器 最近自己要搭建一个服务器,公司给我台式机,让我做服务器,这可难倒我了,我以前都是用的别人的服务器,没关系,自己百度,就可以了. (1).准备Microsoft server 2008 R2的光盘: (2).格式化台式机硬盘,也就是说,以前台式机装的是xp或者win7系统,现在要换成服务器了,就必须安装服务器的系统,服务器系统有linux和Microsoft,我们用的是 Microsoft server 2008服务器. (3).自己安装百度下连接:http://jingyan.bai

阿里云主机Windows 2008 32位 64位自助正版激活图文教程

这篇文章主要介绍了阿里云主机Windows 2008 32位 64位自助正版激活图文教程,本文讲解详细,图文说明自助激活Windows正版教程,需要的朋友可以参考下 Windows2008 32位.64位 中文版操作系统,自助激活Windows正版,远程登录服务器后: 1.开始——运行 2.在运行里面输入cmd. 系统会跳出如下窗口: 3.输入slmgr   -skms   kms.aliyun-inc.com 4.输入slmgr -ato 5.完成

配置SQL Server 2008服务器

怎么配置SQL Server 2008服务器_百度经验 http://jingyan.baidu.com/article/9faa7231a922c1473c28cb23.html 1.验证安装是否成功 1 通常情况下,如果安装过程中没有出现错误提示,既可以认为安装成功.但是,为了检验安装是否正确,也可以采用一些验证方法.例如,可以检查SQL Server 2008的服务和工具是否存在,应该自动生成的系统共数据库和样本数据库是否存在,以及有关文件和目录是否正确等. 2 安装之后,选择[开始菜单]

SQL SERVER 2008 服务器登录名、角色,数据库用户、角色、架构知识点总结

SQL SERVER 2008 服务器登录名.角色,数据库用户.角色.架构的关系可以用下面一张图表示: 用例过程如下: 新建服务器登录名: 登录名角色选定: 新建数据库DB1: 然后新建数据库架构Schema1 再新建数据库用户名  User1 服务器登录名属于某组服务器角色:服务器登录名需要于数据库的用户映射后才拥有操作数据库的权限数据库用户属于某组数据库角色以获取操作数据库的权限数据库角色拥有对应的数据库架构,数据库用户可以通过角色直接拥有架构 服务器角色 public sysadmin--

Windows server 2008常用优化设置

1. 如何取消开机按 CTRL+ALT+DEL登录? 控制面板→管理工具→本地安全策略→本地策略→安全选项→交互式登录:无须按CTRL+ALT+DEL→启用. 2. 如何取消关机时出现的关机理由选择项? 开始→运行gpedit.msc →计算机配置→管理模板→系统→显示“关闭事件跟踪程序”→禁用. 3. 如何实现自动登录? 开始→运行→输入“control userpasswords2”命令打开用户帐户窗口,先选中要自动登陆的账户,去选“要使用本机,用户必须输入用户名密码”复选框,输入该帐户的密

使用Navicat或者其他数据库工具连接阿里云EDS(数据库服务器)实例过程详解

使用Navicat或者其他数据库工具连接阿里云EDS(数据库服务器)实例过程详解 背景:这几天从阿里云上面购买了云服务器,最垃圾的那种,还送oss和EDS数据库服务器,只不过EDS数据库服务器只有一个月的,就主动升级为一年的,49还是59忘了.对于配置这种EDS过程中,产生的一个念头就是:大厂就是大厂,考虑到用户使用产品的各个方面,都给你解释的清清楚楚,安排的明明白白的.所以,完全可以按照官方给的文档数据库权限用户和创建数据库和表,并使用Navicat连接到远程服务器 自己写文档不给官方文档,实