专栏首页产品体验优化私房菜课程Windows服务器安全加固10条建议
原创

Windows服务器安全加固10条建议

上节我们介绍了“Linux安全加固10条建议”本节我们继续看Windows服务器安全加过10条建议。

以下是笔者刚在网上找到的一份2016年的服务器操作系统市场份额数据(https://shuhari.dev/blog/2019/7/win-server-not-dominated) 可以看到Windows服务器操作系统市场份额是比较高的。 但据我个人了解国内互联网公司的服务器市场Linux操作系统的份额要远远高于Windows服务器 ,主要原因是Linux开源免费,可以根据自己的业务进行量身定制。

Spiceworks报道的2016年服务器操作系统市场份额

相比Linux服务器Windows服务器也是有很庞大的用户群体,从国内使用Windows操作系统的用户看主要通过Windows服务器建站和存放数据等。去年“Windows远程桌面代码执行漏洞也影响了很大的一批用户,这里我们来介绍一下如何加固我们的Windows服务器安全。

本文以腾讯云的Windows server 2012R2 作为测试环境。

1) 设置复杂密码

服务器设置大写、小写、特殊字符、数字组成的12-16位的复杂密码 ,也可使用密码生成器自动生成复杂密码,这里给您一个链接参考:https://suijimimashengcheng.51240.com/

2) 更改 3389 远程登录端口

  • 先选择开始-->运行,输入regedit,点击确认,打开注册表,然后找到路径[HKEY_LOCAL_MACHINE\SYSTEM\CurrentContro1Set\Control\Tenninal Server\WinStations\RDP-Tcp],到PortNamber,然后右键–>修改,选择到十进制,你就会看到现在您使用的端口号(默认值是3389),然后修改为您想要使用的端口就可以了,如3390,但是不要选择一些我们常用的端口或者您的软件需要使用的端口,否则会出现端口冲突。
  • [HKEY_LOCAL_MACHINE\SYSTEM \CurrentControlSet\Control\Terminal Server\Wds\rdpwd\Tds\tcp],也是找到PortNumber,同上面一样修改一下端口值3390就可以了

注意:修改完毕后,重启服务器,才会生效。 以下为3389端口登录工具介绍:

3)腾讯云平台安全组功能

腾讯云平台有安全组功能,里面您只需要放行业务协议和端口,不建议放行所有协议所有端口,参考文档: https://cloud.tencent.com/document/product/215/20398

4) 帐户锁定策略

对于采用静态口令认证技术的设备,应配置当用户连续认证失败次数超过10次后,锁定该用户使用的帐户。

操作步骤

打开 控制面板 > 管理工具 > 本地安全策略,在 帐户策略 > 帐户锁定策略 中,配置 帐户锁定阈值 不大于10次。

帐户锁定策略

5)账户安全

Windows服务器一般默认情况下会禁用guest账户,同时服务器只保留guest(禁用状态)和administrator(管理员)账户。

  • 禁用Guest账户。
  • 禁用或删除其他无用账户(建议先禁用账户三个月,待确认没有问题后删除。)

操作步骤

打开 控制面板 > 管理工具 > 计算机管理,在 系统工具 > 本地用户和组 > 用户 中,双击 Guest 帐户,在属性中选中 帐户已禁用,单击 确定。

账户安全

6) 不显示最后的用户名

配置登录登出后,不显示用户名称。

操作步骤:

打开 控制面板 > 管理工具 > 本地安全策略,在 本地策略 > 安全选项 中,双击 交互式登录:不显示最后的用户名,选择 已启用 并单击 确定。

不显示最后的用户名

7) 授权

远程关机

在本地安全设置中,从远端系统强制关机权限只分配给Administrators组。

操作步骤

打开 控制面板 > 管理工具 > 本地安全策略,在 本地策略 > 用户权限分配 中,配置 从远端系统强制关机 权限只分配给Administrators组。

从远端系统强制关机

本地关机

在本地安全设置中关闭系统权限只分配给Administrators组。

操作步骤

打开 控制面板 > 管理工具 > 本地安全策略,在 本地策略 > 用户权限分配 中,配置 关闭系统 权限只分配给Administrators组。

用户权限指派

在本地安全设置中,取得文件或其它对象的所有权权限只分配给Administrators组。

操作步骤

打开 控制面板 > 管理工具 > 本地安全策略,在 本地策略 > 用户权限分配 中,配置 取得文件或其它对象的所有权 权限只分配给Administrators组。

授权帐户登录

在本地安全设置中,配置指定授权用户允许本地登录此计算机。

操作步骤

打开 控制面板 > 管理工具 > 本地安全策略,在 本地策略 > 用户权限分配 中,配置 允许本地登录 权限给指定授权用户。

授权帐户从网络访问

在本地安全设置中,只允许授权帐号从网络访问(包括网络共享等,但不包括终端服务)此计算机。

操作步骤

打开 控制面板 > 管理工具 > 本地安全策略,在 本地策略 > 用户权限分配 中,配置 从网络访问此计算机 权限给指定授权用户。

8) 日志配置操作

日志配置

审核登录

设备应配置日志功能,对用户登录进行记录。记录内容包括用户登录使用的帐户、登录是否成功、登录时间、以及远程登录时、及用户使用的IP地址。

操作步骤

打开 控制面板 > 管理工具 > 本地安全策略,在 本地策略 > 审核策略 中,设置 审核登录事件。

审核策略

启用本地安全策略中对Windows系统的审核策略更改,成功和失败操作都需要审核。

操作步骤

打开 控制面板 > 管理工具 > 本地安全策略,在 本地策略 > 审核策略 中,设置 审核策略更改。

审核对象访问

启用本地安全策略中对Windows系统的审核对象访问,成功和失败操作都需要审核。

操作步骤

打开 控制面板 > 管理工具 > 本地安全策略,在 本地策略 > 审核策略 中,设置 审核对象访问。

审核事件目录服务访问

启用本地安全策略中对Windows系统的审核目录服务访问,仅需要审核失败操作。

操作步骤

打开 控制面板 > 管理工具 > 本地安全策略,在 本地策略 > 审核策略 中,设置 审核目录服务器访问。

审核特权使用

启用本地安全策略中对Windows系统的审核特权使用,成功和失败操作都需要审核。

操作步骤

打开 控制面板 > 管理工具 > 本地安全策略,在 本地策略 > 审核策略 中,设置 审核特权使用。

审核系统事件

启用本地安全策略中对Windows系统的审核系统事件,成功和失败操作都需要审核。

操作步骤

打开 控制面板 > 管理工具 > 本地安全策略,在 本地策略 > 审核策略 中,设置 审核系统事件。

审核帐户管理

启用本地安全策略中对Windows系统的审核帐户管理,成功和失败操作都要审核。

操作步骤

打开 控制面板 > 管理工具 > 本地安全策略,在 本地策略 > 审核策略 中,设置 审核帐户管理。

审核过程追踪

启用本地安全策略中对Windows系统的审核进程追踪,仅失败操作需要审核。

操作步骤

打开 控制面板 > 管理工具 > 本地安全策略,在 本地策略 > 审核策略 中,设置 审核进程追踪。

9) 备份重要数据

10) 其他配置

防病毒管理

Windows系统需要安装防病毒软件。如安装“腾讯管家”预防病毒或及时的漏洞更新。

漏洞相关

详细见 https://console.cloud.tencent.com/ssav2/vulner

设置屏幕保护密码和开启时间

设置从屏幕保护恢复时需要输入密码,并将屏幕保护自动开启时间设定为五分钟。

操作步骤

启用屏幕保护程序,设置等待时间为 5分钟,并启用 在恢复时使用密码保护。

限制远程登录空闲断开时间

对于远程登录的帐户,设置不活动超过时间15分钟自动断开连接。

操作步骤

打开 控制面板 > 管理工具 > 本地安全策略,在 本地策略 > 安全选项 中,设置 Microsoft网络服务器:暂停会话前所需的空闲时间数量 属性为15分钟。

参考资料

Windows操作系统安全加固: https://help.aliyun.com/knowledge_detail/49781.html

原创声明,本文系作者授权云+社区发表,未经许可,不得转载。

如有侵权,请联系 yunjia_community@tencent.com 删除。

我来说两句

0 条评论
登录 后参与评论

相关文章

  • 腾讯云“对等连接”应用

    本文章提供视频讲解与演示,详细见B站地址:https://www.bilibili.com/video/BV1bv41167XT

    研究僧
  • 如何避免你的问题烂尾

    本节主要介绍我在工作中遇到了什么问题,遇到问题后我们如何去解决的思考过程,同时下文结合了《提问的智慧》(https://www.jianshu.com/p/1b...

    研究僧
  • 腾讯云-如何购买云资源最划算

    所以让我们带着这些问题看如何购买云资源最划算,不同的购买方式适用的场景又如何和如何避免购买时的一些“坑”。

    研究僧
  • 8个应用案例告诉你,机器学习都能做什么?

    导读:预测学习是当今机器学习的主要任务。本文中,我们将介绍两个主要的预测学习问题:回归和分类。它们适用于很多场景和数据类型。此外,精心设计的特征对回归和分类方案...

    华章科技
  • Vue.js 入门

    背景 为了学习spring,准备写一个通讯录demo,实现增删改查功能。 前端页面同事推荐用vue.js,因为简单快速,当然前提是基于你对前端的html,css...

    千往
  • 一条数据狗的上海房价研究

    年初上海的房价一夜沸腾,到处都是月上涨百万的房子和日跳价十万的交易,以及人满为患的房地产交易中心。上月某日我打开滴滴快车,刚输入虹口,居然发现自动补出“虹口区房...

    华章科技
  • 你是如何对待你的猪队友的?

    可是,在职场中遇着猪队友可不是闹着玩的。由于猪队友的拖累,一个部门、一个团队有可能完成不了既定的任务,那就是影响部门或团队KPI的事情了。你在工作中有遇到猪队友...

    IT故事会
  • SpringMVC基本使用关于DisptacherServlet关于ServletContainerInitializer最简单配置接收参数路径变量表单变量

    springMVC是一个MVC框架,他控制着请求相应的整个流程,从请求一进入到应用服务器到相应离开,都离不开mvc框架 请求在应用服务器中 先说说请求相应在应用...

    用户1174983
  • bootstrap3 css样式

    <p class="lead"> Packtís mission is to help the world put software to work in n...

    用户5760343
  • await和async的机制

    当await 会使程序阻塞,等待程序的返回值,异步的程序返回值获取后,才会向下运行。

    多凡

扫码关注云+社区

领取腾讯云代金券