最近我們立方技術工作室在使用阿里雲的過程中,發現服務器安全性也不是很高,而服務端的安全軟件都很貴。爲了爲朋友們提供更加有效的解決方案,我們決定身體力行,高築牆,大幅度提升服務器的安全防護級別!
主機安全
啓用防火牆
阿里雲windows Server 2008 R2默認居然沒有啓用防火牆。2012可能也是這樣的,不過這個一定要檢查!
補丁更新
啓用windows更新服務,設置爲自動更新狀態,以便及時打補丁。
阿里雲windows Server 2008 R2默認爲自動更新狀態,2012可能也是這樣的,不過這個一定要檢查!
賬號口令
優化賬號
操作目的 | 減少系統無用賬號,降低風險 |
加固方法 | “Win+R”鍵調出“運行”->compmgmt.msc(計算機管理)->本地用戶和組。 1、刪除不用的賬號,系統賬號所屬組是否正確。雲服務剛開通時,應該只有一個administrator賬號和處於禁用狀態的guest賬號; 2、確保guest賬號是禁用狀態 3、買阿里雲時,管理員賬戶名稱不要用administrator |
備註 |
口令策略
操作目的 | 增強口令的複雜度及鎖定策略等,降低被暴力破解的可能性 |
加固方法 | “Win+R”鍵調出“運行”->secpol.msc (本地安全策略)->安全設置 1、賬戶策略->密碼策略 密碼必須符合複雜性要求:啓用 密碼長度最小值:8個字符 密碼最短使用期限:0天 密碼最長使用期限:90天 強制密碼歷史:1個記住密碼 用可還原的加密來存儲密碼:已禁用 2、本地策略->安全選項 交互式登錄:不顯示最後的用戶名:啓用 |
備註 | “Win+R”鍵調出“運行”->gpupdate /force立即生效 |
網絡服務
優化服務(1)
操作目的 | 關閉不需要的服務,減小風險 |
加固方法 | “Win+R”鍵調出“運行”->services.msc,以下服務改爲禁用: Application Layer Gateway Service(爲應用程序級協議插件提供支持並啓用網絡/協議連接) Background Intelligent Transfer Service(利用空閒的網絡帶寬在後臺傳輸文件。如果服務被停用,例如Windows Update 和 MSN Explorer的功能將無法自動下載程序和其他信息) Computer Browser(維護網絡上計算機的更新列表,並將列表提供給計算機指定瀏覽) DHCP Client Diagnostic Policy Service Distributed Transaction Coordinator DNS Client Distributed Link Tracking Client Remote Registry(使遠程用戶能修改此計算機上的註冊表設置) Print Spooler(管理所有本地和網絡打印隊列及控制所有打印工作) Server(不使用文件共享可以關閉,關閉後再右鍵點某個磁盤選屬性,“共享”這個頁面就不存在了) Shell Hardware Detection TCP/IP NetBIOS Helper(提供 TCP/IP (NetBT) 服務上的NetBIOS 和網絡上客戶端的NetBIOS 名稱解析的支持,從而使用戶能夠共享文件、打印和登錄到網絡) Task Scheduler(使用戶能在此計算機上配置和計劃自動任務) Windows Remote Management(47001端口,Windows遠程管理服務,用於配合IIS管理硬件,一般用不到) Workstation(創建和維護到遠程服務的客戶端網絡連接。如果服務停止,這些連接將不可用) |
備註 | 用服務需謹慎,特別是遠程計算機 |
優化服務(2)
在"網絡連接"裏,把不需要的協議和服務都移除
去掉Qos數據包計劃程序
關閉Netbios服務(關閉139端口)
網絡連接->本地連接->屬性->Internet協議版本 4->屬性->高級->WINS->禁用TCP/IP上的NetBIOS。
說明:關閉此功能,你服務器上所有共享服務功能都將關閉,別人在資源管理器中將看不到你的共享資源。這樣也防止了信息的泄露。
Microsoft網絡的文件和打印機共享
網絡連接->本地連接->屬性,把除了“Internet協議版本 4”以外的東西都勾掉。
ipv6協議
先關閉網絡連接->本地連接->屬性->Internet協議版本 6 (TCP/IPv6)
然後再修改註冊表:HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip6\Parameters,增加一個Dword項,名字:DisabledComponents,值:ffffffff(十六位的8個f)
重啓服務器即可關閉ipv6
microsoft網絡客戶端(主要是爲了訪問微軟的網站)
關閉445端口
445端口是netbios用來在局域網內解析機器名的服務端口,一般服務器不需要對LAN開放什麼共享,所以可以關閉。
修改註冊表:HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NetBT\Parameters,則更加一個Dword項:SMBDeviceEnabled,值:0
關閉LLMNR(關閉5355端口)
什麼是LLMNR?本地鏈路多播名稱解析,也叫多播DNS,用於解析本地網段上的名稱,沒啥用但還佔着5355端口。
使用組策略關閉,運行->gpedit.msc->計算機配置->管理模板->網絡->DNS客戶端->關閉多播名稱解析->啓用
網絡限制
操作目的 | 網絡訪問限制 |
加固方法 | “Win+R”鍵調出“運行”->secpol.msc ->安全設置->本地策略->安全選項 網絡訪問: 不允許 SAM 帳戶的匿名枚舉:已啓用 網絡訪問: 不允許 SAM 帳戶和共享的匿名枚舉:已啓用 網絡訪問: 將 Everyone權限應用於匿名用戶:已禁用 帳戶: 使用空密碼的本地帳戶只允許進行控制檯登錄:已啓用 |
備註 | “Win+R”鍵調出“運行”->gpupdate /force立即生效 |
絡限制
操作目的 | 網絡訪問限制 |
加固方法 | “Win+R”鍵調出“運行”->secpol.msc ->安全設置->本地策略->安全選項 網絡訪問: 不允許 SAM 帳戶的匿名枚舉:已啓用 網絡訪問: 不允許 SAM 帳戶和共享的匿名枚舉:已啓用 網絡訪問: 將 Everyone權限應用於匿名用戶:已禁用 帳戶: 使用空密碼的本地帳戶只允許進行控制檯登錄:已啓用 |
備註 | “Win+R”鍵調出“運行”->gpupdate /force立即生效 |
遠程訪問
一定要使用高強度密碼
更改遠程終端默認端口號
步驟:
1.防火牆中設置
1.控制面板——windows防火牆——高級設置——入站規則——新建規則——端口——特定端口tcp(如13688)——允許連接 2.完成以上操作之後右擊該條規則作用域——本地ip地址——任何ip地址——遠程ip地址——下列ip地址—— 添加管理者ip 同理其它端口可以通過此功能對特定網段屏蔽(如80端口)。
請注意:不是專線的網絡的IP地址經常變,不適合限定IP。
2.運行regedit 2.[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\Wds \rdpwd\Tds \tcp] 和 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\TerminalServer\WinStations\RDP-TCP],看見PortNamber值了嗎?其默認值是3389,修改成所希望的端口即可,例如13688
3.[HKEY_LOCAL_MACHINE\SYSTEM\CurrentContro1Set\Control\Tenninal Server\WinStations\ RDP\Tcp],將PortNumber的值(默認是3389)修改成端口13688(自定義)。
4.重新啓動電腦,以後遠程登錄的時候使用端口13688就可以了。
文件系統
檢查Everyone權限
操作目的 | 增強Everyone權限 |
加固方法 | 鼠標右鍵系統驅動器(磁盤)->“屬性”->“安全”,查看每個系統驅動器根目錄是否設置爲Everyone有所有權限 刪除Everyone的權限或者取消Everyone的寫權限 |
備註 |
NTFS權限設置
注意:
1、2008 R2默認的文件夾和文件所有者爲TrustedInstaller,這個用戶同時擁有所有控制權限。 2、註冊表同的項也是這樣,所有者爲TrustedInstaller。 3、如果要修改文件權限時應該先設置 管理員組 administrators 爲所有者,再設置其它權限。 4、如果要刪除或改名註冊表,同樣也需先設置 管理員組 爲所有者,同時還要應該到子項,直接刪除當前項還是刪除不掉時可以先刪除子項後再刪除此項。
步驟:
C盤只給administrators 和system權限,其他的權限不給,其他的盤也可以這樣設置(web目錄權限依具體情況而定)
這裏給的system權限也不一定需要給,只是由於某些第三方應用程序是以服務形式啓動的,需要加上這個用戶,否則造成啓動不了。
Windows目錄要加上給users的默認權限,否則ASP和ASPX等應用程序就無法運行(如果你使用IIS的話,要引用windows下的dll文件)。
c:/user/ 只給administrators 和system權限
日誌和授權
增強日誌
操作目的 | 增大日誌量大小,避免由於日誌文件容量過小導致日誌記錄不全 |
加固方法 | “Win+R”鍵調出“運行”->eventvwr.msc ->“windows日誌”->查看“應用程序”“安全”“系統”的屬性 建議設置: 日誌上限大小:20480 KB Windows server 2008 R2默認就是這樣設置的 |
備註 |
增強審覈
操作目的 | 對系統事件進行審覈,在日後出現故障時用於排查故障 |
加固方法 | “Win+R”鍵調出“運行”->secpol.msc ->安全設置->本地策略->審覈策略 建議設置: 審覈策略更改:成功 審覈登錄事件:成功,失敗 審覈對象訪問:成功 審覈進程跟蹤:成功,失敗 審覈目錄服務訪問:成功,失敗 審覈系統事件:成功,失敗 審覈帳戶登錄事件:成功,失敗 審覈帳戶管理:成功,失敗 |
備註 | “Win+R”鍵調出“運行”->gpupdate /force立即生效 |
授權
進入“控制面板->管理工具->本地安全策略”,在“本地策略->用戶權利指派”:
把“關閉系統”設置爲“只指派給Administrators組”
把 “從遠端系統強制關機”設置爲“只指派Administrators組”
設置“取得文件或其它對象的所有權”設置爲“只指派給Administrators組
***保護
關閉ICMP
也就是平時說的PING,讓別人PING不到服務器,減少不必要的軟件掃描麻煩。
在服務器的控制面板中打開 windows防火牆 , 點擊 高級設置:
點擊 入站規則 ——找到 文件和打印機共享(回顯請求 - ICMPv4-In) ,啓用此規則即是開啓ping,禁用此規則IP將禁止其他客戶端ping通,但不影響TCP、UDP等連接。
應用服務安全
IIS
web.config配置不能返回詳細的應用異常
<customErrors>標記的“mode”屬性不能設置爲“Off”,這樣用戶能看到異常詳情。
在IIS角色服務中去掉目錄瀏覽、 ASP、CGI、在服務器端包含文件
IIS用戶
匿名身份驗證不能使用管理員賬號,得使用普通用戶賬號。