新浦京81707con > 功能介绍 > R2常规安全设置及基本安全策略,服务器系统安全

原标题:R2常规安全设置及基本安全策略,服务器系统安全

浏览次数:137 时间:2019-07-17

一.更改终端默许端口号

主机安全

用的Tencent云最早选购的时候悲催的独有Windows Server 2009昂科拉2的连串,原本平素用的Windows Server 二〇〇〇对二〇〇八用起来还不是极度自如,对于某些主导设置及主干安全计谋,在英特网搜了一晃,整理大约有以下16个地方,假设有没说起的企盼大家踊跃提议哈!

步骤:

启用防火墙
Ali云windows Server 二零零六Evoque2暗中认可居然没有启用防火墙。二〇一三或然也是这么的,然而这一个必须要检查!

比较关键的几部

1.运行regedit 2.[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlTerminal ServerWds rdpwdTds tcp],看见PortNamber值了啊?其暗中同意值是3389,修改成所梦想的端口就可以,比方12345 3.[HKEY_LOCAL_MACHINESYSTEMCurrentContro1SetControlTenninal ServerWinStations RDPTcp],将PortNumber的值(暗中认可是3389)修改成端口12345(自定义)。

补丁更新
启用windows更新服务,设置为自动更新状态,以便及时打补丁。不要用360了,360安然无事警卫不帮助二零一零补丁的装置

1.更换暗中认可administrator用户名,复杂密码
2.开启防火墙
3.设置杀毒软件

4.防火墙中设置ipsec 编辑准绳修改达成,重新开动计算机,以后远程登入的时候使用端口12345就能够了。

Ali云windows Server 2008XC902默感觉自动更新状态,2011只怕也是如此的,可是这么些须求求反省!

1)新做系统必要求先打上补丁
2)安装要求的杀毒软件
3)删除系统暗中同意分享

二.NTFS权限设置

账号口令

4)修改本地计谋——>安全选项
交互式登录:不展现最终的用户名 启用
互联网访问:不允许SAM 帐户和共享的无名枚举 启用
互连网访谈: 不允许存储网络身份验证的凭证或 .NET Passports 启用
网络访谈:可长途访谈的注册表路线和子路线 全体剔除
5)禁止使用不须求的服务
TCP/IP NetBIOS Helper、Server、 Distributed Link Tracking Client 、Print Spooler、Remote Registry、Workstation
6)禁用IPV6

注意:

优化账号

server 二〇〇八 r2交互式登入: 不显得最终的用户名

1、2009帕杰罗2私下认可的文件夹和文书全体者为TrustedInstaller,这么些用户同有的时候候兼有富有调控权限。 2、注册表同的项也是如此,全数者为TrustedInstaller。 3、倘若要修改文件权限制期限应有先安装 管理员组 administrators 为主人,再设置任何权限。 4、如若要去除或改名注册表,一样也需先安装 管理员组 为主人,同一时间还要应该到子项,

操作目的

减少系统无用账号,降低风险

加固方法

“Win R”键调出“运行”->compmgmt.msc(计算机管理)->本地用户和组。

1、删除不用的账号,系统账号所属组是否正确。云服务刚开通时,应该只有一个administrator账号和处于禁用状态的guest账号;

2、确保guest账号是禁用状态

3、买阿里云时,管理员账户名称不要用administrator

备注

 

其实最重要的就是敞开防火墙 服务器安全狗(安全狗自带的有个别职能基本上都安装的多数了) mysql(sqlserver)低权限运转基本上就基本上了。3389长途登入,必须求界定ip登陆。

直白删除当前项 依然删除不掉时能够先删除子项后再删除此项

口令战术

一、系统及程序

步骤:

操作目的

增强口令的复杂度及锁定策略等,降低被暴力破解的可能性

加固方法

“Win R”键调出“运行”->secpol.msc (本地安全策略)->安全设置

1、账户策略->密码策略

密码必须符合复杂性要求:启用

密码长度最小值:8个字符

密码最短使用期限:0天

密码最长使用期限:90天

强制密码历史:1个记住密码

用可还原的加密来存储密码:已禁用

2、本地策略->安全选项

交互式登录:不显示最后的用户名:启用

备注

“Win R”键调出“运行”->gpupdate /force立即生效

1、显示屏爱戴与电源

1.C盘只给administrators 和system权限,其他的权限不给,别的的盘也得以这么设置(web目录权限依具体情状而定)
2.那边给的system权限也不必然要求给,只是由于一些第三方应用程序是以劳动格局运维的,要求增加这一个用户,不然产生运转不了。

互连网服务

桌面右键--〉性格化--〉显示屏珍重程序,荧屏珍重程序 选取无,退换电源设置 选取高品质,选取关闭显示屏的时间 关闭显示屏 选 从不 保存修改

Windows目录要加上给users的暗中同意权限,不然ASP和ASPX等应用程序就不恐怕运营(要是您利用IIS的话,要引用windows下的dll文件)。

优化服务(1)

2、配置IIS7组件、FTP7、php 5.5.7、mysql 5.6.15、phpMyAdmin 4.1.8、phpwind 9.0、ISAPI_Rewrite情况。在此处自身给大家能够推荐下Ali云的服务器一键条件布署,全自动安装设置很不利的。点击查阅地址

3.c:/user/ 只给administrators 和system权限

操作目的

关闭不需要的服务,减小风险

加固方法

“Win R”键调出“运行”->services.msc,以下服务改为禁用:

Application  Layer Gateway Service(为应用程序级协议插件提供支持并启用网络/协议连接)

Background  Intelligent Transfer Service(利用空闲的网络带宽在后台传输文件。如果服务被停用,例如Windows Update 和 MSN Explorer的功能将无法自动下载程序和其他信息)

Computer Browser(维护网络上计算机的更新列表,并将列表提供给计算机指定浏览)

DHCP Client

Diagnostic Policy Service

Distributed Transaction Coordinator

DNS Client

Distributed Link Tracking Client

Remote Registry(使远程用户能修改此计算机上的注册表设置)

Print Spooler(管理所有本地和网络打印队列及控制所有打印工作)

Server(不使用文件共享可以关闭,关闭后再右键点某个磁盘选属性,“共享”这个页面就不存在了)

Shell Hardware Detection

TCP/IP NetBIOS Helper(提供 TCP/IP (NetBT) 服务上的NetBIOS 和网络上客户端的NetBIOS 名称解析的支持,从而使用户能够共享文件、打印和登录到网络)

Task Scheduler(使用户能在此计算机上配置和计划自动任务)

Windows Remote Management(47001端口,Windows远程管理服务,用于配合IIS管理硬件,一般用不到)

Workstation(创建和维护到远程服务的客户端网络连接。如果服务停止,这些连接将不可用)

备注

用服务需谨慎,特别是远程计算机

二、系统安全配置

三.剔除私下认可分享

优化服务(2)

1、目录权限

步骤:

在"网络连接"里,把不须要的商业事务和劳务都移除
  去掉Qos数据包布署程序

除系统所在分区之外的有所分区都给予Administrators和SYSTEM有一起调控权,之后再对其下的子目录作单独的目录权限

1.开荒dos,net share 查看暗许分享
2.新建文本文档输入指令

  关闭Netbios服务(关闭139端口)

2、远程连接

net share c$ /del net share d$ /del //如有E盘可再增多私下认可分享名均为c$、d$等
net share IPC$ /del net share admin$ /del 另存为sharedelte.bat

网络连接->本地连接->属性->Internet协议版本 4->属性->高等->WINS->禁止使用TCP/IP上的NetBIOS。

笔者的计算机属性--〉远程设置--〉远程--〉只允许运营带网络一级身份验证的远程桌面的微管理器连接,选择允许运转自便版本远程桌面包车型地铁管理器连接(较不安全)。备注:方便多样本子Windows远程管理服务器。windows server 2010的远程桌面连接,与二零零四相比,引进了互连网级身份验证(NLA,network level authentication),XP SP3不帮忙这种互连网级的身份验证,vista跟win7帮助。然则在XP系统中期维修改一下注册表,就能够让XP SP3支持网络级身份验证。HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlLsa在右窗口中双击Security Pakeages,增添一项“tspkg”。HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlSecurityProviders,在右窗口中双击SecurityProviders,增多credssp.dll;请留神,在加上那项值时,一定要在原来的值后增多逗号后,别忘了要空一格(藏语状态)。然后将XP系统重启一下就可以。再查看一下,就可以开掘XP系统现已帮衬互联网级身份验证

3.运行gpedit.msc,展开windous设置—脚本(启动关机)—运维)—右键属性—增多sharedelte.bat

证实:关闭此功效,你服务器上保有分享服务职能都将闭馆,外人在财富管理器上将看不到你的分享财富。那样也幸免了消息的透漏。

3、修改远程访谈服务端口

同理可编写制定其余准则

  Microsoft互连网的文本和打印机共享

转移远程连接端口方法,可用windows自带的计算器将10进制转为16进制。退换3389端口为8208,重启生效!

四.ipsec策略
以长途终端为例1.调节面板——windows防火墙——高等设置——入站准则——新建法规——端口——特定端口tcp(如3389)——允许连接 2.做到上述操作之后右击该条法则作用域——本地ip地址——任何ip地址——远程ip地址——下列ip地址—— 增多处理者ip 同理别的端口能够透过此功用对特定网段屏蔽(如80端口)

互连网连接->本地连接->属性,把除了“Internet协议版本 4”以外的事物都勾掉。

Windows Registry Editor Version 5.00

图片 1

  ipv6协议

[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlTerminal ServerWdsrdpwdTdstcp]
"PortNumber"=dword:0002010

任何请参见win二〇〇一有惊无险优化

先关闭互联网连接->当地连接->属性->Internet协议版本 6 (TCP/IPv6)

[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlTerminal ServerWinStationsRDP-Tcp]
"PortNumber"=dword:00002010

Windows 2009 Enclave2服务器的三沙加固 补充

接下来再修改注册表:HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesTcpip6Parameters,扩充三个Dword项,名字:DisabledComponents,值:ffffffff(13人的8个f)

(1)在开班--运营菜单里,输入regedit,步入注册表编辑,按下边包车型大巴渠道步向修改端口的地点
(2)HKEY_LOCAL_MACHINESystemCurrentControlSetControlTerminal ServerWinStationsRDP-Tcp
(3)找到入手的 "PortNumber",用十进制方式呈现,默感觉3389,改为(比方)6666端口
(4)HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlTerminal ServerWdsrdpwdTdstcp
(5)找到出手的 "PortNumber",用十进制格局显示,默感觉3389,改为同上的端口
(6)在调控面板--Windows 防火墙--高等设置--入站准则--新建准绳
(7)选择端口--共同商议和端口--TCP/特定地点端口:同上的端口
(8)下一步,选择允许连接
(9)下一步,选取公用
(10)下一步,名称:远程桌面-新(TCP-In),描述:用于远程桌面服务的入站法规,以允许PRADODP通讯。[TCP 同上的端口]
(11)删除远程桌面(TCP-In)准绳
(12)重新开动Computer

前段时间托管了一台2U服务器到机房,安装的是Windows 2009系统,希图用IIS做web server,因而供给把没用的端口、服务关闭,减小危机。

重启服务器就可以关闭ipv6

4、配置本地连接

本身意识今后网络上有价值的事物实在是太少了,很几人都是转载来转发去,学而不思,未有点生物素。依旧要好计算总括吧,大概有以下几步:

  microsoft网络客户端(首即便为着访谈微软的网址)

互连网--〉属性--〉管理互连网连接--〉本地连接,展开“本地连接”分界面,选拔“属性”,左键点击“Microsoft互联网客户端”,再点击“卸载”,在弹出的对话框中“是”确认卸载。点击“Microsoft网络的文本和打印机分享”,再点击“卸载”,在弹出的对话框中精选“是”确认卸载。

1. 如何关掉IPv6?

关闭445端口
445端口是netbios用来在局域网内解析机器名的劳动端口,一般服务器没有必要对LAN开放什么分享,所以能够关闭。

免去Netbios和TCP/IP协议的绑定139端口:展开“本地连接”分界面,采取“属性”,在弹出的“属性”框中双击“Internet协议版本(TCP/IPV4)”,点击“属性”,再点击“高端”—“WINS”,选取“禁止使用TCP/IP上的NETBIOS”,点击“确认”并关闭本地连接属性。

这点国内国外网址上海南大学学多都有了共同的认识,都以根据上边两步来开始展览。据悉进行之后就剩本地换回路由还没安息。但关闭之后作者意识一些端口仍然同有时候监听ipv4和ipv6的端口,非常是135端口,已经把ipv4停歇了,ipv6竟然还开着。难以置信啊……

修改注册表:HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesNetBTParameters,则更是二个Dword项:SMBDeviceEnabled,值:0

明确命令禁止默许分享:点击“开头”—“运营”,输入“Regedit”,张开注册表编辑器,打开注册表项“HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServiceslanmanserverparameters”,在侧面的窗口中新建Dword值,名称设为AutoShareServer,值设为“0”。

先关闭网络连接->当地连接->属性->Internet协议版本 6 (TCP/IPv6)

关闭LLMNR(关闭5355端口)
什么是LLMNEvoque?本地链路多播名称分析,也叫多播DNS,用于分析本地网段上的名目,没啥用但还占着5355端口。

关闭 445端口:HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesNetBTParameters,新建 Dword(叁11个人)名称设为SMBDeviceEnabled 值设为“0”

接下来再修改注册表:HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesTcpip6Parameters,扩充叁个Dword项,名字:DisabledComponents,值:ffffffff(十几个人的8个f)

利用组攻略关闭,运维->gpedit.msc->Computer配置->管理模板->网络->DNS客户端->关闭多播名称深入分析->启用

5、分享和意识

重启服务器就可以关闭ipv6

网络范围

右键“互连网” 属性 互连网和分享中央  分享和开掘
闭馆,网络共享,文件共享,公用文件分享,打字与印刷机分享,显示本人正在共享的具有文件和文书夹,展现这台电脑上独具分享的互联网文件夹

2. 什么样关闭135端口?

操作目的

网络访问限制

加固方法

“Win R”键调出“运行”->secpol.msc ->安全设置->本地策略->安全选项

网络访问: 不允许 SAM 帐户的匿名枚举:已启用

网络访问: 不允许 SAM 帐户和共享的匿名枚举:已启用

网络访问: 将 Everyone权限应用于匿名用户:已禁用

帐户: 使用空密码的本地帐户只允许进行控制台登录:已启用

备注

“Win R”键调出“运行”->gpupdate /force立即生效

6、用防火墙限制Ping

本条破端口是RPC服务的端口,从前出过比很多标题,以往相似没啥漏洞了,但是依然惊弓之鸟啊,想关的如此关:

长距离访问

网络协考查吧,ping依旧常事供给选取的

始发->运营->dcomcnfg->组件服务->Computer->小编的计算机->属性->暗中同意属性->关闭“在此计算机上启用分布式COM”->默许协议->移除“面向连接的TCP/IP”

必供给运用高强度密码

7、防火墙的安装

而是以为做了以上的操作还是能来看135在Listen状态,还足以尝试这样。

转移远程终端暗中同意端口号

调节面板→Windows防火墙设置→改变设置→例外,勾选FTP、HTTP、远程桌面服务 宗旨网络

本文由新浦京81707con发布于功能介绍,转载请注明出处:R2常规安全设置及基本安全策略,服务器系统安全

关键词: 新浦京81707con

上一篇:独立主机Udp发包处理流程

下一篇:没有了