一名高级运维工程师,一台新服务器,安装windows系统后,在网络攻防(护网行动)形式下,应该怎么做安全加固?

发布于:2025-06-14 ⋅ 阅读:(29) ⋅ 点赞:(0)

网络安全。服务器安全是越来越多人以及企业关心的话题,今天我们就从四个方面讲一讲安全加固。

一、操作系统层面

(一)更新系统和安装补丁

  1. 连接到安全网络
    • 确保服务器连接到安全的网络环境,避免在公共网络或不安全的网络中进行更新操作。
  2. 打开Windows Update
    • 打开“控制面板”,选择“Windows Update”。
    • 在“Windows Update”窗口中,点击“检查更新”按钮。
    • 如果有可用的更新,点击“安装更新”并按照提示完成更新。
  3. 设置自动更新
    • 在“Windows Update”窗口中,点击“更改设置”。
    • 选择“自动安装更新(推荐)”,并确保“重要更新”和“可选更新”都已启用。
    • 点击“确定”保存设置。

(二)关闭不必要的服务和端口

  1. 关闭不必要的服务
    • 打开“运行”对话框(快捷键Win+R),输入services.msc并回车,打开“服务”管理器。
    • 在服务列表中,找到以下服务(根据实际需求选择关闭):
      • Remote Registry:右键点击,选择“属性”,在“启动类型”中选择“禁用”,点击“停止”按钮关闭服务。
      • Print Spooler:如果服务器不需要打印功能,同样将其“启动类型”设置为“禁用”,并停止服务。
      • 其他非必要服务:如“Telnet”、“Simple TCP/IP Services”等,根据业务需求判断是否关闭。
  2. 关闭不必要的端口
    • 打开“Windows Defender 防火墙”(可以通过“控制面板”进入)。
    • 在左侧菜单中选择“高级安全设置”。
    • 在“高级安全Windows Defender 防火墙”窗口中,选择“入站规则”或“出站规则”。
    • 点击“新建规则”,选择“端口”,点击“下一步”。
    • 输入需要关闭的端口号(如135、139、445等),选择“阻止连接”,点击“下一步”。
    • 选择“域”、“私有”、“公共”(根据实际网络环境选择适用范围),点击“下一步”。
    • 给规则命名(如“关闭135端口”),点击“完成”。

(三)配置账户策略

  1. 设置强密码策略
    • 打开“控制面板”,选择“管理工具” > “本地组策略编辑器”(gpedit.msc)。
    • 导航到“计算机配置” > “管理模板” > “网络” > “Lanman 工作站”。
    • 找到“启用不安全的密码保护”策略,双击打开,选择“已禁用”,点击“确定”。
    • 导航到“计算机配置” > “管理模板” > “系统” > “登录”。
    • 找到“密码必须符合复杂性要求”策略,双击打开,选择“已启用”,点击“确定”。
    • 设置密码长度至少为12位,包含大小写字母、数字和特殊字符。
  2. 禁用默认管理员账户
    • 打开“控制面板”,选择“用户账户” > “管理账户”。
    • 选择“更改账户类型”,找到“Administrator”账户,点击“更改账户类型”。
    • 选择“标准用户”,点击“更改”。
    • 然后右键点击“Administrator”账户,选择“重命名”,将其重命名为一个不易被识别的名称。
  3. 设置账户锁定策略
    • 打开“控制面板”,选择“管理工具” > “本地组策略编辑器”(gpedit.msc)。
    • 导航到“计算机配置” > “管理模板” > “系统” > “账户锁定策略”。
    • 找到“账户锁定阈值”策略,双击打开,设置为“5次无效登录”。
    • 找到“账户锁定时间”策略,双击打开,设置为“30分钟”。
    • 找到“重置账户锁定计数器”策略,双击打开,设置为“30分钟”。

(四)启用Windows Defender或安装杀毒软件

  1. 启用Windows Defender
    • 打开“Windows Defender 安全中心”(可以通过任务栏图标或搜索栏打开)。
    • 点击“病毒和威胁防护”。
    • 确保“实时保护”已开启。
    • 点击“检查更新”,确保病毒定义库为最新版本。
  2. 安装企业级杀毒软件(可选)
    • 如果需要更高级的防护,可以从官方网站下载企业级杀毒软件(如赛门铁克、卡巴斯基等)。
    • 按照安装向导的提示完成安装。
    • 安装完成后,打开杀毒软件,进行全盘扫描,并确保实时监控功能已开启。

二、网络配置层面

(一)配置防火墙规则

  1. 设置入站规则
    • 打开“Windows Defender 防火墙”(可以通过“控制面板”进入)。
    • 在左侧菜单中选择“高级安全设置”。
    • 在“高级安全Windows Defender 防火墙”窗口中,选择“入站规则”。
    • 点击“新建规则”,选择“端口”,点击“下一步”。
    • 输入需要允许的端口号(如业务必需的端口),选择“允许连接”,点击“下一步”。
    • 选择“域”、“私有”、“公共”(根据实际网络环境选择适用范围),点击“下一步”。
    • 给规则命名(如“允许业务端口80”),点击“完成”。
  2. 设置出站规则
    • 在“高级安全Windows Defender 防火墙”窗口中,选择“出站规则”。
    • 点击“新建规则”,选择“端口”,点击“下一步”。
    • 输入需要允许的端口号(如出站访问的端口),选择“允许连接”,点击“下一步”。
    • 选择“域”、“私有”、“公共”(根据实际网络环境选择适用范围),点击“下一步”。
    • 给规则命名(如“允许出站端口443”),点击“完成”。
  3. 限制RDP访问
    • 打开“Windows Defender 防火墙”(可以通过“控制面板”进入)。
    • 在左侧菜单中选择“高级安全设置”。
    • 在“高级安全Windows Defender 防火墙”窗口中,选择“入站规则”。
    • 找到“远程桌面”相关的规则(如“远程桌面 - 用户模式(TCP-In)”)。
    • 右键点击规则,选择“属性”。
    • 在“作用域”选项卡中,点击“添加”按钮,输入允许访问RDP的IP地址范围,点击“确定”。
    • 点击“确定”保存设置。

(二)配置安全的远程访问

  1. 更改RDP默认端口
    • 打开“注册表编辑器”(可以通过“运行”对话框输入regedit并回车)。
    • 导航到HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\Wds\rdpwd\Tds\tcp
    • 找到“PortNumber”键值,双击打开,将其值从默认的3389更改为其他非标准端口(如50000)。
    • 同样导航到HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp,找到“PortNumber”键值,将其值更改为与上面相同的端口。
  2. 启用网络级身份验证(NLA)
    • 打开“控制面板”,选择“系统和安全” > “系统” > “远程设置”。
    • 在“远程”选项卡中,选择“允许远程连接到此计算机”。
    • 确保“仅允许运行使用网络级身份验证的远程桌面的计算机连接(更安全)”选项已勾选。
    • 点击“确定”保存设置。

(三)配置DNS和主机名解析

  1. 配置DNS服务器
    • 打开“控制面板”,选择“网络和共享中心”。
    • 点击“更改适配器设置”。
    • 右键点击服务器的网络连接,选择“属性”。
    • 在“网络连接属性”窗口中,选择“Internet 协议版本 4 (TCP/IPv4)”或“Internet 协议版本 6 (TCP/IPv6)”,点击“属性”。
    • 选择“使用下面的DNS服务器地址”,输入安全的DNS服务器地址
    • 在“Internet 协议版本 4 (TCP/IPv4) 属性”或“Internet 协议版本 6 (TCP/IPv6) 属性”窗口中,输入安全的DNS服务器地址。例如:
      • 首选DNS服务器192.168.1.1(如果是内部DNS服务器)或8.8.8.8(Google的公共DNS,仅在没有内部DNS时使用)。
      • 备用DNS服务器192.168.1.2(内部备用DNS服务器)或8.8.4.4(Google的备用公共DNS)。
    • 点击“确定”保存设置。
  2. 配置主机名
    • 打开“系统属性”(可以通过右键点击“此电脑”图标,选择“属性”)。
    • 在“系统”窗口中,找到“计算机名、域和工作组设置”部分,点击“更改设置”。
    • 在“系统属性”窗口中,选择“计算机名”选项卡。
    • 如果需要更改主机名,点击“更改”,输入新的主机名,点击“确定”。
    • 点击“确定”保存设置,并根据提示重启计算机。

三、应用层面

(一)安装和配置安全的应用程序

  1. 安装应用程序
    • 只安装经过验证的、安全的应用程序。例如,如果需要安装Web服务器,可以选择IIS(Internet Information Services)。
      • 打开“控制面板”,选择“程序” > “程序和功能” > “启用或关闭Windows功能”。
      • 在“Windows功能”窗口中,勾选“Internet信息服务”(IIS)及其相关组件,点击“确定”。
      • 按照提示完成安装。
  2. 配置应用程序的安全性
    • 对于IIS
      • 打开“IIS管理器”(可以通过“控制面板”中的“管理工具”进入)。
      • 在左侧导航栏中,选择服务器名称。
      • 在右侧“功能视图”中,双击“身份验证”。
      • 禁用不必要的身份验证方式,例如“匿名身份验证”(如果业务不需要)。
      • 启用“Windows身份验证”或“基本身份验证”(根据业务需求选择)。
      • 配置SSL/TLS加密:
        • 在“IIS管理器”中,选择服务器名称。
        • 双击“服务器证书”。
        • 点击“创建自签名证书”(如果使用自签名证书)或“导入”(如果有第三方证书)。
        • 为证书命名,点击“确定”。
        • 选择需要加密的网站,双击“绑定”。
        • 点击“添加”,选择“https”协议,输入端口号(默认为443),选择刚才创建或导入的证书,点击“确定”。
      • 限制访问权限:
        • 在“IIS管理器”中,选择需要限制访问的网站。
        • 双击“IP地址和域限制”。
        • 点击“添加允许条目”或“添加拒绝条目”,根据需要限制特定IP地址或IP范围的访问。

(二)配置日志记录和监控

  1. 启用Windows事件日志
    • 打开“事件查看器”(可以通过“控制面板”中的“管理工具”进入)。
    • 在左侧导航栏中,展开“Windows 日志”,查看“系统”、“应用程序”和“安全”日志。
    • 确保所有日志记录功能已启用。
  2. 配置日志保留策略
    • 在“事件查看器”中,右键点击“系统”、“应用程序”或“安全”日志,选择“属性”。
    • 在“事件日志属性”窗口中,选择“保留所有事件,不覆盖旧事件”(如果磁盘空间允许)或设置“最大日志大小”和“覆盖旧事件”策略。
    • 点击“确定”保存设置。
  3. 使用第三方日志分析工具(可选)
    • 如果需要更强大的日志分析功能,可以安装第三方日志分析工具,如Splunk。
    • 下载并安装Splunk(可以从Splunk官方网站获取)。
    • 安装完成后,打开Splunk,按照提示进行初始配置。
    • 在Splunk中,添加Windows事件日志作为数据源:
      • 点击“数据输入” > “添加新数据” > “Windows事件日志”。
      • 选择需要监控的事件日志类型(如“系统”、“应用程序”、“安全”),点击“下一步”。
      • 点击“完成”保存设置。
    • 使用Splunk的搜索和分析功能,实时监控和分析日志数据,及时发现异常行为。

四、人员管理层面

(一)培训和管理用户

  1. 安全培训
    • 组织对使用服务器的人员进行安全培训,内容包括:
      • 不要在服务器上安装未经许可的软件。
      • 不要使用弱密码,建议使用复杂密码并定期更换。
      • 不要点击不明链接或下载不明来源的文件。
      • 不要在服务器上进行与工作无关的操作。
  2. 权限管理
    • 严格管理用户权限,按照最小权限原则分配权限:
      • 打开“控制面板”,选择“用户账户” > “管理账户”。
      • 为每个用户分配适当的权限,例如将普通用户设置为“标准用户”,只有需要管理权限的用户才分配“管理员”权限。
      • 定期审查用户权限,确保权限分配合理。

(二)定期审计和评估

  1. 定期审计服务器配置
    • 使用安全扫描工具(如Nessus)对服务器进行定期扫描:
      • 下载并安装Nessus(可以从Nessus官方网站获取)。
      • 安装完成后,打开Nessus,按照提示进行初始配置。
      • 创建扫描任务,选择服务器的IP地址或主机名作为扫描目标。
      • 选择扫描模板(如“基本网络扫描”或“高级服务器扫描”),点击“保存”。
      • 启动扫描任务,扫描完成后查看扫描报告,修复发现的安全漏洞。
  2. 手动检查安全配置
    • 定期手动检查服务器的安全配置,包括:
      • 确保所有服务和应用程序都已更新到最新版本。
      • 检查防火墙规则是否符合安全策略。
      • 检查用户权限是否符合最小权限原则。
      • 检查日志记录是否正常,是否有异常行为记录。
    • 根据检查结果,及时调整和修复安全配置。

通过以上详细的操作步骤,可以对Windows系统的服务器进行全面的安全加固,有效降低被攻击的风险,确保服务器在复杂的网络环境中安全运行。喜欢的话,点个赞吧,会不定期发布技术相关的文章,持续更新ing…