网络安全。服务器安全是越来越多人以及企业关心的话题,今天我们就从四个方面讲一讲安全加固。
一、操作系统层面
(一)更新系统和安装补丁
- 连接到安全网络
- 确保服务器连接到安全的网络环境,避免在公共网络或不安全的网络中进行更新操作。
- 打开Windows Update
- 打开“控制面板”,选择“Windows Update”。
- 在“Windows Update”窗口中,点击“检查更新”按钮。
- 如果有可用的更新,点击“安装更新”并按照提示完成更新。
- 设置自动更新
- 在“Windows Update”窗口中,点击“更改设置”。
- 选择“自动安装更新(推荐)”,并确保“重要更新”和“可选更新”都已启用。
- 点击“确定”保存设置。
(二)关闭不必要的服务和端口
- 关闭不必要的服务
- 打开“运行”对话框(快捷键
Win+R
),输入services.msc
并回车,打开“服务”管理器。 - 在服务列表中,找到以下服务(根据实际需求选择关闭):
- Remote Registry:右键点击,选择“属性”,在“启动类型”中选择“禁用”,点击“停止”按钮关闭服务。
- Print Spooler:如果服务器不需要打印功能,同样将其“启动类型”设置为“禁用”,并停止服务。
- 其他非必要服务:如“Telnet”、“Simple TCP/IP Services”等,根据业务需求判断是否关闭。
- 打开“运行”对话框(快捷键
- 关闭不必要的端口
- 打开“Windows Defender 防火墙”(可以通过“控制面板”进入)。
- 在左侧菜单中选择“高级安全设置”。
- 在“高级安全Windows Defender 防火墙”窗口中,选择“入站规则”或“出站规则”。
- 点击“新建规则”,选择“端口”,点击“下一步”。
- 输入需要关闭的端口号(如135、139、445等),选择“阻止连接”,点击“下一步”。
- 选择“域”、“私有”、“公共”(根据实际网络环境选择适用范围),点击“下一步”。
- 给规则命名(如“关闭135端口”),点击“完成”。
(三)配置账户策略
- 设置强密码策略
- 打开“控制面板”,选择“管理工具” > “本地组策略编辑器”(
gpedit.msc
)。 - 导航到“计算机配置” > “管理模板” > “网络” > “Lanman 工作站”。
- 找到“启用不安全的密码保护”策略,双击打开,选择“已禁用”,点击“确定”。
- 导航到“计算机配置” > “管理模板” > “系统” > “登录”。
- 找到“密码必须符合复杂性要求”策略,双击打开,选择“已启用”,点击“确定”。
- 设置密码长度至少为12位,包含大小写字母、数字和特殊字符。
- 打开“控制面板”,选择“管理工具” > “本地组策略编辑器”(
- 禁用默认管理员账户
- 打开“控制面板”,选择“用户账户” > “管理账户”。
- 选择“更改账户类型”,找到“Administrator”账户,点击“更改账户类型”。
- 选择“标准用户”,点击“更改”。
- 然后右键点击“Administrator”账户,选择“重命名”,将其重命名为一个不易被识别的名称。
- 设置账户锁定策略
- 打开“控制面板”,选择“管理工具” > “本地组策略编辑器”(
gpedit.msc
)。 - 导航到“计算机配置” > “管理模板” > “系统” > “账户锁定策略”。
- 找到“账户锁定阈值”策略,双击打开,设置为“5次无效登录”。
- 找到“账户锁定时间”策略,双击打开,设置为“30分钟”。
- 找到“重置账户锁定计数器”策略,双击打开,设置为“30分钟”。
- 打开“控制面板”,选择“管理工具” > “本地组策略编辑器”(
(四)启用Windows Defender或安装杀毒软件
- 启用Windows Defender
- 打开“Windows Defender 安全中心”(可以通过任务栏图标或搜索栏打开)。
- 点击“病毒和威胁防护”。
- 确保“实时保护”已开启。
- 点击“检查更新”,确保病毒定义库为最新版本。
- 安装企业级杀毒软件(可选)
- 如果需要更高级的防护,可以从官方网站下载企业级杀毒软件(如赛门铁克、卡巴斯基等)。
- 按照安装向导的提示完成安装。
- 安装完成后,打开杀毒软件,进行全盘扫描,并确保实时监控功能已开启。
二、网络配置层面
(一)配置防火墙规则
- 设置入站规则
- 打开“Windows Defender 防火墙”(可以通过“控制面板”进入)。
- 在左侧菜单中选择“高级安全设置”。
- 在“高级安全Windows Defender 防火墙”窗口中,选择“入站规则”。
- 点击“新建规则”,选择“端口”,点击“下一步”。
- 输入需要允许的端口号(如业务必需的端口),选择“允许连接”,点击“下一步”。
- 选择“域”、“私有”、“公共”(根据实际网络环境选择适用范围),点击“下一步”。
- 给规则命名(如“允许业务端口80”),点击“完成”。
- 设置出站规则
- 在“高级安全Windows Defender 防火墙”窗口中,选择“出站规则”。
- 点击“新建规则”,选择“端口”,点击“下一步”。
- 输入需要允许的端口号(如出站访问的端口),选择“允许连接”,点击“下一步”。
- 选择“域”、“私有”、“公共”(根据实际网络环境选择适用范围),点击“下一步”。
- 给规则命名(如“允许出站端口443”),点击“完成”。
- 限制RDP访问
- 打开“Windows Defender 防火墙”(可以通过“控制面板”进入)。
- 在左侧菜单中选择“高级安全设置”。
- 在“高级安全Windows Defender 防火墙”窗口中,选择“入站规则”。
- 找到“远程桌面”相关的规则(如“远程桌面 - 用户模式(TCP-In)”)。
- 右键点击规则,选择“属性”。
- 在“作用域”选项卡中,点击“添加”按钮,输入允许访问RDP的IP地址范围,点击“确定”。
- 点击“确定”保存设置。
(二)配置安全的远程访问
- 更改RDP默认端口
- 打开“注册表编辑器”(可以通过“运行”对话框输入
regedit
并回车)。 - 导航到
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\Wds\rdpwd\Tds\tcp
。 - 找到“PortNumber”键值,双击打开,将其值从默认的
3389
更改为其他非标准端口(如50000
)。 - 同样导航到
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp
,找到“PortNumber”键值,将其值更改为与上面相同的端口。
- 打开“注册表编辑器”(可以通过“运行”对话框输入
- 启用网络级身份验证(NLA)
- 打开“控制面板”,选择“系统和安全” > “系统” > “远程设置”。
- 在“远程”选项卡中,选择“允许远程连接到此计算机”。
- 确保“仅允许运行使用网络级身份验证的远程桌面的计算机连接(更安全)”选项已勾选。
- 点击“确定”保存设置。
(三)配置DNS和主机名解析
- 配置DNS服务器
- 打开“控制面板”,选择“网络和共享中心”。
- 点击“更改适配器设置”。
- 右键点击服务器的网络连接,选择“属性”。
- 在“网络连接属性”窗口中,选择“Internet 协议版本 4 (TCP/IPv4)”或“Internet 协议版本 6 (TCP/IPv6)”,点击“属性”。
- 选择“使用下面的DNS服务器地址”,输入安全的DNS服务器地址
- 在“Internet 协议版本 4 (TCP/IPv4) 属性”或“Internet 协议版本 6 (TCP/IPv6) 属性”窗口中,输入安全的DNS服务器地址。例如:
- 首选DNS服务器:
192.168.1.1
(如果是内部DNS服务器)或8.8.8.8
(Google的公共DNS,仅在没有内部DNS时使用)。 - 备用DNS服务器:
192.168.1.2
(内部备用DNS服务器)或8.8.4.4
(Google的备用公共DNS)。
- 首选DNS服务器:
- 点击“确定”保存设置。
- 配置主机名
- 打开“系统属性”(可以通过右键点击“此电脑”图标,选择“属性”)。
- 在“系统”窗口中,找到“计算机名、域和工作组设置”部分,点击“更改设置”。
- 在“系统属性”窗口中,选择“计算机名”选项卡。
- 如果需要更改主机名,点击“更改”,输入新的主机名,点击“确定”。
- 点击“确定”保存设置,并根据提示重启计算机。
三、应用层面
(一)安装和配置安全的应用程序
- 安装应用程序
- 只安装经过验证的、安全的应用程序。例如,如果需要安装Web服务器,可以选择IIS(Internet Information Services)。
- 打开“控制面板”,选择“程序” > “程序和功能” > “启用或关闭Windows功能”。
- 在“Windows功能”窗口中,勾选“Internet信息服务”(IIS)及其相关组件,点击“确定”。
- 按照提示完成安装。
- 只安装经过验证的、安全的应用程序。例如,如果需要安装Web服务器,可以选择IIS(Internet Information Services)。
- 配置应用程序的安全性
- 对于IIS:
- 打开“IIS管理器”(可以通过“控制面板”中的“管理工具”进入)。
- 在左侧导航栏中,选择服务器名称。
- 在右侧“功能视图”中,双击“身份验证”。
- 禁用不必要的身份验证方式,例如“匿名身份验证”(如果业务不需要)。
- 启用“Windows身份验证”或“基本身份验证”(根据业务需求选择)。
- 配置SSL/TLS加密:
- 在“IIS管理器”中,选择服务器名称。
- 双击“服务器证书”。
- 点击“创建自签名证书”(如果使用自签名证书)或“导入”(如果有第三方证书)。
- 为证书命名,点击“确定”。
- 选择需要加密的网站,双击“绑定”。
- 点击“添加”,选择“https”协议,输入端口号(默认为443),选择刚才创建或导入的证书,点击“确定”。
- 限制访问权限:
- 在“IIS管理器”中,选择需要限制访问的网站。
- 双击“IP地址和域限制”。
- 点击“添加允许条目”或“添加拒绝条目”,根据需要限制特定IP地址或IP范围的访问。
- 对于IIS:
(二)配置日志记录和监控
- 启用Windows事件日志
- 打开“事件查看器”(可以通过“控制面板”中的“管理工具”进入)。
- 在左侧导航栏中,展开“Windows 日志”,查看“系统”、“应用程序”和“安全”日志。
- 确保所有日志记录功能已启用。
- 配置日志保留策略
- 在“事件查看器”中,右键点击“系统”、“应用程序”或“安全”日志,选择“属性”。
- 在“事件日志属性”窗口中,选择“保留所有事件,不覆盖旧事件”(如果磁盘空间允许)或设置“最大日志大小”和“覆盖旧事件”策略。
- 点击“确定”保存设置。
- 使用第三方日志分析工具(可选)
- 如果需要更强大的日志分析功能,可以安装第三方日志分析工具,如Splunk。
- 下载并安装Splunk(可以从Splunk官方网站获取)。
- 安装完成后,打开Splunk,按照提示进行初始配置。
- 在Splunk中,添加Windows事件日志作为数据源:
- 点击“数据输入” > “添加新数据” > “Windows事件日志”。
- 选择需要监控的事件日志类型(如“系统”、“应用程序”、“安全”),点击“下一步”。
- 点击“完成”保存设置。
- 使用Splunk的搜索和分析功能,实时监控和分析日志数据,及时发现异常行为。
四、人员管理层面
(一)培训和管理用户
- 安全培训
- 组织对使用服务器的人员进行安全培训,内容包括:
- 不要在服务器上安装未经许可的软件。
- 不要使用弱密码,建议使用复杂密码并定期更换。
- 不要点击不明链接或下载不明来源的文件。
- 不要在服务器上进行与工作无关的操作。
- 组织对使用服务器的人员进行安全培训,内容包括:
- 权限管理
- 严格管理用户权限,按照最小权限原则分配权限:
- 打开“控制面板”,选择“用户账户” > “管理账户”。
- 为每个用户分配适当的权限,例如将普通用户设置为“标准用户”,只有需要管理权限的用户才分配“管理员”权限。
- 定期审查用户权限,确保权限分配合理。
- 严格管理用户权限,按照最小权限原则分配权限:
(二)定期审计和评估
- 定期审计服务器配置
- 使用安全扫描工具(如Nessus)对服务器进行定期扫描:
- 下载并安装Nessus(可以从Nessus官方网站获取)。
- 安装完成后,打开Nessus,按照提示进行初始配置。
- 创建扫描任务,选择服务器的IP地址或主机名作为扫描目标。
- 选择扫描模板(如“基本网络扫描”或“高级服务器扫描”),点击“保存”。
- 启动扫描任务,扫描完成后查看扫描报告,修复发现的安全漏洞。
- 使用安全扫描工具(如Nessus)对服务器进行定期扫描:
- 手动检查安全配置
- 定期手动检查服务器的安全配置,包括:
- 确保所有服务和应用程序都已更新到最新版本。
- 检查防火墙规则是否符合安全策略。
- 检查用户权限是否符合最小权限原则。
- 检查日志记录是否正常,是否有异常行为记录。
- 根据检查结果,及时调整和修复安全配置。
- 定期手动检查服务器的安全配置,包括:
通过以上详细的操作步骤,可以对Windows系统的服务器进行全面的安全加固,有效降低被攻击的风险,确保服务器在复杂的网络环境中安全运行。喜欢的话,点个赞吧,会不定期发布技术相关的文章,持续更新ing…