【每日一记6】+第6天+windows服务器常用的安全加固方法

只看该作者 · 发表于 2020-4-6 22:53

今天来说是windows服务器常用的安全加固方法，:好棒:
Windows操作系统本身已经提供了多种安全机制，如标识与鉴别、访问控制、用户账户控制、安全审计、文件系统。但是，这并不意味着操作系统就固若金汤。事实上，任何一个Windows版本都或多或少的存在着漏洞，而且在不断的被挖掘出来。Windows安装之后默认配置是不安全的，如果不重新进行配置的话，将存在大量安全隐患。现在，我们来介绍如何对Windows系统进行安全加固？

补丁安装
查看系统中安装的补丁包，安装未安装的补丁包，后续关注官网补丁包的更新，定时更新补丁包。

账户安全设置
管理员账户拥有最高的系统权限，一旦该账户被人利用，后果不堪设想。因此一种安全设置方法是将系统默认管理员Administrator改名，设置较高强度的口令。
对系统中的账户进行整理，禁用Guest账户和日常不使用的账号。
在管理启用/禁用账户的同时，对各个账户设置口令策略。供参考的口令策略为：
1）至少8个字符；
2）包含至少下面4个字符组中的3种：
英文大写字母A-Z；
英文小写字母a-z；
数字0-9；
非字母数字字符（如!$#%）；
3）不要包含用户姓名、用户名或任何常见词的任意部分；
4）一个月到两个月定期修改口令。

用户权限指派
打开“本地策略”→“用户权限指派”。
进入“用户权限指派”管理界面，根据需要可以设置：
1）从网络访问此计算机，删除不必要的用户；
2）从远程系统强制关机，删除全部账户；

口令策略
打开“本地策略->审核策略”中，所有审核策略都要设置为“成功”和“失败”都要审核。

禁止ipc$空连接
在默认的情况下，任何用户都可以通过空连接连接到服务器上，枚举账户并猜测口令。因此，必须禁止建立空连接。打开注册表
"HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA"，修改RestrictAnonymous = DWORD的键值即可禁止ipc$空连接。

关闭常见入侵端口
（1）关闭139端口
ipc和RPC漏洞通过139端口攻击。打开“控制面板”，然后依次单击：“网络和共享中心”→“更改适配器设置”→“本地连接”，选择“属性”，选择“Internet协议（TCP/IP）”，进入“高级TCP/IP设置”对话框，选择"WINS"标签，勾选“禁用TCP/IP上的NETBIOS”一项，关闭NETBIOS。
（2）关闭445端口
445端口常用于局域网中文件夹和打印机共享，但也带来了各种风险。为了关闭445端口，可以打开注册表，找到HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\NetBT\Parameters，在该项下选择建立一个 QWORD类型键值，将该键名称设置为SMBDeviceEnabled，数值设置为0。
还要把操作系统的server服务关闭，命令行输入services.msc，进入服务管理控制台，然后找到server服务，把这个服务的改为禁用，并停止。
（3）关闭3389端口
在“我的电脑”上右键单击选“属性”→“远程”，将里面的远程协助和远程桌面两个选项框里的勾去掉，并禁用Telnet、Terminal Services这两个危险服务。
（4）关闭135
打开注册表操作如下。
1）将
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Ole下EnableDCOM的值改为"N"，以及打开HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Rpc下DCOMProtocols键，在对应值中删除"ncacn_ip_tcp"；
2）确认停用
"Distributed Transaction Coordinator"服务。

关闭默认共享
在命令窗口中输入命令，删除C盘默认共享。
同样的方法可删除其他磁盘的默认共享。
也可以进入控制面板找到共享文件夹-共享，将描述为"默认共享"的共享名删除掉。

禁用不必要服务
在控制面板里，选择管理工具后，选择服务，设置关闭以下服务。
1）Alerter——通知所选用户和计算机有关系统管理级警报；
2）ClipBook——启用“剪贴簿查看器”储存信息并与远程计算机共享；
3）Distributed Link Tracking Server——用于局域网更新连接信息；
4）Indexing Service——提供本地或远程计算机上文件的索引内容和属性；
5）Messenger——信使服务；
6）NetMeeting Remote Desktop Sharing——允许授权用户通过NetMeeting在网络上互相访问；
7）Network DDE——为在同一台计算机或不同计算机上运行的程序提供动态数据交换；
8）Network DDE DSDM——管理动态数据交换（DDE）网络共享；
9）Remote Desktop Help Session Manager——远程帮助服务；
10）Remote Registry——远程计算机用户修改本地注册表；
11）Routing and Remote Access——在局域网和广域网中提供路由服务；
12）Server——支持此计算机通过网络的文件、打印和命名管道共享；
13）TCP/IP NetBIOS Helper——提供对TCP/IP服务上的NetBIOS和网络上客户端的NetBIOS名称解析的支持，使用户能够共享文件、打印和登录到网络；
14）Telnet——允许远程用户登录到此计算机并运行程序；
15）Terminal Services——远程登录到本地电脑。

本地安全策略设置
命令行输入gpedit.msc打开本地组策略编辑器，在“本地策略”→“安全选项”，设置如下策略。
1）交互式登录：无须按Ctrl+Alt+Del，设置为已禁用；
2）交互式登录：不显示最后的用户名，设置为已启用；
3）网络访问：不允许SAM账户的匿名枚举，设置为已启用；
4）网络访问：可匿名访问的共享，将策略设置里的值删除；
5）网络访问：可匿名访问的命名管道，将策略设置里的值删除；
6）网络访问：可远程访问的注册表路径，将策略设置里的值删除；
7）设备：将CD-ROM的访问权限仅限于本地登录的用户，设置为已启用；
8）关机:清除虚拟内存页面文件，设置为已启用。

启用防火墙
启用Windows自带防火墙或安装第三方软件防火墙。启用Windows自带防火墙可参考：“控制面板”→“Windows防火墙”。

安装杀毒软件
建议用户安装杀毒软件，并经常更新杀毒软件的病毒库，以便查杀最新病毒。

总结：以上是常用的windows安全加固方法，在我们等级保护测评整改中以及在做操作系统安全加固项目时，都有非常重要的参考价值。