windows server 2008 R2 Enterprise 系统安全配置

window 安全配置规则

一、开启防火墙

windows server 2008 R2 Enterprise 系统安全配置

二、允许远程网络进行远程桌面连接

windows server 2008 R2 Enterprise 系统安全配置

如果使用默认的远程端口的话,按照下图,允许远程桌面通过防火墙就行了;

如果你的远程端口号不是默认的,则需要按照(四)中新建入站规则

windows server 2008 R2 Enterprise 系统安全配置

三、修改远程端口号

运行中输入regedit(打开注册表编辑器)

  1. 在注册表HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\Wds\rdpwd\Tds\tcp目录下,修改PortNumber数值,这边将其端口修改为33899(十进制)

  2. 在注册表HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Tenninal Server\WinStations\RDP-Tcp目录下,修改PortNumber数值,将其端口修改为33899(十进制)

重启服务器生效,使用IP + 端口,远程访问

四、只允许固定源IP访问远程端口

  1. 进入控制面板

  2. 找到Windows 防火墙

  3. 左边高级设置

  4. 点击入站规则

  5. 右上角新建规则

  6. 打开新建入站规则向导界面,规则类型:选择自定义,点击下一步,程序选择默认,点击下一步

  7. 协议和端口:协议类型选择TCP,本地端口选择特定端口下方输入11650远程端口选择所有端口,点击下一步

  8. 作用域:在 此规则应用于哪些远程ip地址 选择下列ip地址,点击添加输入您的指定ip,点击下一步,操作和配置文件选择默认,点击下一步

  9. 名称:命名为11650,描述写上特定IP访问指定端口至此设置完成

五、更改管理员密码

  1. 进入开始面板,点击管理工具

  2. 双击打开计算机管理

  3. 依次打开系统工具->本地用户和组->用户,找到administrator管理员用户

  4. 右键administrator管理员用户,选择 设置密码,弹出的提示框,点击

  5. 进入设置密码提示框,输入您想要设置的密码,点击确定即可。 注意:系统会强制密码复杂性,密码最好由大小写字母+数字组成

  6. 设置成功之后会提示成功,下次登录时就可以用新的密码登陆了

六、密码错误几次后锁定该用户

  1. 依次打开管理工具->本地安全策略->账户策略->账户锁定策略

  2. 双击账户锁定阈值,这里,我们设置5次失败后,锁定账户30分钟

windows server 2008 R2 Enterprise 系统安全配置

七、禁用Guest帐号

默认情况下,新安装的windows操作系统,都是禁用该帐号的。为了安全起见,可以按照以下步骤检查系统是否禁用了该帐号

  1. 进入开始面板,点击管理工具

  2. 双击打开计算机管理

  3. 依次打开系统工具->本地用户和组->用户 ,找到Guest帐号

    如果帐号名称左下角有个向下的箭头,说明已经禁用了
    windows server 2008 R2 Enterprise 系统安全配置

    如果帐号名称左下角没有箭头,

  4. 右键Guest管理员用户,选择 属性,选中下图中的位置

    windows server 2008 R2 Enterprise 系统安全配置

  5. 设置拒绝远程访问

    windows server 2008 R2 Enterprise 系统安全配置

八、删除不必要的用户

  1. 进入开始面板,点击管理工具

  2. 双击打开计算机管理

  3. 依次打开系统工具->本地用户和组->用户

  4. 左键单机,选中不必要的用户,点击红叉进行删除操作

    windows server 2008 R2 Enterprise 系统安全配置

九、创建新用户作为管理员进行远程登录,加入Administrator用户组,禁止Administrator远程登录服务器

考虑到有些服务需要作为administrator用户运行,所以不建议对administrator用户进行改名,我们选择新建用户并加入管理员组

  1. 进入开始面板,点击管理工具

  2. 双击打开计算机管理

  3. 依次打开系统工具->本地用户和组->用户

  4. 创建新用户,用户名xiaomi,密码自己设置

    windows server 2008 R2 Enterprise 系统安全配置

  5. 把新用户xiaomi加入管理员组

    windows server 2008 R2 Enterprise 系统安全配置

    windows server 2008 R2 Enterprise 系统安全配置

    Administrators属性对话框中,选择确定

  6. 禁止Administrator远程登录服务器

    控制面板->管理工具->本地安全策略->本地策略->用户权限分配->
    双击拒绝通过远程桌面服务登录

    windows server 2008 R2 Enterprise 系统安全配置

    windows server 2008 R2 Enterprise 系统安全配置

    这样设置之后,administrator用户依然可以弹出远程桌面连接,并让输入密码,但是无法进入远程桌面

十、更改文件共享的默认权限

将共享文件的权限从“Everyone"更改为"授权用户”,”Everyone"意味着任何有权进入网络的用户都能够访问这些共享文件。

十一、安全密码

安全密码的定义是:安全期内无法破解出来的密码就是安全密码,也就是说,就算获取到了密码文档,必须花费42天或者更长的时间才能破解出来(Windows安全策略默认42天更改一次密码)。

十二、屏幕保护 / 屏幕锁定 密码

防止内部人员破坏服务器的一道屏障。在管理员离开时,自动加载。

十三、安装防病毒软件

Windows操作系统没有附带杀毒软件,一个好的杀毒软件不仅能够杀除一些病毒程序,还可以查杀大量的木马和黑客工具。设置了杀毒软件,黑客使用那些著名的木马程序就毫无用武之地了。同时一定要注意经常升级病毒库 !

这里我们用安全狗这个第三方安全软件,安装之后,会提示让体检,检查结果如下:

windows server 2008 R2 Enterprise 系统安全配置

我们来看下帐号风险里有什么需要修复的,提示xiaomi这个帐号没必要启用,但是,我们认为xiaomi这个必须是要启用的,所以这项选择忽略

windows server 2008 R2 Enterprise 系统安全配置

其它风险项可以查看一下,必要修复就修复,像系统漏洞这些,强烈建议修复,虽然系统会很卡

前面我们设置了只允许固定的源IP地址访问远程桌面端口号

这里我们通过安全狗,再增加设置,只允许固定的主机名可以访问远程桌面端口号,截图如下:

windows server 2008 R2 Enterprise 系统安全配置

windows server 2008 R2 Enterprise 系统安全配置

windows server 2008 R2 Enterprise 系统安全配置

十四、定时备份服务器上的重要文件到本地或其它服务器

备份到本服务器是没有多大意义的,所以建议备份到别的机器

备份的方式,建议选择对目标文件或目录进行压缩后拷贝出来

十五、系统防火墙和安全狗的防火墙关系

安全狗的防火墙是在系统防火墙之上的

也就是说外界想要访问你服务器上某个端口,先经过安全狗的防火墙,再经过系统防火墙

实验过程:

在服务器上开启80端口的web服务后

  1. 安全狗的防火墙设置允许通过,系统防火墙设置不允许通过,结果:不允许通过

  2. 安全狗的防火墙设置允许通过,系统防火墙设置允许通过,结果:允许通过

  3. 安全狗的防火墙设置不允许通过,系统防火墙设置允许通过,结果:不允许通过

  4. 安全狗的防火墙设置不允许通过,系统防火墙设置不允许通过,结果:不允许通过

所以,当服务器上某个端口外网无法访问时,需要排查这2个防火墙,是不是很烦。建议用系统自带的防火墙,安全狗的防火墙保持默认就行

十六、堡垒机

堡垒机作为服务器的最后一道屏障,其安全方面需要做到以上十五点,更需要开启审计功能。

十七、特别提醒

我们在第点和第十三点分别提到了限制源IP访问远程桌面端口和限制源主机名访问远程桌面端口

所以:

  1. 如果你的办公网的出网IP是变动的公网IP

  2. 如果你需要用不同的终端主机访问服务器的远程桌面端口

这两种情况,根据实际情况选择使用系统自带的策略或是选择安全狗的策略,但是个人建议使用系统自带的策略安全狗的策略保持默认即可。

上一篇:简单而强大的bitset


下一篇:Redis教程(九):主从复制配置实例