操作系统安全规范之Windows Server

最新推荐文章于 2023-07-20 16:39:19 发布
最新推荐文章于 2023-07-20 16:39:19 发布
阅读量1.7k 收藏 15
点赞数 2
分类专栏: Windows Server安全加固 等保测评 文章标签: 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/u011635437/article/details/107672870
版权

1、重要安全策略

1.1、密码复杂度

修改方法:在“运行”中输入“gpedit.msc”打开组策略编辑器,浏览到路径“本地计算机策略\计算机配置\Windows设置\安全设置\帐户策略\密码策略”。
默认配置内容如下图:
在这里插入图片描述
修改如下参数配置:

“密码必须符合复杂性要求”,配置为“已启用”,要求复杂性。

“密码长度最小值”,建议8或12。

“强制密码历史”,配置5,最近5个密码不能使用。

“密码最短存留期(使用期限)”,配置为1。

“密码最长存留期(使用期限)”,配置为90。

“用可还原的加密来存储密码”,已禁用。 在这里插入图片描述
注意:若使用堡垒机登录windows,“密码最短存留期(使用期限)”和 “密码最长存留期(使用期限)”不改,保留原设置,修改该配置项可能会影响堡垒机的使用以及信息科对服务器的管理。

1.2、账户锁定

“gpedit.msc”打开组策略编辑器,浏览到路径“本地计算机策略\计算机配置\Windows设置\安全设置\帐户策略\帐户锁定策略”。
默认配置内容如下图:
在这里插入图片描述

帐户锁定时间,建议30分钟。

帐户锁定阈值,建议5。

重置帐户锁定计数器,建议30分钟。
在这里插入图片描述

以上表示30分钟内有5次登录失败,锁定这个账户(不可登录)30分钟后解锁。

1.3、 远程会话闲置一段时间后自动断开

“gpedit.msc”打开组策略编辑器,浏览路径“本地计算机配置”\“管理模板”\“windows组件”\“远程桌面服务”\“远程桌面会话主机”\“会话时间限制”。
默认配置内容如下图:
在这里插入图片描述
修改配置内容:设置活动但空闲的远程桌面会话时间限制 已启用 10分钟
在这里插入图片描述

1.4、删除无用账户

检查系统没有无用账户,windows禁用guest账户,根据实际需要修改administrator用户名为其他用户名。

2、安全选项

“gpedit.msc”打开组策略编辑器,浏览到路径“本地计算机策略\计算机配置\Windows设置\安全设置\本地策略\安全选项”。

2.1、提示用户密码过期前修改的天数

“gpedit.msc”打开组策略编辑器,浏览到路径“本地计算机策略\计算机配置\Windows设置\安全设置\本地策略\安全选项”,在右边窗格中找到“交互式登录: 提示用户在过期之前更改密码”,默认为5改为30。
在这里插入图片描述
2.2、删除匿名访问的命名管道和共享

默认已是空的,请配置时核对。

“网络访问: 可匿名访问的命名管道”,配置为空。

“网络访问: 可匿名访问的共享”,配置为空。
在这里插入图片描述

2.3、关闭远程访问注册表

“网络访问:可远程访问的注册表路径”,清空。

“网络访问: 可远程访问的注册表路径和子路径”,清空。

在这里插入图片描述

2.4、禁用guest账户

“(帐户:)来宾帐户状态”,配置为“已禁用”,默认已经为已禁用,请配置时核对。

在这里插入图片描述

2.5、 修改管理员账户名称

注意:若不是公司维护的服务器,注意修改账户名导致不能登录。不确定则最好不要做修改。

“(帐户:)重命名(系统)管理员帐户”,更改其默认设置“Administrator”(注意:若当前是以Administrator用户登录,则无法更改)。
在这里插入图片描述

2.6、屏保启用密码

Windows Server 2008及Windows Server 2012在控制面板->显示->更改屏幕保护程序。选择一个屏幕保护程序,将等待时间配置为不大于300秒,且勾选“在恢复时显示登录屏幕”。
在这里插入图片描述
在这里插入图片描述

2.7、启用“关机清除虚拟内存页面文件”

默认配置为“已禁用”,请修改为“已启用”
在这里插入图片描述
在这里插入图片描述

2.8、不显示最后的用户名
默认配置为“已禁用”,请修改为“已启用”
在这里插入图片描述
在这里插入图片描述

3、关闭危险服务和端口

“services.msc”打开系统服务,以下服务请停止,再设置为“手动”或“禁用”。

a. 关闭Remote Registry。
在这里插入图片描述
在这里插入图片描述

b. 关闭Server。

这个服务一定要关闭,大部分攻击针对445,139,135端口,都是这个服务,一定要关闭。更改为手动。

c. 关闭Shell Hardware Detection。
在这里插入图片描述
在这里插入图片描述

d. 关闭Printer Spooler。
在这里插入图片描述
在这里插入图片描述

e. 关闭DHCP Client。

注意:先查看是否是dhcp动态ip,若是固定ip,服务中关闭dhcp client。若是自动获得ip,不能关闭dhcp client。
在这里插入图片描述
在这里插入图片描述

若服务器是通过自动获得ip,dhcp client服务不能关闭。

4、端口管理

4.1、关闭445,135,137,138,139端口

控制面板-管理工具-本地安全策略,ip安全策略,创建ip安全策略,阻止其他ip访问本机ip的危险端口。
在这里插入图片描述

增加ip安全规则,添加规则,规则名任意(如关闭端口,封端口):
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述

添加ip筛选器列表:

源地址:任何ip地址。

目标地址:我的ip地址。

源端口:任何端口。

目标端口:依次是445,135,137,138,139。

在这里插入图片描述

设置筛选器操作为阻止:
在这里插入图片描述
在这里插入图片描述

确定后,点右键-分配,策略已指派变成是。
在这里插入图片描述
在这里插入图片描述

4.2、修改常用中间件默认端口(建议)

所有中间件,数据库,web服务器的默认端口,容易被攻击者扫描利用,也会被安全公司扫描出漏洞报告,请修改默认端口,为方便记忆,建议默认端口号每位数字+1,以下举例常用:

服务器软件 默认端口 建议端口oracle 1521 2632mysql 3306 4417tomcat 8080 根据应用修改zookeeper 2181 3292memcached 11211 22322redis 6379 7480

有条件的话修改远程端口(windows 3389,linux 22)为其他端口。

5、系统保护

5.1、 启用数据执行保护

计算机-属性-高级系统设置-高级-性能-设置-数据执行保护,勾选“仅为基本Windows程序和服务启用DEP”。
在这里插入图片描述

更改此配置需要重启系统才能生效。暂时不重启,设置就好。

5.2、 安装杀毒软件

安装杀毒软件,若有购买正版杀毒则直接采用,若没有,请使用免费的火绒安全软件,资源小效果好:

https://www.huorong.cn/person5.html

注意:不要使用360杀毒,360会留下后门导致本地端口被占满,应用无法对外服务。

5.3、 密码保管

以下密码保管的建议:
a.每台服务器的登录密码满足复杂度,且各不相同。
b.远程服务器(windows远程桌面,linux远程客户端,数据库客户端)工具禁止使用记住密码功能。
c.将密码记录在本机的excel文档中,并加密。每次有登录需要时输入该excel文档密码,从文档中复制相应的密码到相应的客户端工具中登录,提高安全性。

DomDanrtsey
关注
  • 2
    点赞
  • 15
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Windows 安全配置规范
04-21
Windows 安全配置规范12-27 Windows 安全配置规范12-27
Windows Server 2008 安全指南
技术代码资料库
03-08 82
对IT安全有兴趣的同事可不要错过。 http://www.microsoft.com/technet/security/prodtech/windowsserver2008/default.mspx 其中,我觉得最值得关注的功能是: Server Core。极小化的服务器版本。可以有效提高管理,并减少攻击页面。 Read-Only Domain Controller (RO...
Windows操作系统安全配置规范
11-27
JUNIPER路由器安全配置规范.doc Oracle数据库安全配置规范.doc SOLARIS操作系统安全配置规范.doc Windows操作系统安全配置规范.doc 华为路由器安全配置规范.doc 思科路由器安全配置规范.doc 操作系统安全功能规范.doc 数据库设备安全功能规范.doc 设备通用安全功能和配置规范.doc 设备通用安全功能测试规范.doc 路由器设备安全功能规范.doc
windows server 服务器安全加固
good good study
01-19 5371
目录 账户 口令 授权 审核策略 IP协议安全配置 设备其他配置操作 账户 对于管理员账号,要求更改缺省账户名称,并且禁用 guest (来宾) 账号 按照用户分配账户,根据系统要求,设定不同的账户和账户组,管理员用户,数据库用户,审计用户,来宾用户等 删除或锁定与设备运行、维护等工作无关的账户 操作 开始-->管理工具-->本地安全策略-->安...
服务器操作系统安全配置标准- Windows
weixin_33860737的博客
07-15 703
中国××公司服务器操作系统安全配置标准-WindowsV 1.1 年 月 日文档控制拟 制: 审 核: 标准化: 读 者: 版本控制版本 提交日期 相关组织和人员 版本描述V1.0 *-*-*V1.1 *-*-*1 概述 11.1 适用范围 11.2 ...
Windows主机操作系统安全加固规范 中文
09-22
本文档是Windows操作系统的对于Win系统的设备账号认证、日志、协议、补丁升级、文件系统管理等方面的安全配置要求,共26项。对系统的安全配置审计、加固操作起到指导性作用。
中国移动Windows操作系统安全配置规范
06-09
中国移动Windows操作系统安全配置规范
网络操作系统-WindowsServer网络服务的配置与管理综合实训项目书.doc
11-26
【网络操作系统-Windows Server网络服务的配置与管理】 在IT领域,网络操作系统是构建和管理企业网络的关键组件。本综合实训项目聚焦于Windows Server 2008,它是一款广泛应用于中小型企业网络环境的操作系统,提供...
网络操作系统(Windowsserver)实训指导书.doc
10-03
《网络操作系统(WINDOWS SERVER)实训指导书》 在信息技术领域,网络操作系统是构建和管理网络基础设施的关键组件。本实训指导书主要针对Windows Server 2012这一广泛使用的网络操作系统,旨在帮助学习者深入理解和...
系统安全配置技术规范-windows(基线加固)
01-10
人工评估(手工检查)是对工具评估的一种补充, 它不需要在被评估目标系统上安装任何软件,对目标系统的运行和状态没有任何影响,在不允许安装软件进行检查的重要主机上显得非常有用。安全专家对各主机系统、服务器、业务系统、数据库以及各种应用服务器在内的目标系统进行人工评估。
windows server2012设置mysql密码策略、复杂度、过期时间
最新发布
weixin_45332660的博客
07-20 1205
其中,validate_password_policy参数用于设置密码策略,可选值为LOW、MEDIUM和STRONG,分别表示低、中、高强度。validate_password_length参数用于设置密码长度,此处设置为8。通过以上步骤,可以在Windows Server 2012R2环境下设置MySQL 5.7数据库密码策略、复杂度和过期时间,提高数据库安全性。其中,‘username’@'localhost’为需要设置密码过期时间的用户账户,INTERVAL 90 DAY表示密码过期时间为90天。
远程服务器不允许匿名登录,网络访问: 限制对命名管道和共享的匿名访问
weixin_34961316的博客
07-30 1571
网络访问: 限制对命名管道和共享的匿名访问04/01/2016本文内容介绍了有关“网络访问: 限制对命名管道和共享的匿名访问”安全策略设置的最佳做法、位置、值、策略管理和安全注意事项。参考此策略设置启用或禁用限制匿名访问在“网络访问: 可匿名访问的命名管道”****和“网络访问: 可匿名访问的共享”设置中命名的这些共享文件夹和管道。通过在注册表项“HKEY_LOCAL_MACHINE\System...
Windows Server 2012R2 DHCP服务介绍及搭建
热门推荐
KamRoseLee的博客
02-04 2万+
一、什么是DHCP DHCP(DynamicHost Configuration Protocol,动态主机配置协议)是一个局域网的网络协议,使用UDP协议工作,主要有两个用途:给内部网络或网络服务供应商自动分配IP地址,给用户或者内部网络管理员作为对所有计算机作中央管理的手段,在RFC 2131中有详细的描述。 二、为什么需要DHCP 当主机数量达到数百台,数千台时,人工配置就显...
windows server2012 安全性配置
ice_bird的专栏
04-10 7288
检查项分类 检查项名称 检查项描述 风险等级 修复建议 安全审计 应启用安全审计功能,审计覆盖到每个用户,对重要的用户行为和重要安全事件进行审计 开启审核策略,对重要的用户行为和重要安全事件进行审计 高危 在管理工具打开本地安全策略,打开路径:安全设置\本地策略\审核策略,将全部审核策略配置为:成功,失败。包括审核策略更改、审核对象访问、审核进程...
了解连接安全规则
weixin_30394981的博客
02-25 1065
了解连接安全规则 应用到: Windows 7, Windows Server 2008 R2 连接安全包括在两台计算机开始通信之前对它们进行身份验证,并确保在两台计算机之间发送的信息的安全性。高级安全 Windows 防火墙使用 Internet 协议安全 (IPsec) 实现连接安全,方法是使用密钥交换、身份验证、数据完整性和数据加密(可选)。 注意 与单方面操...
windows server2008 添加安全组规则
yuzou____5000的博客
05-24 1161
登录阿里云账号,找到轻量应用服务器。 2.添加安全组规则(在远程连接windows服务器上的mysql时要先开发相应的端口号)
linux系统安全配置规范
yunweigege的专栏
12-18 3563
 2 安装 2.1 使系统处于单独(或隔离)的网络中。以防止未受保护的系统连接到其它网络或互联网中受到可能的攻击 安装完成后将下面软件卸载 pump                                     apmd                                    lsapnptools                  
Windows操作系统安全加固
江小白
07-24 8222
基于windows7系统进行演示 1. 账户管理和认证授权 1.1 账户 默认账户安全 禁用Guest账户。 禁用或删除其他无用账户(建议先禁用账户三个月,待确认没有问题后删除。) 思考: 1、为什么要禁用Guest用户? Guest账户为临时账户,但是该账户允许用户登录到网络、浏览internet以及关闭计算机。黑客可以通过guest用户提权到administrator组得到管理...
windows操作系统的密码复杂性要求
gscaiyucheng的专栏
03-01 1万+
在渗透的过程中,如果发现webshell拥有系统权限,但执行net user添加用户失败或没有回显时,可能是因为windows系统设置了“密码复杂性要求”(在本地安全策略中设置) Windows Server 2008操作系统采用“强密码”,对密码复杂性有下列要求: 1、密码最少六位,推荐使用八位以上密码 2、密码复杂性要求包含下列四类字符中的三类: • 英语大写字符
操作系统安全配置方案PowerPointPresen.ppt
11-12
作为最常用的服务器操作系统之一,Windows NT/2000/2003 Server安全配置也是至关重要的。通过规范安全配置方案,可以有效地保护操作系统和其中存储的重要数据。 在操作系统安全配置方案PowerPointPresen.ppt中...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值