服务器安全加固操作指南Word下载.docx
- 文档编号:16349985
- 上传时间:2022-11-23
- 格式:DOCX
- 页数:56
- 大小:974.07KB
服务器安全加固操作指南Word下载.docx
《服务器安全加固操作指南Word下载.docx》由会员分享,可在线阅读,更多相关《服务器安全加固操作指南Word下载.docx(56页珍藏版)》请在冰豆网上搜索。
对于管理员帐号,要求更改缺省帐户名称;
禁用guest(来宾)帐号。
开始->
运行->
compmgmt.msc(计算机管理)->
本地用户和组,
使用netuser查看到的账号:
在计算机管理中看到的账号:
删除或锁定与设备运行、维护等无关的账号。
使用“netuser用户名/del”命令删除账号
使用“netuser用户名/active:
no”命令锁定账号。
减少系统无用账号,降低风险
下图中蓝色标记的账号为本次禁用的无关账号。
1.2.2检测隐藏帐号
检测隐藏帐号
通过查看计算机管理-本地用户和组-用户,注册表中的SAM,查找是否有类似admin$之类的隐藏帐号。
本地用户和组;
regedit->
HKEY_LOCAL_MACHINE\SAM\SAM,右键点击SAM,点击权限,允许Administrators组完全控制和读取SAM,刷新后查看SAM\Domains\Accout\Users\Names。
本地用户和组:
HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account\Users\Names:
删除HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account\Users\Names中非法的隐藏账号。
删除系统中非法的隐藏账号,降低风险
1.2.3更改默认管理员用户名
新建隐藏帐号、禁用默认管理员账号administrator;
默认管理员账号为administrator
更改默认管理员用户名,建立一个复杂的隐藏管理员账号,并禁用默认管理员账号。
默认管理员账号可能被攻击者用来进行密码暴力猜测,可能由于太多的错误密码尝试导致该账号被锁定。
禁用了管理员账号,并新建了一个隐藏管理员账号xadminy55$
1.3口令策略
账号口令策略修改
要求内容
密码长度要求:
最少8位
密码复杂度要求:
至少包含以下四种类别的字符中的三种:
英语大写字母A,B,C,…Z
英语小写字母a,b,c,…z
阿拉伯数字0,1,2,…9
非字母数字字符,如标点符号,@,#,$,%,&
*等
secpol.msc(本地安全策略)->
安全设置
从下图蓝圈标记处可以看出,密码的复杂性没有作要求,长度、最长和最短使用期限未设置,强制密码历史未设置。
从下图蓝圈处可以看出,账号锁定策略设置的比较安全。
下图蓝圈处标记出本地策略->
安全选项中不显示上次的用户名未启用。
1,账户设置->
密码策略
密码必须符合复杂性要求:
启用
密码长度最小值:
8个字符
密码最长存留期:
90天
密码最短存留期:
30天
强制密码历史:
5个记住密码
2,账户设置->
账户锁定策略
复位帐户锁定计数器:
1分钟
帐户锁定时间:
30分钟
帐户锁定阀值:
6次无效登录
3,本地策略->
安全选项
交互式登录:
不显示上次的用户名:
最后,使用gpupdate/force立即生效
增强口令的复杂度及锁定策略等,降低被暴力破解的可能性,保障账号及口令的安全
下图为加固后“账户设置->
密码策略”中各项的参数(标红处为本次做过修改)。
另外,还将“本地策略->
安全选项”中的“交互式登录:
不显示上次的用户名”项设为了启用。
1.4授权
口令授权
在本地安全设置中从远端系统强制关机只指派给Administrators组;
在本地安全设置中关闭系统仅指派给Administrators组;
在本地安全设置中取得文件或其它对象的所有权仅指派给Administrators;
在本地安全设置中配置指定授权用户允许本地登陆此计算机;
在组策略中只允许授权帐号从网络访问(包括网络共享等,但不包括终端服务此计算机。
eventvwr.msc->
查看“本地策略”-“用户权限分配”
从下图可以看出,只有Administrators组从本地和远端系统强制关机,但是还有其他两个用户组具有关机功能,修要修改加固。
在组策略中只允许授权帐号从网络访问(包括网络共享等,但不包括终端服务)此计算机。
设置用户组的关机权限
将关闭系统功能仅指派给Administrators组
1.5补丁管理
安装系统补丁,修补漏洞
先使用FTP工具将提前准备好的软件传至演练主机上,然后安装360安全卫士,使用360安全卫士对电脑进行安全体验。
使用360安全卫士对电脑进行体验后发现,服务器存在的问题很多,主要问题如下:
电脑体验得分为0分;
电脑存在87个高危漏洞;
系统关键位置发现木马或高危文件;
内层中发现运行的木马或高风险文件;
未安装杀毒软件。
使用360安全卫士进行漏洞修补。
安装系统补丁,修补漏洞。
最终,使用360安全卫士完修补了扫描到的87个漏洞。
1.6安全配置
1.6.1IP协议安全配置
IP协议安全配置
开始-设置-控制面板-防火墙
下图为服务器防火墙的初始设置,未开启防火墙。
审核策略更改:
对没有自带防火墙的Windows系统,启用Windows系统的IP安全机制(IPSec)或网络连接上的TCP/IP筛选,只开放业务所需要的TCP,UDP端口和IP协议;
启用Windows2003自带防火墙。
根据业务需要限定允许访问网络的应用程序,和允许远程登陆该设备的IP地址范围;
根据业务需要限定允许访问网络的应用程序,和允许远程登陆该设备的IP地址范围
启用防火墙,并允许远程桌面例外,设置访问范围。
1.6.2屏幕保护
屏幕保护
桌面-属性-屏幕保护程序
设置带密码的屏幕保护,并将时间设定为5分钟。
对于远程登陆的帐号,设置不活动断连时间10分钟。
防止其他人使用你的电脑
1.6.3安装防病毒软件
安装防病毒软件
通过360安全卫士对电脑进行体验
提示未安装杀毒软件
下载并安装360杀毒软件
删除系统中高危病毒文件和程序
下载并安装360杀毒软件。
1.6.4病毒查杀
病毒查杀
使用360杀毒软件对系统进行病毒扫描
因已进行过360安全卫士的扫描和查杀,使用360杀毒软件对系统进行病毒扫描时扫描出下图病毒。
使用360杀毒软件进行查杀
1.6.5木马查杀
木马查杀
使用多种木马专杀软件对系统进行木马查杀
使用360安全卫士扫描,扫描到了7个木马,如下图所示:
使用windows清理助手扫描,扫描到了两个木马,如下图所示:
再次使用windows清理助手扫描,又扫描到了1个木马,如下图所示:
使用windows清理助手上推荐的恶意软件查杀工具扫描,描到了1个木马,如下图所示:
删除系统中的高危木马
1.7日志审核
1.7.1增强日志
调整事件日志的大小、覆盖策略
查看“应用程序”“安全性”“系统”的属性
经查看,“应用程序”“安全性”“系统”的属性的日志大小都为16384KB,但为设置达到日志上限时,需修改,下面以“安全性”的属性为例。
设置:
日志上限大小:
16384KB;
达到日志上限大小时:
改写久于90天的事件。
增大日志量大小,避免由于日志文件容量过小导致日志记录不全
完成了对“应用程序”“安全性”“系统”的属性的日志大小、设置达到日志上限时值的设置。
1.7.2增强审核
设置主机审核策略
secpol.msc->
安全设置->
本地策略->
审核策略
审核策略的设置如下图所示,存在很多安全问题,需加固。
开始-运行-gpedit.msc
计算机配置-Windows设置-安全设置-本地策略-审核策略
以下审核是必须开启的,其他的可以根据需要增加:
审核系统登陆事件成功,失败
审核帐户管理成功,失败
审核登陆事件成功,失败
审核对象访问成功
审核策略更改成功,失败
审核特权使用成功,失败
审核系统事件成功,失败
备注:
gpupdate/force立即生效
对系统事件进行审核,在日后出现故障时用于排查故障
下图为安全设置->
审核策略加固后的参数值(标红处表示已修改)。
1.8关闭不必要的端口、服务
1.8.1修改远程桌面端口
操作名
称
修改远程桌面端口
如对互联网开放WindowsTerminial服务(RemoteDesktop),需修改
默认服务端口。
运行Regedt32
并转到此项:
HKEY_LOCAL_MACHINE/System/CurrentControlSet/Control/Terminal
Server/WinStations/RDP-Tcp
找到“PortNumber”子项,设定值非00000D3D,即十进制3389
远程桌面端口为默认的3389.
HKEY_LOCAL_MACHINESystemCurrentControlSetControlTerminal
ServerWinStationsRDP-Tcp
找到“PortNumber”子项,会看到默认值00000D3D,它是3389
的十六进制表示形式。
使用十六进制数值修改此端口号,并保存新值。
注意:
软件防火墙中必须允许远程桌面的端口通过。
1.8.2关闭高危的数据库端口
对于无需提供外部数据库连接的服务器,关闭其数据库端口的对外访问
1.8.3优化服务
暂停不需要开放的服务端口
services.msc查看高危和不需要的服务
当前系统的高危和不需要的服务状态和启动情况如下表所示:
服务
状态
启动类型
AutomaticUpdates
关闭
手动
BackgroundIntelligentTransferService
DHCPClient
已启用
自动
Messenger
禁用
RemoteRegistry
PrintSpooler
Server(不使用文件共享可以关闭)
SimpleTCP/IPService
SimpleMailTransportProtocol(SMTP)
SNMPService
TaskSchedule
TCP/IPNetBIOSHelper
RemoteDesktopHelpSessionManager
将高危和不需要的服务停止,并将启动方式修改为手动。
关闭不需要的服务,减小风险
下表为加固后高危和不需要的服务状态和启动情况表:
服务吗
1.8.4修改SNMP服务
修改SNMP服务
services.msc查看SNMP服务,如需启用SNMP服务,则修改默认的SNMPCommunityString设置。
打开“控制面板”,打开“管理工具”中的“服务”,找到“SNMPService”,单击右键打开“属性”面板中的“安全”选项卡,在这个配置界面中,可以修改communitystrings,也就是微软所说的“团体名称”。
修改communitystrings,不是默认的“public”
防止非法用户使用SNMP的默认团体名称连接主机。
1.9启动项
通过360安全卫士中的开机加速进行查看
通过360安全卫士中的开机加速进行查看,发现开机启动项中有4个程序可以禁止启用;
1个服务可禁止启用;
6项启动项目需优化;
2项系统优化与整理。
如下图所示:
按照360安全卫士的开机加速提示,关闭可禁止的启动项
加快开机速度,阻止不必要的程序自动打开
按照360安全卫士的开机加速提示,已关闭可禁止的启动项
1.10关闭自动播放功能
关闭自动播放功能
开始→运行→gpedit.msc,打开组策略编辑器,浏览到计算机配置→管理模板→系统,
在右边窗格中双击“关闭自动播放”,对话框中,选择所有驱动器,确定即可。
1.11关闭共享
删除主机默认共享
cmd.exe->
netshare,查看共享
下图标红处为本项所要检查的参数,键值为0,表示关闭C$等默认共享,无需加固。
如无此项,
通过开始->
regedit->
找到HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\
lanmanserver\parameters,新建AutoShareServer(REG_DWORD),键值为0
删除主机因为管理而开放的共享
1.12使用NTFS
使用NTFS
查看每个系统驱动器是否使用NTFS文件系统
远程服务器只有C盘,且文件系统格式为NTFS,无需加固。
利用NTFS实现文件系统的安全
1.13网络访问
禁用匿名访问命名管道和共享
查看“控制面板->
管理工具->
本地安全策略”,在“本地策略->
安全选项”:
网络访问:
可匿名访问的共享、可匿名访问的命名管道是否设置为全部删除
“控制面板->
安全选
项”:
可匿名访问的共享设置为全部删除
可匿名访问的命名管道设置为全部删除
禁用可远程访问的注册表路径和子路径
网络访问中,查看,可远程访问的注册表路径、可远程访问的注册表路径和子路径是否设置为全部删除
可远程访问的注册表路径设置为全部删除
可远程访问的注册表路径和子路径设置为全部删
除
1.14会话超时设置
对于远程登录的账户,设置不活动所连接时间15分钟
进入“控制面板—管理工具—本地安全策略”,在“安全策略—安全选项”:
查看“Microsoft网络服务器”设置
“Microsoft网络服务器”设置为“在挂起会话之前所需的空闲时间”为15分钟
1.15注册表设置
在不影响系统稳定运行的前提下,对注册表信息进行更新
点击开始->
运行,然后在打开行里输入regedit,然后单击确定,查看相
关注册表项进行查看;
使用空连接扫描工具无法远程枚举用户名和用户组
自动登录:
HKLM\Software\Microsoft\WindowsNT\
CurrentVersion\Winlogon\AutoAdminLogon(REG_DWORD)0
源路由欺骗保护:
HKLM\System\CurrentControlSet\
Services\Tcpip\Parameters\DisableIPSourceRouting
(REG_DWORD)2
删除匿名用户空链接
HKEY_LOCAL_MACHINE
SYSTEM\Current\Control\Set\Control\Lsa
将restrictanonymous的值设置为1,若该值不存在,可以自己
创建,类型为REG_DWORD
修改完成后重新启动系统生效
碎片攻击保护:
HKLM\System\CurrentControlSet\Services\Tcpip\Parameters\EnablePMTUDiscovery
(REG_DWORD)1
Synflood攻击保护:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services
之下,可设置:
TcpMaxPortsExhausted。
推荐值:
5。
TcpMaxHalfOpen。
推荐值数据:
500。
TcpMaxHalfOpenRetried。
400
1.16其他
1.16.1网络限制
网络限制
查看安全设置->
安全选项,发现不允许SAM帐户的匿名枚举:
启用,无需加固;
不允许SAM帐户和共享的匿名枚举:
使用空白密码的本地帐户只允许进行控制台登录:
启用,无需加固。
网络访问限制
1.16.2安全性增强
禁止匿名用户连接(空链接)
netshare
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa,restricanonymous,值为0
可以禁止匿名用户列举主机上所有用户、组、共享资源
1.16.3检查Everyone权限
检查Everyone权限
查看每个系统驱动器根目录是否设置为Everyone有所有权限
经查看,Everyone具有C盘的所有权限,需加固。
删除Everyone的权限或者取消Everyone的写权限
限制Everyone账号的权限,至少取消Everyone的写权限。
删除Everyone的权限。
1.16.4限制命令操作权限
限制特定执行文件权限
使用cacls命令或资源管理器查看以下文件权限
经查看,许多命令未作用户组权限限制,一下以cmd.exe为例,需加固。
对以下命令做限制,只允许system、Administrator组访问
cmd.exe、regsvr32.exe、
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 服务器 安全 加固 操作 指南