《2022年安全管理服务器主机安全规范.doc》由会员分享,可在线阅读,更多相关《2022年安全管理服务器主机安全规范.doc(8页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。
1、此材料由网络搜集而来,如有侵权请告知上传者立即删除。材料共分享,我们负责传递知识。平安治理效劳器主机平安标准 启用防火墙阿里云windows Server 20xx R2默认居然没有启用防火墙。20xx可能也是如此的,不过这个一定要检查!补丁更新启用windows更新效劳,设置为自动更新状态,以便及时打补丁。阿里云windows Server 20xx R2默认为自动更新状态,20xx可能也是如此的,不过这个一定要检查!账号口令优化账号操作目的减少系统无用账号,降低风险加固方法“Win+R”键调出“运转”-compmgmt.msc(计算机治理)-本地用户和组。1、删除不用的账号,系统账号所属组
2、是否正确。云效劳刚开通时,应该只有一个administrator账号和处于禁用状态的guest账号;2、确保guest账号是禁用状态3、买阿里云时,治理员账户名称不要用administrator备注口令策略操作目的加强口令的复杂度及锁定策略等,降低被暴力破解的可能性加固方法“Win+R”键调出“运转”-secpol.msc (本地平安策略)-平安设置1、账户策略-密码策略密码必须符合复杂性要求:启用密码长度最小值:8个字符密码最短使用期限:0天密码最长使用期限:90天强迫密码历史:1个记住密码用可复原的加密来存储密码:已禁用2、本地策略-平安选项交互式登录:不显示最后的用户名:启用备注“Win
3、+R”键调出“运转”-gpupdate /force立即生效网络效劳优化效劳(1)操作目的关闭不需要的效劳,减小风险加固方法“Win+R”键调出“运转”-services.msc,以下效劳改为禁用:Application Layer Gateway Service(为应用程序级协议插件提供支持并启用网络/协议连接)Background Intelligent Transfer Service(利用空闲的网络带宽在后台传输文件。假设效劳被停用,例如Windows Update和MSN Explorer的功能将无法自动下载程序和其他信息)Computer Browser(维护网络上计算机的更新列表
4、,并将列表提供给计算机指定阅读)DHCP ClientDiagnostic Policy ServiceDistributed Transaction CoordinatorDNS ClientDistributed Link Tracking ClientRemote Registry(使远程用户能修正此计算机上的注册表设置)Print Spooler(治理所有本地和网络打印队列及操纵所有打印工作)Server(不使用文件共享可以关闭,关闭后再右键点某个磁盘选属性,“共享”这个页面就不存在了)Shell Hardware DetectionTCP/IP NetBIOS Helper(提供TC
5、P/IP (NetBT)效劳上的NetBIOS和网络上客户端的NetBIOS名称解析的支持,从而使用户可以共享文件、打印和登录到网络)Task Scheduler(使用户能在此计算机上配置和计划自动任务)Windows Remote Management(47001端口,Windows远程治理效劳,用于配合IIS治理硬件,一般用不到)Workstation(创立和维护到远程效劳的客户端网络连接。假设效劳停顿,这些连接将不可用)备注用效劳需慎重,特别是远程计算机优化效劳(2) 在”网络连接”里,把不需要的协议和效劳都移除 去掉Qos数据包计划程序关闭Netbios效劳(关闭139端口)网络连接-
6、本地连接-属性-Internet协议版本 4-属性-高级-WINS-禁用TCP/IP上的NetBIOS。说明:关闭此功能,你效劳器上所有共享效劳功能都将关闭,别人在资源治理器中将看不到你的共享资源。如此也防止了信息的泄露。 Microsoft网络的文件和打印机共享网络连接-本地连接-属性,把除了“Internet协议版本 4”以外的东西都勾掉。 ipv6协议先关闭网络连接-本地连接-属性-Internet协议版本 6 (TCP/IPv6)然后再修正注册表:HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesTcpip6Parameters,增加一个
7、Dword项,名字:DisabledComponents,值:ffffffff(十六位的8个f)重启效劳器即可关闭ipv6 microsoft网络客户端(主要是为了访征询微软的网站) 关闭445端口445端口是netbios用来在局域网内解析机器名的效劳端口,一般效劳器不需要对LAN开放什么共享,因而可以关闭。修正注册表:HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesNetBTParameters,则更加一个Dword项:SMBDeviceEnabled,值:0 关闭LLMNR(关闭5355端口)什么是LLMNR?本地链路多播名称解析,也叫多
8、播DNS,用于解析本地网段上的名称,没啥用但还占着5355端口。使用组策略关闭,运转-gpedit.msc-计算机配置-治理模板-网络-DNS客户端-关闭多播名称解析-启用网络限制操作目的网络访征询限制加固方法“Win+R”键调出“运转”-secpol.msc -平安设置-本地策略-平安选项网络访征询: 不同意 SAM 帐户的匿名枚举:已启用网络访征询: 不同意 SAM 帐户和共享的匿名枚举:已启用网络访征询: 将 Everyone权限应用于匿名用户:已禁用帐户: 使用空密码的本地帐户只同意进展操纵台登录:已启用备注“Win+R”键调出“运转”-gpupdate /force立即生效远程访征询
9、一定要使用高强度密码更改远程终端默认端口号步骤:1.防火墙中设置1.操纵面板windows防火墙高级设置入站规则新建规则端口特定端口tcp(如13688)同意连接 2.完成以上操作之后右击该条规则作用域本地ip地址任何ip地址远程ip地址以下ip地址 添加治理者ip 同理其它端口可以通过此功能对特定网段屏蔽(如80端口)。请留意:不是专线的网络的IP地址经常变,不适宜限定IP。2.运转regedit 2.HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlTerminal ServerWds rdpwdTds tcp 和 HKEY_LOCAL_MAC
10、HINESYSTEMCurrentControlSetControlTerminalServerWinStationsRDP-TCP,看见PortNamber值了吗?其默认值是3389,修正成所希望的端口即可,例如136883.HKEY_LOCAL_MACHINESYSTEMCurrentContro1SetControlTenninal ServerWinStations RDPTcp,将PortNumber的值(默认是3389)修正成端口13688(自定义)。4.重新启动电脑,以后远程登录的时候使用端口13688就可以了。文件系统检查Everyone权限操作目的加强Everyone权限加固
11、方法鼠标右键系统驱动器(磁盘)-“属性”-“平安”,查看每个系统驱动器根目录是否设置为Everyone有所有权限删除Everyone的权限或者取消Everyone的写权限备注NTFS权限设置留意:1、20xx R2默认的文件夹和文件所有者为TrustedInstaller,这个用户同时拥有所有操纵权限。 2、注册表同的项也是如此,所有者为TrustedInstaller。 3、假设要修正文件权限时应该先设置治理员组 administrators 为所有者,再设置其它权限。 4、假设要删除或改名注册表,同样也需先设置治理员组为所有者,同时还要应该到子项,直截了当删除当前项仍然删除不掉时可以先删除
12、子项后再删除此项。步骤:C盘只给administrators 和system权限,其他的权限不给,其他的盘也可以如此设置(web目录权限依详细情况而定)这里给的system权限也不一定需要给,只是由于某些第三方应用程序是以效劳方式启动的,需要加上这个用户,否则造成启动不了。Windows目录要加上给users的默认权限,否则ASP和ASPX等应用程序就无法运转(假设你使用IIS的话,要援用windows下的dll文件)。c:/user/ 只给administrators 和system权限日志和授权加强日志操作目的增大日志量大小,防止由于日志文件容量过小导致日志记录不全加固方法“Win+R”键
13、调出“运转”-eventvwr.msc -“windows日志”-查看“应用程序”“平安”“系统”的属性建议设置:日志上限大小:20480 KBWindows server 20xx R2默认确实是如此设置的备注加强审核操作目的对系统事件进展审核,在日后出现缺点时用于排查缺点加固方法“Win+R”键调出“运转”-secpol.msc -平安设置-本地策略-审核策略建议设置:审核策略更改:成功审核登录事件:成功,失败审核对象访征询:成功审核进程跟踪:成功,失败审核目录效劳访征询:成功,失败审核系统事件:成功,失败审核帐户登录事件:成功,失败审核帐户治理:成功,失败备注“Win+R”键调出“运转”
14、-gpupdate /force立即生效授权进入“操纵面板-治理工具-本地平安策略”,在“本地策略-用户权利指派”:把“关闭系统”设置为“只指派给Administrators组”把“从远端系统强迫关机”设置为“只指派Administrators组”设置“获得文件或其它对象的所有权”设置为“只指派给Administrators组攻击保护关闭ICMP也确实是平时说的PING,让别人PING不到效劳器,减少不必要的软件苦恼。在效劳器的操纵面板中打开windows防火墙,点击高级设置:点击入站规则找到文件和打印机共享(回显恳求 - ICMPv4-In),启用此规则即是开启ping,禁用此规则IP将禁止其他客户端ping通,但不阻碍TCP、UDP等连接。应用效劳平安IISweb.config配置不能返回详细的应用异常标记的“mode”属性不能设置为“Off”,如此用户能看到异常详情。在IIS角色效劳中去掉目录阅读、 ASP、CGI、在效劳器端包含文件IIS用户匿名身份验证不能使用治理员账号,得使用一般用户账号。