1、重要安全政策
1.1、密碼複雜度
修改方法:在“運作”中輸入“gpedit.msc”打開組政策編輯器,浏覽到路徑“本地計算機政策\計算機配置\Windows設定\安全設定\帳戶政策\密碼政策”。
預設配置内容如下圖:
修改如下參數配置:
“密碼必須符合複雜性要求”,配置為“已啟用”,要求複雜性。
“密碼長度最小值”,建議8或12。
“強制密碼曆史”,配置5,最近5個密碼不能使用。
“密碼最短存留期(使用期限)”,配置為1。
“密碼最長存留期(使用期限)”,配置為90。
“用可還原的加密來存儲密碼”,已禁用。
注意:若使用堡壘機登入windows,“密碼最短存留期(使用期限)”和 “密碼最長存留期(使用期限)”不改,保留原設定,修改該配置項可能會影響堡壘機的使用以及資訊科對伺服器的管理。
1.2、賬戶鎖定
“gpedit.msc”打開組政策編輯器,浏覽到路徑“本地計算機政策\計算機配置\Windows設定\安全設定\帳戶政策\帳戶鎖定政策”。
預設配置内容如下圖:
帳戶鎖定時間,建議30分鐘。
帳戶鎖定門檻值,建議5。
重置帳戶鎖定計數器,建議30分鐘。
以上表示30分鐘内有5次登入失敗,鎖定這個賬戶(不可登入)30分鐘後解鎖。
1.3、 遠端會話閑置一段時間後自動斷開
“gpedit.msc”打開組政策編輯器,浏覽路徑“本地計算機配置”\“管理模闆”\“windows元件”\“遠端桌面服務”\“遠端桌面會話主機”\“會話時間限制”。
預設配置内容如下圖:
修改配置内容:設定活動但空閑的遠端桌面會話時間限制 已啟用 10分鐘
1.4、删除無用賬戶
檢查系統沒有無用賬戶,windows禁用guest賬戶,根據實際需要修改administrator使用者名為其他使用者名。
2、安全選項
“gpedit.msc”打開組政策編輯器,浏覽到路徑“本地計算機政策\計算機配置\Windows設定\安全設定\本地政策\安全選項”。
2.1、提示使用者密碼過期前修改的天數
“gpedit.msc”打開組政策編輯器,浏覽到路徑“本地計算機政策\計算機配置\Windows設定\安全設定\本地政策\安全選項”,在右邊窗格中找到“互動式登入: 提示使用者在過期之前更改密碼”,預設為5改為30。
2.2、删除匿名通路的命名管道和共享
預設已是空的,請配置時核對。
“網絡通路: 可匿名通路的命名管道”,配置為空。
“網絡通路: 可匿名通路的共享”,配置為空。
2.3、關閉遠端通路系統資料庫
“網絡通路:可遠端通路的系統資料庫路徑”,清空。
“網絡通路: 可遠端通路的系統資料庫路徑和子路徑”,清空。
2.4、禁用guest賬戶
“(帳戶:)來賓帳戶狀态”,配置為“已禁用”,預設已經為已禁用,請配置時核對。
2.5、 修改管理者賬戶名稱
注意:若不是公司維護的伺服器,注意修改賬戶名導緻不能登入。不确定則最好不要做修改。
“(帳戶:)重命名(系統)管理者帳戶”,更改其預設設定“Administrator”(注意:若目前是以Administrator使用者登入,則無法更改)。
2.6、屏保啟用密碼
Windows Server 2008及Windows Server 2012在控制台->顯示->更改螢幕保護程式。選擇一個螢幕保護程式,将等待時間配置為不大于300秒,且勾選“在恢複時顯示登入螢幕”。
2.7、啟用“關機清除虛拟記憶體頁面檔案”
預設配置為“已禁用”,請修改為“已啟用”
2.8、不顯示最後的使用者名
預設配置為“已禁用”,請修改為“已啟用”
3、關閉危險服務和端口
“services.msc”打開系統服務,以下服務請停止,再設定為“手動”或“禁用”。
a. 關閉Remote Registry。
b. 關閉Server。
這個服務一定要關閉,大部分攻擊針對445,139,135端口,都是這個服務,一定要關閉。更改為手動。
c. 關閉Shell Hardware Detection。
d. 關閉Printer Spooler。
e. 關閉DHCP Client。
注意:先檢視是否是dhcp動态ip,若是固定ip,服務中關閉dhcp client。若是自動獲得ip,不能關閉dhcp client。
若伺服器是通過自動獲得ip,dhcp client服務不能關閉。
4、端口管理
4.1、關閉445,135,137,138,139端口
控制台-管理工具-本地安全政策,ip安全政策,建立ip安全政策,阻止其他ip通路本機ip的危險端口。
增加ip安全規則,添加規則,規則名任意(如關閉端口,封端口):
添加ip篩選器清單:
源位址:任何ip位址。
目标位址:我的ip位址。
源端口:任何端口。
目标端口:依次是445,135,137,138,139。
設定篩選器操作為阻止:
确定後,點右鍵-配置設定,政策已指派變成是。
4.2、修改常用中間件預設端口(建議)
所有中間件,資料庫,web伺服器的預設端口,容易被攻擊者掃描利用,也會被安全公司掃描出漏洞報告,請修改預設端口,為友善記憶,建議預設端口号每位數字+1,以下舉例常用:
有條件的話修改遠端端口(windows 3389,linux 22)為其他端口。
5、系統保護
5.1、 啟用資料執行保護
計算機-屬性-進階系統設定-進階-性能-設定-資料執行保護,勾選“僅為基本Windows程式和服務啟用DEP”。
更改此配置需要重新開機系統才能生效。暫時不重新開機,設定就好。
5.2、 安裝防毒軟體
安裝防毒軟體,若有購買正版殺毒則直接采用,若沒有,請使用免費的火絨安全軟體,資源小效果好:
https://www.huorong.cn/person5.html
注意:不要使用360殺毒,360會留下後門導緻本地端口被占滿,應用無法對外服務。
5.3、 密碼保管
以下密碼保管的建議:
a.每台伺服器的登入密碼滿足複雜度,且各不相同。
b.遠端伺服器(windows遠端桌面,linux遠端用戶端,資料庫用戶端)工具禁止使用記住密碼功能。
c.将密碼記錄在本機的excel文檔中,并加密。每次有登入需要時輸入該excel文檔密碼,從文檔中複制相應的密碼到相應的用戶端工具中登入,提高安全性。