1.账号密码策略
运行-->管理工具-->本地安全策略-->账户策略-->密码策略,设置参数如下图所示:
建议密码长度不少于12位,启用密码复杂性要求(大小写、数字、特殊字符)。
密码设置不应使用字典密码,如Passw0rd等,因为密码字典密码存在极易被破解的风险,极不安全。(密码字典概念可参考网上解释)
账户锁定策略,设置参数如下图所示:
2.关闭默认共享
关闭Windows硬盘默认共享。
运行-->管理工具-->计算机管理-->共享文件夹-->共享
例如C$,print$,点击设置停止共享即可。
3.修改默认端口
修改默认端口指的是修改必须开的服务端口为非默认端口,比如修改远程桌面端口3389为xxxx,修改oracle数据库端口1521为xxxx。在此以修改远程桌面端口为例说明。
修改远程访问的端口实质是不使用系统默认端口;在勒索病毒肆虐的这几年里,这些操作是必须的,这样能有效降低RDP协议被暴力破解的风险。
在开始-->运行菜单里,输入regedit,进入注册表编辑,按下面路径修改:
1、HKEY_LOCAL_MACHINE/System/CurrentControlSet/Control/Terminal Server/
WinStations/RDP-Tcp找到下面的 "PortNumber",用十进制方式显示,默认为3389,改为任意可用端口,如33899点击确认。
2、请注意,在这里修改过了以后,还没有修改成功,注册表文件的另一处位置也须做相应修改,路径为HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Control/Terminal Server/Wds/rdpwd/Tds/tcp找到下面的 "PortNumber",用十进制方式显示,并做出修改。如修改远程端口为33899。
3、防火墙远程端口开放(规则添加)
打开防火墙高级管理-->入站规则-->新建规则。添加防火墙入站规则,开放指定端口。
选中新建规则-->端口-->应用于TCP,特定本地端口,填写刚才修改过的端口(如33899)-->允许连接-->然后全部,下一步。名称自定义,如远程桌面33899端口。
然后重启服务器,远程访问端口修改完成。
4.开放指定端口
开放指定端口即开放需要供其他主机访问的服务,Windows防火墙可以限制到某台主机访问此服务。在此以开放远程桌面端口为例说明。
Windows服务器自带的防火墙请务必开启,防火墙规则、端口开放策略的设置参考如下:
4.1开放端口(添加规则防火墙)
防火墙高级管理-->入站规则(或出站规则)-->新建规则。添加防火墙入站规则(或出站规则),开放指定端口。
选中新建规则-->端口-->应用于TCP,特定本地端口,填写刚才修改过的端口(如33899)-->允许连接-->然后全部,下一步。名称自定义,如远程桌面33899端口。
4.2添加允许出入站应用程序
防火墙高级管理-->入站规则(或出站规则)-->新建规则。即可添加防火墙入站规则(或出站规则),开放指定程序。
选中新建规则-->程序-->选择本地程序路径-->允许连接-->然后全部,下一步。名称可以自定义。
4.3验证端口是否开放
验证端口有没有开放,可在开放访问的其他主机上,用telnet命令进行测试。方法如下:
telnet测试:进入cmd命令行界面。输入:telnet IP 端口(如:telnet 192.168.235.177 3389,即可测试192.168.235.177的3389端口是否开启)。
弹出上图所示界面,表示端口开放,否则没有开放。
5.关闭不必要的服务
关闭不必要的服务即可关闭不必要的端口,仅开放必须的服务。有两种方式,A:直接关闭端口对应得服务,即可关闭特定的端口;
B:服务虽然开启,但在Windows服务器上添加防火墙规则,禁止其他主机访问特定的端口,同样可以达到关闭端口不让其他主机访问的目的。
如下图所示,开启的服务见标识:
5.1关闭不必要的服务
服务对应有端口,关闭服务就可关闭对应得端口。
此处以停止远程桌面服务为例来说明。
通过端口找到对应服务的方法如下:
- netstat -ano|findstr “端口号”,查看对应进程号。
如:netstat -ano|findstr “3899”,如下图所示,对应进程号3008。
- 然后“服务”管理工具。按照服务描述对应的服务。禁用并停止,即可设置禁用永久停止服务。
5.2防火墙屏蔽端口
对于Windows服务器,如果不添加防火墙规则,有些服务对应端口是开放的。此时,为了服务器的安全,需要我们去添加防火墙规则,来禁止开放这些端口。
关闭端口的操作,可参考6.3中所述。
5.3.例子:屏蔽445、139、135端口的方式关闭不必要的服务
445端口在局域网中轻松访问各种共享文件夹或共享打印机,但也正是因为有了它,黑客们才有了可乘之机,他们能通过该端口偷偷共享我们的硬盘,甚至会在悄无声息中将硬盘格式化掉。所以,建议关闭服务器上的445和139端口。
防火墙高级管理-->入站规则(或出站规则)-->新建规则。添加防火墙入站规则
选中新建规则-->端口-->应用于TCP,特定本地端口,填写445,139->阻止连接-->然后全部,下一步。名称自定义,如禁止445/139端口。点击完成,设置就成功了。此时,其他主机就不能访问Windows服务器445/139端口了。
6.设置自动安装系统补丁更新
90%的攻击都来自于服务漏洞,因此通过对操作系统及相关的服务打补丁可以解决系统服务本身的漏洞,当然非系统服务需要额外打补丁(Tomcat、LDAP等);所以也请及时关注各服务发布的漏铜,及时打补丁是根本。
设置Windows更新为自动安装更新。
若服务器未联网,可到官网手动下载安装补丁包,安装完后再检查是否安装成功。
官网下载参考网址:
http://www.microsoft.com/downloads/search.aspx?displaylang=zh-cn
同时,我们会即时关注系统本身的服务漏洞并即时告知大家修复办法。
7.防病毒软件安装
安装防病毒软件(如:360安全卫士+360杀毒软件),防病毒软件的特征码和和检查引擎更新到最新,防病毒软件设置自动更新,建议开启防病毒软件的默认防御功能。
默认防御功能开启,以360安全卫士和360杀毒软件为例:
360杀毒-->多引擎保护(360云查杀引擎、系统修复引擎等默认防御建议不要关闭)。
360卫士卫士-->木马查杀—查杀引擎,点击弹出如下界面。开启默认防御(反勒索、反挖矿等)即可。
8.用户权限分配
运行-->管理工具-->本地安全策略-->本地策略-->用户权限分配-->关闭系统
将从远程系统强制关机设置为只指派给Administrators组。
将关闭系统设置为只有Administrators组。
审核策略设置
运行-->管理工具-->本地安全策略-->本地策略-->审核策略
策略建议设置为如下所示:
