引言:
Windows server 2008 是微软公司的服务器操作系统,相对于windows server 2003,windows server 2008 不仅系统和网络功能有了一定的扩展,更重要的是安全性也有了很大提高。
Windows Updata 、windows 防火墙、安全配置向导、防间谍软件等功能,可以帮助用户做好基本的安全防护工作。若想完全利用这些功能,打造一个相对安全的服务器操作系统,就必须根据需要进行相应的设置。
本文将会在Windows server 2008的环境下介绍对服务器进行安全加固的一些方法。
系统加固的方法大致有以下几种:
一. 账号安全
1.更改管理员账号
2.删除无用的账户
3.口令策略
4.账户锁定策略
二. 文件系统安全
1.使用NTFS文件系统
2.检查Everyone权限
3.限制命令权限
三. 网络服务安全
1.关闭不必要的服务和端口
2.网络限制
四. 日志及审计的安全性
五. 补丁管理
下面依次来介绍各个方法。
更改管理员账号
在系统安装后默认会自动创建一个系统管理员账号,即Administrator,大部分人直接将此账户用作自己的常用账户,所以黑客也偏爱破解攻击Asministrator账户的密码,如果此时密码安全性又不高那么就很容易被破解。因此,通过更改管理员账户名来避免此类攻击可以提高系统安全性。
具体操作方法如下:
以Administrator账户登录本地计算机,开始->运行->compmgmt.msc(计算机管理)->本地用户和组->用户
右击Administrator账户并选择“重命名”,并输入新的账户名称就可以了
尽量设置相对复杂一点的账户名称!
也可以选择将Administrator账户禁用,然后创建一个普通的管理员账户,用户实现基本的系统或者网络管理、维护功能。
例如,我们现在把账户名称刚更改为“hetianlab”的Administrator账户禁用:
开始->运行->compmgmt.msc(计算机管理)->本地用户和组->用户窗口中,右击hetianlab,选择属性打开属性对话框,选中“账户已禁用”复选框,确认,这样就禁用了。
一定要记得重建一个普通的管理员账户,不然将会无法登陆windows。
删除无用的账户
开始->运行->compmgmt.msc(计算机管理)->本地用户和组,查看是否有不用的账号
如果有不用的账号,应该及时删掉。
在cmd下使用“net user 用户名 /del”命令删除账号;
使用“net user 用户名 /active:no”命令锁定账号
也可以直接右击要删除的用户,选择删除
口令策略
即通过密码来保证账户的安全性
设置密码步骤如下:
开始->运行->secpol.msc (本地安全策略)->安全设置->账户策略->密码策略
密码必须符合复杂性要求启用,密码长度最小值至少为8,密码最长使用期限根据情况设定,不要设置太长;
强制密码历史设置至少为5,当然可以设置更多;
注意!!!管理员账户密码不能与账户名相同,不能使用自己的姓名,不能使用特定的日期如生日,用户名密码应包含大小写字母、数字和特殊字符,密码不要有规则,不能使用姓名和生日等组合的密码,以免由个人信息泄露而导致安全问题。
账户锁定策略
账户锁定策略可以防止暴力破解的攻击方式,可以有效防止恶意穷举暴力破解密码等手段。
设置步骤如下:
开始->运行->secpol.msc (本地安全策略)->安全设置->账户设置->账户锁定策略
使用NTFS文件系统
NTFS是 WindowsNT 环境的文件系统,NTFS对FAT和HPFS做了若干改进,例如,支持元数据,并且使用了高级数据结构,以便于改善性能、可靠性和磁盘空间利用率,并提供了若干附加扩展功能。在NTFS分区上,可以为共享资源、文件夹以及文件设置访问许可权限。与FAT32文件系统下对文件夹或文件进行访问相比,安全性要高得多。另外,在采用NTFS格式的Win 2000中,应用审核策略可以对文件夹、文件以及活动目录对象进行审核,审核结果记录在安全日志中,通过安全日志就可以查看哪些组或用户对文件夹、文件或活动目录对象进行了什么级别的操作,从而发现系统可能面临的非法访问,通过采取相应的措施,将这种安全隐患减到最低。这些在FAT32文件系统下,是不能实现的。
查看每个系统驱动器是否使用NTFS文件系统,如果不是,使用转换命令:convert <驱动器盘符>: /fs:ntfs 。
如上图所示,已使用了NTFS文件系统
检查Everyone权限
如果Everyone 组的用户具备完全控制权,则可以对该文件夹或者文件进行所有的文件操作,建议取消Everyone组的完全控制权限
查看每个系统驱动器根目录是否设置为Everyone有所有权限,应当删除Everyone的权限或者取消Everyone的写权限,如下图所示
默认状态下,所有用户对于新创建的文件共享都拥有完全控制权限,系统中所有必要的共享都应当设置合适的权限,以便使用户拥有适当的共享级别访问权(例如,Everyone 设置成“读取”)
限制命令权限
WScript.Shell 、Shell.application 这两个组件一般一些ASP木马或一些恶意程序都会使用到。黑客在拿到webshell后,一般都是先通过这两个组件提权,为了服务器安全,应该卸载这些不安全组件
在命令行中使用
regsvr32 /u C:\WINDOWS\System32\wshom.ocx
regsvr32 /u C:\WINDOWS\system32\shell32.dll
即可卸载这些组件
除了卸载不安全组件外,我们还应该对一些命令做限制。建议对以下命令做限制,只允许system、Administrator组访问:
找到对应的文件,把其他用户的权限去掉,只留下system、Administrator 组的访问权限即可,如下图,需删除其余两个组的访问权限
关闭不必要的服务和端口
关闭一些不必要的服务和端口,可以大大降低被入侵的风险
关闭不必要的服务:开始->运行->services.msc
关闭端口:使用netstat 来查看端口使用情况,加上 –a 选项显示所有的连接和监听端口,加上-n以后以数字形式显示地址和端口
Listening 状态的表示正在监听,等待连接
开始->运行->secpol.msc (本地安全策略)-> IP安全策略,在本地计算机右边的空白位置右击鼠标,弹出快捷菜单,选择 “创建IP安全策略”,弹出向导
在向导中点击下一步,当显示“安全通信请求”时,“激活默认相应规则”左边的复选框留空,点“完成”就创建了一个新的IP安全策略
右击刚才创建的IP 安全策略,选择属性,去掉使用添加向导的复选框
点击左边的添加来添加新的规则,在弹出的新规则属性里点击添加,弹出IP筛选器列表窗口,先把使用添加向导的复选框去掉
点击右边的添加来添加新的筛选器。
在IP 筛选器属性的地址选项里,把源地址设置成任何IP地址,目标地址选择我的IP地址
在选择协议选项,协议类型选择TCP,然后在到此端口下的文本框输入135,点击确定
点击确定,这样就添加了一个屏蔽TCP135 端口的筛选器,可以防止别人通过135端口连接服务器,重复上面的步骤,把需要屏蔽的端口都建立相应的筛选器,协议类型要选择对应的类型
在新规则属性对话框中,选择刚才我们新建的筛选器,点击左边的复选框,点击应用
在筛选器操作选项卡中,把刚添加的筛选器操作复选框选中。
最后在新IP安全策略属性对话框中,把我们刚新建的IP筛选器列表前的复选框选中,点击确定
这样就把一些端口屏蔽掉了
网络限制
开始->运行->secpol.msc ->安全设置->本地策略->安全选项,进行以下设置:
如下图:
依次进行设置即可
日志及审计的安全性
Windows Server 2008 系统日志包括:
1、应用程序日志。应用程序日志包含由应用程序或系统程序记录的时间。
2、安全日志。安全日志记录着有效和无效的登陆事件,以及与文件操作的其他事件。
3、系统日志。系统日志包含Windows 系统组件记录的事件。
4、安装程序日志。安装程序日志,记录在系统安装或者安装微软公司产品时,产生的日志。
在cmd输入eventvwr.msc 可以打开事件查看器
在安全日志中,记录着系统的登陆事件,双击任何一个日志即可显示详细信息。
通过查看日志,能够发现登录异常等情况来判断自己有没有被入侵或攻击。
系统默认的日志量较小,应该增大日志量大小,避免由于日志文件容量过小导致日志记录不全,右击要设置的日志类型,选择属性
即可根据自己的需要设置日志大小
增强审核
对系统事件进行审核,在日后出现故障时用于排查故障。
开始->运行->secpol.msc ->安全设置->本地策略->审核策略
建议设置
设置完以后 执行gpupdate /force 使策略生效
如下:
补丁管理
做了上面的设置以后,我们应该及时更新补丁,保证系统本身不会有漏洞,下载补丁要从可靠的地方下载,最好从官网下载,安装补丁建议手动安装,有些补丁会引起业务的不稳定
除了上面讲到的,还要靠管理员在日常管理中发现问题并及时修补才能保证服务器的安全
思考题:
除了上面的讲到的,还有哪些加固的方法?
还有更改终端默认端口号,NTFS权限设置,删除默认共享,删除文件和打印机共享,开启防火墙等方法
课后题
