windows server 2008 R2 Enterprise 系統安全配置

window 安全配置規則

一、開啟防火牆

二、允許遠程網絡進行遠程桌面連接

如果使用默認的遠程端口的話，按照下圖，允許遠程桌面通過防火牆就行了；

如果你的遠程端口號不是默認的，則需要按照（四）中新建入站規則了

三、修改遠程端口號

運行中輸入regedit（打開注冊表編輯器）

1. 在注冊表HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\Wds\rdpwd\Tds\tcp目錄下，修改PortNumber數值，這邊將其端口修改為33899（十進制）

2. 在注冊表HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Tenninal Server\WinStations\RDP-Tcp目錄下，修改PortNumber數值，將其端口修改為33899（十進制）

重啟服務器生效，使用IP + 端口，遠程訪問

四、只允許固定源IP訪問遠程端口

1. 進入控制面板

2. 找到Windows 防火牆

3. 左邊高級設置

4. 點擊入站規則

5. 右上角新建規則

6. 打開新建入站規則向導界面，規則類型：選擇自定義，點擊下一步，程序選擇默認，點擊下一步

7. 協議和端口：協議類型選擇TCP，本地端口選擇特定端口下方輸入11650，遠程端口選擇所有端口，點擊下一步

8. 作用域：在 此規則應用於哪些遠程ip地址 選擇下列ip地址，點擊添加輸入您的指定ip，點擊下一步，操作和配置文件選擇默認，點擊下一步

9. 名稱：命名為11650，描述寫上特定IP訪問指定端口至此設置完成

五、更改管理員密碼

1. 進入開始面板，點擊管理工具。

2. 雙擊打開計算機管理

3. 依次打開系統工具->本地用戶和組->用戶，找到administrator管理員用戶

4. 右鍵administrator管理員用戶，選擇 設置密碼，彈出的提示框，點擊是

5. 進入設置密碼提示框，輸入您想要設置的密碼，點擊確定即可。 注意：系統會強制密碼復雜性，密碼最好由大小寫字母+數字組成

6. 設置成功之后會提示成功，下次登錄時就可以用新的密碼登陸了

六、密碼錯誤幾次后鎖定該用戶

1. 依次打開管理工具->本地安全策略->賬戶策略->賬戶鎖定策略

2. 雙擊賬戶鎖定閾值，這里，我們設置5次失敗后，鎖定賬戶30分鍾

七、禁用Guest帳號

默認情況下，新安裝的windows操作系統，都是禁用該帳號的。為了安全起見，可以按照以下步驟檢查系統是否禁用了該帳號

1. 進入開始面板，點擊管理工具。

2. 雙擊打開計算機管理

3. 依次打開系統工具->本地用戶和組->用戶 ，找到Guest帳號

   如果帳號名稱左下角有個向下的箭頭，說明已經禁用了
   

   如果帳號名稱左下角沒有箭頭，

4. 右鍵Guest管理員用戶，選擇 屬性，選中下圖中的位置

   

5. 設置拒絕遠程訪問

   

八、刪除不必要的用戶

1. 進入開始面板，點擊管理工具。

2. 雙擊打開計算機管理

3. 依次打開系統工具->本地用戶和組->用戶

4. 左鍵單機，選中不必要的用戶，點擊紅叉進行刪除操作

   

九、創建新用戶作為管理員進行遠程登錄，加入Administrator用戶組，禁止Administrator遠程登錄服務器

考慮到有些服務需要作為administrator用戶運行，所以不建議對administrator用戶進行改名，我們選擇新建用戶並加入管理員組

1. 進入開始面板，點擊管理工具。

2. 雙擊打開計算機管理

3. 依次打開系統工具->本地用戶和組->用戶

4. 創建新用戶，用戶名xiaomi，密碼自己設置

   

5. 把新用戶xiaomi加入管理員組

   

   

   在Administrators屬性對話框中，選擇確定

6. 禁止Administrator遠程登錄服務器

   控制面板->管理工具->本地安全策略->本地策略->用戶權限分配->
   雙擊拒絕通過遠程桌面服務登錄，

   

   

   這樣設置之后，administrator用戶依然可以彈出遠程桌面連接，並讓輸入密碼，但是無法進入遠程桌面

十、更改文件共享的默認權限

將共享文件的權限從“Everyone"更改為"授權用戶”，”Everyone"意味着任何有權進入網絡的用戶都能夠訪問這些共享文件。

十一、安全密碼

安全密碼的定義是：安全期內無法破解出來的密碼就是安全密碼，也就是說，就算獲取到了密碼文檔，必須花費42天或者更長的時間才能破解出來（Windows安全策略默認42天更改一次密碼）。

十二、屏幕保護 / 屏幕鎖定 密碼

防止內部人員破壞服務器的一道屏障。在管理員離開時，自動加載。

十三、安裝防病毒軟件

Windows操作系統沒有附帶殺毒軟件，一個好的殺毒軟件不僅能夠殺除一些病毒程序，還可以查殺大量的木馬和黑客工具。設置了殺毒軟件，黑客使用那些著名的木馬程序就毫無用武之地了。同時一定要注意經常升級病毒庫 ！

這里我們用安全狗這個第三方安全軟件，安裝之后，會提示讓體檢，檢查結果如下：

我們來看下帳號風險里有什么需要修復的，提示xiaomi這個帳號沒必要啟用，但是，我們認為xiaomi這個必須是要啟用的，所以這項選擇忽略

其它風險項可以查看一下，必要修復就修復，像系統漏洞這些，強烈建議修復，雖然系統會很卡

前面我們設置了只允許固定的源IP地址訪問遠程桌面端口號

這里我們通過安全狗，再增加設置，只允許固定的主機名可以訪問遠程桌面端口號，截圖如下：

十四、定時備份服務器上的重要文件到本地或其它服務器

備份到本服務器是沒有多大意義的，所以建議備份到別的機器

備份的方式，建議選擇對目標文件或目錄進行壓縮后拷貝出來

十五、系統防火牆和安全狗的防火牆關系

安全狗的防火牆是在系統防火牆之上的

也就是說外界想要訪問你服務器上某個端口，先經過安全狗的防火牆，再經過系統防火牆。

實驗過程：

在服務器上開啟80端口的web服務后

1. 安全狗的防火牆設置允許通過，系統防火牆設置不允許通過，結果：不允許通過

2. 安全狗的防火牆設置允許通過，系統防火牆設置允許通過，結果：允許通過

3. 安全狗的防火牆設置不允許通過，系統防火牆設置允許通過，結果：不允許通過

4. 安全狗的防火牆設置不允許通過，系統防火牆設置不允許通過，結果：不允許通過

所以，當服務器上某個端口外網無法訪問時，需要排查這2個防火牆，是不是很煩。建議用系統自帶的防火牆，安全狗的防火牆保持默認就行

十六、堡壘機

堡壘機作為服務器的最后一道屏障，其安全方面需要做到以上十五點，更需要開啟審計功能。

十七、特別提醒

我們在第四點和第十三點分別提到了限制源IP訪問遠程桌面端口和限制源主機名訪問遠程桌面端口

所以：

1. 如果你的辦公網的出網IP是變動的公網IP

2. 如果你需要用不同的終端主機訪問服務器的遠程桌面端口

這兩種情況，根據實際情況選擇使用系統自帶的策略或是選擇安全狗的策略，但是個人建議使用系統自帶的策略，安全狗的策略保持默認即可。