引言:
Windows server 2008 是微軟公司的服務器操作系統,相對於windows server 2003,windows server 2008 不僅系統和網絡功能有了一定的擴展,更重要的是安全性也有了很大提高。
Windows Updata 、windows 防火牆、安全配置向導、防間諜軟件等功能,可以幫助用戶做好基本的安全防護工作。若想完全利用這些功能,打造一個相對安全的服務器操作系統,就必須根據需要進行相應的設置。
本文將會在Windows server 2008的環境下介紹對服務器進行安全加固的一些方法。
系統加固的方法大致有以下幾種:
一. 賬號安全
1.更改管理員賬號
2.刪除無用的賬戶
3.口令策略
4.賬戶鎖定策略
二. 文件系統安全
1.使用NTFS文件系統
2.檢查Everyone權限
3.限制命令權限
三. 網絡服務安全
1.關閉不必要的服務和端口
2.網絡限制
四. 日志及審計的安全性
五. 補丁管理
下面依次來介紹各個方法。
更改管理員賬號
在系統安裝后默認會自動創建一個系統管理員賬號,即Administrator,大部分人直接將此賬戶用作自己的常用賬戶,所以黑客也偏愛破解攻擊Asministrator賬戶的密碼,如果此時密碼安全性又不高那么就很容易被破解。因此,通過更改管理員賬戶名來避免此類攻擊可以提高系統安全性。
具體操作方法如下:
以Administrator賬戶登錄本地計算機,開始->運行->compmgmt.msc(計算機管理)->本地用戶和組->用戶
右擊Administrator賬戶並選擇“重命名”,並輸入新的賬戶名稱就可以了
盡量設置相對復雜一點的賬戶名稱!
也可以選擇將Administrator賬戶禁用,然后創建一個普通的管理員賬戶,用戶實現基本的系統或者網絡管理、維護功能。
例如,我們現在把賬戶名稱剛更改為“hetianlab”的Administrator賬戶禁用:
開始->運行->compmgmt.msc(計算機管理)->本地用戶和組->用戶窗口中,右擊hetianlab,選擇屬性打開屬性對話框,選中“賬戶已禁用”復選框,確認,這樣就禁用了。
一定要記得重建一個普通的管理員賬戶,不然將會無法登陸windows。
刪除無用的賬戶
開始->運行->compmgmt.msc(計算機管理)->本地用戶和組,查看是否有不用的賬號
如果有不用的賬號,應該及時刪掉。
在cmd下使用“net user 用戶名 /del”命令刪除賬號;
使用“net user 用戶名 /active:no”命令鎖定賬號
也可以直接右擊要刪除的用戶,選擇刪除
口令策略
即通過密碼來保證賬戶的安全性
設置密碼步驟如下:
開始->運行->secpol.msc (本地安全策略)->安全設置->賬戶策略->密碼策略
密碼必須符合復雜性要求啟用,密碼長度最小值至少為8,密碼最長使用期限根據情況設定,不要設置太長;
強制密碼歷史設置至少為5,當然可以設置更多;
注意!!!管理員賬戶密碼不能與賬戶名相同,不能使用自己的姓名,不能使用特定的日期如生日,用戶名密碼應包含大小寫字母、數字和特殊字符,密碼不要有規則,不能使用姓名和生日等組合的密碼,以免由個人信息泄露而導致安全問題。
賬戶鎖定策略
賬戶鎖定策略可以防止暴力破解的攻擊方式,可以有效防止惡意窮舉暴力破解密碼等手段。
設置步驟如下:
開始->運行->secpol.msc (本地安全策略)->安全設置->賬戶設置->賬戶鎖定策略
使用NTFS文件系統
NTFS是 WindowsNT 環境的文件系統,NTFS對FAT和HPFS做了若干改進,例如,支持元數據,並且使用了高級數據結構,以便於改善性能、可靠性和磁盤空間利用率,並提供了若干附加擴展功能。在NTFS分區上,可以為共享資源、文件夾以及文件設置訪問許可權限。與FAT32文件系統下對文件夾或文件進行訪問相比,安全性要高得多。另外,在采用NTFS格式的Win 2000中,應用審核策略可以對文件夾、文件以及活動目錄對象進行審核,審核結果記錄在安全日志中,通過安全日志就可以查看哪些組或用戶對文件夾、文件或活動目錄對象進行了什么級別的操作,從而發現系統可能面臨的非法訪問,通過采取相應的措施,將這種安全隱患減到最低。這些在FAT32文件系統下,是不能實現的。
查看每個系統驅動器是否使用NTFS文件系統,如果不是,使用轉換命令:convert <驅動器盤符>: /fs:ntfs 。
如上圖所示,已使用了NTFS文件系統
檢查Everyone權限
如果Everyone 組的用戶具備完全控制權,則可以對該文件夾或者文件進行所有的文件操作,建議取消Everyone組的完全控制權限
查看每個系統驅動器根目錄是否設置為Everyone有所有權限,應當刪除Everyone的權限或者取消Everyone的寫權限,如下圖所示
默認狀態下,所有用戶對於新創建的文件共享都擁有完全控制權限,系統中所有必要的共享都應當設置合適的權限,以便使用戶擁有適當的共享級別訪問權(例如,Everyone 設置成“讀取”)
限制命令權限
WScript.Shell 、Shell.application 這兩個組件一般一些ASP木馬或一些惡意程序都會使用到。黑客在拿到webshell后,一般都是先通過這兩個組件提權,為了服務器安全,應該卸載這些不安全組件
在命令行中使用
regsvr32 /u C:\WINDOWS\System32\wshom.ocx
regsvr32 /u C:\WINDOWS\system32\shell32.dll
即可卸載這些組件
除了卸載不安全組件外,我們還應該對一些命令做限制。建議對以下命令做限制,只允許system、Administrator組訪問:
找到對應的文件,把其他用戶的權限去掉,只留下system、Administrator 組的訪問權限即可,如下圖,需刪除其余兩個組的訪問權限
關閉不必要的服務和端口
關閉一些不必要的服務和端口,可以大大降低被入侵的風險
關閉不必要的服務:開始->運行->services.msc
關閉端口:使用netstat 來查看端口使用情況,加上 –a 選項顯示所有的連接和監聽端口,加上-n以后以數字形式顯示地址和端口
Listening 狀態的表示正在監聽,等待連接
開始->運行->secpol.msc (本地安全策略)-> IP安全策略,在本地計算機右邊的空白位置右擊鼠標,彈出快捷菜單,選擇 “創建IP安全策略”,彈出向導
在向導中點擊下一步,當顯示“安全通信請求”時,“激活默認相應規則”左邊的復選框留空,點“完成”就創建了一個新的IP安全策略
右擊剛才創建的IP 安全策略,選擇屬性,去掉使用添加向導的復選框
點擊左邊的添加來添加新的規則,在彈出的新規則屬性里點擊添加,彈出IP篩選器列表窗口,先把使用添加向導的復選框去掉
點擊右邊的添加來添加新的篩選器。
在IP 篩選器屬性的地址選項里,把源地址設置成任何IP地址,目標地址選擇我的IP地址
在選擇協議選項,協議類型選擇TCP,然后在到此端口下的文本框輸入135,點擊確定
點擊確定,這樣就添加了一個屏蔽TCP135 端口的篩選器,可以防止別人通過135端口連接服務器,重復上面的步驟,把需要屏蔽的端口都建立相應的篩選器,協議類型要選擇對應的類型
在新規則屬性對話框中,選擇剛才我們新建的篩選器,點擊左邊的復選框,點擊應用
在篩選器操作選項卡中,把剛添加的篩選器操作復選框選中。
最后在新IP安全策略屬性對話框中,把我們剛新建的IP篩選器列表前的復選框選中,點擊確定
這樣就把一些端口屏蔽掉了
網絡限制
開始->運行->secpol.msc ->安全設置->本地策略->安全選項,進行以下設置:
如下圖:
依次進行設置即可
日志及審計的安全性
Windows Server 2008 系統日志包括:
1、應用程序日志。應用程序日志包含由應用程序或系統程序記錄的時間。
2、安全日志。安全日志記錄着有效和無效的登陸事件,以及與文件操作的其他事件。
3、系統日志。系統日志包含Windows 系統組件記錄的事件。
4、安裝程序日志。安裝程序日志,記錄在系統安裝或者安裝微軟公司產品時,產生的日志。
在cmd輸入eventvwr.msc 可以打開事件查看器
在安全日志中,記錄着系統的登陸事件,雙擊任何一個日志即可顯示詳細信息。
通過查看日志,能夠發現登錄異常等情況來判斷自己有沒有被入侵或攻擊。
系統默認的日志量較小,應該增大日志量大小,避免由於日志文件容量過小導致日志記錄不全,右擊要設置的日志類型,選擇屬性
即可根據自己的需要設置日志大小
增強審核
對系統事件進行審核,在日后出現故障時用於排查故障。
開始->運行->secpol.msc ->安全設置->本地策略->審核策略
建議設置
設置完以后 執行gpupdate /force 使策略生效
如下:
補丁管理
做了上面的設置以后,我們應該及時更新補丁,保證系統本身不會有漏洞,下載補丁要從可靠的地方下載,最好從官網下載,安裝補丁建議手動安裝,有些補丁會引起業務的不穩定
除了上面講到的,還要靠管理員在日常管理中發現問題並及時修補才能保證服務器的安全
思考題:
除了上面的講到的,還有哪些加固的方法?
還有更改終端默認端口號,NTFS權限設置,刪除默認共享,刪除文件和打印機共享,開啟防火牆等方法
課后題
