一、實驗目的
掌握windows 的安全加固方案,保證服務器的安全。
二、實驗步驟
1)賬號安全
①更改管理員賬號
更改賬號原因:安裝windows server 2008 后,默認會自動創建一個系統管理員賬號,即Administrator。許多管理員貪圖一時方便,就直接用作自己的賬戶,因此,許多黑客攻擊的服 務器的時候總是試圖破解Administrator 賬戶的密碼,如果此時密碼安全性不高,就很容易被破解。所以,可以更改管理員賬戶名來避免此類攻擊,提高系統安全性。
步驟:以Administrator賬戶登錄本地計算機,開始->運行->compmgmt.msc(計算機管理)->本地用戶和組->用戶,右擊Administrator賬戶並選擇“重命名”,並輸入新的賬戶名稱就可 以了,但盡量不要用admin 、guanliyuan之類的比較簡單的名稱,否則賬戶安全性一樣沒有什么保障。
如果更改帳戶名仍然無法滿足安全需求,可以選擇將其禁用,然后創建一個普通的管理員賬戶,用戶實現基本的系統或者網絡管理、維護功能。
步驟:開始->運行->compmgmt.msc(計算機管理)->本地用戶和組->用戶窗口中,右擊Administrator,選擇屬性打開屬性對話框,選中“賬 戶已禁用”復選框,確認,這樣就將Administrator 禁用了。一定要記得重建一個普通的管理員賬戶,不然將會無法登陸windows。
②刪除無用的賬戶
開始->運行->compmgmt.msc(計算機管理)->本地用戶和組,查看是否有不用的賬號,系統賬號所屬組是否正確以及guest賬號是否鎖定。
如果有不用的賬號,應該及時刪掉。
步驟:在cmd下使用“net user 用戶名 /del”命令刪除賬號。
使用“net user 用戶名 /active:no”命令鎖定賬號。
也可以直接右擊要刪除的用戶,選擇刪除。
③口令策略
步驟:開始->運行->secpol.msc (本地安全策略)->安全設置->賬戶策略->密碼策略
密碼必須符合復雜性要求啟用,密碼長度最小值至少為8,密碼最長使用期限根據情況設定,不要設置太長。強制密碼歷史設置至少為5,當然可以設置更多。
注:管理員賬戶密碼不能與賬戶名相同,不能使用自己的姓名,不能使用特定的日期如生日,用戶名密碼應包含大小寫字母、數字和特殊字符,密碼不要有規則,不能使用姓名和生日 組合的密碼。
④賬戶鎖定策略
目的:賬戶鎖定策略可以防止暴力破解的攻擊方式,所以,很有必要設置賬戶鎖定策略。
步驟:開始->運行->secpol.msc (本地安全策略)->安全設置->賬戶設置->賬戶鎖定策略
注:復位帳戶鎖定計數器、賬戶鎖定時間設置為一分鍾即可,賬戶鎖定時間不宜設置太長,避免被人惡意攻擊而造成自己無法登陸。帳戶鎖定閥值設置5次即可,不應設置太大。否則起 不到好的效果。
2)文件系統安全:使用NTFS文件系統
步驟:查看每個系統驅動器是否使用NTFS文件系統,如果不是,使用轉換命令:convert <驅動器盤符>: /fs:ntfs 。
注:此步驟不可逆,如果需要重新改回FAT32,需要重新格式化硬盤。
介紹:NTFS是 WindowsNT 環境的文件系統,NTFS對FAT和HPFS做了若干改進,例如,支持元數據,並且使用了高級數據結構,以便於改善性能、可靠性和磁盤空間利用率,並 提供了若干附加擴展功能。在NTFS分區上,可以為共享資源、文件夾以及文件設置訪問許可權限。與FAT32文件系統下對文件夾或文件進行訪問相比,安全性要高得多。另 外,在采用NTFS格式的Win 2000中,應用審核策略可以對文件夾、文件以及活動目錄對象進行審核,審核結果記錄在安全日志中,通過安全日志就可以查看哪些組或用戶對 文件夾、文件或活動目錄對象進行了什么級別的操作,從而發現系統可能面臨的非法訪問,通過采取相應的措施,將這種安全隱患減到最低。這些在FAT32文件系統下,是不 能實現的。
在NTFS 磁盤分區上的每一個文件和文件夾,NTFS 都存儲一個訪問控制列表(Access Control List,ACL)。ACL中包含那些被授權訪問該文件或者文件夾的所有用戶賬號 、組和計算機,還包含他們被授予的訪問類型。
Windows server 2008 操作系統對NTFS 卷及其包含的目錄或者文件提供了權限設置,分別是完全控制、修改、讀取和運行、列出文件夾目錄、讀取、寫入和特殊權限7個權 權限。
3)檢查Everyone權限
目的:如果Everyone 組的用戶具備完全控制權,則可以對該文件夾或者文件進行所有的文件操作,建議取消Everyone組的完全控制權限。
步驟:查看每個系統驅動器根目錄是否設置為Everyone有所有權限,刪除Everyone的權限或者取消Everyone的寫權限。
注:默認狀態下,所有用戶對於新創建的文件共享都擁有完全控制權限。系統中所有必要的共享都應當設置合適的權限,以便使用戶擁有適當的共享級別訪問權(例如, Everyone 設置成“讀取”)。
4)限制命令權限
WScript.Shell 、Shell.application 這兩個組件一般一些ASP木馬或一些惡意程序都會使用到。黑客在拿到webshell后,一般都是先通過這兩個組件提權,為了服務器安全,應該卸 載這些不安全組件。
regsvr32 /u C:\WINDOWS\System32\wshom.ocx
regsvr32 /u C:\WINDOWS\system32\shell32.dll
除了卸載不安全組件外,我們還應該對一些命令做限制。建議對以下命令做限制,只允許system、Administrator組訪問:
找到對應的文件,把其他用戶的權限去掉,只留下system、Administrator 組的訪問權限。
5)網絡服務安全
目的:關閉一些不必要的服務和端口,可以大大降低被入侵的風險。
步驟:關閉不必要的服務:開始->運行->services.msc。根據自己的情況來禁用服務,同時應該及時更新應用服務版本。關閉端口
使用netstat 來查看端口使用情況,加上 –a 選項顯示所有的連接和監聽端口,加上-n以后以數字形式顯示地址和端口號。
Listening 狀態的表示正在監聽,等待連接。
開始->運行->secpol.msc (本地安全策略)-> IP安全策略,在本地計算機
右邊的空白位置右擊鼠標,彈出快捷菜單,選擇 “創建IP安全策略”,彈出向導。在向導中點擊下一步,當顯示“安全通信請求”時,“激活默認相應規則”左邊的復選框留空, 點“完成”就創建了一個新的IP安全策略。
右擊剛才創建的IP 安全策略,選擇屬性,去掉使用添加向導的復選框。
點擊左邊的添加來添加新的規則,在彈出的新規則屬性里點擊添加,彈出IP篩選器列表窗口,先把使用添加向導的復選框去掉
點擊右邊的添加來添加新的篩選器。
在IP 篩選器屬性的地址選項里,把源地址設置成任何IP地址,目標地址選擇我的IP地址。
在選擇協議選項,協議類型選擇TCP,然后在到此端口下的文本框輸入135,點擊確定。
點擊確定,這樣就添加了一個屏蔽TCP135 端口的篩選器,可以防止別人通過135端口連接服務器,重復上面的步驟,把需要屏蔽的端口都建立相應的篩選器,協議類型要選擇對應 的類型。
在新規則屬性對話框中,選擇剛才我們新建的篩選器,點擊左邊的復選框,點擊應用。
點擊篩選器操作選項,去掉使用添加向導復選框,點擊添加按鈕,在新篩選器操作屬性的安全方法中,選擇阻止,點擊應用,確定。
在篩選器操作選項卡中,把剛添加的篩選器操作復選框選中。
最后在新IP安全策略屬性對話框中,把我們剛新建的IP篩選器列表前的復選框選中,點擊確定。
這樣就把一些端口屏蔽掉了。
網絡限制
開始->運行->secpol.msc ->安全設置->本地策略->安全選項,進行一下設置:
設置完以后,執行gpupdate /force 是策略立即生效。
6)日志及審計的安全性
Windows Server 2008 系統日志包括:
1、應用程序日志。應用程序日志包含由應用程序或系統程序記錄的時間。
2、安全日志。安全日志記錄着有效和無效的登陸事件,以及與文件操作的其他事件。
3、系統日志。系統日志包含Windows 系統組件記錄的事件。
4、安裝程序日志。安裝程序日志,記錄在系統安裝或者安裝微軟公司產品時,產生的日志。
步驟:在cmd輸入eventvwr.msc 來打開事件查看器
在安全日志中,記錄着系統的登陸事件。
雙擊任何一個日志,即可顯示詳細信息。
里面記錄了登陸的源IP 地址等信息。
通過查看日志,能夠發現登錄異常等情況來判斷自己有沒有被入侵或攻擊。系統默認的日志量較小,應該增大日志量大小,避免由於日志文件容量過小導致日志記錄不全。右擊要設 置的日志類型,選擇屬性。
根據自己的需要設置日志大小。
增強審核
對系統事件進行審核,在日后出現故障時用於排查故障。
步驟:開始->運行->secpol.msc ->安全設置->本地策略->審核策略
建議設置
設置完以后 執行gpupdate /force 使策略生效。
7)補丁管理
做了上面的設置以后,我們應該及時更新補丁,保證系統本身不會有漏洞,下載補丁要從可靠的地方下載,最好從官網下載,安裝補丁建議手動安裝,有些補丁會引起業務的不穩定。
除了上述操作,還要靠管理員在日常管理中發現問題並及時修補才能保證服務器的安全。
除了上面的講到的,還有哪些加固的方法?
調整事件日志的大小及覆蓋策略:“開始” —“運行”輸入 eventvwr.msc。增大日志小,避免由於文件容量過小導致重要記錄遺漏
四、心得體會
掌握了windows 的安全加固方案,保證服務器的安全。
五、課后習題
