大家好,这是我在博客的第一篇文,希望自己有着一日能成为技术博主(给自己做了很多随笔分类,其实每方面挺是渣渣级别,就是希望能通过分享来不断完善自己,多学习一些不同的角度,还请大家多指教~),哈哈哈~ 话不多说,进入我们今天的正题部分吧。
相信无论是很多做运维的小伙伴们,平日工作里难免会跟微软的Server系统打交道。既然作为服务器系统,所以他的安全性要求也肯定会比我们平常的个人PC的要求要高一些,我这里也是给大家分享一下,如何通过一些简单的设置,来加固我们系统的安全性。(本次方法分享基于Windows Server 2008r2)
账号管理
首先是系统的账号管理,Administrator系统管理员账号,是大家部署服务器系统中最常用的账户,第一个加固的思路就是我们对管理员账户进行重命名,这样就可以增加管理员账户被盗用的风险,同时我们可以金庸Guest来宾账户,因为一般来说这个账号大家都用不到(我是真没用过,如果哪位大佬知道这个账号有什么妙用,希望能指导一下小弟~感激~)
方法:开始➡管理工具➡服务器管理器➡配置➡本地用户和组➡用户
到了这个页面以后,我们可以通过右键单击administrator,选择重命名来给管理员账号起一个新的名字,这样我们在登录的时候就不是administrator了。同时我们也可以通过新建不同的用户为用户分配不同的用户组和权限,删除或锁定无关账户,进一步规范账户的管理。
密码管理
密码管理分为几个部分,首先我们要做到密码要有一定的复杂度,密码应包括英文大小写、数字、特殊符号等方式,避免设置过于简单的密码,例如我们可以设置为zHANG@san#312..之类的尽量复杂一点的密码(当然一定要做好台账啊 ,千万不要最后自己都进不去系统了)。在做好了账户密码的基础后,我们可以通过设置一些本地安全策略来进一步保障密码安全。
方法:开始➡管理工具➡本地安全策略➡安全设置➡账户策略➡密码策略
密码策略的选项并不多,第一项密码必须符合复杂性要求,上文中我们已经实现了;密码最长\最短使用期限这项大家可以自行斟酌是否有需求,因为我比较懒所以我都是直接设置成0;强制密码历史这里我们可以设置成0-24个记住的密码,比如我们设置成10就是我们更改10次账户密码,这10次不能有重复密码出现,这个还是比较好理解的。密码方面也就这些,剩余策略一般不用去动它。同时在密码策略下方我们还可以看到一个账户安全策略,我也把他归类到密码管理中来讲,账户锁定阈值是指登录失败次数,然后失败次数满了之后,我们也可以设置再次尝试的时间,来进一步防止字典爆破等手段。
远程权限&本地权限管理
远程权限管理主要是为了尽量预防外部攻击,本地权限的管理主要是为了阻止一些内网已经被攻略的PC对我们的服务器发起攻击。这部分的相关设置我的方法还是以通过设置一些本地安全策略来预防和避免。
方法:开始➡管理工具➡本地安全策略➡安全设置➡本地策略➡安全选项
首先我们在安全选项中配置限制远程用户访问注册表信息,因为我们平时基本不会有远程访问注册表的需求,有这种需求的,基本都是对我们服务器系统有些非分之想的人。所以我们直接从ban掉注册表的远程访问功能;其次关于匿名访问我们内网中的资源这种事情,我们的管理员一般也不会允许这种事情发生,所以在这部分设置中,有关于匿名访问共享资源的,我们也一律ban掉;然后作为系统的运维人员,总不可能天天抱着个显示屏直连屏幕,我们还是会有一些远程访问,远程控制的需求,所以我们可以配置一下那些账户可以做这部分操作,如果是本地环境的话,我推荐只给administrators组远程访问的权限,如果是域环境,可以增添domain Admins等用户组的访问权限,最后嘛,还有很多一些细节的操作大家看一下我下面列举出来的操作选项大概也就能明白作用是什么(这部分因为时间原因就不一一的做贴图了,希望后续有机会我可以补上)。
这部分内容较多就不上图了,直接通过文字呈现给大家:
安全选项部分:
1) 配置“网络访问: 可远程访问的注册表路径”为空。
2)配置“网络访问: 可远程访问的注册表路径和子路径”为空。
3) 配置“网络访问: 可匿名访问的共享”为空。
4)配置“网络访问: 可匿名访问的命名管道”为空。
用户权限分配部分:
1)“允许在本地登录”配置为指派给指定授权用户。
2)配置“关闭系统”指派给“Administrators”组。
3)配置“从远程系统强制关机”指派给“Administrators”组。
4)配置“取得文件或其他对象的所有权”为指派给“Administrators”组。
5)配置“从网络访问此计算机”指派给“Administrators”组。
系统审核管理
系统审核管理部分主要是针对系统出现问题后,我们运维人员可以通过查看系统日志的方式来确定问题源头,预防下一次的发生,所以系统的日志记录是很重要的一件事情。我们可以讲本地策略中的审核策略的安全设置更改为成功,失败选项,这样的话系统的一些事件、状态以及操作记录我们都很很好的掌握。
方法:开始➡管理工具➡本地安全策略➡安全设置➡本地策略➡审核策略
做好了日志审核策略后,我们可以在事件查看器中查看应用、系统、安全等日志记录,来查看系统到底发生了什么事情~,通过右键单击--属性,我们也可以配置日志文件的大小和选择日志记录溢出后的处理方式,这样我们就可以更好的对症下药,哪痛医那 ,当然万一系统抽风,该治不好还是治不好~
其他设置管理
以上就是通过一些对安全方面的设置和策略配置来让我们的系统变得更安全,其中还有一些难以分类没有涉及到的,我都归类到其他中,大家可以自行参考一下是否有相关设置的需求酌情考虑。
系统启动项管理:
根据业务需求,关闭一些用不到的程序和服务。
关闭Windows自动播放功能:
在开始菜单中输入”gpedit.msc“命令然后进入“计算机配置→管理模板→Windows组件→自动播放策略”, 配置“关闭自动播放”为“已启用”。
配置屏幕保护密码和开启时间:
进入“开始→控制面板→个性化→屏幕保护程序”,配置启用屏幕保护程序,配置等待时间长久可以自行斟酌,我这里设置的是10分钟,并启用“在恢复时进入登陆界面”
不显示上次登陆的用户名:
这个在上文中的安全现象中有一个“交互式登录:不显示最后的用户名”将这个策略改为”已启用“即可。
关机前清楚虚拟内存页面:
关闭服务器前,通过清除虚拟内存页面,可以i很好的保护暂存在缓存中的数据,避免产生数据损坏和丢失问题。
操作系统补丁管理:
这个只需要下载最新的Service Pack补丁包,有需求时候打上就可以啦,但是如果不是刚刚装过的新服务器,一定要对服务器系统先进行兼容性测试,防止影响正在运行的业务。