Windows服务器的基础安全加固方法(2008、2012)

美团云(MOS)提供Windows Server 2008 R2和Windows Server 2012 R2数据中心版的云主机服务器。由于Windows服务器市场占有率较高的原因,针对Windows服务器的病毒木马等恶意软件较多,且容易获得,技术门槛也较低,因此Windows服务器的安全问题需要格外留意。为了安全地使用Windows云主机,建议应用如下几个简单的安全加固措施。虽然简单,但是已足够防御大部分较常见的安全风险。

一、设置强密码

  美团云Windows服务器创建后会给管理员(Administrator)帐号自动生成12位的随机密码,在首次登入Windows服务器后,建议立即更改密码。密码尽量随机,要包含数字,大小写字母和特殊符号,长度至少12位。可以采用一些工具,例如:https://identitysafe.norton.com/password-generator,生成较强的随机密码。并且以后至少每隔3个月修改一次密码。

  修改密码的方法为:在管理员成功登入主机后,按"Ctrl-Alt-Delete",选择"修改密码" (提示:可以通过美团云Web终端登入,点击右上角的"Ctrl-Al-Delete"按钮输入该按键组合)

二、开启自动系统更新

  美团云Windows服务器均已获得原厂正版授权,可以开启Windows更新服务,自动更新修补系统漏洞,以避免被恶意攻击者利用侵入服务器。请用下面流程检查是否启用自动更新,如果没有启用,则建议启用。

  Windows Server 2008

  点击任务栏的"服务器管理器"图标 在右侧的面板中,点击"配置更新" 在弹出的对话框中,选择"自动安装更新"

  Windows Server 2012

  点击任务栏的"服务器管理器"图标 打开服务器管理器仪表盘,点击"配置此本地服务器" 点击"Windows更新"后的链接 在弹出的窗口,如果未启用自动更新,则显示如图所示警示,点击"启用自动更新"。

三、开启防火墙

  美团云已经提供了防火墙服务,如果您正在使用美团云主机,可以在美团云控制面板使用美团云提供的防火墙服务进行防火墙设置。美团云平台提供的防火墙是在虚拟机外部的云平台提供了网络端口的防火墙功能,配置相对简单宜用。如果其功能满足需求,建议关闭Windows系统内置的防火墙。否则可以参考以下内容设置Windows内置的防火墙。

  (提示:为了避免Windows自带防火墙和云平台防火墙功能的冲突,在启用Windows自带防火墙后,请将云平台的防火墙设置为"开放"。)

  如果Windows服务器购买了公网带宽,则会有一个带公网IP地址的网卡与公网对接。用户可以访问这个IP地址访问部署在主机上的服务。但是与此同时,恶意攻击者也可能利用系统漏洞,通过这个公网IP侵入你的服务器。此时,除了要开启自动更新及时修复系统漏洞外,还建议开启Windows server的防火墙,减少直接暴露在公网的端口,降低危险端口暴露在公网的风险。并且,对于远程桌面(TCP 3389)等用于管理目的的服务端口,最好设置允许访问的IP白名单,以尽量减少被恶意扫描的风险。

  (提示,建议通过美团云控制台的Web终端来配置防火墙,以防止配置过程中出现误操作,导致远程桌面连接关闭。)

开启Windows防火墙的步骤如下:

  Windows server 2008

  点击任务栏的"服务器管理器"图标 在右侧的面板中,点击"转到Windows防火墙" 在左侧的树状列表中,鼠标右键点击"高级安全Windows防火墙" 在弹出的对话框中,选择"公用配置文件"叶签,确定"防火墙状态"为"开启",点击"确定"关闭对话框

  开启防火墙后,为了不影响远程桌面的访问,需要确保允许远程桌面的访问,方法为:

  在左侧的树状列表中,展开"高级安全Windows防火墙",点击"入站规则",在中间的规则列表中,查看"远程桌面(TCP-In)"是否开启。如果没有开启,选中该规则,点击右侧的"启用规则"开启

  Windows server 2012

  点击任务栏的"服务器管理器"图标 打开服务器管理器仪表盘,点击"配置此本地服务器" 点击"Windows防火墙"后的链接 在弹出的窗口,点击左边拦的"启用或关闭Windows防火墙" 在弹出的对话框,确保"公用网络设置"下选中"启用Windows防火墙",并且不要勾选下面的两个复选框。点击"确定"关闭对话框

  同样,启用防火墙后也需要确保允许远程桌面的访问,方法为:

  在"Windows防火墙"界面,点击"高级设置",打开的"高级安全Windows防火墙"窗口 在左边栏选择"入站规则",在中间规则列表中,找到"远程桌面-用户模式(TCP-In)",且"配置文件"为"公用"的规则。如果没有开启,选中该规则,点击右侧的"启用规则"开启

  如果安装了IIS服务,则系统会自动安装并启用允许80(HTTP)和443(HTTPS)服务的入站规则,不需要特殊配置。但是如果安装了第三方的Web服务器,例如LAMP,则需要手动安装允许访问80和443的入站规则。Windows 2008/2012的配置方法相同,如下:

  在防火墙"入站规则"界面,点击右侧"新建规则..." 在弹出对话框,选择"端口",点击"下一步" "此规则应用于TCP还是UDP?",选择"TCP";"此规则应用于所有本地端口还是特定的端口": 选择"特定本地端口",在输入框中输入"80, 443",点击"下一步" 选择"允许连接",点击"下一步" 选择所有复选框,点击"下一步" 名称中输入"Web服务", 点击"完成"

  四、开启IE增强安全配置

  IE的增强安全配置启用后,服务器IE浏览器只能访问白名单内网站。这样能够有效避免管理员在服务器不小心访问恶意站点导致服务器感染病毒或木马。该配置默认开启。如果没有开启,建议开启。开启方法为:

  Windows server 2008

  点击任务栏的"服务器管理器"图标 在弹出窗口的右侧面板,点击"配置IE ESC",在弹出的对话框开启/关闭该功能

  Windows server 2012

  点击任务栏的"服务器管理器"图标 打开服务器管理器仪表盘,点击"配置此本地服务器" 点击"IE增强的安全配置"后的链接,在弹出的对话框开启/关闭该功能

  五、安装并启用防毒软件

  更进一步地,还可以安装并启用实时杀毒软件来进一步提高服务器的安全性。一旦恶意软件突破前面四步构筑的防线,进入了云主机,实时杀毒软件可以防止恶意软件在云主机运行,保障云主机的安全性。

  Windows Security Essentials是微软为Windows 7/Vista开发的免费杀毒软件,可以用于保护Windows Server 2008 R2数据中心版。

  Windows Security Essentials安装比较简单,只需要在上述链接下载并运行安装文件,逐步完成向导就能顺利完成。

  Windows Server 2012数据中心版可用的(免费)杀毒软件不多。目前可以申请试用System Center 2012 R2 Configuration Manager,并安装其附带的杀毒客户端System Center Endpoint Protection。

  安装方法为:

  下载软件包后解压(目前为SC2012_R2_SCCM_SCEP.exe),进入SMSSETUP/CLIENT目录

  双击执行scepinstall,按照提示逐步安装System Center Endpoint Protection。

我们小编建议独立服务器安装:mcafee 8.8

  六、合理的服务部署架构

  最后,合理的服务部署架构能够减少整个Windows服务器站点暴露在外的风险点,提升安全阈值。需要遵循的原则是:

  单一角色原则:一台云主机服务器只做一件事情,只提供一种服务。例如数据库服务在一台服务器,Web服务器部署在另外一台。这样可以较准确地评估这台服务器是否需要公网地址,是否需要开启哪些端口,这样能够尽量少地暴露公网地址和端口,从而减少风险点。例如,数据库服务一般不需要公网地址,这样就不用购买公网带宽,既节约了费用,同时也更安全。Web服务器则一般只开启80/443端口,其他端口都可以通过防火墙关闭。

  精简原则:能不开启的服务和功能则不开启,能不安装的软件尽量不安装,能不开启的端口确保不开启,能不用公网的主机就不要购买公网带宽。坚持minimalism的原则,既节能环保,也降低安全风险。

(0)

相关推荐

  • SQL Server成功与服务器建立连接但是在登录过程中发生错误的快速解决方案

    最近在VS2013上连接远程数据库时,突然连接不上,在跑MSTest下跑的时候,QTAgent32 crash.换成IIS下运行的时候,IIS crash.之前的连接是没问题的,后网上找了资料,根据牛人所说的方案解决了. 1. Exception message 已成功与服务器建立连接,但是在登录过程中发生错误. (provider: SSL Provider, error: 0 - 接收到的消息异常,或格式不正确.) ---> System.ComponentModel.Win32Except

  • 腾讯云CentOS 6.6快速安装 Nginx服务器图文教程

    一.下载Nginx 从Nginx的官网(http://nginx.org/en/download.html)下载Nginx的最新版本,这里我下载的是nginx-1.9.12. 下载完成后,得到一个如下图所示的压缩包 上传nginx的tar包到Linux服务器上,如下图所示: 二.安装Nginx 2.1.安装前提 在安装Nginx前,需要确保系统安装了g++,gcc, openssl-devel.pcre-devel和zlib-devel软件. 1.安装必须软件:yum -y install zl

  • Git 教程之服务器搭建详解

    Git 服务器搭建 上一章节中我们远程仓库使用了 Github,Github 公开的项目是免费的,但是如果你不想让其他人看到你的项目就需要收费. 这时我们就需要自己搭建一台Git服务器作为私有仓库使用. 接下来我们将以 Centos 为例搭建 Git 服务器. 1.安装Git $ yum install curl-devel expat-devel gettext-devel openssl-devel zlib-devel perl-devel $ yum install git 接下来我们

  • Linux服务器下MariaDB 10自动化安装部署

    去MariaDB官网下载MariaDB本文用的是MariaDB 10.1.16 https://downloads.mariadb.org 选择二进制版本,下载到/root目录下 mariadb-10.1.16-linux-x86_64.tar.gz 开始安装 [root@HE3 ~]# cat mariadb_auto_install.sh ###### 二进制自动安装数据库脚本root密码MANAGER将脚本和安装包放在/root目录即可############### ######数据库目录

  • Ajax 高级功能之ajax向服务器发送数据

    1. 准备向服务器发送数据 Ajax 最常见的一大用途是向服务器发送数据.最典型的情况是从 客户端发送表单数据,即用户在form元素所含的各个 input 元素里输入的值.下面代码展示了一张简单的表单: <!DOCTYPE html> <html lang="en"> <head> <meta charset="UTF-8"> <title>基本表单</title> <style>

  • 利用ssh实现服务器文件上传下载

    通过ssh实现服务器文件上传下载 写在前面的话 之前记录过一篇使用apache的FTP开源组件实现服务器文件上传下载的方法,但是后来发现在删除的时候会有些权限问题,导致无法删除服务器上的文件.虽然在Windows上使用FileZilla Server设置读写权限后没问题,但是在服务器端还是有些不好用. 因为自己需要实现资源管理功能,除了单文件的FastDFS存储之外,一些特定资源的存储还是打算暂时存放服务器上,项目组同事说后面不会专门在服务器上开FTP服务,于是改成了sftp方式进行操作. 这个

  • Nginx服务器Nginx.com配置文件详解

    在此记录下Nginx服务器nginx.conf的配置文件说明, 部分注释收集与网络. #运行用户 user www-data; #启动进程,通常设置成和cpu的数量相等 worker_processes 1; #全局错误日志及PID文件 error_log /var/log/nginx/error.log; pid /var/run/nginx.pid; #工作模式及连接数上限 events { use epoll; #epoll是多路复用IO(I/O Multiplexing)中的一种方式,但

  • 在一台服务器上安装两个或多个mysql的实现步骤

    如何在一台服务器上安装两个或者更多个的mysql呢?下面是详细的操作步骤,一起来学习学习吧. 一.环境 mysql软件包: mysql-5.6.31.tar mysql-5.5.32.tar 操作系统环境: CentOS release 6.8 (Final) 二.系统规模 /mysqlsoft 用来存放mysql的各个程序 /mysqlsoft/mysql1 用来存放mysql-5.5.32.tar的安装程序 /mysqlsoft/mysql2 用来存放mysql-5.6.31.tar的安装程

  • 安卓手机socket通信(服务器和客户端)

    本文实例为大家分享了安卓手机socket通信代码,供大家参考,具体内容如下 1.socket通信首先要定义好服务端的ip地址和端口号: (1).首先看服务端的代码: package com.example.androidsockettest; import java.io.BufferedReader; import java.io.IOException; import java.io.InputStream; import java.io.InputStreamReader; import

  • dubbo 管理控制台安装和使用详解

    关于dubbo的配置使用已经配置好了简单的示例,下面先记录下dubbo管理控制台的安装和使用(用的zookeeper的注册中心),在网上找了些按照示例 dubbo管理控制台开源部分主要包含: 提供者  路由规则  动态配置  访问控制  权重调节  负载均衡  负责人,等管理功能. 1.下载dubbo 我上传地址:http://download.csdn.net/detail/liweifengwf/7784901 官方地址:http://code.alibabatech.com/mvn/rel

  • Windows 2008 服务器安全加固几个注意事项

    一.系统信息 查看系统版本 Windows Server 2008 r2 Enterprise 用途 Vpn服务器 查看主机名 查看网络配置 二.杀毒软件管理 2.1 杀软安装 操作目的 预防木马及病毒等危害程序 检查方法 检查系统杀软服务是否启动. 加固方法 安装杀毒软件:开启实时监控:设置合适的监控级别:为杀软设置密码. 是否实施 备注 三.补丁管理 3.1补丁安装 操作目的 安装系统补丁,修补漏洞 检查方法 使用漏扫工具扫描. 加固方法 使用工具自动化打补丁. 是否实施 备注 四.账号口令

随机推荐