[點(diǎn)晴永久免費(fèi)OA]Windows Server服務(wù)器安全加固8大要點(diǎn)指南
當(dāng)前位置:點(diǎn)晴教程→點(diǎn)晴OA辦公管理信息系統(tǒng)
→『 經(jīng)驗分享&問題答疑 』
在數(shù)字化時代,服務(wù)器安全至關(guān)重要。Windows 服務(wù)器作為廣泛使用的操作系統(tǒng),其安全加固工作不容忽視。本文將詳細(xì)介紹 Windows 服務(wù)器安全加固的方法與步驟,幫助管理員提升服務(wù)器的安全性,有效抵御各類潛在威脅。 (一)密碼策略設(shè)置 密碼復(fù)雜度要求:強(qiáng)制啟用高強(qiáng)度密碼策略,密碼長度建議設(shè)置為 12 位以上,且需包含大小寫字母、數(shù)字及特殊符號。通過打開 “控制面板 >系統(tǒng)和安全> 管理工具 > 本地安全策略”,在 “帳戶策略 > 密碼策略” 中,確認(rèn) “密碼必須符合復(fù)雜性要求” 策略已啟用。 密碼最長留存期:為降低密碼被破解風(fēng)險,應(yīng)設(shè)置帳戶口令的留存期。對于采用靜態(tài)口令認(rèn)證技術(shù)的設(shè)備,帳戶口令的留存期不應(yīng)長于 90 天。在上述 “本地安全策略” 的 “密碼策略” 中,配置 “密碼最長使用期限” 不大于 90 天。
(二)賬戶管理 禁用默認(rèn)賬戶或重命名:Windows Server 的默認(rèn)賬戶 Administrator 常成為攻擊者的目標(biāo)。為提高安全性,可將其重命名為不易被猜測的名稱,或者直接禁用該默認(rèn)賬戶,并創(chuàng)建新的管理員賬戶。操作方法為打開 “控制面板> 系統(tǒng)和安全>管理工具 > 計算機(jī)管理”,在 “系統(tǒng)工具 > 本地用戶和組 > 用戶” 中,對 Administrator 賬戶進(jìn)行相應(yīng)設(shè)置。
清理無效或休眠賬戶:定期檢查并清理服務(wù)器上的無效或休眠賬戶,減少潛在的攻擊面。同樣在 “計算機(jī)管理” 的 “用戶” 列表中,可直觀查看各個賬戶的使用情況,對于長期未使用的賬戶進(jìn)行刪除或禁用處理。
啟用賬戶鎖定策略:為防止暴力破解,啟用賬戶鎖定策略。設(shè)置連續(xù)錯誤登錄次數(shù),如 5 次,當(dāng)達(dá)到該次數(shù)后鎖定賬戶一定時間,例如 30 分鐘。在 “本地安全策略” 的 “帳戶策略 > 帳戶鎖定策略” 中,配置 “帳戶鎖定閾值” 為 5 次,并設(shè)置 “帳戶鎖定時間” 為 30 分鐘。
(一)開啟自動更新 開啟 Windows Update 自動更新功能,確保系統(tǒng)能及時獲取并安裝每月的累積補(bǔ)丁。路徑為 “設(shè)置> 更新”,點(diǎn)擊 “更改設(shè)置”,選擇 “自動安裝更新(推薦)”。這能有效修復(fù)系統(tǒng)漏洞,降低被攻擊風(fēng)險。
(二)集中管理補(bǔ)丁分發(fā)(針對服務(wù)器環(huán)境) 對于服務(wù)器等關(guān)鍵設(shè)備,建議通過 WSUS(Windows Server Update Services)集中管理補(bǔ)丁分發(fā)。WSUS 允許管理員在內(nèi)部網(wǎng)絡(luò)中部署補(bǔ)丁服務(wù)器,統(tǒng)一管理和分發(fā)補(bǔ)丁,既能保證服務(wù)器及時更新,又能根據(jù)實際情況靈活控制更新時間和內(nèi)容,避免因自動更新在不合適的時間發(fā)生而影響業(yè)務(wù)運(yùn)行。 (三)定期檢查高危漏洞 定期關(guān)注 CVE 公告,檢查并修復(fù)服務(wù)器上的高危漏洞。如 Print Spooler 遠(yuǎn)程代碼執(zhí)行漏洞(CVE - 2021 - 34527),該漏洞可使攻擊者在無需用戶交互的情況下遠(yuǎn)程執(zhí)行代碼。通過微軟官方網(wǎng)站或安全漏洞信息平臺獲取漏洞信息及相應(yīng)的補(bǔ)丁程序,及時進(jìn)行修復(fù)。
(一)啟用 Windows Defender 防火墻 啟用 Windows Server 自帶的 Windows Defender 防火墻,僅開放服務(wù)器業(yè)務(wù)運(yùn)行所需的必要端口。例如,若服務(wù)器提供網(wǎng)頁服務(wù),則開放 HTTP 80 端口和 HTTPS 443 端口,關(guān)閉其他不必要的端口,減少外部攻擊的入口。在 “控制面板> 系統(tǒng)和安全 > Windows 防火墻” 中進(jìn)行端口開放和關(guān)閉的設(shè)置。
(二)關(guān)閉高風(fēng)險協(xié)議 關(guān)閉 NetBIOS、SMBv1 等高風(fēng)險協(xié)議。NetBIOS 協(xié)議存在安全隱患,容易被攻擊者利用進(jìn)行信息竊取和攻擊;SMBv1 協(xié)議也有諸多安全漏洞。在 “網(wǎng)絡(luò)連接屬性” 中,雙擊 “Internet 協(xié)議版本 4(TCP/IPv4)”,單擊 “高級”,在 “WINS” 頁簽中,選擇 “禁用 TCP/IP 上的 NetBIOS”。同時,通過 “控制面板 > 程序和功能 > 打開或關(guān)閉 Windows 功能”,取消勾選 “SMB 1.0/CIFS 文件共享支持” 來關(guān)閉 SMBv1 協(xié)議。
(三)限制入站 / 出站流量 通過防火墻的高級安全策略限制入站 / 出站流量。例如,阻止 ICMP 回顯請求,可減少網(wǎng)絡(luò)探測行為。在 “Windows 防火墻” 的 “高級設(shè)置” 中,創(chuàng)建入站規(guī)則,選擇 “自定義”,在 “協(xié)議和端口” 中選擇 “ICMPv4”,并設(shè)置操作類型為 “阻止連接”。同時,根據(jù)服務(wù)器的業(yè)務(wù)需求,設(shè)置合理的出站規(guī)則,限制服務(wù)器主動對外連接的行為,防止惡意軟件通過網(wǎng)絡(luò)外發(fā)數(shù)據(jù)。
(一)禁用非必要系統(tǒng)服務(wù) 禁用非必要的系統(tǒng)服務(wù),如 Remote Registry(允許遠(yuǎn)程修改注冊表,存在安全風(fēng)險)、Telnet(遠(yuǎn)程登錄服務(wù),安全性較低)等。在 “計算機(jī)管理> 服務(wù)和應(yīng)用程序 > 服務(wù)” 中,找到相應(yīng)服務(wù),右鍵屬性,將啟動類型設(shè)置為 “禁用”。
(二)關(guān)閉老舊組件 關(guān)閉 PowerShell 2.0 等老舊組件,這些組件可能存在已知的安全漏洞。通過 “控制面板> 程序 > 打開或關(guān)閉 Windows 功能”,找到 “Windows PowerShell 2.0” 并取消勾選。 (三)移除未使用的角色 針對服務(wù)器環(huán)境,若某些角色未被使用,如 IIS(互聯(lián)網(wǎng)信息服務(wù))、Hyper - V(虛擬化平臺)等,可通過 “打開或關(guān)閉 Windows 功能” 進(jìn)行移除,降低服務(wù)器的攻擊面。
(一)使用 NTFS 格式分區(qū)并設(shè)置 ACL 權(quán)限 服務(wù)器磁盤分區(qū)應(yīng)使用 NTFS 格式,該格式支持更精細(xì)的權(quán)限設(shè)置。設(shè)置 ACL(訪問控制列表)權(quán)限時,遵循最小權(quán)限原則,只賦予用戶和組執(zhí)行任務(wù)所需的最低權(quán)限。例如,對于關(guān)鍵目錄如 System32,禁止普通用戶寫入權(quán)限,防止惡意程序篡改系統(tǒng)文件。在文件或文件夾的屬性中,選擇 “安全” 選項卡進(jìn)行權(quán)限設(shè)置。
(二)啟用 BitLocker 全盤加密 啟用 BitLocker 全盤加密保護(hù)物理存儲數(shù)據(jù)。特別是當(dāng)服務(wù)器存儲敏感數(shù)據(jù)時,該功能可防止數(shù)據(jù)在物理設(shè)備丟失或被盜時被竊取。配置 TPM(可信平臺模塊)芯片綁定加密密鑰,進(jìn)一步增強(qiáng)安全性。在 “控制面板> 系統(tǒng)和安全 > BitLocker 驅(qū)動器加密” 中,按照提示啟用加密功能,并根據(jù)實際情況選擇是否使用 TPM 芯片。 (三)審核共享文件夾權(quán)限 定期審核共享文件夾權(quán)限,關(guān)閉 Everyone 組的匿名訪問。在 “計算機(jī)管理> 共享文件夾” 中,查看每個共享文件夾的共享權(quán)限,確保只有授權(quán)用戶或組具有訪問權(quán)限。對于不必要的共享文件夾,及時進(jìn)行關(guān)閉或調(diào)整權(quán)限。
(一)啟用安全審計策略 啟用安全審計策略,記錄賬戶登錄、策略更改等關(guān)鍵事件。在 “本地安全策略> 本地策略 > 審核策略” 中,打開以下內(nèi)容的審核:審核策略更改(成功和失敗)、審核登錄事件(成功和失敗)、審核對象訪問(失敗)、審核過程跟蹤(可根據(jù)需要選擇)、審核目錄服務(wù)訪問(失敗)、審核特權(quán)使用(失敗)、審核系統(tǒng)事件(成功和失敗)、審核賬戶登錄事件(成功和失敗)、審核賬戶管理(成功和失敗)。
(二)配置日志文件大小與覆蓋策略 設(shè)置日志文件大小,建議設(shè)置為≥128MB,可根據(jù)服務(wù)器磁盤空間實際情況進(jìn)行調(diào)整。同時,設(shè)置當(dāng)達(dá)到最大日志尺寸時的覆蓋策略,如按需要輪詢記錄日志。在 “控制面板> 管理工具 > 事件查看器” 中,配置 “應(yīng)用日志”“系統(tǒng)日志”“安全日志” 屬性中的日志大小及覆蓋策略。
(三)集中分析日志與建立告警規(guī)則 通過事件查看器或 SIEM(安全信息和事件管理)系統(tǒng)集中分析日志。建立異常登錄(如非工作時間訪問)、高頻失敗登錄等告警規(guī)則。當(dāng)出現(xiàn)符合告警規(guī)則的事件時,及時通知管理員,以便快速響應(yīng)和處理潛在的安全威脅。例如,使用 SIEM 系統(tǒng)時,可根據(jù)日志數(shù)據(jù)設(shè)置閾值和規(guī)則,當(dāng)檢測到非工作時間有大量登錄嘗試或連續(xù)多次登錄失敗時,系統(tǒng)自動發(fā)送郵件或短信通知管理員。
(一)部署 EDR 終端檢測響應(yīng)系統(tǒng) 部署 EDR(終端檢測響應(yīng))系統(tǒng),實時監(jiān)測服務(wù)器上的進(jìn)程、文件活動等,及時發(fā)現(xiàn)并阻止惡意行為。EDR 系統(tǒng)能夠?qū)梢苫顒舆M(jìn)行深度分析,提供詳細(xì)的威脅情報,幫助管理員快速定位和處理安全事件。同時,啟用 Windows Defender 實時防護(hù)與定期全盤掃描,進(jìn)一步加強(qiáng)對病毒、惡意軟件的防護(hù)能力。在 Windows Defender 設(shè)置中,開啟實時監(jiān)控功能,并設(shè)置定期全盤掃描的時間和頻率。
(二)瀏覽器安全設(shè)置 瀏覽器作為服務(wù)器與外界交互的重要工具,也需進(jìn)行安全設(shè)置。禁用 Flash/Java 等老舊插件,這些插件存在大量安全漏洞,易被攻擊者利用。同時,啟用 EMET(增強(qiáng)減災(zāi)體驗工具)對抗內(nèi)存攻擊。在瀏覽器的設(shè)置或插件管理中,禁用 Flash 和 Java 插件;下載并安裝 EMET 工具,根據(jù)服務(wù)器環(huán)境和需求進(jìn)行相應(yīng)配置。
(一)定期全量備份系統(tǒng)狀態(tài) 配置 Windows Server Backup 定期全量備份系統(tǒng)狀態(tài)至離線存儲設(shè)備,如外部硬盤或網(wǎng)絡(luò)存儲。定期進(jìn)行備份可確保在服務(wù)器遭受攻擊或出現(xiàn)故障時能夠快速恢復(fù)。同時,要定期測試備份文件的可恢復(fù)性,確保備份數(shù)據(jù)的有效性。在 “控制面板>系統(tǒng)和安全> 管理工具 > Windows Server Backup” 中,設(shè)置備份計劃和目標(biāo)存儲位置,并定期執(zhí)行恢復(fù)測試。
(二)采用 3 - 2 - 1 備份原則 針對勒索軟件等威脅,建議采用 3 - 2 - 1 備份原則,即保留 3 份數(shù)據(jù)副本,存儲在 2 種不同類型的存儲介質(zhì)上,其中 1 份副本存儲在異地。例如,一份數(shù)據(jù)副本存儲在服務(wù)器本地磁盤,一份存儲在外部硬盤,另一份存儲在異地的數(shù)據(jù)中心。這樣即使本地數(shù)據(jù)遭受破壞,仍可通過其他副本進(jìn)行恢復(fù)。
(三)建立系統(tǒng)鏡像快照 建立系統(tǒng)鏡像快照,以便在服務(wù)器出現(xiàn)嚴(yán)重問題時能夠快速恢復(fù)到之前的正常狀態(tài)。系統(tǒng)鏡像快照可記錄服務(wù)器在某一時刻的完整狀態(tài),包括操作系統(tǒng)、應(yīng)用程序和數(shù)據(jù)。利用專業(yè)的備份軟件或 Windows Server 自帶的一些功能(如 Windows Server Backup 結(jié)合卷影復(fù)制服務(wù))創(chuàng)建系統(tǒng)鏡像快照,并確保快照的存儲安全。同時,根據(jù)業(yè)務(wù)需求,設(shè)定合適的恢復(fù)時間目標(biāo)(RTO),如小于 4 小時,確保在規(guī)定時間內(nèi)能夠完成服務(wù)器的恢復(fù)工作。 通過以上全面的 Windows 服務(wù)器安全加固措施,能夠顯著提升服務(wù)器的安全性和穩(wěn)定性,有效降低遭受各類安全威脅的風(fēng)險,為企業(yè)的業(yè)務(wù)運(yùn)行提供堅實的保障。在實際操作中,管理員應(yīng)根據(jù)服務(wù)器的具體應(yīng)用場景和業(yè)務(wù)需求,靈活調(diào)整和實施這些安全加固策略,并持續(xù)關(guān)注安全動態(tài),及時更新和完善安全防護(hù)措施。 閱讀原文:原文鏈接 該文章在 2025/3/27 13:26:03 編輯過 |
關(guān)鍵字查詢
相關(guān)文章
正在查詢... 
|
400 186 1886
