1.1 管理员账号密码
首先改掉默认的管理员Administrator 账户的名称,例如:AD_ad.888
设置密码复杂一些,数字字母+大小写+字符 例如:pg$RmcrfQaE33HsI
密码生成网址:http://suijimimashengcheng.51240.com
2.1 服务器远程连接端口
默认的远程端口是3389,修改为其他端口,例如:53288,开启阿
里云的安全组策略,添加安全组规则把入方向 设置TCP端口为53288
具体的阿里云操作如下图:
3.1 windows2012系统漏洞修复
新装的Windows2008系统,开启windows更新,控制面板—系统安全
4.1 杀毒软件的基础安装
安装杀毒软件,国内360在安全响应方面是最领先的,有些漏洞补丁
会及时给用户修复。(除了我们自己研发的漏洞以外)
5.1 windows2012本地安全策略
删除windows2012系统的系统默认共享,修改本地登录安全策略
远程连接服务器后,不会在登录屏幕中显示最后成功登录的用户的名称.
交互式登陆:不显示最后的用户名 启用
网络访问:不允许SAM帐户的匿名枚举 启用
网络访问:不允许SAM帐户和共享的匿名枚举 启用
网络访问:不允许储存网络身份验证的凭据 启用
网络访问:可匿名访问的共享 内容全部删除
网络访问:可匿名访问的命名管道 内容全部删除
网络访问:可远程访问的注册表路径 内容全部删除
网络访问:可远程访问的注册表路径和子路径 内容全部删除
6.1 禁用一些没用的系统服务
6.1 禁用一些没用的系统服务
像网站服务器用不了太多的服务,像打印,以及共享服务,
TCP/IP NetBIOS Helper服务、Server服务、 Distributed Link Tracking Client
、Print Spooler服务、Remote Registry服务、Workstation等等服务都可以关闭,
开放的服务越少,服务器就会越安全:
Distributed linktracking client 用于局域网更新连接信息
PrintSpooler 打印服务
Remote Registry 远程修改注册表
Server 计算机通过网络的文件、打印、和命名管道共享
TCP/IP NetBIOS Helper
TCP/IP (NetBT) 服务
NetBIOS 和网络上客户端的服务
NetBIOS 名称解析的支持服务
Workstation 泄漏系统用户名列表 与Terminal Services Configuration 关联
具体的如下图所示:Sine安全公司是一家专注于:服务器安全、网站安全、网站安全检测、网站安全测试、于一体的安全服务提供商。
7.1 各个分区目录文件夹权限设置
除了系统分区,其他各个磁盘分区都赋予Administrators和SYSTEM
完全控制权限,之后再对其他的子目录作单独的目录权限,一些网站目录
尽可能的设置单独用户运行权限。
8.1 系统程序的安全权限设置
像执行cme.exe net.exe 等命令的时候,直接限制运行。
操作如下:Gpedit.msc—用户配置—管理模板—系统
启用 阻止访问命令提示符 同时也禁用命令提示符脚本处理?
启用 阻止访问注册表编辑工具
启用 不运行指定的windows应用程序,添加下面的命令
"cmd.exe","net.exe",
"tftp.exe",,"net1.exe","netstat.exe","regedit.exe","at.exe","attrib.exe",
"cacls.exe","format.com","c.exe"
如下图所示:
另外阿里云账户开启异地登录短信提醒,他们是基于路由器层的监控异地
登录,以及根据经常登录的IP,进行大数据分析判断以及经常登录的计算机
硬件相关信息。
