Windows服务器的基础安全加固方法(2008、2012) |
由于Windows服务器市场占有率较高的原因,针对Windows服务器的病毒木马等恶意软件较多,且容易获得,因此Windows服务器的安全问题需要格外留意。为了安全地使用Windows,建议应用如下几个简单的安全加固措施。虽然简单,但是已足够防御大部分较常见的安全风险。 一、设置强密码 在首次登入Windows服务器后,建议立即更改密码。密码尽量随机,要包含数字,大小写字母和特殊符号,长度至少12位,并且以后至少每隔3个月修改一次密码。 二、开启自动系统更新 开启Windows更新服务,自动更新修补系统漏洞,以避免被恶意攻击者利用侵入服务器。请用下面流程检查是否启用自动更新,如果没有启用,则建议启用。 Windows Server 2008 点击任务栏的"服务器管理器"图标 在右侧的面板中,点击"配置更新" 在弹出的对话框中,选择"自动安装更新" Windows Server 2012 点击任务栏的"服务器管理器"图标 打开服务器管理器仪表盘,点击"配置此本地服务器" 点击"Windows更新"后的链接 在弹出的窗口,如果未启用自动更新,则显示如图所示警示,点击"启用自动更新"。 三、开启防火墙 Windows server 2008 点击任务栏的"服务器管理器"图标 在右侧的面板中,点击"转到Windows防火墙" 在左侧的树状列表中,鼠标右键点击"高级安全Windows防火墙" 在弹出的对话框中,选择"公用配置文件"叶签,确定"防火墙状态"为"开启",点击"确定"关闭对话框 开启防火墙后,为了不影响远程桌面的访问,需要确保允许远程桌面的访问,方法为: 在左侧的树状列表中,展开"高级安全Windows防火墙",点击"入站规则",在中间的规则列表中,查看"远程桌面(TCP-In)"是否开启。如果没有开启,选中该规则,点击右侧的"启用规则"开启 Windows server 2012 点击任务栏的"服务器管理器"图标 打开服务器管理器仪表盘,点击"配置此本地服务器" 点击"Windows防火墙"后的链接 在弹出的窗口,点击左边拦的"启用或关闭Windows防火墙" 在弹出的对话框,确保"公用网络设置"下选中"启用Windows防火墙",并且不要勾选下面的两个复选框。点击"确定"关闭对话框 同样,启用防火墙后也需要确保允许远程桌面的访问,方法为: 在"Windows防火墙"界面,点击"高级设置",打开的"高级安全Windows防火墙"窗口 在左边栏选择"入站规则",在中间规则列表中,找到"远程桌面-用户模式(TCP-In)",且"配置文件"为"公用"的规则。如果没有开启,选中该规则,点击右侧的"启用规则"开启 如果安装了IIS服务,则系统会自动安装并启用允许80(HTTP)和443(HTTPS)服务的入站规则,不需要特殊配置。但是如果安装了第三方的Web服务器,例如LAMP,则需要手动安装允许访问80和443的入站规则。Windows 2008/2012的配置方法相同,如下: 在防火墙"入站规则"界面,点击右侧"新建规则..." 在弹出对话框,选择"端口",点击"下一步" "此规则应用于TCP还是UDP?",选择"TCP";"此规则应用于所有本地端口还是特定的端口": 选择"特定本地端口",在输入框中输入"80, 443",点击"下一步" 选择"允许连接",点击"下一步" 选择所有复选框,点击"下一步" 名称中输入"Web服务", 点击"完成" 四、开启IE增强安全配置 IE的增强安全配置启用后,服务器IE浏览器只能访问白名单内网站。这样能够有效避免管理员在服务器不小心访问恶意站点导致服务器感染病毒或木马。该配置默认开启。如果没有开启,建议开启。开启方法为: Windows server 2008 点击任务栏的"服务器管理器"图标 在弹出窗口的右侧面板,点击"配置IE ESC",在弹出的对话框开启/关闭该功能 Windows server 2012 点击任务栏的"服务器管理器"图标 打开服务器管理器仪表盘,点击"配置此本地服务器" 点击"IE增强的安全配置"后的链接,在弹出的对话框开启/关闭该功能 五、安装并启用防毒软件 更进一步地,还可以安装并启用实时杀毒软件来进一步提高服务器的安全性。一旦恶意软件突破前面四步构筑的防线,进入了系统,实时杀毒软件可以防止恶意软件在服务器内运行,保障服务器的安全性。 六、合理的服务部署架构 最后,合理的服务部署架构能够减少整个Windows服务器站点暴露在外的风险点,提升安全阈值。需要遵循的原则是: 单一角色原则:一台服务器只做一件事情,只提供一种服务。例如数据库服务在一台服务器,Web服务器部署在另外一台。这样可以较准确地评估这台服务器是否需要公网地址,是否需要开启哪些端口,这样能够尽量少地暴露公网地址和端口,从而减少风险点。例如,数据库服务一般不需要公网地址,这样就不用购买公网带宽,既节约了费用,同时也更安全。Web服务器则一般只开启80/443端口,其他端口都可以通过防火墙关闭。 精简原则:能不开启的服务和功能则不开启,能不安装的软件尽量不安装,能不开启的端口确保不开启,能不用公网的主机就不要购买公网带宽。坚持minimalism的原则,既节能环保,也降低安全风险。 |