windows server 2008 R2 Enterprise 系统安全配置

window 安全配置规则

一、开启防火墙

二、允许远程网络进行远程桌面连接

如果使用默认的远程端口的话，按照下图，允许远程桌面通过防火墙就行了；

如果你的远程端口号不是默认的，则需要按照（四）中新建入站规则了

三、修改远程端口号

运行中输入regedit（打开注册表编辑器）

1. 在注册表HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\Wds\rdpwd\Tds\tcp目录下，修改PortNumber数值，这边将其端口修改为33899（十进制）

2. 在注册表HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Tenninal Server\WinStations\RDP-Tcp目录下，修改PortNumber数值，将其端口修改为33899（十进制）

重启服务器生效，使用IP + 端口，远程访问

四、只允许固定源IP访问远程端口

1. 进入控制面板

2. 找到Windows 防火墙

3. 左边高级设置

4. 点击入站规则

5. 右上角新建规则

6. 打开新建入站规则向导界面，规则类型：选择自定义，点击下一步，程序选择默认，点击下一步

7. 协议和端口：协议类型选择TCP，本地端口选择特定端口下方输入11650，远程端口选择所有端口，点击下一步

8. 作用域：在 此规则应用于哪些远程ip地址 选择下列ip地址，点击添加输入您的指定ip，点击下一步，操作和配置文件选择默认，点击下一步

9. 名称：命名为11650，描述写上特定IP访问指定端口至此设置完成

五、更改管理员密码

1. 进入开始面板，点击管理工具。

2. 双击打开计算机管理

3. 依次打开系统工具->本地用户和组->用户，找到administrator管理员用户

4. 右键administrator管理员用户，选择 设置密码，弹出的提示框，点击是

5. 进入设置密码提示框，输入您想要设置的密码，点击确定即可。 注意：系统会强制密码复杂性，密码最好由大小写字母+数字组成

6. 设置成功之后会提示成功，下次登录时就可以用新的密码登陆了

六、密码错误几次后锁定该用户

1. 依次打开管理工具->本地安全策略->账户策略->账户锁定策略

2. 双击账户锁定阈值，这里，我们设置5次失败后，锁定账户30分钟

七、禁用Guest帐号

默认情况下，新安装的windows操作系统，都是禁用该帐号的。为了安全起见，可以按照以下步骤检查系统是否禁用了该帐号

1. 进入开始面板，点击管理工具。

2. 双击打开计算机管理

3. 依次打开系统工具->本地用户和组->用户 ，找到Guest帐号

   如果帐号名称左下角有个向下的箭头，说明已经禁用了
   

   如果帐号名称左下角没有箭头，

4. 右键Guest管理员用户，选择 属性，选中下图中的位置

   

5. 设置拒绝远程访问

   

八、删除不必要的用户

1. 进入开始面板，点击管理工具。

2. 双击打开计算机管理

3. 依次打开系统工具->本地用户和组->用户

4. 左键单机，选中不必要的用户，点击红叉进行删除操作

   

九、创建新用户作为管理员进行远程登录，加入Administrator用户组，禁止Administrator远程登录服务器

考虑到有些服务需要作为administrator用户运行，所以不建议对administrator用户进行改名，我们选择新建用户并加入管理员组

1. 进入开始面板，点击管理工具。

2. 双击打开计算机管理

3. 依次打开系统工具->本地用户和组->用户

4. 创建新用户，用户名xiaomi，密码自己设置

   

5. 把新用户xiaomi加入管理员组

   

   

   在Administrators属性对话框中，选择确定

6. 禁止Administrator远程登录服务器

   控制面板->管理工具->本地安全策略->本地策略->用户权限分配->
   双击拒绝通过远程桌面服务登录，

   

   

   这样设置之后，administrator用户依然可以弹出远程桌面连接，并让输入密码，但是无法进入远程桌面

十、更改文件共享的默认权限

将共享文件的权限从“Everyone"更改为"授权用户”，”Everyone"意味着任何有权进入网络的用户都能够访问这些共享文件。

十一、安全密码

安全密码的定义是：安全期内无法破解出来的密码就是安全密码，也就是说，就算获取到了密码文档，必须花费42天或者更长的时间才能破解出来（Windows安全策略默认42天更改一次密码）。

十二、屏幕保护 / 屏幕锁定 密码

防止内部人员破坏服务器的一道屏障。在管理员离开时，自动加载。

十三、安装防病毒软件

Windows操作系统没有附带杀毒软件，一个好的杀毒软件不仅能够杀除一些病毒程序，还可以查杀大量的木马和黑客工具。设置了杀毒软件，黑客使用那些著名的木马程序就毫无用武之地了。同时一定要注意经常升级病毒库 ！

这里我们用安全狗这个第三方安全软件，安装之后，会提示让体检，检查结果如下：

我们来看下帐号风险里有什么需要修复的，提示xiaomi这个帐号没必要启用，但是，我们认为xiaomi这个必须是要启用的，所以这项选择忽略

其它风险项可以查看一下，必要修复就修复，像系统漏洞这些，强烈建议修复，虽然系统会很卡

前面我们设置了只允许固定的源IP地址访问远程桌面端口号

这里我们通过安全狗，再增加设置，只允许固定的主机名可以访问远程桌面端口号，截图如下：

十四、定时备份服务器上的重要文件到本地或其它服务器

备份到本服务器是没有多大意义的，所以建议备份到别的机器

备份的方式，建议选择对目标文件或目录进行压缩后拷贝出来

十五、系统防火墙和安全狗的防火墙关系

安全狗的防火墙是在系统防火墙之上的

也就是说外界想要访问你服务器上某个端口，先经过安全狗的防火墙，再经过系统防火墙。

实验过程：

在服务器上开启80端口的web服务后

1. 安全狗的防火墙设置允许通过，系统防火墙设置不允许通过，结果：不允许通过

2. 安全狗的防火墙设置允许通过，系统防火墙设置允许通过，结果：允许通过

3. 安全狗的防火墙设置不允许通过，系统防火墙设置允许通过，结果：不允许通过

4. 安全狗的防火墙设置不允许通过，系统防火墙设置不允许通过，结果：不允许通过

所以，当服务器上某个端口外网无法访问时，需要排查这2个防火墙，是不是很烦。建议用系统自带的防火墙，安全狗的防火墙保持默认就行

十六、堡垒机

堡垒机作为服务器的最后一道屏障，其安全方面需要做到以上十五点，更需要开启审计功能。

十七、特别提醒

我们在第四点和第十三点分别提到了限制源IP访问远程桌面端口和限制源主机名访问远程桌面端口

所以：

1. 如果你的办公网的出网IP是变动的公网IP

2. 如果你需要用不同的终端主机访问服务器的远程桌面端口

这两种情况，根据实际情况选择使用系统自带的策略或是选择安全狗的策略，但是个人建议使用系统自带的策略，安全狗的策略保持默认即可。