window 安全配置規則 一、開啟防火牆 二、允許遠程網路進行遠程桌面連接 如果使用預設的遠程埠的話,按照下圖,允許 遠程桌面 通過防火牆就行了; 如果你的遠程埠號不是預設的,則需要按照(四)中新建 入站規則 了 三、修改遠程埠號 運行 中輸入 regedit (打開註冊表編輯器) 1. 在 ...
window 安全配置規則
一、開啟防火牆
二、允許遠程網路進行遠程桌面連接
如果使用預設的遠程埠的話,按照下圖,允許遠程桌面通過防火牆就行了;
如果你的遠程埠號不是預設的,則需要按照(四)中新建入站規則了
三、修改遠程埠號
運行中輸入regedit(打開註冊表編輯器)
在註冊表HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\Wds\rdpwd\Tds\tcp目錄下,修改PortNumber數值,這邊將其埠修改為33899(十進位)
在註冊表HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Tenninal Server\WinStations\RDP-Tcp目錄下,修改PortNumber數值,將其埠修改為33899(十進位)
重啟伺服器生效,使用IP + 埠,遠程訪問
四、只允許固定源IP訪問遠程埠
進入控制面板
找到Windows 防火牆
左邊高級設置
點擊入站規則
右上角新建規則
打開新建入站規則嚮導界面,規則類型:選擇自定義,點擊下一步,程式選擇預設,點擊下一步
協議和埠:協議類型選擇TCP,本地埠選擇特定埠下方輸入11650,遠程埠選擇所有埠,點擊下一步
作用域:在 此規則應用於哪些遠程ip地址 選擇下列ip地址,點擊添加輸入您的指定ip,點擊下一步,操作和配置文件選擇預設,點擊下一步
名稱:命名為11650,描述寫上特定IP訪問指定埠至此設置完成
五、更改管理員密碼
進入開始面板,點擊管理工具。
雙擊打開電腦管理
依次打開系統工具->本地用戶和組->用戶,找到administrator管理員用戶
右鍵administrator管理員用戶,選擇 設置密碼,彈出的提示框,點擊是
進入設置密碼提示框,輸入您想要設置的密碼,點擊確定即可。 註意:系統會強制密碼複雜性,密碼最好由大小寫字母+數字組成
設置成功之後會提示成功,下次登錄時就可以用新的密碼登陸了
六、密碼錯誤幾次後鎖定該用戶
依次打開管理工具->本地安全策略->賬戶策略->賬戶鎖定策略
雙擊賬戶鎖定閾值,這裡,我們設置5次失敗後,鎖定賬戶30分鐘
七、禁用Guest帳號
預設情況下,新安裝的windows操作系統,都是禁用該帳號的。為了安全起見,可以按照以下步驟檢查系統是否禁用了該帳號
進入開始面板,點擊管理工具。
雙擊打開電腦管理
依次打開系統工具->本地用戶和組->用戶 ,找到Guest帳號
如果帳號名稱左下角有個向下的箭頭,說明已經禁用了
如果帳號名稱左下角沒有箭頭,
右鍵Guest管理員用戶,選擇 屬性,選中下圖中的位置
設置拒絕遠程訪問
八、刪除不必要的用戶
進入開始面板,點擊管理工具。
雙擊打開電腦管理
依次打開系統工具->本地用戶和組->用戶
左鍵單機,選中不必要的用戶,點擊紅叉進行刪除操作
九、創建新用戶作為管理員進行遠程登錄,加入Administrator用戶組,禁止Administrator遠程登錄伺服器
考慮到有些服務需要作為administrator用戶運行,所以不建議對administrator用戶進行改名,我們選擇新建用戶並加入管理員組
進入開始面板,點擊管理工具。
雙擊打開電腦管理
依次打開系統工具->本地用戶和組->用戶
創建新用戶,用戶名xiaomi,密碼自己設置
把新用戶xiaomi加入管理員組
在Administrators屬性對話框中,選擇確定
禁止Administrator遠程登錄伺服器
控制面板->管理工具->本地安全策略->本地策略->用戶許可權分配->
雙擊拒絕通過遠程桌面服務登錄,
這樣設置之後,administrator用戶依然可以彈出遠程桌面連接,並讓輸入密碼,但是無法進入遠程桌面
十、更改文件共用的預設許可權
將共用文件的許可權從“Everyone"更改為"授權用戶”,”Everyone"意味著任何有權進入網路的用戶都能夠訪問這些共用文件。
十一、安全密碼
安全密碼的定義是:安全期內無法破解出來的密碼就是安全密碼,也就是說,就算獲取到了密碼文檔,必須花費42天或者更長的時間才能破解出來(Windows安全策略預設42天更改一次密碼)。
十二、屏幕保護 / 屏幕鎖定 密碼
防止內部人員破壞伺服器的一道屏障。在管理員離開時,自動載入。
十三、安裝防病毒軟體
Windows操作系統沒有附帶殺毒軟體,一個好的殺毒軟體不僅能夠殺除一些病毒程式,還可以查殺大量的木馬和黑客工具。設置了殺毒軟體,黑客使用那些著名的木馬程式就毫無用武之地了。同時一定要註意經常升級病毒庫 !
這裡我們用安全狗這個第三方安全軟體,安裝之後,會提示讓體檢,檢查結果如下:
我們來看下帳號風險里有什麼需要修複的,提示xiaomi這個帳號沒必要啟用,但是,我們認為xiaomi這個必須是要啟用的,所以這項選擇忽略
其它風險項可以查看一下,必要修複就修複,像系統漏洞這些,強烈建議修複,雖然系統會很卡
前面我們設置了只允許固定的源IP地址訪問遠程桌面埠號
這裡我們通過安全狗,再增加設置,只允許固定的主機名可以訪問遠程桌面埠號,截圖如下:
十四、定時備份伺服器上的重要文件到本地或其它伺服器
備份到本伺服器是沒有多大意義的,所以建議備份到別的機器
備份的方式,建議選擇對目標文件或目錄進行壓縮後拷貝出來
十五、系統防火牆和安全狗的防火牆關係
安全狗的防火牆是在系統防火牆之上的
也就是說外界想要訪問你伺服器上某個埠,先經過安全狗的防火牆,再經過系統防火牆。
實驗過程:
在伺服器上開啟80埠的web服務後
安全狗的防火牆設置允許通過,系統防火牆設置不允許通過,結果:不允許通過
安全狗的防火牆設置允許通過,系統防火牆設置允許通過,結果:允許通過
安全狗的防火牆設置不允許通過,系統防火牆設置允許通過,結果:不允許通過
安全狗的防火牆設置不允許通過,系統防火牆設置不允許通過,結果:不允許通過
所以,當伺服器上某個埠外網無法訪問時,需要排查這2個防火牆,是不是很煩。建議用系統自帶的防火牆,安全狗的防火牆保持預設就行
十六、堡壘機
堡壘機作為伺服器的最後一道屏障,其安全方面需要做到以上十五點,更需要開啟審計功能。
十七、特別提醒
我們在第四點和第十三點分別提到了限制源IP訪問遠程桌面埠和限制源主機名訪問遠程桌面埠
所以:
如果你的辦公網的出網IP是變動的公網IP
如果你需要用不同的終端主機訪問伺服器的遠程桌面埠
這兩種情況,根據實際情況選擇使用系統自帶的策略或是選擇安全狗的策略,但是個人建議使用系統自帶的策略,安全狗的策略保持預設即可。
