Windows服務(wù)器的基礎(chǔ)安全加固方法是什么
網(wǎng)絡(luò)安全是目前互聯(lián)網(wǎng)的熱門話題之一,作為個(gè)人用戶的我們同樣需要關(guān)注,做好防護(hù)。為了安全地使用Windows云主機(jī),建議應(yīng)用如下幾個(gè)簡(jiǎn)單的安全加固措施。雖然簡(jiǎn)單,但是已足夠防御大部分較常見的安全風(fēng)險(xiǎn)
一、設(shè)置強(qiáng)密碼
美團(tuán)云Windows服務(wù)器創(chuàng)建后會(huì)給管理員(Administrator)帳號(hào)自動(dòng)生成12位的隨機(jī)密碼,在首次登入Windows服務(wù)器后,建議立即更改密碼。密碼盡量隨機(jī),要包含數(shù)字,大小寫字母和特殊符號(hào),長(zhǎng)度至少12位。可以采用一些工具
生成較強(qiáng)的隨機(jī)密碼。并且以后至少每隔3個(gè)月修改一次密碼。
修改密碼的方法為:在管理員成功登入主機(jī)后,按"Ctrl-Alt-Delete",選擇"修改密碼" (提示:可以通過(guò)美團(tuán)云Web終端登入,點(diǎn)擊右上角的"Ctrl-Al-Delete"按鈕輸入該按鍵組合)
二、開啟自動(dòng)系統(tǒng)更新
美團(tuán)云Windows服務(wù)器均已獲得原廠正版授權(quán),可以開啟Windows更新服務(wù),自動(dòng)更新修補(bǔ)系統(tǒng)漏洞,以避免被惡意攻擊者利用侵入服務(wù)器。請(qǐng)用下面流程檢查是否啟用自動(dòng)更新,如果沒(méi)有啟用,則建議啟用。
Windows Server 2008
點(diǎn)擊任務(wù)欄的"服務(wù)器管理器"圖標(biāo) 在右側(cè)的面板中,點(diǎn)擊"配置更新" 在彈出的對(duì)話框中,選擇"自動(dòng)安裝更新"
Windows Server 2012
點(diǎn)擊任務(wù)欄的"服務(wù)器管理器"圖標(biāo) 打開服務(wù)器管理器儀表盤,點(diǎn)擊"配置此本地服務(wù)器" 點(diǎn)擊"Windows更新"后的鏈接 在彈出的窗口,如果未啟用自動(dòng)更新,則顯示如圖所示警示,點(diǎn)擊"啟用自動(dòng)更新"。
三、開啟防火墻
美團(tuán)云已經(jīng)提供了防火墻服務(wù),如果您正在使用美團(tuán)云主機(jī),可以在美團(tuán)云控制面板使用美團(tuán)云提供的防火墻服務(wù)進(jìn)行防火墻設(shè)置。美團(tuán)云平臺(tái)提供的防火墻是在虛擬機(jī)外部的云平臺(tái)提供了網(wǎng)絡(luò)端口的防火墻功能,配置相對(duì)簡(jiǎn)單宜用。如果其功能滿足需求,建議關(guān)閉Windows系統(tǒng)內(nèi)置的防火墻。否則可以參考以下內(nèi)容設(shè)置Windows內(nèi)置的防火墻。
(提示:為了避免Windows自帶防火墻和云平臺(tái)防火墻功能的沖突,在啟用Windows自帶防火墻后,請(qǐng)將云平臺(tái)的防火墻設(shè)置為"開放"。)
如果Windows服務(wù)器購(gòu)買了公網(wǎng)帶寬,則會(huì)有一個(gè)帶公網(wǎng)IP地址的網(wǎng)卡與公網(wǎng)對(duì)接。用戶可以訪問(wèn)這個(gè)IP地址訪問(wèn)部署在主機(jī)上的服務(wù)。但是與此同時(shí),惡意攻擊者也可能利用系統(tǒng)漏洞,通過(guò)這個(gè)公網(wǎng)IP侵入你的服務(wù)器。此時(shí),除了要開啟自動(dòng)更新及時(shí)修復(fù)系統(tǒng)漏洞外,還建議開啟Windows server的防火墻,減少直接暴露在公網(wǎng)的端口,降低危險(xiǎn)端口暴露在公網(wǎng)的風(fēng)險(xiǎn)。并且,對(duì)于遠(yuǎn)程桌面(TCP 3389)等用于管理目的的服務(wù)端口,最好設(shè)置允許訪問(wèn)的IP白名單,以盡量減少被惡意掃描的風(fēng)險(xiǎn)。
(提示,建議通過(guò)美團(tuán)云控制臺(tái)的Web終端來(lái)配置防火墻,以防止配置過(guò)程中出現(xiàn)誤操作,導(dǎo)致遠(yuǎn)程桌面連接關(guān)閉。)
開啟Windows防火墻的步驟如下:
Windows server 2008
點(diǎn)擊任務(wù)欄的"服務(wù)器管理器"圖標(biāo) 在右側(cè)的面板中,點(diǎn)擊"轉(zhuǎn)到Windows防火墻" 在左側(cè)的樹狀列表中,鼠標(biāo)右鍵點(diǎn)擊"高級(jí)安全Windows防火墻" 在彈出的對(duì)話框中,選擇"公用配置文件"葉簽,確定"防火墻狀態(tài)"為"開啟",點(diǎn)擊"確定"關(guān)閉對(duì)話框
開啟防火墻后,為了不影響遠(yuǎn)程桌面的訪問(wèn),需要確保允許遠(yuǎn)程桌面的訪問(wèn),方法為:
在左側(cè)的樹狀列表中,展開"高級(jí)安全Windows防火墻",點(diǎn)擊"入站規(guī)則",在中間的規(guī)則列表中,查看"遠(yuǎn)程桌面(TCP-In)"是否開啟。如果沒(méi)有開啟,選中該規(guī)則,點(diǎn)擊右側(cè)的"啟用規(guī)則"開啟
Windows server 2012
點(diǎn)擊任務(wù)欄的"服務(wù)器管理器"圖標(biāo) 打開服務(wù)器管理器儀表盤,點(diǎn)擊"配置此本地服務(wù)器" 點(diǎn)擊"Windows防火墻"后的鏈接 在彈出的窗口,點(diǎn)擊左邊攔的"啟用或關(guān)閉Windows防火墻" 在彈出的對(duì)話框,確保"公用網(wǎng)絡(luò)設(shè)置"下選中"啟用Windows防火墻",并且不要勾選下面的兩個(gè)復(fù)選框。點(diǎn)擊"確定"關(guān)閉對(duì)話框
同樣,啟用防火墻后也需要確保允許遠(yuǎn)程桌面的訪問(wèn),方法為:
在"Windows防火墻"界面,點(diǎn)擊"高級(jí)設(shè)置",打開的"高級(jí)安全Windows防火墻"窗口 在左邊欄選擇"入站規(guī)則",在中間規(guī)則列表中,找到"遠(yuǎn)程桌面-用戶模式(TCP-In)",且"配置文件"為"公用"的規(guī)則。如果沒(méi)有開啟,選中該規(guī)則,點(diǎn)擊右側(cè)的"啟用規(guī)則"開啟
如果安裝了IIS服務(wù),則系統(tǒng)會(huì)自動(dòng)安裝并啟用允許80(HTTP)和443(HTTPS)服務(wù)的入站規(guī)則,不需要特殊配置。但是如果安裝了第三方的Web服務(wù)器,例如LAMP,則需要手動(dòng)安裝允許訪問(wèn)80和443的入站規(guī)則。Windows 2008/2012的配置方法相同,如下:
在防火墻"入站規(guī)則"界面,點(diǎn)擊右側(cè)"新建規(guī)則..." 在彈出對(duì)話框,選擇"端口",點(diǎn)擊"下一步" "此規(guī)則應(yīng)用于TCP還是UDP?",選擇"TCP";"此規(guī)則應(yīng)用于所有本地端口還是特定的端口": 選擇"特定本地端口",在輸入框中輸入"80, 443",點(diǎn)擊"下一步" 選擇"允許連接",點(diǎn)擊"下一步" 選擇所有復(fù)選框,點(diǎn)擊"下一步" 名稱中輸入"Web服務(wù)", 點(diǎn)擊"完成"
四、開啟IE增強(qiáng)安全配置
IE的增強(qiáng)安全配置啟用后,服務(wù)器IE瀏覽器只能訪問(wèn)白名單內(nèi)網(wǎng)站。這樣能夠有效避免管理員在服務(wù)器不小心訪問(wèn)惡意站點(diǎn)導(dǎo)致服務(wù)器感染病毒或木馬。該配置默認(rèn)開啟。如果沒(méi)有開啟,建議開啟。開啟方法為:
Windows server 2008
點(diǎn)擊任務(wù)欄的"服務(wù)器管理器"圖標(biāo) 在彈出窗口的右側(cè)面板,點(diǎn)擊"配置IE ESC",在彈出的對(duì)話框開啟/關(guān)閉該功能
Windows server 2012
點(diǎn)擊任務(wù)欄的"服務(wù)器管理器"圖標(biāo) 打開服務(wù)器管理器儀表盤,點(diǎn)擊"配置此本地服務(wù)器" 點(diǎn)擊"IE增強(qiáng)的安全配置"后的鏈接,在彈出的對(duì)話框開啟/關(guān)閉該功能
五、安裝并啟用防毒軟件
更進(jìn)一步地,還可以安裝并啟用實(shí)時(shí)殺毒軟件來(lái)進(jìn)一步提高服務(wù)器的安全性。一旦惡意軟件突破前面四步構(gòu)筑的防線,進(jìn)入了云主機(jī),實(shí)時(shí)殺毒軟件可以防止惡意軟件在云主機(jī)運(yùn)行,保障云主機(jī)的安全性。
Windows Security Essentials是微軟為Windows 7/Vista開發(fā)的免費(fèi)殺毒軟件,可以用于保護(hù)Windows Server 2008 R2數(shù)據(jù)中心版。
Windows Security Essentials安裝比較簡(jiǎn)單,只需要在上述鏈接下載并運(yùn)行安裝文件,逐步完成向?qū)Ь湍茼樌瓿伞?/p>
Windows Server 2012數(shù)據(jù)中心版可用的(免費(fèi))殺毒軟件不多。目前可以申請(qǐng)?jiān)囉肧ystem Center 2012 R2 Configuration Manager,并安裝其附帶的殺毒客戶端System Center Endpoint Protection。
安裝方法為:
下載軟件包后解壓(目前為SC2012_R2_SCCM_SCEP.exe),進(jìn)入SMSSETUP/CLIENT目錄
雙擊執(zhí)行scepinstall,按照提示逐步安裝System Center Endpoint Protection。
腳本之家小編建議獨(dú)立服務(wù)器安裝:mcafee 8.8
六、合理的服務(wù)部署架構(gòu)
最后,合理的服務(wù)部署架構(gòu)能夠減少整個(gè)Windows服務(wù)器站點(diǎn)暴露在外的風(fēng)險(xiǎn)點(diǎn),提升安全閾值。需要遵循的原則是:
單一角色原則:一臺(tái)云主機(jī)服務(wù)器只做一件事情,只提供一種服務(wù)。例如數(shù)據(jù)庫(kù)服務(wù)在一臺(tái)服務(wù)器,Web服務(wù)器部署在另外一臺(tái)。這樣可以較準(zhǔn)確地評(píng)估這臺(tái)服務(wù)器是否需要公網(wǎng)地址,是否需要開啟哪些端口,這樣能夠盡量少地暴露公網(wǎng)地址和端口,從而減少風(fēng)險(xiǎn)點(diǎn)。例如,數(shù)據(jù)庫(kù)服務(wù)一般不需要公網(wǎng)地址,這樣就不用購(gòu)買公網(wǎng)帶寬,既節(jié)約了費(fèi)用,同時(shí)也更安全。Web服務(wù)器則一般只開啟80/443端口,其他端口都可以通過(guò)防火墻關(guān)閉。
精簡(jiǎn)原則:能不開啟的服務(wù)和功能則不開啟,能不安裝的軟件盡量不安裝,能不開啟的端口確保不開啟,能不用公網(wǎng)的主機(jī)就不要購(gòu)買公網(wǎng)帶寬。堅(jiān)持minimalism的原則,既節(jié)能環(huán)保,也降低安全風(fēng)險(xiǎn)。
相關(guān)閱讀:2018網(wǎng)絡(luò)安全事件:
一、英特爾處理器曝“Meltdown”和“Spectre漏洞”
2018年1月,英特爾處理器中曝“Meltdown”(熔斷)和“Spectre” (幽靈)兩大新型漏洞,包括AMD、ARM、英特爾系統(tǒng)和處理器在內(nèi),幾乎近20年發(fā)售的所有設(shè)備都受到影響,受影響的設(shè)備包括手機(jī)、電腦、服務(wù)器以及云計(jì)算產(chǎn)品。這些漏洞允許惡意程序從其它程序的內(nèi)存空間中竊取信息,這意味著包括密碼、帳戶信息、加密密鑰乃至其它一切在理論上可存儲(chǔ)于內(nèi)存中的信息均可能因此外泄。
二、GitHub 遭遇大規(guī)模 Memcached DDoS 攻擊
2018年2月,知名代碼托管網(wǎng)站 GitHub 遭遇史上大規(guī)模 Memcached DDoS 攻擊,流量峰值高達(dá)1.35 Tbps。然而,事情才過(guò)去五天,DDoS攻擊再次刷新紀(jì)錄,美國(guó)一家服務(wù)提供商遭遇DDoS 攻擊的峰值創(chuàng)新高,達(dá)到1.7 Tbps!攻擊者利用暴露在網(wǎng)上的 Memcached 服務(wù)器進(jìn)行攻擊。網(wǎng)絡(luò)安全公司 Cloudflare 的研究人員發(fā)現(xiàn),截止2018年2月底,中國(guó)有2.5萬(wàn) Memcached 服務(wù)器暴露在網(wǎng)上 。
三、蘋果 iOS iBoot源碼泄露
2018年2月,開源代碼分享網(wǎng)站 GitHub(軟件項(xiàng)目托管平臺(tái))上有人共享了 iPhone 操作系統(tǒng)的核心組件源碼,泄露的代碼屬于 iOS 安全系統(tǒng)的重要組成部分——iBoot。iBoot 相當(dāng)于是 Windows 電腦的 BIOS 系統(tǒng)。此次 iBoot 源碼泄露可能讓數(shù)以億計(jì)的 iOS 設(shè)備面臨安全威脅。iOS 與 MacOS 系統(tǒng)開發(fā)者 Jonathan Levin 表示,這是 iOS 歷史上最嚴(yán)重的一次泄漏事件。
四、韓國(guó)平昌冬季奧運(yùn)會(huì)遭遇黑客攻擊
2018年2月,韓國(guó)平昌冬季奧運(yùn)會(huì)開幕式當(dāng)天遭遇黑客攻擊,此次攻擊造成網(wǎng)絡(luò)中斷,廣播系統(tǒng)(觀眾不能正常觀看直播)和奧運(yùn)會(huì)官網(wǎng)均無(wú)法正常運(yùn)作,許多觀眾無(wú)法打印開幕式門票,最終未能正常入場(chǎng)。
五、加密貨幣采礦軟件攻擊致歐洲廢水處理設(shè)施癱瘓
2018年2月中旬,工業(yè)網(wǎng)絡(luò)安全企業(yè) Radiflow 公司表示,發(fā)現(xiàn)四臺(tái)接入歐洲廢水處理設(shè)施運(yùn)營(yíng)技術(shù)網(wǎng)絡(luò)的服務(wù)器遭遇加密貨幣采礦惡意軟件的入侵。該惡意軟件直接拖垮了廢水處理設(shè)備中的 HMI 服務(wù)器 CPU,致歐洲廢水處理服務(wù)器癱瘓 。
Radiflow 公司稱,此次事故是加密貨幣惡意軟件首次對(duì)關(guān)鍵基礎(chǔ)設(shè)施運(yùn)營(yíng)商的運(yùn)營(yíng)技術(shù)網(wǎng)絡(luò)展開攻擊。由于受感染的服務(wù)器為人機(jī)交互(簡(jiǎn)稱HMI)設(shè)備,之所以導(dǎo)致廢水處理系統(tǒng)癱瘓,是因?yàn)檫@種惡意軟件會(huì)嚴(yán)重降低 HMI 的運(yùn)行速度。
Windows服務(wù)器的基礎(chǔ)安全加固方法是什么相關(guān)文章:
2.怎么配置netgear智能網(wǎng)管端口保護(hù)功能
3.騰達(dá)TEI602 UGW企業(yè)級(jí)路由器訪問(wèn)控制