Windows Server 2025作為微軟全新一代服務器系統(tǒng)����,已于近期正式全面登場�。護衛(wèi)神安全團隊第一時間對其進行安裝測試,研究系統(tǒng)安全加固方法�。經研究發(fā)現(xiàn),Windows Server 2025和以前的Windows Server操作系統(tǒng)一樣����,為了兼容性�,微軟默認安裝了很多模塊��、開放了很多功能���。大部分服務器只用于存放網站�、數(shù)據庫�����、ERP/OA/生產等系統(tǒng)�����, 均用不到Windows默認開放的大部分功能模塊��,這些功能模塊往往可能出現(xiàn)漏洞���,因此要保障Windows Server系統(tǒng)的安全����,務必做系統(tǒng)安全加固��。
那么Windows Server 2025如何加固系統(tǒng)安全呢,下面就由護衛(wèi)神安全團隊為你詳細講解�!
1、 更新系統(tǒng)補丁至最新
這個算是Windows系統(tǒng)用戶的福利����,微軟每個月都會定期發(fā)布系統(tǒng)補丁,只需要更新一下就可以了����。如果你覺得麻煩,可以使用《護衛(wèi)神.防入侵系統(tǒng)》的“補丁更新”功能�,自動更新系統(tǒng)補丁至最新(如下圖一),并發(fā)送結果通知給你(如下圖二)���。
(圖一:自動更新系統(tǒng)補�����。
(圖二:補丁更新通知)
2、 禁用危險的服務
服務器一般用不到的幾個危險服務:Server��、Remote Registry��、Computer Browser����、Print Spooler��、Routing and Remote Access����、Telnet �����、TCP/IP NetBIOS Helper��,請務必在“服務”中禁用���。其中Print Spooler是打印機服務����,如果需要使用打印機請開啟�。
快捷禁用腳本:
sc config lanmanserver start= DISABLED
net stop lanmanserver
sc config RemoteRegistry start= DISABLED
net stop RemoteRegistry
sc config Browser start= DISABLED
net stop Browser
sc config Spooler start= DISABLED
net stop Spooler
sc config RemoteAccess start= DISABLED
net stop RemoteAccess
sc config tlntsvr start= DISABLED
net stop tlntsvr
sc config LmHosts start= DISABLED
net stop LmHosts
3、 更改默認遠程桌面端口
遠程桌面端口默認3389����,有很多掃描工具會對其進行撞庫和暴力破解,改成一個不常用的端口雖然不能從根本解決問題���,但相對3389端口還是會好一些��。如果要從根本解決問題���,可以使用《護衛(wèi)神.防入侵系統(tǒng)》的“遠程防護”模塊����,只有授權用戶才能連接遠程桌面(例如只對你所在城市開放遠程桌面)��,徹底阻止黑客撞庫和暴力破解�����,攔截效果如下圖三�。
(圖三:攔截非法遠程登錄)
4、 啟用防火墻�,只開放必要端口
防火墻是必須開啟的,一般只開放網站端口(默認80���、443)、遠程端口(默認3389)��。如果需要FTP����,也可以開放一下(默認21)�。
以下端口請務必禁止訪問:135,137,138,139,445
如果網站只對國內開放�����,可以使用《護衛(wèi)神.防入侵系統(tǒng)》的“防火墻”模塊����,設置80端口和443端口只對國內開放(如下圖四),這樣安全性會提升很多�����,因為絕大部分掃描肉雞都在國外���。
(圖四:網站只對國內用戶開放)
5�����、 刪除危險ACL權限
這一塊非常復雜�����,需要對操作系統(tǒng)的每一個文件做顆粒度ALC優(yōu)化�。由于篇幅原因,無法逐個說明�����,我們就挑選重點的一些文件來設置�。
黑客入侵提權用到的命令工具(cmd.exe、net.exe)����,務必設置ACL權限,只允許Administrators和System訪問�。
快捷設置腳本:
Echo y|Cacls "C:\Windows\regedit.exe" /C /G Administrators:f SYSTEM:f
Echo y|Cacls "C:\Windows\System32\cmd.exe" /C /G Administrators:f SYSTEM:f
Echo y|Cacls "C:\Windows\System32\net.exe" /C /G Administrators:f SYSTEM:f
Echo y|Cacls "C:\Windows\System32\at.exe" /C /G Administrators:f SYSTEM:f
Echo y|Cacls "C:\Windows\System32\attrib.exe" /C /G Administrators:f SYSTEM:f
Echo y|Cacls "C:\Windows\System32\cacls.exe" /C /G Administrators:f SYSTEM:f
Echo y|Cacls "C:\Windows\System32\cscript.exe" /C /G Administrators:f SYSTEM:f
Echo y|Cacls "C:\Windows\System32\net.exe" /C /G Administrators:f SYSTEM:f
Echo y|Cacls "C:\Windows\System32\net1.exe" /C /G Administrators:f SYSTEM:f
Echo y|Cacls "C:\Windows\System32\sc.exe" /C /G Administrators:f SYSTEM:f
Echo y|Cacls "C:\Windows\System32\wscript.exe" /C /G Administrators:f SYSTEM:f
Echo y|Cacls "C:\Windows\SysWOW64\cmd.exe" /C /G Administrators:f SYSTEM:f
Echo y|Cacls "C:\Windows\SysWOW64\net.exe" /C /G Administrators:f SYSTEM:f
Echo y|Cacls "C:\Windows\SysWOW64\at.exe" /C /G Administrators:f SYSTEM:f
Echo y|Cacls "C:\Windows\SysWOW64\attrib.exe" /C /G Administrators:f SYSTEM:f
Echo y|Cacls "C:\Windows\SysWOW64\cacls.exe" /C /G Administrators:f SYSTEM:f
Echo y|Cacls "C:\Windows\SysWOW64\cscript.exe" /C /G Administrators:f SYSTEM:f
Echo y|Cacls "C:\Windows\SysWOW64\net.exe" /C /G Administrators:f SYSTEM:f
Echo y|Cacls "C:\Windows\SysWOW64\net1.exe" /C /G Administrators:f SYSTEM:f
Echo y|Cacls "C:\Windows\SysWOW64\sc.exe" /C /G Administrators:f SYSTEM:f
Echo y|Cacls "C:\Windows\SysWOW64\wscript.exe" /C /G Administrators:f SYSTEM:f
由于篇幅原因,無法對系統(tǒng)加固方法做全面的介紹����,如果你需要全面的系統(tǒng)加固,請使用《護衛(wèi)神.防入侵系統(tǒng)》的“系統(tǒng)加固”模塊解決��,加固項目如下圖五�����。
(圖五:系統(tǒng)安全加固)
