首页
学习
活动
专区
圈层
工具
发布
首页
学习
活动
专区
圈层
工具
MCP广场
社区首页 >专栏 >Windows服务器的基础安全加固方法(2008、2012)

Windows服务器的基础安全加固方法(2008、2012)

作者头像
会长君
发布于 2023-04-26 01:51:55
发布于 2023-04-26 01:51:55
7.7K0
举报
文章被收录于专栏:linux教程linux教程

提供Windows Server 2008 R2和Windows Server 2012 R2数据中心版的云主机服务器。由于Windows服务器市场占有率较高的原因,针对Windows服务器的病毒木马等恶意软件较多,且容易获得,技术门槛也较低,因此Windows服务器的安全问题需要格外留意。为了安全地使用Windows云主机,建议应用如下几个简单的安全加固措施。虽然简单,但是已足够防御大部分较常见的安全风险。

一、设置强密码

Windows服务器创建后会给管理员(Administrator)帐号自动生成12位的随机密码,在首次登入Windows服务器后,建议立即更改密码。密码尽量随机,要包含数字,大小写字母和特殊符号,长度至少12位。可以采用一些工具,例如:https://identitysafe.norton.com/password-generator,生成较强的随机密码。并且以后至少每隔3个月修改一次密码。

修改密码的方法为:在管理员成功登入主机后,按”Ctrl-Alt-Delete”,选择”修改密码” (提示:可以通过Web终端登入,点击右上角的”Ctrl-Al-Delete”按钮输入该按键组合)

二、开启自动系统更新

Windows服务器均已获得原厂正版授权,可以开启Windows更新服务,自动更新修补系统漏洞,以避免被恶意攻击者利用侵入服务器。请用下面流程检查是否启用自动更新,如果没有启用,则建议启用。

Windows Server 2008

点击任务栏的”服务器管理器”图标 在右侧的面板中,点击”配置更新” 在弹出的对话框中,选择”自动安装更新”

Windows Server 2012

点击任务栏的”服务器管理器”图标 打开服务器管理器仪表盘,点击”配置此本地服务器” 点击”Windows更新”后的链接 在弹出的窗口,如果未启用自动更新,则显示如图所示警示,点击”启用自动更新”。

三、开启防火墙

已经提供了防火墙服务,如果您正在使用主机,可以在控制面板使用提供的防火墙服务进行防火墙设置。平台提供的防火墙是在虚拟机外部的云平台提供了网络端口的防火墙功能,配置相对简单宜用。如果其功能满足需求,建议关闭Windows系统内置的防火墙。否则可以参考以下内容设置Windows内置的防火墙。

(提示:为了避免Windows自带防火墙和云平台防火墙功能的冲突,在启用Windows自带防火墙后,请将云平台的防火墙设置为”开放”。)

如果Windows服务器购买了公网带宽,则会有一个带公网IP地址的网卡与公网对接。用户可以访问这个IP地址访问部署在主机上的服务。但是与此同时,恶意攻击者也可能利用系统漏洞,通过这个公网IP侵入你的服务器。此时,除了要开启自动更新及时修复系统漏洞外,还建议开启Windows server的防火墙,减少直接暴露在公网的端口,降低危险端口暴露在公网的风险。并且,对于远程桌面(TCP 3389)等用于管理目的的服务端口,最好设置允许访问的IP白名单,以尽量减少被恶意扫描的风险。

(提示,建议通过控制台的Web终端来配置防火墙,以防止配置过程中出现误操作,导致远程桌面连接关闭。)

开启Windows防火墙的步骤如下:

Windows server 2008

点击任务栏的”服务器管理器”图标 在右侧的面板中,点击”转到Windows防火墙” 在左侧的树状列表中,鼠标右键点击”高级安全Windows防火墙” 在弹出的对话框中,选择”公用配置文件”叶签,确定”防火墙状态”为”开启”,点击”确定”关闭对话框

开启防火墙后,为了不影响远程桌面的访问,需要确保允许远程桌面的访问,方法为:

在左侧的树状列表中,展开”高级安全Windows防火墙”,点击”入站规则”,在中间的规则列表中,查看”远程桌面(TCP-In)”是否开启。如果没有开启,选中该规则,点击右侧的”启用规则”开启

Windows server 2012

点击任务栏的”服务器管理器”图标 打开服务器管理器仪表盘,点击”配置此本地服务器” 点击”Windows防火墙”后的链接 在弹出的窗口,点击左边拦的”启用或关闭Windows防火墙” 在弹出的对话框,确保”公用网络设置”下选中”启用Windows防火墙”,并且不要勾选下面的两个复选框。点击”确定”关闭对话框

同样,启用防火墙后也需要确保允许远程桌面的访问,方法为:

在”Windows防火墙”界面,点击”高级设置”,打开的”高级安全Windows防火墙”窗口 在左边栏选择”入站规则”,在中间规则列表中,找到”远程桌面-用户模式(TCP-In)”,且”配置文件”为”公用”的规则。如果没有开启,选中该规则,点击右侧的”启用规则”开启

如果安装了IIS服务,则系统会自动安装并启用允许80(HTTP)和443(HTTPS)服务的入站规则,不需要特殊配置。但是如果安装了第三方的Web服务器,例如LAMP,则需要手动安装允许访问80和443的入站规则。Windows 2008/2012的配置方法相同,如下:

在防火墙”入站规则”界面,点击右侧”新建规则…” 在弹出对话框,选择”端口”,点击”下一步” “此规则应用于TCP还是UDP?”,选择”TCP”;”此规则应用于所有本地端口还是特定的端口”: 选择”特定本地端口”,在输入框中输入”80. 443″,点击”下一步” 选择”允许连接”,点击”下一步” 选择所有复选框,点击”下一步” 名称中输入”Web服务”, 点击”完成”

四、开启IE增强安全配置

IE的增强安全配置启用后,服务器IE浏览器只能访问白名单内网站。这样能够有效避免管理员在服务器不小心访问恶意站点导致服务器感染病毒或木马。该配置默认开启。如果没有开启,建议开启。开启方法为:

Windows server 2008

点击任务栏的”服务器管理器”图标 在弹出窗口的右侧面板,点击”配置IE ESC”,在弹出的对话框开启/关闭该功能

Windows server 2012

点击任务栏的”服务器管理器”图标 打开服务器管理器仪表盘,点击”配置此本地服务器” 点击”IE增强的安全配置”后的链接,在弹出的对话框开启/关闭该功能

五、安装并启用防毒软件

更进一步地,还可以安装并启用实时杀毒软件来进一步提高服务器的安全性。一旦恶意软件突破前面四步构筑的防线,进入了云主机,实时杀毒软件可以防止恶意软件在云主机运行,保障云主机的安全性。

Windows Security Essentials是微软为Windows 7/Vista开发的免费杀毒软件,可以用于保护Windows Server 2008 R2数据中心版。

Windows Security Essentials安装比较简单,只需要在上述链接下载并运行安装文件,逐步完成向导就能顺利完成。

Windows Server 2012数据中心版可用的(免费)杀毒软件不多。目前可以申请试用System Center 2012 R2 Configuration Manager,并安装其附带的杀毒客户端System Center Endpoint Protection。

安装方法为:

下载软件包后解压(目前为SC2012_R2_SCCM_SCEP.exe),进入SMSSETUP/CLIENT目录

双击执行scepinstall,按照提示逐步安装System Center Endpoint Protection。

六、合理的服务部署架构

最后,合理的服务部署架构能够减少整个Windows服务器站点暴露在外的风险点,提升安全阈值。需要遵循的原则是:

单一角色原则:一台云主机服务器只做一件事情,只提供一种服务。例如数据库服务在一台服务器,Web服务器部署在另外一台。这样可以较准确地评估这台服务器是否需要公网地址,是否需要开启哪些端口,这样能够尽量少地暴露公网地址和端口,从而减少风险点。例如,数据库服务一般不需要公网地址,这样就不用购买公网带宽,既节约了费用,同时也更安全。Web服务器则一般只开启80/443端口,其他端口都可以通过防火墙关闭。

精简原则:能不开启的服务和功能则不开启,能不安装的软件尽量不安装,能不开启的端口确保不开启,能不用公网的主机就不要购买公网带宽。坚持minimalism的原则,既节能环保,也降低安全风险。

本文参与 腾讯云自媒体同步曝光计划,分享自作者个人站点/博客。
如有侵权请联系 cloudcommunity@tencent.com 删除

本文分享自 作者个人站点/博客 前往查看

如有侵权,请联系 cloudcommunity@tencent.com 删除。

本文参与 腾讯云自媒体同步曝光计划  ,欢迎热爱写作的你一起参与!

评论
登录后参与评论
暂无评论
推荐阅读
编辑精选文章
换一批
Spring Boot yml 配置敏感信息加密
在application.properties或者application.yml中设置如下内容:
闻说社
2025/07/09
1250
Spring Boot yml 配置敏感信息加密
Spring Boot yml 配置敏感信息加密
在application.properties或者application.yml中设置如下内容:
每周聚焦
2025/07/15
1220
Spring Boot yml 配置敏感信息加密
聊聊 Sharding-JDBC 数据脱敏
安全控制一直是治理的重要环节,数据脱敏属于安全控制的范畴。对互联网公司、传统行业来说,数据安全一直是极为重视和敏感的话题。
码猿技术专栏
2023/05/01
1.6K0
聊聊 Sharding-JDBC 数据脱敏
手把手教你ShardingSphere和Mybatis拦截器实现特殊字段动态切换加密
在国家对个人隐私越来越看重的现在,很多用户的重要数据都需要加密存储,比如手机号、真实姓名、联系地址等等,但是可能由于系统建设时间久,在建设初期没有考虑这么全面,数据在数据库中都是明文存储。那么如何将数据由明文存储平滑的切换为密文存储呢?
业余草
2020/10/26
2.7K0
敏感数据,“一键脱敏”,Sharding Sphere 完美搞定
在真实业务场景中,数据库中经常需要存储某些客户的关键性敏感信息如:身份证号、银行卡号、姓名、手机号码等,此类信息按照合规要求,通常需要实现加密存储以满足合规要求。
搜云库技术团队
2021/08/20
1.5K0
如何用SpringBoot整合Sharding Sphere实现数据脱敏
在真实业务场景中,数据库中经常需要存储某些客户的关键性敏感信息如:身份证号、银行卡号、姓名、手机号码等,此类信息按照合规要求,通常需要实现加密存储以满足合规要求。
程序员小假
2025/06/06
1610
如何用SpringBoot整合Sharding Sphere实现数据脱敏
Sharding-JDBC数据库字段加解密透明化方案
近期,博主公司应安全审计要求,需要对数据库中的用户关键信息做加密处理,这样,即使生产数据被脱裤,也不会泄露用户的敏感信息,在做了初步的需求归纳和功能分析后,我们制定了简单的开发方案,将需要加解密的字段的元数据信息通过配置或注解的方式标记出来,尝试使用hibernate的filter和Interceptor针对用户sql做拦截,做到透明化加解密。但是这个方案很快被否决了,查询结果集没法通过这种方式达到目的。然后将方向转向了代理JDBC驱动的方式。在摸索JDBC代理方案过程中发现,业界已经有了非常成熟的针对数据库字段透明化加解密的方案,而且和我们场景以及方案非常相符,整体方案如下:
kl博主
2023/11/18
1.1K0
Sharding-JDBC数据库字段加解密透明化方案
ShardingSphere实践(7)——数据加密
        安全控制一直是治理的重要环节,数据加密属于安全控制的范畴。无论对互联网公司还是传统行业来说,数据安全一直是极为重视和敏感的话题。数据加密是指对某些敏感信息通过加密规则进行数据的变形,实现敏感隐私数据的可靠保护。涉及客户安全数据或者一些商业性敏感数据,如身份证号、手机号、卡号、客户号等个人信息按照相关部门规定,都需要进行数据加密。
用户1148526
2022/06/14
2.1K0
ShardingSphere实践(7)——数据加密
​SpringBoot+ Sharding Sphere 轻松实现数据库字段加解密
在实际的软件系统开发过程中,由于业务的需求,在代码层面实现数据的脱敏还是远远不够的,往往还需要在数据库层面针对某些关键性的敏感信息,例如:身份证号、银行卡号、手机号、工资等信息进行加密存储,实现真正意义的数据混淆脱敏,以满足信息安全的需要。
潘志的技术笔记
2024/07/22
2670
​SpringBoot+ Sharding Sphere 轻松实现数据库字段加解密
【进阶之路】基于ShardingSphere的线上业务数据脱敏解决方案
.markdown-body{word-break:break-word;line-height:1.75;font-weight:400;font-size:15px;overflow-x:hidden;color:#333}.markdown-body h1,.markdown-body h2,.markdown-body h3,.markdown-body h4,.markdown-body h5,.markdown-body h6{line-height:1.5;margin-top:35px;margin-bottom:10px;padding-bottom:5px}.markdown-body h1{font-size:30px;margin-bottom:5px}.markdown-body h2{padding-bottom:12px;font-size:24px;border-bottom:1px solid #ececec}.markdown-body h3{font-size:18px;padding-bottom:0}.markdown-body h4{font-size:16px}.markdown-body h5{font-size:15px}.markdown-body h6{margin-top:5px}.markdown-body p{line-height:inherit;margin-top:22px;margin-bottom:22px}.markdown-body img{max-width:100%}.markdown-body hr{border:none;border-top:1px solid #ddd;margin-top:32px;margin-bottom:32px}.markdown-body code{word-break:break-word;border-radius:2px;overflow-x:auto;background-color:#fff5f5;color:#ff502c;font-size:.87em;padding:.065em .4em}.markdown-body code,.markdown-body pre{font-family:Menlo,Monaco,Consolas,Courier New,monospace}.markdown-body pre{overflow:auto;position:relative;line-height:1.75}.markdown-body pre>code{font-size:12px;padding:15px 12px;margin:0;word-break:normal;display:block;overflow-x:auto;color:#333;background:#f8f8f8}.markdown-body a{text-decoration:none;color:#0269c8;border-bottom:1px solid #d1e9ff}.markdown-body a:active,.markdown-body a:hover{color:#275b8c}.markdown-body table{display:inline-block!important;font-size:12px;width:auto;max-width:100%;overflow:auto;border:1px solid #f6f6f6}.markdown-body thead{background:#f6f6f6;color:#000;text-align:left}.markdown-body tr:nth-child(2n){background-color:#fcfcfc}.markdown-body td,.markdown-body th{padding:12px 7px;line-height:24px}.markdown-body td{min-width:120px}.markdown-body blockquote{color:#666;padding:1px 23px;margin:22px 0;border-left:4px solid #cbcbcb;background-color:#f8f8f8}.markdown-body blockquote:after{display:block;content:""}.markdown-body blockquote>p{margin:10px 0}.markdown-body ol,.markdown-body ul{padding-left:28px}.markdown-body ol li,.markdown-body
南橘
2021/04/02
8620
【进阶之路】基于ShardingSphere的线上业务数据脱敏解决方案
50行代码,搞定敏感数据读写!
在实际的软件系统开发过程中,由于业务的需求,在代码层面实现数据的脱敏还是远远不够的,往往还需要在数据库层面针对某些关键性的敏感信息,例如:身份证号、银行卡号、手机号、工资等信息进行加密存储,实现真正意义的数据混淆脱敏,以满足信息安全的需要。
Java极客技术
2022/12/02
1.2K0
50行代码,搞定敏感数据读写!
一种加密框架的技术实现
对互联网公司来说,数据安全一直是极为重视和敏感的话题。涉及客户安全数据或者一些商业性敏感数据,如身份证号、手机号、卡号、客户号等个人信息如果被泄露出去,就会引发严重的数据安全风险。
卡卡罗特杨
2022/05/28
1.8K4
Sharding-Proxy的基本功能使用
Sharding-Proxy是一个分布式数据库中间件,定位为透明化的数据库代理端。作为开发人员可以完全把它当成数据库,而它具体的分片规则在Sharding-Proxy中配置。它的整体架构图如下:
小忽悠
2020/07/20
1.7K0
Sharding-Proxy的基本功能使用
YashanDB的数据加密功能,保护敏感信息的方法
在现代数据管理环境中,保护敏感信息是一个关键问题。数据库中的敏感数据,如个人身份信息、财务数据和医疗记录,若遭受外部攻击或内部泄露,将给企业带来显著的法律风险和经济损失。为了解决这一问题,数据加密技术应运而生。YashanDB作为一个高性能的数据库系统,提供了一系列的数据加密功能,以确保用户数据的安全性和私密性。本文将深入探讨YashanDB的数据加密机制及其核心优势。
数据库砖家
2025/07/12
680
顶级企业如何用数据脱敏保护用户隐私!
ShardingSphere提供数据访问安全性:通过数据脱敏,完成对敏感数据的安全访问。本文介绍ShardingSphere数据脱敏功能。
JavaEdge
2025/06/01
1630
顶级企业如何用数据脱敏保护用户隐私!
惊呆了!不改一行 Java 代码竟然就能轻松解决敏感信息加解密|原创
出于安全考虑,现需要将数据库的中敏感信息加密存储到数据库中,但是正常业务交互还是需要使用明文数据,所以查询返回我们还需要经过相应的解密才能返回给调用方。
andyxh
2020/04/10
1.3K0
惊呆了!不改一行 Java 代码竟然就能轻松解决敏感信息加解密|原创
Springboot 项目配置文件敏感信息加密
2.找到jar 找到所下载的位置, 如果使用的是idea, 默认在 C:\Users\Administrator\.m2\repository\org\jasypt\jasypt\1.9.2下
时间静止不是简史
2022/01/05
7720
Springboot 项目配置文件敏感信息加密
java进阶|MyBatis系列文章(八)代码生成器
感觉自己写的内容越来越相笔记了,哈哈哈,惭愧,就当做笔记看吧,主要还是给自己一个总结,避免以后遇到的时候方便查看。
码农王同学
2020/04/27
5890
敏感数据,实现“一键脱敏”!
在真实业务场景中,数据库中经常需要存储某些客户的关键性敏感信息如:身份证号、银行卡号、姓名、手机号码等,此类信息按照合规要求,通常需要实现加密存储以满足合规要求。
Java旅途
2021/10/14
2.1K0
Java技术:Spring Boot 配置文件敏感信息加密
使用过SpringBoot配置文件的朋友都知道,资源文件中的内容通常情况下是明文显示,安全性就比较低一些。
小明互联网技术分享社区
2022/02/17
1.2K0
Java技术:Spring Boot 配置文件敏感信息加密
推荐阅读
相关推荐
Spring Boot yml 配置敏感信息加密
更多 >
领券
问题归档专栏文章快讯文章归档关键词归档开发者手册归档开发者手册 Section 归档