Loading [MathJax]/jax/output/CommonHTML/config.js
首页
学习
活动
专区
圈层
工具
发布
首页
学习
活动
专区
圈层
工具
MCP广场
社区首页 >专栏 >Windows服务器的基础安全加固方法(2008、2012)

Windows服务器的基础安全加固方法(2008、2012)

作者头像
会长君
发布于 2023-04-26 01:51:55
发布于 2023-04-26 01:51:55
7.7K0
举报
文章被收录于专栏:linux教程linux教程

提供Windows Server 2008 R2和Windows Server 2012 R2数据中心版的云主机服务器。由于Windows服务器市场占有率较高的原因,针对Windows服务器的病毒木马等恶意软件较多,且容易获得,技术门槛也较低,因此Windows服务器的安全问题需要格外留意。为了安全地使用Windows云主机,建议应用如下几个简单的安全加固措施。虽然简单,但是已足够防御大部分较常见的安全风险。

一、设置强密码

Windows服务器创建后会给管理员(Administrator)帐号自动生成12位的随机密码,在首次登入Windows服务器后,建议立即更改密码。密码尽量随机,要包含数字,大小写字母和特殊符号,长度至少12位。可以采用一些工具,例如:https://identitysafe.norton.com/password-generator,生成较强的随机密码。并且以后至少每隔3个月修改一次密码。

修改密码的方法为:在管理员成功登入主机后,按”Ctrl-Alt-Delete”,选择”修改密码” (提示:可以通过Web终端登入,点击右上角的”Ctrl-Al-Delete”按钮输入该按键组合)

二、开启自动系统更新

Windows服务器均已获得原厂正版授权,可以开启Windows更新服务,自动更新修补系统漏洞,以避免被恶意攻击者利用侵入服务器。请用下面流程检查是否启用自动更新,如果没有启用,则建议启用。

Windows Server 2008

点击任务栏的”服务器管理器”图标 在右侧的面板中,点击”配置更新” 在弹出的对话框中,选择”自动安装更新”

Windows Server 2012

点击任务栏的”服务器管理器”图标 打开服务器管理器仪表盘,点击”配置此本地服务器” 点击”Windows更新”后的链接 在弹出的窗口,如果未启用自动更新,则显示如图所示警示,点击”启用自动更新”。

三、开启防火墙

已经提供了防火墙服务,如果您正在使用主机,可以在控制面板使用提供的防火墙服务进行防火墙设置。平台提供的防火墙是在虚拟机外部的云平台提供了网络端口的防火墙功能,配置相对简单宜用。如果其功能满足需求,建议关闭Windows系统内置的防火墙。否则可以参考以下内容设置Windows内置的防火墙。

(提示:为了避免Windows自带防火墙和云平台防火墙功能的冲突,在启用Windows自带防火墙后,请将云平台的防火墙设置为”开放”。)

如果Windows服务器购买了公网带宽,则会有一个带公网IP地址的网卡与公网对接。用户可以访问这个IP地址访问部署在主机上的服务。但是与此同时,恶意攻击者也可能利用系统漏洞,通过这个公网IP侵入你的服务器。此时,除了要开启自动更新及时修复系统漏洞外,还建议开启Windows server的防火墙,减少直接暴露在公网的端口,降低危险端口暴露在公网的风险。并且,对于远程桌面(TCP 3389)等用于管理目的的服务端口,最好设置允许访问的IP白名单,以尽量减少被恶意扫描的风险。

(提示,建议通过控制台的Web终端来配置防火墙,以防止配置过程中出现误操作,导致远程桌面连接关闭。)

开启Windows防火墙的步骤如下:

Windows server 2008

点击任务栏的”服务器管理器”图标 在右侧的面板中,点击”转到Windows防火墙” 在左侧的树状列表中,鼠标右键点击”高级安全Windows防火墙” 在弹出的对话框中,选择”公用配置文件”叶签,确定”防火墙状态”为”开启”,点击”确定”关闭对话框

开启防火墙后,为了不影响远程桌面的访问,需要确保允许远程桌面的访问,方法为:

在左侧的树状列表中,展开”高级安全Windows防火墙”,点击”入站规则”,在中间的规则列表中,查看”远程桌面(TCP-In)”是否开启。如果没有开启,选中该规则,点击右侧的”启用规则”开启

Windows server 2012

点击任务栏的”服务器管理器”图标 打开服务器管理器仪表盘,点击”配置此本地服务器” 点击”Windows防火墙”后的链接 在弹出的窗口,点击左边拦的”启用或关闭Windows防火墙” 在弹出的对话框,确保”公用网络设置”下选中”启用Windows防火墙”,并且不要勾选下面的两个复选框。点击”确定”关闭对话框

同样,启用防火墙后也需要确保允许远程桌面的访问,方法为:

在”Windows防火墙”界面,点击”高级设置”,打开的”高级安全Windows防火墙”窗口 在左边栏选择”入站规则”,在中间规则列表中,找到”远程桌面-用户模式(TCP-In)”,且”配置文件”为”公用”的规则。如果没有开启,选中该规则,点击右侧的”启用规则”开启

如果安装了IIS服务,则系统会自动安装并启用允许80(HTTP)和443(HTTPS)服务的入站规则,不需要特殊配置。但是如果安装了第三方的Web服务器,例如LAMP,则需要手动安装允许访问80和443的入站规则。Windows 2008/2012的配置方法相同,如下:

在防火墙”入站规则”界面,点击右侧”新建规则…” 在弹出对话框,选择”端口”,点击”下一步” “此规则应用于TCP还是UDP?”,选择”TCP”;”此规则应用于所有本地端口还是特定的端口”: 选择”特定本地端口”,在输入框中输入”80. 443″,点击”下一步” 选择”允许连接”,点击”下一步” 选择所有复选框,点击”下一步” 名称中输入”Web服务”, 点击”完成”

四、开启IE增强安全配置

IE的增强安全配置启用后,服务器IE浏览器只能访问白名单内网站。这样能够有效避免管理员在服务器不小心访问恶意站点导致服务器感染病毒或木马。该配置默认开启。如果没有开启,建议开启。开启方法为:

Windows server 2008

点击任务栏的”服务器管理器”图标 在弹出窗口的右侧面板,点击”配置IE ESC”,在弹出的对话框开启/关闭该功能

Windows server 2012

点击任务栏的”服务器管理器”图标 打开服务器管理器仪表盘,点击”配置此本地服务器” 点击”IE增强的安全配置”后的链接,在弹出的对话框开启/关闭该功能

五、安装并启用防毒软件

更进一步地,还可以安装并启用实时杀毒软件来进一步提高服务器的安全性。一旦恶意软件突破前面四步构筑的防线,进入了云主机,实时杀毒软件可以防止恶意软件在云主机运行,保障云主机的安全性。

Windows Security Essentials是微软为Windows 7/Vista开发的免费杀毒软件,可以用于保护Windows Server 2008 R2数据中心版。

Windows Security Essentials安装比较简单,只需要在上述链接下载并运行安装文件,逐步完成向导就能顺利完成。

Windows Server 2012数据中心版可用的(免费)杀毒软件不多。目前可以申请试用System Center 2012 R2 Configuration Manager,并安装其附带的杀毒客户端System Center Endpoint Protection。

安装方法为:

下载软件包后解压(目前为SC2012_R2_SCCM_SCEP.exe),进入SMSSETUP/CLIENT目录

双击执行scepinstall,按照提示逐步安装System Center Endpoint Protection。

六、合理的服务部署架构

最后,合理的服务部署架构能够减少整个Windows服务器站点暴露在外的风险点,提升安全阈值。需要遵循的原则是:

单一角色原则:一台云主机服务器只做一件事情,只提供一种服务。例如数据库服务在一台服务器,Web服务器部署在另外一台。这样可以较准确地评估这台服务器是否需要公网地址,是否需要开启哪些端口,这样能够尽量少地暴露公网地址和端口,从而减少风险点。例如,数据库服务一般不需要公网地址,这样就不用购买公网带宽,既节约了费用,同时也更安全。Web服务器则一般只开启80/443端口,其他端口都可以通过防火墙关闭。

精简原则:能不开启的服务和功能则不开启,能不安装的软件尽量不安装,能不开启的端口确保不开启,能不用公网的主机就不要购买公网带宽。坚持minimalism的原则,既节能环保,也降低安全风险。

本文参与 腾讯云自媒体同步曝光计划,分享自作者个人站点/博客。
如有侵权请联系 cloudcommunity@tencent.com 删除

本文分享自 作者个人站点/博客 前往查看

如有侵权,请联系 cloudcommunity@tencent.com 删除。

本文参与 腾讯云自媒体同步曝光计划  ,欢迎热爱写作的你一起参与!

评论
登录后参与评论
暂无评论
推荐阅读
编辑精选文章
换一批
windows服务器如何设置对指定IP地址进行远程访问?
  因为存在:Windows server 2003、2008、2012及Linux这几种主流服务器。
习惯说一说
2019/06/30
17.6K0
windows服务器如何设置对指定IP地址进行远程访问?
Win2008服务器或VPS安全配置基础教程
  当然,这里的安全设置教程对Windows Server 2003同样有效,只是部分步骤有所不同,仅供参考。
会长君
2023/04/26
2.1K0
服务器安全部署文档(转载)
  年前一直在赶项目,到最后几日才拿到新服务器新添加的硬盘,重做阵列配置生产环境,还要编写部署文档做好安全策略,交给测试部门与相关部门做上线前最后测试,然后将部署文档交给相关部门同事,让他根据部署文档再做一次系统,以保证以后其他同事能自己正常部署服务器,最后终于赶在放假前最后一天匆忙搞定测试后,简单的指导同事按部署文档将服务器重新部署了一次就先跑路回家了,剩下的就留给加班的同事负责将服务器托管到机房了。年后回来上班后按工作计划开始做文档(主要对之前编写的部署文档进行修正和将相关未添加的安全策略添加进文档中,并在测试环境进行安全测试)。等搞定后要对服务器做最后一次安全检查时,运营部门已将网站推广出去了,真是晕死,都不给人活了......只能是加班加点对已挂到公网的服务器日志和相关设置项做一次体检。当然一检查发现挂出去的服务器有着各种各样的攻击记录,不过还好都防住了,没有什么问题,然后就是继续添加一些防火墙策略和系统安全设置。
张传宁IT讲堂
2019/09/17
2.4K0
服务器安全部署文档(转载)
远程连接Windows服务器
轻量应用服务器的管理控制台提供了方便快捷的远程连接方式。具体操作,请参见下面的通过管理控制台远程连接Windows服务器
徐建国
2021/12/01
49.3K0
远程连接Windows服务器
Windows2008系统服务器关闭服务和端口教程
  这篇文章主要介绍了Win2008 R2 WEB 服务器安全设置指南之禁用不必要的服务和关闭端口,需要的朋友可以参考下
会长君
2023/04/26
9.3K0
Windows服务器核心(Server-Core)安装与基础配置使用
Tips : 微软介绍服务器核心时说道其降低的硬件要求、磁盘占用量较小,减小了更新需求因此攻击面更小。 Tips : 在设计上服务器核心中没有桌面,虽然维护支持传统的业务应用程序和基于角色的工作负荷所需的功能,但服务器核心没有传统的桌面界面。 相反,服务器核心旨在通过命令行、PowerShell 或 GUI 工具进行远程管理 (如 RSAT 或 Windows 管理中心) 。
全栈工程师修炼指南
2022/09/29
10.6K0
Windows服务器核心(Server-Core)安装与基础配置使用
windows2016以上版本云服务器开启声音的办法
刚刚发现云服务器没有声音,查找了一些云+社区的解决方法,前面的都可以正常找到,到最后在回到桌面后点开腾讯云代理服务器管理器,硬是怎么都找不到那个服务在哪里,研究了半天才找到,这边就顺着前辈的方案更新一些其他版本的开启方法及路径。
碧海蓝天1
2021/10/29
8.1K0
云服务器开启声音的办法
云服务器没有声音是一件很烦恼的事情,那么今天小编给大家分享一下服务器开启声音的方法!
用户5702163
2019/07/18
22.9K0
FTP服务器配置与管理
任务 1:FTP服务器的安装 任务 2:创建FTP站点 任务 3:配置客户端访问FTP站点 任务 4:FTP访问配置
小简
2022/12/29
16.4K1
FTP服务器配置与管理
Windows Server 2008 R2中安装SQL Server 2012集群图文详解
超详细讲解在Windows Server 2008 R2中安装SQL Server 2012集群过程步骤,图文并茂。
星哥玩云
2022/08/16
2.7K0
Windows Server 2008 R2中安装SQL Server 2012集群图文详解
Windows server 2012远程桌面会话主机和远程桌面授权
远程桌面服务是一项由若干角色服务组成的服务器角色。在 Windows Server 2012 中,远程桌面服务包含以下角色服务:
会长君
2023/04/26
5.8K0
Windows2008系统基础安全配置教程
  不管是Windows服务器系统,还是linux服务器系统,只要设置好安全策略,都能最大程度上地保证服务器安全,说不上用linux一定比Windows安全,关键是看你怎么用,怎么设置安全策略,怎么避免漏洞被利用;Windows服务器系统要保证安全,关键是要避免这个系统的漏洞被利用。下面是具体的安全配置基础教程,仅供参考。
会长君
2023/04/26
3.1K0
Windows 2016 服务器安全配置和加固「建议收藏」
更换Windows更新服务器 如果你觉得默认的Windows更新服务器比较慢,或者如果选择了阿里云或腾讯云服务器的话,可以更换Windows服务器。
全栈程序员站长
2022/06/27
5.2K0
Windows 2016 服务器安全配置和加固「建议收藏」
腾讯云 Windows 服务器安装宝塔面板
宝塔面板是一款使用很方便、功能强大且终身免费的服务器管理软件,支持 Linux 与 Windows 系统。在宝塔面板中,您可以一键配置 LAMP、LNMP、网站、数据库、FTP、SSL,还可以通过 Web 端轻松管理服务器。本文指导您如何在云服务器的 Linux 实例上手动安装宝塔面板。
Im小泽
2024/08/07
1.4K0
Windows 技术篇-使用Windows Server 2012 R2服务器设置ftp共享文件路径实例演示
测试: 首先通过服务器本机访问进行测试下能不能正常使用,可以的话,然后再通过外部主机访问,这时出现问题就能锁定问题是防火墙设置或是外部主机网络设置的问题了。 在文件夹里通过 ftp://+ip 进行访问即可。
小蓝枣
2021/12/01
5K0
Windows 技术篇-使用Windows Server 2012 R2服务器设置ftp共享文件路径实例演示
windows关闭端口方法「建议收藏」
在介绍各种端口的作用前,这里先介绍一下在Windows中如何关闭/打开端口,因为默认的情况下,有很多不安全的或没有什么用的端口是开启的,比如Telnet服务的23端口、FTP服务的21端口、SMTP服务的25端口、RPC服务的135端口等等。为了保证系统的安全性,我们可以通过下面的方法来关闭/开启端口。
全栈程序员站长
2022/09/06
22.1K0
windows关闭端口方法「建议收藏」
教你不花一分钱,用十分钟把旧电脑打造成自己的Windows版NAS系统
一年前我前前后后花了2个多星期的时间才将整套系统部署完成,但这是因为其中有很多的坑,需要找到解决方案。我已经尽可能把过程中遇到的所有问题都写明,大家只要跟着去做,还是非常简单的,不需要太长时间。整套系统至今一直非常稳定。
ICT系统集成阿祥
2024/12/30
13.2K1
教你不花一分钱,用十分钟把旧电脑打造成自己的Windows版NAS系统
GCP通过SAC链接windows服务器
由于业务需求,在Google Cloud Platform (GCP)上面开了一台Windows的Computer Engine。跑了一段时间之后,远程桌面无法链接了,但是http等其他服务还是可以正常访问。
行 者
2023/10/20
7530
Windows Server 2008远程控制安全设置技巧
  为了保障服务器远程控制操作的安全性,Windows Server 2008系统特意在这方面进行了强化,新推出了许多安全防范功能,不过有的功能在默认状态下并没有启用,这需要我们自行动手,对该系统进行合适设置,才能保证远程控制Windows Server 2008服务器系统的安全性。
会长君
2023/04/26
1.2K0
jenkins配置.net mvc网站
jenkins配置.net mvc网站 上一篇使用jenkins配置.net mvc网站进行持续集成一只是简单介绍了jenkins构建站点到本地服务器,这一篇,就来讲解如何部署站点到指定的服务器上面。
逸鹏
2018/04/10
1.4K0
jenkins配置.net mvc网站
推荐阅读
相关推荐
windows服务器如何设置对指定IP地址进行远程访问?
更多 >
领券
问题归档专栏文章快讯文章归档关键词归档开发者手册归档开发者手册 Section 归档