1) 设置复杂密码
服务器设置大写、小写、特殊字符、数字组成的12-16位的复杂密码 ,也可使用密码生成器自动生成复杂密码,这里给您一个链接参考:https://suijimimashengcheng.51240.com/
2) 更改 3389 远程登录端口
- 先选择开始–>运行,输入regedit,点击确认,打开注册表,然后找到路径[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Teminal Server\WinStations\RDP-Tcp],到PortNamber,然后右键–>修改,选择到十进制,你就会看到现在您使用的端口号(默认值是3389),然后修改为您想要使用的端口就可以了,如3390,但是不要选择一些我们常用的端口或者您的软件需要使用的端口,否则会出现端口冲突。
- [HKEY_LOCAL_MACHINE\SYSTEM \CurrentControlSet\Control\Terminal Server\Wds\rdpwd\Tds\tcp],也是找到PortNumber,同上面一样修改一下端口值3390就可以了
修改防火墙策略开放更改后的端口
注意:修改完毕后,重启服务器,才会生效
3)帐户锁定策略
对于采用静态口令认证技术的设备,应配置当用户连续认证失败次数超过10次后,锁定该用户使用的帐户。
操作步骤
打开 控制面板 > 管理工具 > 本地安全策略,在 帐户策略 > 帐户锁定策略 中,配置 帐户锁定阈值 不大于10次。
4)账户安全
Windows服务器一般默认情况下会禁用guest账户,同时服务器只保留guest(禁用状态)和administrator(管理员)账户。
- 禁用Guest账户。
- 禁用或删除其他无用账户(建议先禁用账户三个月,待确认没有问题后删除。)
操作步骤
打开 控制面板 > 管理工具 > 计算机管理,在 系统工具 > 本地用户和组 > 用户 中,双击 Guest 帐户,在属性中选中 帐户已禁用,单击 确定。
5) 日志配置操作
日志配置
审核登录
设备应配置日志功能,对用户登录进行记录。记录内容包括用户登录使用的帐户、登录是否成功、登录时间、以及远程登录时、及用户使用的IP地址。
操作步骤
打开 控制面板 > 管理工具 > 本地安全策略,在 本地策略 > 审核策略 中,设置 审核登录事件。
审核策略
启用本地安全策略中对Windows系统的审核策略更改,成功和失败操作都需要审核。
操作步骤
打开 控制面板 > 管理工具 > 本地安全策略,在 本地策略 > 审核策略 中,设置 审核策略更改。
审核对象访问
启用本地安全策略中对Windows系统的审核对象访问,成功和失败操作都需要审核。
操作步骤
打开 控制面板 > 管理工具 > 本地安全策略,在 本地策略 > 审核策略 中,设置 审核对象访问。
审核事件目录服务访问
启用本地安全策略中对Windows系统的审核目录服务访问,仅需要审核失败操作。
操作步骤
打开 控制面板 > 管理工具 > 本地安全策略,在 本地策略 > 审核策略 中,设置 审核目录服务器访问。
审核特权使用
启用本地安全策略中对Windows系统的审核特权使用,成功和失败操作都需要审核。
操作步骤
打开 控制面板 > 管理工具 > 本地安全策略,在 本地策略 > 审核策略 中,设置 审核特权使用。
审核系统事件
启用本地安全策略中对Windows系统的审核系统事件,成功和失败操作都需要审核。
操作步骤
打开 控制面板 > 管理工具 > 本地安全策略,在 本地策略 > 审核策略 中,设置 审核系统事件。
审核帐户管理
启用本地安全策略中对Windows系统的审核帐户管理,成功和失败操作都要审核。
操作步骤
打开 控制面板 > 管理工具 > 本地安全策略,在 本地策略 > 审核策略 中,设置 审核帐户管理。
审核过程追踪
启用本地安全策略中对Windows系统的审核进程追踪,仅失败操作需要审核。
操作步骤
打开 控制面板 > 管理工具 > 本地安全策略,在 本地策略 > 审核策略 中,设置 审核进程追踪。
6)日志文件大小
设置应用日志文件大小至少为8192 KB,可根据磁盘空间配置日志文件大小,记录的日志越多越好。并设置当达到最大的日志尺寸时,按需要轮询记录日志。
操作步骤
打开控制面板>管理工具>事件查看器,配置应用日志、系统日志、安全日志属性中的日志大小,以及设置当达到最大的日志尺寸时的相应策略。
8)关闭默认共享
非域环境中,关闭Windows硬盘默认共享,例如C,D。
操作步骤
打开注册表编辑器,根据推荐值修改注册表键值。
注意
Windows Server 2012版本已默认关闭Windows硬盘默认共享,且没有该注册表键值。
HKLM\System\CurrentControlSet\Services\LanmanServer\Parameters\AutoShareServer推荐值:0
9)禁用TCP/IP上的NetBIOS(关闭139端口)
禁用TCP/IP上的NetBIOS协议,可以关闭监听的UDP 137(netbios-ns)、UDP 138(netbios-dgm)以及TCP 139(netbios-ssn)端口。
操作步骤
-
在计算机管理>服务和应用程序>服务中禁用TCP/IP NetBIOS Helper服务。
-
在网络连接属性中,双击Internet协议版本4(TCP/IPv4),单击高级。在WINS页签中,进行如下设置:
10)禁用不必要的服务
Print Spooler(管理所有本地和网络打印队列及控制所有打印工作)
Server(不使用文件共享可以关闭,关闭后再右键点某个磁盘选属性,“共享”这个页面就不存在了)
禁用不必要的服务,请参考:
11)关闭445端口
1、打开注册表
按组合键 WIN+R 打开运行窗口,然后输入 regedit ,之后按回车键,即可打开注册表。
2、打开NetBT项目
依次点击注册表选项HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\NetBT\Parameters“,如图:
打开NetBT项目
3、新建“QWORD(64位)值”
在右边空白处右击新建“QWORD(64位)值”,然后重命名为“SMBDeviceEnabled”。如图:
新建“QWORD(64位)值”(点击图片放大)
重命名为“SMBDeviceEnabled” ,值:0
注册表修改完毕,关闭注册表。
4、禁用Server服务
修改完注册表后,还要去禁用Server服务。按 WIN+R 打开运行窗口,输入 services.msc ,按回车键,即可打开服务管理器。
找到 Server 名称,右键点击它,然后点击“属性”进入属性设置窗口。
在属性窗口点击“停止”按钮,“启动类型”选择“禁用”,最后点击“确定”按钮。
禁用Server服务
5、重启电脑
因为修改了注册表,所以需要重启电脑才生效。重启电脑后,445端口就关闭了。
6、检测端口是否关闭成功
按 WIN+R,输入 cmd ,按回车键,进入 dos 窗口。
输入命令:
netstat -ano -p tcp | find “445”
没有任何记录返回,则说明该端口关闭成功了
12)防火墙中设置允许远程连接RDP的ip
1.控制面板——windows防火墙——高级设置——入站规则——新建规则——端口——特定端口tcp(如13688)——允许连接
2.完成以上操作之后右击该条规则属性——作用域——本地ip地址——任何ip地址——远程ip地址——下列ip地址—— 添加管理者ip
同理其它端口可以通过此功能对特定网段屏蔽(如80端口)。文章来源:https://www.toymoban.com/news/detail-460829.html
请注意:不是专线的网络的IP地址经常变,不适合限定IP。文章来源地址https://www.toymoban.com/news/detail-460829.html
到了这里,关于针对windows操作系统vps的一些安全加固方法的文章就介绍完了。如果您还想了解更多内容,请在右上角搜索TOY模板网以前的文章或继续浏览下面的相关文章,希望大家以后多多支持TOY模板网!
