七、服务安全
1.禁用TCP/IP上的NetBIOS(协议所用端口139)
作用:禁用TCP/IP上的NetBIOS协议,可以关闭监听的UDP137、UDP138、UDP139端口。
(1)使用快捷键“Windows+R“—>输入”compmgmt.msc “打开“计算机管理”—>选择“服务和应用程序”—>选择“服务”中的“停用”TCP/IP NetBIOS Helper服务“—>右键打开“属性”—>在启动类型中选择“禁用“。
(2)在网络与共享中心—>打开“本地连接网络“的属性对话框—>取消选择”Micsoft网络的文件和共享打印机“复选框。
(3)在“网络与共享中心“—>打开”本地连接网络的属性“对话框—>选中”Internet协议版本4(TCP/IPV4)“选项—>单击”属性“打开”Internet协议版本4(TCP/IPV4)属性“—>单击”高级“打开”高级TCP/IP设置“—>单击”WINS“选项卡—>选择”禁用TCP/IP上的NetBIOS“。
2.禁用不必要的服务
作用:节省大量内存和大量系统资源,提升系统启动和运行的速度,减少系统受攻击的风险。
(1)使用快捷键“Windows+R“—>输入”compmgmt.msc “打开“计算机管理”—>选择“服务和应用程序”—>选择“服务”中的“服务”窗口,查看所有服务。
(2)停用服务。打开系统服务列表—>“停止“不必要的服务—>右键打开”属性“—>在启动类型中选择”禁用“
|
服务名称 |
配置建议 |
|
DHCP Client |
如果不使用动态P地址,就禁用该服务 |
|
Background Intelligent Transfer Service |
如果不启用自动更新,就禁用该服务 |
|
Computer Browser |
禁用 |
|
Diagnostic Policy Service |
手动 |
|
IP Helper |
禁用。该服务用于转换P6 to IPv4 |
|
Print Spooler |
如果不需要打印,就禁用该服务 |
|
Remote Registry |
禁用。Remote Registry主要用于运程管理注册表 |
|
Server |
如果不使用文件共享,就禁用该服务。禁用本服务将关闭默认共享,如ipc$.、admin$和c$等 |
|
TCP/IP NetBIOs Helper |
禁用 |
|
Windows Remote Management (WS- Management) |
禁用 |
|
Windows Font Cache Service |
禁用 |
|
WinHTTP web Proxy Auto-Discovery Service |
禁用 |
|
Windows Error Reporting Service |
禁用 |
3.关闭同步主机服务
作用:属于多余的系统启动项,作用不大,关闭后可节省磁盘频繁读取。
使用Win+R—>输入“regedit“—>打开注册表编辑器,HKEY_LOCAL_MACHINESystemCurrentControlSetServices—>找到”OneSyncSvc“、”OneSyncSvc_xxx“、”UserDataSvc“、和”UserDataSvc _xxx“—>依次将其中的”start“值该为为4—>退出注册表后重启服务器即可。
4.打开“PowerShell“脚本块日志记录设置为”禁用“
作用 :
PowerShell操作日志上默认ACL(访问控制列表)允许交互式用户(任何登录的用户)读取它,因此可能向未授权用户公开密码或其他敏感信息。
在PowerShell日志中默认捕获密码存在潜在的风险。此设置只应用于调试目的,不在正常操作中,将此设置设置为禁用非常重要。
使用快捷键“Windows+R”—>输入“gpedit.msc”打开本地组策略编辑器 —>打开“计算机配置”—>“管理模板”—>“Windows组件“—>打开”powershell脚本块日志记录“—>配置为”已禁用“。
5.打开“PowerShell“转换设置为”禁用“
作用:启用此设置,密码可能会以纯文本形式存储在PowerShell_transcript输出文件中,因此可能向未受授权用户公开密码或其他敏感信息。
使用快捷键“Windows+R”—>输入“gpedit.msc”打开本地组策略编辑器 —>打开“计算机配置”—>“管理模板”—>“Windows组件“—>打开”powershell“—>将”打开WindowsShell转换“配置为”已禁用“。
八、其他安全配置
1.安装更新杀毒软件
作用:安装企业级防病毒软件,并开启病毒库更新及及时防御功能,提高系统防病毒能力。
使用快捷键“Windows+R”—>输入“control”打开控制面板—>“添加或删除程序”查看是否安装有防病毒软件—>打开杀毒软件,查看更新日期(病毒码更新时间不早于1个月,各系统病毒码升级时间参照各系统相关规定)。
2.数据执行保护配置
作用:启用系统自带DEP(数据执行保护),帮助防止数据页当作代码执行,从而有效分离数据与代码,防止在受保护内存位置运行有效代码,有助于防止计算机遭受病毒侵害、防止其他安全威胁计算机,提高系统抵抗非法修改文件的性能。
使用快捷键“Windows+R”—>输入“control”打开控制面板—>“系统”—>在“高级系统设置”选项卡—>高级—> “性能”—>“设置”—>“数据执行保护”—>查看并记录“仅为基本Windows操作系统程序和服务启用DEP”配置状态。
3.设置屏幕保护密码和开启时间
作用:防止非法攻击,无法恢复桌面控制,设置10时间为1-10min。
打开“控制面板”—>“外观和个性化”—>“个性化”—>“屏幕保护程序”。
4.限制远程登录空闲断开时间
作用:设置Microsoft网络服务挂起时间,对于远程登录的账号设置
“控制面板”—>“管理工具”—>本地安全策略—>“安全选项”—>设置“Microsoft网络服务器:暂停会话前所需的空闲时间数量属性为15min”
5.关闭Windows自动播放功能
作用:防止从移动设备感染病毒,降低病毒传播风险。
在运行中输入“gpedit.msc” —>计算机配置—>管理模板—>所有设置—>双击“关闭自动播放”—>选择“已启用”—>在“关闭自动播放”列表中选择需要的选项,例“所有驱动”。
6.关闭CD自动播报功能和禁止U盘自启动
关闭CD自动播报
打开注册表编辑器—>进入HKEY_LOCAL_MACHINESystemCurrentControlSetServicesCDRom将“Autorun”键值设置为“0”Hex
禁止U盘自启动
进入HKEY_CURRENT_UserSoftwareMicrosoftWindowsCurrentVersionPoliciesExplorer找到“NoDriveTypeAutoRun”(没有自己创建一个)键值数据类型为REG_DWORD,键值为16进制“FF”。
7.*操作系统补丁管理
作用:修复系统漏洞,安装最新Service Pack补丁集。对服务器系统进行兼容测试(可在微软官网下载)。
对服务器系统进行兼容测试,安装最新操作系统Hotfix补丁。对于实际业务环境服务器可以使用通知并自动下载更新,由系统管理员选择是否安装更新(非自动安装更新),防止自动更新补丁对实际业务环境产生影响。
在运行中输入“gpedit.msc” —>计算机配置—>管理模板—>Windows组件—>windows更新—>配置自动更新—>“已启用”—>双击“配置自动更新”—>“已启用”—>配置成“自动下载并通知安装”。
可在Windows组策略对Windows更新进行需要的配置。
8.禁止注册表编辑器(不常用)
作用:防止非网络管理人员恶意使用。
在运行中输入“gpedit.msc” 打开组策略编辑器—>“本地计算机”策略—>用户配置—>管理模板—>“系统”—>双击“阻止访问注册表编辑工具” —>打开“阻止访问注册表编辑工具”属性—>“已启用”。
总结:并非所有配置都要进行设置,根据不同情况进行不同配置。账户的权限、日志需配置。