首页 » 系统安全 » Windows » Windows 2012 » 正文

windows 2012 常见加固

设置强密码

在首次登入Windows服务器后,建议立即更改密码。密码尽量随机,要包含数字,大小写字母和特殊符号,长度至少12位。并且以后至少每隔3个月修改一次密码。

修改密码的方法为:在管理员成功登入主机后,按”Ctrl-Alt-Delete”,选择”修改密码” 。

开启自动系统更新

1、点击任务栏的”服务器管理器”图标

2、打开服务器管理器仪表盘,点击”配置此本地服务器


3、点击”Windows更新”后的链接

4、在弹出的窗口,如果未启用自动更新,则显示如图所示警示,点击”启用自动更新“。


开启防火墙

开启Windows server的防火墙,可以减少直接暴露在公网的端口,降低危险端口暴露在公网的风险。并且,对于远程桌面(TCP 3389)等用于管理目的的服务端口,最好设置允许访问的IP白名单,以尽量减少被恶意扫描的风险。

1、点击任务栏的”服务器管理器”图标

2、打开服务器管理器仪表盘,点击”配置此本地服务器”

3、点击”Windows防火墙”后的链接

4、在弹出的窗口,点击左边拦的”启用或关闭Windows防火墙”

5、在弹出的对话框,确保”公用网络设置”下选中”启用Windows防火墙”,并且不要勾选下面的两个复选框。点击”确定”关闭对话框。


同样,启用防火墙后也需要确保允许远程桌面的访问,方法为:

1、在”Windows防火墙”界面,点击”高级设置”,打开的”高级安全Windows防火墙”窗口。

2、在左边栏选择”入站规则”,在中间规则列表中,找到”远程桌面-用户模式(TCP-In)”,且”配置文件”为”公用”的规则。如果没有开启,选中该规则,点击右侧的”启用规则”开启。


如果安装了IIS服务,则系统会自动安装并启用允许80(HTTP)和443(HTTPS)服务的入站规则,不需要特殊配置。但是如果安装了第三方的Web服务器,例如LAMP,则需要手动安装允许访问80和443的入站规则。如下:

1、在防火墙”入站规则”界面,点击右侧”新建规则…”

2、在弹出对话框,选择”端口”,点击”下一步”

3、”此规则应用于TCP还是UDP?”,选择”TCP”;”此规则应用于所有本地端口还是特定的端口”: 选择”特定本地端口”,在输入框中输入”80, 443″,点击”下一步”

4、选择”允许连接”,点击”下一步”

5、选择所有复选框,点击”下一步”

6、名称中输入”Web服务”, 点击”完成”

开启IE增强安全配置
IE的增强安全配置启用后,服务器IE浏览器只能访问白名单内网站。这样能够有效避免管理员在服务器不小心访问恶意站点导致服务器感染病毒或木马。该配置默认开启。如果没有开启,建议开启:
1、点击任务栏的”服务器管理器”图标
2、打开服务器管理器仪表盘,点击”配置此本地服务器”
3、点击”IE增强的安全配置”后的链接,在弹出的对话框开启/关闭该功能


安装并启用防毒软件
Windows Server 2012数据中心版可用的(免费)杀毒软件不多。目前可以申请试用System Center 2012 R2 Configuration Manager,并安装其附带的杀毒客户端System Center Endpoint Protection。
其下载地址为:https://technet.microsoft.com/zh-cn/evalcenter/dn205297.aspx
安装方法为:
1、下载软件包后解压(目前为SC2012_R2_SCCM_SCEP.exe),进入SMSSETUP/CLIENT目录
2、双击执行scepinstall,按照提示逐步安装System Center Endpoint Protection。




发表评论