10秒后自動關(guān)閉
如何加固Windows Server 2025系統(tǒng)安全

Windows Server 2025作為微軟全新一代服務(wù)器系統(tǒng),已于近期正式全面登場。護(hù)衛(wèi)神安全團(tuán)隊(duì)第一時間對其進(jìn)行安裝測試,研究系統(tǒng)安全加固方法。經(jīng)研究發(fā)現(xiàn),Windows Server 2025和以前的Windows Server操作系統(tǒng)一樣,為了兼容性,微軟默認(rèn)安裝了很多模塊、開放了很多功能。大部分服務(wù)器只用于存放網(wǎng)站、數(shù)據(jù)庫、ERP/OA/生產(chǎn)等系統(tǒng), 均用不到Windows默認(rèn)開放的大部分功能模塊,這些功能模塊往往可能出現(xiàn)漏洞,因此要保障Windows Server系統(tǒng)的安全,務(wù)必做系統(tǒng)安全加固。


那么Windows Server 2025如何加固系統(tǒng)安全呢,下面就由護(hù)衛(wèi)神安全團(tuán)隊(duì)為你詳細(xì)講解!


1、 更新系統(tǒng)補(bǔ)丁至最新

這個算是Windows系統(tǒng)用戶的福利,微軟每個月都會定期發(fā)布系統(tǒng)補(bǔ)丁,只需要更新一下就可以了。如果你覺得麻煩,可以使用《護(hù)衛(wèi)神.防入侵系統(tǒng)》的“補(bǔ)丁更新”功能,自動更新系統(tǒng)補(bǔ)丁至最新(如下圖一),并發(fā)送結(jié)果通知給你(如下圖二)。


自動更新系統(tǒng)補(bǔ)丁

(圖一:自動更新系統(tǒng)補(bǔ)丁)



補(bǔ)丁更新通知

(圖二:補(bǔ)丁更新通知)



2、 禁用危險的服務(wù)

服務(wù)器一般用不到的幾個危險服務(wù):Server、Remote Registry、Computer Browser、Print Spooler、Routing and Remote Access、Telnet 、TCP/IP NetBIOS Helper,請務(wù)必在“服務(wù)”中禁用。其中Print Spooler是打印機(jī)服務(wù),如果需要使用打印機(jī)請開啟。


快捷禁用腳本:

sc config   lanmanserver start= DISABLED
net stop lanmanserver

sc config   RemoteRegistry start= DISABLED
net stop RemoteRegistry

sc config   Browser start= DISABLED
net stop Browser

sc config   Spooler start= DISABLED
net stop Spooler

sc config   RemoteAccess start= DISABLED
net stop RemoteAccess

sc config   tlntsvr start= DISABLED
net stop tlntsvr

sc config LmHosts start= DISABLED
net stop LmHosts



3、 更改默認(rèn)遠(yuǎn)程桌面端口

遠(yuǎn)程桌面端口默認(rèn)3389,有很多掃描工具會對其進(jìn)行撞庫和暴力破解,改成一個不常用的端口雖然不能從根本解決問題,但相對3389端口還是會好一些。如果要從根本解決問題,可以使用《護(hù)衛(wèi)神.防入侵系統(tǒng)》的“遠(yuǎn)程防護(hù)”模塊,只有授權(quán)用戶才能連接遠(yuǎn)程桌面(例如只對你所在城市開放遠(yuǎn)程桌面),徹底阻止黑客撞庫和暴力破解,攔截效果如下圖三。


攔截非法遠(yuǎn)程登錄

(圖三:攔截非法遠(yuǎn)程登錄)



4、 啟用防火墻,只開放必要端口

防火墻是必須開啟的,一般只開放網(wǎng)站端口(默認(rèn)80、443)、遠(yuǎn)程端口(默認(rèn)3389)。如果需要FTP,也可以開放一下(默認(rèn)21)。

以下端口請務(wù)必禁止訪問:135,137,138,139,445

如果網(wǎng)站只對國內(nèi)開放,可以使用《護(hù)衛(wèi)神.防入侵系統(tǒng)》的“防火墻”模塊,設(shè)置80端口和443端口只對國內(nèi)開放(如下圖四),這樣安全性會提升很多,因?yàn)榻^大部分掃描肉雞都在國外。


網(wǎng)站只對國內(nèi)用戶開放

(圖四:網(wǎng)站只對國內(nèi)用戶開放)



5、 刪除危險ACL權(quán)限

這一塊非常復(fù)雜,需要對操作系統(tǒng)的每一個文件做顆粒度ALC優(yōu)化。由于篇幅原因,無法逐個說明,我們就挑選重點(diǎn)的一些文件來設(shè)置。

黑客入侵提權(quán)用到的命令工具(cmd.exe、net.exe),務(wù)必設(shè)置ACL權(quán)限,只允許Administrators和System訪問。


快捷設(shè)置腳本:

Echo y|Cacls "C:\Windows\regedit.exe" /C /G Administrators:f SYSTEM:f
Echo y|Cacls "C:\Windows\System32\cmd.exe" /C /G Administrators:f SYSTEM:f
Echo y|Cacls "C:\Windows\System32\net.exe" /C /G Administrators:f SYSTEM:f
Echo y|Cacls "C:\Windows\System32\at.exe" /C /G Administrators:f SYSTEM:f
Echo y|Cacls "C:\Windows\System32\attrib.exe" /C /G Administrators:f SYSTEM:f
Echo y|Cacls "C:\Windows\System32\cacls.exe" /C /G Administrators:f SYSTEM:f
Echo y|Cacls "C:\Windows\System32\cscript.exe" /C /G Administrators:f SYSTEM:f
Echo y|Cacls "C:\Windows\System32\net.exe" /C /G Administrators:f SYSTEM:f
Echo y|Cacls "C:\Windows\System32\net1.exe" /C /G Administrators:f SYSTEM:f
Echo y|Cacls "C:\Windows\System32\sc.exe" /C /G Administrators:f SYSTEM:f
Echo y|Cacls "C:\Windows\System32\wscript.exe" /C /G Administrators:f SYSTEM:f
Echo y|Cacls "C:\Windows\SysWOW64\cmd.exe" /C /G Administrators:f SYSTEM:f
Echo y|Cacls "C:\Windows\SysWOW64\net.exe" /C /G Administrators:f SYSTEM:f
Echo y|Cacls "C:\Windows\SysWOW64\at.exe" /C /G Administrators:f SYSTEM:f
Echo y|Cacls "C:\Windows\SysWOW64\attrib.exe" /C /G Administrators:f SYSTEM:f
Echo y|Cacls "C:\Windows\SysWOW64\cacls.exe" /C /G Administrators:f SYSTEM:f
Echo y|Cacls "C:\Windows\SysWOW64\cscript.exe" /C /G Administrators:f SYSTEM:f
Echo y|Cacls "C:\Windows\SysWOW64\net.exe" /C /G Administrators:f SYSTEM:f
Echo y|Cacls "C:\Windows\SysWOW64\net1.exe" /C /G Administrators:f SYSTEM:f
Echo y|Cacls "C:\Windows\SysWOW64\sc.exe" /C /G Administrators:f SYSTEM:f
Echo y|Cacls "C:\Windows\SysWOW64\wscript.exe" /C /G Administrators:f SYSTEM:f


由于篇幅原因,無法對系統(tǒng)加固方法做全面的介紹,如果你需要全面的系統(tǒng)加固,請使用《護(hù)衛(wèi)神.防入侵系統(tǒng)》的“系統(tǒng)加固”模塊解決,加固項(xiàng)目如下圖五。


系統(tǒng)安全加固

(圖五:系統(tǒng)安全加固)