WindowsServer服务器安全性配置和后门预防与控制

作者是Navedi的运营和维护人员，负责整理客户提供的数据并导入软件，配置软件并将软件部署到客户的服务器. 我们的软件部署在WindowsServer操作系统的服务器上. 因为我们的生产线可视化软件NVisual是一款可通过2D可视化显示实际数据中心中设备与生产线之间关系的软件. 为了完成此功能，用户将向我们提供他们想要在2D平台上构建数据中心的所有机柜，设备和链接数据. 因此，在服务器上部署软件时，我必须考虑服务器的安全配置，以保护客户的数据不被泄露. 尽管我们的软件NVisual本身具有高强度的保护机制，但是如果黑客直接访问服务器，则客户的数据仍然会存在安全问题. 因此，作者非常关注服务器的安全性配置. 分享您对Windows Server安全配置的知识和经验.

那么安全配置的基本功能是什么？

①关闭本机未使用的端口或仅允许访问指定的端口； ②学会操作流程，时刻关注系统运行状态，看是否有一些未知进程在运行，及时终止未知进程；

③关闭不必要的服务；

④建立安全帐户策略和安全日志；

⑤设置安全IIS，删除不必要的IIS组件并执行IIS安全配置. 在IIS安全配置中，请注意修改默认的“ Inetpub”目录路径. 您可以删除C驱动器上的“ Inetpub”目录，然后在D驱动器上重建“ Inetpub”，然后将主目录指向IIS管理器中新创建的“ Inetpub”路径. 此外，您还需要删除默认的虚拟目录（如“脚本”和“打印”），然后在IIS管理器中删除不必要的映射. 通常，保留ASP和ASA就足够了.

具体方法是在“ IIS信息服务”管理器中右键单击主机名，选择“属性”→“主目录”选项卡，单击“高级”按钮，然后删除“映射”中不必要的映射”标签.

⑥SQLServer是各种网站系统中使用最多的系统. 一旦受到攻击，后果将非常严重. 尽管默认的SA用户具有操作SQL Server的完全权限，但是必须为SA帐户设置一个复杂的密码.

后门防御

接下来，我将介绍服务器后门的防护. 后门预防是不可忽视的关键点. 后门是攻击者进入和退出系统的通道. 它是隐藏且危险的. 攻击者仿佛没有人使用后门技术. Windows系统有许多后门.

①嗅探欺骗: 在控制了主机之后，攻击者没有创建新帐户，而是在主机上安装了嗅探工具来窃取管理员的密码. 由于这种类型的后门程序不会创建新帐户，而是通过嗅探管理员密码登录到系统，因此非常隐蔽. 如果管理员不了解安全性并且缺乏足够的安全技能，则根本不会发现它.

注意事项:

嗅探后门攻击者使用普通的管理员帐户登录系统，因此很难找到，但是任何入侵都会留下线索，我们可以在组策略中启用“审核策略”以记录用户的登录信息，并且然后使用事件查看器检查可疑时间是否存在非法登录. 下载防病毒软件以清除系统中安装的嗅探工具，然后更改管理员密码.

②放大镜程序: 放大镜是系统中集成的一个小工具，旨在为视障用户提供方便. 在用户登录系统之前，可以通过“ Win + U”组合键调用该工具. 因此，攻击者使用精心构造的同名magnify.exe文件替换了放大镜程序，以达到控制服务器的目的.

通常，攻击者通过构造的magnify.exe程序创建管理员用户，然后登录到系统. 当然，有时他们会通过它直接调用命令提示符（cmd.exe）或系统外壳程序（explorer.exe）. 需要说明的是，这种方式调用的程序均为系统权限，即最高的系统权限. 但是，以防万一管理员在运行放大镜程序时发现漏洞，攻击者通常会通过构造程序完成所需的操作，最后运行真正的放大镜程序来欺骗管理员.

注意事项:

转到％Windir％\ system32 \，检查magnify.exe文件图标是否为原始放大镜图标. 如果不是，则很可能已经植入了放大镜后门. 当然，有时攻击者会将其文件图标更改为与原始放大镜程序的图标相同的图标. 此时，我们可以检查magnify.exe文件的大小和修改时间. 如果两者之间存在差异，我们会更加怀疑. 我们还可以先运行magnify.exe，然后运行lusrmgr.msc，以查看是否存在可疑用户. 如果确定服务器放置有放大镜后门，则首先删除该文件，然后恢复正常的放大镜程序. 当然，我们也可以做得更彻底，用不重要的程序代替放大镜程序. 甚至我们也可以使用人类的方式来对待人体，构建一个magnify.exe，并用它来警告攻击者或进行入侵监视和证据收集.

（补充: 类似于放大镜的后门，也有“粘键”后门，即按五下SHIEF键可以激活粘键功能. 其使用和预防措施与后门类似，但替换为magnify.exe成为sethc.exe. ）

③telnet欺骗: Telnet是命令行下的远程登录工具，但在服务器管理中使用不多，并且通常被管理员忽略. 攻击者控制服务器后，如果打开“远程桌面”进行远程控制很容易被管理员注意到，但是通过启动Telnet进行远程控制并不容易引起管理员注意. 但是，telnet的默认端口为23. 如果已打开，则其他人很容易进行扫描. 因此，攻击者将更改telnet的端口以获得对服务器的独占控制权.

注意事项:

telnet后门的方法非常简单. 您可以通过“ tlntadmn config port = n”命令更改其端口，更彻底地运行“ services.msc”以打开服务管理器并禁用telnet服务.

服务器安全配置

基本技能和重要的后门防护知识已经完成，然后让我们详细讨论服务器的配置和操作. 众所周知，360杀毒软件是流氓软件. Windows系统本身的防火墙非常有效. 只要配置正确，我们就可以使用这些恶意软件并担心服务器的安全性. 因此，如何配置防火墙，第一件事就是管理入站端口.

允许特定端口访问

这里我们以Windows防火墙为例（实际上，云服务提供商提供的防火墙规则是相似的），前提是启用了防火墙. 在“运行”中执行WF.msc. 打开“高级安全Windows防火墙”，单击左侧的“入站规则”，然后单击右侧的“新建规则...”以打开“新建入站规则向导”窗口，选择单击“端口”，然后单击“下一步”按钮；选择端口类型“ TCP”，在下面选择“特定本地端口”，输入设置的远程登录端口和Web端口，例如: 80、5000、13389，然后单击“下一步”“按钮”；选择“允许连接”，然后单击“下一步”按钮；选择所有选项，然后单击“下一步”；最后输入规则名称，例如“允许远程连接和Web服务”，最后单击“完成”“保存”.

默认情况下，Windows有许多打开的端口. 当您时，网络病毒和黑客可以通过这些端口连接到您的计算机. 为了将您的系统变成一堵铁墙，应该关闭以下端口，主要是: TCP 135、139、445、593、1025端口和UDP 135、137、138、445端口，一些流行的病毒后门端口（例如TCP 2745、3127、6129端口）和远程服务访问端口3389（与开放端口操作相同，不同之处在于“允许”步骤更改为“禁止”）. 但是，如果需要远程访问该怎么办？更改远程终端的默认端口3389

将默认的远程终端端口3389更改为另一个端口.

运行regedit打开注册表程序，您需要在两个地方修改注册表:

HKEY_LOCAL_MACHINE \ System \ CurrentControlSet \ Control \ Terminal Server \ Wds \ repwd \ Tds \ tcp

HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Control \ TerminalServer \ WinStations \ RDP-Tcp

将上述两个位置右侧的PortNumber的值更改为新的端口号（建议将基数设置为十进制）

.

完成设置后，关闭注册表并重新启动服务器以使其生效. 如果您设置了防火墙，请注意将新端口添加到防火墙的白名单中.

然后，仅将远程关机，本地关机和用户权限分配授权给管理员组

在“运行”中执行secpol.msc，打开“本地安全策略”窗口，然后依次打开“本地策略”-“用户权限分配”.

（1）双击右侧的“从远程系统强制关机”，仅保留“管理员组”并删除其他用户组；

（2）双击右侧的“关闭系统”，仅保留“管理员组”，并删除其他用户组；

（3）双击右侧的“获取文件或其他对象的所有权”，仅保留“管理员组”并删除其他用户组；

将远程登录帐户设置为特定的管理员帐户

指定特定的管理员帐户而不是Administrtors组将增强登录系统的安全性. 即使Administrtors组中的帐户是通过漏洞创建的，系统也无法登录.

在“运行”中执行secpol.msc，打开“本地安全策略”窗口，然后依次打开“本地策略”-“用户权限分配”. 双击右侧的“从网络访问此计算机”以删除所有用户组，然后单击下面的“添加用户或组...”按钮，单击“高级”按钮，然后单击“立即查询”. “按钮开始查询. 在结果中选择管理员帐户，然后依次确认并保存；

关闭“同步Host_xxx”服务

Windows 2016中有一个“同步主机_xxx”服务. 它后面的xxx是一个数字，每个服务器都不同. 需要手动将其关闭，如下所示:

首先，在“运行”中执行regedit打开注册表，然后在HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Services下找到OneSyncSvc，OneSyncSvc_xxx，UserDataSvc和UserDataSvc_xxx，并将开始值依次修改为4，退出注册表然后重新启动服务器.

关闭IPC共享

如果停止并禁用上述服务器服务，将不会有IPC共享. 执行net share命令后，将提示“服务器服务未启动”，否则将类似于默认共享C $，D $等，可以使用net share C $ / del命令删除. 在注册表中找到HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Services \ lanmanserver \ parameters，右键单击右侧的空白，然后选择“ New”-“ DWORD key”，名称设置为AutoShareServer，并且密钥值为设置为0.

关闭端口139（Netbios服务），端口445，端口5355（LLMNR）

（1）关闭端口139

依次打开“控制面板”-“查看网络状态和任务”，然后单击左侧的“更改适配器设置”，在网络连接中双击已激活的网卡，单击“属性”按钮，然后双击“ Internet协议版本4（TCP / IPv4）”，单击打开的窗口右下角的“高级”按钮，然后选择上方的“ WINS”选项卡，选择“禁用TCP / IP上的NetBIOS”在“ NetBIOS设置”中，最后是“确定”.

关闭此功能，将关闭服务器上的所有共享服务功能，而其他功能将不会在资源管理器中看到您的共享资源. 这也可以防止信息泄漏.

（2）关闭端口445

端口445是netbios用来解析LAN中计算机名称的服务端口. 通常，服务器不需要向LAN打开任何共享，因此可以将其关闭. 打开注册表，在HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Services \ NetBT \ Parameters位置，右键单击右侧，然后依次选择“ New”-“ Dword Value”，名称设置为SMBDeviceEnabled，并设置值到0.

（3）关闭端口5355（LLMNR）

LLMNR本地链接多播名称解析，也称为多播DNS，用于解析本地网段上的名称. 可以通过关闭组策略来关闭它. 打开“运行”，输入gpedit.msc以打开“本地组策略编辑器”，选择“计算机配置”-“管理模板”-“网络”-“ DNS客户端”，然后双击右侧的“关闭多播名称”分辨率””，并将其设置为“禁用”.

但是某些端口无法关闭. 像端口135一样，它是RPC服务打开的端口. 如果服务停止，则计算机将关闭.

然后关闭一些服务

在“运行”中执行services.msc命令，然后打开“服务”. 根据具体情况，建议禁用以下服务:

应用程序层网关服务（提供对应用程序级协议插件的支持并启用网络/协议连接）

后台智能传输服务（使用免费的网络带宽在后台传输文件. 如果该服务被禁用，例如Windows Update和MSN Explorer功能将无法自动下载程序和其他信息）

计算机浏览器（维护网络上计算机的更新列表，并将该列表提供给计算机以供指定浏览）

DHCP客户端

诊断策略服务

分布式链接跟踪客户端

分布式事务处理协调员

DNS客户端

后台打印程序（管理所有本地和网络打印队列并控制所有打印作业）

远程注册表（使远程用户可以在此计算机上修改注册表设置）

Shell硬件检测

TCP / IP NetBIOS Helper（为网络上的客户端提供对TCP / IP上的NetBIOS（NetBT）服务的支持以及NetBIOS名称解析，以便用户可以共享文件，打印和登录网络）

任务计划程序（使用户能够在此计算机上配置和计划自动任务）

本文来自电脑杂谈，转载请注明本文网址：
http://www.pc-fly.com/a/shouji/article-296146-1.html