Windows伺服器的基礎安全強化方法(2008、2012)_win伺服器

美團雲(MOS)提供Windows Server 2008 R2和Windows Server 2012 R2資料中心版的雲主機伺服器。由於Windows伺服器市場佔有率較高的原因，針對Windows伺服器的病毒木馬等惡意軟體較多，且容易獲得，技術門檻也較低，因此Windows伺服器的安全問題需要格外留意。為了安全地使用Windows雲主機，建議應用如下幾個簡單的安全強化措施。雖然簡單，但是已足夠防禦大部分較常見的安全風險。

一、設定強密碼

　　美團雲Windows伺服器建立後會給管理員(Administrator)帳號自動產生12位的隨機密碼，在首次登入Windows伺服器後，建議立即更改密碼。密碼盡量隨機，要包含數字，大小寫字母和特殊符號，長度至少12位。可以採用一些工具，例如：https://identitysafe.norton.com/password-generator，產生較強的隨機密碼。並且以後至少每隔3個月修改一次密碼。

　　修改密碼的方法為：在管理員成功登入主機後，按"Ctrl-Alt-Delete"，選擇"修改密碼" (提示：可以通過美團雲Web終端登入，點擊右上方的"Ctrl-Al-Delete"按鈕輸入該按鍵組合)

二、開啟自動系統更新

　　美團雲Windows伺服器均已獲得原廠正版授權，可以開啟Windows更新服務，自動更新修補系統漏洞，以避免被惡意攻擊者利用侵入伺服器。請用下面流程檢查是否啟用自動更新，如果沒有啟用，則建議啟用。

　　Windows Server 2008

　　點擊工作列的"伺服器管理員"表徵圖 在右側的面板中，點擊"配置更新" 在彈出的對話方塊中，選擇"自動安裝更新"

　　Windows Server 2012

　　點擊工作列的"伺服器管理員"表徵圖 開啟伺服器管理員儀錶盤，點擊"配置此本機伺服器" 點擊"Windows更新"後的連結 在彈出的視窗，如果未啟用自動更新，則顯示如圖所示警示，點擊"啟用自動更新"。

三、開啟防火牆

　　美團雲已經提供了防火牆服務，如果您正在使用美團雲主機，可以在美團雲控制台使用美團雲提供的防火牆服務進行防火牆設定。美團雲平台提供的防火牆是在虛擬機器外部的雲平台提供了網路連接埠的防火牆功能，配置相對簡單宜用。如果其功能滿足需求，建議關閉Windows系統內建的防火牆。否則可以參考以下內容設定Windows內建的防火牆。

　　(提示：為了避免Windows內建防火牆和雲平台防火牆功能的衝突，在啟用Windows內建防火牆後，請將雲平台的防火牆設定為"開放"。)

　　如果Windows伺服器購買了公網頻寬，則會有一個帶公網IP地址的網卡與公網對接。使用者可以訪問這個IP地址訪問部署在主機上的服務。但是與此同時，惡意攻擊者也可能利用系統漏洞，通過這個公網IP侵入你的伺服器。此時，除了要開啟自動更新及時修複系統漏洞外，還建議開啟Windows server的防火牆，減少直接暴露在公網的連接埠，降低危險連接埠暴露在公網的風險。並且，對於遠端桌面(TCP 3389)等用於管理目的的服務連接埠，最好設定允許訪問的IP白名單，以盡量減少被惡意掃描的風險。

　　(提示，建議通過美團雲控制台的Web終端來配置防火牆，以防止配置過程中出現誤操作，導致遠端桌面連線關閉。)

開啟Windows防火牆的步驟如下：

　　Windows server 2008

　　點擊工作列的"伺服器管理員"表徵圖 在右側的面板中，點擊"轉到Windows防火牆" 在左側的樹狀列表中，滑鼠右鍵點擊"進階安全Windows防火牆" 在彈出的對話方塊中，選擇"公用設定檔"葉簽，確定"防火牆狀態"為"開啟"，點擊"確定"關閉對話方塊

　　開啟防火牆後，為了不影響遠端桌面的訪問，需要確保允許遠端桌面的訪問，方法為：

　　在左側的樹狀列表中，展開"進階安全Windows防火牆"，點擊"入站規則"，在中間的規則列表中，查看"遠端桌面(TCP-In)"是否開啟。如果沒有開啟，選中該規則，點擊右側的"啟用規則"開啟

　　Windows server 2012

　　點擊工作列的"伺服器管理員"表徵圖 開啟伺服器管理員儀錶盤，點擊"配置此本機伺服器" 點擊"Windows防火牆"後的連結 在彈出的視窗，點擊左邊攔的"啟用或關閉Windows防火牆" 在彈出的對話方塊，確保"公用網路設定"下選中"啟用Windows防火牆"，並且不要勾選下面的兩個複選框。點擊"確定"關閉對話方塊

　　同樣，啟用防火牆後也需要確保允許遠端桌面的訪問，方法為：

　　在"Windows防火牆"介面，點擊"進階設定"，開啟的"進階安全Windows防火牆"視窗 在左側邊欄選擇"入站規則"，在中間規則列表中，找到"遠端桌面-使用者模式(TCP-In)"，且"設定檔"為"公用"的規則。如果沒有開啟，選中該規則，點擊右側的"啟用規則"開啟

　　如果安裝了IIS服務，則系統會自動安裝並啟用允許80(HTTP)和443(HTTPS)服務的入站規則，不需要特殊配置。但是如果安裝了第三方的Web伺服器，例如LAMP，則需要手動安裝允許訪問80和443的入站規則。Windows 2008/2012的配置方法相同，如下：

　　在防火牆"入站規則"介面，點擊右側"建立規則..." 在彈出對話方塊，選擇"連接埠"，點擊"下一步" "此規則應用於TCP還是UDP?"，選擇"TCP";"此規則應用於所有本地連接埠還是特定的連接埠": 選擇"特定本地連接埠"，在輸入框中輸入"80, 443"，點擊"下一步" 選擇"允許串連"，點擊"下一步" 選擇所有複選框，點擊"下一步" 名稱中輸入"Web服務", 點擊"完成"

　　四、開啟IE增強安全配置

　　IE的增強安全配置啟用後，伺服器IE瀏覽器只能訪問白名單內網站。這樣能夠有效避免管理員在伺服器不小心訪問惡意網站導致伺服器感染病毒或木馬。該配置預設開啟。如果沒有開啟，建議開啟。開啟方法為：

　　Windows server 2008

　　點擊工作列的"伺服器管理員"表徵圖 在快顯視窗的右側面板，點擊"配置IE ESC"，在彈出的對話方塊開啟/關閉該功能

　　Windows server 2012

　　點擊工作列的"伺服器管理員"表徵圖 開啟伺服器管理員儀錶盤，點擊"配置此本機伺服器" 點擊"IE增強安全配置"後的連結，在彈出的對話方塊開啟/關閉該功能

　　五、安裝並啟用防毒軟體

　　更進一步地，還可以安裝並啟用即時殺毒軟體來進一步提高伺服器的安全性。一旦惡意軟體突破前面四步構築的防線，進入了雲主機，即時殺毒軟體可以防止惡意軟體在雲主機運行，保障雲主機的安全性。

　　Windows Security Essentials是微軟為Windows 7/Vista開發的免費殺毒軟體，可以用於保護Windows Server 2008 R2資料中心版。

　　Windows Security Essentials安裝比較簡單，只需要在上述連結下載並運行安裝檔案，逐步完成嚮導就能順利完成。

　　Windows Server 2012資料中心版可用的(免費)殺毒軟體不多。目前可以申請試用System Center 2012 R2 Configuration Manager，並安裝其附帶的殺毒用戶端System Center Endpoint Protection。

　　安裝方法為：

　　下載軟體包後解壓(目前為SC2012_R2_SCCM_SCEP.exe)，進入SMSSETUP/CLIENT目錄

　　雙擊執行scepinstall，按照提示逐步安裝System Center Endpoint Protection。

雲棲社區小編建議獨立伺服器安裝：mcafee 8.8

　　六、合理的服務部署架構

　　最後，合理的服務部署架構能夠減少整個Windows伺服器網站暴露在外的風險點，提升安全閾值。需要遵循的原則是：

　　單一角色原則：一台雲主機伺服器只做一件事情，只提供一種服務。例如資料庫服務在一台伺服器，Web伺服器部署在另外一台。這樣可以較準確地評估這台伺服器是否需要公網地址，是否需要開啟哪些連接埠，這樣能夠盡量少地暴露公網地址和連接埠，從而減少風險點。例如，資料庫服務一般不需要公網地址，這樣就不用購買公網頻寬，既節約了費用，同時也更安全。Web伺服器則一般只開啟80/443連接埠，其他連接埠都可以通過防火牆關閉。

　　精簡原則：能不開啟的服務和功能則不開啟，能不安裝的軟體盡量不安裝，能不開啟的連接埠確保不開啟，能不用公網的主機就不要購買公網頻寬。堅持minimalism的原則，既節能環保，也降低安全風險。