A-A+

windows服务器安全

2018年03月08日 windows 评论 1 条 阅读 3,475 views 次

前天入手了一台腾讯云特价的云服务器,配置是1h1G,360元用6年半。。价格很实惠。

因为难得可以windows,所以我选择了windows2008R2,但开通后因为忙工作就没管它。

 

今天登录服务器,看了下日志,简直吓人,有人在暴力破解密码。虽然咱密码够复杂,但是这么一直让他破解也不是个事儿,而且可能会影响我机器性能啊。

 

言归正传,我打算简单搞一搞这windows服务器的安全。目前思路是:

1、修改远程桌面端口

2、修改管理员账户

3、设置本地策略。

4、超过设定次数的错误登录,就封锁ip半小时。

默认的3389和administrator是windows系统默认的,对付这些傻瓜爆破机,加上ip封锁,应该够了。

 

转入正题:

一、设置本地组策略,开启日志

1.运行: gpedit.msc ,进入本地组策略编辑器;

2.左侧目录一次选择“计算机配置”→“Windows设置”→“安全设置”→“本地策略”→“审核策略”,双击其中的“审核登陆事件”,审核操作里勾上成功和失败-->点击应用-->点击确定。

(除了审核登录事件,还有审核账户登录事件,他们的区别我也说不明白,大家自行百度吧!)

因为目前机器正在被爆破,会记录大量日志,所以我暂时把失败的审核取消掉,只留下关键的成功信息。等修改完端口和账户后再来开启。

遗留问题:目前发现记录的日志看不到爆破方的ip,等有时间再查查。

 

二、事件查看器:查看日志

1、windows菜单输入“事件查看器”,就可以打开了;

2、左侧目录树,依次打开  “windows日志”—>“安全”。就可以看到日志了。

常规选项卡:

登录类型3,意思就是网络登录。即远程桌面。

失败信息-》失败原因:未知用户名或密码错误。。表示有人在登录但是账户或密码错误。

网络信息-》源网络地址:就是登陆这的ip地址。

 

更多详细内容可以参考《windows登录日志详解》

 

三、修改默认系统管理员用户名

1、以次点开:开始->管理工具->服务器管理器->配置->本地用户和组->用户

2、在用户窗口中选择administrator,鼠标右键—》重命名,输入新的用户名即可。

然后双击该项,在用户全名中将Administrator改为别的名字即可。

3、注销用户,重新登录即可

 

四、限制用户错误登录次数(不推荐)

限制用户错误登录的次数来防止这种方式的密码破解,但是在被暴力破解时,可能会导致你也无法登录。

1、依次点击开始->管理工具->本地安全策略,展开“帐户策略”,点击“帐户锁定策略”

2、右侧窗口中双击帐户锁定阀值,输入允许错误输入的次数,确定即可,如下图,设置错误登录次数为3的情况

 

五、登录时需要用户输入用户名

为了更好防止非法用户登录到系统,在用户登录时记用户输入用户名是一个不错的选择,这样可以有效的减少非法用户的试探成功的可能性,设置如下:

1、依次点击开始->管理工具->本地安全策略,展开“本地策略”,单击“安全选项”;

2、在右侧窗口中找到“交互式登录,不显示最后的用户名”一项,双击,选择“已启用”;

六、修改远程桌面端口(防火墙先把要设置的端口放行)

1、开启远程桌面:右击桌面上的“计算机”图标,选择“属性”,在弹出的窗口中选择“远程设置”,在接下来弹出的窗口中“远程桌面”区域选择“允许运行任意版本远程桌面的计算机连接”。默认管理员已经在运行用户中。

2、更改远程桌面默认的端口号(1):

搜索框中输入“regedit”,回车打开注册表,进入以下注册表项

“HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Control/Terminal Server/Wds/rdpwd/Tds/tcp”

,在右侧找到PortNamber,可以看见其默认值是3389,修改成所希望的端口(2000-65535间选择)即可,这里我们以33890为例,注意使用十进制。

3、更改远程桌面默认的端口号(2):

再打开

[HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Control/Terminal Server/WinStations/RDP-Tcp]

,将PortNumber的值修改成端口33890,注意使用十进制。

到此,端口号修改完成,重启电脑 或 右键“计算机”,点击“管理”,弹出的窗口左侧选“服务和应用程序”-->"服务",找到“Remote Desktop Services”,右击,选择“重新启动”,即可使更改后的端口生效。

 

七、禁止ping

云服务器,暴破密码的太多了。都是先扫ip段找目标,可以把回显请求-ICMPv4-In禁止掉,不响应ping。

设置方法1:windows防火墙-》入站规则-》文件和打印机共享(回显请求 - ICMPv4-In。

方法2:命令提示符,更快速简洁的设置

开启:netsh firewall set icmpsetting 8

关闭: netsh firewall set icmpsetting 8 disable

 

 

 

 

 

标签:

1 条留言  访客:0 条  博主:0 条   引用: 1 条

来自外部的引用: 1 条

  • 【云服务器】腾讯有1核2G服务器120元一年/360三年 |添翼博客

给我留言