Windows Server 2025作为微软全新一代服务器系统,已于近期正式全面登场。护卫神安全团队第一时间对其进行安装测试,研究系统安全加固方法。经研究发现,Windows Server 2025和以前的Windows Server操作系统一样,为了兼容性,微软默认安装了很多模块、开放了很多功能。大部分服务器只用于存放网站、数据库、ERP/OA/生产等系统, 均用不到Windows默认开放的大部分功能模块,这些功能模块往往可能出现漏洞,因此要保障Windows Server系统的安全,务必做系统安全加固。
那么Windows Server 2025如何加固系统安全呢,下面就由护卫神为你详细讲解!
1、 更新系统补丁至最新
这个算是Windows系统用户的福利,微软每个月都会定期发布系统补丁,只需要更新一下就可以了。如果你觉得麻烦,可以使用《护卫神.防入侵系统》的"补丁更新"功能,自动更新系统补丁至最新(如下图一),并发送结果通知给你(如下图二)。
(图一:自动更新系统补丁)
(图二:补丁更新通知)
2、 禁用危险的服务
服务器一般用不到的几个危险服务:Server、Remote Registry、Computer Browser、Print Spooler、Routing and Remote Access、Telnet 、TCP/IP NetBIOS Helper,请务必在"服务"中禁用。其中Print Spooler是打印机服务,如果需要使用打印机请开启。
快捷禁用脚本:
sc config lanmanserver start= DISABLED
net stop lanmanserver
sc config RemoteRegistry start= DISABLED
net stop RemoteRegistry
sc config Browser start= DISABLED
net stop Browser
sc config Spooler start= DISABLED
net stop Spooler
sc config RemoteAccess start= DISABLED
net stop RemoteAccess
sc config tlntsvr start= DISABLED
net stop tlntsvr
sc config LmHosts start= DISABLED
net stop LmHosts
3、 更改默认远程桌面端口
远程桌面端口默认3389,有很多扫描工具会对其进行撞库和暴力破解,改成一个不常用的端口虽然不能从根本解决问题,但相对3389端口还是会好一些。如果要从根本解决问题,可以使用《护卫神.防入侵系统》的"远程防护"模块,只有授权用户才能连接远程桌面(例如只对你所在城市开放远程桌面),彻底阻止黑客撞库和暴力破解,拦截效果如下图三。
(图三:拦截非法远程登录)
4、 启用防火墙,只开放必要端口
防火墙是必须开启的,一般只开放网站端口(默认80、443)、远程端口(默认3389)。如果需要FTP,也可以开放一下(默认21)。
以下端口请务必禁止访问:135,137,138,139,445
如果网站只对国内开放,可以使用《护卫神.防入侵系统》的"防火墙"模块,设置80端口和443端口只对国内开放(如下图四),这样安全性会提升很多,因为绝大部分扫描肉鸡都在国外。
(图四:网站只对国内用户开放)
5、 删除危险ACL权限
这一块非常复杂,需要对操作系统的每一个文件做颗粒度ALC优化。由于篇幅原因,无法逐个说明,我们就挑选重点的一些文件来设置。
黑客入侵提权用到的命令工具(cmd.exe、net.exe),务必设置ACL权限,只允许Administrators和System访问。
快捷设置脚本:
Echo y|Cacls "C:\Windows\regedit.exe" /C /G Administrators:f SYSTEM:f
Echo y|Cacls "C:\Windows\System32\cmd.exe" /C /G Administrators:f SYSTEM:f
Echo y|Cacls "C:\Windows\System32\net.exe" /C /G Administrators:f SYSTEM:f
Echo y|Cacls "C:\Windows\System32\at.exe" /C /G Administrators:f SYSTEM:f
Echo y|Cacls "C:\Windows\System32\attrib.exe" /C /G Administrators:f SYSTEM:f
Echo y|Cacls "C:\Windows\System32\cacls.exe" /C /G Administrators:f SYSTEM:f
Echo y|Cacls "C:\Windows\System32\cscript.exe" /C /G Administrators:f SYSTEM:f
Echo y|Cacls "C:\Windows\System32\net.exe" /C /G Administrators:f SYSTEM:f
Echo y|Cacls "C:\Windows\System32\net1.exe" /C /G Administrators:f SYSTEM:f
Echo y|Cacls "C:\Windows\System32\sc.exe" /C /G Administrators:f SYSTEM:f
Echo y|Cacls "C:\Windows\System32\wscript.exe" /C /G Administrators:f SYSTEM:f
Echo y|Cacls "C:\Windows\SysWOW64\cmd.exe" /C /G Administrators:f SYSTEM:f
Echo y|Cacls "C:\Windows\SysWOW64\net.exe" /C /G Administrators:f SYSTEM:f
Echo y|Cacls "C:\Windows\SysWOW64\at.exe" /C /G Administrators:f SYSTEM:f
Echo y|Cacls "C:\Windows\SysWOW64\attrib.exe" /C /G Administrators:f SYSTEM:f
Echo y|Cacls "C:\Windows\SysWOW64\cacls.exe" /C /G Administrators:f SYSTEM:f
Echo y|Cacls "C:\Windows\SysWOW64\cscript.exe" /C /G Administrators:f SYSTEM:f
Echo y|Cacls "C:\Windows\SysWOW64\net.exe" /C /G Administrators:f SYSTEM:f
Echo y|Cacls "C:\Windows\SysWOW64\net1.exe" /C /G Administrators:f SYSTEM:f
Echo y|Cacls "C:\Windows\SysWOW64\sc.exe" /C /G Administrators:f SYSTEM:f
Echo y|Cacls "C:\Windows\SysWOW64\wscript.exe" /C /G Administrators:f SYSTEM:f
由于篇幅原因,无法对系统加固方法做全面的介绍,如果你需要全面的系统加固,请使用《护卫神.防入侵系统》的"系统加固"模块解决,加固项目如下图五。
(图五:系统安全加固)