WindowsServer2019操作系统安全配置与系统加固探讨
来源:用户上传
作者:
摘要:本文研究了Windows Server 2019操作系统内部与系统安全相关的主要配置,包括注册表编辑器、组策略编辑器、系统事件查看器以及网络防火墙等系统组件和安全选项。并梳理了各种安全配置的相互关联、生效条件和主要作用。对如何加固操作系统,进而提高服务器的本地和网络安全性进行了研究。通过上述研究和安全配置的修改,大幅提升了安装Windows Server 2019操作系统的服务器的安全性。
关键词:操作系统;安全配置;系统加固
中图分类号:TP3 文献标识码:A 文章编号:1007-9416(2019)07-0191-01
0 引言
在当今的服务器操作系统领域,除UNIX、Linux类操作系统外,由微软(Mircosoft)公司开发的Windows Server系列操作系统也占据着较大的份额,目前其最新版本为Windows Server 2019。Windows Server 2019与个人计算机操作系统Windows 10同源,在安全组件构成、界面设计和选项设置方面融合了上一个版本Windows Server 2016的设计,但亦有自己的新特点和改进,包括增强的Windows Defender安全软件、更加有效的BitLocker加密和VM防护、SDN加密网络等。虽然具备了上述的改进,但现今系统安全和网络安全形势依然严峻,各种网络病毒、木马、层出不穷,针对新版本操作系统的恶意程序亦开始出现,对服务器的安全造成了极大的威胁。为了应对这些威胁,有必要对Windows Server 2019操作系统的安全配置进行研究,找到有效的加固系统方法,避免因恶意程序的攻击遭受损失。
1 Windows Server 2019安全配置选项
Windows Server 2019的各主要安全配置选项的路径和窗口布局与上一个版本的Server系统大体一致,包括注册表编辑器、组策略编辑器、服务、控制面板、防火墙等,部分操作细节略有不同。
2 系统服务安全
Windows操作系统的大部分重要功能均由系统服务提供,不同的系统服务具有不同的默认启动策略,包括:自动、手动以及禁用等。为了平衡服务器的性能、功能和安全性三者之间的关系,需要依据实际需求仔细修改系统服务的启动策略。
3 系统自动更新配置
打开“Settings”选项,点击其中的“Windows更新”,在设置页面的左侧导航栏中点击“更改设置”,在新窗口的下拉菜单中选择用户所需的设置项。
打开“本地组策略编辑器”,在左侧导航栏中依次选择“计算机配置”、“管理模板”、“Windows组件”和“Windows更新”,在右侧选项栏中双击“允许自动更新立即安装”选项。在新窗口中选中“已启用”选项,并在“配置自动更新”下拉菜单中选择“3-自动下载并通知安装”,点击“确定”按钮保存配置。
4 系统网络安全
打开“本地安全策略”。在其中点击“本地策略”、“用户权限分配”,双击右侧项目栏中的“从网络访问此计算机”。为保证远程安全,可指定一个专用于远程登录的Administrator组账号保留之,将其他账号从此设置中删除。
在“本地安全策略”窗口中打开“安全设置”、“本地策略”、“安全选项”。在右侧项目栏中选择“网络访问: 不允许 SAM 帐户的匿名枚举”、“网络访问: 不允许 SAM 帐户和共享的匿名枚举”和“帐户: 使用空白密码的本地帐户只允许进行控制台登录”,将其设置为“已启用”。选择“网络访问: 将 Everyone 权限应用于匿名用户”,将其设置为“已禁用”。重启服务器以令设置生效。
5 系统账号与权限安全
打开“本地安全策略”,在左侧导航栏中依次选择“安全设置”、“账户策略”及“密码策略”,在右侧选项栏中依次双击各选项进行配置。建议将“密码必须符合复杂性要求”选项设为“已启用”,并对密码长度最小值和密码最长使用期限做一定的限制。
打开“本地安全策略”,在左侧导航栏中依次选择“安全设置”、“账户策略”及“账户锁定策略”,在右側选项栏中首先双击“账户锁定时间”,为其设置合适的期限。并对“账户锁定阈值”和“重置账户锁定计数器”的配置做出修改。建议将锁定阈值设为10次以内,防止恶意程序采用暴力枚举的方式获取账号密码。
6 其他安全配置
为令系统事件记录更加详细,打开“本地安全策略”窗口,依次点击“安全设置”、“本地策略”和“审核策略”。建议将“审核登录事件”、“审核进程跟踪”、“审核目录服务访问”、“审核系统事件”、“审核帐户登录事件”以及“审核帐户管理”选项设为“成功,失败”,将“审核策略更改”和“审核对象访问”选项设为“成功”。重启服务器以令设置生效。
为增加系统事件记录的长度,打开“事件查看器”,在左侧导航栏中选择“Windows日志”。在展开的下拉菜单中依次用鼠标右键点击“应用程序”、“安全”及“系统”选项,在弹出的页面中点击“属性(P)”,将“日志最大大小”选项设为25600。
7 结论
本文通过对Windows Server 2019操作系统内与系统安全相关的主要配置,包括注册表编辑器、组策略编辑器、系统事件查看器以及网络防火墙等组件和安全选项进行研究,初步理清了Windows Server 2019在本地和网络安全方面的设置要点。通过梳理Windows Server 2019的各种安全配置的相互关联、生效条件和主要作用,对该版本操作系统的安全配置有了进一步的了解,从而为加固操作系统提供依据,并通过修改多种配置进行操作系统的加固,进而大幅度提高了操作系统和服务器在软件硬件两方面的本地和网络安全性。
参考文献
[1] 许红军.Windows Server高级攻击检测[J].网络安全和信息化,2019(3):131-134.
[2] 刘景云.在Windows Server中灵活配置密码策略[J].电脑知识与技术,2019(2):24-25.
[3] 郭建伟.轻松管理Windows Server远程桌面[J].电脑知识与技术,2018(8):26-31.
转载注明来源:https://www.xzbu.com/8/view-15030950.htm
