艾銻知識 |Windows服務(wù)器的基礎(chǔ)安全加固方法(2008、2012)

2020-02-22 16:56 作者：admin 瀏覽量：

 
這幾天如果大家關(guān)注疫情數(shù)據(jù)的變化，可以看到新增確診病例在持續(xù)下降，這意味著疫情很快就會結(jié)束，大家再也不用在家辦公了，到不是在家工作有什么不好，但人類發(fā)明工作不簡簡單單只是為了實現(xiàn)結(jié)果的達成，還有一個非常重要的因素就是人與人之間的聯(lián)結(jié)，這是人類內(nèi)在價值的需求，透過工作與人接觸，共同感受彼此的能量流動，從而達到自我價值的實現(xiàn)，這就像演員都渴望登上奧斯卡的舞臺，來實現(xiàn)自我角色的認可一樣。  
在家辦公，畢竟是家，松、散、懶以及無所謂的態(tài)度會隨時產(chǎn)生，我相信不是每個人都會這樣，但大部分人會如此，因為家本來就是放松的能量場，接下來大家即將回到公司，回到自己的工作崗位，難免會把在家的狀態(tài)帶入工作中，如果每個人都是這樣的狀態(tài)，企業(yè)很快會陷入新的窘境，所以沒有狀態(tài)，也不會有好的結(jié)果，狀態(tài)就是一切。
 
團隊的勢氣決定企業(yè)整體的戰(zhàn)斗力，那如何調(diào)整陸陸續(xù)續(xù)回來的團隊成員呢？
 
   
艾銻無限對中小企業(yè)有三條建議：
 
第一，重新梳理整個企業(yè)的戰(zhàn)略，疫情的發(fā)生，是否給你企業(yè)帶來了變化？如果有那是什么？是否需要調(diào)整自己原有的戰(zhàn)略方向來應(yīng)對疫情發(fā)生后的影響？
 
第二，重新明確每個人的目標(biāo)和目的，目標(biāo)就是重回企業(yè)的人要干什么？干到什么程度？什么時間可以看到這個結(jié)果的發(fā)生？目的就是為什么要實現(xiàn)這個目標(biāo)？這個目標(biāo)與自己的意義是什么？與企業(yè)的意義又是什么？達成了會怎么樣？達不成又會怎么樣？
 
只有清晰這些問題，才會讓回到工作崗位的人快速改變自己的狀態(tài)投入到接下來的工作中，只有積極的狀態(tài)投入工作才會有積極的成果發(fā)生，反之依然。
 
第三，企業(yè)高管與員工建立一對一的對話機制，因疫情的影響，每個人心理或多或少都會產(chǎn)生一些內(nèi)在的變化，作為企業(yè)的高層管理人員，最好與企業(yè)內(nèi)部員工一對一的進行溝通，去了解在這個過程中員工受到的影響和產(chǎn)生的變化，以便接下來更好的調(diào)整他們的狀態(tài)，因為如果他們的心沒有回來，企業(yè)的要求和制度帶來的也都是大家沒有能量的重復(fù)和機械的工作，最終也很難帶來好的結(jié)果。
 
以上三點是企業(yè)管理者需要重視的，當(dāng)然身為企業(yè)的一員無論是誰也都需要重新審視自己的狀態(tài)，因為這關(guān)系著企業(yè)接下來的生、死、存、亡，能量是企業(yè)持續(xù)發(fā)展的源泉，以上所有的目的都是為了聚合企業(yè)人的能量，重新點燃大家面對工作的激情和信心，這將是企業(yè)至勝的法定。
 
當(dāng)然這只是我們一家之言，每家企業(yè)可根據(jù)自身的情況做出相應(yīng)的調(diào)整和改變。
 
以上三點做為每一家企業(yè)的管理者都有必要重視起來，因為這關(guān)系著企業(yè)接下來的生、死、存、亡，當(dāng)然這只是我們一家之言，可根據(jù)自身的情況做出相應(yīng)的調(diào)整和改變。
 
那為什么我們會有這樣的思考，因為艾銻無限是一家企業(yè)互聯(lián)網(wǎng)”云”解決方案服務(wù)平臺，企業(yè)在初創(chuàng)時經(jīng)歷了2003年的非典，后來又經(jīng)歷了2008年的經(jīng)濟危機以及2016年互聯(lián)網(wǎng)創(chuàng)業(yè)大潮，生生死死，幾經(jīng)沉浮，最終發(fā)現(xiàn)上述三點是生死線中最重要的，所以愿意分享給大家，期望這次疫情大家不僅能渡過難關(guān)，更能看見大家在這個過程中強而有力的領(lǐng)導(dǎo)力，讓自己企業(yè)力挽狂瀾，讓自己的工作更上一層樓，讓自己的生活在2020年更精彩。
 
在這次疫情后各個企業(yè)恢復(fù)的過程中，艾銻無限還能為大家做的就是免費為中小企業(yè)提供相應(yīng)的IT服務(wù)，以下是艾銻無限可以提供服務(wù)的內(nèi)容，如果大家有相應(yīng)的需求，可以打下面的電話與我們的企業(yè)相關(guān)人員聯(lián)系，我們一定會盡全力幫助大家渡過難關(guān)。
   
 
歷經(jīng)10幾年,艾銻無限服務(wù)了5000多家中小企業(yè)并保障了幾十萬臺設(shè)備的正常運轉(zhuǎn)，積累了豐富的企業(yè)IT緊急問題和特殊故障的解決方案，我們?yōu)槟钠髽I(yè)提供的IT服務(wù)分為三大版塊:
 
第一版塊是保障性IT外包服務(wù):如電腦設(shè)備運維，辦公設(shè)備運維，網(wǎng)絡(luò)設(shè)備運維，服務(wù)器運維等綜合性企業(yè)IT設(shè)備運維服務(wù)。
 
第二版塊是功能性互聯(lián)網(wǎng)外包服務(wù):如網(wǎng)站開發(fā)外包，小程序開發(fā)外包，APP開發(fā)外包，電商平臺開發(fā)外包，業(yè)務(wù)系統(tǒng)的開發(fā)外包和后期的運維外包服務(wù)。
 
第三版塊是增值性云服務(wù)外包:如企業(yè)郵箱上云，企業(yè)網(wǎng)站上云，企業(yè)存儲上云，企業(yè)APP小程序上云，企業(yè)業(yè)務(wù)系統(tǒng)上云，阿里云產(chǎn)品等后續(xù)的云運維外包服務(wù)。
   
更多服務(wù)也可以登錄艾銻無限的官網(wǎng): www.bjitwx.com 查看詳細說明。

每家企業(yè)都有著不同的人，每個人都有著不一樣的思考，所以企業(yè)不需要統(tǒng)一所有人的思維，企業(yè)只需要統(tǒng)一所有人的心，因為只要心在一起了，能量就會合一，能量合一企業(yè)將無所不能。
 
相信這次疫情帶給中國企業(yè)的不僅僅是災(zāi)難，更有可能的是歷練，這幾年經(jīng)濟發(fā)展如此快速，大部分中小企業(yè)的成長都是隨著國家政策及整個社會的大勢起來的，沒有經(jīng)過太多的挑戰(zhàn)和困難，所以存活周期也會很短，從2016年大眾創(chuàng)業(yè)，萬眾創(chuàng)新倡導(dǎo)下成立了上千萬家企業(yè)，但真正存活下來的就只有幾萬家，這樣的結(jié)果即不能給國家?guī)矸€(wěn)定持續(xù)發(fā)展的動力，也不能為社會創(chuàng)造更大的價值，反而讓更多的人投機取巧，心浮氣躁，沉不下來真正把一件事做好，做到極致。
 
所以這次疫情也會讓大部分企業(yè)重新思考，問問自己，為什么要創(chuàng)立這家企業(yè)，想為這個國家和社會帶來的是什么？企業(yè)真正在創(chuàng)造的是什么？如何做才能讓社會因自己的企業(yè)變得更好？.....
 
當(dāng)企業(yè)真正去思考，用心去創(chuàng)造價值的時候，也就是人們幸?？鞓返臅r候，因為再也不用擔(dān)心假貨、次貨、買到不好的產(chǎn)品，更不用擔(dān)心環(huán)境被污染，大氣被破壞，疫情即是一場災(zāi)難，又是重新成就中國企業(yè)的一次機會，讓全世界人覺醒，生命只有一次，我們要如何做才能不枉此生呢？
 
   
你對世界微笑，世界絕不會對你哭，希望大家都能積極樂觀起來，讓自己、自己的家人、自己的企業(yè)、還有自己的國家都快樂起來，把焦點、意識、能量放在我們想要什么上，而不是不要的事情上，我相信，就在不久的將來，我們一定會看到一個富強、文明、健康的中國以及一個和諧友愛的世界。
 
萬物同體，能量合一，最后無論你是中小企業(yè)，還是大型國有企業(yè)，只要你選擇艾銻無限，我們就一定全力以赴幫助大家渡過難關(guān)，服務(wù)有限，信息無限，透過全體艾銻人的努力，為您收集最有效的IT技術(shù)信息，讓您企業(yè)更快速解決遇到的IT問題：
 艾銻知識 |Windows服務(wù)器的基礎(chǔ)安全加固方法(2008、2012)
由于Windows服務(wù)器市場占有率較高的原因，針對Windows服務(wù)器的病毒木馬等惡意軟件較多，且容易獲得，技術(shù)門檻也較低，因此Windows服務(wù)器的安全問題需要格外留意。為了安全地使用Windows云主機，建議應(yīng)用如下幾個簡單的安全加固措施。雖然簡單，但是已足夠防御大部分較常見的安全風(fēng)險。
一、設(shè)置強密碼
　　美團云Windows服務(wù)器創(chuàng)建后會給管理員(Administrator)帳號自動生成12位的隨機密碼，在首次登入Windows服務(wù)器后，建議立即更改密碼。密碼盡量隨機，要包含數(shù)字，大小寫字母和特殊符號，長度至少12位?？梢圆捎靡恍┕ぞ?，例如：https://identitysafe.norton.com/password-generator，生成較強的隨機密碼。并且以后至少每隔3個月修改一次密碼。
　　修改密碼的方法為：在管理員成功登入主機后，按"Ctrl-Alt-Delete"，選擇"修改密碼" (提示：可以通過美團云Web終端登入，點擊右上角的"Ctrl-Al-Delete"按鈕輸入該按鍵組合)
二、開啟自動系統(tǒng)更新
　　美團云Windows服務(wù)器均已獲得原廠正版授權(quán)，可以開啟Windows更新服務(wù)，自動更新修補系統(tǒng)漏洞，以避免被惡意攻擊者利用侵入服務(wù)器。請用下面流程檢查是否啟用自動更新，如果沒有啟用，則建議啟用。
　　Windows Server 2008
　　點擊任務(wù)欄的"服務(wù)器管理器"圖標(biāo) 在右側(cè)的面板中，點擊"配置更新" 在彈出的對話框中，選擇"自動安裝更新"
　　Windows Server 2012
　　點擊任務(wù)欄的"服務(wù)器管理器"圖標(biāo) 打開服務(wù)器管理器儀表盤，點擊"配置此本地服務(wù)器" 點擊"Windows更新"后的鏈接 在彈出的窗口，如果未啟用自動更新，則顯示如圖所示警示，點擊"啟用自動更新"。
三、開啟防火墻
　　美團云已經(jīng)提供了防火墻服務(wù)，如果您正在使用美團云主機，可以在美團云控制面板使用美團云提供的防火墻服務(wù)進行防火墻設(shè)置。美團云平臺提供的防火墻是在虛擬機外部的云平臺提供了網(wǎng)絡(luò)端口的防火墻功能，配置相對簡單宜用。如果其功能滿足需求，建議關(guān)閉Windows系統(tǒng)內(nèi)置的防火墻。否則可以參考以下內(nèi)容設(shè)置Windows內(nèi)置的防火墻。
　　(提示：為了避免Windows自帶防火墻和云平臺防火墻功能的沖突，在啟用Windows自帶防火墻后，請將云平臺的防火墻設(shè)置為"開放"。)
　　如果Windows服務(wù)器購買了公網(wǎng)帶寬，則會有一個帶公網(wǎng)IP地址的網(wǎng)卡與公網(wǎng)對接。用戶可以訪問這個IP地址訪問部署在主機上的服務(wù)。但是與此同時，惡意攻擊者也可能利用系統(tǒng)漏洞，通過這個公網(wǎng)IP侵入你的服務(wù)器。此時，除了要開啟自動更新及時修復(fù)系統(tǒng)漏洞外，還建議開啟Windows server的防火墻，減少直接暴露在公網(wǎng)的端口，降低危險端口暴露在公網(wǎng)的風(fēng)險。并且，對于遠程桌面(TCP 3389)等用于管理目的的服務(wù)端口，最好設(shè)置允許訪問的IP白名單，以盡量減少被惡意掃描的風(fēng)險。
　　(提示，建議通過美團云控制臺的Web終端來配置防火墻，以防止配置過程中出現(xiàn)誤操作，導(dǎo)致遠程桌面連接關(guān)閉。)
開啟Windows防火墻的步驟如下：
　　Windows server 2008
　　點擊任務(wù)欄的"服務(wù)器管理器"圖標(biāo) 在右側(cè)的面板中，點擊"轉(zhuǎn)到Windows防火墻" 在左側(cè)的樹狀列表中，鼠標(biāo)右鍵點擊"高級安全Windows防火墻" 在彈出的對話框中，選擇"公用配置文件"葉簽，確定"防火墻狀態(tài)"為"開啟"，點擊"確定"關(guān)閉對話框
　　開啟防火墻后，為了不影響遠程桌面的訪問，需要確保允許遠程桌面的訪問，方法為：
　　在左側(cè)的樹狀列表中，展開"高級安全Windows防火墻"，點擊"入站規(guī)則"，在中間的規(guī)則列表中，查看"遠程桌面(TCP-In)"是否開啟。如果沒有開啟，選中該規(guī)則，點擊右側(cè)的"啟用規(guī)則"開啟
　　Windows server 2012
　　點擊任務(wù)欄的"服務(wù)器管理器"圖標(biāo) 打開服務(wù)器管理器儀表盤，點擊"配置此本地服務(wù)器" 點擊"Windows防火墻"后的鏈接 在彈出的窗口，點擊左邊攔的"啟用或關(guān)閉Windows防火墻" 在彈出的對話框，確保"公用網(wǎng)絡(luò)設(shè)置"下選中"啟用Windows防火墻"，并且不要勾選下面的兩個復(fù)選框。點擊"確定"關(guān)閉對話框
　　同樣，啟用防火墻后也需要確保允許遠程桌面的訪問，方法為：
　　在"Windows防火墻"界面，點擊"高級設(shè)置"，打開的"高級安全Windows防火墻"窗口 在左邊欄選擇"入站規(guī)則"，在中間規(guī)則列表中，找到"遠程桌面-用戶模式(TCP-In)"，且"配置文件"為"公用"的規(guī)則。如果沒有開啟，選中該規(guī)則，點擊右側(cè)的"啟用規(guī)則"開啟
　　如果安裝了IIS服務(wù)，則系統(tǒng)會自動安裝并啟用允許80(HTTP)和443(HTTPS)服務(wù)的入站規(guī)則，不需要特殊配置。但是如果安裝了第三方的Web服務(wù)器，例如LAMP，則需要手動安裝允許訪問80和443的入站規(guī)則。Windows 2008/2012的配置方法相同，如下：
　　在防火墻"入站規(guī)則"界面，點擊右側(cè)"新建規(guī)則..." 在彈出對話框，選擇"端口"，點擊"下一步" "此規(guī)則應(yīng)用于TCP還是UDP?"，選擇"TCP";"此規(guī)則應(yīng)用于所有本地端口還是特定的端口": 選擇"特定本地端口"，在輸入框中輸入"80, 443"，點擊"下一步" 選擇"允許連接"，點擊"下一步" 選擇所有復(fù)選框，點擊"下一步" 名稱中輸入"Web服務(wù)", 點擊"完成"
　　四、開啟IE增強安全配置
　　IE的增強安全配置啟用后，服務(wù)器IE瀏覽器只能訪問白名單內(nèi)網(wǎng)站。這樣能夠有效避免管理員在服務(wù)器不小心訪問惡意站點導(dǎo)致服務(wù)器感染病毒或木馬。該配置默認開啟。如果沒有開啟，建議開啟。開啟方法為：
　　Windows server 2008
　　點擊任務(wù)欄的"服務(wù)器管理器"圖標(biāo) 在彈出窗口的右側(cè)面板，點擊"配置IE ESC"，在彈出的對話框開啟/關(guān)閉該功能
　　Windows server 2012
　　點擊任務(wù)欄的"服務(wù)器管理器"圖標(biāo) 打開服務(wù)器管理器儀表盤，點擊"配置此本地服務(wù)器" 點擊"IE增強的安全配置"后的鏈接，在彈出的對話框開啟/關(guān)閉該功能
　　五、安裝并啟用防毒軟件
　　更進一步地，還可以安裝并啟用實時殺毒軟件來進一步提高服務(wù)器的安全性。一旦惡意軟件突破前面四步構(gòu)筑的防線，進入了云主機，實時殺毒軟件可以防止惡意軟件在云主機運行，保障云主機的安全性。
　　Windows Security Essentials是微軟為Windows 7/Vista開發(fā)的免費殺毒軟件，可以用于保護Windows Server 2008 R2數(shù)據(jù)中心版。
　　Windows Security Essentials安裝比較簡單，只需要在上述鏈接下載并運行安裝文件，逐步完成向?qū)Ь湍茼樌瓿伞?br /> 　　Windows Server 2012數(shù)據(jù)中心版可用的(免費)殺毒軟件不多。目前可以申請試用System Center 2012 R2 Configuration Manager，并安裝其附帶的殺毒客戶端System Center Endpoint Protection。
　　安裝方法為：
　　下載軟件包后解壓(目前為SC2012_R2_SCCM_SCEP.exe)，進入SMSSETUP/CLIENT目錄
　　雙擊執(zhí)行scepinstall，按照提示逐步安裝System Center Endpoint Protection。
腳本之家小編建議獨立服務(wù)器安裝：mcafee 8.8
　　六、合理的服務(wù)部署架構(gòu)
　　最后，合理的服務(wù)部署架構(gòu)能夠減少整個Windows服務(wù)器站點暴露在外的風(fēng)險點，提升安全閾值。需要遵循的原則是：
　　單一角色原則：一臺云主機服務(wù)器只做一件事情，只提供一種服務(wù)。例如數(shù)據(jù)庫服務(wù)在一臺服務(wù)器，Web服務(wù)器部署在另外一臺。這樣可以較準確地評估這臺服務(wù)器是否需要公網(wǎng)地址，是否需要開啟哪些端口，這樣能夠盡量少地暴露公網(wǎng)地址和端口，從而減少風(fēng)險點。例如，數(shù)據(jù)庫服務(wù)一般不需要公網(wǎng)地址，這樣就不用購買公網(wǎng)帶寬，既節(jié)約了費用，同時也更安全。Web服務(wù)器則一般只開啟80/443端口，其他端口都可以通過防火墻關(guān)閉。
　　精簡原則：能不開啟的服務(wù)和功能則不開啟，能不安裝的軟件盡量不安裝，能不開啟的端口確保不開啟，能不用公網(wǎng)的主機就不要購買公網(wǎng)帶寬。堅持minimalism的原則，既節(jié)能環(huán)保，也降低安全風(fēng)險。