admin 管理员组文章数量: 887018
文章目录
- 说明
- win7主机做安全加固流程
- 密码强度
- 关闭本地默认共享
- 阻止445端口
- 禁ping限制
- 修改3389远程端口
- 限制匿名登录
- 禁用Guest和无关用户
- 新永恒之蓝补丁程序
- 做IP安全策略【重要】
- 打开本地安全策略:
- 添加模板
- 模板中添加策略【阻止远程端口】
- 设置-筛选器操作【阻止】
- 模板中添加策略【放行上面阻止的端口(允许端口或ip)】
- 设置-筛选器操作【放开远程】
- 启用/禁用该IP策略并验证
- 阻止所有端口的放开说明【必看】
- windows端口查看
- 查看端口对应的pid号和程序
- 查看指定端口的占用情况
- 查看PID对应的进程
说明
- 现在国家安全打击越来越严格了~
- 导致企业对于虚拟机的安全要求也越来越高。
- 所以这篇文章就说明一下win7的虚拟机做安全加固的一些流程
win7主机做安全加固流程
密码强度
-
打开
控制面板->管理工具->本地安全策略
,在帐户策略->密码策略
开启账号审核策略
-
启用密码复杂度,密码长度最小值设置为8位。
关闭本地默认共享
-
第一步:删除Windows本地默认共享。
进入控制面板->管理工具->计算机管理->共享文件夹->共享
。停止C$
、D$
共享【d这种标识符不一定一样】。
-
第二步:禁用server服务。
控制面板->管理工具->计算机管理->服务器和应用程序->服务
,找到server->右键->属性
首先点击“停止”,然后启动类型选择“禁用”,最后点击应用、确定。
选择端口
,点击下一步
,选择TCP和特定本地端口
,输入445
。
选择阻止连接
,点击下一步,在应用规则上全部勾选
自定义名称完成即可
阻止445端口
- 永恒之蓝就是通过这个端口来入侵的,所以虚拟机一般不用打印机这些功能的,直接将445端口禁止最好。
- 打开控制面板,点击进入
windows防火墙-高级设置-入站规则”
,选择右侧的新建规则
禁ping限制
- 打开控制面板,点击进入
windows防火墙-高级设置-入站规则”
,2个ipv4的回显请求都设置为和下面一致
只需要将需要ping通该虚拟机的地址放开即可,其他的默认不允许ping通。
如果需要所有地址都ping不通,直接将该2个停用即可。
修改3389远程端口
去这篇文章:
win7设置多用户登陆和修改3389端口、win10设置多用户登陆和修改3389端口
限制匿名登录
- 进入
控制面板->管理工具->本地安全策略->本地策略->安全选项
网络访问:限制对命名管道和共享的匿名访问
已启用
删除网络访问:可匿名访问的共享
、网络访问:可匿名访问的命名管道
设置框内的配置。
禁用Guest和无关用户
控制面板->管理工具->计算机管理->本地用户和组->用户->Guest”
账户已禁用
打勾启用,禁止后如下
新永恒之蓝补丁程序
安装KB4012215补丁程序,补丁程序存放路径:\10.200.30.19\sep\信息部工具\永恒之蓝补丁
复制相应位数系统的补丁程序到本地磁盘,双击安装。
做IP安全策略【重要】
- IP安全策略,简单的来说就是可以通过做相应的策略来达到放行、阻止相关的端口;放行、阻止相关的IP。
其实和防火墙的入站规则雷瑟 - 适用于啥场景呢,就是需要将所有ip组织,然后放开需要通行的IP【也就是白名单】。
打开本地安全策略:
开始-运行-输入secpol.msc
或者开始-程序-管理工具-本地安全策略
弹出来的窗口中,右击IP安全策略,在本地计算机
添加模板
-
1. 创建IP安全策略:
-
2. 进入配置向导:直接下一步
-
3. 直接就默认命名:新IP安全策略,然后下一步
-
4.
激活默认响应规则
不要勾上,直接下一步
5.编辑属性
前面也不要勾上,直接点完成
-
6. 一个策略模板就有了
模板中添加策略【阻止远程端口】
-
1、双击策略,弹出窗口IP安全策略属性;去掉“使用添加向导”前面的勾
-
2、点击上图中的"添加"出现下图:
-
3、点击上图中的“添加”弹出以下窗口,命名名称为,阻止所有【也就是阻止所有的端口及IP访问】
源地址和目标地址我们都选任何IP地址
【源地址:就是访问的IP地址,目标地址:就是主机的IP地址】,然后端口也是选择所有端口【端口慎用所有端口,除非你知道你在干啥(阻止所有端口后的后果,看最下面阻止所有端口的放开说明中的介绍)风险很高! 所以一般你要阻止什么就限制什么,比如你要阻止远程端口,那么在协议中就指定为远程端口】
我确定以后将端口改为只阻止远程端口了,IP还是所有IP,只是端口我将所有改为远程端口了
-
点击确定以后,在新规则属性-IP筛选器列表中就可以看到有一个阻止所有的列了
设置-筛选器操作【阻止】
- 之前设置的是“IP筛选器列表”,现在设置“筛选器操作”
先将使用添加向导取消
- 添加一个阻止,先做一个阻止所有端口、IP访问进出的操作,然后再逐个放行,这个应该可以理解。
先点添加-阻止
然后点击常规-改个名阻止
,然后确定。
这样就阻止就添加完了
- 阻止启用,点击前面的空白圆圈,立面有个黑点表示启用。
还有就是记得同时也要点上“IP筛选器列表”里的“阻止所有”不然就没有具体的操作对象了。
模板中添加策略【放行上面阻止的端口(允许端口或ip)】
-
注:如果你上面只是阻止了某一个端口,那么就放开上面阻止的那个端口就行了,只需要指定源地址即可。
如果你上面阻止了所有,那么这就需要逐个放行,比如网页的80端口,数据库端口等等任何应用产生的端口都需要单独放开,否则默认被阻止。 -
因为我上面只阻止了远程端口,所以我这只放开远程端口限制源ip即可,其他端口默认全放开的;
设置“IP筛选器列表”可以改成允许相关的端口,比如说“远程”那么默认的远程端口就是3389【但我将3389改为了1234,所以我下面以放行1234端口为例】 -
还是和“阻止所有”里一样的操作,只不过换成允许远程
先回到新IP安全策略中,点击添加
-
IP筛选器中添加需要允许的策略
-
点击添加以后,下面就是筛选操作了:
- 源地址:源地址就是需要访问该主机的地址
目的地址:就是我的IP地址
【如果本地IP动态的根本无法确定时就用任何IP地址
】
- 协议:根据实际情况来添加即可【我的远程是tcp,1234】
- 源地址:源地址就是需要访问该主机的地址
-
这样ip筛选器列表就有外面刚才添加的允许远程和阻止所有了
设置-筛选器操作【放开远程】
-
这添加一个放开的操作,和前面的筛选器列表结合使用。
安全方法中为许可
点击常规中更名为允许
然后就有了一个允许和一个阻止了
-
最后指定允许
-
至此就单独的远程端口就放开了
启用/禁用该IP策略并验证
本地安全策略中-右键策略-分配即可【同理,禁用就是点击 未分配
】
如下,我分配过了,那么策略已指派就变成是了
- 我放开的ip是一个固定ip,我现在的笔记本就是使用的我放开的那个网络,所以我在我放开的ip上能使用1234端口远程到该虚拟机,则没问题【如果你不能登录了,禁用策略试试,如果能了,那么就是策略哪里搞错了】
- 然后到其他同网段的虚拟机上测试1234端口【不通为正常】
- ping不同也是正常,因为我上面禁ping中也限制了IP,只允许了我们采集段和我笔记本用的ip
阻止所有端口的放开说明【必看】
-
我们上面是阻止了所有的ip和端口,这样更安全,但有个问题
-
下面放开中必须依次放开所有需要用到的端口和IP,不然别人都访问不了
如我上面禁止了所有的IP和端口,我下面只放开了远程的端口和一个一个IP地址可以远程登录,所以后果就是- 1、别的所有服务和端口别人都访问不了,比如开启了ftp服务的21端口,我这IP策略需要像上面放开远程一样的操作放开21端口和IP,不然任何人都使用不了21端口。
- 2、上面开放了一个IP的远程1234端口,那么就只能有我指定的ip可以登录,其他任何ip都不能远程到该ip。
- 总结:我上面这个虚拟机做了这个策略,目前针对进的策略而言,只有一个ip且只能访问远程的1234端口,其他任何端口任何ip都不能进【类似于防火墙的入站规则只有一个远程桌面了】
这种风险实在是太高了,所以不建议这么用。
-
我将阻止端口改为远程以后,ping恢复
-
总结:
-
我上面是阻止的一个端口,所以也只需要放开阻止的那个端口限制ip即可。
如果你阻止了所有端口,那么放行中一定要逐个端口放开,放开方法和上面放开远程一样,重复添加。【不建议阻止所有端口】
windows端口查看
查看端口对应的pid号和程序
打开cmd,执行:netstat -ano
C:\Documents and Settings\Administrator>netstat -ano
Active Connections
协议 本地地址 外部地址 状态 PID
Proto Local Address Foreign Address State PID
TCP 0.0.0.0:22 0.0.0.0:0 LISTENING 1772
TCP 0.0.0.0:135 0.0.0.0:0 LISTENING 716
TCP 0.0.0.0:1025 0.0.0.0:0 LISTENING 452
TCP 0.0.0.0:3309 0.0.0.0:0 LISTENING 2312
TCP 0.0.0.0:7777 0.0.0.0:0 LISTENING 1304
TCP 0.0.0.0:7778 0.0.0.0:0 LISTENING 29992
TCP 0.0.0.0:8009 0.0.0.0:0 LISTENING 1464
TCP 0.0.0.0:8080 0.0.0.0:0 LISTENING 1464
TCP 10.233.86.19:3309 10.237.35.254:62196 ESTABLISHED 2312
TCP 127.0.0.1:1029 0.0.0.0:0 LISTENING 2356
TCP 127.0.0.1:2112 127.0.0.1:30606 CLOSE_WAIT 1464
TCP 127.0.0.1:4977 127.0.0.1:8080 CLOSE_WAIT 1464
TCP 127.0.0.1:4978 127.0.0.1:30606 CLOSE_WAIT 1464
TCP 127.0.0.1:5152 0.0.0.0:0 LISTENING 1192
TCP 127.0.0.1:8005 0.0.0.0:0 LISTENING 1464
TCP 127.0.0.1:30606 0.0.0.0:0 LISTENING 1128
UDP 0.0.0.0:161 *:* 9240
UDP 0.0.0.0:500 *:* 452
UDP 0.0.0.0:4500 *:* 452
UDP 10.233.86.19:123 *:* 816
UDP 127.0.0.1:123 *:* 816
UDP 127.0.0.1:2169 *:* 1056
UDP 127.0.0.1:2181 *:* 24160
查看指定端口的占用情况
打开cmd,执行:netstat -aon | findstr "pid"
C:\Documents and Settings\Administrator>netstat -aon | findstr "8009"
协议 本地地址 外部地址 状态 PID
TCP 0.0.0.0:8009 0.0.0.0:0 LISTENING 1464
查看PID对应的进程
打开cmd,执行:tasklist | findstr "pid"
C:\Documents and Settings\Administrator>tasklist | findstr "1464"
tomcat7.exe 1464 Console 0 186,880 K
版权声明:本文标题:windows虚拟机安全加固流程步骤、Windows设置安全策略详细说明、win7设置IP安全策略详细说明、windows设置防火墙入站规则流程、windows端口查看及定位端口对应程序 内容由网友自发贡献,该文观点仅代表作者本人, 转载请联系作者并注明出处:http://www.freenas.com.cn/jishu/1727950290h1179393.html, 本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌抄袭侵权/违法违规的内容,一经查实,本站将立刻删除。
发表评论