admin 管理员组

文章数量: 887018

文章目录

  • 说明
  • win7主机做安全加固流程
    • 密码强度
    • 关闭本地默认共享
    • 阻止445端口
    • 禁ping限制
    • 修改3389远程端口
    • 限制匿名登录
    • 禁用Guest和无关用户
    • 新永恒之蓝补丁程序
  • 做IP安全策略【重要】
      • 打开本地安全策略:
      • 添加模板
      • 模板中添加策略【阻止远程端口】
        • 设置-筛选器操作【阻止】
      • 模板中添加策略【放行上面阻止的端口(允许端口或ip)】
        • 设置-筛选器操作【放开远程】
      • 启用/禁用该IP策略并验证
      • 阻止所有端口的放开说明【必看】
  • windows端口查看
    • 查看端口对应的pid号和程序
    • 查看指定端口的占用情况
    • 查看PID对应的进程

说明

  • 现在国家安全打击越来越严格了~
  • 导致企业对于虚拟机的安全要求也越来越高。
  • 所以这篇文章就说明一下win7的虚拟机做安全加固的一些流程

win7主机做安全加固流程

密码强度

  • 打开控制面板->管理工具->本地安全策略,在帐户策略->密码策略开启账号审核策略

  • 启用密码复杂度,密码长度最小值设置为8位。

关闭本地默认共享

  • 第一步:删除Windows本地默认共享。
    进入控制面板->管理工具->计算机管理->共享文件夹->共享。停止C$D$共享【d这种标识符不一定一样】。

  • 第二步:禁用server服务。
    控制面板->管理工具->计算机管理->服务器和应用程序->服务,找到server->右键->属性首先点击“停止”,然后启动类型选择“禁用”,最后点击应用、确定。

    选择端口,点击下一步,选择TCP和特定本地端口,输入445

    选择阻止连接,点击下一步,在应用规则上全部勾选

    自定义名称完成即可

阻止445端口

  • 永恒之蓝就是通过这个端口来入侵的,所以虚拟机一般不用打印机这些功能的,直接将445端口禁止最好。
  • 打开控制面板,点击进入windows防火墙-高级设置-入站规则”,选择右侧的新建规则

禁ping限制

  • 打开控制面板,点击进入windows防火墙-高级设置-入站规则”,2个ipv4的回显请求都设置为和下面一致
    只需要将需要ping通该虚拟机的地址放开即可,其他的默认不允许ping通。
    如果需要所有地址都ping不通,直接将该2个停用即可。

修改3389远程端口

去这篇文章:
win7设置多用户登陆和修改3389端口、win10设置多用户登陆和修改3389端口

限制匿名登录

  • 进入控制面板->管理工具->本地安全策略->本地策略->安全选项
    网络访问:限制对命名管道和共享的匿名访问已启用

    删除网络访问:可匿名访问的共享网络访问:可匿名访问的命名管道设置框内的配置。

禁用Guest和无关用户

  • 控制面板->管理工具->计算机管理->本地用户和组->用户->Guest”
    账户已禁用打勾启用,禁止后如下

新永恒之蓝补丁程序

安装KB4012215补丁程序,补丁程序存放路径:\10.200.30.19\sep\信息部工具\永恒之蓝补丁

复制相应位数系统的补丁程序到本地磁盘,双击安装。

做IP安全策略【重要】

  • IP安全策略,简单的来说就是可以通过做相应的策略来达到放行、阻止相关的端口;放行、阻止相关的IP。
    其实和防火墙的入站规则雷瑟
  • 适用于啥场景呢,就是需要将所有ip组织,然后放开需要通行的IP【也就是白名单】。

打开本地安全策略:

开始-运行-输入secpol.msc或者开始-程序-管理工具-本地安全策略
弹出来的窗口中,右击IP安全策略,在本地计算机

添加模板

  • 1. 创建IP安全策略:

  • 2. 进入配置向导:直接下一步

  • 3. 直接就默认命名:新IP安全策略,然后下一步

  • 4. 激活默认响应规则不要勾上,直接下一步

    5. 编辑属性前面也不要勾上,直接点完成

  • 6. 一个策略模板就有了

模板中添加策略【阻止远程端口】

  • 1、双击策略,弹出窗口IP安全策略属性;去掉“使用添加向导”前面的勾

  • 2、点击上图中的"添加"出现下图:

  • 3、点击上图中的“添加”弹出以下窗口,命名名称为,阻止所有【也就是阻止所有的端口及IP访问】

    源地址和目标地址我们都选任何IP地址【源地址:就是访问的IP地址,目标地址:就是主机的IP地址】,然后端口也是选择所有端口【端口慎用所有端口,除非你知道你在干啥(阻止所有端口后的后果,看最下面阻止所有端口的放开说明中的介绍)风险很高! 所以一般你要阻止什么就限制什么,比如你要阻止远程端口,那么在协议中就指定为远程端口】

    我确定以后将端口改为只阻止远程端口了,IP还是所有IP,只是端口我将所有改为远程端口了

  • 点击确定以后,在新规则属性-IP筛选器列表中就可以看到有一个阻止所有的列了

设置-筛选器操作【阻止】
  • 之前设置的是“IP筛选器列表”,现在设置“筛选器操作”
    先将使用添加向导取消
  • 添加一个阻止,先做一个阻止所有端口、IP访问进出的操作,然后再逐个放行,这个应该可以理解。
    先点添加-阻止

    然后点击常规-改个名阻止,然后确定。

    这样就阻止就添加完了
  • 阻止启用,点击前面的空白圆圈,立面有个黑点表示启用。

    还有就是记得同时也要点上“IP筛选器列表”里的“阻止所有”不然就没有具体的操作对象了。

模板中添加策略【放行上面阻止的端口(允许端口或ip)】

  • 注:如果你上面只是阻止了某一个端口,那么就放开上面阻止的那个端口就行了,只需要指定源地址即可。
    如果你上面阻止了所有,那么这就需要逐个放行,比如网页的80端口,数据库端口等等任何应用产生的端口都需要单独放开,否则默认被阻止。

  • 因为我上面只阻止了远程端口,所以我这只放开远程端口限制源ip即可,其他端口默认全放开的;
    设置“IP筛选器列表”可以改成允许相关的端口,比如说“远程”那么默认的远程端口就是3389【但我将3389改为了1234,所以我下面以放行1234端口为例】

  • 还是和“阻止所有”里一样的操作,只不过换成允许远程
    先回到新IP安全策略中,点击添加

  • IP筛选器中添加需要允许的策略

  • 点击添加以后,下面就是筛选操作了:

    • 源地址:源地址就是需要访问该主机的地址
      目的地址:就是我的IP地址【如果本地IP动态的根本无法确定时就用任何IP地址
    • 协议:根据实际情况来添加即可【我的远程是tcp,1234】
  • 这样ip筛选器列表就有外面刚才添加的允许远程和阻止所有了

设置-筛选器操作【放开远程】
  • 这添加一个放开的操作,和前面的筛选器列表结合使用。
    安全方法中为许可

    点击常规中更名为允许

    然后就有了一个允许和一个阻止了

  • 最后指定允许

  • 至此就单独的远程端口就放开了

启用/禁用该IP策略并验证

本地安全策略中-右键策略-分配即可【同理,禁用就是点击 未分配
如下,我分配过了,那么策略已指派就变成是了

  • 我放开的ip是一个固定ip,我现在的笔记本就是使用的我放开的那个网络,所以我在我放开的ip上能使用1234端口远程到该虚拟机,则没问题【如果你不能登录了,禁用策略试试,如果能了,那么就是策略哪里搞错了】
  • 然后到其他同网段的虚拟机上测试1234端口【不通为正常】
  • ping不同也是正常,因为我上面禁ping中也限制了IP,只允许了我们采集段和我笔记本用的ip

阻止所有端口的放开说明【必看】

  • 我们上面是阻止了所有的ip和端口,这样更安全,但有个问题

  • 下面放开中必须依次放开所有需要用到的端口和IP,不然别人都访问不了
    如我上面禁止了所有的IP和端口,我下面只放开了远程的端口和一个一个IP地址可以远程登录,所以后果就是

    • 1、别的所有服务和端口别人都访问不了,比如开启了ftp服务的21端口,我这IP策略需要像上面放开远程一样的操作放开21端口和IP,不然任何人都使用不了21端口。
    • 2、上面开放了一个IP的远程1234端口,那么就只能有我指定的ip可以登录,其他任何ip都不能远程到该ip。
    • 总结:我上面这个虚拟机做了这个策略,目前针对进的策略而言,只有一个ip且只能访问远程的1234端口,其他任何端口任何ip都不能进【类似于防火墙的入站规则只有一个远程桌面了】
      这种风险实在是太高了,所以不建议这么用。
  • 我将阻止端口改为远程以后,ping恢复

  • 总结:

  • 我上面是阻止的一个端口,所以也只需要放开阻止的那个端口限制ip即可。
    如果你阻止了所有端口,那么放行中一定要逐个端口放开,放开方法和上面放开远程一样,重复添加。【不建议阻止所有端口】

windows端口查看

查看端口对应的pid号和程序

打开cmd,执行:netstat -ano

C:\Documents and Settings\Administrator>netstat -ano

Active Connections
协议  本地地址              外部地址            状态            PID
  Proto  Local Address          Foreign Address        State           PID
  TCP    0.0.0.0:22             0.0.0.0:0              LISTENING       1772
  TCP    0.0.0.0:135            0.0.0.0:0              LISTENING       716
  TCP    0.0.0.0:1025           0.0.0.0:0              LISTENING       452
  TCP    0.0.0.0:3309           0.0.0.0:0              LISTENING       2312
  TCP    0.0.0.0:7777           0.0.0.0:0              LISTENING       1304
  TCP    0.0.0.0:7778           0.0.0.0:0              LISTENING       29992
  TCP    0.0.0.0:8009           0.0.0.0:0              LISTENING       1464
  TCP    0.0.0.0:8080           0.0.0.0:0              LISTENING       1464
  TCP    10.233.86.19:3309      10.237.35.254:62196    ESTABLISHED     2312
  TCP    127.0.0.1:1029         0.0.0.0:0              LISTENING       2356
  TCP    127.0.0.1:2112         127.0.0.1:30606        CLOSE_WAIT      1464
  TCP    127.0.0.1:4977         127.0.0.1:8080         CLOSE_WAIT      1464
  TCP    127.0.0.1:4978         127.0.0.1:30606        CLOSE_WAIT      1464
  TCP    127.0.0.1:5152         0.0.0.0:0              LISTENING       1192
  TCP    127.0.0.1:8005         0.0.0.0:0              LISTENING       1464
  TCP    127.0.0.1:30606        0.0.0.0:0              LISTENING       1128
  UDP    0.0.0.0:161            *:*                                    9240
  UDP    0.0.0.0:500            *:*                                    452
  UDP    0.0.0.0:4500           *:*                                    452
  UDP    10.233.86.19:123       *:*                                    816
  UDP    127.0.0.1:123          *:*                                    816
  UDP    127.0.0.1:2169         *:*                                    1056
  UDP    127.0.0.1:2181         *:*                                    24160

查看指定端口的占用情况

打开cmd,执行:netstat -aon | findstr "pid"

C:\Documents and Settings\Administrator>netstat -aon | findstr "8009"
协议 本地地址 			   外部地址				 状态 			PID
  TCP    0.0.0.0:8009           0.0.0.0:0              LISTENING       1464

查看PID对应的进程

打开cmd,执行:tasklist | findstr "pid"

C:\Documents and Settings\Administrator>tasklist | findstr "1464"
tomcat7.exe                   1464 Console                    0    186,880 K

本文标签: 详细说明 端口 安全策略 流程 防火墙