IDC机器上架系统安装后安全设置规范

机房上架机器系统安装基础设置

(Windows系统)

 

一、激活系统

命令:

Slmgr /skms jh.ldvps.com

Slmgr /ato

jh.jpg

若激活报错非核心的版本先安装kms密钥

到微软官网查看对应系统版本密钥

https://docs.microsoft.com/zh-cn/windows-server/get-started/kmsclientkeys

例如Windows Server 2012 R2 Datacenter

slmgr /ipk W3GGN-FT8W3-Y4M27-J84CP-Q3VJ9

21.png

二、修改远程端口

22.png

命令regedit进入注册表修改默认的3389远程端口

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\Wds\rdpwd\Tds\tcp

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp

23.png

24.png

单独放行设置的远程端口

25.png

重启远程桌面服务使端口生效

26.png

三、设置密码过期时间

gpedit.msc命令进入组策略

密码过期时间把默认42设置为0

27.png

四、关闭危险服务

服务设置为禁用

1、Server

2、TCP/IP NetBIOS Helper

28.png

取消勾选共享组件

29.png

禁用NetBios

30.png

五、防火墙阻断危险端口

防火墙添加阻止445端口tcp和udp两个

31.png

六、系统更新补丁安装

开启更新,检查更新,安装所有补丁(做好解释工作,客户要求不安装的告知风险)。

若要求客户急用的,或者不用安装的,首先打上以下漏洞补丁

Ms17-010 445漏洞

系统版本 补丁编号
Windows XP SP3 KB4012598
Windows 2003 SP2 KB4012598
Windows Server 2008 KB4012596
Windows 7SP1/Windows Server 2008 R2 KB4012212/KB4012215
Windows Server 2012 KB4012214 KB4012217
Windows Server 2012 R2 KB4012213/KB4012216
Windows Server 2016 KB4013429

下载补丁地址 http://www.catalog.update.microsoft.com/search.aspx?q=补丁编号

常用系统补丁下载链接

windows2008 R2

http://download.windowsupdate.com/d/msdownload/update/software/secu/2017/02/windows6.1-kb4012212-x64_2decefaa02e2058dcd965702509a992d8c4e92b3.msu

http://download.windowsupdate.com/c/msdownload/update/software/secu/2017/03/windows6.1-kb4012215-x64_a777b8c251dcd8378ecdafa81aefbe7f9009c72b.msu

windows server 2012R2

http://download.windowsupdate.com/c/msdownload/update/software/secu/2017/02/windows8.1-kb4012213-x64_5b24b9ca5a123a844ed793e0f2be974148520349.msu

http://download.windowsupdate.com/d/msdownload/update/software/secu/2017/03/windows8.1-kb4012216-x64_cd5e0a62e602176f0078778548796e2d47cfa15b.msu

windows server 2016

http://download.windowsupdate.com/d/msdownload/update/software/secu/2017/03/windows10.0-kb4013429-x64_ddc8596f88577ab739cade1d365956a74598e710.msu

CVE-2019-0708远程桌面服务漏洞

2003补丁下载地址:

http://download.windowsupdate.com/d/csa/csa/secu/2019/04/windowsserver2003-kb4500331-x86-custom-chs_4892823f525d9d532ed3ae36fc440338d2b46a72.exe

2008R2补丁下载地址:

http://download.windowsupdate.com/d/msdownload/update/software/secu/2019/05/windows6.1-kb4499175-x64_3704acfff45ddf163d8049683d5a3b75e49b58cb.msu

桌面用户:

windows7 32位

http://download.windowsupdate.com/d/msdownload/update/software/secu/2019/05/windows6.1-kb4499175-x86_6f1319c32d5bc4caf2058ae8ff40789ab10bf41b.msu

windows7 64位

http://download.windowsupdate.com/d/msdownload/update/software/secu/2019/05/windows6.1-kb4499175-x64_3704acfff45ddf163d8049683d5a3b75e49b58cb.msu

windows xp

http://download.windowsupdate.com/c/csa/csa/secu/2019/04/windowsxp-kb4500331-x86-custom-chs_718543e86e06b08b568826ac13c05f967392238c.exe

七、修改复杂系统密码

禁止设置密码为landui123或者其他弱口令!!!

设置规则:大小写特殊符号数字,可以在交付的时候再修改

例如:I!J@8q13BEIJv@b