Windows服务器的基础安全加固

美团云(MOS)提供Windows Server 2008 R2和Windows Server 2012 R2数据中心版的云主机服务器。由于Windows服务器市场占有率较高的原因，针对Windows服务器的病毒木马等恶意软件较多，且容易获得，技术门槛也较低，因此Windows服务器的安全问题需要格外留意。为了安全地使用Windows云主机，建议应用如下几个简单的安全加固措施。虽然简单，但是已足够防御大部分较常见的安全风险。

一、设置强密码

美团云Windows服务器创建后会给管理员(Administrator)帐号自动生成12位的随机密码，在首次登入Windows服务器后，建议立即更改密码。密码尽量随机，要包含数字，大小写字母和特殊符号，长度至少12位。可以采用一些工具，例如：https://identitysafe.norton.com/password-generator，生成较强的随机密码。并且以后至少每隔3个月修改一次密码。

修改密码的方法为：在管理员成功登入主机后，按"Ctrl-Alt-Delete"，选择"修改密码" (提示：可以通过美团云Web终端登入，点击右上角的"Ctrl-Al-Delete"按钮输入该按键组合)

二、开启自动系统更新

美团云Windows服务器均已获得原厂正版授权，可以开启Windows更新服务，自动更新修补系统漏洞，以避免被恶意攻击者利用侵入服务器。请用下面流程检查是否启用自动更新，如果没有启用，则建议启用。

Windows Server 2008

• 点击任务栏的"服务器管理器"图标
• 在右侧的面板中，点击"配置更新"
• 在弹出的对话框中，选择"自动安装更新"

Windows Server 2012

• 点击任务栏的"服务器管理器"图标
• 打开服务器管理器仪表盘，点击"配置此本地服务器"
• 点击"Windows更新"后的链接
• 在弹出的窗口，如果未启用自动更新，则显示如图所示警示，点击"启用自动更新"。

三、开启防火墙

美团云已经提供了防火墙服务，如果您正在使用美团云主机，可以在美团云控制面板使用美团云提供的防火墙服务进行防火墙设置。美团云平台提供的防火墙是在虚拟机外部的云平台提供了网络端口的防火墙功能，配置相对简单宜用。如果其功能满足需求，建议关闭Windows系统内置的防火墙。否则可以参考以下内容设置Windows内置的防火墙。

(提示：为了避免Windows自带防火墙和云平台防火墙功能的冲突，在启用Windows自带防火墙后，请将云平台的防火墙设置为"开放"。)

如果Windows服务器购买了公网带宽，则会有一个带公网IP地址的网卡与公网对接。用户可以访问这个IP地址访问部署在主机上的服务。但是与此同时，恶意攻击者也可能利用系统漏洞，通过这个公网IP侵入你的服务器。此时，除了要开启自动更新及时修复系统漏洞外，还建议开启Windows server的防火墙，减少直接暴露在公网的端口，降低危险端口暴露在公网的风险。并且，对于远程桌面(TCP 3389)等用于管理目的的服务端口，最好设置允许访问的IP白名单，以尽量减少被恶意扫描的风险。

(提示，建议通过美团云控制台的Web终端来配置防火墙，以防止配置过程中出现误操作，导致远程桌面连接关闭。)

开启Windows防火墙的步骤如下：

Windows server 2008

• 点击任务栏的"服务器管理器"图标
• 在右侧的面板中，点击"转到Windows防火墙"
• 在左侧的树状列表中，鼠标右键点击"高级安全Windows防火墙"
• 在弹出的对话框中，选择"公用配置文件"叶签，确定"防火墙状态"为"开启"，点击"确定"关闭对话框
• 开启防火墙后，为了不影响远程桌面的访问，需要确保允许远程桌面的访问，方法为：
• 在左侧的树状列表中，展开"高级安全Windows防火墙"，点击"入站规则"，在中间的规则列表中，查看"远程桌面(TCP-In)"是否开启。如果没有开启，选中该规则，点击右侧的"启用规则"开启

Windows server 2012

• 点击任务栏的"服务器管理器"图标
• 打开服务器管理器仪表盘，点击"配置此本地服务器"
• 点击"Windows防火墙"后的链接
• 在弹出的窗口，点击左边拦的"启用或关闭Windows防火墙"
• 在弹出的对话框，确保"公用网络设置"下选中"启用Windows防火墙"，并且不要勾选下面的两个复选框。点击"确定"关闭对话框

同样，启用防火墙后也需要确保允许远程桌面的访问，方法为：

• 在"Windows防火墙"界面，点击"高级设置"，打开的"高级安全Windows防火墙"窗口
• 在左边栏选择"入站规则"，在中间规则列表中，找到"远程桌面-用户模式(TCP-In)"，且"配置文件"为"公用"的规则。如果没有开启，选中该规则，点击右侧的"启用规则"开启

如果安装了IIS服务，则系统会自动安装并启用允许80(HTTP)和443(HTTPS)服务的入站规则，不需要特殊配置。但是如果安装了第三方的Web服务器，例如LAMP，则需要手动安装允许访问80和443的入站规则。Windows 2008/2012的配置方法相同，如下：

• 在防火墙"入站规则"界面，点击右侧"新建规则..."
• 在弹出对话框，选择"端口"，点击"下一步"
• "此规则应用于TCP还是UDP?"，选择"TCP";"此规则应用于所有本地端口还是特定的端口": 选择"特定本地端口"，在输入框中输入"80, 443"，点击"下一步"
• 选择"允许连接"，点击"下一步"
• 选择所有复选框，点击"下一步"
• 名称中输入"Web服务", 点击"完成"

四、开启IE增强安全配置

IE的增强安全配置启用后，服务器IE浏览器只能访问白名单内网站。这样能够有效避免管理员在服务器不小心访问恶意站点导致服务器感染病毒或木马。该配置默认开启。如果没有开启，建议开启。开启方法为：

Windows server 2008

• 点击任务栏的"服务器管理器"图标
• 在弹出窗口的右侧面板，点击"配置IE ESC"，在弹出的对话框开启/关闭该功能

Windows server 2012

• 点击任务栏的"服务器管理器"图标
• 打开服务器管理器仪表盘，点击"配置此本地服务器"
• 点击"IE增强的安全配置"后的链接，在弹出的对话框开启/关闭该功能

五、安装并启用防毒软件

更进一步地，还可以安装并启用实时杀毒软件来进一步提高服务器的安全性。一旦恶意软件突破前面四步构筑的防线，进入了云主机，实时杀毒软件可以防止恶意软件在云主机运行，保障云主机的安全性。

Windows Security Essentials是微软为Windows 7/Vista开发的免费杀毒软件，可以用于保护Windows Server 2008 R2数据中心版。其下载地址为：

http://windows.microsoft.com/zh-cn/windows/security-essentials-download

Windows Security Essentials安装比较简单，只需要在上述链接下载并运行安装文件，逐步完成向导就能顺利完成。

Windows Server 2012数据中心版可用的(免费)杀毒软件不多。目前可以申请试用System Center 2012 R2 Configuration Manager，并安装其附带的杀毒客户端System Center Endpoint Protection。其下载地址为：

https://technet.microsoft.com/zh-cn/evalcenter/dn205297.aspx

安装方法为：

• 下载软件包后解压(目前为SC2012R2SCCM_SCEP.exe)，进入SMSSETUP/CLIENT目录
• 双击执行scepinstall，按照提示逐步安装System Center Endpoint Protection。

六、合理的服务部署架构

最后，合理的服务部署架构能够减少整个Windows服务器站点暴露在外的风险点，提升安全阈值。需要遵循的原则是：

• 单一角色原则：一台云主机服务器只做一件事情，只提供一种服务。例如数据库服务在一台服务器，Web服务器部署在另外一台。这样可以较准确地评估这台服务器是否需要公网地址，是否需要开启哪些端口，这样能够尽量少地暴露公网地址和端口，从而减少风险点。例如，数据库服务一般不需要公网地址，这样就不用购买公网带宽，既节约了费用，同时也更安全。Web服务器则一般只开启80/443端口，其他端口都可以通过防火墙关闭。
• 精简原则：能不开启的服务和功能则不开启，能不安装的软件尽量不安装，能不开启的端口确保不开启，能不用公网的主机就不要购买公网带宽。坚持minimalism的原则，既节能环保，也降低安全风险。