1.场景描述
企业针对服务器安全的配置策略一方面通过操作系统的补丁和密码安全策略的要求规范基础的安全配置,但是这种方式无法解决多人使用同一账号导致的安全问题,事后也不便于排查审计。
- 服务器操作系统应及时安装各种系统及应用补丁,对应责任人应至少每周进行一次检测。
- 系统的主机安全软件应 24 小时不间断的开启,任何人不得停止服务,并且要开启更新功能。
- 除系统业务或管理必须使用的端口,其他端口一律关闭。
- 服务器的口令(包括任何应用、任何用户)必须符合密码复杂性,密码长度为 10-20 位,密码必须包含大写、小写、数字及特殊符号,并统一采用随机数的形式,杜绝使用含公司名称或简称、各种弱口令的密码。
- 密码的生存期限为 60 天,零方科技云中心每 60 天内更换一次密码。
- 严禁使用过程中私自更改密码。
- 对于服务器密码,严禁以未加密形式存放在终端;连接服务器时,严禁记住密码。
在前面有文章介绍了“远程桌面网关 guacamole 配置指南”https://blog.51cto.com/waringid/5833287。可以通过搭建集中管理的堡垒机解决多人使用同一账号导致的安全问题。
如果仅配置集中的桌面网关还是存在安全风险,特权用户可以登陆到局域网中的服务器利用该服务器和之前获取的服务器密码绕过远程网关的审计。此文的配置通过限制windows 服务器下的3389远程端口,确保只有指定的远程网关能访问远程访问,禁止其它除远程网关以外的其它IP 地址登陆。
2.操作步骤
运行2.3中的脚本文件,运行成功后通过组策略可以找到对应的ipsec策略。如下图所示:
2.1.Windows 2019
windows 2012的方式参照 2019
2.2.Windows 2003
2.3.Windows 2008
脚本内容如下:
::删除所有策略
netsh ipsec static delete all
::创建名字为Deny_RDP的安全策略
netsh ipsec static add policy name=Deny_RDP
::创建Deny和Permit两个动作
netsh ipsec static add filteraction name=Deny action=block
netsh ipsec static add filteraction name=Permit action=permit
::创建阻止TCP3389端口访问
netsh ipsec static add filterlist name=Deny_all_3389
netsh ipsec static add filter filterlist=Deny_all_3389 srcaddr=any dstaddr=any protocol=tcp srcport=3389
netsh ipsec static add rule name=Deny_all_3389 policy=Deny_RDP filterlist=Deny_all_3389 filteraction=Deny
::创建只允许源地址为192.168.5.113访问TCP3389端口
netsh ipsec static add filterlist name=Permit_5.113_3389
netsh ipsec static add filter filterlist=Permit_5.113_3389 srcaddr=192.168.xx.113 dstaddr=me protocol=tcp dstport=3389
netsh ipsec static add rule name=Permit_5.113_3389 policy=Deny_RDP filterlist=Permit_5.113_3389 filteraction=Permit
::启用Deny_RDP这条安全策略
netsh ipsec static set policy name=Deny_RDP assign=y