公司新增一台服务器用来运行独立的业务系统,该系统为了安全只需要开放远程桌面进行管理,你作为网络安全防护人员需要对服务器进行相关配置。相关用户账户已配置完毕,你仅需对一下具体要求进行配置:
(1)开启远程桌面,并授权remote账户进行远程桌面访问
(2)禁止remote账户本地登录,取消remote账户远程关机权限并将电源对话框中的“断开连接”选项隐藏
(3)设置远程桌面连接无时间限制
(4)开放远程桌面3389端口的进出站连接,阻止139,445共享端口以及系统高危端口137,138端口的入站连接,以端口号命名规则
(5)在防火墙入站规则中,禁止预定义的文件和打印机共享连接
要详细过程,不会做来学过程的
该回答引用ChatGPT
1、开启远程桌面并授权remote账户进行远程桌面访问:
步骤:
(1)在服务器上打开“远程桌面服务配置”(运行“control system”或者“mstsc”命令),选择“允许远程连接到此计算机”,勾选“允许远程桌面连接”,并选择“选择用户”按钮。
(2)在“选择用户或组”窗口中,点击“添加”按钮,输入“remote”并点击“检查名称”按钮,然后选择“remote”用户账户,点击“确定”按钮,再点击“关闭”按钮。
2、禁止remote账户本地登录,取消remote账户远程关机权限并将电源对话框中的“断开连接”选项隐藏:
步骤:
(1)使用本地安全策略编辑器(secpol.msc)打开本地安全策略,选择“本地策略”-“用户权限分配”。
(2)找到“允许本地登录”的策略,双击进入编辑界面,然后从“remote”账户列表中删除该策略。
(3)找到“关机系统”的策略,双击进入编辑界面,然后从“remote”账户列表中删除该策略。
(4)使用组策略编辑器(gpedit.msc)打开“用户配置”-“管理模板”-“开始菜单和任务栏”。
(5)找到“移除和禁止访问关闭计算机”策略,双击进入编辑界面,选择“已启用”,然后在下面的“选项”中勾选“断开”,点击“确定”按钮保存设置。
3、设置远程桌面连接无时间限制:
步骤:
(1)使用组策略编辑器(gpedit.msc)打开“计算机配置”-“管理模板”-“Windows组件”-“远程桌面服务”-“远程桌面会话主机”。
(2)找到“连接超时限制”策略,双击进入编辑界面,选择“已启用”,然后将超时限制设置为“从不断开连接”,点击“确定”按钮保存设置。
4、开放远程桌面3389端口的进出站连接,阻止139,445共享端口以及系统高危端口137,138端口的入站连接,以端口号命名规则:
(1)创建阻止139,445共享端口以及系统高危端口137,138端口的入站连接规则:
(2)规则类型选择“端口”。
(3)选择“TCP”协议。
(4)指定端口号为“139、445、137、138”。
(5)阻止连接。
5、在防火墙入站规则中,禁止预定义的文件和打印机共享连接:
步骤:
(1)在“高级安全中心”中,选择“入站规则”-“新建规则”。
(2)创建禁止预定义的文件和打印机共享连接的规则:
(3)规则类型选择“文件和打印机共享”。
(4)选择“任何网络”。
(5)阻止连接。
参考GPT和自己的思路,针对以上要求,你可以按照以下步骤进行配置:
1 开启远程桌面并授权remote账户进行远程桌面访问
在服务器上打开“系统属性”对话框,选择“远程”选项卡。
选择“允许远程连接到此计算机”选项,确保“远程桌面”选项已被勾选。
点击“选择用户”按钮,将remote账户添加到远程用户列表中,并授权其进行远程桌面访问。
2 禁止remote账户本地登录,取消remote账户远程关机权限并将电源对话框中的“断开连接”选项隐藏
在服务器上打开“本地安全策略”对话框,选择“本地策略”→“用户权限分配”。
找到“本地登录”和“远程关机”权限,将remote账户从权限列表中删除。
在“组策略编辑器”中,选择“用户配置”→“管理模板”→“开始菜单和任务栏”,找到“从开始菜单和任务栏中删除断开连接”选项,将其启用。
3 设置远程桌面连接无时间限制
打开“组策略编辑器”,选择“计算机配置”→“管理模板”→“Windows组件”→“远程桌面服务”→“远程桌面会话主机”。
找到“连接超时限制”,将其禁用或设置为“0”(无限制)。
4 开放远程桌面3389端口的进出站连接,阻止139,445共享端口以及系统高危端口137,138端口的入站连接,以端口号命名规则
在服务器上打开“高级安全性”应用程序,选择“入站规则”。
新建一个规则,允许来自3389端口的TCP连接。
新建一个规则,阻止来自139和445端口的TCP和UDP连接。
新建一个规则,阻止来自137和138端口的UDP连接。
5 在防火墙入站规则中,禁止预定义的文件和打印机共享连接
在服务器上打开“高级安全性”应用程序,选择“入站规则”。
找到“文件和打印机共享(SMB-In)”规则,禁用它或将其删除。
完成以上配置后,你可以对服务器进行远程管理,同时确保了系统的安全性。
网络安全管理员_三级_操作技能考核解题过程
非常详细,可以借鉴下
https://blog.csdn.net/Darkbrat/article/details/128342916
Windwos远程桌面安全配置
1、此电脑右击 - 属性 - 远程设置- 选择允许远程连接到此计算机并(勾选仅允许运行使用网络级别身份验证的远程桌面的计算机连接)- 选择用户 - 添加remote用户 -确定。
2、gpedit.msc - 计算机配置 - Windows设置 - 安全设置 - 本地策略 - 用户权限分配 - 拒绝本地登录 - 添加remote用户 - 确认 - 从远程系统强制关机 - 删除remote(如果没有不用理会)
gpedit.msc - 计算机配置 - 管理模板 - Windows组件 - 远程桌面服务 - 远程桌面会话主机 - 远程会话环境 - 从“关机”对话框删除“断开连接” 选项 - 启用
3、gpedit.msc - 计算机配置 - 管理模板 - Windows组件 - 远程桌面服务 - 远程桌面会话主机 - 会话时间限制 - 设置活动的远程桌面服务会话的时间限制 - 启用并选择从不 - 确定。
4、服务器管理器 - 工具 - 高级安全 Windows 防火墙 - 入站规则 - 新建规则 - 端口 - 下一步 - 特定本地端口
3389(TCP) 出入站规则均需设置允许 以端口号命名规则
139、445(TCP) 入站规则 阻止连接 以端口号命名规则
137、138(UDP)入站规则 阻止连接 以端口号命名规则
入站规则 所有 “文件和打印机共享” 禁用规则
防火墙安全配置/WEB安全配置
1、点击Start按钮启动所有设备 - 双击firewall - 待启动完成输入账号密码(root:opnsense) - 选择2 回车配置IP地址 - 选择1 LAN - N否DHCP - 192.168.100.1 - 24 - 后面全部回车。
- 选择2 回车配置IP地址 - 选择3 WAN - N否DHCP - 180.0.0.101 - 24 - 后面全部回车。
2、点击左上角Activities - 打开Firefox浏览器 - 192.168.122.100 - 输入账号密码(root:opnsense)
点击左侧Firewall - Rules - LAN - +添加 - Save保存其他不用设置 - Apply changes应用
点击左侧Firewall - Rules - WAN - +添加 - Save保存其他不用设置 - Apply changes应用
3、点击左侧Services - Nginx - Configuration - 勾选Enable nginx 应用 - Upstream - Upstream Server - +添加
Descripton:DVWA
Server:192.168.100.100
Port:80
Server Priority:1
Maximum Connetions:250
Maximum Failures:5
Fail Timeout:10
4、点击左侧Services - Nginx - Configuration - Upstream - Upstream - +添加
Descripton:DVWA-backend
Server Entries:DVWA
Save保存
5、点击左侧Services - Nginx - Configuration - HTTPS(S) - Location - +添加
Descripton:DVWA
URL Pattern:/
Custom Security Policy:SQL Injections IDs:1000-1099
Save保存
6、点击左侧Services - Nginx - Configuration - HTTPS(S) - HTTPS Server - +添加
Server Name:dvwa.example.net
Locations:DVWA
Save保存
7、点击左侧System - Settings - Administration
TCP port:8443
HTTP Redirect:勾选
保存
8、点击左侧Lobby - Password
Old password:opnsense
New Password:Admin@123
保存
9、点击左侧System - Configuration - Backups - 点击Download configuration下载防火墙配置文件
剪切配置文件到/home/gns3/Documents 并重命文件名为“waf211.xml”。