说明

• 现在国家安全打击越来越严格了~
• 导致企业对于虚拟机的安全要求也越来越高。
• 所以这篇文章就说明一下win7的虚拟机做安全加固的一些流程

win7主机做安全加固流程

密码强度

• 打开控制面板->管理工具->本地安全策略，在帐户策略->密码策略开启账号审核策略
  

• 启用密码复杂度，密码长度最小值设置为8位。
  

关闭本地默认共享

• 第一步：删除Windows本地默认共享。
  进入控制面板->管理工具->计算机管理->共享文件夹->共享。停止C$、D$共享【d这种标识符不一定一样】。
  

• 第二步：禁用server服务。
  控制面板->管理工具->计算机管理->服务器和应用程序->服务，找到server->右键->属性首先点击“停止”，然后启动类型选择“禁用”，最后点击应用、确定。
  
  选择端口，点击下一步，选择TCP和特定本地端口，输入445。
  
  选择阻止连接，点击下一步，在应用规则上全部勾选
  
  自定义名称完成即可
  
  

阻止445端口

• 永恒之蓝就是通过这个端口来入侵的，所以虚拟机一般不用打印机这些功能的，直接将445端口禁止最好。
• 打开控制面板，点击进入windows防火墙-高级设置-入站规则”,选择右侧的新建规则
  

禁ping限制

• 打开控制面板，点击进入windows防火墙-高级设置-入站规则”,2个ipv4的回显请求都设置为和下面一致
  只需要将需要ping通该虚拟机的地址放开即可，其他的默认不允许ping通。
  如果需要所有地址都ping不通，直接将该2个停用即可。
  
  

修改3389远程端口

去这篇文章：
win7设置多用户登陆和修改3389端口、win10设置多用户登陆和修改3389端口

限制匿名登录

• 进入控制面板->管理工具->本地安全策略->本地策略->安全选项
网络访问：限制对命名管道和共享的匿名访问已启用
  
  删除网络访问：可匿名访问的共享、网络访问：可匿名访问的命名管道设置框内的配置。
  

禁用Guest和无关用户

• 控制面板->管理工具->计算机管理->本地用户和组->用户->Guest”
账户已禁用打勾启用，禁止后如下
  

新永恒之蓝补丁程序

安装KB4012215补丁程序，补丁程序存放路径：\10.200.30.19\sep\信息部工具\永恒之蓝补丁

复制相应位数系统的补丁程序到本地磁盘，双击安装。

做IP安全策略【重要】

• IP安全策略，简单的来说就是可以通过做相应的策略来达到放行、阻止相关的端口；放行、阻止相关的IP。
  其实和防火墙的入站规则雷瑟
• 适用于啥场景呢，就是需要将所有ip组织，然后放开需要通行的IP【也就是白名单】。

打开本地安全策略：

开始－运行－输入secpol.msc或者开始－程序－管理工具－本地安全策略
弹出来的窗口中，右击IP安全策略，在本地计算机

添加模板

• 1.　创建IP安全策略：
  

• 2.　进入配置向导：直接下一步

• 3.　直接就默认命名：新IP安全策略，然后下一步
  

• 4.　激活默认响应规则不要勾上，直接下一步
  
  5.　编辑属性前面也不要勾上，直接点完成
  

• 6.　一个策略模板就有了
  

模板中添加策略【阻止远程端口】

• 1、双击策略，弹出窗口IP安全策略属性；去掉“使用添加向导”前面的勾
  

• 2、点击上图中的"添加"出现下图：
  

• 3、点击上图中的“添加”弹出以下窗口，命名名称为，阻止所有【也就是阻止所有的端口及IP访问】
  
  源地址和目标地址我们都选任何IP地址【源地址：就是访问的IP地址，目标地址：就是主机的IP地址】，然后端口也是选择所有端口【端口慎用所有端口，除非你知道你在干啥（阻止所有端口后的后果，看最下面阻止所有端口的放开说明中的介绍）风险很高！ 所以一般你要阻止什么就限制什么，比如你要阻止远程端口，那么在协议中就指定为远程端口】
  
  我确定以后将端口改为只阻止远程端口了，IP还是所有IP，只是端口我将所有改为远程端口了
  

• 点击确定以后，在新规则属性-IP筛选器列表中就可以看到有一个阻止所有的列了
  

设置-筛选器操作【阻止】

• 之前设置的是“IP筛选器列表”，现在设置“筛选器操作”
  先将使用添加向导取消
  
• 添加一个阻止，先做一个阻止所有端口、IP访问进出的操作，然后再逐个放行，这个应该可以理解。
  先点添加-阻止
  
  然后点击常规-改个名阻止，然后确定。
  
  这样就阻止就添加完了
  
• 阻止启用，点击前面的空白圆圈，立面有个黑点表示启用。
  
  还有就是记得同时也要点上“IP筛选器列表”里的“阻止所有”不然就没有具体的操作对象了。
  

模板中添加策略【放行上面阻止的端口（允许端口或ip）】

• 注：如果你上面只是阻止了某一个端口，那么就放开上面阻止的那个端口就行了，只需要指定源地址即可。
  如果你上面阻止了所有，那么这就需要逐个放行，比如网页的80端口，数据库端口等等任何应用产生的端口都需要单独放开，否则默认被阻止。

• 因为我上面只阻止了远程端口，所以我这只放开远程端口限制源ip即可，其他端口默认全放开的；
  设置“IP筛选器列表”可以改成允许相关的端口，比如说“远程”那么默认的远程端口就是3389【但我将3389改为了1234，所以我下面以放行1234端口为例】

• 还是和“阻止所有”里一样的操作，只不过换成允许远程
  先回到新IP安全策略中，点击添加
  

• IP筛选器中添加需要允许的策略
  

• 点击添加以后，下面就是筛选操作了：

  • 源地址：源地址就是需要访问该主机的地址
    目的地址：就是我的IP地址【如果本地IP动态的根本无法确定时就用任何IP地址】
    
  • 协议：根据实际情况来添加即可【我的远程是tcp，1234】
    

• 这样ip筛选器列表就有外面刚才添加的允许远程和阻止所有了
  

设置-筛选器操作【放开远程】

• 这添加一个放开的操作，和前面的筛选器列表结合使用。
  安全方法中为许可
  
  点击常规中更名为允许
  
  然后就有了一个允许和一个阻止了
  

• 最后指定允许
  

• 至此就单独的远程端口就放开了
  

启用/禁用该IP策略并验证

本地安全策略中-右键策略-分配即可【同理，禁用就是点击 未分配】
如下，我分配过了，那么策略已指派就变成是了

• 我放开的ip是一个固定ip，我现在的笔记本就是使用的我放开的那个网络，所以我在我放开的ip上能使用1234端口远程到该虚拟机，则没问题【如果你不能登录了，禁用策略试试，如果能了，那么就是策略哪里搞错了】
  
• 然后到其他同网段的虚拟机上测试1234端口【不通为正常】
  
• ping不同也是正常，因为我上面禁ping中也限制了IP，只允许了我们采集段和我笔记本用的ip
  

阻止所有端口的放开说明【必看】

• 我们上面是阻止了所有的ip和端口，这样更安全，但有个问题

• 下面放开中必须依次放开所有需要用到的端口和IP，不然别人都访问不了
  如我上面禁止了所有的IP和端口，我下面只放开了远程的端口和一个一个IP地址可以远程登录，所以后果就是

  • 1、别的所有服务和端口别人都访问不了，比如开启了ftp服务的21端口，我这IP策略需要像上面放开远程一样的操作放开21端口和IP，不然任何人都使用不了21端口。
  • 2、上面开放了一个IP的远程1234端口，那么就只能有我指定的ip可以登录，其他任何ip都不能远程到该ip。
  • 总结：我上面这个虚拟机做了这个策略，目前针对进的策略而言，只有一个ip且只能访问远程的1234端口，其他任何端口任何ip都不能进【类似于防火墙的入站规则只有一个远程桌面了】
    这种风险实在是太高了，所以不建议这么用。
    

• 我将阻止端口改为远程以后，ping恢复
  
  

• 总结：

• 我上面是阻止的一个端口，所以也只需要放开阻止的那个端口限制ip即可。
  如果你阻止了所有端口，那么放行中一定要逐个端口放开，放开方法和上面放开远程一样，重复添加。【不建议阻止所有端口】

windows端口查看

查看端口对应的pid号和程序

打开cmd，执行：netstat -ano

C:\Documents and Settings\Administrator>netstat -ano

Active Connections
协议  本地地址              外部地址            状态            PID
  Proto  Local Address          Foreign Address        State           PID
  TCP    0.0.0.0:22             0.0.0.0:0              LISTENING       1772
  TCP    0.0.0.0:135            0.0.0.0:0              LISTENING       716
  TCP    0.0.0.0:1025           0.0.0.0:0              LISTENING       452
  TCP    0.0.0.0:3309           0.0.0.0:0              LISTENING       2312
  TCP    0.0.0.0:7777           0.0.0.0:0              LISTENING       1304
  TCP    0.0.0.0:7778           0.0.0.0:0              LISTENING       29992
  TCP    0.0.0.0:8009           0.0.0.0:0              LISTENING       1464
  TCP    0.0.0.0:8080           0.0.0.0:0              LISTENING       1464
  TCP    10.233.86.19:3309      10.237.35.254:62196    ESTABLISHED     2312
  TCP    127.0.0.1:1029         0.0.0.0:0              LISTENING       2356
  TCP    127.0.0.1:2112         127.0.0.1:30606        CLOSE_WAIT      1464
  TCP    127.0.0.1:4977         127.0.0.1:8080         CLOSE_WAIT      1464
  TCP    127.0.0.1:4978         127.0.0.1:30606        CLOSE_WAIT      1464
  TCP    127.0.0.1:5152         0.0.0.0:0              LISTENING       1192
  TCP    127.0.0.1:8005         0.0.0.0:0              LISTENING       1464
  TCP    127.0.0.1:30606        0.0.0.0:0              LISTENING       1128
  UDP    0.0.0.0:161            *:*                                    9240
  UDP    0.0.0.0:500            *:*                                    452
  UDP    0.0.0.0:4500           *:*                                    452
  UDP    10.233.86.19:123       *:*                                    816
  UDP    127.0.0.1:123          *:*                                    816
  UDP    127.0.0.1:2169         *:*                                    1056
  UDP    127.0.0.1:2181         *:*                                    24160

查看指定端口的占用情况

打开cmd，执行：netstat -aon | findstr "pid"

C:\Documents and Settings\Administrator>netstat -aon | findstr "8009"
协议 本地地址 			   外部地址				 状态 			PID
  TCP    0.0.0.0:8009           0.0.0.0:0              LISTENING       1464

查看PID对应的进程

打开cmd，执行：tasklist | findstr "pid"

C:\Documents and Settings\Administrator>tasklist | findstr "1464"
tomcat7.exe                   1464 Console                    0    186,880 K