Java版本选择与JRE/JDK边界要划清
生产环境别用JDK凑合,Windows Server上必须装JRE——除非你真需要jps、jstack这类诊断工具在服务进程里跑。JDK自带的java.exe和javaw.exe行为一致,但JDK多出的bin目录会增加攻击面,尤其当误配PATH导致脚本调用到javac.exe时,可能被利用执行编译型恶意载荷。
- 从
https://adoptium.net/下载带jdk-xx.jre后缀的构建(如temurin-17.0.2+8-jre),不是jdk包 - 安装路径避开空格和中文,推荐
C:\jre17,并设系统环境变量JAVA_HOME=C:\jre17 - 检查
java -version输出是否含JRE字样;若显示JDK,说明装错了
Windows服务封装:不要用sc create硬套java.exe
直接用sc create注册java.exe会导致服务无法响应停止信号,进程残留率接近100%。Windows服务管理器发的是SERVICE_CONTROL_STOP,而java.exe默认不监听这个信号——它只认Ctrl+C或kill -15(Linux下),Windows没这机制。
- 改用
WinSW(winsw-x64.exe)封装,配置文件中必须设置<serviceaccount></serviceaccount>为非Administrator账户(如NT SERVICE\MyJavaApp) -
<executable></executable>指向C:\jre17\bin\javaw.exe(不是java.exe),避免控制台窗口弹出 - 在
<arguments></arguments>里加-Djava.security.manager已过时,改用--illegal-access=deny+--add-opens按需开权限
安全策略:禁用RMI、JMX远程端口与默认信任库
Spring Boot应用默认开1099(RMI registry)或9999(JMX remote)?那是给攻击者送JNDI注入入口。Windows Server防火墙规则只能拦IP层,拦不住同一台机器上其他进程的本地连接。
- 启动参数强制关闭:
-Dcom.sun.management.jmxremote=false -Djava.rmi.server.hostname=127.0.0.1 - 删掉
%JAVA_HOME%\jre\lib\security\java.security里的networkaddress.cache.ttl=30,改成0防DNS重绑定 - 信任库不用
cacerts原厂包,用keytool -importcert只导入你业务真正依赖的CA证书,路径设为-Djavax.net.ssl.trustStore=C:\app\ssl\my-truststore.jks
日志与崩溃转储:别让hs_err_pidxxx.log暴露JVM路径
默认hs_err_pid*.log文件会写满JVM启动路径、类路径、甚至部分内存快照,一旦Web目录配置失误被映射出去,等于把部署结构白送。
立即学习“Java免费学习笔记(深入)”;
- 用
-XX:ErrorFile=C:\app\logs\hs_err_%p.log把错误日志定向到受限目录,确保IIS_IUSRS或IUSR无读取权限 - 禁用堆转储:
-XX:-HeapDumpOnOutOfMemoryError,OOM时靠jdk.jfr事件流采样更轻量 - Log4j2配置里删掉
%class和%line,防止源码路径泄露;用%X{traceId}代替%X{host}防主机名泄漏
最常被跳过的其实是服务账户权限收缩——哪怕用了WinSW,如果服务以LocalSystem运行,一个反序列化漏洞就能直接提权到系统级。宁可多配一个专用服务用户,也别图省事勾选“允许服务与桌面交互”。
