162
Windows 2016服务器安全配置和加固

1、启用并允许自动更新

任何系统经过一段时间运行后,都会发现这样那样的BUG,系统补丁就是修复这些UBG用的,因此开启更新非常重要,让服务器始终保持最安全的状态。

如果自动更新出理错误,可以以管理员角色执行下面的命令:

gpupdate /force

解决执行自动更新时出现的 0x8024401f 0x8024401c 错误 完成上述操作之后,选择开始菜单-设置,执行检查更新,检查一下是否正常。 如果出现 0x8024401f 0x8024401c 错误的话,以管理员身份执行下面的命令:

net stop wuauserv reg delete HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate net start wuauserv


2、更改远程端口

   默认的远程端口是3389,也是极不安全的,强烈建议修改为五位数的远程端口,分享个修改远程端口的工具:

http://down.9935.net/%E6%9C%8D%E5%8A%A1%E5%99%A8%E8%BD%AF%E4%BB%B6/SQ-3389.exe


3、设置账号安全策略 运行中执行secpol.msc命令,打开本地安全策略,进行如下设置: 1账户设置”-“密码策略设置合适的密码复杂度,增强密码的强度。参考设置如下:111.png

2账户设置”-“账户锁定策略设置账号密码出错之后的锁定时间,需要先设置账户锁定阀值才能设置其他两项,参考设置如下:

111.png

3本地策略”-“安全选项交互式登录: 不显示最后的用户名设置为启用状态。


4、检查并优化账号 将账户安全设置完成之后,再对系统的账号进行优化。在运行中执行compmgmt.msc命令,打开计算机管理,然后在系统工具”-“本地用户和组”-“用户中查看是否有不用的账户,将不用的账户删除或停用。除此之外,还要在命令行中使用 net user 命令查看一遍有没有多余的账号(有的账号会在计算机管理中隐藏),可以使用 net user /del 命令删除对应的账号。

将默认的管理员用户名 Administrator 进行重命名,并且建议重新设置新的管理员密码。

5、禁止系统自动登录 系统休眠重新激活之后,需要密码才能登录系统。在运行中输入 control userpasswords2,打开用户账户,然后启用要是用本机,用户必须输入用户名和密码的选项。

111.png


6、将远程关机、本地关机和用户权限分配只授权给Administrtors 运行中执行secpol.msc,打开本地安全策略窗口,依次打开本地策略”-“用户权限分配 1)双击右侧的从远程系统强制关机,只保留“Administrators并将其他用户组删除; 2)双击右侧的关闭系统,只保留“Administrators并将其他用户组删除; 3)双击右侧的取得文件或其它对象的所有权,只保留“Administrators并将其他用户组删除;

7、将远程登录账户设置为具体的管理员账号 指定特定的管理员账号而不是Administrtors组,将增强登录系统的安全性,就算通过漏洞创建了Administrtors组的账号,也无法登录系统。

运行中执行secpol.msc,打开本地安全策略窗口,依次打开本地策略”-“用户权限分配。双击右侧的从网络访问此计算机,将所有的用户组删除,然后点击下面的添加用户或组…”按钮,点击高级按钮,然后点击立即查询按钮,从查询的结果中选择管理员的账号,然后依次确定保存;

8、关闭不需要的服务 运行中执行 services.msc 命令,打开服务,根据情况建议将以下服务改为禁用:

Application Layer Gateway Service(为应用程序级协议插件提供支持并启用网络/协议连接) Background Intelligent Transfer Service(利用空闲的网络带宽在后台传输文件。如果服务被停用,例如Windows Update MSN Explorer的功能将无法自动下载程序和其他信息) Computer Browser(维护网络上计算机的更新列表,并将列表提供给计算机指定浏览) DHCP Client Diagnostic Policy Service Distributed Link Tracking Client Distributed Transaction Coordinator DNS Client Print Spooler(管理所有本地和网络打印队列及控制所有打印工作) Remote Registry(使远程用户能修改此计算机上的注册表设置) Server(不使用文件共享可以关闭,关闭后再右键点某个磁盘选属性,共享这个页面就不存在了) Shell Hardware Detection TCP/IP NetBIOS Helper(提供 TCP/IP (NetBT) 服务上的NetBIOS 和网络上客户端的NetBIOS 名称解析的支持,从而使用户能够共享文件、打印和登录到网络) Task Scheduler(使用户能在此计算机上配置和计划自动任务) Windows Remote Management(47001端口,Windows远程管理服务,用于配合IIS管理硬件,一般用不到) Workstation(创建和维护到远程服务的客户端网络连接。如果服务停止,这些连接将不可用)

9、关闭IPC共享 如果在上面停止并禁用 Server服务的话就不会出现IPC共享了,执行 net share 命令之后会提示没有启动Server服务,否则会类似C D D D等默认共享,可以使用 net share C$ /del 命令进行删除。

111.png

111.png

10、关闭“同步主机_xxx”服务

Windows 2016中有一个“同步主机_xxx”的服务,后面的xxx是一个数字,每个服务器不同。需要手动关闭,操作如下:

111.png

11、关闭139端口(Netbios服务)、445端口、5355端口(LLMNR 1)关闭139端口 依次打开控制面板”-“查看网络状态和任务,然后点击左侧的更改适配器设置,在网络连接中双击激活的网卡,点击属性按钮,双击“Internet 协议版本 4TCP/IPv4,在打开的窗口中点击右下角的高级按钮,然后选择上面的“WINS”标签,在“NetBIOS设置中选择禁用 TCP/IP上的NetBIOS”,最后依次确定

111.png

关闭此功能,你服务器上所有共享服务功能都将关闭,别人在资源管理器中将看不到你的共享资源。这样也防止了信息的泄露。

(2)关闭445端口 445端口是netbios用来在局域网内解析机器名的服务端口,一般服务器不需要对LAN开放什么共享,所以可以关闭。

111.png

(3)关闭5355端口(LLMNR) LLMNR本地链路多播名称解析,也叫多播DNS,用于解析本地网段上的名称,可以通过组策略关闭将其关闭。打开“运行”,输入gpedit.msc打开“本地组策略编辑器”,依次选择“计算机配置”-“管理模板”-“网络”-“DNS客户端”,在右侧双击“关闭多播名称解析”项,然后设置为“已禁用”。

111.png

12、网络访问限制

在“运行”中执行 secpol.msc 打开“本地安全策略”,打开“安全设置”-“本地策略”-“安全选项”,设置下面的策略:

网络访问: 不允许 SAM 帐户的匿名枚举:已启用 网络访问: 不允许 SAM 帐户和共享的匿名枚举:已启用 网络访问: 将 Everyone 权限应用于匿名用户:已禁用 帐户: 使用空白密码的本地帐户只允许进行控制台登录:已启用

设置完成之后,在命令行(管理员身份)中执行 gpupdate /force 使其立即生效。

13、增强日志记录 增大日志量大小,避免由于日志文件容量过小导致日志记录不全。在“运行”中执行eventvwr.msc命令,打开“事件查看器”窗口,打开“Windows 日志”文件,分别右键下面的“应用程序”、“安全”和“系统”项,选择“属性”,修改“日志最大大小”为 20480。111.png

14、增强审核

对系统事件进行记录,在日后出现故障时用于排查审计。在“运行”中执行secpol.msc命令,打开“本地安全策略”窗口,依次选择“安全设置”-“本地策略”-“审核策略”,建议将里面的项目设置如下:

审核策略更改:成功 审核登录事件:成功,失败 审核对象访问:成功 审核进程跟踪:成功,失败 审核目录服务访问:成功,失败 审核系统事件:成功,失败 审核帐户登录事件:成功,失败 审核帐户管理:成功,失败

上面的项目设置成功之后,在“运行”中执行 gpupdate /force 命令使设置立即生效。

15、开启并设置防火墙 如果使用了云服务器(如阿里云、腾讯云等),云服务商会提供一个防火墙工具,通常是放在路由级别的,使用起来更方便,如果误操作的话也不会将自己排除在服务器上,因此建议优先采用云服务商提供的防火墙。

16、开启或关闭Windows防火墙 打开“控制面板”,依次选择“系统和安全”-“Windows防火墙”,选择左侧的“启用或关闭Windows防火墙”,根据需要选择启用或关闭Windows防火墙。如果采用了云服务商提供的防火墙的话,建议将Windows防火墙关闭。PS:开启防火墙之前需要允许远程登录的端口访问,否则远程连接会中断!

17、允许特定的端口访问 这里以Windows防火墙为例进行说明(其实云服务商提供的防火墙规则是类似的),前提是防火墙是启用的。在“运行”中执行 WF.msc 打开“高级安全 Windows 防火墙”,点击左侧的“入站规则”,然后点击右侧的“新建规则…”打开“新建入站规则向导”窗口,选择“端口”然后点击“下一步”按钮;端口类型选择“TCP”,下面选择“特定本地端口”,里面输入设置的远程登录端口以及Web端口,如:80, 433, 3389,然后点击“下一步”按钮;选择“允许连接”,然后点击“下一步”按钮;选中所有的选项,然后点击“下一步”;最后输入一个规则的名称,比如“允许远程连接和Web服务”,最后点击“完成”保存。

18、关闭ICMP(禁ping) 按照上面的步骤打开“高级安全 Windows 防火墙”并选中左侧的“入站规则”,从默认的规则里面双击“文件和打印机共享(回显请求 – ICMPv4-In)”,在“常规”中选中“已启用”,并在“操作”中选中“阻止连接”,最后“确定”保存即可。111.png

19、其它安全设置 设置屏保,使本地攻击者无法直接恢复桌面控制 打开“控制面板”,依次进入“外观和个性化”-“个性化”-“屏幕保护程序”,选择某一个屏保,然后选中“在恢复时显示登录屏幕”,并将等待时间设置为10分钟。

111.png

20、关闭Windows自动播放功能 在“运行”中执行gpedit.msc命令,依次打开“计算机配置”-“挂你模板”-“所有设置”,双击“关闭自动播放”,然后选择“已启用”。

111.png

   经过上述操作猛如虎,您的服务器已经比较安全啦!

这条帮助是否解决了您的问题? 已解决 未解决

提交成功!非常感谢您的反馈,我们会继续努力做到更好! 很抱歉未能解决您的疑问。我们已收到您的反馈意见,同时会及时作出反馈处理!