Windows服務器安全策略配置——簡單實用！

windows服務器安全策略怎麼做？不要覺得這是一個非常深奧遙不可及的問題，其實也是從各個方面去加固系統的安全性而已，它沒有一個定論。

我是艾西今天和你們分享一下windows服務器基本安全策略保障服務器基本安全的一些簡單實用的加固方法。

對windows服務器進行以上的設置和相關策略的制定，可以有效的增加服務器的自身防禦能力，防止黑客利用常見的攻擊手段和方法對服務器進行入侵和破壞，降低數據被盜取的風險。

計算機安全策略配置：

(一) 修改遠程桌面端口

将默認端口XXX修改為XXX。

(二) 帳戶

對系統管理員默認帳戶administrator進行重命名，停用guest用戶。

(三) 開啟windows防火牆

1、取消網絡連接中的文件和打印共享。

2、在例外裡面添加遠程桌面端口XXX。

3、在防火牆高級設置時勾選Web服務和安全的Web服務。

4、在防火牆開放FTP端口XX。

5、開放短信發送平台端口：XXX

(四) 禁用無關服務

1、Printspooler 打印服務

2、Wirelessconfiguration 無線服務

3、RoutingandRemoteAccess在局域網以及廣域網環境中為企業提供路由服務。

4、NTLMSecuritysupportprovide：Telnet服務和MicrosoftSerch服務使用。

5、Telnet允許遠程用戶登錄到此計算機并運行程序。

6、RemoteDesktopHelpSessionManager：遠程協助服務。

7、ErrorReportingService收集、存儲和向Microsoft報告異常應用程序。

8、RemoteRegistry 遠程注冊表操作。

(五) 禁止IPC空連接

打開注冊表

找到Local_Machine\System\CurrentControlSet\Control\LSA-RestrictAnonymous把這個值改成”1”即可。

(六) 删除默認共享

打開注冊表

找到HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters，新建AutoShareServer類型是REG_DWORD把值改為0。

(七) 策略配置

組策略配置:gpedit—>計算機配置—>windows設置—>安全設置—>本地策略。

1、在用戶權利分配下，從通過網絡訪問此計算機中删除PowerUsers和BackupOperators;

2、啟用不允許匿名訪問SAM帳号和共享;

3、啟用不允許為網絡驗證存儲憑據或Passport;

4、從文件共享中删除允許匿名登錄的DFS$和COMCFG;

5、啟用交互登錄：不顯示上次的用戶名;

6、啟用在下一次密碼變更時不存儲LANMAN哈希值;

7、禁止IIS匿名用戶在本地登錄。

禁用Guest賬戶Guest賬戶為黑客入侵打開了方便之門，黑客使用Guest賬戶可以進行提權。禁用Guest賬戶是很好的選擇。

打開“開始——管理工具——計算機管理——本地用戶和組——用戶——Guest，右鍵打開屬性，打勾“賬戶已禁用”，最後點擊應用和确定即可禁用Guest賬戶

二、密碼策略

操作系統和數據庫系統管理，用戶身份标識應具有不易被冒用的特點，口令應有複雜度要求并定期更換密碼。

進入“開始——管理工具——本地安全策略”，在“帳戶策略——密碼策略”;

“密碼必須符合複雜度要求” 設置為“啟用”

“密碼長度最小值”設置為“8-12個字符”

“密碼最長使用期限”設置為“90天”

“強制密碼曆史”設置為“記住5個密碼”

“用可以還原的加密來存儲密碼”設置為“禁用”

加固前：

加固後：

三、連續登錄失敗賬戶鎖定策略

應啟用登錄失敗鎖定功能，可采取結束會話、限制非法登錄次數和自動退出等措施。對于采用靜态口令認證技術的服務器，應設置當用戶連續登錄失敗次數超過5 次(不含5 次)，鎖定該用戶使用的賬号**分鐘。

比如連續登錄失敗超過5次，鎖定該用戶賬号15分鐘

進入“開始——管理工具——本地安全策略”，在“帳戶策略——帳戶鎖定策略”：

“賬戶鎖定時間”設置為15分鐘

“賬戶額鎖定閥值”設置為5 次

“複位賬戶鎖定計數器”設置為15分鐘

四、日志審核策略

審核内容應包括重要用戶行為、系統資源的異常使用和重要系統命令的使用等系統内重要的安全相關事件。在主機的審核策略上設置日志審核策略，進入“開始 ——管理工具——本地安全策略”，在“本地策略——審核策略”在主機的審核策略上設置日志審核策略：

審計帳戶登錄事件： 成功，失敗

審計帳戶管理： 成功，失敗

審計目錄服務訪問： 成功，失敗

審計登錄事件： 成功，失敗

審計對象訪問： 成功，失敗

審計策略更改： 成功，失敗

審計特權使用： 成功，失敗

審計系統事件： 成功，失敗

審計過程追蹤： 成功，失敗

五、設置不顯示最後的用戶名

在本地安全設置系統登錄時不顯示最後的用戶名。

進入“開始——管理工具——本地安全策略”，在“本地策略——安全選項”

“交互式登錄：不顯示最後的用戶名”設置為“已啟用”

六、啟用主機安全選項的”關機前清除虛拟内存頁面”

應确保系統内的文件、目錄和數據庫記錄等資源所在的 存儲空間，被釋放或重新分配 給其他用戶前得到完全清除。

進入“開始——管理工具——本地安全策略”，在本地策略——安全選項“關機：清除虛拟頁面文件内存”設置為“已啟用”

七、配置日志文件大小配置日志文件容量，避免受到未預期的删除、修改或覆蓋等

進入“開始——管理工具——計算機管理——事件查看器——windows日志-系統，右鍵屬性

八、磁盤配額配置

磁盤配額可以限制指定賬戶能夠使用的磁盤空間,這樣可以避免因某個用戶的過度使用磁盤空間造成其他用戶無法正常工作甚至影響系統運行

進入“我的電腦——C盤——屬性——配額”

“啟用磁盤管理”設置為啟用

“磁盤空間限制為”設置為”90GB”

“将警告等級設為”設置為”90GB”

“用戶超出配額限制時記錄事件(G)”打勾

“用戶超過警告等級時記錄事件(V)” 打勾

九、遠程會話策略

默認情況下，遠程桌面服務允許用戶從遠程桌面服務會話斷開連接，而不用注銷和結束會話。啟用此策略設置，則達到指定時間後将從服務器中删除已斷開連接的會話

進入運行——gpedit.msc——計算機配置——管理模闆——wondows組件——遠程服務——遠程桌面會話主機——會話時間限制

“設置已中斷會話的時間限制”設置為“已啟用”

“結束已斷開連接的會話”設置為“5分鐘”

1. 強制啟用SSL

當為服務器進行遠程管理時，應采取必要措施，防止鑒别信息在網絡傳輸過程中被竊聽。

打開“運行-輸入命令 【gpedit.msc】-本地組策略編輯器—計算機配置—管理模闆—windows 組件—遠程桌面服務—遠程桌面會話主機—安全

啟用“設置客戶端連接加密級别”，将加密等級設置為高級。

啟用“遠程（RDP）連接要求使用指定的安全層”安全層選擇SSL。

維護系統的安全以及業務的穩定運行，這些步驟必不可少，各位服務器管理員務必重視，安全不怕做多，就怕做少。這些都是常用的操作維護系統的安全，當然也有其它方面的安全性需要鞏固的

以上便是運維平常使用的系統鞏固方法，也是最簡單實用的了。

希望今天的分享可以幫助到你們~我是艾西我們下期再見！