Windows Server系统安全加固

2023年12月12日发(作者：梅汁)

-

Windows Server系统安全加固

1.1

系统基础信息查看命令

1. Windows微标键+R

#打开cmd命令窗口

2. winver

#查看系统版本

3. wmic os get ServicePackMajorVersion

#查看系统SP版本号

4. wmic qfe get hotfixid,InstalledOn

#查看系统已安装的hotfix安全补丁

5. hostname

#查看系统所设置的主机名称

6. ipconfig /all

#查看系统中所有网卡的网络配置

7. ipconfig /flushdns

#清空本机的DNS缓存

8. route print

#查看Windows系统中的路由信息

9. arp -a

#查看Windows系统中的ARP缓存表

10. netstat -ano

#查看Windows系统已开放的端口信息

1.2

安全补丁升级

Windows操作系统从发布到生命周期结束的过程中会不断的曝出系统漏洞，微软公司就会不停的打补丁进行BUG和安全漏洞的修复，所以及时的更新系统补丁(尤其是安全补丁)对于系统安全性是非常有效的。

道阻且长、行则将至 第1页,共8页

但是注意本项操作存在一定的风险，尤其是生产环境中，系统更新之后需要重启生效，需要选择一个合适的时间段进行；所以一般是在初始部署的时候进行系统版本和补丁更新，正式使用之后，建议关闭自动更新功能，后期只针对安全性漏洞进行手动打补丁。

如下图所示，找不到位置的可以直接搜索“更新”，点击“检查更新”按钮，如果微软官网有更新的补丁就会自动检测并安装。

1.3

账号优化

1. 使用“”命令打开“计算机管理”，也可以右击“此电脑”选择管理在“工具”项中选择“计算机管理”。

道阻且长、行则将至 第2页,共8页

2. 在“计算机管理”窗口选择“本地用户和组”-用户，将不认识的、非系统默认的、业务系统交互所必须的账户禁用，尤其是Guest账户。

3. 禁用指定账户操作步骤如下图所示，也可以使用以下cmd命令行进行账户的禁用操作

net ur test /del #删除系统账户名称为test的账户

net ur xxxx /add #创建系统账户名称为test的账户

net ur test /active:yes #激活test账户

net ur xxxx /active:no #禁用test账户

道阻且长、行则将至 第3页,共8页

1.4

账号锁定和密码策略优化

通过密码策略的优化配置，增强系统密码的复杂度及账户锁定策略，可以极大的降低被暴力破解的可能性。

1. 使用“”打开“本地安全策略”，也可以在“服务器管理器”工具选项卡打开“本地安全策略”。

道阻且长、行则将至 第4页,共8页

以上各项双击进行设置

密码必须符合复杂性要求 #必须开启

密码长度最小值 #建议不低于8-12位(也不要太长)

密码最短使用期限 #建议7天

密码最长使用期限 #建议90天

强制密码历史 #建议设置3-5个

用可还原的加密来存储密码 #一定要禁用

2. 账号锁定策略

建议设置尝试5次登录失败就锁定账户30分钟，也可以根据自己的实际情况进行设置，如下图所示

 各项使用说明在配置说明选项卡都有详细介绍，感兴趣可以了解下。

 本地安全策略配置后可以使用“gpupdate /force”是策略生效。

1.5

关闭不使用的服务

对于Windows服务器业务系统，以下大部分服务都可以关闭，根据自己的业务需求进行配置。

1. Print Spooler(打印服务)

2. Remote Registry(远程注册表服务)

3. DHCP Client(DHCP客户端服务)

道阻且长、行则将至 第5页,共8页

4. SNMP Service(简单网络管理协议服务)

5. TCP/IP NetBIOS Helper(NetBIOS服务)

6. Server(主要提供共享类服务)

7. Task Schedule(计划任务服务)

1.6

关闭默认共享

关闭默认共享，可以在“计算机管理”窗口逐项关闭，也可以直接关闭Server服务(主要提供共享类服务)。

net share #查看系统默认共享

net share 文件名 /del #停止指定目录的共享

1.7

系统安全配置

1. 本地安全策略-用户权限分配

道阻且长、行则将至 第6页,共8页

 关闭系统：建议只保留“administrator”用户组或administrator账户

 更改系统时间：建议只保留“administrator”用户组或administrator账户

 更改时区：建议只保留“administrator”用户组或administrator账户

 从远程系统强制关机：建议只保留“administrator”用户组或administrator账户

 允许本地登录：建议只保留“administrator”用户组或administrator账户

 管理审核和安全日志：建议只保留“administrator”用户组或administrator账户

 还原文件和目录：建议只保留“administrator”用户组或administrator账户

2. 本地安全策略-安全选项

道阻且长、行则将至 第7页,共8页

关机：允许系统在未登录的情况下关闭 #建议禁用

交互式登录：不显示上次登录 #建议启用

交互式登录：登录时不显示用户名 #建议启用

账户：来宾账户状态 #建议禁用

网络访问：不允许SAM账户的匿名枚举 #建议启用

网络访问：不允许存储网络身份验证的密码和凭据 #建议启用

1.8

日志审计

针对系统各项运行事件进行记录，方便故障排查和日志审计

1. 使用“”打开“本地安全策略”，也可以在“服务器管理器”工具选项卡打开“本地安全策略”。

2. 双击各项审核策略，勾选成功和失败都进行日志记录

道阻且长、行则将至 第8页,共8页

道阻且长、行则将至 第9页,共8页

-