Windows 服务器初始化基本安全设置

# 权限设置 每个分区除 系统盘，仅保留（system和administrators权限）

 

 

 

# 计算机配置 - Windows设置 - 安全设置 - 帐户策略 - 密码策略：”密码最长使用期限”，设置为”0”（无期限）。

 

# 新建一个用户。也可以使用Administrator（内置管理员），但要启用批准模式，组策略，计算机配置 - Windows设置 - 安全设置 - 本地策略 - 安全选项，”用于内置管理员帐户的管理员批准模式”，设置为”已启用”，重启后生效。

 

 

 

# 计算机配置 - Windows设置 - 安全设置 - 本地策略 - 用户权限分配，“关闭系统设置为标准帐户类型的用户允许关机，增加你自己的管理员用户。重启

 

 

# 修改默认3389端口

注册表HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\Wds\rdpwd\Tds\tcp

注册表HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Tenninal Server\WinStations\RDP-Tcp

 

# 将远程关机、本地关机和用户权限分配只授权给Administrtors组
在“运行”中执行secpol.msc，打开“本地安全策略”窗口，依次打开“本地策略”-“用户权限分配”。
（1）双击右侧的“从远程系统强制关机”，只保留“Administrators组”并将其他用户组删除；
（2）双击右侧的“关闭系统”，只保留“Administrators组”并将其他用户组删除；
（3）双击右侧的“取得文件或其它对象的所有权”，只保留“Administrators组”并将其他用户组删除；

 

# 禁用不需要的服务（根据情况建议将以下服务改为禁用）

Print Spooler（管理所有本地和网络打印队列及控制所有打印工作）

Remote Registry（使远程用户能修改此计算机上的注册表设置）

Server（不使用文件共享可以关闭，关闭后再右键点某个磁盘选属性，“共享”这个页面就不存在了）

Shell Hardware Detection（为自动播放硬件事件提供通知）

TCP/IP NetBIOS Helper（提供 TCP/IP (NetBT) 服务上的NetBIOS 和网络上客户端的NetBIOS 名称解析的支持，从而使用户能够共享文件、打印和登录到网络）

Windows Remote Management(47001端口，Windows远程管理服务，用于配合IIS管理硬件，一般用不到)

 

Workstation（使用 SMB 协议创建并维护客户端网络与远程服务器之间的连接。如果此服务已停止，这些连接将无法使用。）

 

IP Helper（使用 IPv6 转换技术(6to4、ISATAP、端口代理和 Teredo)和 IP-HTTPS 提供隧道连接。）

Themes（为用户提供使用主题管理的体验。）

 

# 关闭“同步主机_xxx”服务

Windows 2016中有一个“同步主机_xxx”的服务，后面的xxx是一个数字，每个服务器不同。需要手动关闭，操作如下：
首先在“运行”中执行regedit打开注册表，然后在 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services 下面找到 OneSyncSvc、OneSyncSvc_xxx、UserDataSvc和UserDataSvc_xxx四个项，依次将其中的 start 值修改为4，退出注册表然后重启服务器即可。

 

# 关闭IPC共享

停止并禁用 Server服务的话就不会出现IPC共享，在注册表中找到 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters，在右侧空白处右键，依次选择“新建”-“DWORD项”,名称设置为AutoShareServer，键值设置为0。

 

 

# 关闭445端口（根据实际情况处理）

445端口是netbios用来在局域网内解析机器名的服务端口，一般服务器不需要对LAN开放什么共享，所以可以关闭。打开注册表，在HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NetBT\Parameters位置，在右侧右键并依次选择“新建”-“Dword值”，名称设置为SMBDeviceEnabled，值设置为0。

 

# 关闭5355端口（LLMNR）

 LLMNR本地链路多播名称解析，也叫多播DNS，用于解析本地网段上的名称，可以通过组策略关闭将其关闭。打开“运行”，输入gpedit.msc打开“本地组策略编辑器”，依次选择“计算机配置”-“管理模板”-“网络”-“DNS客户端”，在右侧双击“关闭多播名称解析”项，然后设置为“已禁用”。

 

设置完成之后，在命令行（管理员身份）中执行 gpupdate /force 使其立即生效

 

# 增强审核

对系统事件进行记录，在日后出现故障时用于排查审计。在“运行”中执行secpol.msc命令，打开“本地安全策略”窗口，依次选择“安全设置”-“本地策略”-“审核策略”，建议将里面的项目设置如下：

审核策略更改：成功
审核登录事件：成功，失败
审核对象访问：成功
审核进程跟踪：成功，失败
审核目录服务访问：成功，失败
审核特权使用：失败
审核系统事件：成功，失败
审核帐户登录事件：成功，失败
审核帐户管理：成功，失败

 

# 设置防火墙

WF.msc  仅开放ICMP和需要的远程和应用端口

 

# 设置屏保，使本地攻击者无法直接恢复桌面控制

打开“控制面板”，依次进入“外观和个性化”-“个性化”-“屏幕保护程序”，选择某一个屏保，然后选中“在恢复时显示登录屏幕”，并将等待时间设置为10分钟。

 

 

# 关闭Windows自动播放功能

在“运行”中执行gpedit.msc命令，依次打开“计算机配置”-“管理模板”-“Windows组件”-“自动播放策略”，双击“关闭自动播放”，然后选择“已启用”。

 

# 显示上一次登录信息

 计算机配置-管理末班-windows组件-windows登录选项-在用户登录期间显示有关以前登录时的信息-启用

 

 

 

参考资料：

https://www.javatang.com/archives/2018/11/13/33232615.html