立即注册  找回密码
 立即注册
CeraNetworksBGVM服务器主机交流会员请立即修改密码Sharktech防护
查看: 153|回复: 0

Windows 2016 服务器安全设置

[复制链接]

Windows 2016 服务器安全设置

[复制链接]

310

主题

768

回帖

3270

积分

论坛元老

积分
3270
uov

310

主题

768

回帖

3270

积分

论坛元老

积分
3270
2022-3-14 22:41:03 | 显示全部楼层 |阅读模式
话说跟2008的服务器安全设置很像

系统更新配置
更换Windows更新服务器
如果你觉得默认的Windows更新服务器比较慢,或者如果选择了阿里云或腾讯云服务器的话,可以更换Windows服务器。

右键开始菜单图标,选择“运行”,然后输入gpedit.msc,依次选择 “计算机配置” - “管理模板” - “Windows 组件” - “Windows 更新”,双击“指定 Intranet Microsoft 更新服务位置”:


选中 已启用,然后设置检测更新的Intranet更新服务和统计服务器,如果是阿里云经典网络可以设置成 http://windowsupdate.aliyun-inc.com,阿里云VPC网络可以设置成 http://update.cloud.aliyuncs.com,腾讯云可以设置成 http://windowsupdate.tencentyun.com,备用下载服务器设置成 http://wsus.neu.edu.cn。


启用并允许自动更新
双击“允许自动更新立即安装”,选择“已启用”启用自动更新。然后双击“配置自动更新”,选中“已启用”并配置成“自动下载并通知安装”,如下图:


设置完上述两步之后,需要以管理员角色执行下面的命令:

gpupdate /force

解决执行自动更新时出现的 0x8024401f 和 0x8024401c 错误
完成上述操作之后,选择开始菜单-设置,执行检查更新,检查一下是否正常。
如果出现 0x8024401f 或 0x8024401c 错误的话,以管理员身份执行下面的命令:

net stop wuauserv
reg delete HKEY_LOCAL_MACHINESOFTWAREPoliciesMicrosoftWindowsWindowsUpdate
net start wuauserv

系统账号安全
设置账号安全策略
在“运行”中执行secpol.msc命令,打开“本地安全策略”,进行如下设置:
(1)“账户设置”-“密码策略”
设置合适的密码复杂度,增强密码的强度。参考设置如下:


(2)“账户设置”-“账户锁定策略”
设置账号密码出错之后的锁定时间,需要先设置“账户锁定阀值”才能设置其他两项,参考设置如下:


(3)“本地策略”-“安全选项”
将“交互式登录: 不显示最后的用户名”设置为“启用”状态。

检查并优化账号
将账户安全设置完成之后,再对系统的账号进行优化。在“运行”中执行compmgmt.msc命令,打开“计算机管理”,然后在“系统工具”-“本地用户和组”-“用户”中查看是否有不用的账户,将不用的账户删除或停用。除此之外,还要在命令行中使用 net user 命令查看一遍有没有多余的账号(有的账号会在计算机管理中隐藏),可以使用 net user [u] /del 命令删除对应的账号。

将默认的管理员用户名 Administrator 进行重命名,并且建议重新设置新的管理员密码。

禁止系统自动登录
系统休眠重新激活之后,需要密码才能登录系统。在“运行”中输入 control userpasswords2,打开“用户账户”,然后启用“要是用本机,用户必须输入用户名和密码”的选项。


远程访问安全
更改远程终端默认3389端口
将默认的远程终端端口3389修改成其他的端口。运行regedit打开注册表程序,需要修改注册表的两个地方:

HKEY_LOCAL_MACHINESystemCurrentControlSetControlTerminal ServerWds epwdTds        cp
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlTerminalServerWinStationsRDP-Tcp

将上述两个地方右侧 PortNumber的值修改成新的端口号(建议将基数设置为十进制):


设置完成之后关闭注册表,然后重启服务器之后即可生效。如果设置防火墙的话,注意新端口加入防火墙的白名单中。

将远程关机、本地关机和用户权限分配只授权给Administrtors组
在“运行”中执行secpol.msc,打开“本地安全策略”窗口,依次打开“本地策略”-“用户权限分配”。
(1)双击右侧的“从远程系统强制关机”,只保留“Administrators组”并将其他用户组删除;
(2)双击右侧的“关闭系统”,只保留“Administrators组”并将其他用户组删除;
(3)双击右侧的“取得文件或其它对象的所有权”,只保留“Administrators组”并将其他用户组删除;

将远程登录账户设置为具体的管理员账号
指定特定的管理员账号而不是Administrtors组,将增强登录系统的安全性,就算通过漏洞创建了Administrtors组的账号,也无法登录系统。

在“运行”中执行secpol.msc,打开“本地安全策略”窗口,依次打开“本地策略”-“用户权限分配”。双击右侧的“从网络访问此计算机”,将所有的用户组删除,然后点击下面的“添加用户或组...”按钮,点击“高级”按钮,然后点击“立即查询”按钮,从查询的结果中选择管理员的账号,然后依次确定保存;

系统网络安全
回复

使用道具 举报

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

Archiver|小黑屋|HS2V主机综合交流论坛

GMT+8, 2024-11-21 22:34 , Processed in 0.038553 second(s), 2 queries , Gzip On, Redis On.

Powered by Discuz! X3.5

© 2001-2024 Discuz! Team.

快速回复 返回顶部 返回列表