Windows Server系統安全加固

2023年12月12日發(作者：梅汁)

-

Windows Server系統安全加固

1.1

系統基礎信息查看命令

1. Windows微標鍵+R

#打開cmd命令窗口

2. winver

#查看系統版本

3. wmic os get ServicePackMajorVersion

#查看系統SP版本號

4. wmic qfe get hotfixid,InstalledOn

#查看系統已安裝的hotfix安全補丁

5. hostname

#查看系統所設置的主機名稱

6. ipconfig /all

#查看系統中所有網卡的網絡配置

7. ipconfig /flushdns

#清空本機的DNS緩存

8. route print

#查看Windows系統中的路由信息

9. arp -a

#查看Windows系統中的ARP緩存表

10. netstat -ano

#查看Windows系統已開放的端口信息

1.2

安全補丁升級

Windows操作系統從發布到生命周期結束的過程中會不斷的曝出系統漏洞，微軟公司就會不停的打補丁進行BUG和安全漏洞的修復，所以及時的更新系統補丁(尤其是安全補丁)對于系統安全性是非常有效的。

道阻且長、行則將至 第1頁,共8頁

但是注意本項操作存在一定的風險，尤其是生產環境中，系統更新之后需要重啟生效，需要選擇一個合適的時間段進行；所以一般是在初始部署的時候進行系統版本和補丁更新，正式使用之后，建議關閉自動更新功能，后期只針對安全性漏洞進行手動打補丁。

如下圖所示，找不到位置的可以直接搜索“更新”，點擊“檢查更新”按鈕，如果微軟官網有更新的補丁就會自動檢測并安裝。

1.3

賬號優化

1. 使用“”命令打開“計算機管理”，也可以右擊“此電腦”選擇管理在“工具”項中選擇“計算機管理”。

道阻且長、行則將至 第2頁,共8頁

2. 在“計算機管理”窗口選擇“本地用戶和組”-用戶，將不認識的、非系統默認的、業務系統交互所必須的賬戶禁用，尤其是Guest賬戶。

3. 禁用指定賬戶操作步驟如下圖所示，也可以使用以下cmd命令行進行賬戶的禁用操作

net ur test /del #刪除系統賬戶名稱為test的賬戶

net ur xxxx /add #創建系統賬戶名稱為test的賬戶

net ur test /active:yes #激活test賬戶

net ur xxxx /active:no #禁用test賬戶

道阻且長、行則將至 第3頁,共8頁

1.4

賬號鎖定和密碼策略優化

通過密碼策略的優化配置，增強系統密碼的復雜度及賬戶鎖定策略，可以極大的降低被暴力破解的可能性。

1. 使用“”打開“本地安全策略”，也可以在“服務器管理器”工具選項卡打開“本地安全策略”。

道阻且長、行則將至 第4頁,共8頁

以上各項雙擊進行設置

密碼必須符合復雜性要求 #必須開啟

密碼長度最小值 #建議不低于8-12位(也不要太長)

密碼最短使用期限 #建議7天

密碼最長使用期限 #建議90天

強制密碼歷史 #建議設置3-5個

用可還原的加密來存儲密碼 #一定要禁用

2. 賬號鎖定策略

建議設置嘗試5次登錄失敗就鎖定賬戶30分鐘，也可以根據自己的實際情況進行設置，如下圖所示

? 各項使用說明在配置說明選項卡都有詳細介紹，感興趣可以了解下。

? 本地安全策略配置后可以使用“gpupdate /force”是策略生效。

1.5

關閉不使用的服務

對于Windows服務器業務系統，以下大部分服務都可以關閉，根據自己的業務需求進行配置。

1. Print Spooler(打印服務)

2. Remote Registry(遠程注冊表服務)

3. DHCP Client(DHCP客戶端服務)

道阻且長、行則將至 第5頁,共8頁

4. SNMP Service(簡單網絡管理協議服務)

5. TCP/IP NetBIOS Helper(NetBIOS服務)

6. Server(主要提供共享類服務)

7. Task Schedule(計劃任務服務)

1.6

關閉默認共享

關閉默認共享，可以在“計算機管理”窗口逐項關閉，也可以直接關閉Server服務(主要提供共享類服務)。

net share #查看系統默認共享

net share 文件名 /del #停止指定目錄的共享

1.7

系統安全配置

1. 本地安全策略-用戶權限分配

道阻且長、行則將至 第6頁,共8頁

? 關閉系統：建議只保留“administrator”用戶組或administrator賬戶

? 更改系統時間：建議只保留“administrator”用戶組或administrator賬戶

? 更改時區：建議只保留“administrator”用戶組或administrator賬戶

? 從遠程系統強制關機：建議只保留“administrator”用戶組或administrator賬戶

? 允許本地登錄：建議只保留“administrator”用戶組或administrator賬戶

? 管理審核和安全日志：建議只保留“administrator”用戶組或administrator賬戶

? 還原文件和目錄：建議只保留“administrator”用戶組或administrator賬戶

2. 本地安全策略-安全選項

道阻且長、行則將至 第7頁,共8頁

關機：允許系統在未登錄的情況下關閉 #建議禁用

交互式登錄：不顯示上次登錄 #建議啟用

交互式登錄：登錄時不顯示用戶名 #建議啟用

賬戶：來賓賬戶狀態 #建議禁用

網絡訪問：不允許SAM賬戶的匿名枚舉 #建議啟用

網絡訪問：不允許存儲網絡身份驗證的密碼和憑據 #建議啟用

1.8

日志審計

針對系統各項運行事件進行記錄，方便故障排查和日志審計

1. 使用“”打開“本地安全策略”，也可以在“服務器管理器”工具選項卡打開“本地安全策略”。

2. 雙擊各項審核策略，勾選成功和失敗都進行日志記錄

道阻且長、行則將至 第8頁,共8頁

道阻且長、行則將至 第9頁,共8頁

-