上節(jié)我們介紹了“Linux安全加固10條建議”本節(jié)我們繼續(xù)看Windows服務(wù)器安全加過(guò)10條建議执桌。

以下是筆者剛在網(wǎng)上找到的一份2016年的服務(wù)器操作系統(tǒng)市場(chǎng)份額數(shù)據(jù)（https://shuhari.dev/blog/2019/7/win-server-not-dominated） 可以看到Windows服務(wù)器操作系統(tǒng)市場(chǎng)份額是比較高的蚂踊。 但據(jù)我個(gè)人了解國(guó)內(nèi)互聯(lián)網(wǎng)公司的服務(wù)器市場(chǎng)Linux操作系統(tǒng)的份額要遠(yuǎn)遠(yuǎn)高于Windows服務(wù)器 磷脯，主要原因是Linux開(kāi)源免費(fèi)龙填，可以根據(jù)自己的業(yè)務(wù)進(jìn)行量身定制漾抬。

Spiceworks報(bào)道的2016年服務(wù)器操作系統(tǒng)市場(chǎng)份額

相比Linux服務(wù)器Windows服務(wù)器也是有很龐大的用戶群體潮饱，從國(guó)內(nèi)使用Windows操作系統(tǒng)的用戶看主要通過(guò)Windows服務(wù)器建站和存放數(shù)據(jù)等谍婉。去年“Windows遠(yuǎn)程桌面代碼執(zhí)行漏洞”也影響了很大的一批用戶更啄，這里我們來(lái)介紹一下如何加固我們的Windows服務(wù)器安全稚疹。

本文以騰訊云的Windows server 2012R2 作為測(cè)試環(huán)境。

1) 設(shè)置復(fù)雜密碼

服務(wù)器設(shè)置大寫祭务、小寫内狗、特殊字符怪嫌、數(shù)字組成的12-16位的復(fù)雜密碼 ，也可使用密碼生成器自動(dòng)生成復(fù)雜密碼柳沙，這里給您一個(gè)鏈接參考：https://suijimimashengcheng.51240.com/

2) 更改 3389 遠(yuǎn)程登錄端口

先選擇開(kāi)始-->運(yùn)行岩灭，輸入regedit，點(diǎn)擊確認(rèn)赂鲤，打開(kāi)注冊(cè)表噪径，然后找到路徑[HKEY_LOCAL_MACHINE\SYSTEM\CurrentContro1Set\Control\Tenninal Server\WinStations\RDP-Tcp]，到PortNamber数初，然后右鍵–>修改找爱，選擇到十進(jìn)制，你就會(huì)看到現(xiàn)在您使用的端口號(hào)（默認(rèn)值是3389）泡孩，然后修改為您想要使用的端口就可以了车摄，如3390，但是不要選擇一些我們常用的端口或者您的軟件需要使用的端口珍德，否則會(huì)出現(xiàn)端口沖突练般。

[HKEY_LOCAL_MACHINE\SYSTEM \CurrentControlSet\Control\Terminal Server\Wds\rdpwd\Tds\tcp],也是找到PortNumber，同上面一樣修改一下端口值3390就可以了

注意：修改完畢后锈候，重啟服務(wù)器薄料，才會(huì)生效。 以下為3389端口登錄工具介紹：

1.點(diǎn)擊查看Windows 登錄方式

2.點(diǎn)擊查看Linux 登錄方式

3.?點(diǎn)擊查看Mac 登錄方式(客戶端連接服務(wù)器只支持默認(rèn)3389端口)

3）騰訊云平臺(tái)安全組功能

騰訊云平臺(tái)有安全組功能泵琳，里面您只需要放行業(yè)務(wù)協(xié)議和端口摄职，不建議放行所有協(xié)議所有端口，參考文檔：https://cloud.tencent.com/document/product/215/20398

4) 帳戶鎖定策略

對(duì)于采用靜態(tài)口令認(rèn)證技術(shù)的設(shè)備获列，應(yīng)配置當(dāng)用戶連續(xù)認(rèn)證失敗次數(shù)超過(guò)10次后谷市，鎖定該用戶使用的帳戶。

操作步驟

打開(kāi) 控制面板 > 管理工具 > 本地安全策略击孩，在 帳戶策略 > 帳戶鎖定策略 中迫悠，配置 帳戶鎖定閾值 不大于10次。

帳戶鎖定策略

5）賬戶安全

Windows服務(wù)器一般默認(rèn)情況下會(huì)禁用guest賬戶巩梢，同時(shí)服務(wù)器只保留guest(禁用狀態(tài))和administrator(管理員)賬戶创泄。

禁用Guest賬戶。

禁用或刪除其他無(wú)用賬戶（建議先禁用賬戶三個(gè)月括蝠，待確認(rèn)沒(méi)有問(wèn)題后刪除鞠抑。）

操作步驟

打開(kāi) 控制面板 > 管理工具 > 計(jì)算機(jī)管理，在 系統(tǒng)工具 > 本地用戶和組 > 用戶 中忌警，雙擊 Guest 帳戶搁拙，在屬性中選中 帳戶已禁用，單擊 確定。

賬戶安全

6） 不顯示最后的用戶名

配置登錄登出后箕速，不顯示用戶名稱酪碘。

操作步驟：

打開(kāi) 控制面板 > 管理工具 > 本地安全策略，在 本地策略 > 安全選項(xiàng) 中盐茎，雙擊 交互式登錄:不顯示最后的用戶名婆跑，選擇 已啟用 并單擊 確定。

不顯示最后的用戶名

7)? 授權(quán)

遠(yuǎn)程關(guān)機(jī)

在本地安全設(shè)置中庭呜，從遠(yuǎn)端系統(tǒng)強(qiáng)制關(guān)機(jī)權(quán)限只分配給Administrators組滑进。

操作步驟

打開(kāi)控制面板>管理工具>本地安全策略，在本地策略>用戶權(quán)限分配中募谎，配置從遠(yuǎn)端系統(tǒng)強(qiáng)制關(guān)機(jī)權(quán)限只分配給Administrators組扶关。

本地關(guān)機(jī)

在本地安全設(shè)置中關(guān)閉系統(tǒng)權(quán)限只分配給Administrators組。

操作步驟

打開(kāi)控制面板>管理工具>本地安全策略数冬，在本地策略>用戶權(quán)限分配中节槐，配置關(guān)閉系統(tǒng)權(quán)限只分配給Administrators組。

用戶權(quán)限指派

在本地安全設(shè)置中拐纱，取得文件或其它對(duì)象的所有權(quán)權(quán)限只分配給Administrators組铜异。

操作步驟

打開(kāi)控制面板>管理工具>本地安全策略，在本地策略>用戶權(quán)限分配中秸架，配置取得文件或其它對(duì)象的所有權(quán)權(quán)限只分配給Administrators組揍庄。

授權(quán)帳戶登錄

在本地安全設(shè)置中，配置指定授權(quán)用戶允許本地登錄此計(jì)算機(jī)东抹。

操作步驟

打開(kāi)控制面板>管理工具>本地安全策略蚂子，在本地策略>用戶權(quán)限分配中，配置允許本地登錄權(quán)限給指定授權(quán)用戶缭黔。

授權(quán)帳戶從網(wǎng)絡(luò)訪問(wèn)

在本地安全設(shè)置中食茎，只允許授權(quán)帳號(hào)從網(wǎng)絡(luò)訪問(wèn)（包括網(wǎng)絡(luò)共享等，但不包括終端服務(wù)）此計(jì)算機(jī)馏谨。

操作步驟

打開(kāi)控制面板>管理工具>本地安全策略别渔，在本地策略>用戶權(quán)限分配中，配置從網(wǎng)絡(luò)訪問(wèn)此計(jì)算機(jī)權(quán)限給指定授權(quán)用戶惧互。

8) 日志配置操作

日志配置

審核登錄

設(shè)備應(yīng)配置日志功能哎媚，對(duì)用戶登錄進(jìn)行記錄。記錄內(nèi)容包括用戶登錄使用的帳戶壹哺、登錄是否成功抄伍、登錄時(shí)間艘刚、以及遠(yuǎn)程登錄時(shí)管宵、及用戶使用的IP地址。

操作步驟

打開(kāi) 控制面板 > 管理工具 > 本地安全策略，在 本地策略 > 審核策略 中箩朴，設(shè)置 審核登錄事件岗喉。

審核策略

啟用本地安全策略中對(duì)Windows系統(tǒng)的審核策略更改，成功和失敗操作都需要審核炸庞。

操作步驟

打開(kāi) 控制面板 > 管理工具 > 本地安全策略钱床，在 本地策略 > 審核策略 中，設(shè)置 審核策略更改埠居。

審核對(duì)象訪問(wèn)

啟用本地安全策略中對(duì)Windows系統(tǒng)的審核對(duì)象訪問(wèn)查牌，成功和失敗操作都需要審核。

操作步驟

打開(kāi) 控制面板 > 管理工具 > 本地安全策略滥壕，在 本地策略 > 審核策略 中纸颜，設(shè)置 審核對(duì)象訪問(wèn)。

審核事件目錄服務(wù)訪問(wèn)

啟用本地安全策略中對(duì)Windows系統(tǒng)的審核目錄服務(wù)訪問(wèn)绎橘，僅需要審核失敗操作胁孙。

操作步驟

打開(kāi) 控制面板 > 管理工具 > 本地安全策略，在 本地策略 > 審核策略 中称鳞，設(shè)置 審核目錄服務(wù)器訪問(wèn)涮较。

審核特權(quán)使用

啟用本地安全策略中對(duì)Windows系統(tǒng)的審核特權(quán)使用，成功和失敗操作都需要審核冈止。

操作步驟

打開(kāi) 控制面板 > 管理工具 > 本地安全策略狂票，在 本地策略 > 審核策略 中，設(shè)置 審核特權(quán)使用熙暴。

審核系統(tǒng)事件

啟用本地安全策略中對(duì)Windows系統(tǒng)的審核系統(tǒng)事件苫亦，成功和失敗操作都需要審核。

操作步驟

打開(kāi) 控制面板 > 管理工具 > 本地安全策略怨咪，在 本地策略 > 審核策略 中屋剑，設(shè)置 審核系統(tǒng)事件。

審核帳戶管理

啟用本地安全策略中對(duì)Windows系統(tǒng)的審核帳戶管理诗眨，成功和失敗操作都要審核唉匾。

操作步驟

打開(kāi) 控制面板 > 管理工具 > 本地安全策略，在 本地策略 > 審核策略 中匠楚，設(shè)置 審核帳戶管理巍膘。

審核過(guò)程追蹤

啟用本地安全策略中對(duì)Windows系統(tǒng)的審核進(jìn)程追蹤，僅失敗操作需要審核芋簿。

操作步驟

打開(kāi) 控制面板 > 管理工具 > 本地安全策略峡懈，在 本地策略 > 審核策略 中，設(shè)置 審核進(jìn)程追蹤与斤。

9) 備份重要數(shù)據(jù)

推薦使用云硬盤做數(shù)據(jù)備份肪康，詳細(xì)見(jiàn)視頻 (https://www.bilibili.com/video/av93747306)

使用cosbrowser (https://console.cloud.tencent.com/cos5/cosbrowser)

10) 其他配置

防病毒管理

Windows系統(tǒng)需要安裝防病毒軟件荚恶。如安裝“騰訊管家”預(yù)防病毒或及時(shí)的漏洞更新。

漏洞相關(guān)

詳細(xì)見(jiàn)https://console.cloud.tencent.com/ssav2/vulner

設(shè)置屏幕保護(hù)密碼和開(kāi)啟時(shí)間

設(shè)置從屏幕保護(hù)恢復(fù)時(shí)需要輸入密碼磷支，并將屏幕保護(hù)自動(dòng)開(kāi)啟時(shí)間設(shè)定為五分鐘谒撼。

操作步驟

啟用屏幕保護(hù)程序，設(shè)置等待時(shí)間為 5分鐘雾狈，并啟用 在恢復(fù)時(shí)使用密碼保護(hù)廓潜。

限制遠(yuǎn)程登錄空閑斷開(kāi)時(shí)間

對(duì)于遠(yuǎn)程登錄的帳戶，設(shè)置不活動(dòng)超過(guò)時(shí)間15分鐘自動(dòng)斷開(kāi)連接善榛。

操作步驟

打開(kāi) 控制面板 > 管理工具 > 本地安全策略辩蛋，在 本地策略 > 安全選項(xiàng) 中，設(shè)置 Microsoft網(wǎng)絡(luò)服務(wù)器：暫停會(huì)話前所需的空閑時(shí)間數(shù)量 屬性為15分鐘移盆。

End...

參考資料

Windows操作系統(tǒng)安全加固:https://help.aliyun.com/knowledge_detail/49781.html