企業服務器安全篇之Windows Server1.重要的賬戶安全策略2.網絡訪問的安全選項3.危險服務和端口的關閉4.系統的安全保護加固

發布時間：2023-07-03 01:49:32 作者：網友整理

本文主要介紹以Microsoft的windows Server 2019 ，版本：Datacenter(Domain Controller)安全加固保護.

企業隨著規模不斷擴大，業務增多，信息安全建設是企業里一條只有重點沒有終點的建設長路。在大多數企業都應用到了Microsoft的Domain Controller來管理計算機，企業里各類應用系統也使用了Domain 作為系統的SSO,統一身份認證和權限管理，凸顯其重要性，一旦域控失陷，內部域內的Windows服務器則全部失陷，安全從開始就是一個亙古不變的話題，沒有絕對安全，只有相對安全。以下從下面幾點來講Windows的服務器如何進行安全加固。

1.重要的賬戶安全策略

2.網絡訪問的安全選項

3.危險服務和端口的關閉

4.系統的安全保護加固

Windows Server 2019服務器管理器

1. Domain user全局策略之密碼策略

打開組策略管理器，右擊“開始”菜單，在“運行”中輸入“gpmc.msc”命令打開組策略管理器，找到域名下的 Default Domain Policy并編輯.依次打開“計算機配置>Windows設置>安全設置>賬戶策略>密碼策略”。

域用戶的賬戶密碼策略

1.1.1 密碼必須符合復雜性要求，啟用，要求密碼符合復雜性要求。

1.1.2 密碼長度最小值，密碼字符長度至少≥8個字符。

1.1.3 密碼最短使用期限，0天。

1.1.4 密碼最長使用期限，90天。

1.1.5 密碼強制歷史，5個，最近5個密碼不能使用。

1.2 全局策略之賬戶鎖定策略

依次打開“計算機配置>Windows設置>安全設置>賬戶策略>賬戶鎖定策略”。

域用戶的賬戶密碼鎖定策略

1.2.1 賬戶鎖定時間30分鐘。

1.2.2 賬戶鎖定閾值5次無效登錄。

1.2.3 重置賬戶鎖定計算器30分鐘之后。

1.3 遠程會話

依次打開“計算機配置>策略>管理模板>Windows組件>遠程桌面服務>遠程桌面會話主機>會話時間限制”。

RDP遠程會話

1.3.1設置活動的遠程桌面服務會話時間限制，5分鐘。

2. 網絡訪問的安全選項

安全選項策略

依次打開“計算機配置>策略>Windows設置>安全設置>本地策略>安全選項”。

2.1.1 關機：清除虛擬內存頁面文件，Enable。

2.1.2 交互式登錄：不顯示最后的用戶名，Enable。

2.1.3 交互式登錄：計算機不活動限制300s。

2.1.4 交互式登錄：提醒用戶在過期之前更改密碼，7天或14天。

2.1.5 網絡訪問：可匿名訪問的共享，清空原有配置，配置為空，。

2.1.6 網絡訪問：可匿名訪問的命名管道，清空原有配置，配置為空。

2.1.7 網絡訪問：可遠程訪問的注冊表路徑，清空默認，不定義路徑，不允許訪問。

2.1.8 網絡訪問：可遠程訪問的注冊表路徑和子路徑，同2.1.6。

2.1.9 賬戶：來賓賬戶狀態，Disabled。

2.1.10 賬戶：重命名系統管理賬戶，系統默認賬戶Administrator,如重命名為JenniFer。

2.1.11 賬戶：阻止Microsoft賬戶，Enable，用戶不能添加Microsoft賬戶或使用該賬戶登錄。

注：第2.1.10條，禁用Administrator賬戶前，先添加其他用戶到Administrator用戶組，確認其他賬戶能登錄服務器后再Disabled，Administrator是用戶中權限最高的，也是從外暴力破解Administrator用戶密碼的第一個賬戶，使用張冠李戴來迷惑對方。若不是公司內部維護的服務器，修改后可能導致不能訪問，不確定的情況下最后不要修改。