溫馨提示×
您好,登錄后才能下訂單哦!
點擊 登錄注冊 即表示同意《億速云用戶服務條款》
您好,登錄后才能下訂單哦!
今天就跟大家聊聊有關Windows 2016 服務器安全設置步驟,可能很多人都不太了解,為了讓大家更加了解,小編給大家總結了以下內容,希望大家根據這篇文章可以有所收獲。
系統更新配置
如果你覺得默認的Windows更新服務器比較慢,或者如果選擇了阿里云或騰訊云服務器的話,可以更換Windows服務器。
右鍵開始菜單圖標,選擇“運行”,然后輸入gpedit.msc,依次選擇 “計算機配置” - “管理模板” - “Windows 組件” - “Windows 更新”,雙擊“指定 Intranet Microsoft 更新服務位置”:
選中 已啟用,然后設置檢測更新的Intranet更新服務和統計服務器,如果是阿里云經典網絡可以設置成 http://windowsupdate.aliyun-inc.com,阿里云VPC網絡可以設置成 http://update.cloud.aliyuncs.com,騰訊云可以設置成 http://windowsupdate.tencentyun.com,備用下載服務器設置成 http://wsus.neu.edu.cn。
雙擊“允許自動更新立即安裝”,選擇“已啟用”啟用自動更新。然后雙擊“配置自動更新”,選中“已啟用”并配置成“自動下載并通知安裝”,如下圖:
設置完上述兩步之后,需要以管理員角色執行下面的命令:
gpupdate /force
解決執行自動更新時出現的 0x8024401f 和 0x8024401c 錯誤
完成上述操作之后,選擇開始菜單-設置,執行檢查更新,檢查一下是否正常。
如果出現 0x8024401f 或 0x8024401c 錯誤的話,以管理員身份執行下面的命令:
net stop wuauserv
reg delete HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate
net start wuauserv
在“運行”中執行secpol.msc命令,打開“本地安全策略”,進行如下設置:
(1)“賬戶設置”-“密碼策略”
設置合適的密碼復雜度,增強密碼的強度。參考設置如下:
(2)“賬戶設置”-“賬戶鎖定策略”
設置賬號密碼出錯之后的鎖定時間,需要先設置“賬戶鎖定閥值”才能設置其他兩項,參考設置如下:
(3)“本地策略”-“安全選項”
將“交互式登錄: 不顯示最后的用戶名”設置為“啟用”狀態。
將賬戶安全設置完成之后,再對系統的賬號進行優化。在“運行”中執行compmgmt.msc命令,打開“計算機管理”,然后在“系統工具”-“本地用戶和組”-“用戶”中查看是否有不用的賬戶,將不用的賬戶刪除或停用。除此之外,還要在命令行中使用 net user 命令查看一遍有沒有多余的賬號(有的賬號會在計算機管理中隱藏),可以使用 net user <username> /del 命令刪除對應的賬號。
將默認的管理員用戶名 Administrator 進行重命名,并且建議重新設置新的管理員密碼。
系統休眠重新激活之后,需要密碼才能登錄系統。在“運行”中輸入 control userpasswords2,打開“用戶賬戶”,然后啟用“要是用本機,用戶必須輸入用戶名和密碼”的選項。
將默認的遠程終端端口3389修改成其他的端口。運行regedit打開注冊表程序,需要修改注冊表的兩個地方:
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Terminal Server\Wds\repwd\Tds\tcp
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\TerminalServer\WinStations\RDP-Tcp
將上述兩個地方右側 PortNumber的值修改成新的端口號(建議將基數設置為十進制):
設置完成之后關閉注冊表,然后重啟服務器之后即可生效。如果設置防火墻的話,注意新端口加入防火墻的白名單中。
在“運行”中執行secpol.msc,打開“本地安全策略”窗口,依次打開“本地策略”-“用戶權限分配”。
(1)雙擊右側的“從遠程系統強制關機”,只保留“Administrators組”并將其他用戶組刪除;
(2)雙擊右側的“關閉系統”,只保留“Administrators組”并將其他用戶組刪除;
(3)雙擊右側的“取得文件或其它對象的所有權”,只保留“Administrators組”并將其他用戶組刪除;
指定特定的管理員賬號而不是Administrtors組,將增強登錄系統的安全性,就算通過漏洞創建了Administrtors組的賬號,也無法登錄系統。
在“運行”中執行secpol.msc,打開“本地安全策略”窗口,依次打開“本地策略”-“用戶權限分配”。雙擊右側的“從網絡訪問此計算機”,將所有的用戶組刪除,然后點擊下面的“添加用戶或組...”按鈕,點擊“高級”按鈕,然后點擊“立即查詢”按鈕,從查詢的結果中選擇管理員的賬號,然后依次確定保存;
在“運行”中執行 services.msc 命令,打開“服務”,根據情況建議將以下服務改為禁用:
Application Layer Gateway Service(為應用程序級協議插件提供支持并啟用網絡/協議連接)
Background Intelligent Transfer Service(利用空閑的網絡帶寬在后臺傳輸文件。如果服務被停用,例如Windows Update 和 MSN Explorer的功能將無法自動下載程序和其他信息)
Computer Browser(維護網絡上計算機的更新列表,并將列表提供給計算機指定瀏覽)
DHCP Client
Diagnostic Policy Service
Distributed Link Tracking Client
Distributed Transaction Coordinator
DNS Client
Print Spooler(管理所有本地和網絡打印隊列及控制所有打印工作)
Remote Registry(使遠程用戶能修改此計算機上的注冊表設置)
Server(不使用文件共享可以關閉,關閉后再右鍵點某個磁盤選屬性,“共享”這個頁面就不存在了)
Shell Hardware Detection
TCP/IP NetBIOS Helper(提供 TCP/IP (NetBT) 服務上的NetBIOS 和網絡上客戶端的NetBIOS 名稱解析的支持,從而使用戶能夠共享文件、打印和登錄到網絡)
Task Scheduler(使用戶能在此計算機上配置和計劃自動任務)
Windows Remote Management(47001端口,Windows遠程管理服務,用于配合IIS管理硬件,一般用不到)
Workstation(創建和維護到遠程服務的客戶端網絡連接。如果服務停止,這些連接將不可用)
Windows 2016中有一個“同步主機_xxx”的服務,后面的xxx是一個數字,每個服務器不同。需要手動關閉,操作如下:
首先在“運行”中執行regedit打開注冊表,然后在 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services 下面找到 OneSyncSvc、OneSyncSvc_xxx、UserDataSvc和UserDataSvc_xxx四個項,依次將其中的 start 值修改為4,退出注冊表然后重啟服務器即可。
如果在上面停止并禁用 Server服務的話就不會出現IPC共享了,執行 net share 命令之后會提示“沒有啟動Server服務”,否則會類似C$、D$等默認共享,可以使用 net share C$ /del 命令進行刪除。
在注冊表中找到 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters,在右側空白處右鍵,依次選擇“新建”-“DWORD項”,名稱設置為AutoShareServer,鍵值設置為0。
(1)關閉139端口
依次打開“控制面板”-“查看網絡狀態和任務”,然后點擊左側的“更改適配器設置”,在網絡連接中雙擊激活的網卡,點擊“屬性”按鈕,雙擊“Internet 協議版本 4(TCP/IPv4)”,在打開的窗口中點擊右下角的“高級”按鈕,然后選擇上面的“WINS”標簽,在“NetBIOS設置”中選擇“禁用 TCP/IP上的NetBIOS”,最后依次“確定”。
關閉此功能,你服務器上所有共享服務功能都將關閉,別人在資源管理器中將看不到你的共享資源。這樣也防止了信息的泄露。
(2)關閉445端口
445端口是netbios用來在局域網內解析機器名的服務端口,一般服務器不需要對LAN開放什么共享,所以可以關閉。打開注冊表,在HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NetBT\Parameters位置,在右側右鍵并依次選擇“新建”-“Dword值”,名稱設置為SMBDeviceEnabled,值設置為0。
(3)關閉5355端口(LLMNR)
LLMNR本地鏈路多播名稱解析,也叫多播DNS,用于解析本地網段上的名稱,可以通過組策略關閉將其關閉。打開“運行”,輸入gpedit.msc打開“本地組策略編輯器”,依次選擇“計算機配置”-“管理模板”-“網絡”-“DNS客戶端”,在右側雙擊“關閉多播名稱解析”項,然后設置為“已禁用”。
在“運行”中執行 secpol.msc 打開“本地安全策略”,打開“安全設置”-“本地策略”-“安全選項”,設置下面的策略:
網絡訪問: 不允許 SAM 帳戶的匿名枚舉:已啟用
網絡訪問: 不允許 SAM 帳戶和共享的匿名枚舉:已啟用
網絡訪問: 將 Everyone 權限應用于匿名用戶:已禁用
帳戶: 使用空白密碼的本地帳戶只允許進行控制臺登錄:已啟用
設置完成之后,在命令行(管理員身份)中執行 gpupdate /force 使其立即生效。
增大日志量大小,避免由于日志文件容量過小導致日志記錄不全。在“運行”中執行eventvwr.msc命令,打開“事件查看器”窗口,打開“Windows 日志”文件,分別右鍵下面的“應用程序”、“安全”和“系統”項,選擇“屬性”,修改“日志最大大小”為 20480。
對系統事件進行記錄,在日后出現故障時用于排查審計。在“運行”中執行secpol.msc命令,打開“本地安全策略”窗口,依次選擇“安全設置”-“本地策略”-“審核策略”,建議將里面的項目設置如下:
審核策略更改:成功
審核登錄事件:成功,失敗
審核對象訪問:成功
審核進程跟蹤:成功,失敗
審核目錄服務訪問:成功,失敗
審核系統事件:成功,失敗
審核帳戶登錄事件:成功,失敗
審核帳戶管理:成功,失敗
上面的項目設置成功之后,在“運行”中執行 gpupdate /force 命令使設置立即生效。
如果使用了云服務器(如阿里云、騰訊云等),云服務商會提供一個防火墻工具,通常是放在路由級別的,使用起來更方便,如果誤操作的話也不會將自己排除在服務器上,因此建議優先采用云服務商提供的防火墻。
打開“控制面板”,依次選擇“系統和安全”-“Windows防火墻”,選擇左側的“啟用或關閉Windows防火墻”,根據需要選擇啟用或關閉Windows防火墻。如果采用了云服務商提供的防火墻的話,建議將Windows防火墻關閉。PS:開啟防火墻之前需要允許遠程登錄的端口訪問,否則遠程連接會中斷!
這里以Windows防火墻為例進行說明(其實云服務商提供的防火墻規則是類似的),前提是防火墻是啟用的。在“運行”中執行 WF.msc 打開“高級安全 Windows 防火墻”,點擊左側的“入站規則”,然后點擊右側的“新建規則...”打開“新建入站規則向導”窗口,選擇“端口”然后點擊“下一步”按鈕;端口類型選擇“TCP”,下面選擇“特定本地端口”,里面輸入設置的遠程登錄端口以及Web端口,如:80, 433, 3389,然后點擊“下一步”按鈕;選擇“允許連接”,然后點擊“下一步”按鈕;選中所有的選項,然后點擊“下一步”;最后輸入一個規則的名稱,比如“允許遠程連接和Web服務”,最后點擊“完成”保存。
按照上面的步驟打開“高級安全 Windows 防火墻”并選中左側的“入站規則”,從默認的規則里面雙擊“文件和打印機共享(回顯請求 - ICMPv4-In)”,在“常規”中選中“已啟用”,并在“操作”中選中“阻止連接”,最后“確定”保存即可。
打開“控制面板”,依次進入“外觀和個性化”-“個性化”-“屏幕保護程序”,選擇某一個屏保,然后選中“在恢復時顯示登錄屏幕”,并將等待時間設置為10分鐘。
在“運行”中執行gpedit.msc命令,依次打開“計算機配置”-“掛你模板”-“所有設置”,雙擊“關閉自動播放”,然后選擇“已啟用”。
在windows server 2008/2016操作系統下部署weblogic web application,部署完成后進行測試,發現測試頁的地址使用的是隧道適配器的地址,而不是靜態的ip地址,而且所在的網絡并沒有ipv6接入,因此決定將ipv6和隧道適配器禁用,操作如下:
禁用ipv6很簡單,進入 控制面板\網絡和 Internet\網絡和共享中心 單擊面板右側“更改適配器設置”進入網絡連接界面,選擇要設置的連接,右鍵選擇屬性,取消Internet 協議版本 6 (TCP/IPv6) 前面的選擇框確定即可。
要禁用隧道適配器需要更改注冊表信息,操作如下:
開始 -> 運行 - > 輸入 Regedit 進入注冊表編輯器
定位到:
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip6\Parameters]
右鍵點擊 Parameters,選擇新建 -> DWORD (32-位)值
命名值為 DisabledComponents,然后修改值為 ffffffff (16進制)
重啟后生效
DisableComponents 值定義:
0, 啟用所有 IPv 6 組件,默認設置
0xffffffff,禁用所有 IPv 6 組件, 除 IPv 6 環回接口
0x20, 以前綴策略中使用 IPv 4 而不是 IPv 6
0x10, 禁用本機 IPv 6 接口
0x01, 禁用所有隧道 IPv 6 接口
0x11, 禁用除用于 IPv 6 環回接口所有 IPv 6 接口
OVER ! 重啟下服務器吧
看完上述內容,你們對Windows 2016 服務器安全設置步驟有進一步的了解嗎?如果還想了解更多知識或者相關內容,請關注億速云行業資訊頻道,感謝大家的支持。
免責聲明:本站發布的內容(圖片、視頻和文字)以原創、轉載和分享為主,文章觀點不代表本網站立場,如果涉及侵權請聯系站長郵箱:is@yisu.com進行舉報,并提供相關證據,一經查實,將立刻刪除涉嫌侵權內容。
