【Windows】Windows服务器安全加固

Windows服务器需要进行安全加固，需要注意的地方有哪些？以下以windows server 2016为例

一、密码策略

cmd-->运行gpedit.msc

1、开启密码复杂度

Windows设置->安全设置->账户策略-密码策略。设置密码必须符合复杂性要求配置为启用

如果启用此策略，密码必须符合下列最低要求:

1、不能包含用户的帐户名，不能包含用户姓名中超过两个连续字符的部分

2、至少有六个字符长

3、包含以下四类字符中的三类字符:

•     英文大写字母(A 到 Z)

•     英文小写字母(a 到 z)

•     10 个基本数字(0 到 9)

•     非字母字符(例如 !、$、#、%)

4、在更改或创建密码时执行复杂性要求。

2、密码长度最小值

Windows设置->安全设置->账户策略-密码策略。将密码长度最小值配置为8个或以上的字符

3、密码最短使用天数

Windows设置->安全设置->账户策略-密码策略

密码最短使用期限为：1天

4、密码最长使用期限

Windows设置->安全设置->账户策略-密码策略

密码最长使用期限配置为：30-90天

注：安全最佳操作是将密码设置为 30 到 90 天后过期，具体取决于你的环境。这样，攻击者用来破解用户密码以及访问网络资源的时间将受到限制。

5、强制密码历史

Windows设置->安全设置->账户策略-密码策略

将强制密码历史配置为：5个记住的密码

6、禁用可还原加密

Windows设置->安全设置->账户策略-密码策略

用可还原的加密来存储密码配置为：已禁用

二、账户锁定策略

该配置主要是防止攻击者使用字典暴力破解密码

账户锁定阈值：5次

账户锁定时间：30分钟 

重置账户锁定计数器：30分钟

配置生效后，若输错密码超过5次，则锁定30分钟。30分钟后可以重新尝试登录

三、修改管理员默认用户名

cmd-->运行gpedit.msc

计算机配置->Windows设置->安全设置->本地策略->安全选项。在右侧“账户：重命名系统管理员账户”。

四、查看是否有多余的用户

cmd->net user查看

五、开启日志审计

cmd->secpol.msc。安全设置->本地策略->审核策略。打开右边选项

六、开启防火墙，关闭非必要端口

建议对外提供服务的端口除外，其他端口全部关闭，需要集群之间交互或者对接第三方服务的端口开启白名单。

具体方法可以参照往期文章：

https://mp.weixin.qq.com/s/3Qi_eX5lV-3GTRB9EKwNvw?token=2081125451&lang=zh_CN

七、关闭非必要服务

例如关闭print spooler服务，server服务

cmd->输入services.msc

找到服务，双击打开，启动类型选择：禁用。随后选择确定

八、修改常用服务的端口

例如修改远程桌面登录端口（修改前建议先在防火墙添加端口放行规则）

打开注册表编辑器‌：按下键盘上的“Win + R”键，输入“regedit”并回车，打开注册表编辑器。

‌修改1：HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\Wds\rdpwd\Tds\tcp目录，双击PortNumber值，将其修改为你想要的端口号（例如33899）。

修改2：HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp目录，同样双击PortNumber值，将其修改为相同的端口号。

九、关注官网的安全更新，及时进行高危漏洞修复

具体安装了何种补丁，可以通过cmd->systeminfo查看

十、安装杀毒软件

可使用市面上例如火绒、360等安全软件，使用时请注意授权问题