type
status
date
slug
summary
tags
category
icon
password

1. 操作系统和补丁加固

a. 安装最新的补丁和更新

  1. 打开“开始”菜单,进入“控制面板”。
  1. 选择“Windows Update”,点击“检查更新”。
  1. 系统会自动检查可用的更新,点击“安装更新”来完成所有安全补丁的安装。

b. 禁用不必要的功能和组件

  1. 打开“服务器管理器”。
  1. 在左侧选择“角色”或“功能”。
  1. 找到不需要的角色或功能,右键点击并选择“删除角色”或“删除功能”。
  1. 通过向导删除不必要的角色或功能。

2. 用户权限和帐户安全

a. 禁用默认管理员帐户

  1. 打开“开始”菜单,输入 gpedit.msc 并按回车。
  1. 导航到:计算机配置 -> Windows 设置 -> 安全设置 -> 本地策略 -> 安全选项
  1. 找到“帐户:重命名管理员帐户”选项,双击它并重命名管理员帐户为其他名称。

b. 使用强密码策略

  1. 继续使用 gpedit.msc
  1. 导航到:计算机配置 -> Windows 设置 -> 安全设置 -> 帐户策略 -> 密码策略
  1. 设置以下策略:
      • 密码必须符合复杂性要求:启用。
      • 密码长度最短:设置为至少 12 个字符。
      • 最大密码有效期:设置为 60 天或根据需求。
      • 密码历史记录:设置为至少 5 个历史密码。

c. 最小权限原则

  1. 打开“计算机管理”,导航到“本地用户和组”。
  1. 为每个用户分配最低权限,仅将管理员权限分配给必要的用户组或用户。
  1. 避免普通用户使用高权限帐户登录。

d. 禁用 Guest 帐户

  1. 继续在 gpedit.msc 中,导航到:本地策略 -> 用户权利分配
  1. 找到“拒绝本地登录”策略,双击并添加 Guest 帐户。

3. 网络和防火墙配置

a. 启用 Windows 防火墙

  1. 打开“控制面板” -> “系统和安全” -> “Windows 防火墙”。
  1. 确保防火墙已启用,并点击左侧“高级设置”。
  1. 在“入站规则”和“出站规则”中根据需求添加或修改规则。

b. 配置防火墙规则

  1. 在“高级设置”下,选择“入站规则”或“出站规则”。
  1. 创建新规则并选择“端口”。
  1. 指定要允许或阻止的端口(如 3389、80、443 等)。
  1. 完成后,确保只开放必要的端口,其他端口都应封闭。

c. 禁用 ICMP 回显请求

  1. 继续在“高级设置”下,选择“入站规则”。
  1. 找到“文件和打印机共享(回显请求 - ICMPv4-In)”规则,右键点击选择“禁用”。

4. 远程桌面服务 (RDP) 加固

a. 限制远程桌面访问

  1. 打开注册表编辑器 (regedit)。
  1. 导航到:HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\TerminalServer\WinStations\RDP-Tcp\PortNumber
  1. 双击 PortNumber,修改端口号为一个自定义值(如 3391)。
  1. 在防火墙中开放新的 RDP 端口,关闭 3389。

b. 启用网络级别身份验证 (NLA)

  1. 右键点击“计算机” -> “属性” -> “远程设置”。
  1. 选择“仅允许运行使用网络级别身份验证的远程桌面的计算机连接”。

c. 启用双因素身份验证 (2FA)

  1. 使用第三方服务(如 Duo、Google Authenticator)或通过 RDP 网关服务器进行双因素身份验证配置。

5. 审核策略和日志管理

a. 启用审核日志记录

  1. 使用 gpedit.msc 导航到:计算机配置 -> Windows 设置 -> 安全设置 -> 本地策略 -> 审核策略
  1. 在每个选项中启用“成功”和“失败”的事件审核,尤其是登录事件、帐户管理事件等。

b. 保护日志文件

  1. 打开日志文件位置:C:\Windows\System32\winevt\Logs
  1. 设置文件夹权限,仅允许管理员访问。
  1. 定期备份这些日志文件,以防止日志丢失。

c. 日志分析和报警

  1. 安装 Microsoft System Center 或类似 SIEM 工具进行日志分析。
  1. 设置报警机制,在发现异常行为时及时通知管理员。

6. 服务加固

a. 禁用不必要的服务

  1. 打开“控制面板” -> “管理工具” -> “服务”。
  1. 找到不需要的服务(如 Telnet、FTP、SNMP 等),右键选择“属性”。
  1. 将启动类型设置为“禁用”。

b. 使用安全协议

  1. 对于 HTTP 服务,将站点配置为使用 HTTPS:
      • 在 IIS 管理器中,选择站点 -> “绑定” -> 添加绑定 -> 选择 HTTPS 并使用 SSL 证书。
  1. 对于其他协议,如 FTP,可配置为使用 SFTP 或其他加密传输协议。

7. 组策略加固

a. 应用严格的组策略

  1. 继续使用 gpedit.msc,在本地策略中设置用户和安全策略:
      • 限制远程桌面用户的会话时长。
      • 配置帐户锁定策略,如 5 次错误登录后锁定帐户 30 分钟。

b. 密码复杂性

  1. 在“密码策略”下启用复杂性要求,并设置最低密码长度为 12。

8. 安装并配置杀毒软件

a. 安装杀毒软件

  1. 下载并安装企业级杀毒软件,如 Symantec、McAfee 或 Microsoft Security Essentials。
  1. 启用实时保护,设置自动扫描时间表。

9. 数据保护和加密

a. 启用 BitLocker 加密

  1. 打开“控制面板” -> “系统和安全” -> “BitLocker 驱动器加密”。
  1. 选择需要加密的驱动器,点击“启用 BitLocker”,并按照向导设置密码或 USB 密钥。

b. 使用加密传输协议

  1. 对于 Web 服务,使用 TLS 1.2 或更高版本的加密。
      • 在 IIS 中,打开“SSL 设置”,选择“需要 SSL”,并配置强制 TLS。

10. 备份策略

a. 定期备份

  1. 打开“控制面板” -> “系统和安全” -> “Windows Server Backup”。
  1. 设置定期备份计划,包括系统状态和数据文件备份。

b. 异地备份和容灾恢复

  1. 设置备份目标为异地存储位置(如云存储或异地硬盘)。
  1. 定期测试备份的可恢复性。

11. 物理安全

a. 限制物理访问

  1. 仅允许授权人员进入服务器机房,使用门禁卡或指纹识别等方式控制访问。

b. 使用 BIOS/UEFI 密码保护

  1. 在启动时按 DELF2 进入 BIOS 设置。
  1. 设置 BIOS 或 UEFI 密码,防止未经授权的设置修改。

12. 定期安全评估

a. 渗透测试和漏洞扫描

  1. 使用工具如 OpenVAS、Nessus 或其他安全扫描工具,定期对系统进行漏洞扫描。
  1. 分析扫描结果,并修复发现的漏洞。

b. 持续监控和修复

  1. 安装监控工具(如 SolarWinds 或 Zabbix)来监控服务器状态,设置报警规则。
Wordpress 头像无法显示如何解决网络安全 Windows Server相关
  • Twikoo