最近公司网站升级了Windows2016服务器,选择安装最新版本的Windows2016。在使用Windowsserver或者Windows2003系统之前,发现有相当多的改动,依次记录下来,以备后用。
它与2008年的服务器安全设置非常相似。
系统更新配置 更换Windows更新服务器如果你觉得默认的Windowsupdate服务器慢,或者你选择了阿里云或者腾讯云服务器,你可以更换Windows服务器。
右键单击开始菜单图标,选择运行,然后输入gpedit.msc,然后选择计算机配置-管理模板-Windows组件-WindowsUpdate,双击指定IntranetMicrosoftUpdate服务位置:
选择“已启用”,然后设置Intranet更新服务和统计服务器来检测更新。如果是阿里云经典网,可以设置为http://windowsupdate.aliyun-inc.com,阿里云VPC网可以设置为http://update.cloud.aliyuncs.com。腾讯云可以设置为http://windowsupdate.tencentyun.com,备份下载服务器可以设置为http://wsus.neu.edu.cn。
启用并允许自动更新双击“允许立即安装自动更新”并选择“启用”以启用自动更新。然后双击“配置自动更新”,选择“启用”,配置为“自动下载并通知安装”,如下图所示:
设置完以上两个步骤后,您需要以管理员身份执行以下命令:
gpupdate/force
解决执行自动更新时出现的0x8024401f和0x8024401c错误
完成上述 *** 作后,选择开始菜单-设置,执行检查更新,检查是否正常。
如果出现错误0x8024401f或0x8024401c,请以管理员身份执行以下命令:
netstopwauserv
regdeleteHKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Windowsupdate
netstartwauserv
在“运行”中执行secpol.msc命令,打开“本地安全策略”,进行如下设置:
(1)“账户设置”-“密码策略”
设置合适的密码复杂度,加强密码强度。参考设置如下:
(2)“账户设置”——“账户锁定策略”
要设置账户密码出错后的锁定时间,需要先设置“账户锁定阈值”,然后才能设置其他两项。参考设置如下:
(3)“本地策略”-“安全选项”
将“交互登录:不显示最后一个用户名”设置为“已启用”状态。
设置账户安全后,优化系统的账号。在运行中执行命令compmgmt.msc,打开计算机管理,然后在系统工具-本地用户和组-用户中检查是否有未使用的账户,删除或停用未使用的账户。另外,你应该在命令行使用netuser命令来检查是否有多余的帐号(有些帐号会在电脑管理中隐藏)。您可以使用网络用户<用户名>;/del命令删除相应的帐户。
重命名默认的管理员用户名Administrator,并建议重置新的管理员密码。
禁止系统自动登录系统休眠并重新激活后,需要密码才能登录系统。在运行中输入controluserpasswords2,打开用户帐户,然后启用“如果要使用此计算机,用户必须输入用户名和密码”选项。
远程访问安全 更改远程终端默认3389端口将默认远程终端端口3389更改为另一个端口。运行regedit打开注册表程序,需要在两个地方修改注册表:
HKEY_LOCAL_MACHINE\System\currentControlset\Control\TerminalServer\Wds\repwd\Tds\Tcp
HKEY_LOCAL_MACHINE\System\currentControlset\Control\TerminalServer\winstations\RDP-Tcp
将上面两位右侧的PortNumber的值修改为新的端口号(建议设置基数为十进制):
设置后,关闭注册表,然后重新启动服务器。如果您设置了防火墙,请注意,新端口会添加到防火墙的白名单中。
将远程关机、本地关机和用户权限分配只授权给Administrtors组在运行中执行secpol.msc,打开本地安全策略窗口,然后打开本地策略-用户权限分配。
(1)双击右边的“从远程系统强制关机”,只保留“管理员组”,删除其他用户组;
(2)双击右侧“关闭系统”,只保留“管理员组”,删除其他用户组;
(3)双击右侧“获取文件或其他对象的所有权”,只保留“管理员组”,删除其他用户组;
指定特定的管理员帐户而不是administrators组将增强登录系统的安全性,即使管理员组帐户是通过漏洞创建的,您也无法登录系统。
在运行中执行secpol.msc,打开本地安全策略窗口,然后打开本地策略-用户权限分配。双击右侧的“从网络访问这台电脑”,删除所有用户组,然后单击“添加用户或用户组...”按钮下方,点击“高级”按钮,然后点击“立即查询”按钮,从查询结果中选择管理员的账号,然后依次确认保存;
系统网络安全 关闭不需要的服务执行“运行”中的services.msc命令,打开“服务”,根据情况建议禁用以下服务:
应用网关服务
后台智能传输服务[/[k0/]利用闲置的网络带宽在后台传输文件。如果停止服务,WindowsUpdate、MSNExplorer等功能将无法自动下载程序等信息)
电脑浏览器(维护网络上更新的电脑列表,并将列表提供给计算机进行指定的浏览)
DHCP客户端
诊断策略服务
分布式链接跟踪客户端
分布式事务处理协调器
DNS客户端
打印假脱机程序
远程注册表(允许远程用户修改此计算机上的注册表设置)
服务器“共享”页面不存在)
外壳硬件检测
TCP/IPNetBIOS帮助程序(提供对TCP/IP(NetBT)服务上的NetBIOS和网络上客户端的NetBIOS名称解析的支持,从而使用户能够共享文件、打印和登录到网络)
任务计划程序(使用户能够在此计算机上配置和计划自动任务)
Windows远程管理(端口
在Windows2016中,有一个“同步主机_xxx”的服务。后面的xxx是一个数字,每个服务器都不一样。需要手动关机, *** 作如下:
首先运行regedit打开注册表,然后在HKEY_local_machine\system\currentcontrolset\services下找到四个键,OneSyncSvc,OneSyncSvc_xxx,UserDataSvc_xxx,UserDataSvc_XXX,依次将start值修改为4。
如果上面的服务器服务被停止和禁用,IPC共享将不会出现。执行netshare命令后,会提示“服务器服务未启动”,否则类似于C$、D$等默认共享。您可以使用netshareC$/del命令删除它。
在注册表中找到HKEY_local_machine\system\currentcontrolset\services\lanmanserver\parameters,右键单击右边空,依次选择“新建”-“DWORDkey”。名称设置为AutoShareServer,键值设置为0。
关闭139端口(Netbios服务)、445端口、5355端口(LLMNR)(1)关闭端口139
,打开控制面板-依次查看网络状态和任务,然后点击左侧的更改适配器设置,双击网络连接中已激活的网卡,点击属性按钮,双击互联网协议版本4(TCP/IPv4),点击
关闭此功能,您服务器上的所有共享服务功能都将被关闭,其他人将无法在资源管理器中看到您的共享资源。这也防止了信息的泄露。
(2)关闭端口445。
端口45是netbios用来解析局域网中机器名称的服务端口。一般情况下,服务器不需要打开任何对局域网的共享,关闭即可。打开注册表,在HKEY_local_machine\system\currentcontrolset\services\netbt\parameters中,右击右侧依次选择“新建”-“DWORD值”,名称设置为SMBDeviceEnabled,值设置为0。
(3)关闭端口5355(LLMNR)
LLMNR本地链接多播名称解析,也称为多播DNS,用于解析本地网段上的名称,它可以通过组策略关闭来关闭。打开运行,输入gpedit.msc打开本地组策略编辑器,选择计算机配置-管理模板-网络-"DNS客户端,双击右边的“关闭组播名称解析”项,然后设置为“禁用”。
网络访问限制执行运行中的secpol.msc打开本地安全策略,打开安全设置-本地策略-安全选项,设置如下策略:
网络访问:不允许SAM帐户的匿名枚举:已启用
网络访问:不允许SAM帐户和共享的匿名枚举:已启用
网络访问:将Everyone权限应用于匿名用户:已禁用
帐户:使用/
设置完成后,在命令行执行gpupdate/force(以管理员身份)使其立即生效。
日志审计 增强日志记录增加日志大小,以避免由于日志文件太小而导致日志记录不完整。在运行中执行eventvwr.msc命令,打开事件查看器窗口,打开Windows日志文件,右键单击下面的应用程序、安全和系统项,选择属性,并将最大日志大小修改为20480。
增强审核记录系统事件,并在将来用于故障排除和审核。在运行中执行secpol.msc命令,打开本地安全策略窗口,然后选择安全设置-本地策略-审计策略。建议将其中的项目设置如下:
审核策略更改:成功
审核登录事件:成功,失败
审核对象访问:成功
审核过程跟踪:成功,失败
审核目录服务访问:
上述项目设置成功后,执行Run中的gpupdate/force命令,使设置立即生效。
开启并设置防火墙如果使用云服务器(如阿里云、腾讯云),云服务商会提供防火墙工具,通常在路由层面,使用起来更方便,误 *** 作也不会将自己排除在服务器之外。所以建议优先考虑云服务提供商提供的防火墙。
开启或关闭Windows防火墙打开控制面板,选择系统和安全—“Windows防火墙”,在左侧选择启用或关闭Windows防火墙,根据需要选择启用或关闭Windows防火墙。如果采用云服务提供商提供的防火墙,建议关闭Windows防火墙。PS:打开防火墙前,需要允许远程登录端口访问,否则远程连接会中断!
允许特定的端口访问这里以Windows防火墙为例(其实云服务提供商提供的防火墙规则都差不多),前提是启用防火墙。在运行中执行WF.msc以打开高级安全Windows防火墙,单击左侧的入站规则,然后单击新建规则...在右侧打开新建入站规则向导窗口,选择端口,点击下一步;选择TCP作为端口类型,在下面选择特定的本地端口,并输入设置的远程登录端口和Web端口,如80、433、3389,然后单击下一步。选择“允许连接”,然后单击“下一步”按钮;选中所有选项,然后点击"下一步";输入最后一个规则的名称,例如“允许远程连接和Web服务”,然后单击“完成”保存它。
关闭ICMP(禁ping)按照上述步骤打开具有高级安全性的Windows防火墙,并在左侧选择入站规则。从默认规则中双击文件和打印机共享(回显请求-ICMPv4-In),在常规中选择启用,在 *** 作中选择阻止连接。最后,单击确定保存。
其它安全设置 设置屏保,使本地攻击者无法直接恢复桌面控制打开控制面板,进入外观和个性化-个性化-屏保,选择一个屏保,然后勾选“恢复时显示登录屏幕”,将等待时间设置为10分钟。
关闭Windows自动播放功能在运行中执行gpedit.msc命令,打开电脑配置-挂你的模板-所有设置,双击自动播放关闭,然后选择启用。
禁用IPV6。看 *** 作。在windowsserver2008/2016 *** 作系统下部署weblogicweb应用程序,并在部署后进行测试。发现测试页面的地址使用了隧道适配器的地址而不是静态ip地址,网络中没有ipv6接入,决定禁用ipv6和隧道适配器。 *** 作如下:
禁用ipv6非常简单。进入控制面板\网络和Internet\网络和共享中心,点击面板右侧的“更改适配器设置”进入网络连接界面,选择要设置的连接,右键选择属性,取消Internetprotocolversion6(TCP/IPv6)前面的选择框进行确认。
要禁用隧道适配器,您需要按如下方式更改注册表信息:
Go-->;运行->输入Regedit进入注册表编辑器
并导航到:
[HKEY_本地_机器\系统\当前控制集\服务\tcpip6\参数]
右键单击参数并选择新建。DWORD(32位)值
命名为DisabledComponents,然后修改为FFFFFFFFFFFF(十六进制)
重启后生效
禁用组件值的定义:[/br/Set
0xffffff默认情况下禁用除IPv6环回接口以外的所有IPv6组件
0x20,使用IPv4代替IPv
完毕!重新启动服务器。
我们小编补充其实很多时候可以参考win2008r2服务器的安全设置。
安装迈克菲、安全狗、卫士包等。都有基本的安全设置,一键 *** 作。但原理还是和上面一样,只是手工 *** 作更有利于个人技能的提升。第一次建议手动 *** 作,然后用工具检查。
要了解更多信息,请参考以下两篇文章
WindowsServer2008R2的常规安全设置和基本安全策略
win2008r2服务器安全配置步骤总结
关于Windows2016服务器安全设置的这篇文章到此为止。有关win2016服务器安全配置的更多信息,请搜索我们之前的文章或继续浏览下面的相关文章。希望大家以后能多多支持我们!
欢迎分享,转载请注明来源:内存溢出
评论列表(0条)