服务器安全设置不允许下载

Windows2016服务器安全设置

最近公司网站升级了Windows2016服务器，选择安装最新版本的Windows2016。在使用Windowsserver或者Windows2003系统之前，发现有相当多的改动，依次记录下来，以备后用。

它与2008年的服务器安全设置非常相似。

系统更新配置 更换Windows更新服务器

如果你觉得默认的Windowsupdate服务器慢，或者你选择了阿里云或者腾讯云服务器，你可以更换Windows服务器。

右键单击开始菜单图标，选择运行，然后输入gpedit.msc，然后选择计算机配置-管理模板-Windows组件-WindowsUpdate，双击指定IntranetMicrosoftUpdate服务位置:

选择“已启用”，然后设置Intranet更新服务和统计服务器来检测更新。如果是阿里云经典网，可以设置为http://windowsupdate.aliyun-inc.com，阿里云VPC网可以设置为http://update.cloud.aliyuncs.com。腾讯云可以设置为http://windowsupdate.tencentyun.com，备份下载服务器可以设置为http://wsus.neu.edu.cn。

启用并允许自动更新

双击“允许立即安装自动更新”并选择“启用”以启用自动更新。然后双击“配置自动更新”，选择“启用”，配置为“自动下载并通知安装”，如下图所示:

设置完以上两个步骤后，您需要以管理员身份执行以下命令:

gpupdate/force

解决执行自动更新时出现的0x8024401f和0x8024401c错误
完成上述 *** 作后，选择开始菜单-设置，执行检查更新，检查是否正常。
如果出现错误0x8024401f或0x8024401c，请以管理员身份执行以下命令:

netstopwauserv
regdeleteHKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Windowsupdate
netstartwauserv

系统账号安全 设置账号安全策略

在“运行”中执行secpol.msc命令，打开“本地安全策略”，进行如下设置:
(1)“账户设置”-“密码策略”
设置合适的密码复杂度，加强密码强度。参考设置如下:

(2)“账户设置”——“账户锁定策略”
要设置账户密码出错后的锁定时间，需要先设置“账户锁定阈值”，然后才能设置其他两项。参考设置如下:

(3)“本地策略”-“安全选项”
将“交互登录:不显示最后一个用户名”设置为“已启用”状态。

检查并优化账号

设置账户安全后，优化系统的账号。在运行中执行命令compmgmt.msc，打开计算机管理，然后在系统工具-本地用户和组-用户中检查是否有未使用的账户，删除或停用未使用的账户。另外，你应该在命令行使用netuser命令来检查是否有多余的帐号(有些帐号会在电脑管理中隐藏)。您可以使用网络用户<用户名>；/del命令删除相应的帐户。

重命名默认的管理员用户名Administrator，并建议重置新的管理员密码。

禁止系统自动登录

系统休眠并重新激活后，需要密码才能登录系统。在运行中输入controluserpasswords2，打开用户帐户，然后启用“如果要使用此计算机，用户必须输入用户名和密码”选项。

远程访问安全 更改远程终端默认3389端口

将默认远程终端端口3389更改为另一个端口。运行regedit打开注册表程序，需要在两个地方修改注册表:

HKEY_LOCAL_MACHINE\System\currentControlset\Control\TerminalServer\Wds\repwd\Tds\Tcp
HKEY_LOCAL_MACHINE\System\currentControlset\Control\TerminalServer\winstations\RDP-Tcp

将上面两位右侧的PortNumber的值修改为新的端口号(建议设置基数为十进制):

设置后，关闭注册表，然后重新启动服务器。如果您设置了防火墙，请注意，新端口会添加到防火墙的白名单中。

将远程关机、本地关机和用户权限分配只授权给Administrtors组

在运行中执行secpol.msc，打开本地安全策略窗口，然后打开本地策略-用户权限分配。
(1)双击右边的“从远程系统强制关机”，只保留“管理员组”，删除其他用户组；
(2)双击右侧“关闭系统”，只保留“管理员组”，删除其他用户组；
(3)双击右侧“获取文件或其他对象的所有权”，只保留“管理员组”，删除其他用户组；

将远程登录账户设置为具体的管理员账号

指定特定的管理员帐户而不是administrators组将增强登录系统的安全性，即使管理员组帐户是通过漏洞创建的，您也无法登录系统。

在运行中执行secpol.msc，打开本地安全策略窗口，然后打开本地策略-用户权限分配。双击右侧的“从网络访问这台电脑”，删除所有用户组，然后单击“添加用户或用户组...”按钮下方，点击“高级”按钮，然后点击“立即查询”按钮，从查询结果中选择管理员的账号，然后依次确认保存；

系统网络安全 关闭不需要的服务

执行“运行”中的services.msc命令，打开“服务”，根据情况建议禁用以下服务:

应用网关服务
后台智能传输服务[/[k0/]利用闲置的网络带宽在后台传输文件。如果停止服务，WindowsUpdate、MSNExplorer等功能将无法自动下载程序等信息)
电脑浏览器(维护网络上更新的电脑列表，并将列表提供给计算机进行指定的浏览)
DHCP客户端
诊断策略服务
分布式链接跟踪客户端
分布式事务处理协调器
DNS客户端
打印假脱机程序
远程注册表(允许远程用户修改此计算机上的注册表设置)
服务器“共享”页面不存在)
外壳硬件检测
TCP/IPNetBIOS帮助程序(提供对TCP/IP(NetBT)服务上的NetBIOS和网络上客户端的NetBIOS名称解析的支持，从而使用户能够共享文件、打印和登录到网络)
任务计划程序(使用户能够在此计算机上配置和计划自动任务)
Windows远程管理(端口

关闭“同步主机_xxx”服务

在Windows2016中，有一个“同步主机_xxx”的服务。后面的xxx是一个数字，每个服务器都不一样。需要手动关机， *** 作如下:
首先运行regedit打开注册表，然后在HKEY_local_machine\system\currentcontrolset\services下找到四个键，OneSyncSvc，OneSyncSvc_xxx，UserDataSvc_xxx，UserDataSvc_XXX，依次将start值修改为4。

关闭IPC共享

如果上面的服务器服务被停止和禁用，IPC共享将不会出现。执行netshare命令后，会提示“服务器服务未启动”，否则类似于C$、D$等默认共享。您可以使用netshareC$/del命令删除它。

在注册表中找到HKEY_local_machine\system\currentcontrolset\services\lanmanserver\parameters，右键单击右边空，依次选择“新建”-“DWORDkey”。名称设置为AutoShareServer，键值设置为0。

关闭139端口（Netbios服务）、445端口、5355端口（LLMNR）

(1)关闭端口139
，打开控制面板-依次查看网络状态和任务，然后点击左侧的更改适配器设置，双击网络连接中已激活的网卡，点击属性按钮，双击互联网协议版本4(TCP/IPv4)，点击

关闭此功能，您服务器上的所有共享服务功能都将被关闭，其他人将无法在资源管理器中看到您的共享资源。这也防止了信息的泄露。

(2)关闭端口445。

端口45是netbios用来解析局域网中机器名称的服务端口。一般情况下，服务器不需要打开任何对局域网的共享，关闭即可。打开注册表，在HKEY_local_machine\system\currentcontrolset\services\netbt\parameters中，右击右侧依次选择“新建”-“DWORD值”，名称设置为SMBDeviceEnabled，值设置为0。

(3)关闭端口5355(LLMNR)

LLMNR本地链接多播名称解析，也称为多播DNS，用于解析本地网段上的名称，它可以通过组策略关闭来关闭。打开运行，输入gpedit.msc打开本地组策略编辑器，选择计算机配置-管理模板-网络-"DNS客户端，双击右边的“关闭组播名称解析”项，然后设置为“禁用”。

网络访问限制

执行运行中的secpol.msc打开本地安全策略，打开安全设置-本地策略-安全选项，设置如下策略:

网络访问:不允许SAM帐户的匿名枚举:已启用
网络访问:不允许SAM帐户和共享的匿名枚举:已启用
网络访问:将Everyone权限应用于匿名用户:已禁用
帐户:使用/

设置完成后，在命令行执行gpupdate/force(以管理员身份)使其立即生效。

日志审计 增强日志记录

增加日志大小，以避免由于日志文件太小而导致日志记录不完整。在运行中执行eventvwr.msc命令，打开事件查看器窗口，打开Windows日志文件，右键单击下面的应用程序、安全和系统项，选择属性，并将最大日志大小修改为20480。

增强审核

记录系统事件，并在将来用于故障排除和审核。在运行中执行secpol.msc命令，打开本地安全策略窗口，然后选择安全设置-本地策略-审计策略。建议将其中的项目设置如下:

审核策略更改:成功
审核登录事件:成功，失败
审核对象访问:成功
审核过程跟踪:成功，失败
审核目录服务访问:

上述项目设置成功后，执行Run中的gpupdate/force命令，使设置立即生效。

开启并设置防火墙

如果使用云服务器(如阿里云、腾讯云)，云服务商会提供防火墙工具，通常在路由层面，使用起来更方便，误 *** 作也不会将自己排除在服务器之外。所以建议优先考虑云服务提供商提供的防火墙。

开启或关闭Windows防火墙

打开控制面板，选择系统和安全—“Windows防火墙”，在左侧选择启用或关闭Windows防火墙，根据需要选择启用或关闭Windows防火墙。如果采用云服务提供商提供的防火墙，建议关闭Windows防火墙。PS:打开防火墙前，需要允许远程登录端口访问，否则远程连接会中断！

允许特定的端口访问

这里以Windows防火墙为例(其实云服务提供商提供的防火墙规则都差不多)，前提是启用防火墙。在运行中执行WF.msc以打开高级安全Windows防火墙，单击左侧的入站规则，然后单击新建规则...在右侧打开新建入站规则向导窗口，选择端口，点击下一步；选择TCP作为端口类型，在下面选择特定的本地端口，并输入设置的远程登录端口和Web端口，如80、433、3389，然后单击下一步。选择“允许连接”，然后单击“下一步”按钮；选中所有选项，然后点击"下一步"；输入最后一个规则的名称，例如“允许远程连接和Web服务”，然后单击“完成”保存它。

关闭ICMP（禁ping）

按照上述步骤打开具有高级安全性的Windows防火墙，并在左侧选择入站规则。从默认规则中双击文件和打印机共享(回显请求-ICMPv4-In),在常规中选择启用，在 *** 作中选择阻止连接。最后，单击确定保存。

其它安全设置 设置屏保，使本地攻击者无法直接恢复桌面控制

打开控制面板，进入外观和个性化-个性化-屏保，选择一个屏保，然后勾选“恢复时显示登录屏幕”，将等待时间设置为10分钟。

关闭Windows自动播放功能

在运行中执行gpedit.msc命令，打开电脑配置-挂你的模板-所有设置，双击自动播放关闭，然后选择启用。

禁用IPV6。看 *** 作。

在windowsserver2008/2016 *** 作系统下部署weblogicweb应用程序，并在部署后进行测试。发现测试页面的地址使用了隧道适配器的地址而不是静态ip地址，网络中没有ipv6接入，决定禁用ipv6和隧道适配器。 *** 作如下:
禁用ipv6非常简单。进入控制面板\网络和Internet\网络和共享中心，点击面板右侧的“更改适配器设置”进入网络连接界面，选择要设置的连接，右键选择属性，取消Internetprotocolversion6(TCP/IPv6)前面的选择框进行确认。

要禁用隧道适配器，您需要按如下方式更改注册表信息:
Go-->；运行->输入Regedit进入注册表编辑器
并导航到:
[HKEY_本地_机器\系统\当前控制集\服务\tcpip6\参数]
右键单击参数并选择新建。DWORD(32位)值
命名为DisabledComponents，然后修改为FFFFFFFFFFFF(十六进制)
重启后生效
禁用组件值的定义:[/br/Set
0xffffff默认情况下禁用除IPv6环回接口以外的所有IPv6组件
0x20，使用IPv4代替IPv

完毕！重新启动服务器。

我们小编补充

其实很多时候可以参考win2008r2服务器的安全设置。

安装迈克菲、安全狗、卫士包等。都有基本的安全设置，一键 *** 作。但原理还是和上面一样，只是手工 *** 作更有利于个人技能的提升。第一次建议手动 *** 作，然后用工具检查。

要了解更多信息，请参考以下两篇文章

WindowsServer2008R2的常规安全设置和基本安全策略

win2008r2服务器安全配置步骤总结

关于Windows2016服务器安全设置的这篇文章到此为止。有关win2016服务器安全配置的更多信息，请搜索我们之前的文章或继续浏览下面的相关文章。希望大家以后能多多支持我们！