# 權限設置 每個分區除 系統盤,僅保留(system和administrators權限)
# 計算機配置 - Windows設置 - 安全設置 - 帳戶策略 - 密碼策略:”密碼最長使用期限”,設置為”0”(無期限)。
# 新建一個用戶。也可以使用Administrator(內置管理員),但要啟用批准模式,組策略,計算機配置 - Windows設置 - 安全設置 - 本地策略 - 安全選項,”用於內置管理員帳戶的管理員批准模式”,設置為”已啟用”,重啟后生效。
# 計算機配置 - Windows設置 - 安全設置 - 本地策略 - 用戶權限分配,“關閉系統設置為標准帳戶類型的用戶允許關機,增加你自己的管理員用戶。重啟
# 修改默認3389端口
注冊表HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\Wds\rdpwd\Tds\tcp
注冊表HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Tenninal Server\WinStations\RDP-Tcp
# 將遠程關機、本地關機和用戶權限分配只授權給Administrtors組
在“運行”中執行secpol.msc,打開“本地安全策略”窗口,依次打開“本地策略”-“用戶權限分配”。
(1)雙擊右側的“從遠程系統強制關機”,只保留“Administrators組”並將其他用戶組刪除;
(2)雙擊右側的“關閉系統”,只保留“Administrators組”並將其他用戶組刪除;
(3)雙擊右側的“取得文件或其它對象的所有權”,只保留“Administrators組”並將其他用戶組刪除;
# 禁用不需要的服務(根據情況建議將以下服務改為禁用)
Print Spooler(管理所有本地和網絡打印隊列及控制所有打印工作)
Remote Registry(使遠程用戶能修改此計算機上的注冊表設置)
Server(不使用文件共享可以關閉,關閉后再右鍵點某個磁盤選屬性,“共享”這個頁面就不存在了)
Shell Hardware Detection(為自動播放硬件事件提供通知)
TCP/IP NetBIOS Helper(提供 TCP/IP (NetBT) 服務上的NetBIOS 和網絡上客戶端的NetBIOS 名稱解析的支持,從而使用戶能夠共享文件、打印和登錄到網絡)
Windows Remote Management(47001端口,Windows遠程管理服務,用於配合IIS管理硬件,一般用不到)
Workstation(使用 SMB 協議創建並維護客戶端網絡與遠程服務器之間的連接。如果此服務已停止,這些連接將無法使用。)
IP Helper(使用 IPv6 轉換技術(6to4、ISATAP、端口代理和 Teredo)和 IP-HTTPS 提供隧道連接。)
Themes(為用戶提供使用主題管理的體驗。)
# 關閉“同步主機_xxx”服務
Windows 2016中有一個“同步主機_xxx”的服務,后面的xxx是一個數字,每個服務器不同。需要手動關閉,操作如下:
首先在“運行”中執行regedit打開注冊表,然后在 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services 下面找到 OneSyncSvc、OneSyncSvc_xxx、UserDataSvc和UserDataSvc_xxx四個項,依次將其中的 start 值修改為4,退出注冊表然后重啟服務器即可。
# 關閉IPC共享
停止並禁用 Server服務的話就不會出現IPC共享,在注冊表中找到 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters,在右側空白處右鍵,依次選擇“新建”-“DWORD項”,名稱設置為AutoShareServer,鍵值設置為0。
# 關閉445端口(根據實際情況處理)
445端口是netbios用來在局域網內解析機器名的服務端口,一般服務器不需要對LAN開放什么共享,所以可以關閉。打開注冊表,在HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NetBT\Parameters位置,在右側右鍵並依次選擇“新建”-“Dword值”,名稱設置為SMBDeviceEnabled,值設置為0。
# 關閉5355端口(LLMNR)
LLMNR本地鏈路多播名稱解析,也叫多播DNS,用於解析本地網段上的名稱,可以通過組策略關閉將其關閉。打開“運行”,輸入gpedit.msc打開“本地組策略編輯器”,依次選擇“計算機配置”-“管理模板”-“網絡”-“DNS客戶端”,在右側雙擊“關閉多播名稱解析”項,然后設置為“已禁用”。
設置完成之后,在命令行(管理員身份)中執行 gpupdate /force 使其立即生效
# 增強審核
對系統事件進行記錄,在日后出現故障時用於排查審計。在“運行”中執行secpol.msc命令,打開“本地安全策略”窗口,依次選擇“安全設置”-“本地策略”-“審核策略”,建議將里面的項目設置如下:
審核策略更改:成功
審核登錄事件:成功,失敗
審核對象訪問:成功
審核進程跟蹤:成功,失敗
審核目錄服務訪問:成功,失敗
審核特權使用:失敗
審核系統事件:成功,失敗
審核帳戶登錄事件:成功,失敗
審核帳戶管理:成功,失敗
# 設置防火牆
WF.msc 僅開放ICMP和需要的遠程和應用端口
# 設置屏保,使本地攻擊者無法直接恢復桌面控制
打開“控制面板”,依次進入“外觀和個性化”-“個性化”-“屏幕保護程序”,選擇某一個屏保,然后選中“在恢復時顯示登錄屏幕”,並將等待時間設置為10分鍾。
# 關閉Windows自動播放功能
在“運行”中執行gpedit.msc命令,依次打開“計算機配置”-“管理模板”-“Windows組件”-“自動播放策略”,雙擊“關閉自動播放”,然后選擇“已啟用”。
參考資料: