賬戶
Guest用戶
由於Guest賬戶在計算機上沒有實際的賬戶使用人。而且Guest賬戶不要求使用密碼,因此存在較大的安全隱患,一般情況下建議長期禁用Guest賬戶。
禁用方法:
Windows Server 2016 R2:
打開cmd命令窗口==》輸入命令lusrmgr.msc回車==》本地用戶和組==》用戶==》Guest==》右鍵屬性==》常規==》禁用賬戶
按照用戶分配賬戶
用戶賬戶需要按照角色進行分配,如系統管理員、日志審計員、數據庫管理員等進行准確的分配,設置賬戶時,需要保證用戶名的唯一性,和密碼的復雜性要求,以及禁止一人多賬號情況的存在。及時刪除或禁用多余的、過期的賬戶。
配置方法:
Windows Server 2016 R2:
打開cmd命令窗口==》輸入命令lusrmgr.msc回車==》本地用戶和組
根據不同的權限需要,對組和用戶進行具體配置
刪除與設備無關賬戶
管理員應及時刪除與設備無關的賬戶,包括過期賬戶、多余賬戶,以及禁止賬戶共享配置方法:
Windows Server 2016 R2:
打開cmd命令窗口==》輸入命令lusrmgr.msc回車==》本地用戶和組==》用戶
根據需求刪除多余和過期的用戶
口令
打開方式法1:服務器管理器==》工具==》本地安全策略==》賬戶策略==》密碼策略
打開方式法2:打開cmd命令窗口==》輸入命令secpol.msc回車==》打開本地安全策略==》賬戶策略==》密碼策略。
密碼必須符合復雜性要求
應啟用計算機的賬戶密碼復雜行要求,密碼包含字母、數字、特殊符號、且不小於8位,以防止弱口令的存在。
配置方法:
Windows Server 2016 R2 默認的密碼策略是:
密碼長度最小值
密碼最短使用期限
密碼最長使用期限
強制密碼歷史
用戶還原的加密來存儲密碼
為了防止明文獲取密碼,建議啟用‘用戶還原的加密來存儲密碼’
賬戶鎖定策略
為了登錄爆破,應該設置賬戶鎖定策略,要求賬戶在登錄失敗多少次后進行鎖定,以及鎖定時間。
配置方法:
Windows Server 2016 R2:
打開方式法1:服務器管理器==》工具==》本地安全策略==》賬戶策略==》賬戶鎖定策略
打開方式法2:打開cmd命令窗口==》輸入命令secpol.msc回車==》打開本地安全策略==》賬戶策略==》賬戶鎖定策略。
根據需要設置賬戶鎖定的閾值,和鎖定時間
其他配置不一 一演示配置,下面只配置部分。
權限分配
從遠程系統強制關機
一般情況下,為了保證業務的正常運行,應當禁止所有用戶進行遠程關機,或者只允許Administrators組進行遠程關機。
配置方法:
Windows Server 2016 R2:
打開cmd命令窗口==》輸入命令secpol.msc回車==》打開本地安全策略==》本地策略==》用戶權限分配==》從遠程系統強制關機
建議只允許Administrators組成員可以進行遠程關機,其他用戶需要遠程關機權限,可從遠程系統強制關機配置項里添加對應的用戶或組
本地關機
為了防止其他用戶對系統進行誤關機操作,應該將本地關機權限僅授權給Administrators組。
配置方法:
Windows Server 2016 R2:
打開cmd命令窗口==》輸入命令secpol.msc回車==》打開本地安全策略==》本地策略==》用戶權限分配==》關閉系統
用戶權力分派
將取得文件或其他對象的所有權,僅授權給Administrators組
配置方法:
Windows Server 2016 R2:
打開cmd命令窗口==》輸入命令secpol.msc回車==》打開本地安全策略==》本地策略==》用戶權限分配==》取得文件或其他對象的所有權
將“取得文件或其他對象的所有權”,授權給Administrators組
賬戶本地登錄
設置部分用戶是否具有本地登錄的權限
配置方法:
Windows Server 2016 R2:
打開cmd命令窗口==》輸入命令secpol.msc回車==》打開本地安全策略==》本地策略==》用戶權限分配==》允許本地登錄
配置“允許本地登錄”的用戶或組
從網絡訪問此計算機
此用戶權限確定允許哪些用戶和組通過網絡連接到計算機。此用戶權限不影響遠程桌
面服務.
配置方法:
Windows Server 2016 R2:
打開cmd命令窗口==》輸入命令secpol.msc回車==》打開本地安全策略==》本地策略==》用戶權限分配==》從網絡訪問此計算機 
日志
登錄審核
此安全設置確定OS是否對嘗試登錄此計算機或從中注銷的用戶的每個實例進行審核。
在已登錄用戶帳戶的登錄會話終止時,將生成注銷事件。如果定義此策略設置,則管
理員可以指定是僅審核成功、僅審核失敗、同時審核成功和失敗還是根本不審核這些
事件(即既不審核成功也不審核失敗)。
配置方法:
Windows Server 2016 R2:
打開cmd命令窗口==》輸入命令secpol.msc回車==》打開本地安全策略==》本地策略==》審核策略==》審核登錄事件
可選擇審核成功或失敗的登錄,建議成功、失敗都審核
系統日志完備性審核
系統日志完備性審核,包括:審核策更改、審核系統事件、審核賬戶登錄事件、審核
賬戶管理,並建議將成功和失敗均審核
配置方法:
Windows Server 2016 R2:
打開cmd命令窗口==》輸入命令secpol.msc回車==》打開本地安全策略==》本地策略==》審核策略==》審核策更改、審
核系統事件、審核賬戶登錄事件、審核賬戶管理
建議將以上審核項設置為成功和失敗都審核。
交互式登錄:不顯示上次登錄的用戶名
該安全設置確定是否在Windows登錄屏幕中顯示最后登錄到計算機的用戶的名稱。
如果啟用該策略,則不會在登錄屏幕中顯示最后成功登錄的用戶的名稱。
如果禁用該策略,則會顯示最后登錄的用戶的名稱。
配置方法:
Windows Server 2016 R2:
打開cmd命令窗口==》輸入命令secpol.msc回車==》打開本地安全策略==》本地策略==》安全選項==》交互式登錄:不
顯示最后的用戶名
建議配置為啟用
關機:清除虛擬內存頁面文件
虛擬內存支持在內存頁面未使用時使用系統頁面文件將其交換到磁盤。在正在運行的
系統上,此頁面文件由操作系統以獨占方式打開,並且受到很好的保護。但是,配置
為允許啟動到其他操作系統的系統可能要確保在此系統關閉時清除系統頁面文件。這
可確保可能會進入頁面文件的進程內存中的敏感信息不會被設法通過直接訪問頁面文
件的未經授權用戶使用。
配置方法:
Windows Server 2016 R2:
打開cmd命令窗口==》輸入命令secpol.msc回車==》打開本地安全策略==》本地策略==》安全選項==》關機:清楚虛擬
內存頁面文件
在等保剩余信息保護中要求:應確保系統內文件、目錄和數據庫記錄等資源所在的存
儲空間,被釋放或重新分配給其他用戶之前得到完全清楚。所以建議啟用此項
共享文件夾
關閉默認共享
配置方法:
Windows Server 2016 R2:
開始==》win+R運行==》輸入"regedit"==》
HKEY_ LOCAL _MACHINE\SYSTEM\CurrentControlSet\services\LanmanServerParameters
下新建類型為REG_ DWORD,名稱為AutoShareServer, 值為0
系統層面啟用SYN保護
SYN (synchronous)是TCP/IP建立連接時使用的握手信號。在客戶機和服務器之間
建立正常的TCP網絡連接時,客戶機首先發出一個SYN消息, 服務器使用SYN+ACK
應答表示接收到了這個消息,最后客戶機再以ACK消息響應。這樣在客戶機和服務器
之間才能建立起可靠的TCP連接,數據才可以在客戶機和服務器之間傳遞。SYN攻擊
利用TCP協議缺陷,發送了大量偽造的TCP連接請求,使得被攻擊方資源耗盡,無法
及時回應或處理正常的服務請求。
配置方法:
啟用SYN保護: .
開始==》win+R運行==》輸入"regedit"==》
HKEY_ LOCAL MACHINE\SYSTEM\CurrentControlSet\services\LanmanServerlParameters
下,增加SynAttackProtect,推薦值為2
設定出發SYN攻擊保護必須超過的TCP連接請求閾值
HKEY_ LOCAL _MACHINE\SYSTEM\CurrentControlSet\services\LanmanServer\Parameters
下,增加TcpMaxPortsExhausted推薦值為5
設定處於TCP_ RCVE狀態的TCP連接數閾值
HKEY_ LOCAL_ _MACHINE\SYSTEM\CurrentControlSet\services\LanmanServer\Parameters
下,增加TcpMaxHalfOpen推薦值為500
設定處於至少已發送一次重傳的SYN_ RCVD狀態中的TCP連接數的閾值
HKEY_ LOCAL_ MACHINE\SYSTEM\CurrentControlSet\services\LanmanServer\Parameters
下,增加TcpMaxHalfOpenRetried推薦值為400
服務安全
DRP端口修改
如果服務器RDP服務需要暴露在公網上,為了減少攻擊,可以修改RDP的默認端口
在注冊表:
HKEY_ LOCAL_ MACHINE\SYSTEM\CurrentControlSet\Control\Terminal
Server\Wds\rdpwd\Tds\tcp中,將PortNumber值修改為所希望的端口
關閉UDP 500、UDP 4500端口
UDP500和UDP4500是基於IKE認證的VPN服務,如果服務器無需這個服務,建議關
閉
服務名: IKE and AuthIP IPSec Keying Modules
啟動項管理
檢查系統啟動時加載的服務列表,刪除不必要的啟動項
配置方法:
開始==》win+R運行==》MSconfig
進入系統配置后,在服務和啟動中禁止無需開機啟動的服務
Microsoft網絡服務器:暫停會話前所需的空閑時間量
該安全設置確定因處於非活動狀態而暫停會話之前服務器消息塊(SMB)會話必須經過
的連續空閑時間量。
管理員可以使用該策略控制計算機何時暫停非活動的SMB會話。如果客戶端恢復活
動狀態,則會自動重新建立會話。
配置方法:
Windows Server 2016 R2:
開始==》控制面板==》管理工具==》本地安全策略==》本地策略==》安全選項==》Microsoft 網絡
服務器:暫停會話前所需的空閑時間量
建議啟動,並將其設置為15分鍾
