Windows 2016 服务器安全设置

右键单击开始菜单图标，选择“运行”，然后输入gpedit.msc，选择“计算机配置”-“管理模板”-“Windows组件”-“Windows更新”，双击“指定Intranet Microsoft更新服务位置” ”：。选择“启用”，然后设置内网更新服务和检测更新的统计服务器。如果是阿里云经典网络可以设置为，阿里云VPC网络可以设置为，腾讯云可以设置为，备份下载服务器可以设置为。双击“允许立即安装自动更新”并选择“已启用”以启用自动更新。完成账户安全设置后，优化系统账户。指定特定的管理员帐户而不是Administrtors组将增强登录系统的安全性。在Windows 2016中，有一个“同步host_xxx”服务，后面的xxx是一个数字，每个服务器的数字都不同。

右键单击开始菜单图标，选择“运行”，然后输入gpedit.msc，选择“计算机配置”-“管理模板”-“Windows组件”-“Windows更新”，双击“指定Intranet Microsoft更新服务位置” ”：

选择“启用”，然后设置内网更新服务和检测更新的统计服务器。 如果是阿里云经典网络可以设置为，阿里云VPC网络可以设置为，腾讯云可以设置为，备份下载服务器可以设置为。

启用并允许自动更新

双击“允许立即安装自动更新”并选择“已启用”以启用自动更新。 然后双击“配置自动更新”，选择“已启用”，配置为“自动下载并通知安装”，如下图：

设置完以上两步后，需要以管理员身份执行以下命令：

gp更新/强制

解决执行自动更新时的 0x8024401f 和 0x8024401c 错误

完成以上操作后，选择开始菜单-设置，执行检查更新，检查是否正常。

如果出现0x8024401f或0x8024401c错误，请以管理员身份执行以下命令：

网站 wuauserv

reg 删除 HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate

净启动 wuauserv

系统账户安全设置账户安全策略

在“运行”中执行secpol.msc命令，打开“本地安全策略”，进行如下设置：

(1)“账户设置”-“密码政策”

设置合适的密码复杂度，增强密码的强度。 参考设置如下：

(2)“账户设置”-“账户锁定政策”

要设置账户密码错误后的锁定时间，您需要先设置“账户锁定阈值”，然后才能设置其他两项。 参考设置如下：

(3)“本地策略”-“安全选项”

将“交互式登录：不显示最后的用户名”设置为启用。

检查并优化账户

完成账户安全设置后，优化系统账户。 在“运行”中执行compmgmt.msc命令，打开“计算机管理”，然后在“系统工具”-“本地用户和组”-“用户”中检查是否有未使用的帐户，删除或禁用未使用的帐户。 另外，在命令行中使用net user命令检查是否有多余的帐户（有些帐户会在计算机管理中隐藏），并且可以使用net user /del命令删除相应的帐户。

重命名默认管理员用户名Administrator，建议重置新的管理员密码。

禁止系统自动登录

系统休眠并重新激活后，需要输入密码才能登录系统。 在“运行”中输入control userpasswords2，打开“用户帐户”，然后启用“如果使用这台计算机，用户必须输入用户名和密码”选项。

远程访问安全更改远程终端默认端口3389

将默认远程终端端口 3389 更改为其他端口。 运行regedit打开注册表程序，需要修改注册表中的两个地方：

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Terminal Server\Wds\repwd\Tds\tcp

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\TerminalServer\WinStations\RDP-Tcp

将上面两处右边的PortNumber的值修改为新的端口号（建议基数设置为十进制）：

设置完成后，关闭注册表并重新启动服务器即可生效。 如果设置了防火墙，请注意将新端口添加到防火墙的白名单中。

仅授权管理员组进行远程关机、本地关机和用户权限分配

在“运行”中执行secpol.msc，打开“本地安全策略”窗口，依次打开“本地策略”-“用户权限分配”。

（1）双击右侧“从远程系统强制关机”，只保留“管理员组”，删除其他用户组；

（2）双击右侧“关闭系统”，只保留“管理员组”，删除其他用户组；

（3）双击右侧“取得文件或其他对象的所有权”，只保留“管理员组”，删除其他用户组；

将远程登录帐户设置为特定管理员帐户

指定特定的管理员帐户而不是Administrtors组将增强登录系统的安全性。 即使通过漏洞创建了Administrators组的账户，也将无法登录系统。

在“运行”中执行secpol.msc，打开“本地安全策略”窗口，依次打开“本地策略”-“用户权限分配”。 双击右侧的“从网络访问这台计算机”删除所有用户组，然后点击下面的“添加用户或组...”按钮，点击“高级”按钮，然后点击“立即查询”按钮查看查询结果 在菜单中选择管理员账户，然后依次确认并保存；

系统网络安全关闭不必要的服务

执行“运行”中的services.msc命令，打开“服务”，建议根据情况禁用以下服务：

应用层网关服务（提供对应用层协议插件的支持并实现网络/协议连接）

后台智能传输服务（使用空闲的网络带宽在后台传输文件。如果禁用该服务，Windows Update和MSN Explorer等功能将无法自动下载程序和其他信息）

计算机浏览器（维护网络上计算机的更新列表并将该列表提供给计算机进行指定浏览）

DHCP客户端

诊断政策服务

分布式链接跟踪客户端

分布式事务协调器

DNS客户端

Print Spooler（管理所有本地和网络打印队列并控制所有打印作业）

远程注册表（使远程用户能够修改此计算机上的注册表设置）

服务器（如果不使用文件共享可以关闭，关闭后右键选择磁盘选择属性，“共享”页面就不会存在）

外壳硬件检测

TCP/IP NetBIOS Helper（为网络上客户端的 NetBIOS over TCP/IP (NetBT) 服务和 NetBIOS 名称解析提供支持，使用户能够共享文件、打印和登录网络）

任务计划程序（使用户能够在此计算机上配置和计划自动任务）

Windows远程管理（47001端口，Windows远程管理服务，用于配合IIS管理硬件，一般不用）

工作站（创建并维护与远程服务的客户端网络连接。如果服务停止，这些连接将不可用）

关闭“sync_host_xxx”服务

在Windows 2016中，有一个“同步host_xxx”服务，后面的xxx是一个数字，每个服务器的数字都不同。 需要手动关闭，操作如下：

首先在“运行”中执行regedit打开注册表，然后找到HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services下的OneSyncSvc、OneSyncSvc_xxx、UserDataSvc和UserDataSvc_xxx这四个项，依次将起始值改为4，退出注册表并重新启动服务器即可它。

关闭IPC共享

如果停止并禁用上面的Server服务，IPC共享就不会出现。 执行net share命令后会提示“服务器服务未启动”，否则会类似C$、D$等默认共享，可以使用net share C$ /del命令删除。

在注册表中找到HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters，右键单击右侧空白处，选择“新建”-“DWORD项”，将名称设置为AutoShareServer，键值设置为0 。

关闭端口139（Netbios服务）、端口445、端口5355（LLMNR）

(1)关闭139端口

依次打开“控制面板”-“查看网络状态和任务”，然后单击左侧“更改适配器设置”，双击网络连接中激活的网卡，单击“属性”按钮，双击“ Internet 协议版本 4 (TCP/IPv4)”，单击打开的窗口右下角的“高级”按钮，然后选择上面的“WINS”选项卡，在“NetBIOS 设置”中选择“禁用 TCP/IP 上的 NetBIOS” ”，最后单击“确定”。

关闭此功能后，您服务器上的所有共享服务功能都将被关闭，其他人将无法在资源管理器中看到您的共享资源。 这也可以防止信息泄露。

(2)关闭445端口

445端口是netbios用来解析局域网中机器名称的服务端口。 一般服务器不需要向局域网开放任何共享，所以可以关闭。 打开注册表，在HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NetBT\Parameters中，右键单击右侧选择“新建”-“Dword Value”，将名称设置为SMBDeviceEnabled，并将值设置为0。

(3)关闭端口5355(LLMNR)

LLMNR本地链路多播名称解析也称为多播DNS，用于解析本地网段上的名称，可以通过组策略关闭。 打开“运行”，输入gpedit.msc打开“本地组策略编辑器”，选择“计算机配置”-“管理模板”-“网络”-“DNS客户端”，双击“关闭多播名称解析”右侧的“项目，然后设置为“禁用”。

网络访问限制

在“运行”中执行secpol.msc打开“本地安全策略”，打开“安全设置”-“本地策略”-“安全选项”，设置以下策略：

网络访问：不允许匿名枚举 SAM 帐户：已启用

网络访问：禁止匿名枚举 SAM 帐户和共享：已启用

网络访问：将每个人权限应用于匿名用户：已禁用

帐户：密码为空的本地帐户仅允许控制台登录：已启用

设置完成后，在命令行（以管理员身份）执行gpupdate /force即可使其立即生效。

日志审计增强日志记录

增大日志大小，避免日志文件容量过小导致日志记录不完整。 在“运行”中执行eventvwr.msc命令，打开“事件查看器”窗口，打开“Windows日志”文件，右键单击下面的“应用程序”、“安全”和“系统”项，选择“属性”，修改“日志最大大小”为20480。

加强审计

记录系统事件，并在将来发生故障时使用它们进行故障排除和审核。 在“运行”中执行secpol.msc命令，打开“本地安全策略”窗口，依次选择“安全设置”-“本地策略”-“审核策略”。 建议设置里面的项目如下：

审计政策变更：成功

审核登录事件：成功、失败

审核对象访问：成功

审计过程跟踪：成功、失败

审核目录服务访问：成功、失败

审计系统事件：成功、失败

审核帐户登录事件：成功、失败

审计账户管理：成功、失败

以上各项设置成功后，在“运行”中执行gpupdate /force命令，使设置立即生效。

打开并配置防火墙

如果你使用云服务器（如阿里云、腾讯云等），云服务商会提供防火墙工具，一般放在路由层面，使用起来比较方便，并且不会将你排除在外。服务器，如果你滥用它。 因此，建议优先使用云服务商提供的防火墙。

打开或关闭 Windows 防火墙

打开“控制面板”，选择“系统和安全”-“Windows防火墙”，选择左侧的“启用或禁用Windows防火墙”，根据需要选择启用或禁用Windows防火墙。 如果使用云服务商提供的防火墙，建议关闭Windows防火墙。 PS：开启防火墙前需要允许远程登录端口访问，否则远程连接会中断！

允许特定端口访问

这里我们以Windows防火墙为例（其实云服务商提供的防火墙规则也类似），前提是防火墙是开启的。 在“运行”中执行WF.msc 打开“高级安全Windows防火墙”，单击左侧的“入站规则”，然后单击右侧的“新建规则...”，打开“新建入站规则向导”窗口，选择“端口”然后单击“下一步”按钮； 端口类型选择“TCP”，下面选择“特定本地端口”，输入设置的远程登录端口和Web端口，如：80、433、3389，然后点击“下一步”按钮；选择“允许连接” ”，然后单击“下一步”按钮； 选择所有选项，然后单击“下一步”； 最后输入一个规则名称，如“允许远程连接和Web服务”，最后点击“完成”保存。

关闭 ICMP（无 ping）

按照上述步骤打开“高级安全Windows防火墙”，选择左侧“入站规则”，双击默认规则中的“文件和打印机共享（Echo Request – ICMPv4-In）”，选择“常规” “启用”，并在“操作”中选择“阻止连接”，最后“确定”保存。

其他安全设置设置了屏幕保护程序，以便本地攻击者无法直接恢复对桌面的控制

打开“控制面板”，进入“外观和个性化”-“个性化”-“屏幕保护程序”，选择屏幕保护程序，然后选择“恢复时显示登录屏幕”，并将等待时间设置为10分钟。

关闭 Windows 自动播放

在“运行”中执行gpedit.msc命令，依次打开“计算机配置”-“你的模板”-“所有设置”，双击“关闭自动播放”，然后选择“启用”。

禁用 IPV6。 看一下操作。

在windows server 2008/2016操作系统下部署weblogic Web应用程序。 部署完成后，进行测试。 发现测试页面的地址使用的是隧道适配器的地址，而不是静态ip地址，且所在网络没有ipv6接入。 因此，决定禁用ipv6和隧道适配器，操作如下：

禁用ipv6很简单，进入控制面板\网络和Internet\网络和共享中心，点击面板右侧的“更改适配器设置”进入网络连接界面，选择要设置的连接，右键单击然后选择“属性”，取消“Internet 协议版本 6 (TCP/IPv6)”前面的复选框。

要禁用隧道适配器，需要更改注册表信息，如下：

开始->运行->输入Regedit进入注册表编辑器

定位：

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip6\Parameters] 右键单击​​Parameters，选择New -> DWORD (32-bit) Value

将值命名为DisabledComponents，然后将值修改为ffffffff（十六进制）

重启后生效

DisableComponents 值定义：

0，启用所有 IPv6 组件，默认设置

0xffffffff，禁用除 IPv6 环回接口之外的所有 IPv6 组件

0x20，在前缀策略中使用IPv4而不是IPv6

0x10，禁用本机 IPv6 接口

0x01，禁用所有隧道 IPv6 接口

0x11，禁用除IPv6环回接口之外的所有IPv6接口

超过 ！ 重新启动服务器