光影岁月 發表於 2023-8-21 00:00:00

Windows server 2012服务器安全加固与web环境配置优化

<p>
        这周给团队服务器做升级优化,系统重装为Windows server 2012,以下是一些安全配置和web环境配置优化笔记。</p>
<p>
        <strong>一、查看系统信息</strong></p>
<p>
        一些基础命令</p>
<blockquote>
        <p>
                查看主机名:hostname</p>
        <p>
                查看网络配置:ipconfig /all</p>
        <p>
                查看路由表:route print</p>
        <p>
                查看开放端口:netstat -ano</p>
</blockquote>
<p>
        <strong>二、系统帐号管理</strong></p>
<p>
        <strong>2.1 帐号管理</strong></p>
<p>
        “Win+R”键调出“运行”-&gt;输入compmgmt.msc-&gt;打开"计算机管理",点击左侧“本地用户和组”,查看是否有不用的账号,系统账号所属组是否正确以及 guest账号是否锁定。</p>
<p>
        右击administrator账户,选择“重命名”,更改为较复杂的名字;</p>
<p>
        右击Guest账户,选择“属性”,确保已勾选“账户已禁用”。</p>
<p>
        在CMD下可用“net user”查看用户情况,“net user 用户名 /del”删除用户,“net user 用户名 /active:no”禁用用户。</p>
<p>
        <strong>2.2 设置安全策略</strong></p>
<p>
        WIN+R 打开“运行”,输入"secpol.msc"打开 本地安全策略,修改以下安全策略设置。</p>
<blockquote>
        <p>
                1,账户策略-&gt;密码策略</p>
        <p>
                密码必须符合复杂性要求:启用</p>
        <p>
                密码长度最小值:7 个字符</p>
        <p>
                密码最短使用期限:0 天</p>
        <p>
                密码最长使用期限:90 天</p>
        <p>
                强制密码历史:1 个记住密码</p>
        <p>
                用可还原的加密来存储密码:已禁用</p>
        <p>
                2,账户设置-&gt;账户锁定策略</p>
        <p>
                帐户锁定时间:30 分钟</p>
        <p>
                帐户锁定阀值:5 次无效登录</p>
        <p>
                重置帐户锁定计数器:30 分钟</p>
        <p>
                3,本地策略-&gt;安全选项</p>
        <p>
                交互式登录:不显示最后的用户名:启用</p>
</blockquote>
<p>
        <strong>三、网络服务优化</strong></p>
<p>
        <strong>3.1 系统服务</strong></p>
<p>
        “Win+R”键调出“运行”,输入“services.msc”打开系统服务控制台。</p>
<p>
        建议将以下服务停止,并将启动方式修改为手动:</p>
<blockquote>
        <p>
                Background Intelligent Transfer Service</p>
        <p>
                DHCP Client</p>
        <p>
                Remote Registry</p>
        <p>
                Print Spooler</p>
        <p>
                Server(不使用文件共享可以关闭)</p>
        <p>
                Simple TCP/IP Service</p>
        <p>
                Simple Mail Transport Protocol (SMTP)</p>
        <p>
                SNMP Service</p>
        <p>
                Task Schedule</p>
        <p>
                TCP/IP NetBIOS Helper</p>
</blockquote>
<p>
        <strong>3.2 关闭IPC共享</strong></p>
<p>
        打开运行,输入“cmd.exe”,在命令提示符中敲入“net share”查看系统共享情况,使用命令“net share 共享名 /del”删除共享,例如:net share IPC$ /del</p>
<p>
        “Win+R”键调出“运行”,输入regedit打开注册表编辑器,找到HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters,在右侧空白处,右击》新建》DWORD项,名称为 AutoShareServer,键值为 0。</p>
<p>
        <strong>3.3 网络限制</strong></p>
<p>
        WIN+R 打开“运行”,输入"secpol.msc"打开 安全设置-&gt;本地策略-&gt;安全选项,修改以下安全策略设置。</p>
<blockquote>
        <p>
                网络访问: 不允许 SAM 帐户的匿名枚举:已启用</p>
        <p>
                网络访问: 不允许 SAM 帐户和共享的匿名枚举:已启用</p>
        <p>
                网络访问: 将 Everyone 权限应用于匿名用户:已禁用</p>
        <p>
                帐户: 使用空密码的本地帐户只允许进行控制台登录:已启用</p>
</blockquote>
頁: [1]
查看完整版本: Windows server 2012服务器安全加固与web环境配置优化