上节我们介绍了“Linux安全加固10条建议”本节我们继续看Windows服务器安全加过10条建议。

以下是笔者刚在网上找到的一份2016年的服务器操作系统市场份额数据（https://shuhari.dev/blog/2019/7/win-server-not-dominated） 可以看到Windows服务器操作系统市场份额是比较高的。 但据我个人了解国内互联网公司的服务器市场Linux操作系统的份额要远远高于Windows服务器 ，主要原因是Linux开源免费，可以根据自己的业务进行量身定制。

Spiceworks报道的2016年服务器操作系统市场份额

相比Linux服务器Windows服务器也是有很庞大的用户群体，从国内使用Windows操作系统的用户看主要通过Windows服务器建站和存放数据等。去年“Windows远程桌面代码执行漏洞”也影响了很大的一批用户，这里我们来介绍一下如何加固我们的Windows服务器安全。

本文以腾讯云的Windows server 2012R2 作为测试环境。

1) 设置复杂密码

服务器设置大写、小写、特殊字符、数字组成的12-16位的复杂密码 ，也可使用密码生成器自动生成复杂密码，这里给您一个链接参考：https://suijimimashengcheng.51240.com/

2) 更改 3389 远程登录端口

先选择开始-->运行，输入regedit，点击确认，打开注册表，然后找到路径[HKEY_LOCAL_MACHINE\SYSTEM\CurrentContro1Set\Control\Tenninal Server\WinStations\RDP-Tcp]，到PortNamber，然后右键–>修改，选择到十进制，你就会看到现在您使用的端口号（默认值是3389），然后修改为您想要使用的端口就可以了，如3390，但是不要选择一些我们常用的端口或者您的软件需要使用的端口，否则会出现端口冲突。

[HKEY_LOCAL_MACHINE\SYSTEM \CurrentControlSet\Control\Terminal Server\Wds\rdpwd\Tds\tcp],也是找到PortNumber，同上面一样修改一下端口值3390就可以了

注意：修改完毕后，重启服务器，才会生效。 以下为3389端口登录工具介绍：

1.点击查看Windows 登录方式

2.点击查看Linux 登录方式

3. 点击查看Mac 登录方式(客户端连接服务器只支持默认3389端口)

3）腾讯云平台安全组功能

腾讯云平台有安全组功能，里面您只需要放行业务协议和端口，不建议放行所有协议所有端口，参考文档：https://cloud.tencent.com/document/product/215/20398

4) 帐户锁定策略

对于采用静态口令认证技术的设备，应配置当用户连续认证失败次数超过10次后，锁定该用户使用的帐户。

操作步骤

打开 控制面板 > 管理工具 > 本地安全策略，在 帐户策略 > 帐户锁定策略 中，配置 帐户锁定阈值 不大于10次。

帐户锁定策略

5）账户安全

Windows服务器一般默认情况下会禁用guest账户，同时服务器只保留guest(禁用状态)和administrator(管理员)账户。

禁用Guest账户。

禁用或删除其他无用账户（建议先禁用账户三个月，待确认没有问题后删除。）

操作步骤

打开 控制面板 > 管理工具 > 计算机管理，在 系统工具 > 本地用户和组 > 用户 中，双击 Guest 帐户，在属性中选中 帐户已禁用，单击 确定。

账户安全

6） 不显示最后的用户名

配置登录登出后，不显示用户名称。

操作步骤：

打开 控制面板 > 管理工具 > 本地安全策略，在 本地策略 > 安全选项 中，双击 交互式登录:不显示最后的用户名，选择 已启用 并单击 确定。

不显示最后的用户名

7)  授权

远程关机

在本地安全设置中，从远端系统强制关机权限只分配给Administrators组。

操作步骤

打开控制面板>管理工具>本地安全策略，在本地策略>用户权限分配中，配置从远端系统强制关机权限只分配给Administrators组。

本地关机

在本地安全设置中关闭系统权限只分配给Administrators组。

操作步骤

打开控制面板>管理工具>本地安全策略，在本地策略>用户权限分配中，配置关闭系统权限只分配给Administrators组。

用户权限指派

在本地安全设置中，取得文件或其它对象的所有权权限只分配给Administrators组。

操作步骤

打开控制面板>管理工具>本地安全策略，在本地策略>用户权限分配中，配置取得文件或其它对象的所有权权限只分配给Administrators组。

授权帐户登录

在本地安全设置中，配置指定授权用户允许本地登录此计算机。

操作步骤

打开控制面板>管理工具>本地安全策略，在本地策略>用户权限分配中，配置允许本地登录权限给指定授权用户。

授权帐户从网络访问

在本地安全设置中，只允许授权帐号从网络访问（包括网络共享等，但不包括终端服务）此计算机。

操作步骤

打开控制面板>管理工具>本地安全策略，在本地策略>用户权限分配中，配置从网络访问此计算机权限给指定授权用户。

8) 日志配置操作

日志配置

审核登录

设备应配置日志功能，对用户登录进行记录。记录内容包括用户登录使用的帐户、登录是否成功、登录时间、以及远程登录时、及用户使用的IP地址。

操作步骤

打开 控制面板 > 管理工具 > 本地安全策略，在 本地策略 > 审核策略 中，设置 审核登录事件。

审核策略

启用本地安全策略中对Windows系统的审核策略更改，成功和失败操作都需要审核。

操作步骤

打开 控制面板 > 管理工具 > 本地安全策略，在 本地策略 > 审核策略 中，设置 审核策略更改。

审核对象访问

启用本地安全策略中对Windows系统的审核对象访问，成功和失败操作都需要审核。

操作步骤

打开 控制面板 > 管理工具 > 本地安全策略，在 本地策略 > 审核策略 中，设置 审核对象访问。

审核事件目录服务访问

启用本地安全策略中对Windows系统的审核目录服务访问，仅需要审核失败操作。

操作步骤

打开 控制面板 > 管理工具 > 本地安全策略，在 本地策略 > 审核策略 中，设置 审核目录服务器访问。

审核特权使用

启用本地安全策略中对Windows系统的审核特权使用，成功和失败操作都需要审核。

操作步骤

打开 控制面板 > 管理工具 > 本地安全策略，在 本地策略 > 审核策略 中，设置 审核特权使用。

审核系统事件

启用本地安全策略中对Windows系统的审核系统事件，成功和失败操作都需要审核。

操作步骤

打开 控制面板 > 管理工具 > 本地安全策略，在 本地策略 > 审核策略 中，设置 审核系统事件。

审核帐户管理

启用本地安全策略中对Windows系统的审核帐户管理，成功和失败操作都要审核。

操作步骤

打开 控制面板 > 管理工具 > 本地安全策略，在 本地策略 > 审核策略 中，设置 审核帐户管理。

审核过程追踪

启用本地安全策略中对Windows系统的审核进程追踪，仅失败操作需要审核。

操作步骤

打开 控制面板 > 管理工具 > 本地安全策略，在 本地策略 > 审核策略 中，设置 审核进程追踪。

9) 备份重要数据

推荐使用云硬盘做数据备份，详细见视频 (https://www.bilibili.com/video/av93747306)

使用cosbrowser (https://console.cloud.tencent.com/cos5/cosbrowser)

10) 其他配置

防病毒管理

Windows系统需要安装防病毒软件。如安装“腾讯管家”预防病毒或及时的漏洞更新。

漏洞相关

详细见https://console.cloud.tencent.com/ssav2/vulner

设置屏幕保护密码和开启时间

设置从屏幕保护恢复时需要输入密码，并将屏幕保护自动开启时间设定为五分钟。

操作步骤

启用屏幕保护程序，设置等待时间为 5分钟，并启用 在恢复时使用密码保护。

限制远程登录空闲断开时间

对于远程登录的帐户，设置不活动超过时间15分钟自动断开连接。

操作步骤

打开 控制面板 > 管理工具 > 本地安全策略，在 本地策略 > 安全选项 中，设置 Microsoft网络服务器：暂停会话前所需的空闲时间数量 属性为15分钟。

End...

参考资料

Windows操作系统安全加固:https://help.aliyun.com/knowledge_detail/49781.html