# 权限设置 每个分区除 系统盘,仅保留(system和administrators权限)
# 计算机配置 - Windows设置 - 安全设置 - 帐户策略 - 密码策略:”密码最长使用期限”,设置为”0”(无期限)。
# 新建一个用户。也可以使用Administrator(内置管理员),但要启用批准模式,组策略,计算机配置 - Windows设置 - 安全设置 - 本地策略 - 安全选项,”用于内置管理员帐户的管理员批准模式”,设置为”已启用”,重启后生效。
# 计算机配置 - Windows设置 - 安全设置 - 本地策略 - 用户权限分配,“关闭系统设置为标准帐户类型的用户允许关机,增加你自己的管理员用户。重启
# 修改默认3389端口
注册表HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlTerminal ServerWds dpwdTds cp
注册表HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlTenninal ServerWinStationsRDP-Tcp
# 将远程关机、本地关机和用户权限分配只授权给Administrtors组
在“运行”中执行secpol.msc,打开“本地安全策略”窗口,依次打开“本地策略”-“用户权限分配”。
(1)双击右侧的“从远程系统强制关机”,只保留“Administrators组”并将其他用户组删除;
(2)双击右侧的“关闭系统”,只保留“Administrators组”并将其他用户组删除;
(3)双击右侧的“取得文件或其它对象的所有权”,只保留“Administrators组”并将其他用户组删除;
# 禁用不需要的服务(根据情况建议将以下服务改为禁用)
Print Spooler(管理所有本地和网络打印队列及控制所有打印工作)
Remote Registry(使远程用户能修改此计算机上的注册表设置)
Server(不使用文件共享可以关闭,关闭后再右键点某个磁盘选属性,“共享”这个页面就不存在了)
Shell Hardware Detection(为自动播放硬件事件提供通知)
TCP/IP NetBIOS Helper(提供 TCP/IP (NetBT) 服务上的NetBIOS 和网络上客户端的NetBIOS 名称解析的支持,从而使用户能够共享文件、打印和登录到网络)
Windows Remote Management(47001端口,Windows远程管理服务,用于配合IIS管理硬件,一般用不到)
Workstation(使用 SMB 协议创建并维护客户端网络与远程服务器之间的连接。如果此服务已停止,这些连接将无法使用。)
IP Helper(使用 IPv6 转换技术(6to4、ISATAP、端口代理和 Teredo)和 IP-HTTPS 提供隧道连接。)
Themes(为用户提供使用主题管理的体验。)
# 关闭“同步主机_xxx”服务
Windows 2016中有一个“同步主机_xxx”的服务,后面的xxx是一个数字,每个服务器不同。需要手动关闭,操作如下:
首先在“运行”中执行regedit打开注册表,然后在 HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServices 下面找到 OneSyncSvc、OneSyncSvc_xxx、UserDataSvc和UserDataSvc_xxx四个项,依次将其中的 start 值修改为4,退出注册表然后重启服务器即可。
# 关闭IPC共享
停止并禁用 Server服务的话就不会出现IPC共享,在注册表中找到 HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServiceslanmanserverparameters,在右侧空白处右键,依次选择“新建”-“DWORD项”,名称设置为AutoShareServer,键值设置为0。
# 关闭445端口(根据实际情况处理)
445端口是netbios用来在局域网内解析机器名的服务端口,一般服务器不需要对LAN开放什么共享,所以可以关闭。打开注册表,在HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesNetBTParameters位置,在右侧右键并依次选择“新建”-“Dword值”,名称设置为SMBDeviceEnabled,值设置为0。
# 关闭5355端口(LLMNR)
LLMNR本地链路多播名称解析,也叫多播DNS,用于解析本地网段上的名称,可以通过组策略关闭将其关闭。打开“运行”,输入gpedit.msc打开“本地组策略编辑器”,依次选择“计算机配置”-“管理模板”-“网络”-“DNS客户端”,在右侧双击“关闭多播名称解析”项,然后设置为“已禁用”。
设置完成之后,在命令行(管理员身份)中执行 gpupdate /force 使其立即生效
# 增强审核
对系统事件进行记录,在日后出现故障时用于排查审计。在“运行”中执行secpol.msc命令,打开“本地安全策略”窗口,依次选择“安全设置”-“本地策略”-“审核策略”,建议将里面的项目设置如下:
审核策略更改:成功
审核登录事件:成功,失败
审核对象访问:成功
审核进程跟踪:成功,失败
审核目录服务访问:成功,失败
审核特权使用:失败
审核系统事件:成功,失败
审核帐户登录事件:成功,失败
审核帐户管理:成功,失败
# 设置防火墙
WF.msc 仅开放ICMP和需要的远程和应用端口
# 设置屏保,使本地攻击者无法直接恢复桌面控制
打开“控制面板”,依次进入“外观和个性化”-“个性化”-“屏幕保护程序”,选择某一个屏保,然后选中“在恢复时显示登录屏幕”,并将等待时间设置为10分钟。
# 关闭Windows自动播放功能
在“运行”中执行gpedit.msc命令,依次打开“计算机配置”-“管理模板”-“Windows组件”-“自动播放策略”,双击“关闭自动播放”,然后选择“已启用”。
参考资料: