企业服务器安全篇之Windows Server _服务器安全

本文主要介绍以Microsoft的windows Server 2019 ，版本：Datacenter(Domain Controller)安全加固保护.
企业随着规模不断扩大，业务增多，信息安全建设是企业里一条只有重点没有终点的建设长路。在大多数企业都应用到了Microsoft的Domain Controller来管理计算机，企业里各类应用系统也使用了Domain 作为系统的SSO,统一身份认证和权限管理，凸显其重要性，一旦域控失陷，内部域内的Windows服务器则全部失陷，安全从开始就是一个亘古不变的话题，没有绝对安全，只有相对安全。以下从下面几点来讲Windows的服务器如何进行安全加固。
1.重要的账户安全策略2.网络访问的安全选项3.危险服务和端口的关闭4.系统的安全保护加固

文章插图
Windows Server 2019服务器管理器
1. Domain user全局策略之密码策略
打开组策略管理器，右击“开始”菜单，在“运行”中输入“gpmc.msc”命令打开组策略管理器，找到域名下的 Default Domain Policy并编辑.依次打开“计算机配置>Windows设置>安全设置>账户策略>密码策略” 。

文章插图
域用户的账户密码策略
1.1.1 密码必须符合复杂性要求，启用，要求密码符合复杂性要求。
1.1.2 密码长度最小值，密码字符长度至少≥8个字符。
1.1.3 密码最短使用期限， 0天。
1.1.4 密码最长使用期限， 90天。
1.1.5 密码强制历史， 5个，最近5个密码不能使用。
1.2 全局策略之账户锁定策略
依次打开“计算机配置>Windows设置>安全设置>账户策略>账户锁定策略” 。

文章插图
域用户的账户密码锁定策略
1.2.1 账户锁定时间30分钟。
1.2.2 账户锁定阈值5次无效登录。
1.2.3 重置账户锁定计算器30分钟之后。
1.3 远程会话
依次打开“计算机配置>策略>管理模板>Windows组件>远程桌面服务>远程桌面会话主机>会话时间限制” 。

文章插图
RDP远程会话
1.3.1设置活动的远程桌面服务会话时间限制， 5分钟。
2. 网络访问的安全选项

文章插图
安全选项策略
依次打开“计算机配置>策略>Windows设置>安全设置>本地策略>安全选项” 。
2.1.1 关机：清除虚拟内存页面文件， Enable 。
2.1.2 交互式登录：不显示最后的用户名， Enable 。
2.1.3 交互式登录：计算机不活动限制300s 。
2.1.4 交互式登录：提醒用户在过期之前更改密码， 7天或14天。
2.1.5 网络访问：可匿名访问的共享，清空原有配置，配置为空，。
2.1.6 网络访问：可匿名访问的命名管道，清空原有配置，配置为空。
2.1.7 网络访问：可远程访问的注册表路径，清空默认，不定义路径，不允许访问。
2.1.8 网络访问：可远程访问的注册表路径和子路径，同2.1.6 。
2.1.9 账户：来宾账户状态， Disabled 。
2.1.10 账户：重命名系统管理账户，系统默认账户Administrator,如重命名为JenniFer 。
2.1.11 账户：阻止Microsoft账户， Enable ，用户不能添加Microsoft账户或使用该账户登录。
注：第2.1.10条，禁用Administrator账户前，先添加其他用户到Administrator用户组，确认其他账户能登录服务器后再Disabled ， Administrator是用户中权限最高的，也是从外暴力破解Administrator用户密码的第一个账户，使用张冠李戴来迷惑对方。若不是公司内部维护的服务器，修改后可能导致不能访问，不确定的情况下最后不要修改。