系统更新设置
替换Windows更新效劳器
若是你以为默认的Windows更新效劳器较量慢,或者若是选择了阿里云或腾讯云效劳器的话,可以替换Windows效劳器。
右键最先菜单图标,选择“运行”,然后输入gpedit.msc
,依次选择 “盘算机设置” – “治理模板” – “Windows 组件” – “Windows 更新”,双击“指定 Intranet Microsoft 更新效劳位置”:
选中?已启用
,然后设置检测更新的Intranet更新效劳和统计效劳器,若是是阿里云经典网络可以设置成?http://windowsupdate.aliyun-inc.com
,阿里云VPC网络可以设置成?http://update.cloud.aliyuncs.com
,腾讯云可以设置成?http://windowsupdate.tencentyun.com
,备用下载效劳器设置成?http://wsus.neu.edu.cn
。
启用并允许自动更新
双击“允许自动更新连忙装置”,选择“已启用”启用自动更新。然后双击“设置自动更新”,选中“已启用”并设置成“自动下载并通知装置”,如下图:
设置完上述两步之后,需要以治理员角色执行下面的下令:
gpupdate /force
Cmd
Copy
解决执行自动更新时泛起的 0x8024401f 和 0x8024401c 过失
完成上述操作之后,选择最先菜单-设置,执行检查更新,检查一下是否正常。
若是泛起 0x8024401f 或 0x8024401c 过失的话,以治理员身份执行下面的下令:
-
net stop wuauserv
-
reg delete HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate
-
net start wuauserv
Cmd
Copy
系统账号清静
设置账号清静战略
在“运行”中执行secpol.msc
下令,翻开“外地清静战略”,举行如下设置:
(1)“账户设置”-“密码战略”
设置合适的密码重漂后,增强密码的强度。参考设置如下:
(2)“账户设置”-“账户锁定战略”
设置账号密码蜕化之后的锁准时间,需要先设置“账户锁定阀值”才华设置其他两项,参考设置如下:
(3)“外地战略”-“清静选项”
将“交互式登录: 不显示最后的用户名”设置为“启用”状态。
检查并优化账号
将账户清静设置完成之后,再对系统的账号举行优化。在“运行”中执行compmgmt.msc
下令,翻开“盘算机治理”,然后在“系统工具”-“外地用户和组”-“用户”中审查是否有不必的账户,将不必的账户删除或停用。除此之外,还要在下令行中使用?net user
?下令审查一遍有没有多余的账号(有的账号会在盘算机治理中隐藏),可以使用?net user <username> /del
?下令删除对应的账号。
将默认的治理员用户名 Administrator 举行重命名,并且建议重新设置新的治理员密码。
榨取系统自动登录
系统休眠重新激活之后,需要密码才华登录系统。在“运行”中输入?control userpasswords2
,翻开“用户账户”,然后启用“要是用本机,用户必需输入用户名和密码”的选项。
远程会见清静
更改远程终端默认3389端口
将默认的远程终端端口3389修改成其他的端口。运行regedit
翻开注册表程序,需要修改注册表的两个地方:
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Terminal Server\Wds\repwd\Tds\tcp
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\TerminalServer\WinStations\RDP-Tcp
将上述两个地方右侧?PortNumber
的值修改成新的端口号(建议将基数设置为十进制):
设置完成之后关闭注册表,然后重启效劳器之后即可生效。若是设置防火墙的话,注重新端口加入防火墙的白名单中。
将远程关机、外地关机和用户权限分派只授权给Administrtors组
在“运行”中执行secpol.msc
,翻开“外地清静战略”窗口,依次翻开“外地战略”-“用户权限分派”。
(1)双击右侧的“从远程系统强制关机”,只保存“Administrators组”并将其他用户组删除;
(2)双击右侧的“关闭系统”,只保存“Administrators组”并将其他用户组删除;
(3)双击右侧的“取得文件或其它工具的所有权”,只保存“Administrators组”并将其他用户组删除;
将远程登录账户设置为详细的治理员账号
指定特定的治理员账号而不是Administrtors组,将增强登录系统的清静性,就算通过误差建设了Administrtors组的账号,也无法登录系统。
在“运行”中执行secpol.msc
,翻开“外地清静战略”窗口,依次翻开“外地战略”-“用户权限分派”。双击右侧的“从网络会见此盘算机”,将所有的用户组删除,然后点击下面的“添加用户或组…”按钮,点击“高级”按钮,然后点击“连忙盘问”按钮,从盘问的效果中选择治理员的账号,然后依次确定生涯;
系统网络清静
关闭不需要的效劳
在“运行”中执行?services.msc
?下令,翻开“效劳”,凭证情形建议将以下效劳改为禁用:
Application Layer Gateway Service(为应用程序级协议插件提供支持并启用网络/协议毗连)
Background Intelligent Transfer Service(使用空闲的网络带宽在后台传输文件。若是效劳被停用,例如Windows Update 和 MSN Explorer的功效将无法自动下载程序和其他信息)
Computer Browser(维护网络上盘算机的更新列表,并将列表提供应盘算机指定浏览)
DHCP Client
Diagnostic Policy Service
Distributed Link Tracking Client
Distributed Transaction Coordinator
DNS Client
Print Spooler(治理所有外地和网络打印行列及控制所有打印事情)
Remote Registry(使远程用户能修改此盘算机上的注册表设置)
Server(不使用文件共享可以关闭,关闭后再右键点某个磁盘选属性,“共享”这个页面就不保存了)
Shell Hardware Detection
TCP/IP NetBIOS Helper(提供 TCP/IP (NetBT) 效劳上的NetBIOS 和网络上客户端的NetBIOS 名称剖析的支持,从而使用户能够共享文件、打印和登录到网络)
Task Scheduler(使用户能在此盘算机上设置和妄想自动使命)
Windows Remote Management(47001端口,Windows远程治理效劳,用于配合IIS治理硬件,一样平常用不到)
Workstation(建设和维护到远程效劳的客户端网络毗连。若是效劳阻止,这些毗连将不可用)
关闭“同步主机_xxx”效劳
Windows 2016中有一个“同步主机_xxx”的效劳,后面的xxx是一个数字,每个效劳器差别。需要手动关闭,操作如下:
首先在“运行”中执行regedit
翻开注册表,然后在?HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services
?下面找到?OneSyncSvc
、OneSyncSvc_xxx
、UserDataSvc
和UserDataSvc_xxx
四个项,依次将其中的?start
?值修改为4,退出注册表然后重启效劳器即可。
关闭IPC共享
若是在上面阻止并禁用?Server
效劳的话就不会泛起IPC共享了,执行?net share
?下令之后会提醒“没有启动Server效劳”,不然会类似C$、D$等默认共享,可以使用?net share C$ /del
?下令举行删除。
在注册表中找到?HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters
,在右侧空缺处右键,依次选择“新建”-“DWORD项”,名称设置为AutoShareServer
,键值设置为0。
关闭139端口(Netbios效劳)、445端口、5355端口(LLMNR)
(1)关闭139端口
依次翻开“控制面板”-“审查网络状态和使命”,然后点击左侧的“更改适配器设置”,在网络毗连中双击激活的网卡,点击“属性”按钮,双击“Internet 协议版本 4(TCP/IPv4)”,在翻开的窗口中点击右下角的“高级”按钮,然后选择上面的“WINS”标签,在“NetBIOS设置”中选择“禁用 TCP/IP上的NetBIOS”,最后依次“确定”。
关闭此功效,你效劳器上所有共享效劳功效都将关闭,别人在资源治理器中将看不到你的共享资源。这样也避免了信息的泄露。
(2)关闭445端口
445端口是netbios用来在局域网内剖析机械名的效劳端口,一样平常效劳器不需要对LAN开放什么共享,以是可以关闭。翻开注册表,在HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NetBT\Parameters
位置,在右侧右键并依次选择“新建”-“Dword值”,名称设置为SMBDeviceEnabled
,值设置为0。
(3)关闭5355端口(LLMNR)
LLMNR外地链路多播名称剖析,也叫多播DNS,用于剖析外地网段上的名称,可以通过组战略关闭将其关闭。翻开“运行”,输入gpedit.msc
翻开“外地组战略编辑器”,依次选择“盘算机设置”-“治理模板”-“网络”-“DNS客户端”,在右侧双击“关闭多播名称剖析”项,然后设置为“已禁用”。
网络会见限制
在“运行”中执行?secpol.msc
?翻开“外地清静战略”,翻开“清静设置”-“外地战略”-“清静选项”,设置下面的战略:
网络会见: 不允许 SAM 帐户的匿名枚举:已启用
网络会见: 不允许 SAM 帐户和共享的匿名枚举:已启用
网络会见: 将 Everyone 权限应用于匿名用户:已禁用
帐户: 使用空缺密码的外地帐户只允许举行控制台登录:已启用
设置完成之后,在下令行(治理员身份)中执行?gpupdate /force
?使其连忙生效。
日志审计
增强日志纪录
增大日志量巨细,阻止由于日志文件容量过小导致日志纪录不全。在“运行”中执行eventvwr.msc
下令,翻开“事务审查器”窗口,翻开“Windows 日志”文件,划分右键下面的“应用程序”、“清静”和“系统”项,选择“属性”,修改“日志最大巨细”为 20480。
增强审核
对系统事务举行纪录,在日后泛起故障时用于排查审计。在“运行”中执行secpol.msc
下令,翻开“外地清静战略”窗口,依次选择“清静设置”-“外地战略”-“审核战略”,建议将内里的项目设置如下:
审核战略更改:乐成
审核登录事务:乐成,失败
审核工具会见:乐成
审核历程跟踪:乐成,失败
审核目录效劳会见:乐成,失败
审核系统事务:乐成,失败
审核帐户登录事务:乐成,失败
审核帐户治理:乐成,失败
上面的项目设置乐成之后,在“运行”中执行?gpupdate /force
?下令使设置连忙生效。
开启并设置防火墙
若是使用了云效劳器(如阿里云、腾讯云等),云效劳商会提供一个防火墙工具,通常是放在路由级别的,使用起来更利便,若是误操作的话也不会将自己扫除在效劳器上,因此建议优先接纳云效劳商提供的防火墙。
开启或关闭Windows防火墙
翻开“控制面板”,依次选择“系统和清静”-“Windows防火墙”,选择左侧的“启用或关闭Windows防火墙”,凭证需要选择启用或关闭Windows防火墙。若是接纳了云效劳商提供的防火墙的话,建议将Windows防火墙关闭。PS:开启防火墙之前需要允许远程登录的端口会见,不然远程毗连会中止!
允许特定的端口会见
这里以Windows防火墙为例举行说明(着实云效劳商提供的防火墙规则是类似的),条件是防火墙是启用的。在“运行”中执行?WF.msc
?翻开“高级清静 Windows 防火墙”,点击左侧的“入站规则”,然后点击右侧的“新建规则…”翻开“新建入站规则向导”窗口,选择“端口”然后点击“下一步”按钮;端口类型选择“TCP”,下面选择“特定外地端口”,内里输入设置的远程登录端口以及Web端口,如:80, 433, 3389
,然后点击“下一步”按钮;选择“允许毗连”,然后点击“下一步”按钮;选中所有的选项,然后点击“下一步”;最后输入一个规则的名称,好比“允许远程毗连和Web效劳”,最后点击“完成”生涯。
关闭ICMP(禁ping)
凭证上面的办法翻开“高级清静 Windows 防火墙”并选中左侧的“入站规则”,从默认的规则内里双击“文件和打印机共享(回显请求 – ICMPv4-In)”,在“通例”中选中“已启用”,并在“操作”中选中“阻止毗连”,最后“确定”生涯即可。
其它清静设置
设置屏保,使外地攻击者无法直接恢复桌面控制
翻开“控制面板”,依次进入“外观和个性化”-“个性化”-“屏幕;こ绦颉,选择某一个屏保,然后选中“在恢复时显示登录屏幕”,并将期待时间设置为10分钟。
关闭Windows自动播放功效
在“运行”中执行gpedit.msc
下令,依次翻开“盘算机设置”-“挂你模板”-“所有设置”,双击“关闭自动播放”,然后选择“已启用”。