Windows Server 安全策略配置_windows server 本地安全策略

前言

Windows Server是由微软开发的一种操作系统，主要用于在企业或机构的服务器上运行。它提供了一系列的功能和工具，旨在提高服务器的性能、可靠性、安全性和管理性。

特点

1. 强大的性能：Windows Server具有高度优化的内核和资源管理，能够处理大量的并发请求并提供快速响应。

2. 高可靠性：Windows Server提供了故障转移和容错功能，使服务器能够保持连续运行，并能够自动处理硬件或软件故障。

3. 安全性：Windows Server具有多层次的安全措施，包括访问控制、身份验证、加密和防火墙等功能，可以保护服务器免受恶意攻击和数据泄露。

4. 管理性：Windows Server提供了多种工具和界面，使管理员能够轻松地管理和监控服务器，包括远程管理、服务器部署和配置、性能监控等功能。

5. 兼容性：Windows Server可以与其他Windows操作系统和应用程序无缝集成，方便用户进行跨平台的操作和数据共享。

此外，Windows Server还支持多种服务器角色和服务，如域控制器、文件服务器、Web服务器、数据库服务器等，可以根据具体的需求选择适合的配置和功能。同时，Windows Server还提供了广泛的支持和技术服务，使用户能够获得及时的帮助和支持。

业务场景

Windows Server在业务场景中的应用广泛，包括但不限于以下几个方面：

1. 文件共享和存储：Windows Server提供了可靠的文件共享和存储功能，能够满足企业对文件共享和存储的需求。企业可以使用Windows Server来创建文件共享服务器，为用户提供共享文件和文件夹的访问权限。

2. 应用程序托管：Windows Server支持运行和托管各种应用程序，包括Web应用程序、数据库服务器、邮件服务器等。通过Windows Server，企业可以轻松地部署和管理这些应用程序。

3. 虚拟化：Windows Server提供了强大的虚拟化功能，如Hyper-V，使企业能够在一台物理服务器上运行多个虚拟机。这种虚拟化技术可以提高服务器资源利用率，减少硬件成本，并简化服务器管理。

4. 远程桌面服务：Windows Server提供了远程桌面服务，使用户能够通过互联网远程访问和管理服务器。这种远程桌面服务在远程办公和远程维护中非常有用。

安全性

就版本的安全性来说，Windows Server不同版本的安全性有所差异，但总体来说，微软一直致力于提高Windows Server的安全性，并定期发布安全补丁来解决已知的安全漏洞。微软还提供了一些安全功能和工具，如Windows Defender防病毒软件、Windows防火墙、Active Directory等，帮助企业保护服务器免受恶意软件、网络攻击和数据泄露等威胁。

然而，作为一款广泛应用的操作系统，Windows Server仍然面临各种安全威胁，包括零日漏洞、恶意软件、网络攻击等。因此，企业在使用Windows Server时应注意及时安装安全补丁、配置适当的安全策略，以及使用安全性能良好的第三方安全工具来加强服务器的安全性。

加固的意义

对Windows Server系统进行加固的重要意义包括以下几点：

1. 提高系统安全性：加固可以修补系统漏洞并减少系统受到攻击的风险。加固措施可以提供更强的用户身份验证、访问控制和数据加密，从而保护系统免受未经授权的访问和数据泄露的威胁。

2. 保护重要数据：加固可以加强对重要数据的保护。通过加密和访问控制等措施，可以防止敏感数据被未经授权的用户或恶意攻击者访问和篡改。

3. 防止系统中毒和入侵：加固可以减少系统被恶意软件和病毒感染的风险。通过限制外部访问、更新系统补丁和安装安全软件等措施，可以防止恶意软件在系统中传播和破坏。

4. 提高系统稳定性：加固可以增强系统的稳定性和可靠性。通过修复系统漏洞和优化系统配置，可以减少系统崩溃和错误，提高系统的运行效率和可用性。

5. 符合法规和合规要求：许多行业和组织都有安全合规要求，对系统进行加固可以满足这些要求，确保系统和数据的安全性，避免违反法规和规定导致的法律责任和罚款。

      对Windows Server系统进行加固具有重要的意义，可以提高系统安全性、保护重要数据、防止系统中毒和入侵、提高系统稳定性，并满足法规和合规要求。

Windows Server安全配置

（一）、本地安全策略

1、密码安全策略

      启用“密码必须符合复杂性要求”，更改“密码最小值”为10个字符，修改“密码最长使用期限”为30天，禁用“可还原的加密来存储密码”。

为什么要启用“密码复杂性”要求？

        启用密码复杂性要求的目的是为了增加密码的安全性。通过设置密码复杂性要求，可以强制用户选择更强的密码，从而降低被猜解或破解密码的风险。

        具体来说，密码复杂性要求通常包括以下要素： 1.密码长度：要求密码长度达到一定的最小值，通常是8个字符以上，以增加密码的熵值，使其更难以被猜测。 2.字符类型：要求密码包含不同种类的字符，如大写字母、小写字母、数字和特殊字符。这样可以增加密码的组合可能性，减少被暴力破解的风险。 3.禁止常见密码：要求密码不得使用常见的密码，如"123456"、"password"等，以避免容易被猜测的弱密码。

       通过启用密码复杂性要求，可以提高密码的强度和安全性，减少被黑客攻击的风险。同时，这也是一种防范措施，以防止用户使用过于简单或容易被猜测的密码，从而保护其个人资料和敏感信息的安全。

为什么要设置“密码长度最小值”为10以上？

        设定“密码长度最小值”为10以上是为了增加密码的安全性。较短的密码长度容易受到暴力破解、字典攻击等常见攻击手段的影响，使密码容易被破解。较长的密码长度可以增加密码的复杂度，增加破解密码的难度。通常情况下，密码长度增加1位，其可能的组合数量就会增加数倍，这使得破解密码所需要的时间和计算能力大大增加。因此，将“密码长度最小值”设置为10以上可以提高密码的安全性，减少密码被破解的风险。

密码最长使用期限为什么要控制在30天以下？

1. 防止密码泄露：如果密码长时间未更换，可能会被他人猜测或者盗取，从而导致账户被攻击或者信息被窃取。

2. 应对技术漏洞：技术不断发展，新的漏洞和攻击方式随之出现。经常更换密码可以减少被利用漏洞的风险。

3. 限制密码重复使用：如果密码长期不更换，可能会被多个账户重复使用。一旦一个账户被攻破，其他账户的安全性也将受到威胁。

4. 提醒用户重视密码安全：密码定期更换的要求可以提醒用户重视密码安全，并且更换为更强大和复杂的密码，进一步保护账户的安全。

尽管密码更换频率也不能太频繁，以免用户记不住密码或者出现安全隐患。因此，将密码最长使用期限控制在30天以下，可以在保证安全的同时，也方便用户管理密码。

为什么要禁用“用可还原的加密来存储密码”？

禁用"用可还原的加密来存储密码"的原因是因为这种做法在安全性上存在风险。可还原加密是指使用一种算法对密码进行加密，然后可以使用相同的算法进行解密还原成明文密码。

1. 数据泄露：如果存储密码的数据库遭到黑客攻击或者泄露，黑客可以获取到加密后的密码，并且使用相同的加密算法进行解密得到明文密码。这样一来，黑客就能够轻松地获取用户的密码，从而对用户账户进行入侵。

2. 内部威胁：如果有内部人员（如系统管理员）恶意获取到加密后的密码，他们同样可以使用相同的解密算法将密码还原成明文密码。这样，他们就可以非法地访问用户账户或者滥用用户的信息。

3. 弱口令暴力破解：如果攻击者获取到加密后的密码，并且知道加密算法，他们可以使用暴力破解的方式尝试不同的明文密码，直到找到匹配的密码。与使用不可逆的哈希函数存储密码相比，可还原加密使得密码更容易受到暴力破解的攻击。

为了保护用户的密码安全，应该使用不可还原的哈希函数对密码进行加密。哈希函数是一种单向函数，它将明文密码转换为固定长度的密文，而且无法通过密文还原出明文密码。这意味着即使黑客获取到密码的哈希值，也无法得知最初的明文密码。而且，合理使用哈希函数还可以通过加盐（salt）和多次加密等技术增加密码的安全性。

2、账户锁定策略

      将“账户锁定阈值”设置为6次无效登陆，“账户锁定时间”和“重置账户锁定计数器”设置为1分钟/之后。

为什么要设置“账户锁定阈值”？

       设置账户锁定阈值是为了提高账户的安全性和防止恶意攻击。当一个账户发生了多次登录失败或密码错误的情况时，系统可以根据设定的锁定阈值来判断账户是否被暴力破解或恶意攻击，如果超过了阈值，系统会自动锁定该账户，禁止登录。这样可以有效地防止黑客通过尝试多个密码来破解账户，保护账户的安全。同时，账户锁定阈值也可以帮助用户及时发现自己的账户可能存在的安全风险，提醒用户加强账户的安全措施，如修改密码或启用多重身份验证等。

为什么要设置“账户锁定时间”和“重置账户锁定计数器”，有什么作用？

设置“账户锁定时间”和“重置账户锁定计数器”是为了增强账户安全性和防止恶意登录行为。

1. 账户锁定时间：当用户连续多次输入错误的密码时，系统会将其账户锁定一段时间，使其无法再次尝试登录。这样可以防止恶意攻击者通过尝试大量的密码组合来破解账户密码，提高了账户的安全性。

2. 重置账户锁定计数器：在账户锁定时间过后，可以选择重置账户锁定计数器。这意味着用户在下次登录时，如果再次输入错误的密码，将重新计算账户锁定的时间。这样可以给用户一个机会通过正确的密码登录账户，同时避免了账户永久锁定的情况出现。

3、安全选项加固

       将“可匿名访问的共享”和“可匿名访问的命名隧道”一栏的路径全部清空。

为什么清空“可匿名访问的共享”和“可匿名访问的命名隧道”的路径信息？

        清空“可匿名访问的共享”和“可匿名访问的命名隧道”的路径信息通常是出于安全考虑。这些路径信息可能包含敏感信息或者是系统的一部分，如果被不明身份的用户或者程序访问，可能会导致安全漏洞或者信息泄露。因此，为了保障系统和网络的安全性，有时需要清空这些路径信息，限制只有授权的用户或程序才能访问这些共享或者命名隧道。

        清空“可匿名访问的共享”和“可匿名访问的命名隧道”的路径信息可能会降低系统的易用性，因为某些用户可能需要访问这些共享或者命名隧道来完成工作。但是为了确保系统的安全性，有时需要在安全性和易用性之间进行权衡，采取一些安全措施来保护系统免受未经授权的访问。

       在实施这种安全措施时，通常会采取其他的安全措施来替代，比如限制访问权限、加密敏感信息、监控系统访问等，以提供必要的安全保护同时又不影响用户的正常工作。

4、审核策略

如果需要记录运维人员和未授权访问（黑客）的操作、堡垒机接收预警，那么请务必全部开启。

5、用户权限分配

关闭系统的用户只保留超级管理员。

为什么关闭系统的用户只保留超级管理员，有什么作用？

        关闭系统的所有用户，只保留超级管理员账户通常是出于安全考虑。以下是这种做法的一些作用和优势：

1. **最小化攻击面：** 每个用户账户都是系统的一个潜在攻击目标。通过关闭所有用户账户，只保留超级管理员账户，可以大大减少系统的攻击面，降低系统被攻击的风险。

2. **简化权限管理：** 只保留超级管理员账户，可以简化权限管理。管理员只需要管理一个账户，减少了权限管理的复杂性和可能的错误。

3. **增强审计和监控：** 通过只保留一个账户，可以更容易地对系统的访问进行审计和监控。管理员可以更加关注超级管理员账户的活动，及时发现并应对潜在的安全威胁。

4. **降低用户错误：** 减少系统中的用户数量可以降低因用户错误导致的安全问题的可能性。因为只有管理员能够访问系统，所以用户的错误不太可能对系统造成严重影响。

尽管只保留超级管理员账户可以提供一定的安全性，但也存在一些缺点。例如，如果管理员账户被攻击或者出现问题，可能会导致系统无法访问或者管理。因此，在实施这种做法时，需要谨慎考虑，并且采取额外的安全措施来保护超级管理员账户。

6、安全选项

匿名访问、远程访问的设置为空。Everyone权限不能给予匿名用户。

为什么匿名访问、远程访问的目录和路径为空？Everyone权限为什么不能给予匿名用户？

         匿名访问和远程访问的目录和路径为空通常是出于安全考虑。以下是一些原因：

1. **减少攻击面：** 将匿名访问和远程访问的目录和路径设置为空可以减少系统的攻击面。如果未经身份验证的用户可以访问特定的目录或路径，可能会导致安全漏洞或者敏感信息泄露。

2. **防止信息泄露：** 如果目录和路径中包含敏感信息，将其设置为空可以避免这些信息被未经授权的用户访问到。这样可以保护系统中的敏感信息不被泄露。

3. **遵循最小权限原则：** 将匿名访问和远程访问的目录和路径设置为空是遵循最小权限原则的一种做法。只有明确需要被访问的目录和路径才应该开放给相应的用户，而不是给予所有用户访问权限。

       至于为什么不能将Everyone权限赋予匿名用户，这主要是因为Everyone权限会授予所有已知和未知用户对资源的访问权限。如果给予匿名用户Everyone权限，意味着任何人都可以访问资源，这可能会导致安全风险。相反，应该根据实际需要，仅给予必要的用户或用户组适当的访问权限，以确保系统的安全性。

禁用来宾账户并重命名、重命名系统管理员账户。

为啥要禁用来宾账户并重命名、重命名系统管理员账户？

       禁用来宾账户并重命名系统管理员账户是一种提高系统安全性的措施，以下是一些原因：

1. **减少攻击面：** 来宾账户通常拥有较低的权限，但仍可能成为系统的攻击目标。禁用来宾账户可以减少系统的攻击面，降低系统被攻击的风险。

2. **防止未经授权的访问：** 来宾账户可能被攻击者利用来进行未经授权的访问或活动。禁用来宾账户可以防止攻击者利用来宾账户进行恶意活动。

3. **提高系统的安全性：** 禁用来宾账户并重命名系统管理员账户可以提高系统的安全性。重命名系统管理员账户可以降低攻击者对系统管理员账户的攻击成功率，因为攻击者通常会利用默认的系统管理员账户来进行攻击。

4. **增加身份识别的难度：** 重命名系统管理员账户可以增加攻击者识别有效账户的难度。攻击者通常会利用已知的系统管理员账户来进行攻击，通过重命名系统管理员账户，可以降低攻击成功的可能性。

       禁用来宾账户并重命名系统管理员账户是一种提高系统安全性的有效措施，可以减少系统面临的风险，并增加攻击者攻击的难度。然而，这并不是唯一的安全措施，还需要结合其他安全措施来全面提高系统的安全性。     

到这里，安全策略阶段的配置完成。