应急响应 | windows安全加固
文章介绍了Windows Server 2016的安全加固实验,包括设置密码安全策略、账户锁定策略、安全远程管理方式及修改默认端口等步骤,以提升系统安全性。 2025-10-20 01:23:23 Author: www.freebuf.com(查看原文) 阅读量:1 收藏

windows安全加固

【实验目的】

通过本实验可掌握Windows Server2016的加固方法。

【知识点】

1. Windows server2016

Windows Server 2016是微软发布的服务器操作系统。它是Windows Server家族中的一员,它于2016年9月首次发布,是Windows Server 2012 R2的后续版本。
Windows Server 2016基于Long-Term Servicing Branch 1607内核开发,引入了许多新功能和改进,旨在提供更高效、安全和可靠的服务器环境。其中一些主要特性包括:
Nano Server:一种最小化安装配置的操作系统,适用于云环境和容器化应用。
Hyper-V增强:提供了更好的虚拟化性能和扩展性,并引入了新的虚拟机格式和功能。
Windows容器:支持使用Docker技术进行容器化应用程序的部署和管理。
活动目录增强:包括更快速的域控制器部署、更好的安全性和多租户支持等功能。
密码保护凭据:提供了更强大的凭据保护功能,包括使用虚拟化技术隔离敏感信息。
Shielded VMs:提供对虚拟机的加密和保护,以防止未经授权的访问。
Windows Server 2016还具有许多其他功能和改进,如存储空间直通、网络控制器、远程桌面服务等。它被广泛用于企业级应用、云计算环境和虚拟化平台中,为用户提供强大的服务器操作系统。

2. 安全加固

安全加固是对信息系统中的主机系统(包括主机所运行的应用系统)与网络设备、安全设备的脆弱性进行分析并修补。另外,安全加固也包括了对主机系统的身份鉴别与认证、访问控制和审计跟踪策略的增强。
安全加固是配置软件系统的过程,针对服务器操作系统、数据库及应用中间件等软件系统,堵塞漏洞“后门”,合理进行安全性加强,提高其健壮性和安全性,增加攻击者入侵的难度,系统安全防范水平得到大幅提升。

【实验原理】

Windows Server 2016操作系统,具有高性能、高可靠性和高安全性等特点。 Windows Server 2016在默认安装的时候,基于安全的考虑已经实施了很多安全策略,但由于服务器操作系统的特殊性,在默认安装完成后还需要对其进行安全加固,进一步提升服务器操作系统的安全性,保证应用系统以及数据库系统的安全。

【软件工具】

  • 服务器:Windows server 2016一台。

【实验目标】

完成window server 2016安全加固

【实验步骤】

启动实验环境,登录虚拟机。设备登录账号密码为Administrator/com.1234。

1. 设置密码安全策略

(1)单击【开始】→【windows管理工具】→【本地安全策略】菜单,弹出【本地安全策略】对话框。如图所示。

image-20240507193417690

(2)单击【帐户策略】→【密码策略】菜单。进入【密码策略】配置页面,双击【密码必须符合复杂性要求】选项。如图所示。

image-20240507193526150

(3)在弹出的【密码必须符合发杂性要求 属性】对话框中,选择【已启用】选项,单击【确定】按钮,开启密码必须符合复杂度要求。如图所示。

image-20240507193600856

(4)单击【密码长度最小值】选项,在弹出的【密码长度最小值 属性】对话框中,设置【密码必须最小是】8字符(也可更长,可根据实际需求设置),设置完成后,单击【确定】按钮。如图所示。

image-20240507193640087

(5)单击【密码最短使用期限】选项,在弹出的【密码最短使用期限 属性】对话框中,设置密码最短使用期限为2天,设置完成后,单击【确定】按钮。如图所示。

image-20240507193721976

(6)单击【密码最长使用期限】选项,在弹出的【密码最长用期限 属性】对话框中,设置密码最长使用期限为30天,设置完成后,单击【确定】按钮。如图所示。

image-20240507193757864

(7)单击【强制密码历史】选项,在弹出的【强制密码历史 属性】对话框中,设置【保留密码历史】为5个记住的密码,设置完成后,单击【确定】按钮。如图所示。

image-20240507193828969

(8)单击【用可还原的加密来存储密码】选项,在弹出的【用可还原的加密存储密码 属性】对话框中,勾选【已禁用】选项,设置完成后,单击【确定】按钮。如图所示。

image-20240507193910182

(9)设置完成后,如图所示。

image-20240507193928651

2. 设置账户锁定策略

(1)单击【帐户策略】→【账户锁定策略】菜单,进入【账户锁定策略】配置页面。单击【账户锁定阈值】选项。如图所示。

image-20240507202917992

(2)在弹出的【账户锁定阈值 属性】对话框中,修改【账户锁定阈值】为10次登陆无效锁定用户,设置完成后,单击【确定】按钮。如图所示。

image-20240507202945580

(3)单击【账户锁定时间】选项,在弹出的【账户锁定时间 属性】对话框中,设置【账户锁定时间】为10分钟,设置完成后,单击【确定】按钮。如图所示。

image-20240507203023553

(4)点击确定

(5)【重复账户锁定计数器】保持默认,设置为10分钟。账户锁定策设置完成后,如图所示。

image-20240507203156534

3. 安全远程管理方式设置

(1)单击【开始】→【Windows系统】→【运行】如图所示。

image-20240507203258418

(2)远程桌面会话主机配置:打开运行文本框后输入【gpedit.msc】命令符,然后单击【确定】按钮,打开组策略编辑器,如图所示。

image-20240507203327310

(3)在【本地组策略编辑器】中,依次单击【管理模板】-【Windows 组件】-【远程桌面服务】-【远程桌面会话主机】-【安全】找到【远程(RDP)要求使用指定的安全层】,并双击打开。

image-20240507203712923

(4)勾选【已启用】,将安全层修改为【SSL】防止远程管理过程中,密码等敏感信息被窃听,然后点击【确定】,如图所示。

image-20240507203752143

4. 修改3389端口

(1)单击【控制面板】进入【Windows防火墙】配置页面,单击【高级设置】菜单,进入【高级安全 Windows防火墙】配置页面。如图所示。

image-20240507204009147

(2)右击【入站规则】菜单,在弹出的菜单中单击【新建规则】选项,进入【新建入站规则向导】配置页面,选择【端口】选项,单击【下一步】按钮。如图所示。

image-20240507204501523

(3)进入【协议和端口】配置页面,选择TCP协议,选择【特定本地端口】,并将其设置为18888。配置完成后,单击【下一步】按钮。如图所示。

image-20240507204820164

(4)进入【操作】配置页面,保持默认配置,单击【下一步】按钮,进入【配置文件】配置页面,继续保持默认配置,单击【下一步】按钮。如图所示。

image-20240507204849466

(5)配置文件

image-20240507204906045

(6)进入【名称】配置页面,设置【名称】为localhost,配置完成后,单击【完成】按钮。如图所示。


文章来源: https://www.freebuf.com/articles/system/453306.html
如有侵权请联系:admin#unsafe.sh