這周給團(tuán)隊(duì)服務(wù)器做升級(jí)優(yōu)化,系統(tǒng)重裝為Windows server 2012,以下是一些安全配置和web環(huán)境配置優(yōu)化筆記。
一、查看系統(tǒng)信息
一些基礎(chǔ)命令
查看主機(jī)名:hostname
查看網(wǎng)絡(luò)配置:ipconfig /all
查看路由表:route print
查看開(kāi)放端口:netstat -ano
二、系統(tǒng)帳號(hào)管理
2.1 帳號(hào)管理
“Win+R”鍵調(diào)出“運(yùn)行”->輸入compmgmt.msc->打開(kāi)"計(jì)算機(jī)管理",點(diǎn)擊左側(cè)“本地用戶(hù)和組”,查看是否有不用的賬號(hào),系統(tǒng)賬號(hào)所屬組是否正確以及 guest賬號(hào)是否鎖定。
右擊administrator賬戶(hù),選擇“重命名”,更改為較復(fù)雜的名字;
右擊Guest賬戶(hù),選擇“屬性”,確保已勾選“賬戶(hù)已禁用”。
在CMD下可用“net user”查看用戶(hù)情況,“net user 用戶(hù)名 /del”刪除用戶(hù),“net user 用戶(hù)名 /active:no”禁用用戶(hù)。
2.2 設(shè)置安全策略
WIN+R 打開(kāi)“運(yùn)行”,輸入"secpol.msc"打開(kāi) 本地安全策略,修改以下安全策略設(shè)置。
1,賬戶(hù)策略->密碼策略
密碼必須符合復(fù)雜性要求:?jiǎn)⒂?/p>
密碼長(zhǎng)度最小值:7 個(gè)字符
密碼最短使用期限:0 天
密碼最長(zhǎng)使用期限:90 天
強(qiáng)制密碼歷史:1 個(gè)記住密碼
用可還原的加密來(lái)存儲(chǔ)密碼:已禁用
2,賬戶(hù)設(shè)置->賬戶(hù)鎖定策略
帳戶(hù)鎖定時(shí)間:30 分鐘
帳戶(hù)鎖定閥值:5 次無(wú)效登錄
重置帳戶(hù)鎖定計(jì)數(shù)器:30 分鐘
3,本地策略->安全選項(xiàng)
交互式登錄:不顯示最后的用戶(hù)名:?jiǎn)⒂?/p>
三、網(wǎng)絡(luò)服務(wù)優(yōu)化
3.1 系統(tǒng)服務(wù)
“Win+R”鍵調(diào)出“運(yùn)行”,輸入“services.msc”打開(kāi)系統(tǒng)服務(wù)控制臺(tái)。
建議將以下服務(wù)停止,并將啟動(dòng)方式修改為手動(dòng):
Background Intelligent Transfer Service
DHCP Client
Remote Registry
Print Spooler
Server(不使用文件共享可以關(guān)閉)
Simple TCP/IP Service
Simple Mail Transport Protocol (SMTP)
SNMP Service
Task Schedule
TCP/IP NetBIOS Helper
3.2 關(guān)閉IPC共享
打開(kāi)運(yùn)行,輸入“cmd.exe”,在命令提示符中敲入“net share”查看系統(tǒng)共享情況,使用命令“net share 共享名 /del”刪除共享,例如:net share IPC$ /del
“Win+R”鍵調(diào)出“運(yùn)行”,輸入regedit打開(kāi)注冊(cè)表編輯器,找到HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters,在右側(cè)空白處,右擊》新建》DWORD項(xiàng),名稱(chēng)為 AutoShareServer,鍵值為 0。
3.3 網(wǎng)絡(luò)限制
WIN+R 打開(kāi)“運(yùn)行”,輸入"secpol.msc"打開(kāi) 安全設(shè)置->本地策略->安全選項(xiàng),修改以下安全策略設(shè)置。
網(wǎng)絡(luò)訪問(wèn): 不允許 SAM 帳戶(hù)的匿名枚舉:已啟用
網(wǎng)絡(luò)訪問(wèn): 不允許 SAM 帳戶(hù)和共享的匿名枚舉:已啟用
網(wǎng)絡(luò)訪問(wèn): 將 Everyone 權(quán)限應(yīng)用于匿名用戶(hù):已禁用
帳戶(hù): 使用空密碼的本地帳戶(hù)只允許進(jìn)行控制臺(tái)登錄:已啟用
