文章编号：1802 / 更新时间：2023-04-12 / 浏览：次

权限并非越严越好，设置不当反而会影响服务，请根据实际需要选择。关于安全方面的设置建议可以参考：https://www.west.cn/faq/list.asp?unid=853

1.账户管理和认证授权

禁用或删除，一般建议禁用（管理助手创建的网站会有ftp同名账号，不能禁用）

打开控制面板>管理工具>计算机管理，在系统工具>本地用户和组>用户中，双击Guest帐户，在属性中选中帐户已禁用，单击确定。

定期检查并删除与无关帐户

定期删除或锁定与设备运行、维护等与工作无关的帐户。

不显示最后的用户名

密码复杂度要求必须满足以下策略：

最短密码长度要求八个字符。

启用本机组策略中密码必须符合复杂性要求的策略。

即密码至少包含以下四种类别的字符中的两种：

非字母数字字符，如标点符号，@,#,$,%,&,*等

打开控制面板>管理工具>本地安全策略，在帐户策略>密码策略中，确认密码必须符合复杂性要求策略已启用。

对于采用静态口令认证技术的设备，应配置当用户连续认证失败次数超过10次后，锁定该用户使用的帐户。

打开控制面板>管理工具>本地安全策略，在帐户策略>帐户锁定策略中，配置帐户锁定阈值不大于10次。

在本地安全设置中，取得文件或其它对象的所有权权限只分配给Administrators组。

打开控制面板>管理工具>本地安全策略，在本地策略>用户权限分配中，配置取得文件或其它对象的所有权权限只分配给Administrators组。

启用本地安全策略中对Windows系统的审核策略更改，成功和失败操作都需要审核。

打开控制面板>管理工具>本地安全策略，在本地策略>审核策略中，设置审核策略更改。

启用本地安全策略中对Windows系统的审核对象访问，成功和失败操作都需要审核。

打开控制面板>管理工具>本地安全策略，在本地策略>审核策略中，设置审核对象访问。

审核事件目录服务访问

启用本地安全策略中对Windows系统的审核目录服务访问，仅需要审核失败操作。

打开控制面板>管理工具>本地安全策略，在本地策略>审核策略中，设置审核目录服务器访问。

启用本地安全策略中对Windows系统的审核特权使用，成功和失败操作都需要审核。

打开控制面板>管理工具>本地安全策略，在本地策略>审核策略中，设置审核特权使用。

启用本地安全策略中对Windows系统的审核系统事件，成功和失败操作都需要审核。

打开控制面板>管理工具>本地安全策略，在本地策略>审核策略中，设置审核系统事件。

启用本地安全策略中对Windows系统的审核帐户管理，成功和失败操作都要审核。

打开控制面板>管理工具>本地安全策略，在本地策略>审核策略中，设置审核帐户管理。

启用本地安全策略中对Windows系统的审核进程追踪，仅失败操作需要审核。

打开控制面板>管理工具>本地安全策略，在本地策略>审核策略中，设置审核进程追踪。image.png

设置应用日志文件大小至少为8192KB，可根据磁盘空间配置日志文件大小，记录的日志越多越好。并设置当达到最大的日志尺寸时，按需要轮询记录日志。

打开控制面板>管理工具>事件查看器，配置应用日志、系统日志、安全日志属性中的日志大小，以及设置当达到最大的日志尺寸时的相应策略。

指定触发SYN洪水攻击保护所必须超过的TCP连接请求数阈值为5。

指定处于SYN_RCVD状态的TCP连接数的阈值为500。

指定处于至少已发送一次重传的SYN_RCVD状态中的TCP连接数的阈值为400。

4.1共享文件夹及访问权限

非域环境中，关闭Windows硬盘默认共享，例如C$，D$。

注意：WindowsServer2012版本已默认关闭Windows硬盘默认共享，且没有该注册表键值。

共享文件夹授权访问

每个共享文件夹的共享权限，只允许授权的帐户拥有共享此文件夹的权限。

每个共享文件夹的共享权限仅限于业务需要，不要设置成为Everyone。打开控制面板>管理工具>计算机管理，在共享文件夹中，查看每个共享文件夹的共享权限。

禁用TCP/IP上的NetBIOS协议，可以关闭监听的UDP137（netbios-ns）、UDP138（netbios-dgm）以及TCP139（netbios-ssn）端口。

在计算机管理>服务和应用程序>服务中禁用TCP/IPNetBIOSHelper服务。

在网络连接属性中，双击Internet协议版本4（TCP/IPv4），单击高级。在WINS页签中，进行如下设置：

禁用不必要的服务

禁用不必要的服务，请参考：

打开控制面板>管理工具>本地安全策略，在本地策略>安全选项中，进行如下设置：

web网站应用建议安装云锁或者安全狗。

7.2操作系统补丁管理

安装最新的操作系统Hotfix补丁。安装补丁时，应先对服务器系统进行兼容性测试。

安装最新的操作系统Hotfix补丁。安装补丁时，应先对服务器系统进行兼容性测试。

注意：对于实际业务环境服务器，建议使用通知并自动下载更新，但由管理员选择是否安装更新，而不是使用自动安装更新，防止自动更新补丁对实际业务环境产生影响。

扫描二维码推送至手机访问。

3浏览自媒体运营与推广

2浏览网站结构优化

2浏览外部链接建设

2浏览自媒体运营与推广

相关标签： WindowsServer、

本文地址：https://www.badfl.com/article/6e3d15af38a26ec10108.html

上一篇：linux系统变为只读出现提示Readonlyfilesys...
下一篇：利用安全组设置拦截外网访问服务器某个端口...