Windows Server 2016加固（待更新）_windows server 加固指南

设置账号安全策略

a.最小密码长度不少于 8 个字符，将密码长度最小值的属性配置界面截图；

b.密码策略必须同时满足大小写字母、数字、特殊字符，将密码必须符合复

“账户设置”-“账户锁定策略”

a.一分钟内仅允许 5 次登录失败的尝试，超过 5 次，登录帐号锁定 1 分钟

“本地策略”-“安全选项”

将“交互式登录: 不显示最后的用户名”设置为“启用”状态。

检查并优化账号

将账户安全设置完成之后，再对系统的账号进行优化。在“运行”中执行compmgmt.msc命令，打开“计算机管理”，然后在“系统工具”-“本地用户和组”-“用户”中查看是否有不用的账户，将不用的账户删除或停用。除此之外，还要在命令行中使用
net user 命令查看一遍有没有多余的账号（有的账号会在计算机管理中隐藏），可以使用 net user /del 命令删除对应的账号。

将默认的管理员用户名 Administrator 进行重命名，并且建议重新设置新的管理员密码。

禁止系统自动登录

域环境默认禁止自动登录

更改远程终端默认3389端口

将默认的远程终端端口3389修改成其他的端口。运行regedit打开注册表程序，需要修改注册表的两个地方：

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Terminal
Server\Wds\repwd\Tds\tcp

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\TerminalServer\WinStations\RDP-Tcp

设置完成之后关闭注册表，然后重启服务器之后即可生效。如果设置防火墙的话，注意新端口加入防火墙的白名单中。

RDP-Tcp 属性设置

远程用户非活动会话连接超时应小于等于 5 分钟，将 RDP-Tcp 属性对应的
配置界面截图。

将远程关机、本地关机和用户权限分配只授权给Administrtors组

在“运行”中执行secpol.msc，打开“本地安全策略”窗口，依次打开“本地策略”-“用户权限分配”。
（1）双击右侧的“从远程系统强制关机”，只保留“Administrators组”并将其他用户组删除；
（2）双击右侧的“关闭系统”，只保留“Administrators组”并将其他用户组删除；
（3）双击右侧的“取得文件或其它对象的所有权”，只保留“Administrators组”并将其他用户组删除；

将远程登录账户设置为具体的管理员账号

指定特定的管理员账号而不是Administrtors组，将增强登录系统的安全性，就算通过漏洞创建了Administrtors组的账号，也无法登录系统。

在“运行”中执行secpol.msc，打开“本地安全策略”窗口，依次打开“本地策略”-“用户权限分配”。双击右侧的“从网络访问此计算机”，将所有的用户组删除，然后点击下面的“添加用户或组…”按钮，点击“高级”按钮，然后点击“立即查询”按钮，从查询的结果中选择管理员的账号，然后依次确定保存；

关闭“同步主机_xxx”服务

Windows 2016中有一个“同步主机_xxx”的服务，后面的xxx是一个数字，每个服务器不同。需要手动关闭，操作如下：
首先在“运行”中执行regedit打开注册表，然后在
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services 下面找到
OneSyncSvc、OneSyncSvc_xxx、UserDataSvc和UserDataSvc_xxx四个项，依次将其中的 start
值修改为4，退出注册表然后重启服务器即可。