Windows server 2012服务器安全加固与web环境配置优化

这周给团队服务器做升级优化，系统重装为Windows server 2012，以下是一些安全配置和web环境配置优化笔记。

一、查看系统信息

一些基础命令

查看主机名：hostname

查看网络配置：ipconfig /all

查看路由表：route print

查看开放端口：netstat -ano

二、系统帐号管理

2.1 帐号管理

“Win+R”键调出“运行”->输入compmgmt.msc->打开"计算机管理"，点击左侧“本地用户和组”，查看是否有不用的账号，系统账号所属组是否正确以及 guest账号是否锁定。

右击administrator账户，选择“重命名”，更改为较复杂的名字;

右击Guest账户，选择“属性”，确保已勾选“账户已禁用”。

在CMD下可用“net user”查看用户情况，“net user 用户名 /del”删除用户，“net user 用户名 /active:no”禁用用户。

2.2 设置安全策略

WIN+R 打开“运行”，输入"secpol.msc"打开 本地安全策略，修改以下安全策略设置。

1，账户策略->密码策略

密码必须符合复杂性要求：启用

密码长度最小值：7 个字符

密码最短使用期限：0 天

密码最长使用期限：90 天

强制密码历史：1 个记住密码

用可还原的加密来存储密码：已禁用

2，账户设置->账户锁定策略

帐户锁定时间：30 分钟

帐户锁定阀值：5 次无效登录

重置帐户锁定计数器：30 分钟

3，本地策略->安全选项

交互式登录：不显示最后的用户名：启用

三、网络服务优化

3.1 系统服务

“Win+R”键调出“运行”，输入“services.msc”打开系统服务控制台。

建议将以下服务停止，并将启动方式修改为手动：

Background Intelligent Transfer Service

DHCP Client

Remote Registry

Print Spooler

Server(不使用文件共享可以关闭)

Simple TCP/IP Service

Simple Mail Transport Protocol (SMTP)

SNMP Service

Task Schedule

TCP/IP NetBIOS Helper

3.2 关闭IPC共享

打开运行，输入“cmd.exe”，在命令提示符中敲入“net share”查看系统共享情况，使用命令“net share 共享名 /del”删除共享，例如：net share IPC$ /del

“Win+R”键调出“运行”，输入regedit打开注册表编辑器，找到HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters，在右侧空白处，右击》新建》DWORD项，名称为 AutoShareServer，键值为 0。

3.3 网络限制

WIN+R 打开“运行”，输入"secpol.msc"打开 安全设置->本地策略->安全选项，修改以下安全策略设置。

网络访问: 不允许 SAM 帐户的匿名枚举：已启用

网络访问: 不允许 SAM 帐户和共享的匿名枚举：已启用

网络访问: 将 Everyone 权限应用于匿名用户：已禁用

帐户: 使用空密码的本地帐户只允许进行控制台登录：已启用