Windows服务器强化包括识别和修复安全漏洞。

以下是可以立即实施的主要Windows服务器强化实践，以降低攻击者损害关键系统和数据的风险。

组织安全性

维护每台服务器的库存记录，清楚地记录其基线配置并记录对服务器的每次更改。在对生产环境进行更改之前，彻底测试和验证对服务器硬件或软件的每个建议更改。定期进行风险评估。使用结果更新风险管理计划并维护所有服务器的优先列表，以确保及时修复安全漏洞。将所有服务器保持在相同的修订级别

维护每台服务器的清单记录，清楚地记录其基线配置，并记录对服务器的每一次更改。在对生产环境进行更改之前，彻底测试和验证对服务器硬件或软件提出的每个更改。进行定期风险评估。使用结果更新风险管理计划并维护所有服务器的优先级列表，以确保及时修复安全漏洞。将所有服务器保持在相同的修订级别。

Windows服务器准备

在安装和加固操作系统之前，保护新安装的机器免受恶意网络流量的侵害。加固DMZ网络中每一台未对互联网开放的新服务器。设置BIOS/固件密码，以防止未经授权更改服务器启动设置。禁用故障恢复控制台的自动管理登录。配置设备引导顺序，防止从备用介质进行未经授权的引导。

Windows server安装

确保系统在安装过程中不会关闭。使用安全配置向导根据所需的特定角色创建系统配置。确保及时应用所有适当的补丁、修补程序和服务包。安全补丁解决了已知的漏洞，攻击者可能会利用这些漏洞破坏系统。安装 Windows Server 后，立即通过 WSUS 或 SCCM 使用最新补丁对其进行更新。启用补丁可用性的自动通知。无论何时发布补丁，都应使用 WSUS 或 SCCM 及时对其进行分析、测试和应用。

确保系统在安装过程中不会关闭。使用安全配置向导根据您需要的特定角色创建系统配置。确保及时应用所有适当的修补程序、补丁和服务包。安全修补程序解决了已知的漏洞，攻击者可能会利用这些漏洞来破坏系统。安装Windows Server后，请立即通过WSUS或SCCM使用最新补丁进行更新。启用修补程序可用性的自动通知。无论何时发布补丁，都要及时使用WSUS或SCCM进行分析、测试和应用。

用户帐户安全加固

确保管理密码和系统密码符合密码最佳实践。特别是，验证特权帐户密码不是基于字典单词，并且长度至少为15个字符，包括字母、数字、特殊字符和不可见(Ctrl)字符。确保所有密码每90天更改一次。根据帐户锁定最佳实践配置帐户锁定组策略。禁止用户创建和登录Microsoft帐户。禁用来宾帐户。不允许将“任何人”权限应用于匿名用户。不允许SAM帐户和共享的匿名枚举。禁用匿名SID/名称转换。立即禁用或删除未使用的用户帐户。

网络安全配置

在所有配置文件（域、私有、公共）中启用 Windows 防火墙，并将其配置为默认阻止入站流量。在网络设置级别执行端口阻塞。执行分析以确定需要打开哪些端口并限制对所有其他端口的访问。将通过网络访问每台计算机的能力限制为仅限经过身份验证的用户。不要授予任何用户“作为操作系统的一部分”的权利。拒绝来宾账户作为服务、批处理作业、本地或通过 RDP 登录的能力。如果使用 RDP，请将 RDP 连接加密级别设置为高。删除启用 LMhosts 查找。禁用 TCP/IP 上的 NetBIOS。删除 ncacn_ip_tcp。将 Microsoft 网络客户端和 Microsoft 网络服务器都配置为始终对通信进行数字签名。禁用向第三方 SMB 服务器发送未加密的密码。不允许匿名访问任何共享。允许本地系统将计算机标识用于 NTLM。禁用本地系统 NULL 会话回退。为 Kerberos 配置允许的加密类型。不要存储 LAN Manager 哈希值。将 LAN Manager 身份验证级别设置为仅允许 NTLMv2 并拒绝 LM 和 NTLM。从网络设置中删除文件和打印共享。文件和打印共享可以允许任何人连接到服务器并访问关键数据，而无需用户 ID 或密码。

在所有配置文件(域、私有、公共)中启用Windows防火墙，并将其配置为默认情况下阻止入站流量。在网络设置级别执行端口阻塞。执行分析以确定需要打开哪些端口，并限制对所有其他端口的访问。将通过网络访问每台计算机的能力仅限于经过身份验证的用户。不要授予任何用户“成为操作系统的一部分”的权利。拒绝来宾帐户作为服务、批处理作业在本地或通过RDP登录的能力。如果使用RDP，请将RDP连接的加密级别设置为高。启用LMhosts查找。禁用TCP/IP上的NetBIOS。删除ncacn_ip_tcp。将Microsoft Web客户端和Microsoft Web服务器配置为始终对通信进行数字签名。禁止向第三方SMB服务器发送未加密的密码。不允许匿名访问任何共享。允许本地系统使用NTLM的计算机ID。禁用本地系统空会话回滚。为Kerberos配置允许的加密类型。不要存储LAN Manager哈希值。将LAN Manager身份验证级别设置为仅允许NTLMv2，拒绝LM和NTLM。从网络设置中删除文件和打印共享。文件和打印共享可以允许任何人连接到服务器并访问关键数据，而无需用户ID或密码。

注册表安全配置

确保所有管理员都花时间彻底理解注册表的功能和每个注册表项的用途。Windows操作系统中的许多漏洞可以通过更改特定的密钥来修复，如下所述。配置注册表权限。保护注册表免受匿名访问。如果不需要，则禁止远程注册表访问。将MaxCachedSockets (REG_DWORD)设置为0。将SmbDeviceEnabled (REG_DWORD)设置为0。将AutoShareServer设置为0。将AutoShareWks设置为0。删除NullSessionPipes键中的所有值数据。删除NullSessionShares键中的所有值数据。

常规安全设置

禁用不必要的服务。大多数服务器都默认安装了操作系统，其中通常包含系统不需要运行的无关服务，并代表安全漏洞。因此，从系统中删除所有不必要的服务至关重要。删除不需要的Windows组件。应该从关键系统中删除任何不必要的Windows组件，以保持服务器处于安全状态。在Windows Server上启用带有NTFS或BitLocker的内置加密文件系统(EFS)。如果工作站有大量随机存取内存(RAM)，请禁用Windows文件交换。这将提高性能和安全性，因为敏感数据不能写入硬盘。不要使用自动运行。否则，不受信任的代码可以在用户不知道的情况下运行；例如，攻击者可能将一张CD放入机器中，并导致他们自己的脚本运行。用户登录前会显示以下法律声明:“禁止未经授权使用此计算机和网络资源……”交互式登录需要Ctrl+Alt+Del。配置机器不活动限制以保护空空闲交互会话。确保所有卷都使用NTFS文件系统。配置本地文件/文件夹权限。另一个重要但经常被忽视的安全过程是锁定服务器的文件级权限。默认情况下；Windows不对任何本地文件或文件夹应用特定限制。每组人都被授予对大多数机器的完全权限。删除该组，并根据最低权限原则使用基于角色的组来授予对文件和文件夹的访问权限。应该尽一切努力从用户权限列表中删除Guest、Everyone和ANONYMOUS LOGON。使用此配置，Windows将更加安全。设置系统日期/时间，并将其配置为与域时间服务器同步。将屏幕保护程序配置为在无人值守时自动锁定控制台屏幕。

审计策略设置

根据审计策略最佳实践启用审计策略。Windows 审核策略定义了在 Windows 服务器的安全日志中写入的事件类型。将事件日志保留方法配置为根据需要覆盖，最大为 4GB。配置日志传送到 SIEM 以进行监控。

根据审计策略最佳实践启用审计策略。Windows审核策略定义了写入Windows服务器安全日志中的事件类型。将事件日志保留方法配置为按需覆盖，最大4GB。配置日志被发送到SIEM进行监控。

软件安全指南

并安装和启用防病毒软件。将其配置为每天更新。并安装和启用反间谍软件。将其配置为每天更新。安装软件来检查关键操作系统文件的完整性。Windows有一个叫Windows资源保护的功能，会自动检查一些关键文件，如果损坏了就替换掉。

固定快照(状态)

使用GHOST或Clonezilla制作每个操作系统的映像，以简化Windows Server的进一步安装和增强。输入Windows Server 2016/2012/2008/2003许可证密钥。将服务器加入域并应用域组策略。

这些安全实践，我们看一看到很多与等级保护安全计算环境里要求很相似，对于安全的要求都是相通的，也可以说大家思考或借鉴都是朝着统一方向努力的。所以，在看到极为相似的地方，如同洪水要疏导，无论在哪个国家其方**都是一致的，不同的是谁先遇到这个问题罢了。一方面需要我们勇于借鉴，一方面又不需要太妄自菲薄。自信不自负，勇于面对问题解决问题。