windows2022系统如何加固服务器的安全?
美国、香港服务器
windows2022系统如何加固服务器的安全?
06-01 来源:
一、账户与密码加固(防暴力破解、弱口令)
1. 设置高强度密码策略(全局强制)
打开本地安全策略:secpol.msc
依次进入:账户策略 → 密码策略
密码必须符合复杂性要求:已启用
密码长度最小值:12 位
密码最长使用期限:90 天
密码最短使用期限:1 天
强制密码历史:5 个(禁止重复使用旧密码)
2. 启用账户锁定策略(拦截 RDP 暴力破解)
secpol.msc → 账户策略 → 账户锁定策略
账户锁定阈值:5 次无效登录
账户锁定时间:30 分钟
复位账户锁定计数器:30 分钟
3. 清理无用账号、禁用默认账号
命令操作(管理员 CMD)
cmd
:: 查看所有本地账号
net user
:: 禁用来宾账户(必做)
net user guest /active:no
:: 删除陌生/无用账号(替换为账号名)
net user 可疑账号名 /delete
4. 重命名管理员账号(降低被猜解概率)
secpol.msc → 本地策略 → 安全选项
找到:账户:重命名管理员账户,修改为自定义名称(不要用 admin、root)
同时新建一个虚假管理员账号,设置极低权限、复杂密码,诱捕攻击。
二、RDP 远程桌面重点加固(你高频使用,核心防护)
1. 修改默认 3389 端口(推荐)
区分:注册表修改端口 + 防火墙同步放行
Win+R 输入 regedit 打开注册表
定位路径:
plaintext
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp
找到 PortNumber,基数选十进制,改为自定义端口(示例:13389,范围 1024~65535)
重启服务器生效。
2. 防火墙仅放行指定 IP 访问 RDP(最有效)
命令行(管理员)
cmd
:: 删除原有全通RDP规则
netsh advfirewall firewall delete rule name="远程桌面 - 用户模式(TCP-In)"
:: 仅允许 192.168.1.100 访问新RDP端口 13389(替换为你本地公网IP/内网IP)
netsh advfirewall firewall add rule name="允许RDP仅指定IP" dir=in action=allow protocol=TCP localport=13389 remoteip=192.168.1.100 enable=yes profile=any
3. 关闭 RDP 空密码登录
secpol.msc → 本地策略 → 安全选项
账户:使用空白密码的本地账户只允许进行控制台登录:已启用
4. 限制 RDP 会话、断开闲置连接
组策略 gpedit.msc → 计算机配置 → 管理模板 → Windows 组件 → 远程桌面服务
设置断开已断开的会话、空闲会话限制为 15 分钟。
三、网络与网卡筛选、防火墙加固(解决你之前误配置问题)
1. 禁用危险的网卡级 IP 筛选器
禁止再使用 netsh interface ip set filter inbound=丢弃所有 这类底层筛选,改用系统防火墙。
cmd
:: 清空所有网卡入站/出站筛选
netsh interface ip set filter "以太网" inbound=none
netsh interface ip set filter "以太网" outbound=none
2. 统一用 Windows 高级防火墙做主防护
开启所有网络配置文件防火墙:
cmd
netsh advfirewall set allprofiles state on
防火墙默认规则:入站默认阻止,出站默认允许(wf.msc 图形界面设置)
原则:按需放行端口,默认全拒绝,不随意开放全段 IP。
3. 关闭不必要端口与协议
不需要文件共享:关闭 445(SMB)、139 端口(高危端口,勒索病毒重灾区)
关闭 Telnet、FTP 等明文传输服务。
四、系统服务精简(减少攻击面)
打开服务面板:services.msc
以下服务非必需则禁用(启动类型设为「禁用」):
Telnet、FTP、Remote Registry(远程注册表,高危)
Print Spooler(无打印需求就关)
各类第三方陌生服务、可疑开机服务
五、系统补丁与安全软件
1. 定期打系统补丁(修复漏洞)
设置 Windows 更新 自动安装补丁,重点关注:RDP、SMB、远程代码执行类高危漏洞。
2. 部署终端安全防护
安装服务器版安全软件(火绒安全、360 企业版等),开启实时防护、木马查杀。
云服务器:启用厂商自带的主机安全、基线检查、入侵检测。
六、日志审计与监控(溯源、发现异常)
1. 开启完整安全日志
secpol.msc → 本地策略 → 审核策略
开启:审核登录事件、审核账户管理、审核对象访问、审核进程跟踪。
2. 日常查看日志(快速排查入侵)
事件查看器 eventvwr.msc → Windows 日志 → 安全
重点关注:4624 (登录成功)、4625 (登录失败),排查陌生 IP、高频失败登录。
3. 常用监控命令(日常巡检)
cmd
:: 查看对外连接,排查外联木马
netstat -ano
:: 查看所有进程,识别异常占用
tasklist /v
:: 查看计划任务(后门常用持久化方式)
schtasks /query
七、文件、权限与备份(兜底防线)
1. 目录权限收紧
系统目录 C:\Windows、C:\Program Files 禁止普通用户写入。
网站目录、业务数据目录,按需分配读写权限,禁止匿名写入。
2. 关闭自动运行、隐藏文件显示
文件夹选项中:显示隐藏文件、显示系统文件,方便发现恶意隐藏文件。
3. 强制定期备份(被攻击后唯一恢复手段)
系统级:创建服务器快照 / 系统镜像(云服务器利用控制台快照功能)。
数据级:业务数据异地备份(不要和原服务器存同一硬盘)。
备份后定期测试恢复,确保备份可用。
八、额外安全建议(适配你的使用习惯)
远程通道冗余但管控
你在用向日葵:保持使用,但设置固定访问密码,关闭匿名访问;向日葵和 RDP 不要同时对公网全开放。
禁止随意测试网络规则
不要再直接设置网卡「丢弃所有数据包」,测试规则优先在防火墙做,避免把自己锁在外面。
定期轮换所有密码
管理员、数据库、网站后台、远程工具密码分开设置、定期更换,不要一套密码走到底。
三二互联专业提供香港VPS,美国VPS主机,香港云服务器租用等业务香港美国到大陆CN2 GIA速度最快
