关键防御, 管理有序, 组策略防止脆弱的WINDOWS SERVER系统内部紊乱

Linux业内普遍流传一句话，用Windows Server的企业普遍“搭得快，做的快，死的快”，当然这也有些偏激，但是能看出来Linux管理员对于Windows的厌恶，同时也说明了Windows 在作为服务器使用时，系统后门大开，导致数据泄露必然存在，这只能被避免，不能被根治，有些人可能要说了，哪里有绝对的安全，信息泄露无处不在，现对来说，Linux的轻量化和严谨性，值得微软好好学学，看起来我们好像要说Linux，不是的，我们还是来说说Windows Server。

漏洞对于Windows来说无处不在，随着今年爆出的一系列0day漏洞，更让许多企业把业务纷纷转向Linux，最近一段时间也看到一则新闻，一个存在于20年的windows系统漏洞被挖出。那么作为Windows Server的管理员，我们怎么去配置？首先我们从配置组策略下手！

1、 满足足够复杂

2、 密码长度最小为8

3、 最大存留30天

4、 账户强制密码历史5个

5、 设置复位账户锁定计数器30次

6、 设置账户锁定时间为30分钟

7、 设置账户锁定阀值为5次

8、 屏幕保护等待时间10分钟

9、 设置保护屏幕恢复时使用密码

10、 关闭所有默认共享

11、 禁止自动播放CD-ROM

12、 登陆时间用完时自动注销用户

13、 本地安全，故障恢复控制台，自动登陆系统管理

14、 允许系统未登陆前关机

15、 不显示上次登陆用户名

16、 交互式登录不需要crtl+alt+del

17、 不允许sam账户匿名枚举

18、 不允许SAM账户和共享匿名枚举

19、 停用禁止task schedule服务

20、 停用并禁止print spooler服务

21、禁止remote registry服务

22、 开启审核对象访问

23、 开启审核目录服务访问

24、 开启审核特权使用

25、 开启审核系统事件

26、 开启审核账户登陆

27、 开启账户管理

28、 禁止power users组的账户修改系统时间

29、 禁止power users组关机

30、 禁止除了administrator账户的其他账户管理审核和安全日志

31、 禁止users组账户本地登陆

32、 禁止除了administrator账户的其他账户配置系统性能

33、 禁止除了administrator账户的其他账户执行卷维护任务

34、 禁止除了administrator账户的其他账户装载或者卸载设备驱动程序

35、 禁止除了administrator账户的其他账户配置单一进程

36、 禁止除了administrator账户的其他账户还原文件或者目录

37、 禁止除了administrator账户的其他账户调试程序

38、 禁止除了administrator账户的其他账户远程强制关机

39、 设置用户交互式登录时显示信息

标题为：“安全须知”

内容 “禁止浏览非法网站”

40、设置在密码到期前5天提示用户更改密码

其中有些配置若是阿里云、腾讯云这种的服务器的话，并不需要配置，如11、39之类的，根据需求进行配置，而且要注意策略的先后，不确定效果的设置千万不能去配置。

欢迎关注我的UC大鱼号：大帽子