在数字化时代，服务器安全至关重要。Windows 服务器作为广泛使用的操作系统，其安全加固工作不容忽视。本文将详细介绍 Windows 服务器安全加固的方法与步骤，帮助管理员提升服务器的安全性，有效抵御各类潜在威胁。

01

账户与密码策略强化

（一）密码策略设置

密码复杂度要求：强制启用高强度密码策略，密码长度建议设置为 12 位以上，且需包含大小写字母、数字及特殊符号。通过打开 “控制面板 >系统和安全> 管理工具 > 本地安全策略”，在 “帐户策略 > 密码策略” 中，确认 “密码必须符合复杂性要求” 策略已启用。

密码最长留存期：为降低密码被破解风险，应设置帐户口令的留存期。对于采用静态口令认证技术的设备，帐户口令的留存期不应长于 90 天。在上述 “本地安全策略” 的 “密码策略” 中，配置 “密码最长使用期限” 不大于 90 天。

（二）账户管理

禁用默认账户或重命名：Windows Server 的默认账户 Administrator 常成为攻击者的目标。为提高安全性，可将其重命名为不易被猜测的名称，或者直接禁用该默认账户，并创建新的管理员账户。操作方法为打开 “控制面板> 系统和安全>管理工具 > 计算机管理”，在 “系统工具 > 本地用户和组 > 用户” 中，对 Administrator 账户进行相应设置。

清理无效或休眠账户：定期检查并清理服务器上的无效或休眠账户，减少潜在的攻击面。同样在 “计算机管理” 的 “用户” 列表中，可直观查看各个账户的使用情况，对于长期未使用的账户进行删除或禁用处理。

启用账户锁定策略：为防止暴力破解，启用账户锁定策略。设置连续错误登录次数，如 5 次，当达到该次数后锁定账户一定时间，例如 30 分钟。在 “本地安全策略” 的 “帐户策略 > 帐户锁定策略” 中，配置 “帐户锁定阈值” 为 5 次，并设置 “帐户锁定时间” 为 30 分钟。

02

系统更新与补丁管理

（一）开启自动更新

开启 Windows Update 自动更新功能，确保系统能及时获取并安装每月的累积补丁。路径为 “设置> 更新”，点击 “更改设置”，选择 “自动安装更新（推荐）”。这能有效修复系统漏洞，降低被攻击风险。

（二）集中管理补丁分发（针对服务器环境）

对于服务器等关键设备，建议通过 WSUS（Windows Server Update Services）集中管理补丁分发。WSUS 允许管理员在内部网络中部署补丁服务器，统一管理和分发补丁，既能保证服务器及时更新，又能根据实际情况灵活控制更新时间和内容，避免因自动更新在不合适的时间发生而影响业务运行。

（三）定期检查高危漏洞

定期关注 CVE 公告，检查并修复服务器上的高危漏洞。如 Print Spooler 远程代码执行漏洞（CVE - 2021 - 34527），该漏洞可使攻击者在无需用户交互的情况下远程执行代码。通过微软官方网站或安全漏洞信息平台获取漏洞信息及相应的补丁程序，及时进行修复。

03

防火墙与网络防护

（一）启用 Windows Defender 防火墙

启用 Windows Server 自带的 Windows Defender 防火墙，仅开放服务器业务运行所需的必要端口。例如，若服务器提供网页服务，则开放 HTTP 80 端口和 HTTPS 443 端口，关闭其他不必要的端口，减少外部攻击的入口。在 “控制面板> 系统和安全 > Windows 防火墙” 中进行端口开放和关闭的设置。

（二）关闭高风险协议

关闭 NetBIOS、SMBv1 等高风险协议。NetBIOS 协议存在安全隐患，容易被攻击者利用进行信息窃取和攻击；SMBv1 协议也有诸多安全漏洞。在 “网络连接属性” 中，双击 “Internet 协议版本 4（TCP/IPv4）”，单击 “高级”，在 “WINS” 页签中，选择 “禁用 TCP/IP 上的 NetBIOS”。同时，通过 “控制面板 > 程序和功能 > 打开或关闭 Windows 功能”，取消勾选 “SMB 1.0/CIFS 文件共享支持” 来关闭 SMBv1 协议。

（三）限制入站 / 出站流量

通过防火墙的高级安全策略限制入站 / 出站流量。例如，阻止 ICMP 回显请求，可减少网络探测行为。在 “Windows 防火墙” 的 “高级设置” 中，创建入站规则，选择 “自定义”，在 “协议和端口” 中选择 “ICMPv4”，并设置操作类型为 “阻止连接”。同时，根据服务器的业务需求，设置合理的出站规则，限制服务器主动对外连接的行为，防止恶意软件通过网络外发数据。

04

服务与组件优化

（一）禁用非必要系统服务

禁用非必要的系统服务，如 Remote Registry（允许远程修改注册表，存在安全风险）、Telnet（远程登录服务，安全性较低）等。在 “计算机管理> 服务和应用程序 > 服务” 中，找到相应服务，右键属性，将启动类型设置为 “禁用”。

（二）关闭老旧组件

关闭 PowerShell 2.0 等老旧组件，这些组件可能存在已知的安全漏洞。通过 “控制面板> 程序 > 打开或关闭 Windows 功能”，找到 “Windows PowerShell 2.0” 并取消勾选。

（三）移除未使用的角色

针对服务器环境，若某些角色未被使用，如 IIS（互联网信息服务）、Hyper - V（虚拟化平台）等，可通过 “打开或关闭 Windows 功能” 进行移除，降低服务器的攻击面。

05

文件系统与权限控制

（一）使用 NTFS 格式分区并设置 ACL 权限

服务器磁盘分区应使用 NTFS 格式，该格式支持更精细的权限设置。设置 ACL（访问控制列表）权限时，遵循最小权限原则，只赋予用户和组执行任务所需的最低权限。例如，对于关键目录如 System32，禁止普通用户写入权限，防止恶意程序篡改系统文件。在文件或文件夹的属性中，选择 “安全” 选项卡进行权限设置。

（二）启用 BitLocker 全盘加密

启用 BitLocker 全盘加密保护物理存储数据。特别是当服务器存储敏感数据时，该功能可防止数据在物理设备丢失或被盗时被窃取。配置 TPM（可信平台模块）芯片绑定加密密钥，进一步增强安全性。在 “控制面板> 系统和安全 > BitLocker 驱动器加密” 中，按照提示启用加密功能，并根据实际情况选择是否使用 TPM 芯片。

（三）审核共享文件夹权限

定期审核共享文件夹权限，关闭 Everyone 组的匿名访问。在 “计算机管理> 共享文件夹” 中，查看每个共享文件夹的共享权限，确保只有授权用户或组具有访问权限。对于不必要的共享文件夹，及时进行关闭或调整权限。

06

日志与监控机制

（一）启用安全审计策略

启用安全审计策略，记录账户登录、策略更改等关键事件。在 “本地安全策略> 本地策略 > 审核策略” 中，打开以下内容的审核：审核策略更改（成功和失败）、审核登录事件（成功和失败）、审核对象访问（失败）、审核过程跟踪（可根据需要选择）、审核目录服务访问（失败）、审核特权使用（失败）、审核系统事件（成功和失败）、审核账户登录事件（成功和失败）、审核账户管理（成功和失败）。

（二）配置日志文件大小与覆盖策略

设置日志文件大小，建议设置为≥128MB，可根据服务器磁盘空间实际情况进行调整。同时，设置当达到最大日志尺寸时的覆盖策略，如按需要轮询记录日志。在 “控制面板> 管理工具 > 事件查看器” 中，配置 “应用日志”“系统日志”“安全日志” 属性中的日志大小及覆盖策略。

（三）集中分析日志与建立告警规则

通过事件查看器或 SIEM（安全信息和事件管理）系统集中分析日志。建立异常登录（如非工作时间访问）、高频失败登录等告警规则。当出现符合告警规则的事件时，及时通知管理员，以便快速响应和处理潜在的安全威胁。例如，使用 SIEM 系统时，可根据日志数据设置阈值和规则，当检测到非工作时间有大量登录尝试或连续多次登录失败时，系统自动发送邮件或短信通知管理员。

07

应用层防护

（一）部署 EDR 终端检测响应系统

部署 EDR（终端检测响应）系统，实时监测服务器上的进程、文件活动等，及时发现并阻止恶意行为。EDR 系统能够对可疑活动进行深度分析，提供详细的威胁情报，帮助管理员快速定位和处理安全事件。同时，启用 Windows Defender 实时防护与定期全盘扫描，进一步加强对病毒、恶意软件的防护能力。在 Windows Defender 设置中，开启实时监控功能，并设置定期全盘扫描的时间和频率。

（二）浏览器安全设置

浏览器作为服务器与外界交互的重要工具，也需进行安全设置。禁用 Flash/Java 等老旧插件，这些插件存在大量安全漏洞，易被攻击者利用。同时，启用 EMET（增强减灾体验工具）对抗内存攻击。在浏览器的设置或插件管理中，禁用 Flash 和 Java 插件；下载并安装 EMET 工具，根据服务器环境和需求进行相应配置。

08

备份与恢复预案

（一）定期全量备份系统状态

配置 Windows Server Backup 定期全量备份系统状态至离线存储设备，如外部硬盘或网络存储。定期进行备份可确保在服务器遭受攻击或出现故障时能够快速恢复。同时，要定期测试备份文件的可恢复性，确保备份数据的有效性。在 “控制面板>系统和安全> 管理工具 > Windows Server Backup” 中，设置备份计划和目标存储位置，并定期执行恢复测试。

（二）采用 3 - 2 - 1 备份原则

针对勒索软件等威胁，建议采用 3 - 2 - 1 备份原则，即保留 3 份数据副本，存储在 2 种不同类型的存储介质上，其中 1 份副本存储在异地。例如，一份数据副本存储在服务器本地磁盘，一份存储在外部硬盘，另一份存储在异地的数据中心。这样即使本地数据遭受破坏，仍可通过其他副本进行恢复。

（三）建立系统镜像快照

建立系统镜像快照，以便在服务器出现严重问题时能够快速恢复到之前的正常状态。系统镜像快照可记录服务器在某一时刻的完整状态，包括操作系统、应用程序和数据。利用专业的备份软件或 Windows Server 自带的一些功能（如 Windows Server Backup 结合卷影复制服务）创建系统镜像快照，并确保快照的存储安全。同时，根据业务需求，设定合适的恢复时间目标（RTO），如小于 4 小时，确保在规定时间内能够完成服务器的恢复工作。

09

总结

通过以上全面的 Windows 服务器安全加固措施，能够显著提升服务器的安全性和稳定性，有效降低遭受各类安全威胁的风险，为企业的业务运行提供坚实的保障。在实际操作中，管理员应根据服务器的具体应用场景和业务需求，灵活调整和实施这些安全加固策略，并持续关注安全动态，及时更新和完善安全防护措施。

文章声明 

本文由不二网工据工作经验整理发布，转载请注明出处，侵删。

阅读原文：原文链接