本篇教程探讨了Windows运维管理之Windows server 2008 R2 Enterprise 系统安全配置，希望阅读本篇文章以后大家有所收获，帮助大家对相关内容的理解更加深入。

<

window 安全配置规则
一、开启防火墙
二、允许远程网络进行远程桌面连接
如果使用默认的远程端口的话，按照下图，允许远程桌面通过防火墙就行了；
如果你的远程端口号不是默认的，则需要按照（四）中新建入站规则了
三、修改远程端口号
运行中输入regedit（打开注册表编辑器）
    在注册表HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\Wds\rdpwd\Tds\tcp目录下，修改PortNumber数值，这边将其端口修改为33899（十进制）
    在注册表HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Tenninal Server\WinStations\RDP-Tcp目录下，修改PortNumber数值，将其端口修改为33899（十进制）
重启服务器生效，使用IP + 端口，远程访问
四、只允许固定源IP访问远程端口
    进入控制面板
    找到Windows 防火墙
    左边高级设置
    点击入站规则
    右上角新建规则
    打开新建入站规则向导界面，规则类型：选择自定义，点击下一步，程序选择默认，点击下一步
    协议和端口：协议类型选择TCP，本地端口选择特定端口下方输入11650，远程端口选择所有端口，点击下一步
    作用域：在 此规则应用于哪些远程ip地址 选择下列ip地址，点击添加输入您的指定ip，点击下一步，操作和配置文件选择默认，点击下一步
    名称：命名为11650，描述写上特定IP访问指定端口至此设置完成
五、更改管理员密码
    进入开始面板，点击管理工具。
    双击打开计算机管理
    依次打开系统工具->本地用户和组->用户，找到administrator管理员用户
    右键administrator管理员用户，选择 设置密码，弹出的提示框，点击是
    进入设置密码提示框，输入您想要设置的密码，点击确定即可。 注意：系统会强制密码复杂性，密码最好由大小写字母+数字组成
    设置成功之后会提示成功，下次登录时就可以用新的密码登陆了
六、密码错误几次后锁定该用户
    依次打开管理工具->本地安全策略->账户策略->账户锁定策略
    双击账户锁定阈值，这里，我们设置5次失败后，锁定账户30分钟
七、禁用Guest帐号
默认情况下，新安装的windows操作系统，都是禁用该帐号的。为了安全起见，可以按照以下步骤检查系统是否禁用了该帐号
    进入开始面板，点击管理工具。
    双击打开计算机管理
    依次打开系统工具->本地用户和组->用户 ，找到Guest帐号
    如果帐号名称左下角有个向下的箭头，说明已经禁用了
    如果帐号名称左下角没有箭头，
    右键Guest管理员用户，选择 属性，选中下图中的位置
    设置拒绝远程访问
八、删除不必要的用户
    进入开始面板，点击管理工具。
    双击打开计算机管理
    依次打开系统工具->本地用户和组->用户
    左键单机，选中不必要的用户，点击红叉进行删除操作
九、创建新用户作为管理员进行远程登录，加入Administrator用户组，禁止Administrator远程登录服务器
考虑到有些服务需要作为administrator用户运行，所以不建议对administrator用户进行改名，我们选择新建用户并加入管理员组
    进入开始面板，点击管理工具。
    双击打开计算机管理
    依次打开系统工具->本地用户和组->用户
    创建新用户，用户名xiaomi，密码自己设置
    把新用户xiaomi加入管理员组
    在Administrators属性对话框中，选择确定
    禁止Administrator远程登录服务器
    控制面板->管理工具->本地安全策略->本地策略->用户权限分配->
    双击拒绝通过远程桌面服务登录，
    这样设置之后，administrator用户依然可以弹出远程桌面连接，并让输入密码，但是无法进入远程桌面
十、更改文件共享的默认权限
将共享文件的权限从“Everyone"更改为"授权用户”，”Everyone"意味着任何有权进入网络的用户都能够访问这些共享文件。
十一、安全密码
安全密码的定义是：安全期内无法破解出来的密码就是安全密码，也就是说，就算获取到了密码文档，必须花费42天或者更长的时间才能破解出来（Windows安全策略默认42天更改一次密码）。
十二、屏幕保护 / 屏幕锁定 密码
防止内部人员破坏服务器的一道屏障。在管理员离开时，自动加载。
十三、安装防病毒软件
Windows操作系统没有附带杀毒软件，一个好的杀毒软件不仅能够杀除一些病毒程序，还可以查杀大量的木马和黑客工具。设置了杀毒软件，黑客使用那些著名的木马程序就毫无用武之地了。同时一定要注意经常升级病毒库 ！
这里我们用安全狗这个第三方安全软件，安装之后，会提示让体检，检查结果如下：
我们来看下帐号风险里有什么需要修复的，提示xiaomi这个帐号没必要启用，但是，我们认为xiaomi这个必须是要启用的，所以这项选择忽略
其它风险项可以查看一下，必要修复就修复，像系统漏洞这些，强烈建议修复，虽然系统会很卡
前面我们设置了只允许固定的源IP地址访问远程桌面端口号
这里我们通过安全狗，再增加设置，只允许固定的主机名可以访问远程桌面端口号，截图如下：
十四、定时备份服务器上的重要文件到本地或其它服务器
备份到本服务器是没有多大意义的，所以建议备份到别的机器
备份的方式，建议选择对目标文件或目录进行压缩后拷贝出来
十五、系统防火墙和安全狗的防火墙关系
安全狗的防火墙是在系统防火墙之上的
也就是说外界想要访问你服务器上某个端口，先经过安全狗的防火墙，再经过系统防火墙。
实验过程：
在服务器上开启80端口的web服务后
    安全狗的防火墙设置允许通过，系统防火墙设置不允许通过，结果：不允许通过
    安全狗的防火墙设置允许通过，系统防火墙设置允许通过，结果：允许通过
    安全狗的防火墙设置不允许通过，系统防火墙设置允许通过，结果：不允许通过
    安全狗的防火墙设置不允许通过，系统防火墙设置不允许通过，结果：不允许通过
所以，当服务器上某个端口外网无法访问时，需要排查这2个防火墙，是不是很烦。建议用系统自带的防火墙，安全狗的防火墙保持默认就行
十六、堡垒机
堡垒机作为服务器的最后一道屏障，其安全方面需要做到以上十五点，更需要开启审计功能。
十七、特别提醒
我们在第四点和第十三点分别提到了限制源IP访问远程桌面端口和限制源主机名访问远程桌面端口
所以：
    如果你的办公网的出网IP是变动的公网IP
    如果你需要用不同的终端主机访问服务器的远程桌面端口
这两种情况，根据实际情况选择使用系统自带的策略或是选择安全狗的策略，但是个人建议使用系统自带的策略，安全狗的策略保持默认即可。
   

本文由职坐标整理发布，学习更多的相关知识，请关注职坐标IT知识库！