Windows操作系統本身已經提供了多種安全機制，如標識與鑒別、訪問控制、用戶賬戶控制、安全審計、文件系統。但是，這并不意味著操作系統就固若金湯。事實上，任何一個Windows版本都或多或少的存在著漏洞，而且在不斷的被挖掘出來。Windows安裝之后默認配置是不安全的，如果不重新進行配置的話，將存在大量安全隱患。現在，我們來介紹如何對Windows系統進行安全加固？1補丁安裝

查看系統中安裝的補丁包，安裝未安裝的補丁包，后續關注官網補丁包的更新，定時更新補丁包。?

2賬戶安全設置管理員賬戶擁有最高的系統權限，一旦該賬戶被人利用，后果不堪設想。因此一種安全設置方法是將系統默認管理員Administrator改名，設置較高強度的口令。對系統中的賬戶進行整理，禁用Guest賬戶和日常不使用的賬號。在管理啟用/禁用賬戶的同時，對各個賬戶設置口令策略。供參考的口令策略為：1)至少8個字符；2)包含至少下面4個字符組中的3種：英文大寫字母A-Z；英文小寫字母a-z；數字0-9；非字母數字字符(如!$#%)；3)不要包含用戶姓名、用戶名或任何常見詞的任意部分；

4)一個月到兩個月定期修改口令。

3用戶權限指派打開“本地策略”→“用戶權限指派”。進入“用戶權限指派”管理界面，根據需要可以設置：1)從網絡訪問此計算機，刪除不必要的用戶；

2)從遠程系統強制關機，刪除全部賬戶；

4口令策略

打開“本地策略->審核策略”中，所有審核策略都要設置為“成功”和“失敗”都要審核。

5禁止ipc$空連接

在默認的情況下，任何用戶都可以通過空連接連接到服務器上，枚舉賬戶并猜測口令。因此，必須禁止建立空連接。打開注冊表

"HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA"，修改RestrictAnonymous = DWORD的鍵值即可禁止ipc$空連接。

6關閉常見入侵端口(1)關閉139端口ipc和RPC漏洞通過139端口攻擊。打開“控制面板”，然后依次單擊：“網絡和共享中心”→“更改適配器設置”→“本地連接”，選擇“屬性”，選擇“Internet協議(TCP/IP)”，進入“高級TCP/IP設置”對話框，選擇"WINS"標簽，勾選“禁用TCP/IP上的NETBIOS”一項，關閉NETBIOS。(2)關閉445端口445端口常用于局域網中文件夾和打印機共享，但也帶來了各種風險。為了關閉445端口，可以打開注冊表，找到HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\NetBT\Parameters，在該項下選擇建立一個 QWORD類型鍵值，將該鍵名稱設置為SMBDeviceEnabled，數值設置為0。還要把操作系統的server服務關閉，命令行輸入services.msc，進入服務管理控制臺，然后找到server服務，把這個服務的改為禁用，并停止。(3)關閉3389端口在“我的電腦”上右鍵單擊選“屬性”→“遠程”，將里面的遠程協助和遠程桌面兩個選項框里的勾去掉，并禁用Telnet、Terminal Services這兩個危險服務。(4)關閉135打開注冊表操作如下。

1)?將

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Ole下EnableDCOM的值改為"N"，以及打開HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Rpc下DCOMProtocols鍵，在對應值中刪除"ncacn_ip_tcp"；

2)確認停用

"Distributed Transaction Coordinator"服務。

7關閉默認共享在命令窗口中輸入命令，刪除C盤默認共享。同樣的方法可刪除其他磁盤的默認共享。

也可以進入控制面板找到共享文件夾-共享，將描述為"默認共享"的共享名刪除掉。

8禁用不必要服務在控制面板里，選擇管理工具后，選擇服務，設置關閉以下服務。1)Alerter——通知所選用戶和計算機有關系統管理級警報；2)ClipBook——啟用“剪貼簿查看器”儲存信息并與遠程計算機共享；3)Distributed Link Tracking Server——用于局域網更新連接信息；4)Indexing Service——提供本地或遠程計算機上文件的索引內容和屬性；5)Messenger——信使服務；6)NetMeeting Remote Desktop Sharing——允許授權用戶通過NetMeeting在 網絡上互相訪問；7)Network DDE——為在同一臺計算機或不同計算機上運行的程序提供動態數據交換；8)Network DDE DSDM——管理動態數據交換(DDE)網絡共享；9)Remote Desktop Help Session Manager——遠程幫助服務；10)Remote Registry——遠程計算機用戶修改本地注冊表；11)Routing and Remote Access——在局域網和廣域網中提供路由服務；12)Server——支持此計算機通過網絡的文件、打印和命名管道共享；13)TCP/IP NetBIOS Helper——提供對TCP/IP服務上的NetBIOS和網絡上客戶 端的NetBIOS名稱解析的支持，使用戶能夠共享文件、打印和登錄到網絡；14)Telnet——允許遠程用戶登錄到此計算機并運行程序；

15)Terminal Services——遠程登錄到本地電腦。

9本地安全策略設置命令行輸入gpedit.msc打開本地組策略編輯器，在“本地策略”→“安全選項”，設置如下策略。1)交互式登錄：無須按Ctrl+Alt+Del，設置為已禁用；2)交互式登錄：不顯示最后的用戶名，設置為已啟用；3)網絡訪問：不允許SAM賬戶的匿名枚舉，設置為已啟用；4)網絡訪問：可匿名訪問的共享，將策略設置里的值刪除；5)網絡訪問：可匿名訪問的命名管道，將策略設置里的值刪除；6)網絡訪問：可遠程訪問的注冊表路徑，將策略設置里的值刪除；7)設備：將CD-ROM的訪問權限僅限于本地登錄的用戶，設置為已啟用；8)關機:清除虛擬內存頁面文件，設置為已啟用。

10啟用防火墻

啟用Windows自帶防火墻或安裝第三方軟件防火墻。啟用Windows自帶防火墻可參考：“控制面板”→“Windows防火墻”。

11安裝殺毒軟件

建議用戶安裝殺毒軟件，并經常更新殺毒軟件的病毒庫，以便查殺最新病毒。

以上是常用的windows安全加固方法，在我們等級保護測評整改中以及在做操作系統安全加固項目時，都有非常重要的參考價值。關?注?我有更多干貨給你哦~“

如有咨詢需求，發送daluzixun@163.com，期待您的聯系~

關于大路咨詢

大路咨詢專注于信息咨詢和研究。以安全為主體，從國際國內標準、國家政策、行業態勢、大眾認知等多個維度進行深度剖析。關注大路咨詢，讓我們一起共同交流、共同學習。

更多專業技術分享，敬請期待~

總結

以上是生活随笔為你收集整理的windows server 启用 vss_windows服务器常用的安全加固方法的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。