系统更新配置

更换Windows更新服务器

若是你感触默认的Windows更新服务器比力慢
，或者若是选择了阿里云或腾讯云服务器的话
，能够更换Windows服务器。

右键起头菜单图标
，选择“运杏妆
，而后输入gpedit.msc
，顺次选择 “推算机配置” – “治理模板” – “Windows 组件” – “Windows 更新”
，双击“指定 Intranet Microsoft 更新服务地位”：

选中?已启用
，而后设置检测更新的Intranet更新服务和统计服务器
，若是是阿里云经典网络能够设置成?http://windowsupdate.aliyun-inc.com
，阿里云VPC网络能够设置成?http://update.cloud.aliyuncs.com
，腾讯云能够设置成?http://windowsupdate.tencentyun.com
，备用下载服务器设置成?http://wsus.neu.edu.cn。

启用并允许自动更新

双击“允许自动更新当即装置”
，选择“已启用”启用自动更新。而后双击“配置自动更新”
，选钟装已启用”并配置成“自动下载并通知装置”
，如下图：

设置完上述两步之后
，必要以治理员角色执行下面的号令：

gpupdate /force

Cmd

Copy

解决执行自动更新时出现的 0x8024401f 和 0x8024401c 谬误

实现上述操作之后
，选择起头菜单-设置
，执行查抄更新
，查抄一下是否正常。
若是出现 0x8024401f 或 0x8024401c 谬误的话
，以治理员身份执行下面的号令：

1. net stop wuauserv
2. reg delete HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate
3. net start wuauserv

Cmd

Copy

系统账号安全

设置账号安全战术

在“运杏妆中执行secpol.msc号令
，打开“本地安全战术”
，进行如下设置：
（1）“账户设置”-“密码战术”
设置相宜的密码复杂度
，加强密码的强度。参考设置如下：

（2）“账户设置”-“账户锁定战术”
设置账号密码犯错之后的锁按功夫
，必要先设置“账户锁定阀值”能力设置其他两项
，参考设置如下：

（3）“本地战术”-“安全选项”
将“交互式登录: 不显示最后的用户名”设置为“启用”状态。

查抄并优化账号

将账户安全设置实现之后
，再对系统的账号进行优化。在“运杏妆中执行compmgmt.msc号令
，打开“推算机治理”
，而后在“系统工具”-“本地用户和组”-“用户”中查看是否有不用的账户
，将不用的账户删除或停用。除此之表
，还要在号令行中使用?net user?号令查看一遍有没有有余的账号（有的账号会在推算机治理中暗藏）
，能够使用?net user <username> /del?号令删除对应的账号。

将默认的治理员用户名 Administrator 进行沉定名
，并且建议沉新设置新的治理员密码。

不容系统自动登录

系统休眠沉新激活之后
，必要密码能力登录系统。在“运杏妆中输入?control userpasswords2
，打开“用户账户”
，而后启用“要是用本机
，用户必须输入用户名和密码”的选项。

远程接见安全

更改远程终端默认3389端口

将默认的远程终端端口3389批改成其他的端口。运行regedit打开注册表法式
，必要批改注册表的两个处所：
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Terminal Server\Wds\repwd\Tds\tcp

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\TerminalServer\WinStations\RDP-Tcp
将上述两个处所右侧?PortNumber的值批改成新的端标语（建议将基数设置为十进造）：

设置实现之后关关注册表
，而后沉启服务器之后即可生效。若是设置防火墙的话
，把稳新端口参与防火墙的白名单中。

将远程关机、本地关机和用户权限分配只授权给Administrtors组

在“运杏妆中执行secpol.msc
，打开“本地安全战术”窗口
，顺次打开“本地战术”-“用户权限分配”。
（1）双击右侧的“从远程系统强造关机”
，只保留“Administrators组”并将其他用户组删除；
（2）双击右侧的“关关系统”
，只保留“Administrators组”并将其他用户组删除；
（3）双击右侧的“获得文件或其它对象的所有权”
，只保留“Administrators组”并将其他用户组删除；

将远程登录账户设置为具体的治理怨厮号

指定特定的治理怨厮号而不是Administrtors组
，将加强登录系统的安全性
，就算通过缝隙创建了Administrtors组的账号
，也无法登录系统。

在“运杏妆中执行secpol.msc
，打开“本地安全战术”窗口
，顺次打开“本地战术”-“用户权限分配”。双击右侧的“从网络接见此推算机”
，将所有的用户组删除
，而后点击下面的“增长用户或组…”按钮
，点击“高级”按钮
，而后点击“当即查问”按钮
，从查问的了局当选择治理员的账号
，而后顺次确定保留；

系统网络安全

关关不必要的服务

在“运杏妆中执行?services.msc?号令
，打开“服务”
，凭据情况建议将以下服务改为禁用：

Application Layer Gateway Service（为利用法式级和谈插件提供支持并启用网络/和谈衔接）
Background Intelligent Transfer Service（利用空闲的网络带宽在后盾传输文件。若是服务被停用
，例如Windows Update 和 MSN Explorer的职能将无法自动下载法式和其他信息）
Computer Browser（守护网络上推算机的更新列表
，并将列表提供给推算机指定浏览）
DHCP Client
Diagnostic Policy Service
Distributed Link Tracking Client
Distributed Transaction Coordinator
DNS Client
Print Spooler（治理所有本地和网络打印队列及节造所有打印工作）
Remote Registry（使远程用户能批改此推算机上的注册表设置）
Server（不使用文件共享能够关关
，关关后再右键点某个磁盘选属性
，“共享」剽个页面就不存在了）
Shell Hardware Detection
TCP/IP NetBIOS Helper（提供 TCP/IP (NetBT) 服务上的NetBIOS 和网络上客户端的NetBIOS 名称解析的支持
，从而使用户可能共享文件、打印和登录到网络）
Task Scheduler（使用户能在此推算机上配置和打算自动工作）
Windows Remote Management(47001端口
，Windows远程治理服务
，用于共同IIS治理硬件
，通常用不到)
Workstation（创建和守护到远程服务的客户端网络衔接。若是服务终场
，这些衔接将不成用）

关关“同步主机_xxx”服务

Windows 2016中有一个“同步主机_xxx”的服务
，后面的xxx是一个数字
，每个服务器分歧。必要手动关关
，操作如下：
首先在“运杏妆中执行regedit打开注册表
，而后在?HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services?下面找到?OneSyncSvc、OneSyncSvc_xxx、UserDataSvc和UserDataSvc_xxx四个项
，顺次将其中的?start?值批改为4
，退出注册表而后沉启服务器即可。

关关IPC共享

若是在上面终场并禁用?Server服务的话就不会出现IPC共享了
，执行?net share?号令之后会提醒“没有启动Server服务”
，不然会类似C$、D$等默认共享
，能够使用?net share C$ /del?号令进行删除。

在注册表中找到?HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters
，在右侧空缺处右键
，顺次选择“新建”-“DWORD项”,名称设置为AutoShareServer
，键值设置为0。

关关139端口（Netbios服务）、445端口、5355端口（LLMNR）

（1）关关139端口
顺次打开“节造面板”-“查看网络状态和工作”
，而后点击左侧的“更改适配器设置”
，在网络衔接中双击激活的网卡
，点击“属性”按钮
，双击“Internet 和谈版本 4（TCP/IPv4）”
，在打开的窗口中点击右下角的“高级”按钮
，而后选择上面的“WINS”标签
，在“NetBIOS设置”当选择“禁用 TCP/IP上的NetBIOS”
，最后顺次“确定”。

关关此职能
，你服务器上所有共享服务职能都将关关
，别人在资源治理器中将看不到你的共享资源。这样也预防了信息的泄露。

（2）关关445端口
445端口是netbios用来在局域网内解析机械名的服务端口
，通常服务器不必要对LAN盛开什么共享
，所以能够关关。打开注册表
，在HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NetBT\Parameters地位
，在右侧右键并顺次选择“新建”-“Dword值”
，名称设置为SMBDeviceEnabled
，值设置为0。

（3）关关5355端口（LLMNR）
LLMNR本地链路多播名称解析
，也叫多播DNS
，用于解析本地网段上的名称
，能够通过组战术关关将其关关。打开“运杏妆
，输入gpedit.msc打开“本地组战术编纂器”
，顺次选择“推算机配置”-“治理模板”-“网络”-“DNS客户端”
，在右侧双击“关关多播名称解析”项
，而后设置为“已禁用”。

网络接见限度

在“运杏妆中执行?secpol.msc?打开“本地安全战术”
，打开“安全设置”-“本地战术”-“安全选项”
，设置下面的战术：

网络接见: 不允许 SAM 帐户的匿名枚举：已启用
网络接见: 不允许 SAM 帐户和共享的匿名枚举：已启用
网络接见: 将 Everyone 权限利用于匿名用户：已禁用
帐户: 使用空缺密码的本地帐户只允许进行节造台登录：已启用

设置实现之后
，在号令行（治理员身份）中执行?gpupdate /force?使其当即生效。

日志审计

加强日志纪录

增大日志量大幼
，预防由于日志文件容量过幼导致日志纪录不全。在“运杏妆中执行eventvwr.msc号令
，打开“事务查看器”窗口
，打开“Windows 日志”文件
，别离右键下面的“利用法式”、“安全”和“系统”项
，选择“属性”
，批改“日志最大大幼”为 20480。

加强审核

对系统事务进行纪录
，在日后出现故障时用于排查审计。在“运杏妆中执行secpol.msc号令
，打开“本地安全战术”窗口
，顺次选择“安全设置”-“本地战术”-“审核战术”
，建议将里面的项目设置如下：

审核战术更改：成功
审核登录事务：成功
，失败
审查对象接见：成功
审核过程跟踪：成功
，失败
审核目录服务接见：成功
，失败
审核系统事务：成功
，失败
审核帐户登录事务：成功
，失败
审核帐户治理：成功
，失败

上面的项目设置成功之后
，在“运杏妆中执行?gpupdate /force?号令使设置当即生效。

开启并设置防火墙

若是使用了云服务器（如阿里云、腾讯云等）
，云服务商会提供一个防火墙工具
，通常是放在路由级此外
，使用起来更方便
，若是误操作的话也不会将自己排除在服务器上
，因而建议优先选取云服务商提供的防火墙。

开启或关关Windows防火墙

打开“节造面板”
，顺次选择“系统和安全”-“Windows防火墙”
，选择左侧的“启用或关关Windows防火墙”
，凭据必要选择启用或关关Windows防火墙。若是选取了云服务商提供的防火墙的话
，建议将Windows防火墙关关。PS:开启防火墙之前必要允许远程登录的端口接见
，不然远程衔接会中断！

允许特定的端口接见

这里以Windows防火墙为例进行注明（其实云服务商提供的防火墙规定是类似的）
，前提是防火墙是启用的。在“运杏妆中执行?WF.msc?打开“高级安全 Windows 防火墙”
，点击左侧的“入站规定”
，而后点击右侧的“新建规定…”打开“新建入站规定向导”窗口
，选择“端口”而后点击“下一步”按钮；端口类型选择“TCP”
，下面选择“特定本地端口”
，里面输入设置的远程登录端口以及Web端口
，如：80, 433, 3389
，而后点击“下一步”按钮；选择“允许衔接”
，而后点击“下一步”按钮；选中所有的选项
，而后点击“下一步”；最后输入一个规定的名称
，好比“允许远程衔接和Web服务”
，最后点击“实现”保留。

关关ICMP（禁ping）

依照上面的步骤打开“高级安全 Windows 防火墙”并选中左侧的“入站规定”
，从默认的规定里面双击“文件和打印机共享(回显要求 – ICMPv4-In)”
，在“通例”当选钟装已启用”
，并在“操作”当选钟装阻止衔接”
，最后“确定”保留即可。

其它安全设置

设置屏保
，使本地攻击者无法直接复原桌面节造

打开“节造面板”
，顺次进入“表观和个性化”-“个性化”-“屏幕；しㄊ健
，选择某一个屏保
，而后选钟装在复原时显示登录屏幕”
，并将期待功夫设置为10分钟。

关关Windows自动播放职能

在“运杏妆中执行gpedit.msc号令
，顺次打开“推算机配置”-“挂你模板”-“所有设置”
，双击“关关自动播放”
，而后选择“已启用”。