WindowsServer2019操作系統安全配置與系統加固探討

李葳

摘要：本文研究了Windows Server 2019操作系統內部與系統安全相關的主要配置，包括注冊表編輯器、組策略編輯器、系統事件查看器以及網絡防火墻等系統組件和安全選項。并梳理了各種安全配置的相互關聯、生效條件和主要作用。對如何加固操作系統，進而提高服務器的本地和網絡安全性進行了研究。通過上述研究和安全配置的修改，大幅提升了安裝Windows Server 2019操作系統的服務器的安全性。

關鍵詞：操作系統;安全配置;系統加固

中圖分類號：TP3 文獻標識碼：A 文章編號：1007-9416（2019）07-0191-01

0 引言

在當今的服務器操作系統領域，除UNIX、Linux類操作系統外，由微軟（Mircosoft）公司開發的Windows Server系列操作系統也占據著較大的份額，目前其最新版本為Windows Server 2019。Windows Server 2019與個人計算機操作系統Windows 10同源，在安全組件構成、界面設計和選項設置方面融合了上一個版本Windows Server 2016的設計，但亦有自己的新特點和改進，包括增強的Windows Defender安全軟件、更加有效的BitLocker加密和VM防護、SDN加密網絡等。雖然具備了上述的改進，但現今系統安全和網絡安全形勢依然嚴峻，各種網絡病毒、木馬、層出不窮，針對新版本操作系統的惡意程序亦開始出現，對服務器的安全造成了極大的威脅。為了應對這些威脅，有必要對Windows Server 2019操作系統的安全配置進行研究，找到有效的加固系統方法，避免因惡意程序的攻擊遭受損失。

1 Windows Server 2019安全配置選項

Windows Server 2019的各主要安全配置選項的路徑和窗口布局與上一個版本的Server系統大體一致，包括注冊表編輯器、組策略編輯器、服務、控制面板、防火墻等，部分操作細節略有不同。

2 系統服務安全

Windows操作系統的大部分重要功能均由系統服務提供，不同的系統服務具有不同的默認啟動策略，包括：自動、手動以及禁用等。為了平衡服務器的性能、功能和安全性三者之間的關系，需要依據實際需求仔細修改系統服務的啟動策略。

3 系統自動更新配置

打開“Settings”選項，點擊其中的“Windows更新”，在設置頁面的左側導航欄中點擊“更改設置”，在新窗口的下拉菜單中選擇用戶所需的設置項。

打開“本地組策略編輯器”，在左側導航欄中依次選擇“計算機配置”、“管理模板”、“Windows組件”和“Windows更新”，在右側選項欄中雙擊“允許自動更新立即安裝”選項。在新窗口中選中“已啟用”選項，并在“配置自動更新”下拉菜單中選擇“3-自動下載并通知安裝”，點擊“確定”按鈕保存配置。

4 系統網絡安全

打開“本地安全策略”。在其中點擊“本地策略”、“用戶權限分配”，雙擊右側項目欄中的“從網絡訪問此計算機”。為保證遠程安全，可指定一個專用于遠程登錄的Administrator組賬號保留之，將其他賬號從此設置中刪除。

在“本地安全策略”窗口中打開“安全設置”、“本地策略”、“安全選項”。在右側項目欄中選擇“網絡訪問： 不允許 SAM 帳戶的匿名枚舉”、“網絡訪問： 不允許 SAM 帳戶和共享的匿名枚舉”和“帳戶： 使用空白密碼的本地帳戶只允許進行控制臺登錄”，將其設置為“已啟用”。選擇“網絡訪問： 將 Everyone 權限應用于匿名用戶”，將其設置為“已禁用”。重啟服務器以令設置生效。

5 系統賬號與權限安全

打開“本地安全策略”，在左側導航欄中依次選擇“安全設置”、“賬戶策略”及“密碼策略”，在右側選項欄中依次雙擊各選項進行配置。建議將“密碼必須符合復雜性要求”選項設為“已啟用”，并對密碼長度最小值和密碼最長使用期限做一定的限制。

打開“本地安全策略”，在左側導航欄中依次選擇“安全設置”、“賬戶策略”及“賬戶鎖定策略”，在右側選項欄中首先雙擊“賬戶鎖定時間”，為其設置合適的期限。并對“賬戶鎖定閾值”和“重置賬戶鎖定計數器”的配置做出修改。建議將鎖定閾值設為10次以內，防止惡意程序采用暴力枚舉的方式獲取賬號密碼。

6 其他安全配置

為令系統事件記錄更加詳細，打開“本地安全策略”窗口，依次點擊“安全設置”、“本地策略”和“審核策略”。建議將“審核登錄事件”、“審核進程跟蹤”、“審核目錄服務訪問”、“審核系統事件”、“審核帳戶登錄事件”以及“審核帳戶管理”選項設為“成功，失敗”，將“審核策略更改”和“審核對象訪問”選項設為“成功”。重啟服務器以令設置生效。

為增加系統事件記錄的長度，打開“事件查看器”，在左側導航欄中選擇“Windows日志”。在展開的下拉菜單中依次用鼠標右鍵點擊“應用程序”、“安全”及“系統”選項，在彈出的頁面中點擊“屬性（P）”，將“日志最大大小”選項設為25600。

7 結論

本文通過對Windows Server 2019操作系統內與系統安全相關的主要配置，包括注冊表編輯器、組策略編輯器、系統事件查看器以及網絡防火墻等組件和安全選項進行研究，初步理清了Windows Server 2019在本地和網絡安全方面的設置要點。通過梳理Windows Server 2019的各種安全配置的相互關聯、生效條件和主要作用，對該版本操作系統的安全配置有了進一步的了解，從而為加固操作系統提供依據，并通過修改多種配置進行操作系統的加固，進而大幅度提高了操作系統和服務器在軟件硬件兩方面的本地和網絡安全性。

參考文獻

[1] 許紅軍.Windows Server高級攻擊檢測[J].網絡安全和信息化，2019（3）：131-134.

[2] 劉景云.在Windows Server中靈活配置密碼策略[J].電腦知識與技術，2019（2）：24-25.

[3] 郭建偉.輕松管理Windows Server遠程桌面[J].電腦知識與技術，2018（8）：26-31.