Windows 服务器初始化基本安全设置

# 权限设置每个分区除系统盘，仅保留（system和administrators权限）

# 计算机配置 - Windows设置 - 安全设置 - 帐户策略 - 密码策略：”密码最长使用期限”，设置为”0”（无期限）。

# 新建一个用户。也可以使用Administrator（内置管理员），但要启用批准模式，组策略，计算机配置 - Windows设置 - 安全设置 - 本地策略 - 安全选项，”用于内置管理员帐户的管理员批准模式”，设置为”已启用”，重启后生效。

# 计算机配置 - Windows设置 - 安全设置 - 本地策略 - 用户权限分配，“关闭系统设置为标准帐户类型的用户允许关机，增加你自己的管理员用户。重启

# 修改默认3389端口

注册表HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\Wds\rdpwd\Tds\tcp

注册表HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Tenninal Server\WinStations\RDP-Tcp

# 将远程关机、本地关机和用户权限分配只授权给Administrtors组
在“运行”中执行secpol.msc，打开“本地安全策略”窗口，依次打开“本地策略”-“用户权限分配”。
（1）双击右侧的“从远程系统强制关机”，只保留“Administrators组”并将其他用户组删除；
（2）双击右侧的“关闭系统”，只保留“Administrators组”并将其他用户组删除；
（3）双击右侧的“取得文件或其它对象的所有权”，只保留“Administrators组”并将其他用户组删除；

# 禁用不需要的服务（根据情况建议将以下服务改为禁用）

Print Spooler（管理所有本地和网络打印队列及控制所有打印工作）

Remote Registry（使远程用户能修改此计算机上的注册表设置）

Server（不使用文件共享可以关闭，关闭后再右键点某个磁盘选属性，“共享”这个页面就不存在了）

Shell Hardware Detection（为自动播放硬件事件提供通知）

TCP/IP NetBIOS Helper（提供 TCP/IP (NetBT) 服务上的NetBIOS 和网络上客户端的NetBIOS 名称解析的支持，从而使用户能够共享文件、打印和登录到网络）

Windows Remote Management(47001端口，Windows远程管理服务，用于配合IIS管理硬件，一般用不到)

Workstation（使用 SMB 协议创建并维护客户端网络与远程服务器之间的连接。如果此服务已停止，这些连接将无法使用。）

IP Helper（使用 IPv6 转换技术(6to4、ISATAP、端口代理和 Teredo)和 IP-HTTPS 提供隧道连接。）

Themes（为用户提供使用主题管理的体验。）

# 关闭“同步主机_xxx”服务

Windows 2016中有一个“同步主机_xxx”的服务，后面的xxx是一个数字，每个服务器不同。需要手动关闭，操作如下：
首先在“运行”中执行regedit打开注册表，然后在 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services 下面找到 OneSyncSvc、OneSyncSvc_xxx、UserDataSvc和UserDataSvc_xxx四个项，依次将其中的 start 值修改为4，退出注册表然后重启服务器即可。

# 关闭IPC共享

停止并禁用 Server服务的话就不会出现IPC共享，在注册表中找到 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters，在右侧空白处右键，依次选择“新建”-“DWORD项”,名称设置为AutoShareServer，键值设置为0。

# 关闭445端口（根据实际情况处理）

445端口是netbios用来在局域网内解析机器名的服务端口，一般服务器不需要对LAN开放什么共享，所以可以关闭。打开注册表，在HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NetBT\Parameters位置，在右侧右键并依次选择“新建”-“Dword值”，名称设置为SMBDeviceEnabled，值设置为0。