這周給團隊服務器做升級優化，系統重裝為Windows server 2012，以下是一些安全配置和web環境配置優化筆記。

一、查看系統信息

一些基礎命令

查看主機名：hostname

查看網絡配置：ipconfig /all

查看路由表：route print

查看開放端口：netstat -ano

二、系統帳號管理

2.1 帳號管理

“Win+R”鍵調出“運行”->輸入compmgmt.msc->打開"計算機管理"，點擊左側“本地用戶和組”，查看是否有不用的賬號，系統賬號所屬組是否正確以及 guest賬號是否鎖定。

右擊administrator賬戶，選擇“重命名”，更改為較復雜的名字;

右擊Guest賬戶，選擇“屬性”，確保已勾選“賬戶已禁用”。

在CMD下可用“net user”查看用戶情況，“net user 用戶名 /del”刪除用戶，“net user 用戶名 /active:no”禁用用戶。

2.2 設置安全策略

WIN+R 打開“運行”，輸入"secpol.msc"打開 本地安全策略，修改以下安全策略設置。

1，賬戶策略->密碼策略

密碼必須符合復雜性要求：啟用

密碼長度最小值：7 個字符

密碼最短使用期限：0 天

密碼最長使用期限：90 天

強制密碼歷史：1 個記住密碼

用可還原的加密來存儲密碼：已禁用

2，賬戶設置->賬戶鎖定策略

帳戶鎖定時間：30 分鐘

帳戶鎖定閥值：5 次無效登錄

重置帳戶鎖定計數器：30 分鐘

3，本地策略->安全選項

交互式登錄：不顯示最后的用戶名：啟用

三、網絡服務優化

3.1 系統服務

“Win+R”鍵調出“運行”，輸入“services.msc”打開系統服務控制臺。

建議將以下服務停止，并將啟動方式修改為手動：

Background Intelligent Transfer Service

DHCP Client

Remote Registry

Print Spooler

Server(不使用文件共享可以關閉)

Simple TCP/IP Service

Simple Mail Transport Protocol (SMTP)

SNMP Service

Task Schedule

TCP/IP NetBIOS Helper

3.2 關閉IPC共享

打開運行，輸入“cmd.exe”，在命令提示符中敲入“net share”查看系統共享情況，使用命令“net share 共享名 /del”刪除共享，例如：net share IPC$ /del

“Win+R”鍵調出“運行”，輸入regedit打開注冊表編輯器，找到HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters，在右側空白處，右擊》新建》DWORD項，名稱為 AutoShareServer，鍵值為 0。

3.3 網絡限制

WIN+R 打開“運行”，輸入"secpol.msc"打開 安全設置->本地策略->安全選項，修改以下安全策略設置。

網絡訪問: 不允許 SAM 帳戶的匿名枚舉：已啟用

網絡訪問: 不允許 SAM 帳戶和共享的匿名枚舉：已啟用

網絡訪問: 將 Everyone 權限應用于匿名用戶：已禁用

帳戶: 使用空密碼的本地帳戶只允許進行控制臺登錄：已啟用