win2022 windows server 2022系统安全加固安全设置
广告:
禁用服务:
RemoteRegistry 远程注册表,木马常用提权通道
Print Spooler 打印服务,无打印需求直接关闭
Computer Browser、Server、Workstation 文件共享、SMB 445 端口攻击入口
Routing and Remote Access 路由远程访问
TCP/IP NetBIOS Helper NetBIOS 嗅探攻击
AzureAttestService 仅在本机接入 Azure 云、使用 Azure 可信计算 / 机密虚拟机场景下才会用到; 本地单机、内网数据库服务器完全不需要这个服务
以下一般默认没有
Telnet、FTPSVC、SMTPSVC 远程明文登录、FTP 邮件服务
本地安全策略加固(secpol.msc)
用户权限分配
允许本地登录:仅保留Administrators,删除 Users、Backup Operators
从网络访问此计算机:仅管理员组
安全选项:
网络访问:
可远程访问的注册表路径 → 全部清空
System\CurrentControlSet\Control\ProductOptions
System\CurrentControlSet\Control\Server Applications
Software\Microsoft\Windows NT\CurrentVersion
LAN 管理器身份验证级别:仅发送 NTLMv2 响应,拒绝 LM/NTLM
启用管理员账户批准模式 UAC,禁止自动提升权限
禁用来宾账户、匿名 SAM 枚举
Windows Defender 实时保护全开,排除仅网站运行目录,全盘定时扫描
关闭短文件名漏洞(CMD 执行):
fsutil behavior set disable8dot3 C: 1
目录 NTFS 最小权限(核心防 WebShell 提权)
IIS 系统目录 C:\inetpub
# 移除高危用户组权限
icacls C:\inetpub /remove Users /c
icacls C:\inetpub /remove Everyone /c
# 仅保留管理员、系统完全控制
icacls C:\inetpub /grant Administrators:(OI)(CI)F /c
icacls C:\inetpub /grant SYSTEM:(OI)(CI)F /c
# Temp目录仅给IIS读取,禁止写入执行
icacls C:\inetpub\temp /grant IIS_IUSRS:(OI)(CI)R /c
上传文件夹只给读取 + 写入,取消执行权限,禁止解析 ASP/ASPX:
IS 管理器 → 上传目录 → 处理程序映射 → 编辑功能权限 → 取消勾选「脚本」,仅保留读取。
出站限制
默认允许出站,但拦截 445、135 对外连接,防止木马内网横向渗透;限制陌生外联程序
全盘定期杀毒,删除 C:\ProgramData 下陌生 exe,清理开机自启项
广告:


