第一章、

最近勒索病毒比较多，今天我们分享一些Windows方面安全的基础维护，下面是本篇文章的大纲。

1. 定期更新和补丁管理
2. 防火墙配置
3. 用户账户控制
4. 强密码策略
5. 启用审计和日志记录
6. 使用防病毒和反恶意软件
7. 网络安全
8. 远程桌面安全
9. 数据加密
10. 备份和恢复
11. 应用程序和服务安全
12. 物理安全

第二章、具体操作演示

1. 定期更新和补丁管理

可参考文章配置：Windows Server 2019 WSUS补丁服务器安装图解教程

• 示例：使用 Windows Server Update Services (WSUS) 进行更新管理。

• 大概简要步骤：

1. 安装 WSUS 角色：

• 打开“服务器管理器” > “添加角色和功能” > 选择“Windows Server Update Services”。

1. 配置 WSUS：

• 在 WSUS 配置向导中，选择要下载更新的 Microsoft 更新源。
• 配置同步计划，定期下载更新。

1. 配置客户端：

• 在组策略中设置 WSUS 服务器地址：计算机配置 > 管理模板 > Windows 组件 > Windows 更新 > 指定 Intranet 更新服务位置。

2. 防火墙配置

• 示例：配置 Windows 防火墙以限制 RDP 访问。

• 步骤：

1. 打开“控制面板” > “系统和安全” > “Windows 防火墙” > “高级设置”。
2. 在“入站规则”中，找到“远程桌面 - 用户模式 (TCP-In)”规则。
3. 右键点击该规则，选择“属性”，在“作用域/范围”选项卡中，设置“远程 IP 地址”限制为特定的 IP 地址段。（防止其他非授权机器连接）
1. 
   

3. 用户账户控制

• 示例：创建一个新的管理员账户并禁用默认管理员账户。

• 步骤：

1. 打开“计算机管理” > “本地用户和组” > “用户”。
2. 右键点击空白处，选择“新用户”，输入新用户信息，确保选中“用户必须在下次登录时更改密码”。
3. 创建后，右键点击“Administrator”账户，选择“属性”，勾选“账户已禁用”。

4. 强密码策略

• 示例：设置密码复杂性和过期策略。

• 步骤：

1. 打开“组策略管理”控制台，创建或编辑一个组策略对象（GPO）。
2. 导航到 计算机配置 > Windows 设置 > 安全设置 > 账户策略 > 密码策略。
3. 启用“密码必须符合复杂性要求”和“最大密码使用期限”。

5. 启用审计和日志记录

• 示例：启用登录审计。

• 步骤：

1. 打开“组策略管理”控制台，编辑 GPO。
2. 导航到 计算机配置 > Windows 设置 > 安全设置 > 本地策略 > 审计策略。
3. 启用“审核登录事件”，选择“成功”和“失败”。
4. 使用“事件查看器”查看安全日志：Windows 日志 > 安全。

6. 使用防病毒和反恶意软件

• 示例：启用 Windows Defender。

• 步骤：

1. 打开“Windows 安全”应用，选择“病毒和威胁防护”。
2. 确保“实时保护”已启用。
3. 设置定期扫描计划：在“病毒和威胁防护设置”中，选择“管理设置”，启用“定期扫描”。

7. 网络安全

• 示例：配置 VPN 以安全访问服务器。

• 步骤：

1. 在“服务器管理器”中，添加“远程访问”角色。
2. 在角色向导中选择“VPN”。
3. 配置 VPN 设置，选择适当的身份验证方法（如 PPTP、L2TP）。
4. 配置防火墙以允许 VPN 端口（如 1723）。